- Начало
- /
- Статия
Благодарим за обратната връзка.
Ръководство за внедряване на Directory Connector
В тази статия
Обратна връзка?Преглед на конектора за директории
Directory Connector е в помещението приложение за синхронизиране на самоличността в облака. Вие изтегляте софтуера за конектори от Control Hub и го инсталирате на вашата локална машина.
С Directory Connector можете да поддържате вашите потребителски акаунти и данни в Active Directory, така че Active Directory се превръща в единствен източник на истина. Когато направите промяна в помещението, тя се репликира в облака.
Вижте всички функции, описания и предимства в таблицата:
| Функция | Описание и полза |
|---|---|
| Лесно за използване арматурно табло | Таблото за управление предоставя график за синхронизиране, обобщение и състояние на синхронизацията, както и състоянието на конектора на директория. Можете да видите таблото за управление всеки път, когато влизам. |
| Сух режим преди синхронизиране с облака | Извършете сух цикъл на промените в директорията, преди те да бъдат внедрени в облака. След това стартирайте отчет, за да видите, че промените, които искате да направите, са това, което очаквате. |
| Пълна и постепенна синхронизация | Синхронизирайте цялата директория. Или просто синхронизирайте постепенните промени, за да спестите процесорна мощност и да съкратите времето за синхронизация. |
Синхронизирайте множество домейни (единична гора или множество гори) |
Directory Connector поддържа множество домейни под една гора или под множество гори (без нужда от AD LDS). За предприятия с множество домейни на Active Directory , можете да инсталирате конектор на директория за всеки домейн, да свържете всеки домейн към вашата организация и след това да синхронизирате всяка потребителска база в Webex. Control Hub отразява състоянието, като показва състоянието на синхронизация за множество конектори на директории, позволява ви да изключите синхронизацията за конкретен домейн и да деактивирате конектор на директория при внедряване с висока степен на достъпност . |
| Синхронизация по график | Задайте график за синхронизиране по ден, час и минута. |
| Lightweight Directory Access Protocol (LDAP). | Определете критерии за търсене на LDAP и осигурете ефективен импорт. |
| Съпоставяне на атрибути на Active Directory | Картирайте атрибутите на Microsoft Active Directory към съответните атрибути на облак на Webex . Можете да картографирате атрибути, които са подходящи за вашата конфигурация на Active Directory , както и да дефинирате персонализирани атрибути, които да картографират в облака. Атрибутите от помещенията формират различни данни в облака, като информация за потребителски акаунт , телефонни номера на предприятието в Webex Teams, SIP адреси на ресурсите на стаята и други данни от потребителски карта на контакта (наименование, отдел, мениджър и т.н.). |
Корпоративен указател за в помещението ресурси на стаята и потребители на Cisco Webex Calling (Cloud PSTN) и корпоративни контакти без лицензиране на Webex |
Ако част от вашата организация използва Cisco Webex Calling cloud PSTN за услуга за разговори или имате в помещението устройства в стаята, тази функция позволява на потребителите да търсят в указателя за корпоративни контакти от техните телефони на Cisco Webex Calling (облачен PSTN) или ресурси на стаята.
|
| Преглед на събития | Използвайте инструмента за преглед на събития, за да определите дали е имало проблеми със синхронизацията. |
| Инструмент за диагностика и отстраняване на неизправности | Можете да използвате вградения инструмент за диагностика, за да отстраните неизправности при внедряването на Cisco Directory Connector. Ако синхронизирането не работи правилно, може да имате грешка в конфигурацията или мрежата. Този инструмент тества връзката ви с Active Directory , за да можете сами да диагностицирате грешките, преди да се свържете с поддръжката. След като активирате отстраняването на неизправности в Directory Connector, се записват регистрационни файлове, които могат да бъдат изпратени до техническата поддръжка. |
| Автоматично надграждане | След като инсталирате Directory Connector, получавате известие всеки път, когато е налична нова версия на софтуера. Можете да настройвам автоматични надстройки, така че винаги да сте с най-новата версия на софтуера, когато бъде пусната нова версия. |
| Висока наличност | Конфигурирайте множество съединители, така че да има резервно копие, в случай че главният конектор или машината, на която е хост, изпадне. |
Directory Connector е разделен на три области:
Контролен център е единственият интерфейс, който ви позволява да управлявате всички аспекти на вашата Webex организация: преглеждайте потребители, присвоявайте лицензи, изтегляйте Directory Connector и конфигуриране на еднократен вход (SSO) ако искате вашите потребители да се удостоверяват чрез своя доставчик на корпоративна идентичност и не искате да изпращате покани по имейл за приложението Webex .
Интерфейс за управление на конектора на директории е софтуерът, който изтегляте от Control Hub и инсталирате на доверен Windows сървър. За множество домейни на Active Directory можете да инсталирате един момент от софтуера за всеки домейн, който искате да синхронизирате. С помощта на софтуера можете да стартирате синхронизация, за да пренесете вашите потребителски акаунти в Active Directory в Webex, да преглеждате и наблюдавате състоянието на синхронизиране и да конфигурирате услугите на Directory Connector.
Услуга за синхронизиране на директории отправя заявка към вашата Active Directory , за да извлече потребители и групи за синхронизиране с услугата за конектор и конектора на директория.
Вижте тази диаграма, за да разберете архитектурата на конектора на директории:
Изисквания за конектор на директория
Изисквания за Windows и Active Directory
Можете да инсталирате Directory Connector на тези поддържани Windows сървъри:
Windows Server 2012
Windows Server 2019
Windows Server 2016
 | За да разрешите проблема с бисквитките, препоръчваме да надстроите своя домейн контролер до версия, която съдържа корекцията— Windows Server 2012 R2 или 2016 г . |
Directory Connector се поддържа със следните услуги на Active Directory :
Active Directory 2016
(Directory Connector се поддържа, когато използвате най-новата версия на Active Directory на Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008
Обърнете внимание на следните допълнителни изисквания:
Directory Connector изисква TLS1.2. Трябва да инсталирате следното:
.NET Framework v3.5 (изисква се за приложението Directory Connector. Ако срещнете някакви проблеми, използвайте указанията в Активирайте .NET Framework 3.5 с помощта на съветника за добавяне на роли и функции .)
.NET Framework v.4.5 (изисква се за TLS1.2)
Изисква се функционално ниво на гората на Active Directory 2 (Windows Server 2003) или по-високо. (Виж Какво представляват функционалните нива на Active Directory ? за повече информация.)
Хардуерни изисквания
Трябва да инсталирате Directory Connector на компютър с тези минимални хардуерни изисквания:
8 GB RAM
50 GB място за съхранение
Няма минимум за CPU
Изисквания за мрежата
Ако вашата мрежа е зад защитна стена, уверете се, че вашата система има HTTPS (порт 443) достъп до интернет.
Изисквания за организация на Webex
За достъп до софтуера Directory Connector от Control Hub се нуждаете от организация на Webex с пробен период или платен абонамент.
(По избор) Ако искате новите потребителски акаунти на Webex App да бъдат активни, преди да влизам за първи път, препоръчваме ви да направите следното:
Добавете, потвърдете и по избор заявете домейни които съдържат имейл адресите на потребителите, които искате да синхронизирате в облака.
Направете интеграция с еднократен вход (SSO). на вашия доставчик на идентичност (IdP) с вашата организация Webex .
Потискане на автоматичните покани по имейл , така че новите потребители да не получават автоматичната покана по имейл и да можете да направите своя собствена имейл кампания. (Тази функция изисква интеграция на SSO .)
| За повече информация вж Потребителски статуси и действия в Control Hub . |
Изисквания за инсталиране
За среда с множество домейни (единична гора или множество гори), трябва да инсталирате един конектор на директория за всеки домейн на Active Directory . Ако искате да синхронизирате нов домейн (B), като същевременно поддържате синхронизираните потребителски данни в друг съществуващ домейн (A), уверете се, че имате отделен поддържан сървър на Windows, за да инсталирате конектор на директория за синхронизиране на домейн (B).
За да влезем в конектора, не се нуждаем от административен акаунт в Active Directory. Изискваме локален потребителски акаунт , който е същият потребител като пълен администраторски акаунт в Control Hub.
Този локален потребител трябва да има привилегии на тази машина с Windows, за да се свърже с контролера на домейна и да чете потребителски обекти на Active Directory . Акаунтът за влизане в машината трябва да е компютърен администратор с права да инсталира софтуер на локалната машина. (Тази информация се отнася и за влизане във виртуална машина.)
Докато влизате в конектора, акаунтът за влизане трябва да бъде същият като пълния администраторски акаунт за Control Hub. По подразбиране конекторът използва локалния системен акаунт за достъп до Active Directory. Можете обаче да използвате услугите на Windows, за да конфигурирате друг акаунт за достъп до Active Directory. (Тази информация се отнася и за влизане във виртуална машина.)
Уверете се, че режимът за търсене на библиотека с динамични връзки (DLL) на Windows е активиран, като използвате тази процедура: Проверете SafeDllSearchMode в системния регистър на Windows .
Ако използвате AD LDS за множество домейни в една гора, препоръчваме да инсталирате Directory Connector и Active Directory Domain Service/ Active Directory Lightweight Directory Services (AD DS/AD LDS) на отделни машини.
Изисквания за множество домейни
Преди да следвате задачите в Поток на задачи за внедряване на конектора на Cisco директория , имайте предвид следните изисквания и препоръки, ако ще синхронизирате информация от Active Directory от множество домейни в облака:
За всеки домейн е необходим отделен екземпляр на Directory Connector.
Софтуерът Directory Connector трябва да работи на хост, който е в същия домейн, който ще синхронизира.
Препоръчваме ви да потвърдите или заявите своите домейни в Control Hub. (Виж Добавете, потвърдете и заявете домейни .)
Ако искате да синхронизирате повече от 50 домейна, трябва отвори билет за да преместите организацията си в голям списък с организации.
Ако желаете, можете да синхронизирате информацията за ресурсите на стаята заедно с потребителските акаунти. (Виж Синхронизирайте локалната информация за стаята с Webex Cloud .)
Групови препоръки на Active Directory за автоматично присвояване на лицензи
Групите на Active Directory се използват за събиране на потребителски акаунти, компютърни акаунти и други групи в управляеми единици. Работата с групи вместо с отделни потребители помага за опростяване на поддръжката и администрирането на мрежата.
Има два типа групи в Active Directory:
Групи за разпространение —Използва се за създаване на списъци за разпространение на имейли.
Групи за сигурност —Използва се за присвояване на разрешения на споделени ресурси.
Обмислете следните насоки, когато създавате групи в Active Directory:
Създайте глобална група за всяка роля, отдел или услуга (като продажби, маркетинг, мениджъри, счетоводители, лицензиране на Webex и т.н.).
Използвайте стандартни конвенции за именуване във вашата организация, за да улесните идентифицирането на важна информация за група. Имената на групите могат да включват подробности за групата, като ниво на достъп, тип ресурс, ниво на сигурност, обхват на групата, възможност за изпращане на поща и т.н. например име на групата „GSG_ Уebex_ Лicensing_ EMEAR“ се отнася до глобална група за сигурност за потребители на EMEAR за лицензиране на Webex .
Организирайте групи по лесен за разбиране начин, като например по географска или управленска йерархия. Използвайте описания на групите, за да опишете напълно целта на групата.
Преди да добавите потребители към новоосигурени групи, дефинирайте шаблона за група за автоматично лицензиране в Control Hub за тези групи. Виж Настройте своя шаблон за автоматично присвояване на лиценз за повече информация.
Информация за размерите
Directory Connector работи като мост между в помещението Active Directory и облака Webex . Като такъв, конекторът няма горна граница за това колко обекти на Active Directory могат да бъдат синхронизирани с облака. Всички ограничения за обектите на директория на помещения са обвързани с конкретната версия и спецификациите за средата на Active Directory , която се синхронизира с облака, а не със самия конектор.
Няколко фактора могат да повлияят на скоростта на синхронизацията:
Общият брой обекти на Active Directory . (Задача за синхронизиране на 5000 потребители няма да отнеме толкова време, колкото 50000.)
Мрежова скорост и честотна лента.
Работно натоварване и спецификации на системата.
 | Ако синхронизирате повече от 50 000 потребители, силно препоръчваме да използвате втори съединител за отказ и резервиране. |
| Тъй като няколко фактора участват в синхронизирането и тъй като всяко внедряване варира в зависимост от горните фактори, не можем да предоставим конкретни времеви стойности за това колко време ще отнеме синхронизирането на обект. |
Проверете SafeDllSearchMode в системния регистър на Windows
Режимът на търсене на безопасна библиотека с динамични връзки (DLL) е зададен по подразбиране в системния регистър на Windows и поставя текущата директория на потребителя по-късно в реда за търсене на DLL. Ако този режим беше по някакъв начин деактивиран, нападателят може да постави злонамерена DLL (наречена по същия начин като препоръчан DLL файл, който се намира в системната папка) в текущата работна директория на приложението.
Обикновено SafeDllSearchMode е активиран, но използвайте тази процедура, за да проверите отново настройките на системния регистър.
Преди да започнете
 | Промените в системния регистър на Windows трябва да се правят с изключително внимание. Препоръчваме ви да направите резервно копие на вашия регистър, преди да използвате тези стъпки. |
| 1 | В търсене на Windows или прозореца Изпълнение въведете regedit и след това натиснете Въведете . |
| 2 | Отидете на HKEY_ МЕСТЕН_ MACHINE\System\CurrentControlSet\Control\Session Manager . |
| 3 | Изберете един:
|
За повече информация вж Ред за търсене в библиотека с динамични връзки .
Интеграция на интернет прокси
Интеграция на интернет прокси
Ако удостоверяването на уеб прокси е активирано във вашата среда, все още можете да използвате Directory Connector.
Ако вашата организация използва прозрачен уеб прокси, той не поддържа удостоверяване. Конекторът успешно свързва и синхронизира потребителите.
Можете да използвате един от тези подходи:
Изрично уеб прокси чрез Internet Explorer (конекторът наследява настройките за уеб прокси)
Изрично уеб прокси чрез .pac файл (конекторът наследява специфични за предприятието прокси настройки)
Прозрачен прокси, който работи с конектора без никакви промени
Използвайте интернет прокси чрез браузъра
Можете да настройвам Directory Connector да използва уеб прокси чрез Internet Explorer.
Ако услугата Cisco DirSync работи от акаунт, различен от този, който е влязъл в момента, вие също трябва да влизам с този акаунт и да конфигурирате уеб прокси.
| 1 | От Internet Explorer отидете на Интернет опции , щракнете Връзки , и след това изберете LAN настройки . | ||
| 2 | Насочете екземпляра на Windows, където е инсталиран конекторът на вашия уеб прокси. Конекторът наследява тези настройки за уеб прокси. | ||
| 3 | Ако вашата среда използва прокси удостоверяване, добавете тези URL адреси към вашия разрешен списък:
Можете да извършите това или в целия сайт (за всички хостове), или само за хоста, който има конектора.
| ||
| 4 | Ако вашата среда трябва да поиска списъци за анулиране на сертификати от сертифициращите органи, добавете тези URL адреси към вашия разрешен списък:
За повече информация вижте тази статия за домейни и URL адреси, които трябва да бъдат достъпни за услугите на Webex . |
Конфигурирайте интернет прокси чрез PAC файл
Можете да конфигурирате клиентски браузър да използва .pac файл. Този файл предоставя уеб прокси адреса и информация за порта. Directory Connector директно наследява специфичната за предприятието уеб прокси конфигурация.
| 1 | За да може конекторът успешно да се свърже и синхронизира информация за потребителя с облака на Webex , уверете се, че удостоверяването на прокси сървъра е деактивирано за | ||
| 2 | Ако вашата среда използва прокси удостоверяване, добавете тези URL адреси към вашия разрешен списък:
Можете да извършите това или в целия сайт (за всички хостове), или само за хоста, който има конектора.
| ||
| 3 | Ако вашата среда трябва да поиска списъци за анулиране на сертификати от сертифициращите органи, добавете тези URL адреси към вашия разрешен списък:
За повече информация вижте тази статия за домейни и URL адреси, които трябва да бъдат достъпни за услугите на Webex . |
NTLM прокси
Directory Connector поддържа NT LAN мениджър (NTLM) . NTLM е един подход за поддръжка на удостоверяване на Windows между устройствата на домейна и гарантиране на тяхната сигурност.
NTLM дизайн
В повечето случаи потребителят иска да получи достъп до ресурси на друга работна станция през клиентски компютър, което може да е трудно да се направи по сигурен начин.
Като цяло техническият дизайн на NTLM се основава на механизъм на Предизвикателство
и Отговор
:
Потребител влиза в клиентски компютър чрез акаунт и парола в Windows. Паролата никога не се запазва локално. Вместо парола с обикновен текст, хеш стойността на паролата се съхранява локално. Когато потребител влезе чрез паролата към клиента, Windows OS сравнява съхранената хеш стойност и хешираната стойност от въведената парола. Ако и двете са еднакви, удостоверяването преминава.
Когато потребителят иска да получи достъп до който и да е ресурс в друг сървър, клиентът изпраща заявка до сървъра с име на профила в обикновен текст.
Когато сървърът получи заявката, сървърът генерира 16-битов произволен ключ. Ключът се нарича Challenge (или Nonce). Преди сървърът да изпрати обратно на клиента, предизвикателството се съхранява в сървъра. И тогава сървърът изпраща предизвикателството на клиента в обикновен текст.
Веднага след като клиентът получи предизвикателството, изпратено от сървъра, клиентът криптира предизвикателството чрез хеш стойността, спомената в стъпка 1. След криптиране стойността се изпраща обратно на сървъра.
Когато сървърът получи криптираната стойност от клиента, сървърът я изпраща до контролера на домейна за проверка. Искането включва: име на профила, криптираното предизвикателство, което клиентът е изпратил, и оригиналното обикновено предизвикателство.
Контролерът на домейн може да извлече хеш стойностите на паролата според име на профила. И тогава контролерът на домейн може да шифрова при първоначалното предизвикателство. След това контролерът на домейна може да сравни с получената хеш стойност и криптираната хеш стойност. Ако са еднакви, проверката е успешна.
| Windows има вградено удостоверяване за сигурност в операционна система, което улеснява приложенията да поддържат удостоверяване за сигурност. В резултат на това не е необходимо да извършвате допълнителна конфигурация. |
Конфигуриране на прозрачно прокси
В този сценарий браузърът не знае, че прозрачен уеб прокси прихваща http заявки (порт 80/порт 443) и не се изисква конфигурация от страна на клиента.
| 1 | Внедрете прозрачен прокси, така че конекторът да може да се свързва и синхронизира потребителите. |
| 2 | Потвърдете, че прокси сървърът е успешен - виждате очакван изскачащ прозорец за удостоверяване на браузъра, когато стартирате конектора. |
Задайте удостоверяване на прокси
Добавете URL cloudconnector.webex.com към вашия разрешен списък, като създадете списък за контрол на достъпа.
На сървъра с корпоративна защитна стена:
| 1 | Активирайте DNS търсене, ако все още не е активирано. |
| 2 | Определете приблизителна честотна лента за тази връзка (при приблизително 2 mb/s или по-малко за конектора). Това може да не се изисква. |
| 3 | Създайте списък за контрол на достъпа, който да приложите към хоста на конектора, и посочете Например: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
| 4 | Приложете този ACL към подходящия интерфейс на защитната стена, който е приложим само за този хост с един конектор. |
| 5 | Уверете се, че останалите хостове във вашето предприятие все още са длъжни да използват вашия уеб прокси, като конфигурирате подходящото имплицитно изявление за отказ. |
Поток на задачи за внедряване на конектора на Cisco директория
Преди да започнете
| 1 | Инсталиране на конектор за указател Control Hub първоначално показва синхронизирането на директории като деактивирано. За да включите синхронизирането на директории за вашата организация, трябва да инсталирате и конфигурирате Directory Connector и след това успешно да извършите пълна синхронизация. За нова инсталация на Directory Connector, винаги отивайте в Control Hub (https://admin.webex.com ), за да получите най-новата версия на софтуера, така че да използвате най-новите функции и корекции на грешки. След като инсталирате софтуера, надстройките се отчитат чрез софтуера и се инсталират автоматично, когато са налични. |
| 2 | Влезте в конектора за директория Влезте с вашите администраторски идентификационни данни на Webex и извършете първоначалната настройка. |
| 3 | Задайте автоматични надстройки Винаги е важно да поддържате софтуера на Directory Connector актуален до най-новата версия. Препоръчваме ви да използвате тази процедура, за да позволите автоматичните надстройки на софтуера да се инсталират безшумно, когато са налични. |
| 4 | Изберете обекти на Active Directory за синхронизиране По подразбиране Directory Connector синхронизира всички потребители, които не са компютри, и всички групи, които не са критични системни обекти за домейн. За повече контрол върху това кои обекти да се синхронизират, можете да изберете конкретни потребители за синхронизиране и да посочите LDAP филтри, като използвате страницата за избор на обект в конектора на директория. |
| 5 | Потребителски атрибути на картата Можете да картографирате атрибути от вашата локална Active Directory към съответните атрибути в облака. Единственото задължително поле е *uid. |
| 6 | Синхронизирайте аватарите на директорията, като използвате една от следните процедури:
Можете да синхронизирате аватарите на вашите потребители с облака, така че аватарът на всеки потребител да се показва, когато влизам в приложението. Можете да синхронизирате аватари от атрибут на Active Directory или сървър на ресурси. |
| 7 | Синхронизирайте локалната информация за стаята с Webex Cloud Използвайте тази процедура, за да синхронизирате в помещението информация за стаята от Active Directory в облака на Webex . След като синхронизирате информацията за стаята, в помещението устройства в стаята с конфигуриран, картографиран SIP адрес се показват като записи за търсене на регистрирани в облак устройства в стаята, като например Webex Room Device или Cisco Webex Board |
| 8 | До Предоставяне на потребителите от Active Directory в Control Hub , изпълнете тези стъпки:
Следвайте тази последователност, за да осигурите потребителите на Active Directory за акаунти на Webex App. Можете да осигурите обезпечавам потребители от множество гори или множество домейни внедряване на Active Directory за Directory Connector 3.0 и по-нова версия. По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробна версия. Целта е да има точно съвпадение между вашите Active Directories и облака Webex . |
Инсталиране на конектор за указател
Control Hub първоначално показва синхронизирането на директории като деактивирано. За да включите синхронизирането на директории за вашата организация, трябва да инсталирате и конфигурирате Directory Connector и след това успешно да извършите пълна синхронизация.
Трябва да инсталирате един конектор за всеки домейн на Active Directory , който искате да синхронизирате. Един екземпляр на конектор на директория може да обслужва само един домейн. Вижте следната диаграма, за да разберете потока за синхронизация на домейни:
Преди да започнете
Ако удостоверявате чрез прокси сървър, уверете се, че имате своите идентификационни данни за прокси:
За основно удостоверяване на прокси сървър, ще въведете потребителското име и паролата, след като инсталирате екземпляр на конектора. Прокси конфигурацията на Internet Explorer също е необходима за основно удостоверяване; виж Използвайте интернет прокси чрез браузъра
За прокси NTLM може да видите грешка, когато отворите конектора за първи път. Виж Използвайте интернет прокси чрез браузъра .
| 1 | В Контролен център , отидете на , и изберете Следваща . | ||
| 2 | Щракнете върху Изтеглете и инсталирайте връзка за запазване на най-новата версия на инсталационния .zip файл на конектора на вашия VMware или Windows сървър. Можете да получите .zip файла директно от тази връзка , но трябва да имате пълен административен достъп до организация на Control Hub, за да работи този софтуер.
| ||
| 3 | На сървъра на VMware или Windows разархивирайте и стартирайте .msi файла в папката за настройка, за да стартирате съветника за настройка. | ||
| 4 | Щракнете върху Следваща , поставете отметка в квадратчето, за да приемете лицензионно споразумение, и след това щракнете Следваща докато не видите екрана с типа акаунт. | ||
| 5 | Изберете типа акаунт на услуга , който искате да използвате, и извършете инсталацията с администраторски акаунт:
За да избегнете грешки, уверете се, че са налице следните привилегии:
| ||
| 6 | Щракнете върху Инсталирай. След като мрежовият тест стартира и ако бъдете подканени, въведете основните си идентификационни данни за прокси сървъра, щракнете ОК и след това щракнете Край . |
Какво да направите след това
Препоръчваме ви да рестартирате сървъра след инсталиране. Докладът за сухо изпълнение не може да покаже правилния резултат, когато данните не са били публикувани. При рестартиране на машината всички данни се обновяват, за да се покаже точен резултат в отчета.
Влезте в конектора за директория
Преди да започнете
Уверете се, че имате своите прокси идентификационни данни.
За proxy basic-auth ще въведете потребителското име и паролата, след като отворите конектора за първи път.
За прокси NTLM отворете Internet Explorer, щракнете върху иконата на зъбно колело, отидете на Интернет опции > Връзки > LAN настройки , уверете се, че информацията за прокси сървър е добавена и след това щракнете ОК . Виж Използвайте интернет прокси чрез браузъра .
| 1 | Отворете конектора и след това добавете | ||||
| 2 | Ако бъдете подканени, влизам с вашите идентификационни данни за прокси удостоверяване и след това влизам в Webex , като използвате вашия администраторски акаунт и щракнете Следваща . | ||||
| 3 | Потвърдете вашата организация и домейн.
| ||||
| 4 | След като Потвърдете организацията се появи екран, щракнете Потвърдете . Ако вече сте обвързали AD DS/AD LDS, Потвърдете организацията се появява екран. | ||||
| 5 | Щракнете върху Потвърдете . | ||||
| 6 | Изберете един, в зависимост от броя на домейните на Active Directory , които искате да свържете към Directory Connector:
|
Какво да направите след това
След като влизам, ще бъдете подканени да извършите синхронизация на сухо.
Табло за управление на конектора на директории
Когато за първи път влизам в Directory Connector, се появява таблото за управление. Тук можете да видите обобщение на всички дейности по синхронизиране, да прегледате статистически данни в облака, да извършите синхронизация на сухо, да стартирате пълна или постепенна синхронизация и да стартирате изгледа на събития, за да видите информация за грешка.
| Ако сесията ви изтече, влезте отново. |
Можете лесно да изпълнявате тези задачи от лентата с инструменти за действия или от менюто за действия.
компонент | Описание |
|---|---|
Текуща синхронизация |
Показва информацията за състоянието на синхронизацията, която се извършва в момента. Когато не се изпълнява синхронизация, дисплеят на състоянието е неактивен. |
Следваща синхронизация |
Показва следващата планирана пълна и постепенна синхронизация. Ако не е зададен график, Не е насрочено се показва. |
Последна синхронизация |
Показва състоянието на последните две извършени синхронизации. |
Текущо състояние на синхронизация |
Показва цялостното състояние на синхронизацията. |
Конектори |
Показва текущите в помещението конектори, които са достъпни за облака. |
Облачна статистика |
Показва цялостното състояние на синхронизацията. |
График за синхронизация |
Показва графика на синхронизация за постепенна и пълна синхронизация. |
Резюме на конфигурацията |
Изброява настройките, които сте променили в конфигурацията. Например резюмето може да включва следното:
|
| Действие | Описание | ||
|---|---|---|---|
| Стартирайте постепенно синхронизиране | Ръчно стартиране на постепенна синхронизация
|
||
Синхронизиране на сухо |
Извършете синхронизация на сухо. |
||
Стартирайте програмата за преглед на събития |
Стартирайте Microsoft Event Viewer. |
||
Обнови |
Обновете таблото за управление на конектора на Cisco директория |
Действие | Описание |
|---|---|
| Синхронизирайте сега | Започнете незабавно пълна синхронизация. |
Режим на синхронизация |
Изберете режим на постепенна или пълна синхронизация. |
Нулиране на тайната на конектора |
Установете разговор между конектора за директория на Cisco и услугата на конектора. Избирането на това действие ще нулира тайната в облака и след това ще запази тайната локално. |
Пробно изпълнение |
Извършете тест на процеса на синхронизация. Преди да извършите пълна синхронизация, трябва да направите суха работа. |
Отстраняване на неизправности |
Включете/изключете отстраняването на неизправности. |
Обнови |
Опреснете главен екран на конектора за директория на Cisco . |
Изход |
Излезте от конектора за директория на Cisco . |
Комбинация от клавиши | Действие |
|---|---|
Alt +A |
Покажете на Действия меню |
|
Синхронизация сега |
|
Нулиране на тайната на конектора |
|
Сухо бягане |
|
Постепенна синхронизация |
|
Пълна синхронизация |
|
Покажи Помощ меню |
|
Помощ |
|
Относно |
|
ЧЗВ |
Задайте автоматични надстройки
| 1 | От Directory Connector отидете на , и след това проверете Автоматично надграждане до новата версия на Cisco Directory Connector . |
| 2 | Щракнете върху Приложете за да запазите промените си. |
Новите версии на конектора се инсталират автоматично, когато са налични.
| Можете ръчно да управлявате надстройките, ако предпочитате. Виж Надстройте до най-новата версия на софтуера за повече информация. |
Изберете обекти на Active Directory за синхронизиране
По подразбиране Directory Connector синхронизира всички потребители, които не са компютри, и всички групи, които не са критични системни обекти за домейн. За повече контрол върху това кои обекти да се синхронизират, можете да изберете конкретни потребители за синхронизиране и да посочите LDAP филтри, като използвате страницата за избор на обект в конектора на директория.
Групи за автоматично присвояване на лицензи
Control Hub ви позволява да управлявате възлагането на лицензи за всяка група. Можете да създавате шаблони за лицензи и да ги съпоставяте с групи на Active Directory , които синхронизирате с облака. В момента на създаване на потребител, Webex проверява потребителското членство и съпоставянето на шаблона за автоматично лицензиране за този нов потребител.
Препоръчваме ви да използвате LDAP филтър, за да синхронизирате само съответните групи с облака. Например, можете да зададете филтъра на:
(&(cn=Example)(objectclass=Group))*
Този филтър синхронизира всички групи в основното отличаващо име , където името започва с Пример. На потребителите, които не са присвоени към групи, се присвояват лицензи от шаблона за автоматичен лиценз по подразбиране, който сте конфигурирали в Control Hub.
Групи за внедряване на хибридна защита на данни
В Directory Connector трябва да проверите Групи ако използвате Hybrid Data Security, за да конфигурирате пробна група за пилотни потребители. Вижте Ръководство за разгръщане на хибридна защита на данните за насоки. Тази настройка на конектора на директория не засяга синхронизирането на други потребители в облака.
Преди да започнете
Групови препоръки на Active Directory за автоматично присвояване на лицензи
| 1 | От Directory Connector отидете на Конфигурация и след това щракнете Избор на обект . | ||
| 2 | В Тип на обекта раздел, проверете Потребители и помислете за ограничаване на броя на контейнерите за търсене за потребители. Ако искате да синхронизирате само потребители в определена група, например, трябва да въведете LDAP филтър в Потребители Поле за LDAP филтри. Ако искате да синхронизирате потребители, които са в групата Примерен мениджър, използвайте филтър като този:
| ||
| 3 | Проверете Идентифицирайте стаята за отделяне на данните за стаята от потребителските данни. Щракнете върху Персонализирайте ако искате да настройвам допълнителни атрибути за идентифициране на потребителските данни като данни за стаята. Използвайте тази настройка, ако искате да синхронизирате в помещението за стаята от Active Directory в облака на Webex . След като синхронизирате информацията за стаята, в помещението устройства в стаята с конфигуриран, картографиран SIP адрес се показват като записи с възможност за търсене на регистрирани в облак устройства в стаята. За повече информация вж Синхронизирайте локалната информация за стаята с Webex Cloud . | ||
| 4 | Проверете Групи ако искате да синхронизирате вашите потребителски групи в Active Directory с облака. Не добавяйте LDAP филтър за синхронизиране на потребители към полето Групи. Трябва да използвате полето Групи само за синхронизиране на самите групови данни с облака.
| ||
| 5 | Проверете Контакти ако искате да синхронизирате координати за връзка на потребителите с облака.
| ||
| 6 | Конфигурирайте LDAP филтри. Можете да добавите разширени филтри, като предоставите валиден LDAP филтър. Виж тази статия за повече информация относно конфигурирането на LDAP филтри. | ||
| 7 | Посочете Базови DN на място за синхронизиране чрез щракване Изберете за да видите дървовидната структура на вашата Active Directory. От тук можете да изберете или премахнете избора в кои контейнери да търсите. | ||
| 8 | Проверете дали обектите, които искате да добавите за тази конфигурация, и щракнете Изберете . Можете да изберете отделни или родителски контейнери, които да използвате за синхронизиране. Изберете родителски контейнер, за да активирате всички дъщерни контейнери. Ако изберете дъщерен контейнер, родителският контейнер показва сива отметка, която показва, че дете е било отметнато. След това можете да щракнете Изберете за да приемете контейнерите на Active Directory , които сте проверили. Ако вашата организация постави всички потребители и групи в контейнера Потребители, не е нужно да търсите в други контейнери. Ако вашата организация е разделена на организационни единици, уверете се, че сте избрали OUs . | ||
| 9 | Щракнете върху Приложете . Изберете опция:
За информация относно сухите работи вж Направете синхронизация на сухо изпълнение на вашите потребители на Active Directory . За групова синхронизация трябва да извършите пълна синхронизация: Направете пълна синхронизация на потребителите на Active Directory в облака . |
Потребителски атрибути на картата
Можете да картографирате атрибути от вашата локална Active Directory към съответните атрибути в облака. Единственото задължително поле е *uid, уникален идентификатор за всеки потребителски акаунт в услугата за самоличност в облак.
Можете да изберете какъв атрибут на Active Directory да картографирате в облака – например можете да картографирате firstName lastName в Active Directory или персонализиран атрибутен израз към displayName в облака.
| Акаунтите в Active Directory трябва да имат имейл адрес; uid картографира по подразбиране на |
Ако изберете предпочитаният език да идва от вашата Active Directory, тогава Active Directory е единственият източник на истина: потребителите няма да могат да променят езиковата си настройка в Webex Settings, а администраторите няма да могат да променят настройката в Control Hub.
| 1 | От Directory Connector щракнете Конфигурация , и след това изберете Картографиране на потребителски атрибути . Тази страница показва имената на атрибутите за Active Directory (отляво) и облака Webex (отдясно). Всички необходими атрибути са маркирани с червена звездичка. | ||||
| 2 | Превъртете надолу до дъното на Имена на атрибути на Active Directory , и след това изберете един от тези атрибути на Active Directory , за да ги съпоставите с атрибута на облака uid :
Можете да съпоставите някой от другите атрибути на Active Directory към uid, но ви препоръчваме да използвате mail или userPrincipalName, както е описано в указанията по-горе. В някои случаи userPrincipalName се използва за влизане, но имейл адрес на потребителя се използва за управление на неговия календар. Трябва да осигурите имейл адрес за карти за управление на календара в полето за основен имейл адрес в Webex. Добавете userPrincipalName като алтернативен имейл адрес. За да видите какви атрибути в Active Directory съответстват в облака, вж Съпоставяне на атрибути на Active Directory в конектора на директория .
| ||||
| 3 | Ако предварително дефинираните атрибути на Active Directory не работят за вашето внедряване, щракнете върху падащото меню атрибут, превъртете до дъното и след това изберете Персонализиране на атрибут за да отворите прозорец, който ви позволява да дефинирате израз на атрибут.
В този пример нека съпоставим атрибутите на Active Directory
| ||||
| 4 | (По избор) Изберете съответствия за мобилен и телефонен номер ако искате мобилните и работните номера да се показват, например, в карта на контакта на потребителя в приложението Webex . Данните за телефонен номер се показват в приложението Webex , когато потребител задържи курсора на мишката върху снимката на потребителския профил на друг потребител. За повече информация относно обаждането от карта на контакта на потребителя вж Извикване в Webex (Unified CM) Ръководство за разгръщане (администратори). | ||||
| 5 | Изберете допълнителни картографии, за да се покажат повече данни в карта на контакта:
След като атрибутите са картографирани, информацията се появява, когато потребител задържи курсора на мишката върху снимката на потребителския профил на друг потребител:
За повече информация относно карта на контакта вж Проверете с кого се свързвате . След като тези атрибути се синхронизират с всеки потребителски акаунт, можете също да включите Сведения за хора в Control Hub. Тази функция позволява на потребителите на Webex App да споделят повече информация в своите профили и да научат повече един за друг. За повече информация относно функцията и как да я активирате, вж Профили на Сведения за хора за Webex, Jabber, Webex Meetings и Webex Events (ново) в Control Hub | ||||
| 6 | След като направите своя избор, щракнете Приложете . |
Всички потребителски данни, които се съдържат в Active Directory , презаписват данните в облака, които съответстват на този потребител. Например, ако сте създали потребител ръчно в Control Hub, имейл адрес на потребителя трябва да е идентичен с имейла в Active Directory. Всеки потребител без съответен имейл адрес в Active Directory се изтрива.
| Изтритите потребители се съхраняват в услугата за идентичност в облака в продължение на 7 дни, преди да бъдат изтрити за постоянно. |
Active Directory и облачни атрибути
Можете да картографирате атрибути от вашата локална Active Directory към съответните атрибути в облака, като използвате Картографиране на потребителски атрибути раздел.
Тази таблица сравнява съпоставянето между имената на атрибути на Active Directory и имената на атрибути на Cisco Cloud . Тези стойности и съпоставяния са настройка по подразбиране в Directory Connector. Можете да изберете различни атрибути в падащите менюта на Active Directory и да определите кой в помещението атрибут се синхронизира с кой атрибут на облак.
Мислете за падащите атрибути като предварително зададени. Като алтернатива на стойностите в реда Active Directory , можете също да посочите персонализиран атрибут, ваша собствена предварителна настройка, в Active Directory (израз с множество атрибути), за да се съпостави с един облачен атрибут в съответния ред. По този начин имате гъвкавостта да определяте показваните имена на вашите потребители – например можете да добавите израз, който създава персонализиран атрибут въз основа на титлата, даденото и фамилното име на служителя в Active Directory.
Можете също да посочите някой от атрибутите на Active Directory , който да се преобразува в uid в облака. Трябва обаче да се уверите, че в помещението атрибут следва валиден имейл формат.
| Можете също да използвате алтернативни имейл адреси, ако например искате да използвате userPrincipalName за влизане, но имейл адрес на потребителя се използва за управление на неговия календар. В този случай съпоставете друг имейл адрес с имейли;вид-работа атрибут. Това е имейлът, който се използва за удостоверяване; не се използва за управление на вашия календар. имейл адрес , който картографирате от AD, трябва да е от проверен домейн във вашата организация и трябва да е уникален и да не е присвоен на друг потребител. |
Имена на атрибути на Active Directory | Имена на облачни атрибути на Webex | Бележки |
|---|---|---|
— |
Име на сградата |
— |
в |
в |
Този атрибут определя съкращението на държавата на потребителя. |
номер на отдел |
номер на отдел |
Този атрибут се използва за номера на отдела на потребителя, който се появява в карта на контакта и прозрения за хората . |
displayName |
displayName |
Този атрибут се използва за показвано име на потребителски акаунт , което се появява в Control Hub, the карта на контакта , и прозрения за хората . |
userAccountControl |
ds-pwp-account-disabled |
Този атрибут се използва за потребителска синхронизация. Уверете се, че userAccountControl атрибутът е съпоставен с ds-pwp-account-disabled или потребителите няма да бъдат синхронизирани правилно. |
номер на служител |
номер на служител |
— |
факсимилеТелефонНомер |
факсимилеТелефонНомер |
— |
— |
jabberID |
Този облачен атрибут се отнася до IM адреси (тип XMPP ), които се използват от Jabber. Тази стойност не е същата като sipAddresses. |
л |
л |
Този атрибут определя града на потребителя. |
— |
локал |
— |
мениджър |
мениджър |
Този атрибут се използва за името на мениджъра на потребителя, което се появява в карта на контакта и прозрения за хората . |
мобилен |
мобилен |
Този атрибут се използва като мобилен номер , който се показва за обаждане на потребителя от карта на контакта . |
о |
о |
Този атрибут указва името на компанията или организацията и се появява в карта на контакта . |
оу |
оу |
Този атрибут определя името на организационната единица. |
физическаДоставкаИме на офис |
физическаДоставкаИме на офис |
Този атрибут определя местоположението на офиса на потребителя. |
пощенски Код |
пощенски Код |
Този атрибут определя пощенския или пощенския код на потребителя за физическа доставка на поща. |
предпочитан език |
предпочитан език |
Този атрибут задава предпочитания език на потребителя и се поддържат следните формати: xx_YY или xx-YY. Ето няколко примера: en_САЩ,en_ GB, fr-CA. Ако използвате неподдържан език или невалиден формат, предпочитаният от потребителите език ще се промени на езика, зададен за организацията. |
MSRTCSIP-основен потребителски адрес iPhone |
SipAddresses;тип=предприятие |
Този атрибут се използва за синхронизиране в помещението информация за стаята от Active Directory в облака на Cisco Webex . |
сн |
сн |
Този атрибут се използва за фамилното име на потребителски акаунт , което се появява в Control Hub, the карта на контакта , и прозрения за хората . |
ул |
ул |
Този атрибут определя държавата или провинцията на потребителя. |
улицаДрес |
улица |
Този атрибут определя уличния адрес на потребителя за физическа доставка на поща. |
телефонНомер |
телефонНомер |
Този атрибут определя основния (служебен) телефонен номер на потребителя, за който се използва обаждане на потребителя от карта на контакта . |
— |
часова зона |
Този облачен атрибут определя часова зона на потребителя. |
заглавие |
заглавие |
Този атрибут определя заглавието на потребителя, което се появява в карта на контакта и прозрения за хората . |
писане |
enterprise |
— |
*поща *userPrincipalName |
uid |
Задължително съпоставяне на атрибути. За всеки потребителски акаунт стойността на Active Directory се преобразува в уникален uid в облака. В някои случаи userPrincipalName се използва за влизане, но имейл адрес на потребителя се използва за управление на неговия календар. Трябва да осигурите имейл адрес за карти за управление на календара в полето за основен имейл адрес в Webex. Добавете userPrincipalName като алтернативен имейл адрес. След това потребителят може да използва някой от тези имейл адреси, за да влизам, стига да е правилният Съпоставяне на SAML атрибути е на място. Вижте примерно картографиране на атрибути по-долу за това как можете да картографирате алтернативен имейл адрес. |
*userPrincipalName *поща <custom attribute=""> |
имейли;вид-работа |
Това съпоставяне не е задължително, използвайте го, ако искате да използвате алтернативни имейл адреси. Това е имейлът, който се използва за удостоверяване; не се използва за управление на вашия календар. имейл адрес , който картографирате от AD, трябва да е от проверен домейн във вашата организация и трябва да е уникален и да не е присвоен на друг потребител. |
<New attribute="" for="" Azure="" user="" objectId=""> |
външенId |
Създайте нов атрибут на Active Directory , за да задържите потребителския objectId на Azure, така че да не се сблъсква със съществуващ такъв. След това този атрибут се съпоставя с атрибута externalId, като се гарантира, че когато потребителите на Webex създават групи в Microsoft 365, те автоматично създават екипи в Webex . |
Алтернативно картографиране на имейл адрес
Изрази за персонализирани атрибути
Оператор | Описание и пример |
|---|---|
% | Премахва всички знаци от началото на низа до позицията на знака или низовия аргумент, ако съвпадат.
|
– | Отстранява задната част на входния низ от края на посочения низ.
|
+ | Конкатенира входни низове или изрази.
|
| | Оценява разделените изрази спрямо празния низ и избира първия непразен резултат.
|
Синхронизирайте аватарите на директория от атрибут на Active Directory към облака
Можете да синхронизирате аватарите на директорията на вашите потребители с облака, така че всеки аватар да се показва, когато влизам в приложението Webex . Използвайте тази процедура, за да синхронизирате необработени данни за аватар от атрибут на Active Directory .
| 1 | От Directory Connector отидете на Конфигурация , щракнете Аватар , и след това проверете Активирайте . |
| 2 | За Вземете аватар от , изберете AD атрибут и след това изберете Атрибут на аватар който съдържа необработените данни за аватар, които искате да синхронизирате с облака. |
| 3 | За да проверите дали аватарът е достъпен правилно, въведете имейл адрес на потребителя и след това щракнете Вземете аватара на потребителя . Аватарът се появява вдясно. |
| 4 | След като се уверите, че аватарът се е появил правилно, щракнете Приложете за да запазите промените си. |
Изображенията, които са синхронизирани, стават аватар по подразбиране за потребителите в приложението Webex . Потребителите нямат право да задават свой собствен аватар, след като тази функция е активирана от Directory Connector.
Потребителските аватари се синхронизират както с приложението Webex , така и с всички съвпадащи акаунти на сайт на Webex.
Какво да направите след това
Направете синхронизация на сухо; ако няма проблеми, направете пълна синхронизация, за да накарате вашите потребителски акаунти и аватари в Active Directory да се синхронизират в облака и да се появят в Control Hub.
Синхронизирайте аватарите на директории от ресурсен сървър към облака
Можете да синхронизирате аватарите на директорията на вашите потребители с облака, така че всеки аватар да се показва, когато влизам в приложението Webex . Използвайте тази процедура, за да синхронизирате аватари от ресурсен сървър.
Преди да започнете
Моделът на URI и стойността на променливата в тази процедура са примерни. Трябва да използвате действителни URL адреси, където се намират аватарите на вашата директория.
Моделът на URI на аватара и сървърът, където се намират аватарите, трябва да бъдат достъпни от приложението Directory Connector. Конекторът се нуждае от http или https достъп до изображенията, но не е необходимо изображенията да са публично достъпни в интернет.
Синхронизирането на данните на аватара е отделено от потребителските профили на Active Directory . Ако стартирате прокси, трябва да гарантирате, че данните на аватара могат да бъдат достъпни чрез NTLM удостоверяване или основно удостоверяване.
| 1 | От Directory Connector отидете на Конфигурация , щракнете Аватар , и след това проверете Активирайте . |
| 2 | За Вземете аватар от , изберете Сървър за ресурси и след това въведете Модел на URI на аватар —Например, Нека разгледаме всяка част от URI модела на аватара и какво означават те:
|
| 3 | (По избор) Ако вашият ресурсен сървър изисква идентификационни данни, проверете Задайте потребителски идентификационни данни за аватар , след което или изберете Използвайте текущия потребител за влизане в услугата или Използвайте този потребител и въведете паролата. |
| 4 | Въведете Стойност на променливата —Например: |
| 5 | Щракнете върху Тествайте за да се уверите, че URI моделът на аватара работи правилно. В този пример, ако стойността на пощата за един запис на AD е |
| 6 | След като информацията за URI е проверена и изглежда правилна, щракнете Приложете . За подробна информация относно използването на регулярни изрази вж Бърза справка за езика за регулярни изрази на Microsoft . |
Изображенията, които са синхронизирани, стават аватар по подразбиране за потребителите в приложението Webex . Потребителите нямат право да задават свой собствен аватар, след като тази функция е активирана от Directory Connector.
Потребителските аватари се синхронизират както с приложението Webex , така и с всички съвпадащи акаунти на сайт на Webex.
Какво да направите след това
Направете синхронизация на сухо; ако няма проблеми, направете пълна синхронизация, за да накарате вашите потребителски акаунти и аватари в Active Directory да се синхронизират в облака и да се появят в Control Hub.
Синхронизирайте локалната информация за стаята с Webex Cloud
Използвайте тази процедура, за да синхронизирате в помещението информация за стаята от Active Directory в облака на Webex . След като синхронизирате информацията за стаята, в помещението устройства в стаята с конфигуриран, картографиран SIP адрес се показват като записи за търсене на регистрирани в облак устройства Webex (стая, бюро и дъска).
| 1 | От Directory Connector отидете на Синхронизирайте , щракнете върху още | ||
| 2 | Проверете Синхронизирайте информацията за стаята с облака за да отделите данните за стаята от потребителските данни по време на синхронизация. Когато тази настройка е деактивирана, данните за стаята се третират по същия начин като синхронизираните от потребителя данни. | ||
| 3 | Отидете на Картографиране на атрибути и след това променете съпоставянето на атрибута за атрибута на облака sipAddresses;тип=предприятие .
| ||
| 4 | Създайте пощенска кутия за ресурси за стая в Exchange. Това добавя msExchResourceMetaData;ResourceType:Room атрибут, който конекторът след това използва за идентифициране на стаи.
| ||
| 5 | От потребителите и компютрите на Active Directory отидете и редактирайте свойствата на стаята. Добавете напълно квалифицирания URI адрес на SIP с префикс sip:
| ||
| 6 | Направете синхронизация на сухо и след това пълна синхронизация в конектора. Новите обекти в стаята са изброени Добавени обекти и се появяват съвпадащи предмети в стаята Съвпадащи обекти в доклада за сухия пробег. Всички обекти в стаята, маркирани за изтриване, са под Стаите са изтрити .
Резултатите от работа на сухо показват всички ресурси на стаята, които са били съпоставени.
Тази настройка разделя данните за стаята на Active Directory (включително атрибута на стаята) от потребителските данни. След като синхронизацията приключи, статистическите данни за облака на таблото за управление на конектора показват данни за стаята, които са били синхронизирани с облака.
|
Какво да направите след това
След като изпълнихте тези стъпки, когато търсите на регистрирано в облак устройство Webex , ще видите синхронизираните записи на стаята, които са конфигурирани със SIP адреси. Когато извършите повикване от устройството Webex на този запис, се извършва повикване до SIP адреса, който е бил конфигуриран за стаята.
От Control Hub можете автоматично импортирайте стаи от вашата директория и създаване на работни пространства.
| Крайната точка не може да обратно повикване към приложението Webex . За устройства за тестово набиране тези устройства трябва да бъдат регистрирани като URI адрес на SIP в помещението или някъде, различно от приложението Webex . Ако системата за система от стаи на Active Directory , която търсите, е регистрирана в Webex и същият имейл адрес е на Webex Room Device, Desk устройство или Webex Board за услугата Календар, тогава резултатите от търсенето няма да покажат дублирания запис. Устройството Room, Desk или Board се набира директно в приложението Webex и не се осъществява SIP повикване . |
Изпращайте Имейл отчети за резултатите от синхронизирането на директории
По подразбиране контактите или администраторите на организацията винаги получават известия по имейл. С тази настройка можете да персонализирате кой да получава известия по имейл, които обобщават отчетите за синхронизиране на директории.
| 1 | От Directory Connector щракнете Конфигурация , и след това изберете Уведомление . |
| 2 | От Directory Connector щракнете Настройки , и до Получател на Имейл , включете Активирайте синхронизирането на отчета . |
| 3 | Проверете Активиране на известяване ако искате да замените поведението на уведомяване по подразбиране и да добавите един или повече получатели на имейл. |
| 4 | Щракнете върху Добавете и след това въведете имейл адрес. Ако въведете имейл адрес с невалиден формат, се появява съобщение, което ви казва да коригирате проблема, преди да можете да запазите и приложите промените. |
| 5 | Щракнете върху Добавете Имейл и след това въведете имейл адрес. Ако въведете имейл адрес с невалиден формат, се появява съобщение, което ви казва да коригирате проблема, преди да можете да запазите и приложите промените. |
| 6 | Ако трябва да редактирате въведените от вас имейл адреси, щраквам двукратно записа за имейл в лявата колона и след това направете всички необходими промени. |
| 7 | След като добавите всички валидни имейл адреси, щракнете Приложете . |
| 8 | След като добавите всички валидни имейл адреси, щракнете Запазете . |
Какво да направите след това
Ако сте решили, че искате да премахнете имейл адреси, можете да щракнете върху имейл, за да маркирате този запис, и след това да щракнете Премахнете .
Ако решите, че искате да премахнете имейл адреси, можете да щракнете Премахнете до конкретни записи на имейл адрес .
Предоставяне на потребителите от Active Directory в Control Hub
Следвайте тези стъпки, за да осигурите потребителите на Active Directory и да създадете съответните потребителски акаунти в Control Hub. Можете да обезпечавам потребители от внедряване на Active Directory с множество домейни (с една или няколко гори), след като инсталирате конектор на директория за всеки домейн. По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробна версия. Целта е да има точно съвпадение между вашите Active Directories и облака Webex .
| 1 | Направете синхронизация на сухо изпълнение на вашите потребители на Active Directory Извършете сухо изпълнение, за да сравните обекти в в помещението Active Directory и обекти в облака Webex . Сухото изпълнение ви позволява да видите какви обекти ще бъдат добавени, променени или изтрити, преди да стартирате пълна или постепенна синхронизация и да зададете промените в облака. |
| 2 | Направете пълна синхронизация на потребителите на Active Directory в облака Когато стартирате пълна синхронизация, услугата на конектора изпраща всички филтрирани обекти от вашата Active Directory (AD) към облака. След това услугата за конектор актуализира магазина за самоличност с вашите AD записи. Ако сте създали шаблон за лиценз за автоматично присвояване, можете да го присвоите на новосинхронизираните потребители. |
| 3 | Присвояване на услуги на Webex на потребители, синхронизирани с директория в Control Hub След като завършите пълната потребителска синхронизация от Directory Connector в Control Hub, можете да присвоите лицензи за услуги на Webex , като използвате различни методи. Препоръчваме ви да настройвам шаблон за автоматично присвояване на лиценз преди да го използвате на нови потребители на Webex App, които сте синхронизирали от Active Directory. Можете също да правите индивидуални промени след тази първоначална стъпка. |
Направете синхронизация на сухо изпълнение на вашите потребители на Active Directory
Извършете сухо изпълнение, за да сравните обекти в в помещението Active Directory и обекти в облака Webex . Сухото изпълнение ви позволява да видите какви обекти ще бъдат добавени, променени или изтрити, преди да стартирате пълна или постепенна синхронизация и да зададете промените в облака.
По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробна версия. С Directory Connector целта е да има точно съвпадение между вашите Active Directories и облака Webex .
Ако имате множество домейни в една гора или няколко гори, трябва да направите тази стъпка на всеки от екземплярите на конектора на Cisco директория, които сте инсталирали за всеки домейн на Active Directory .
Преди да започнете
Може вече да имате потребители на Webex App в Control Hub, преди да използвате Directory Connector. Сред потребителите в облака някои може да съответстват в помещението на Active Directory и да им бъдат присвоени лицензи за услуги. Но някои може да са тестови потребители, които искате да изтриете, докато извършвате синхронизация. Трябва да създадете точно съвпадение между вашата Active Directory и Control Hub.
| 1 | Изберете един:
Когато сухият цикъл приключи, ще видите един от следните резултати:
Резюмето съдържа информация за съвпадение на обекти:
Сухият тест идентифицира потребителите, като ги сравнява с потребителите на домейна. Приложението може да идентифицира потребителите, ако принадлежат към текущия домейн. В следващата стъпка трябва да решите дали да изтриете обектите или да ги запазите. Несъответстващите обекти се идентифицират като вече съществуващи в облака на Webex , но не съществуват в в помещението Active Directory. | ||
| 2 | Прегледайте резултатите от сухото изпълнение и след това изберете опция в зависимост от това дали използвате един домейн или няколко домейна:
| ||
| 3 | В Потвърдете работа на сухо подкана, щракнете да за да повторите синхронизацията на суха работа и да видите таблото за управление, за да видите резултатите. Всички акаунти, които са били успешно синхронизирани в сухото изпълнение, се показват под Съвпадащи обекти . Ако потребител в облака няма съответен потребител със същия имейл в Active Directory, записът е посочен под Потребителите са изтрити . За да избегнете този флаг за изтриване, можете да добавите потребител в Active Directory със същия имейл адрес. За да видите подробностите за елементите, които са били синхронизирани, щракнете върху съответния раздел за конкретни елементи или Съвпадащи обекти . За да запазите обобщената информация, щракнете Запазване на резултатите във файл . | ||
| 4 | Ако резултатите се очакват, отидете на и след това щракнете Активирайте сега за да направите ръчна синхронизация и да поставите в ръчен режим в този момент.
|
Какво да направите след това
За всички несъответстващи потребителски обекти, които сте запазили, трябва да ги добавите към Active Directory , така че да има точно съответствие между в помещението и облака.
Изберете тип синхронизация:
Направете пълна синхронизация на потребителите на Active Directory в облака когато за първи път синхронизирате нови потребители с облака. Вие го правите от , а след това потребителите от текущия домейн се синхронизират.
Задайте графика на конекторите и Изпълнете постепенна синхронизация след като изпълните пълна синхронизация и ако искате да вземете промени след първоначалната синхронизация. Този тип синхронизация се препоръчва, за да се вземат предвид малки промени, направени в потребителския източник на Active Directory .
По подразбиране е настроено постепенна синхронизация да се извършва на всеки 30 минути (при версии 3.4 и по-стари) или на всеки 4 часа (при версии 3.5 и по-нови), но можете да промените тази стойност. Постепенната синхронизация не се извършва, докато първоначално не извършите пълна синхронизация.
Ако имате няколко домейна, повторете тези стъпки на всеки друг конектор на директория, който сте инсталирали.
Неща, които трябва да имате предвид
Извършете суха работа, преди да активирате пълната синхронизация или когато промените параметрите на синхронизацията. Ако сухият цикъл е иницииран от промяна на конфигурацията, можете да запазите настройките, след като сухият цикъл приключи. Ако вече сте добавили потребители ръчно, извършването на синхронизация с Active Directory може да доведе до премахване на добавените по-рано потребители. Можете да проверите отчетите за сухо изпълнение на конектора на директория, за да се уверите, че всички очаквани потребители присъстват, преди да извършите пълно синхронизиране с облака.
Ако съвпадащите потребители са маркирани за изтриване и не сте сигурни как да продължите, вижте информацията за отстраняване на неизправности и как да се свържете с поддръжката в Отстраняване на неизправности и корекции за конектора на директория .
Изтритите потребители се съхраняват в услугата за идентичност в облака в продължение на 7 дни, преди да бъдат изтрити за постоянно.
Направете пълна синхронизация на потребителите на Active Directory в облака
Когато стартирате пълна синхронизация, услугата на конектора изпраща всички филтрирани обекти от вашата Active Directory (AD) към облака. След това услугата за конектор актуализира магазина за самоличност с вашите AD записи. Ако сте създали шаблон за лиценз за автоматично присвояване, можете да го присвоите на новосинхронизираните потребители.
Ако имате няколко домейна, трябва да направите тази стъпка на всеки от екземплярите на конектора на директория, които сте инсталирали за всеки домейн на Active Directory .
Directory Connector синхронизира състоянието на потребителски акаунт – в Active Directory всички потребители, които са маркирани като деактивирани, също се показват като неактивни в облака.
Преди да започнете
Ако искате потребителските акаунти на приложението Webex да бъдат в състояние Активно след пълната синхронизация и преди потребителите да влизам за първи път, трябва да направите следните стъпки, за да заобиколите валидирането на имейл:
Интегрирайте единичен вход с вашата организация Webex . Виж
Единичен вход с услугите на Cisco Webex и доставчика на идентичност на вашата организация
за повече информация.Използвайте Control Hub, за да потвърдите и по желание да заявите домейни, съдържащи се в имейл адресите. Виж
Добавете, потвърдете и заявете домейни
.Потискане на автоматичните покани по имейл , така че новите потребители да не получават автоматичната покана по имейл за приложението Webex . (Можете да направите своя собствена имейл кампания.)
Активираните потребители, които не са влезли, се показват с a Потвърдено състояние в Control Hub. След като влизат, те се появяват като Активни. За повече информация относно потребителските статуси вж Потребителски статуси и действия в Cisco Webex Control Hub .
Когато активирате синхронизирането, Directory Connector ви моли първо да извършите сухо изпълнение. Препоръчваме ви да направите суха работа преди пълна синхронизация, за да откриете евентуални грешки.
Вие трябва настройвам шаблон за автоматично присвояване на лиценз преди да го използвате на нови потребители на Webex App, които сте синхронизирали от Active Directory.
Ако не използвате шаблони за автоматично присвояване на лицензи, новосинхронизираните потребители автоматично получават безплатни лицензи. Те ще могат да използват същите безплатни функции като тези с безплатни акаунти.
| 1 | Изберете един:
| ||
| 2 | От Directory Connector отидете на Синхронизирайте , щракнете върху още | ||
| 3 | Потвърдете началото на синхронизацията. За всички промени, които правите на потребителите в Active Directory (например показвано име), Control Hub отразява промяната веднага, когато опресните потребителския изглед, но приложението Webex отразява промените до 72 часа след извършване на синхронизацията.
| ||
| 4 | Щракнете върху Обнови ако искате да актуализирате състоянието на синхронизацията. (Синхронизираните елементи се появяват под Облачна статистика .) | ||
| 5 | За информация относно грешки изберете Стартирайте програмата за преглед на събития от Действия лента с инструменти, за да видите регистрационните файлове за грешки. | ||
| 6 | За да зададете график за синхронизиране за текущи постепенни синхронизации с облака, вж Задайте графика на конекторите и Изпълнете постепенна синхронизация . |
След завършване на пълната синхронизация състоянието за синхронизиране на директория се актуализира от Забранено до Оперативен на Настройки страница в Control Hub.
Когато всички данни се съпоставят между в помещението и облак, Directory Connector преминава от ръчен режим в режим на автоматична синхронизация.
Освен ако ти интегриране на еднократен вход , потвърдете домейни и по избор заявете домейни за имейл акаунти, които сте синхронизирали , и потискат автоматизираните имейли , потребителските акаунти на Webex App остават в състояние Непотвърдено, докато потребителите не влизам в Webex App за първи път, за да потвърдят своите акаунти. Вижте раздела Преди да започнете за насоки как да синхронизирате акаунтите като Активни потребители.
Ако имате няколко домейна, направете тази стъпка на всеки друг конектор на директория, който сте инсталирали. След синхронизирането потребителите във всички домейни, които сте добавили, са изброени в Control Hub.
Ако сте интегрирали единичен вход с Webex и потиснати имейл известия , поканите по имейл не се изпращат до новосинхронизираните потребители.
Не можете ръчно да добавяте потребители в Control Hub, след като конекторът за директории е активиран. Веднъж активирано, управлението на потребителите се извършва от конектора за директория на Cisco и Active Directory е единственият източник на истина.
Всички групи, които сте синхронизирали, се появяват в Control Hub и можете да зададете шаблон за лиценз, така че на потребителите в тази група да бъдат присвоени лицензи.
Какво да направите след това
Когато премахнете потребител от Active Directory, потребителят се изтрива меко след следващото синхронизиране. Потребителят става
Inactiveно профилът за самоличност в облака се съхранява в продължение на седем дни (за да се даде възможност за възстановяване от случайно изтриване).Когато проверите Акаунтът е деактивиран в Active Directory потребителят става
Inactiveслед следващото синхронизиране. Профилът за самоличност в облака не се изтрива след седем дни, в случай че искате да активирате отново потребителя.Обърнете внимание на тези изключения за постепенна синхронизация (вместо това следвайте стъпките за пълна синхронизация по-горе):
В случай на актуализиран аватар, но без промяна на друг атрибут, постепенното синхронизиране няма да актуализира аватара на потребителя в облака.
Промените в конфигурацията на картографирането на атрибути, базовото отличаващо име, филтъра и настройките на аватара изискват пълна синхронизация.
Присвояване на услуги на Webex на потребители, синхронизирани с директория в Control Hub
След като завършите пълната потребителска синхронизация от конектора на директория Cisco в Control Hub, можете да използвате Control Hub, за да присвоите едни и същи лицензи за услуги на Webex на всичките си потребители наведнъж или да добавите допълнителни лицензи към нови потребители, ако вече сте конфигурирали автоматично присвоен шаблон за лиценз. Можете да направите промени в индивидуалния потребителски акаунт след тази първоначална стъпка.
След като завършите пълната потребителска синхронизация от Directory Connector в Control Hub, можете да използвате методи в Control Hub, за да присвоите глобално лицензи за услуги на Webex на всички ваши потребители, отделни потребители чрез груповия CSV шаблон или автоматично на нови потребители, ако вече е конфигуриран шаблон за автоматично присвояване на лиценз. Можете да направите промени в индивидуалния потребителски акаунт след тази първоначална стъпка.
Когато присвоите лиценз на потребител на Webex App, този потребител получава имейл, потвърждаващ възлагането, по подразбиране. Имейлът се изпраща от услуга за уведомяване в Control Hub. Ако сте интегрирали единен вход (SSO) с вашата организация Webex , можете също потискат тези автоматични имейл известия ако предпочитате да се свържете директно с вашите потребители.
Преди да започнете
Вие трябва настройвам шаблон за автоматично присвояване на лиценз преди да го използвате на нови потребители на Webex App, които сте синхронизирали от Active Directory.
Направете синхронизация на сухо на вашите потребители на Active Directory .
След като потвърдите резултатите от сухото изпълнение, направете пълна синхронизация на потребителите на Active Directory .
| В момента на пълна синхронизация потребителят се създава в облака, не се добавят назначения на услуги и не се изпраща имейл за активиране. Ако имейлите не са потиснати, новите потребители получават имейл за активиране, когато присвоите услуги на потребители чрез стандартен метод за управление на потребителите в Control Hub, като импортиране на CSV , ръчна потребителска актуализация или чрез успешно завършване на автоматично присвояване. |
| 1 | От изглед на клиента вhttps://admin.webex.com , отидете на , щракнете Управление на потребителите , изберете Променете всички синхронизирани потребители и след това щракнете Следваща . |
| 2 | Изберете опция:
|
Какво да направите след това
Ако имейлите не са потиснати, на всеки потребител се изпраща имейл с покана за присъединяване и изтегляне на Webex.
Ако сте избрали едни и същи услуги на Webex за всичките си потребители, след това можете да промените лиценза, предоставен индивидуално или групово.
Известни проблеми с конектора на директория
Версиите на Windows Server преди 2012 R2 имат проблем с бисквитките, който засяга конектора на директория. Този проблем е коригиран във версиите 2012 R2 и 2016 г .
За всички промени, които правите на потребителите в Active Directory (например показвано име), Control Hub отразява промяната веднага, когато опресните потребителския изглед, но приложението Webex отразява промените 72 часа от момента, когато извършите синхронизирането.
Можете да опитате да изчистите локалния кеш за приложението Webex , като следвате тези указания: Windows или Mac .
Когато потребител използва приложението Webex на настолен компютър или мобилно устройство, за да търси и се обажда в стая, която има само синхронизиран URI адрес на SIP, тогава обаждането звъни за неопределено време в този момент.
Изпълнете постепенна синхронизация
Постепенна синхронизация прави запитвания към вашата Active Directory и търси промени, настъпили след последното синхронизиране. След това тази стъпка обединява тези промени и ги изпраща до услугата на конектора. Промените включват промяна на приписването на потребителите и когато потребител се добавя или изтрива.
Тази синхронизация не натоварва толкова много сървърите и не отнема толкова време, колкото пълната синхронизация. След като направите първоначалната си пълна синхронизация, препоръчваме инкременталната опция за последващи синхронизации.
Преди да започнете
Вие трябва настройвам шаблон за автоматично присвояване на лиценз преди да го използвате на нови потребители на Webex App, които сте синхронизирали от Active Directory.
Обърнете внимание на тези изключения, които постепенната синхронизация не поддържа (следвайте Направете пълна синхронизация на потребителите на Active Directory в облака вместо това):
В случай на актуализиран аватар, но без промяна на друг атрибут, постепенното синхронизиране няма да актуализира аватара на потребителя в облака.
За нови промени в конфигурацията на картографирането на атрибути, базовото отличаващо име, филтъра и настройката на аватара, постепенната синхронизация няма да работи и те изискват пълна синхронизация.
| 1 | От Directory Connector щракнете Табло за управление .
| ||
| 2 | От Действия , щракнете Режим на синхронизация > Активиране на синхронизация ако вече не е активиран. По подразбиране е настроено постепенна синхронизация да се извършва на всеки 30 минути (при версии 3.4 и по-стари) или на всеки 4 часа (при версии 3.5 и по-нови), но можете да промените тази стойност. Постепенната синхронизация не се извършва, докато първоначално не извършите пълна синхронизация. Когато изтече нов интервал от време, програмата проверява промените въз основа на последното времеви печат. | ||
| 3 | От Действия , щракнете Синхронизиране сега > Инкрементално . За всички промени, които правите на потребителите в Active Directory (например показвано име), Control Hub отразява промяната веднага, когато опресните потребителския изглед, но приложението Webex отразява промените 72 часа от момента, когато извършите синхронизирането.
| ||
| 4 | За информация относно грешки щракнете Стартирайте програмата за преглед на събития от Действия лента с инструменти, за да видите регистрационните файлове за грешки. |
Какво да направите след това
Ако имате няколко домейна, направете тази стъпка на други екземпляри на Directory Connector, които сте инсталирали.
Възстановяване на случайно изтрити потребители
Directory Connector има проверки и баланси за предотвратяване на неволно изтриване на потребители. За съжаление се случват инциденти; може да сте конфигурирали неправилно LDAP филтър в Active Directory, който е изтрил някои потребители при синхронизиране с облака. Функцията за меко изтриване може да ви помогне да се възстановите от тези инциденти и да възстановите потребителските акаунти в Control Hub.
По подразбиране тази функция е активирана за всички организации. Когато потребителите бъдат изтрити в облака, например, поради проблем с несъответстващ обект след синхронизация от Directory Connector, потребителите могат да бъдат възстановени. Ако сте видели известие за несъответстващи обекти или сте забелязали, че потребителите са били изтрити, може да успеете да ги възстановите, ако действате бързо.
| Потребителите са маркирани като неактивни в Control Hub, когато съответните акаунти са изтрити в Active Directory. Фоновата облачна услуга задържа потребителите до 7 дни. През този период все още можете да използвате Cisco Directory Connector за възстановяване на потребители. Препоръчваме ви да възстановите тези потребители възможно най-скоро. Потребителите, които са деактивирани в Active Directory , също са маркирани като неактивни в Control Hub, но потребителски акаунт не се изтрива след 7 дни. |
| 1 | Влезте в Контролен център . |
| 2 | Отидете на Потребители и потвърдете дали конкретен потребителски акаунт е в неактивно състояние или не е в списъка. За повече информация вж Потребителски статуси и действия в Control Hub . |
| 3 | Ако потребителите са били изтрити в Control Hub или забележите потребители в неактивно състояние, отидете на Active Directory, добавете липсващите потребителски акаунти и след това направете синхронизация на сухо в Directory Connector. Целта с Directory Connector е да създаде точно съвпадение между информация за потребителя в Active Directory и в облака. |
| 4 | Направете пълна синхронизация, за да синхронизирате повторно временно изтритите потребителски акаунти с Control Hub. Потребителите се възстановяват и преминават към първоначалното състояние, включително състоянието на акаунта им и назначенията на услуги. |
Какво да направите след това
Върнете се в Control Hub, отидете на и потвърдете, че по-рано изтритите потребителски акаунти се появяват в списък на потребителите.
Изтриване на потребители за постоянно след меко изтриване
След като извършите сухо изпълнение, можете да изберете да изтриете за постоянно потребители, които са били изтрити меко при следващото синхронизиране.
| 1 | След завършване на сух цикъл, изберете Меко изтрити обекти . |
| 2 | Поставете отметка в квадратчето до потребителите, които искате да изтриете. |
| 3 | Изберете Готово. |
Какво да направите след това
При следващото синхронизиране потребителите, които сте проверили, ще бъдат изтрити за постоянно.
Промяна на Имейл адрес на приложението Webex
Ако искате да промените имейл адресите на потребителите и вашата организация използва конектора на директория, вие променяте тези имейл адреси в Active Directory. Тази процедура обхваща как да промените имейл адрес на Webex App за един домейн и процес за промяна на домейна.
| Ако искате да промените само имейл или някаква стойност за един потребител, не изтривайте потребителя от Active Directory и след това създавайте отново нов със същия имейл. Облакът интерпретира това действие като нов потребителски акаунт и потребителските пространства и други данни в облака ще бъдат загубени. |
За да промените имейл адресите на потребителя, без да променяте домейна:
Продължете синхронизирането на конектора за директории.
След следващото синхронизиране промените се появяват във вашия списък на потребителите в Control Hub и за потребители в приложението Webex след опресняване на кеша.
При този метод няма загуба на данни или интервали. Уникалният идентификатор на потребителя се задава в облака след първото синхронизиране. Всички последващи синхронизации се базират на този идентификатор.
При внедряване на множество домейни с Directory Connector, за да промените имейл адресите на потребителите, докато променяте домейна (помислете за example1.com за стария домейн и example2.com за новия домейн):
В конектора на директория възобновете синхронизирането за example2.com
Преди да продължите, проверете дали акаунтът user1@example2.com се синхронизира в Control Hub. Препоръчваме ви да инструктирате потребителя да потвърди промяната на имейла в приложението Webex и че всички данни (пространства, съобщения, срещи, файлове и т.н.) се запазват.
При използване на този метод няма загуба на данни или интервали, но в новия потребителски акаунт трябва да гарантирате, че атрибутът на Active Directory , който се съпоставя с атрибута uid на облака, е запазен от стария потребителски акаунт. Ако промените стойността на Active Directory , новият акаунт не запазва данните от стария акаунт.
След като потвърдите промяната на имейл адрес и данните са непокътнати, изтрийте стария потребителски акаунт в example1.com и след това използвайте Directory Connector, за да възобновите синхронизирането за example1.com.
В този момент можете безопасно да актуализирате имейл адрес в новия домейн на Active Directory за user1@example2.com.
Directory Connector не ограничава промяната на имейл домейна. Въпреки това, когато потребителят се синхронизира повторно с облака, състоянието на потребителя зависи от това дали новият домейн е проверен във вашата организация. Ако домейнът не е потвърден във вашата организация, състоянието на потребителя се променя на Изчакване след пълната синхронизация. За повече информация вж Управлявайте вашите домейни .
Ако вашата организация не използва конектора на директория, можете да промените имейл адресите на приложението си Webex през страницата с настройки на акаунта . Виж Променете Имейл адреса за вашия акаунт за стъпки, които потребителите могат да следват, за да променят своите имейли.
Променете домейна на Active Directory
Можете да използвате тази процедура за създаване на нови домейни и имейл адреси. Те се синхронизират с услугата за идентичност в облака.
| 1 | Настройте нов домейн на Active Directory (AD). | ||
| 2 | Деактивирайте синхронизациите на всичките си конектори. | ||
| 3 | Деинсталирайте всичките си конектори. | ||
| 4 | Отворете случай, за да промените домейна . При подаване на случая, не забравяйте да поискате премахването на конфигурацията на домейна и всички атрибути за синхронизиране във вашата организация.
| ||
| 5 | След разрешаване на случая: Извършете пробно изпълнение с конектора на директория, преди да извършите действителната синхронизация. |
Претенция за домейн
Заявка за домейн възниква, ако заявите имейл домейн за организация, така че всеки акаунт в страничния панел да бъде създаден в платената клиентска организация, а не в безплатната потребителска организация. Можете да подадете иск за домейн само чрез заявка за случай на поддръжката (вижте връзката по-долу за повече информация).
Ако конекторът на директория е активен и домейнът е заявен, акаунти в сайдборд не се създават нито в организацията на клиентите, нито в безплатната потребителска организация. Само конекторът на директория може да предоставя акаунти за организацията от Active Directory. Информацията, съхранявана в Active Directory , е оригиналният източник. Ако се опитате да отворите акаунт, поканеният потребител получава грешка. Единственият начин, по който поканен потребител може да бъде добавен към пространство на приложения на Webex , е като първо използвате конектора на директория, за да осигурите акаунта в Control Hub.
Преобразувайте безплатни потребители на Webex App в синхронизирана с директория организация
Можете да използвате само уникални имейл адреси в директорията на Webex App. Ако вашите потребители са се регистрирали за безплатната версия на приложението Webex , техният акаунт съществува в безплатната потребителска организация. За да управлявате потребителите в тази организация с помощта на Directory Connector, мигрирайте (конвертирайте) ги към организацията на клиента, преди да включите Directory Connector. След това добавяте потребителите към Active Directory с точния имейл адрес и след това се синхронизирате с облака.
Ако не конвертирате акаунтите преди активиране, изключете Directory Connector, за да ги конвертирате.
Ако се опитате да конвертирате потребител, докато синхронизирането на директорията е активирано, съобщение за грешка<email address=""> не може да бъде преобразуван
се появява. За да избегнете проблема, можете да използвате тези стъпки като решение.
| Някои заявени потребители може да се покажат с Ако не добавите тези потребители, всички те ще бъдат изтрити при синхронизиране с облака. |
| 1 | Деактивирайте синхронизирането на директория от конектора за директории. | ||
| 2 | Следвайте Преобразувайте нелицензирани потребители в Control Hub процедура за преобразуване на потребителя от безплатна потребителска организация в организация на предприятието. Тази стъпка добавя потребителя към вашата организация и акаунтът се появява в Control Hub. Directory Connector прави Active Directory единствен източник на истина за потребителските акаунти и целта е да има точно съвпадение между Active Directory и Control Hub. Уверете се, че има съответстващи потребители в Active Directory за всички наскоро преобразувани потребители, преди да активирате отново синхронизирането. Dry Run sync може да се използва, за да се гарантира, че няма останали несравними потребители. | ||
| 3 | На конектора за директории направете синхронизация на сухо. Когато сухият цикъл завърши, проверете раздела Добавяне на обекти. Уверете се, че всички потребители, които сте конвертирали, не са изтрити.
| ||
| 4 | Когато сте сигурни, че следващото синхронизиране няма да премахне никакви акаунти, активирайте отново синхронизирането на директория от конектора на директория. |
Преобразуваните потребителски акаунти не се активират автоматично, ако не сте потвърдили домейн. Например, ако сте включили шаблона за автоматично присвояване на лиценз и след това включите Directory Connector без проверка на домейна, преобразуваните потребители са неактивни в облачния бекенд, докато не потвърдят имейл адресите си.
Потребителски акаунти на приложението Webex
Когато поканите друг потребител в пространство в приложението Webex , ако поканеният потребител няма акаунт в приложението Webex , за него се създава акаунт („сайдборд“). По подразбиране профилите, създадени по този начин, се добавят към безплатната организация на потребителите.
Ако искате да управлявате акаунта в сайдборд с помощта на Directory Connector, трябва конвертирайте акаунта .
Променете формата на потребителското име на приложението Webex след синхронизиране на директория
По подразбиране Directory Connector съпоставя атрибута displayName в Active Directory към атрибута displayName в облака.
След извършване на синхронизиране на директория, може да откриете, че потребителските имена се показват във формата<lastName, firstName=""> .
Това потребителско име може да се появи, ако displayName атрибутът в Active Directory е конфигуриран по този начин. Когато атрибутът е съпоставен с displayName в облака имената се показват във формата<lastName, firstName=""> в Control Hub.
За да промените формата, в екрана за съпоставяне на атрибути на конектор на директория: картографирайте атрибута на Active Directory givenName sn(или sn givenName) до displayName в Имена на атрибути на Cisco Cloud .
Като алтернатива, картографирайте атрибута sn givenName до displayName:
Можете също да използвате опцията Персонализиране на атрибут, ако искате да съпоставите свой собствен персонализиран израз на атрибут displayName.
Например въведете givenName + "" + sn(собствено име, интервал, фамилия) като израз. Това съпоставя двата атрибута в Active Directory към displayName в облака.
Позволете на потребителите да променят показваните имена в Webex Meetings
Можете да премахнете картата на displayName атрибут от синхронизиране с облака в Directory Connector, ако искате да позволите на потребителите да редактират предпочитаните от тях екранни имена. Потребителите могат да въвеждат показвано име , което да се показва по време на срещи на Webex , вместо своето име и фамилия. Администраторите могат също да променят показвано име за потребител ръчно в Control Hub.
| 1 | От Directory Connector щракнете Конфигурация , и след това изберете Картографиране на потребителски атрибути . |
| 2 | Изберете displayName под Име на атрибута на Cisco Cloud . |
| 3 | Изберете Не синхронизирайте този атрибут . |
Какво да направите след това
Потребителите вече могат редактирате показваните им имена от сайт на Webex .
Надстройте до най-новата версия на софтуера
За да поддържате внедряването си в съответствие и да получите най-новите функции, функционалност, корекции на грешки и подобрения в сигурността, винаги трябва да надграждате до най-новата версия на Directory Connector. Ако не надстроите до най-новата версия, която е налична, може да имате проблеми, като например конекторът на директория вече не се синхронизира правилно или да сте на версия, която не поддържа задължителната Изискване за TLS 1.2 .
Directory Connector автоматично ви уведомява, когато е налична нова версия. Винаги надграждайте до най-новата версия, за да избегнете проблеми. Също така виждате известие в лентата на задачите на Windows.
| Въпреки че можете ръчно да инсталирате актуализации на софтуера за конектори, препоръчваме ви да следвате стъпките в Задайте автоматични надстройки за да позволите на приложението да управлява автоматично вашите надстройки. |
| 1 | Или щракнете върху известието в лентата на задачите на Windows, или щракнете с щраквам с десния бутон върху иконата на Directory Connector в лентата на задачите на Windows, за да започнете процеса на надстройка. |
| 2 | Следвайте инструкциите, за да завършите надстройката. |
| 3 | Рестартирайте конектора и влизам с вашите администраторски идентификационни данни. |
| 4 | Проверете номера на версията на софтуера под . |
Какво да направите след това
За нова инсталация на Directory Connector, можете изтеглете zip файла и след това следвайте стъпките за инсталиране в това ръководство.
Конфигурирайте общи настройки за конектор на директория
Използвайте тази процедура, за да конфигурирате общи настройки, като например името на сървъра, на който се изпълнява Directory Connector, нивата на журнала, автоматичните надстройки и предпочитаните настройки за контролерите на домейна. Името на конектора се появява на таблото в секцията за конектори, заедно с всички други работещи конектори.
| 1 | От Directory Connector отидете на Конфигурация и след това щракнете генерал . | ||
| 2 | В Име на конектора поле, въведете името на конектора. Това поле показва само името на компютъра, който в момента работи с конектора. | ||
| 3 | Изберете нивото на дневника от падащото меню. По подразбиране нивото на журнала е настроено на информация . Наличните нива на регистрационни файлове са:
| ||
| 4 | Изберете Предпочитани контролери на домейни за да зададете реда на домейн контролерите за синхронизиране на самоличности. Достъпът до контролерите на домейна се осъществява отгоре надолу. Ако горният контролер не е наличен, изберете втория контролер от списъка. Ако контролерът не е в списъка, можете да получите достъп до основния контролер. | ||
| 5 | Проверете Автоматично надграждане до новата версия на Cisco Directory Connector ако искате да се извършват автоматични надстройки. Винаги е важно да поддържате своя софтуер Cisco Directory Connector актуален до най-новата версия. Препоръчваме ви да поставите отметка в тази настройка, за да позволите автоматичните надстройки на софтуера да се инсталират безшумно, когато са налични. | ||
| 6 | Проверете LDAP през SSL за да използвате защитения LDAP (LDAPS) като протокол за връзка.
LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) са протоколите за връзка, използвани между приложение и контролера на домейн в рамките на инфраструктурата. LDAPS комуникацията е криптирана и сигурна. |
Конфигурирайте политиката на конектора
Можете да зададете максимален брой изтривания, които могат да възникнат по време на синхронизиране. Изпълнението на синхронизация не изтрива обекти от вашата в помещението Active Directory. Всички обекти се изтриват само от облака.
Например задавате 1 като стойност на задействане на прага за изтриване. Когато правите пълна или инкрементална синхронизация, ако броят на потребителите, които искате да изтриете, е повече от настройката, конекторът на директорията показва предупреждение. Ако щракнете Отмяна на прага , можете да стартирате успешно пълно или инкрементално синхронизиране, но ще видите това известие за отмяна следващия път, когато стартирате политиката.
| 1 | От Directory Connector щракнете Конфигурация , и след това изберете политика . | ||
| 2 | Проверете Активиране на задействане на прага за изтриване поле, ако искате да добавите тригер за праг. Изборът на тази опция задейства сигнал, ако броят на изтриванията надвиши прага. Когато акаунтът за изтриване надвиши този, който сте дефинирали, синхронизирането е неуспешно.
| ||
| 3 | Въведете максимален брой изтривания, който искате. По подразбиране е 20.
| ||
| 4 | Щракнете върху Приложете . |
Задайте графика на конекторите
Задайте времето за синхронизация в Active Directory. Отказът се използва за висока степен на достъпност (HA). Ако един конектор не работи, преминаваме към друг конектор в режим на готовност след предварително определения интервал.
| 1 | От Directory Connector щракнете Конфигурация , и след това изберете График . |
| 2 | Посочете Инкрементален интервал за синхронизация за минути. По подразбиране е настроено постепенна синхронизация да се извършва на всеки 30 минути. Пълната постепенна синхронизация не се извършва, докато първоначално не извършите пълна синхронизация. |
| 3 | Променете Изпращане на отчети на... време стойност, ако искате да промените колко често се изпращат отчетите. |
| 4 | Проверете Активиране на пълен график за синхронизиране за да посочите дните и часовете, в които искате да се извърши пълна синхронизация. |
| 5 | Посочете Интервал при отказ за минути. |
| 6 | Щракнете върху Приложете . |
Сценарии за множество домейни
Няколко домейна се основават на приоритет на домейна. За обекти, които имат една и съща стойност на ключа в различни домейни, след синхронизация данните от домейна с по-висок приоритет пренаписват данните от домейна с по-нисък приоритет.
Обекти, които имат една и съща стойност на ключа, се свързват в един запис в базата данни.
Ключовата стойност за „Потребител“ е Имейл адрес ; ключовата стойност за "Група" е Име на групата .
Примерен случай на употреба за множество домейни
Този пример предполага организация с два домейна—example1.com и example2.com, по приоритет.
Добавете потребител 1 (имейл: user@example1.com) към Active Directory на example1.com.
Добавяне на група1(име на групата: Тест) към Active Directory на example1.com.
Добавете потребител2 (имейл: user@example2.com) към Active Directory на example2.com.
Добавете група 2 (име на групата: Тест) към Active Directory на example2.com.
- Синхронизиране на example1.com
-
Като случай на използване, user2 и group2 се синхронизират с облака и се появяват вhttps://admin.webex.com , докато user1 и group1 не са.
Ако направите пълна или постепенна синхронизация за example1.com, потребител1 и група1 се синхронизират. Също така, потребител2 и група2 се презаписват от информацията за потребител1 и група1.
User1 се свързва към user2 като същия запис в базата данни; group1 свързва group2 като същия запис в базата данни.
- Синхронизиране на example1.com и example2.com
-
Като случай на използване, user2 и group2 се синхронизират с облака и се появяват вhttps://admin.webex.com , докато user1 и group1 не са.
Помислете за тези стъпки:
- Изтрийте user1 и group1 от Active Directory за example1.com.
- Направете пълна или постепенна синхронизация за example1.com.
Резултат: информацията за потребителя не се променяhttps://admin.webex.com . Потребител 2 не е свързан с потребител 1, а група 2 не е свързан с група 1.
- Направете постепенна синхронизация за example2.com.
Резултат: информацията за потребителя не се променяhttps://admin.webex.com .
- Направете пълна синхронизация за example2.com.
Резултат: информацията за потребител2 и група2 е посочена вhttps://admin.webex.com .
Синхронизирайте нов домейн и запазете съществуващ домейн
Ако искате да синхронизирате нов домейн (B), като същевременно поддържате синхронизираните потребителски данни на друг съществуващ домейн (A), уверете се, че сте инсталирали Directory Connector за синхронизиране на домейн (B) на поддържан сървър на Windows. Конекторът се свързва с новия домейн след първоначалната настройка и информация за потребителя под домейн (A) остава незасегната.
Всеки домейн трябва да има свой собствен активен конектор. Помислете за два домейна със следната настройка: домейн A с конектори (ca1) и (ca2) за локална висока степен на достъпност (HA); домейн B с конектор (cb1). (ca1) и (ca2) обслужват домейн A. В този сценарий единият конектор е активен, а другият е в режим на готовност (HA). Този дизайн поддържа домейна синхронизиран, тъй като един конектор винаги е активен. И така, cb1 е активният конектор за домейн B, тъй като домейн A вече има активен конектор (ca1 или ca2).
Задайте приоритет на домейна
Използвайте тази процедура, за да промените приоритета на вашите домейни на Active Directory . Приоритетът на домейна ви позволява да определите основния домейн, вторичния домейн и т.н. Това помага, когато двама потребители от два различни домейна имат една и съща имейл стойност, синхронизирана с една организация.
Не използвайте тази процедура, ако имате един домейн, посочен в конектора на директория. Ако опитате, конекторът ви показва съобщение, че не се изисква приоритет на домейна.
Преди да започнете
За да избегнете грешки, инсталирайте или надстройте до най-новата версия на конектора за директория на Cisco . Трябва да го изтеглите отhttps://admin.webex.com .
| 1 | От конектора за директория на Cisco щракнете Табло за управление . | ||
| 2 | Отидете на Действия и след това щракнете Задайте приоритет на домейна . | ||
| 3 | Основна точка един домейн в списъка, щракнете нагоре или надолу за да промените приоритета на този домейн и след това щракнете Запазете за да запазите тази промяна.
|
Превключване на домейни
Използвайте тази процедура, за да свържете отново конектора на Cisco директория към друг домейн.
Преди да започнете
Уверете се, че не се изпълняват задачи за синхронизиране, преди да превключите домейни.
За да избегнете грешки, инсталирайте или надстройте до най-новата версия на конектора за директория на Cisco . Трябва да го изтеглите от Контролен център .
| 1 | От конектора за директория на Cisco щракнете Табло за управление . |
| 2 | Отидете на Действия и след това щракнете Превключете домейн . |
| 3 | След като прочетете предупреждението, ако разбирате влиянието на тази промяна върху внедряването ви и все още сте сигурни, щракнете върху да . Ако превключите домейн, тогава излизате от текущия конектор на Cisco директория, другите домейни в конектора са нерегистрирани и информацията за конектора на този компютър се изтрива. |
| 4 | Влезте отново в конектора на директорията на Cisco и свържете отново домейна. |
Изключете синхронизирането на директории
Ако трябва да спрете синхронизирането от Directory Connector, можете временно да го изключите от Control Hub.
| 1 | От изглед на клиента вhttps://admin.webex.com , отидете на , превъртете до Синхронизация на директории , и след това изберете едно:
|
| 2 | След като прочетете подкана, щракнете Изключете . Синхронизацията спира, докато не я активирате отново от Directory Connector. |
Премахване на съпоставянето на потребителски атрибути
Използвайте Directory Connector, за да премахнете съпоставянето за атрибути на Active Directory , които преди това са били картографирани в облака и синхронизирани с Webex. След като премахнете съпоставянето на атрибути, стойностите на атрибутите се премахват от облака и вече не се синхронизират с Webex. След това тези стойности могат да бъдат редактирани ръчно.
| 1 | От Directory Connector щракнете Табло за управление . |
| 2 | Отидете на Действия и след това щракнете . |
| 3 | Изберете картографирането, което да премахнете от Име на атрибут списък. |
| 4 | Под Засегнат потребителски обхват , изберете едно от следните:
|
| 5 | Щракнете върху Приложете . |
Управление на профилни снимки
Използвайте Directory Connector, за да актуализирате снимки на потребителски профил или да премахнете празни снимки на потребителски профил .
| 1 | От Directory Connector щракнете Табло за управление . |
| 2 | Отидете на Действия и след това щракнете . |
| 3 | Под Действия , изберете едно от следните:
|
| 4 | Щракнете върху Приложете . |
Деинсталирайте и деактивирайте конектора на директория
След като деинсталирате екземпляр на Directory Connector, трябва да го дерегистрирате. Премахнете напълно конектор на директория за някой от тези сценарии:
Вече не искате да използвате синхронизиране на директории.
Не искате да използвате един от множеството конектори за директории (висока степен на достъпност).
Искате да промените домейна и да инсталирате друг конектор.
Преди да започнете
Може да имате множество екземпляри на Directory Connector , настройвам за висока степен на достъпност (HA) или синхронизация на домейни. Деинсталирайте синхронизацията, ако деинсталирате единствения или последния останал екземпляр на Directory Connector.
Запазете и затворете всяка важна работа, преди да деинсталирате Directory Connector.
| 1 | От вашата Windows машина отидете на Контролен панел и след това щракнете Програми и функции . |
| 2 | От списъка с програми щракнете Съединител за директории , изберете Деинсталиране , след което следвайте подканите. Може да се наложи да рестартирате системата си, за да завършите деинсталирането. |
| 3 | От изглед на клиента вhttps://admin.webex.com , отидете на , превъртете до Синхронизация на директории , щракнете повече |
| 4 | След като прочетете подкана, щракнете Деактивирайте . Освен ако няма друг конектор на директория в разгръщане с висока степен на достъпност (HA), потребителските акаунти вече не се синхронизират. |
Стартирайте инструмента за диагностика
Можете да използвате вградения инструмент за диагностика, за да отстраните неизправности при внедряването на конектора на директории. Този инструмент е инсталиран като част от Directory Connector 3.4 по-нататък.
Ако синхронизирането не работи правилно, може да имате грешка в конфигурацията или мрежата. Този инструмент тества връзката ви с LDAP , за да можете сами да диагностицирате грешките, преди да се свържете с поддръжката. Ако инструментът върне някаква грешка, можете да изпратите подробните резултати от журнала на поддръжка.
За да стартирате тестове за услуги на домейн на Active Directory :
За да стартирате тестове за услугите на Active Directory Lightweight Directory:
За да стартирате тестове за Lightweight Directory Access Protocol (LDAP):
Отстраняване на неизправности и корекции за конектора на директория
Може да срещнете съобщение за грешка или друг проблем в Directory Connector. Също така, след като Directory Connector синхронизира информация за потребителя, конекторът може да ви изпрати имейл отчет, който изброява всички проблеми със синхронизирането. Вижте следващите раздели за проблеми, които могат да възникнат, възможни причини и предложени решения, които можете да опитате, преди да се свържете с поддръжката.
Инсталирай
Конекторът на директория спря да работи
Получихте предупредителни имейли, уведомяващи ви, че вашият Directory Connector не работи.
Directory Connector може да не е инсталиран правилно.
Directory Connector може да не работи.
Мрежата може да не е налична.
Опитайте следното:
Отвори . Намерете конектора на директория. Ако не е там, изтеглете най-новата версия от Control Hub и я инсталирайте.
Отвори Обслужване и намерете услугата Cisco DirSync. Уверете се, че показва състоянието като Започна . Ако услугата е спряна, щраквам с десния бутон и изберете Старт, за да рестартирате услугата.
Уверете се, че сървърът, на който сте инсталирали Directory Connector, има достъп до Интернет.
Грешка при преинсталиране
проблем —Ако веднага инсталирате нов конектор, след като деинсталирате стар, може да видите съобщение за грешка.
Възможна причина —В Windows Server 2012 клиентът за деинсталиране се нуждае от време, за да изтрие акаунт на услуга на услугата от списъка с услуги.
Решение — След известно време опитайте да инсталирате отново.
Влизане
Конекторът на директория се срива по време на влизане в SSO
проблем
Directory Connector може да се срине, след като въведете имейл адрес от страница за влизам в SSO .
Решение
Опитайте следното:
Направете следните стъпки, за да конфигурирате нова групова политика:
Отидете до контролера на домейна и отворете Управление на групови правила (gpedit.msc).
Щракнете с десния бутон върху конкретно OU или домейн и изберете Създайте GPO в този домейн , и Свържете го тук…
Дайте име на политиката, след това щракнете с десния бутон и изберете Редактиране .
Направете следните стъпки, за да промените политиката на ниво машина:
Отидете на , щракнете с десния бутон регистър , изберете Нов , и след това Елемент от регистъра .
За Ключов път , въведете или отидете до HKEY_ МЕСТЕН_ MACHINE\SOFTWARE\ Microsoft\ Internet Explorer\Main .
Въведете
Disable Script Debuggerза Стойност , и въведетеnoза Данни за стойността .Настройките трябва да съвпадат с тази екранна снимка:
Направете следните стъпки, за да промените правилата на ниво потребител:
Отидете на , щракнете с десния бутон регистър , изберете Нов , и след това Елемент от регистъра .
За Ключов път , въведете или отидете до HKEY_ ТЕКУЩ_ USER\SOFTWARE\ Microsoft\ Internet Explorer\Main .
Въведете
Disable Script Debuggerза Стойност , и въведетеnoза Данни за стойността .Настройките трябва да съвпадат с тази екранна снимка:
| Промените влизат в сила след стартиране |
Cisco DirSync Service Connector не можа да бъде регистриран
проблем
Влизането е неуспешно и се появява това съобщение: „Сервизният конектор на Cisco DirSync не можа да бъде регистриран.“
Решение
Системата Windows, на която е инсталиран Directory Connector, трябва да е член на Active Directory.
Не се появява страница за вход
проблем
Отворихте Directory Connector и страницата за влизам не се появи.
Решение
Опитайте следните стъпки:
В Internet Explorer отидете наhttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL . Опитайте връзката в други браузъри като Chrome и Firefox.
Ако Internet Explorer не може да посети връзката, но други браузъри могат, отметнете настройките на Internet Explorer и поставете отметка в квадратчетата TLS 1.1 и 1.2. (Използвайте Активирайте TLS в Internet Explorer процедура.)
Появява се подкана за влизане
проблем
Появява се подкана, която изисква от вас да въведете потребителско име и парола, за да преминете удостоверяването.
Възможна причина
Directory Connector завършва NTLM удостоверяване на сигурността безшумно с акаунта за влизане. Ако удостоверяването е неуспешно, се появява диалогов прозорец, в който да поискате потребителско име и парола за удостоверяване.
Решение
Когато видите изскачащия прозорец за влизам , трябва да предоставите валиден акаунт с правилно удостоверяване за преминаване на сигурността.
Не може да се свърже с отдалечения сървър
проблем
По време на нормална работа се появява съобщение за грешка : „Не може да се свърже с отдалечения сървър.“
Възможна причина
Може да имате проблеми с прокси сървъра, които трябва да бъдат разрешени.
Решение
Виж Отстраняване на неизправности при влизане в акаунт в услугата за повече информация за отстраняване на неизправности.
Не може да се регистрира конектора
проблем
Виждате съобщение за грешка „Не може да се регистрира конекторът. Настъпи общо изключение."
Възможна причина
В повечето случаи проблемът е, защото конекторът на директория няма привилегия да се свърже с коренния контекст на LDAP .
Решение
Опитайте следното:
Изпълнете командния ред (cmd) и след това въведете ldp.exe .
Щракнете върху , изберете Свържете като текущо влязъл потребител и след това щракнете ОК .
Щракнете върху , въведете DC=arbonneintl,DC=ad като BaseDN и след това щракнете ОК .
Ако проблемът продължи, отворете случай с поддръжка .
Синхронизиране
Аватарите не са синхронизирани
проблем
Конекторът за директория на Cisco синхронизира потребителски AD данни с облака на Webex . Но никакви данни за аватар не бяха синхронизирани успешно.
Възможна причина
Ако сте използвали повторно съществуващ сървър на аватарите и потребителските аватари вече са синхронизирани, тогава локалният кеш ги улавя и избягва повторното изпращане, за да спести честотна лента.
Решение
Изтрийте локалния кеш, като следвате тези стъпки:
Отидете на C:\Program Files (x86)\ Cisco Systems\ Cisco Directory Connector\Plugins\
Изтрийте DirSyncPluginAvatar.dll-cache.bin .
Изпълнете повторно синхронизирането на аватара от конектора за директория на Cisco .
Конфликтни потребителски Имейл акаунти
проблем
Резултатите от синхронизирането може да покажат конфликтни потребителски имейл акаунти.
Ако потребителите са изпробвали безплатната версия на приложението Webex , техните имейл адреси се намират в безплатната потребителска организация.
Ако имейлите на потребителите някога са били синхронизирани в друга организация.
Ако потребителските имейли съществуват в множество домейни, които принадлежат на организацията.
Решение
Опитайте следното:
Следвайте тези стъпки, ако се опитвате да заявите потребители:
Уверете се, че сте провери домейна в Control Hub .
Временно деактивирайте Cisco Directory Connector.
Използвайте опцията Claim User в Control Hub, за да заявите всички акаунти, които може да съществуват в безплатната потребителска организация. Виж Изисквайте потребители към вашата организация (Преобразувайте потребители) за повече информация.
Направете сухо изпълнение в Cisco Directory Connector и след това активирайте отново синхронизирането на директории
За последния случай проверете отново потребителските данни във вашите източници на Active Directory .
Преобразуваният потребител е маркиран като неактивен
проблем
Във вашата синхронизирана среда с директория вие преобразувахте безплатен потребител (организация на потребителите) във вашата корпоративна организация, но преобразуваният потребител не може да влезе в приложението Webex .
Възможна причина
Когато безплатният потребител бъде преобразуван в корпоративна организация, потребителят се маркира като неактивен за 30 дни като мярка за съответствие със сигурността. През този период потребителят не може да влезе в приложението Webex и е маркиран за изтриване в края на 30-дневния период. Тази ситуация възниква, защото безплатната информация за потребителя не се намира в Active Directory.
Решение
Трябва да предприемете действия, ако не искате потребителски акаунт да бъде изтрит. За да разрешите този проблем, създайте потребителски акаунт във вашата в помещението Active Directory , който съответства на конвертирания безплатен потребителски акаунт. След това извършете синхронизация от Cisco Directory Connector. След това потребителят може да влезе отново в приложението Webex и акаунтът няма да бъде изтрит.
Инкременталната синхронизация е неуспешна
проблем
Инкременталната синхронизация е неуспешна.
Този проблем може да възникне в Windows Server 2008 R2 при следните условия:
Поддържате постепенни актуализации на стойността.
Филтърът, който използвате, препраща към атрибут на свързана стойност.
Резултатните стойности на този атрибут бяха актуализирани от последния път, когато беше извършена пълна синхронизация.
Решение
Windows Server 2008 R2 има грешка, която е свързана с този проблем. Грешката е коригирана в 2012 R2 и по-късно. Препоръчваме ви да надстроите своя Windows Server до поне 2012 R2.
Невалидна стойност за атрибут
проблем
За [потребител dn (отличително име)] атрибутът [име на атрибут] има следната невалидна стойност [стойност на атрибут].
Възможна причина
За CN=b,OU=Employees,OU=C Users,DC=c,DC=com, атрибутът [телефонен номер] има следната невалидна стойност: +. Този атрибут трябва да съдържа поне едно число.
Решение
Атрибутът за този потребител няма валидна стойност. Фиксирайте стойността му според описанието в предупредително съобщение. След това направете друга синхронизация.
Съответстващи потребители за изтриване
проблем
Съответстващите потребители са маркирани за изтриване.
Когато извършвате синхронизация на сухо, за да проверите данните между Active Directory и облака, може да видите един и същ имейл адрес и в двете. Потребителят обаче е маркиран като обект за изтриване.
Решение
Изберете подходяща корекция:
Ако е добре да изтриете потребителя и да повторите лицензите след това, можете да използвате Directory Connector за корекцията. Извършете синхронизация, за да изтриете потребителя и след това извършете друга синхронизация, за да синхронизирате потребителя от в помещението AD към облака.
Ако не можете да изтриете и създадете отново потребителски акаунт, отворете случай с поддръжка .
Липсващ атрибут
проблем
Задължителният атрибут [attribute_name ] при добавяне в помещението запис [потребител dn (отличително име)]. Записът не се създава в Control Hub, докато всички необходими атрибути нямат стойност.
Възможна причина
Липсва имейл адрес за необходимия атрибут. При добавяне в помещението запис [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], записът не се създава в Control Hub, докато всички необходими атрибути нямат стойност.
Решение
Един от задължителните атрибути липсва за потребителя [user_email_address ]. Предоставете необходимите стойности за този потребител.
Вложената група няма да се синхронизира
проблем
Потребителите във вложена група на Active Directory не са синхронизирани правилно с облака.
Възможна причина
Използва се филтър, който включва както дъщерната, така и родителска група, който не се поддържа. Например: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Решение
Трябва да преконфигурирате филтъра, който синхронизира групите. Например: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
Конфликт с потребителски имена
проблем
Има конфликт на именуване за [user dn] за съществуващ обект за въвеждане в облак с името: [ имейл адрес на потребителя] и от потребителски тип [user_type ].
Възможна причина
Потребител с този имейл адрес вече съществува в Control Hub.
Решение
Създайте потребител във вашата Active Directory със същия имейл адрес като акаунта, който сте регистрирали чрез Control Hub.
Control Hub
Липсва списък с потребители в Control Hub
проблем
Ако имате организация на Webex с повече от 1000 синхронизирани потребители, може да не виждате списък на потребителите в Control Hub.
Решение
Можете да използвате функцията за търсене, за да намерите потребителски акаунт. В Control Hub отидете на Потребители , щракнете върху търсене
и след това въведете критерии за търсене за търсене, за да намерите конкретен потребител.
Групите няма да се синхронизират с Control Hub
проблем
Потребителите в група на директория няма да се синхронизират правилно с Control Hub.
Възможна причина
Групата не е маркирана като isCriticalSystemObject в Active Directory.
Решение
Уверете се, че този атрибут isCriticalSystemObject е настроен на TRUE в Active Directory.
Активирайте отстраняване на неизправности за конектора на директория
Можете да активирате отстраняването на неизправности, за да помогнете за диагностицирането на всички грешки, които срещате в Directory Connector. Отстраняването на неизправности ви позволява да уловите информацията за мрежовия трафик и да я запишете във файл.
Регистрационните файлове, които са: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 | Изпълнете инсталационния файл на | ||
| 2 | Рестартирайте услугата. Виж Как да стартирате услуги за насоки. | ||
| 3 | В Directory Connector щракнете Табло за управление . | ||
| 4 | Отидете на Действия и след това щракнете . | ||
| 5 | При активирано отстраняване на неизправности повторете действията, които са причинили грешка; това улавя данните за трафика, така че да могат да бъдат проверени. | ||
| 6 | Разгледайте лог файловете: ако файлът е празен, уверете се, че акаунтът има права за достъп до вашия AD DS или AD LDS.
| ||
| 7 | Ако е необходимо, изпратете регистрационен файл на поддръжка за помощ. | ||
| 8 | Деактивирайте функцията за отстраняване на неизправности, когато сте готови. |
Стартирайте програмата за преглед на събития
За да видите събитията, настъпили по време на пълна или постепенна синхронизация, стартирайте Event Viewer. Той показва обобщение на административните събития и регистрационните файлове за грешки.
| 1 | От Directory Connector отидете на Табло за управление и след това щракнете . Диалоговият прозорец Свойства на събитието показва подробностите за събитието за синхронизиране и подробностите за грешката. |
| 2 | От Event Viewer отидете на .
|
| 3 | Под Действия , щракнете Запазете всички събития като за да експортирате всички регистрационни файлове като един файл със събития (*.evtx) или друг формат като xml или csv. |
Какво да направите след това
Ако трябва да отворите случай, свържете се с поддръжката , опишете проблема с конектора и след това прикачете файла със събития към вашия случай.
| Регистраторите на събития улавят действията на потребителите. За помощ при управлението на мрежовия трафик активирайте отстраняването на неизправности на конектора. |
Активирайте TLS в Internet Explorer
Ако сте сменили доставчиците на единичен вход (SSO), може да видите следните съобщения за грешка от конектора за директория на Cisco :
Възникна грешка при влизане в услугата
Възникна грешка в скрипта на тази страница
Ако видите тези грешки, трябва да активирате TLS настройка във вашия браузър.
| 1 | Отворете Internet Explorer и след това изберете Инструменти . Сега поставете отметка в квадратчетата за версията TLS/ SSL , която искате да активирате Щракнете върху ОК Затворете браузъра и го отворете отново |
| 2 | Щракнете върху Интернет опции , отидете на Разширено , превъртете до Сигурност . |
| 3 | Проверете Използвайте TLS 1.1 и Използвайте TLS 1.2 квадратчета за отметка и след това щракнете ОК .
|
| 4 | Рестартирайте системата си, за да влязат в сила промените. |
Отстраняване на неизправности при влизане в акаунт в услугата
Ако не можете да влизам в конектора за директория на Cisco или не можете да изпълните синхронизация, използвайте тези стъпки, за да опитате да разрешите проблема, преди да се свържете с поддръжката.
| 1 | Опитайте се да посетитеhttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL във вашия уеб браузър. | ||
| 2 | Изберете един в зависимост от резултатите:
| ||
| 3 | Като минимум се уверете, че конфигурираният акаунт за услугата Cisco DirSync (която може да се намери в услугите на Windows) има ниво на привилегия, което му позволява достъп до данни за аватар и AD данни. По подразбиране услугата използва идентификационните данни и удостоверяване на акаунта за влизане в Windows. |
Проверете SafeDllSearchMode в системния регистър на Windows
Режимът на търсене на безопасна библиотека с динамични връзки (DLL) е зададен по подразбиране в системния регистър на Windows и поставя текущата директория на потребителя по-късно в реда за търсене на DLL. Ако този режим беше по някакъв начин деактивиран, нападателят може да постави злонамерена DLL (наречена по същия начин като препоръчан DLL файл, който се намира в системната папка) в текущата работна директория на приложението.
Обикновено SafeDllSearchMode е активиран, но използвайте тази процедура, за да проверите отново настройките на системния регистър.
Преди да започнете
| Промените в системния регистър на Windows трябва да се правят с изключително внимание. Препоръчваме ви да направите резервно копие на вашия регистър, преди да използвате тези стъпки. |
| 1 | В търсене на Windows или прозореца Изпълнение въведете regedit и след това натиснете Въведете . |
| 2 | Отидете на HKEY_ МЕСТЕН_ MACHINE\System\CurrentControlSet\Control\Session Manager . |
| 3 | Изберете един:
|
За повече информация вж Ред за търсене в библиотека с динамични връзки .
Общ преглед на Cisco Directory Connector
Общ преглед на конектора за указатели
Directory Connector е локално приложение за синхронизиране на идентичността в облака. Можете да изтеглите софтуера на конектора от Control Hub и да го инсталирате на вашата локална машина.
С Directory Connector можете да поддържате потребителските си акаунти и данни в Active Directory, така че Active Directory се превръща в единствен източник на истина. Когато направите промяна на място, тя се възпроизвежда в облака.
Вижте всички функции, описания и предимства в таблицата:
| Функция | Описание и полза |
|---|---|
| Лесно за използване табло | Таблото предоставя график за синхронизиране, обобщение и състояние на синхронизацията, както и състояние на Directory Connector. Можете да видите таблото по всяко време, когато влезете. |
| Пробно изпълнение преди синхронизиране с облака | Извършете пробно изпълнение на промените в указателя, преди да бъдат внедрени в облака. След това изпълнете отчет, за да видите, че промените, които искате да направите, са това, което очаквате. |
| Пълно и постепенно синхронизиране | Синхронизирайте цялата директория. Или просто синхронизирайте инкременталните промени, за да спестите обработваща мощност и да съкратите времето за синхронизиране. |
|
Синхронизиране на множество домейни (една гора или множество гори) |
Directory Connector поддържа множество домейни или под една гора, или под множество гори (без нужда от AD LDS). За предприятия с множество домейни на Active Directory, можете да инсталирате Directory Connector за всеки домейн, да свържете всеки домейн с вашата организация и след това да синхронизирате всяка потребителска база в Webex. Control Hub отразява състоянието, като показва състоянието на синхронизация за множество Directory Connectors, позволява ви да изключите синхронизирането за определен домейн и деактивирате Directory Connector при разполагане с висока наличност. |
| Планирано синхронизиране | Задайте график за синхронизиране по ден, час и минута. |
| Lightweight Directory Access Protocol (LDAP) филтри | Дефинирайте критерии за търсене в LDAP и осигурете ефективно импортиране. |
| Съпоставяне на атрибути на Active Directory | Съпоставете атрибути на Microsoft Active Directory със съответстващи атрибути в облака на Webex. Можете да съпоставяте атрибути, които са от значение за вашата конфигурация на Active Directory, и също така да дефинирате персонализирани атрибути, които да съпоставяте към облака. Атрибутите от локалните местоположения формират различни данни в облака, като информация за потребителския акаунт, телефонни номера за влизане в Webex Teams, SIP адреси за ресурси на Room и други данни за карта за контакт на потребителите (длъжност, отдел, мениджър и т.н.). |
|
Корпоративен указател за локални ресурси на стаята и потребители на Cisco Webex Calling (PSTN в облака) и корпоративни контакти без лицензиране за Webex |
Ако част от вашата организация използва PSTN в облака на Cisco Webex Calling за услуга за повиквания или имате локални устройства Room, тази функция позволява на потребителите да търсят в указателя за корпоративни контакти от техните телефони Cisco Webex Calling (PSTN в облака) или от ресурсите Room.
|
| Визуализатор на събитие | Използвайте визуализатора на събития, за да определите дали има проблеми със синхронизирането. |
| Инструмент за диагностика и отстраняване на неизправности | Можете да използвате вградения диагностичен инструмент за отстраняване на неизправности при внедряването на Cisco Directory Connector. Ако синхронизирането не работи правилно, може да имате конфигурационна или мрежова грешка. Този инструмент тества връзката ви с Active Directory, така че да можете сами да диагностицирате грешки, преди да се свържете с поддръжката. След като разрешите отстраняването на неизправности в Directory Connector, се записват регистрационни файлове, които могат да бъдат изпратени на техническата поддръжка. |
| Автоматично надстройване | След като инсталирате Directory Connector, получавате известие всеки път, когато е налична нова версия на софтуера. Можете да настроите автоматични надстройки, така че винаги да сте на най-новата версия на софтуера, когато се пуска нова версия. |
| Висока наличност | Конфигурирайте множество конектори, така че да има резервно копие, в случай че главният конектор или хостът на машината го прекъсне. |
Directory Connector е разделен на три области:
-
Control Hub е единственият интерфейс, който ви позволява да управлявате всички аспекти на вашата организация в Webex: преглеждайте потребителите, задайте лицензи, изтеглете Directory Connector и конфигурирайте еднократна идентификация (SSO) , ако искате вашите потребители да се удостоверяват чрез техния доставчик на корпоративна самоличност и не искате да изпращате имейл покани за приложението Webex.
-
Интерфейсът за управление на Directory Connector е софтуерът, който можете да изтеглите от Control Hub и да инсталирате на надежден сървър на Windows. За множество домейни на Active Directory можете да инсталирате един миг от софтуера за всеки домейн, който искате да синхронизирате. Като използвате софтуера, можете да изпълните синхронизация, за да пренесете потребителските си акаунти от Active Directory в Webex, да преглеждате и наблюдавате статуса на синхронизиране и да конфигурирате услугите на Directory Connector.
-
Услугата за синхронизиране на указатели изисква от вашия Active Directory да извлече потребители и групи за синхронизиране с услугата за конектор и Directory Connector.
Вижте тази схема, за да разберете архитектурата на Directory Connector:
Подготовка на средата за конектор за указатели
Изисквания за Directory Connector
Изисквания за Windows и Active Directory
Можете да инсталирате Directory Connector на следните поддържани сървъри на Windows:
-
Сървър на Windows 2022
-
Windows Server 2019
-
Windows Server 2016
За да разрешите проблем с бисквитките, препоръчваме да надстроите своя домейнов контролер до издание, което съдържа корекцията – Windows Server 2012 R2 или 2016.
Directory Connector се поддържа със следните услуги на Active Directory:
-
Active Directory 2016
(Directory Connector се поддържа при използване на най-новата версия на Active Directory на Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Обърнете внимание на следните допълнителни изисквания:
-
Directory Connector изисква TLS1.2. Трябва да инсталирате следното:
-
.NET Framework v3.5 (изисква се за приложението Directory Connector. Ако срещнете някакви проблеми, използвайте указанията в Активиране на .NET рамка 3.5, като използвате съветника за добавяне на роли и функции.)
-
.NET Framework v.4.5 (изисква се за TLS1.2)
-
-
Изисква се Active Directory Forest функционално ниво 2 (Windows Server 2003) или по-високо. (Вижте Какво представляват функционални нива на Active Directory? за повече информация.)
Изисквания към хардуера
Трябва да инсталирате Directory Connector на компютър със следните минимални изисквания към хардуера:
-
8 GB ОПЕРАТИВНА ПАМЕТ
-
50 GB място за съхранение
-
Няма минимум за процесора
Изисквания за мрежата
Ако мрежата се намира зад защитна стена, се уверете, че системата ви има HTTPS (порт 443) достъп до интернет.
Изисквания за организацията на Webex
-
За достъп до софтуера Directory Connector от Control Hub е необходима организация на Webex с пробна версия или платен абонамент.
-
(По избор) Ако искате новите потребителски акаунти на приложението Webex Да бъдат активни преди първото влизане, препоръчваме да направите следното:
-
Добавете, потвърдете и по желание заявете домейни , които съдържат потребителските имейл адреси, които искате да синхронизирате в облака.
-
Направете интегриране с еднократна идентификация (SSO) на вашия доставчик на самоличност (IdP) с вашата организация на Webex.
-
Потиснете автоматичните покани по имейл, така че новите потребители да не получават автоматичната покана по имейл, а вие да можете да направите собствена имейл кампания. (Тази функция изисква интегриране на SSO.)
-
За повече информация вижте Потребителски статуси и действия в Control Hub.
Изисквания за инсталиране
-
За среда с множество домейни (или за една гора, или за множество гори) трябва да инсталирате един Directory Connector за всеки домейн на Active Directory. Ако искате да синхронизирате нов домейн (B), докато поддържате синхронизираните потребителски данни на друг съществуващ домейн (A), се уверете, че имате отделен поддържан Windows сървър, за да инсталирате Directory Connector за синхронизиране на домейни (B).
-
За влизане в конектора не изискваме акаунт на администратор в Active Directory. Изискваме локален потребителски акаунт, който е същият потребител като пълен администраторски акаунт в Control Hub.
Този локален потребител трябва да има привилегии на тази машина с Windows, за да се свърже с контролера на домейни и да чете потребителски обекти в Active Directory. Акаунтът за влизане на машината трябва да е компютърен администратор с привилегии за инсталиране на софтуер на локалната машина. (Тази информация се отнася и за влизане с виртуална машина.)
-
При влизане в конектора акаунтът за влизане трябва да бъде същият като пълния администраторски акаунт за Control Hub. По подразбиране конекторът използва локалния системен акаунт за достъп до Active Directory. Можете обаче да използвате услугите на Windows, за да конфигурирате друг акаунт за достъп до Active Directory. (Тази информация се отнася и за влизане с виртуална машина.)
-
Уверете се, че режимът за търсене в библиотеката с динамични връзки (DLL) на Windows е активиран, като използвате тази процедура: Проверете SafeDllSearchMode в регистъра на Windows.
-
Ако използвате AD LDS за множество домейни на една гора, препоръчваме да инсталирате Directory Connector и Active Directory Domain Service/Lightweight Directory Services (AD DS/AD LDS) на отделни машини.
Няколко изисквания за домейни
Преди да следвате задачите в потока от задачи за разполагане на Cisco Directory Connector, имайте предвид следните изисквания и препоръки, ако ще синхронизирате информация от Active Directory от множество домейни в облака:
-
За всеки домейн се изисква отделен екземпляр на Directory Connector.
-
Софтуерът на Directory Connector трябва да се изпълнява на хост, който е на същия домейн, който ще се синхронизира.
-
Препоръчваме ви да потвърдите или заявите своите домейни в Control Hub. (Вижте Добавяне, потвърждаване и заявяване на домейни.)
-
Ако искате да синхронизирате повече от 50 домейна, трябва да отворите билет , за да преместите организацията си в голям списък на организацията.
-
Ако желаете, можете да синхронизирате информацията за ресурсите на стаята заедно с потребителските акаунти. (Вижте Синхронизиране на информация за локалните стаи с облака на Webex.)
Препоръки за група от Active Directory за автоматично задаване на лицензи
Групите в Active Directory се използват за събиране на потребителски акаунти, компютърни акаунти и други групи в управляеми единици. Работата с групи, а не с отделни потребители, помага за опростяване на поддръжката и администрирането на мрежата.
В Active Directory има два типа групи:
-
Групи за разпространение – използват се за създаване на списъци за разпространение по имейл.
-
Групи за защита – използват се за присвояване на разрешения на споделени ресурси.
Имайте предвид следните указания, когато създавате групи в Active Directory:
-
Създайте глобална група за всяка роля, отдел или услуга (като продажби, маркетинг, мениджъри, счетоводители, лицензиране на Webex и т.н.).
-
Използвайте стандартни конвенции за именуване във вашата организация, за да улесните идентифицирането на важна информация за дадена група. Имената на групи могат да включват подробности за групата, като например нивото на достъп, типа на ресурсите, нивото на защита, обхвата на групата, възможностите за поща и т.н. Например името на групата „GSG_Webex_Licensing_EMEAR“ се отнася за глобална група за защита за потребители на EMEAR за Webex Licensing.
-
Организирайте групи по лесен за разбиране начин, например по географска или управленска йерархия. Използвайте описания на групи, за да опишете напълно целта на групата.
-
Преди да добавите потребители към новоосигурените групи, дефинирайте шаблона за група за автоматично лицензиране в Control Hub за тези групи. Вижте Настройване на вашия шаблон за автоматично задаване на лицензи за повече информация.
Информация за оразмеряване
Directory Connector работи като мост между локалната Active Directory и облака на Webex. Като такъв конекторът няма горно ограничение за това колко обекти от Active Directory могат да бъдат синхронизирани с облака. Всички ограничения в локалните директории обекти са обвързани със специфичната версия и спецификациите за средата на Active Directory, която се синхронизира с облака, а не със самия конектор.
Няколко фактора могат да повлияят на скоростта на синхронизацията:
-
Общият брой обекти в Active Directory. (Задание за синхронизиране на 5000 потребители няма да отнеме толкова време, колкото 50000.)
-
Скорост на мрежата и честотна лента.
-
Работно натоварване на системата и спецификации.
Ако синхронизирате повече от 50 000 потребители, настоятелно препоръчваме да използвате втори конектор за отказ и резервиране.
Тъй като при синхронизирането са включени няколко фактора и тъй като всяко разгръщане варира в зависимост от горните фактори, не можем да предоставим конкретни стойности за време за това колко време ще отнеме синхронизирането на обекта.
Проверка на SafeDllSearchMode в регистъра на Windows
Режимът на търсене в библиотеката с безопасни динамични връзки (DLL) е зададен по подразбиране в регистъра на Windows и по-късно поставя текущата директория на потребителя в реда на търсене в DLL. Ако този режим по някакъв начин е деактивиран, атакуващият може да постави злонамерен DLL (наречен същото като препратен DLL файл, който се намира в системната папка) в текущата работеща директория на приложението.
Обикновено SafeDllSearchMode е активиран, но използвайте тази процедура, за да проверите двукратно настройките на системния регистър.
Преди да започнете
Промените в регистъра на Windows трябва да се правят с изключително внимание. Препоръчваме ви да направите резервно копие на своя регистър, преди да използвате тези стъпки.
| 1 |
В търсенето на Windows или прозореца „Изпълнение“ въведете Regedit и след това натиснете Enter. |
| 2 |
Отидете на HKEY_ЛОКАЛНАТА МАШИНА_\Система\CurrentControlSet\Control\Диспечер на сесии. |
| 3 |
Изберете един:
|
За повече информация вижте Поръчка за търсене в библиотеката с динамични връзки.
Интегриране на уеб прокси сървър
Интегриране на уеб прокси сървър
Ако удостоверяването на уеб прокси е активирано във вашата среда, все още можете да използвате Directory Connector.
Ако вашата организация използва прозрачен уеб прокси, тя не поддържа удостоверяване. Конекторът успешно се свързва и синхронизира потребителите.
Можете да използвате един от следните подходи:
-
Изрично уеб прокси сървър чрез Internet Explorer (конекторът наследява настройките на уеб прокси сървъра)
-
Изрично уеб прокси сървър през .pac файл (конекторът наследява специфичните за предприятието настройки на прокси сървър)
-
Прозрачен прокси сървър, който работи с конектора без никакви промени
Използване на уеб прокси сървър през браузъра
Можете да настроите Directory Connector да използва уеб прокси сървър през Internet Explorer.
Ако услугата Cisco DirSync се изпълнява от акаунт, различен от текущо влезлия потребител, трябва също да влезете с този акаунт и да конфигурирате уеб прокси сървър.
| 1 |
От Internet Explorer отидете на Опции за интернет, щракнете върху Връзки и след това изберете LAN настройки. |
| 2 |
Посочете екземпляра на Windows, където конекторът е инсталиран на вашия уеб прокси сървър. Конекторът наследява тези настройки за уеб прокси сървър. |
| 3 |
Ако средата ви използва удостоверяване чрез прокси сървър, добавете тези URL адреси към списъка с разрешени:
Можете да извършите това или за целия сайт (за всички организатори), или само за организатора, който има конектора. Ако добавите тези URL адреси към списък с разрешени, за да заобиколите напълно вашия уеб прокси сървър, се уверете, че таблицата ACL на защитната стена е актуализирана, за да се позволи на хоста на конектора да има директен достъп до URL адресите. |
| 4 |
Ако средата ви трябва да поиска списъци за анулиране на сертификати от сертифициращите органи, добавете тези URL адреси към списъка с разрешени:
За повече информация вижте тази статия за домейните и URL адресите, които трябва да бъдат достъпни за услугите на Webex. |
Конфигуриране на уеб прокси сървър чрез PAC файл
Можете да конфигурирате браузър на клиент да използва .pac файл. Този файл предоставя адреса на уеб прокси сървъра и информация за порт. Directory Connector директно наследява специфичната за предприятието конфигурация на уеб прокси сървъра.
| 1 |
За да може конекторът успешно да свърже и синхронизира потребителската информация с облака на Webex, се уверете, че удостоверяването с прокси сървър е деактивирано за |
| 2 |
Ако средата ви използва удостоверяване чрез прокси сървър, добавете тези URL адреси към списъка с разрешени:
Можете да извършите това или за целия сайт (за всички организатори), или само за организатора, който има конектора. Ако добавите тези URL адреси към списък с разрешени, за да заобиколите напълно вашия уеб прокси сървър, се уверете, че таблицата ACL на защитната стена е актуализирана, за да се позволи на хоста на конектора да има директен достъп до URL адресите. |
| 3 |
Ако средата ви трябва да поиска списъци за анулиране на сертификати от сертифициращите органи, добавете тези URL адреси към списъка с разрешени:
За повече информация вижте тази статия за домейните и URL адресите, които трябва да бъдат достъпни за услугите на Webex. |
NTLM прокси сървър
Directory Connector поддържа NT LAN диспечер (NTLM). NTLM е един подход за поддържане на удостоверяване на Windows сред устройствата на домейна и гарантиране на тяхната сигурност.
NTLM дизайн
В повечето случаи потребителят иска достъп до други ресурси на работна станция чрез клиентски компютър, което може да е трудно да се направи по сигурен начин.
Като цяло техническият дизайн на NTLM се основава на механизъм за предизвикателство
и отговор
:
-
Потребителят влиза в клиентския компютър чрез акаунт и парола за Windows. Паролата никога не се записва локално. Вместо обикновена текстова парола, хеш стойността на паролата се съхранява локално. Когато потребителят влезе чрез паролата към клиента, операционната система Windows сравнява съхранената стойност на хеширане и стойността на хеширането от входната парола. Ако и двете са еднакви, удостоверяването преминава.
Когато потребителят иска достъп до някой ресурс на друг сървър, клиентът изпраща заявка към сървъра с името на акаунта в обикновен текст.
-
Когато сървърът получи заявката, сървърът генерира 16-битов случаен ключ. Ключът се нарича предизвикателство (или nonce). Преди сървърът да се върне към клиента, предизвикателството се съхранява в сървъра. И след това сървърът изпраща предизвикателството до клиента в обикновен текст.
-
Веднага след като клиентът получи предизвикателството, изпратено от сървъра, клиентът шифрова предизвикателството с хеш стойността, която е спомената в стъпка 1. След шифроване стойността се изпраща обратно към сървъра.
-
Когато сървърът получи шифрованата стойност от клиента, сървърът я изпраща на контролера на домейна за потвърждение. Искането включва: името на акаунта, шифрованото предизвикателство, което клиентът е изпратил, и първоначалното недвусмислено предизвикателство.
-
Контролерът на домейна може да извлече хешираните стойности на паролата според името на акаунта. И тогава домейнов контролер може да шифрира първоначалното предизвикателство. След това контролерът на домейна може да сравни с получената стойност на хеш и шифрованата стойност на хеш. Ако те са еднакви, проверката е успешна.
Windows има вградено удостоверяване на защитата в операционната система, което улеснява приложенията да поддържат удостоверяване на защитата. В резултат на това не е необходимо да извършвате допълнително конфигуриране.
Конфигуриране на прозрачно прокси
В този сценарий браузърът не знае, че прозрачен уеб прокси сървър прихваща http заявки (порт 80/порт 443) и не се изисква конфигуриране от страна на клиента.
| 1 |
Разположете прозрачен прокси сървър, така че конекторът да може да свързва и синхронизира потребители. |
| 2 |
Потвърдете, че прокси сървърът е успешен – ще видите очакван изскачащ прозорец за удостоверяване на браузъра при стартиране на конектора. |
Задаване на удостоверяване в прокси сървър
Добавете URL адреса cloudconnector.webex.com към своя списък с разрешени, като създадете списък за контрол на достъпа.
На вашия корпоративен сървър на защитна стена:
| 1 |
Активирайте търсенето на DNS, ако вече не е активирано. |
| 2 |
Определете приблизителна скорост на предаване за тази връзка (приблизително 2 mb/s или по-малко за конектора). Това може да не е необходимо. |
| 3 |
Създайте списък за управление на достъпа, който да приложите към хоста на конектора, и посочете Например: access-list 2000 acl-inside extended permit TCP [IP на конектора] cloudconnector.webex.com eq https |
| 4 |
Приложете този ACL към подходящия интерфейс на защитната стена, който е приложим само за този хост с един конектор. |
| 5 |
Уверете се, че от останалите организатори във вашето предприятие все още се изисква да използват вашия уеб прокси сървър, като конфигурират съответната декларация за отказ. |
Разполагане на конектор за указател
Поток на задачи за разполагане на Cisco Directory Connector
Преди да започнете
| 1 |
Инсталиране на конектор за указател Control Hub първоначално показва синхронизирането на указатели като деактивирано. За да включите синхронизирането на указатели за вашата организация, трябва да инсталирате и конфигурирате Directory Connector и след това да извършите успешно пълно синхронизиране. За ново инсталиране на Directory Connector винаги отидете в Control Hub ( https://admin.webex.com), за да получите най-новата версия на софтуера, така че да използвате най-новите функции и корекции на грешки. След като инсталирате софтуера, надстройките се отчитат чрез софтуера и се инсталират автоматично, когато са налични. |
| 2 |
Влезте с идентификационните си данни на администратор на Webex и изпълнете първоначалната настройка. |
| 3 |
Задаване на автоматични надстройки Винаги е важно да поддържате софтуера си Directory Connector актуален до най-новата версия. Препоръчваме ви да използвате тази процедура, за да позволите автоматичните надстройки на софтуера да се инсталират мълчаливо, когато са налични. |
| 4 |
Избор на обекти в Active Directory за синхронизиране По подразбиране Directory Connector синхронизира всички потребители, които не са компютри, и всички групи, които не са критични системни обекти за даден домейн. За повече контрол върху това кои обекти се синхронизират, можете да изберете конкретни потребители, за да синхронизирате и посочите LDAP филтрите, като използвате страницата за избор на обект в Directory Connector. |
| 5 |
Съпоставяне на потребителски атрибути Можете да съпоставяте атрибути от вашата локална Active Directory със съответни атрибути в облака. Единственото задължително поле е *uid. |
| 6 |
Синхронизирайте аватарите на указатели, като използвате една от следните процедури:
Можете да синхронизирате аватарите на вашите потребители с облака, така че да се показва аватара на всеки потребител, когато той влезе в приложението. Можете да синхронизирате аватарите от атрибут на Active Directory или ресурсен сървър. |
| 7 |
Синхронизиране на информацията за локалните стаи с облака на Webex Използвайте тази процедура, за да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака устройства за стая, като устройство Webex Room или Cisco Webex Board |
| 8 |
За да осигурите Потребители От Active Directory В Control Hub, изпълнете следните стъпки:
Следвайте тази последователност, за да осигурите потребители на Active Directory за акаунтите за приложението Webex. Можете да осигурите потребители от множество горски или множество домейни, разполагане на Active Directory за Directory Connector 3.0 и по-нови версии. По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. Целта е да имате точно съвпадение между вашите Active Directories и облака на Webex. |
Инсталиране на конектор за указател
Control Hub първоначално показва синхронизирането на указатели като деактивирано. За да включите синхронизирането на указатели за вашата организация, трябва да инсталирате и конфигурирате Directory Connector и след това да извършите успешно пълно синхронизиране.
Трябва да инсталирате един конектор за всеки домейн на Active Directory, който искате да синхронизирате. Един екземпляр на Directory Connector може да обслужва само един домейн. Вижте следната схема, за да разберете потока за синхронизиране на множество домейни:
Преди да започнете
Ако се удостоверявате чрез прокси сървър, се уверете, че имате своите идентификационни данни за прокси сървър:
-
За базово удостоверяване в прокси сървър ще въведете потребителското име и паролата, след като инсталирате екземпляр на конектора. Конфигурацията на прокси сървъра на Internet Explorer се изисква също и за базово удостоверяване; вижте Използване на уеб прокси сървър през браузъра
-
За прокси NTLM може да видите грешка, когато отворите конектора за първи път. Вижте Използване на уеб прокси сървър през браузъра.
| 1 |
В Control Hub отидете на и изберете Напред. |
| 2 |
Щракнете върху връзката Изтегляне и инсталиране, за да запишете най-новата версия на .zip файла за инсталиране на конектор на вашия VMware или сървър на Windows. Можете да получите .zip файла директно от тази връзка, но трябва да имате пълен администраторски достъп до организация на Control Hub, за да работи този софтуер. За нова инсталация получете най-новата версия на софтуера, така че да използвате най-новите функции и корекции на грешки. След като инсталирате софтуера, надстройките се отчитат чрез софтуера и се инсталират автоматично, когато са налични. |
| 3 |
На сървъра на VMware или Windows разархивирайте и изпълнете .msi файла в папката за настройка, за да стартирате съветника за настройка. |
| 4 |
Щракнете върху Напред, поставете отметка в квадратчето, за да приемете лицензионното споразумение и след това щракнете върху Напред, докато видите екрана за тип на акаунта. |
| 5 |
Изберете типа акаунт за услуга, който искате да използвате, и изпълнете инсталирането с акаунт на администратор:
За да избегнете грешки, се уверете, че са въведени следните привилегии:
|
| 6 |
Щракнете върху Инсталиране. След като тестът на мрежата се изпълни и ако бъдете подканени, въведете основните идентификационни данни за прокси сървъра, щракнете върху OK и след това щракнете върху Край. |
Какво да направите след това
Препоръчваме да рестартирате сървъра след инсталирането. Отчетът за пробно изпълнение не може да покаже правилния резултат, когато данните не са били освободени. При рестартиране на машината всички данни се опресняват, за да се покаже точен резултат в отчета.
Влизане В Directory Connector
Преди да започнете
Уверете се, че имате идентификационните си данни за прокси сървъра.
-
За основно удостоверяване на прокси сървъра ще въведете потребителското име и паролата, след като отворите конектора за първи път.
-
За NTLM на прокси сървър отворете Internet Explorer, щракнете върху иконата на зъбно колело, отидете на Опции за интернет > Връзки > Настройки на LAN, осигурете добавена информация за прокси сървъра, след което щракнете върху OK. Вижте Използване на уеб прокси сървър през браузъра.
| 1 |
Отворете конектора и след това добавете |
| 2 |
Ако получите подкана, влезте с идентификационните си данни за удостоверяване на прокси сървъра и след това влезте в Webex с помощта на администраторския си акаунт и щракнете върху Напред. |
| 3 |
Потвърдете вашата организация и домейн.
|
| 4 |
След като се появи екранът Потвърждаване на организацията, щракнете върху Потвърждаване. Ако вече сте свързали AD DS/AD LDS, се появява екранът Потвърждаване на организацията. |
| 5 |
Щракнете върху Потвърждаване. |
| 6 |
Изберете един, в зависимост от броя домейни на Active Directory, които искате да свържете с Directory Connector:
|
Какво да направите след това
След като влезете, ще бъдете подканени да извършите пробно изпълнение на синхронизиране.
Табло за конектори за указатели
Когато за първи път влезете в Directory Connector, се появява таблото. Тук можете да видите обобщение на всички дейности по синхронизиране, да видите статистика за облака, да извършите пробно изпълнение на синхронизиране, да започнете пълно или постепенно синхронизиране и да стартирате изгледа на събитието, за да видите информация за грешките.
Можете лесно да изпълнявате тези задачи от лентата с инструменти за действия или менюто „Действия“.
|
Компонент |
Описание |
|---|---|
|
Текущо синхронизиране |
Показва информация за статуса относно протичащата в момента синхронизация. Когато не се изпълнява синхронизиране, дисплеят за статус е свободен. |
|
Следващо синхронизиране |
Показва следващото планирано пълно и постепенно синхронизиране. Ако не е зададен график, се показва Непланирани. |
|
Последно синхронизиране |
Показва статуса на последните две извършени синхронизации. |
|
Статус на текущата синхронизация |
Показва общия статус на синхронизирането. |
|
Конектори |
Показва текущите локални конектори, които са достъпни за облака. |
|
Статистика за облака |
Показва общия статус на синхронизирането. |
|
График за синхронизиране |
Показва графика на синхронизиране за постепенно и пълно синхронизиране. |
|
Резюме на конфигурацията |
Изброява настройките, които сте променили в конфигурацията. Например обобщението може да включва следното:
|
| Действие | Описание |
|---|---|
| Започване на постепенно синхронизиране |
Ръчно стартиране на поетапно синхронизиране Това действие се деактивира, когато поставите на пауза или деактивирате синхронизирането, ако не е завършено пълно синхронизиране или ако е в ход синхронизиране. |
|
Пробно изпълнение на синхронизиране |
Извършете синхронизиране на пробно изпълнение. |
|
Стартиране на визуализатора на събития |
Стартирайте Microsoft Event Viewer. |
|
Обнови |
Обновяване на таблото на Cisco Directory Connector |
|
Действие |
Описание |
|---|---|
| Синхронизирай сега |
Незабавно започнете пълна синхронизация. |
|
Режим на синхронизиране |
Изберете режим на постепенно синхронизиране или режим на пълно синхронизиране. |
|
Нулиране на тайната на конектора |
Установете разговор между Cisco Directory Connector и услугата конектор. Ако изберете това действие, ще бъде нулирана тайната в облака и след това ще я бъде записана локално. |
|
Пробно изпълнение |
Изпълнете тест на процеса на синхронизиране. Трябва да изпълните пробно изпълнение, преди да извършите пълно синхронизиране. |
|
Отстраняване на неизправности |
Включване/изключване на отстраняването на неизправности. |
|
Обнови |
Опреснете главния екран на Cisco Directory Connector. |
|
Изход |
Изход от Cisco Directory Connector. |
|
Клавишна комбинация |
Действие |
|---|---|
|
Alt+A |
Показване на менюто Действия |
|
|
Синхронизиране сега |
|
|
Нулиране на тайната на конектора |
|
|
Пробно изпълнение |
|
|
Постепенно синхронизиране |
|
|
Пълно синхронизиране |
|
|
Показване на менюто Помощ |
|
|
Помощ |
|
|
За програмата |
|
|
чзв |
Задаване на автоматични надстройки
| 1 |
От Directory Connector отидете на , и след това проверете Автоматично надстройване до новата версия на Cisco Directory Connector. |
| 2 |
Щракнете върху Прилагане, за да запишете промените си. |
Новите версии на конектора се инсталират автоматично, когато са налични.
Можете да управлявате надстройките ръчно, ако предпочитате. Вижте Надстройване до най-новото издание на софтуера за повече информация.
Избор на обекти в Active Directory за синхронизиране
По подразбиране Directory Connector синхронизира всички потребители, които не са компютри, и всички групи, които не са критични системни обекти за даден домейн. За повече контрол върху това кои обекти се синхронизират, можете да изберете конкретни потребители, за да синхронизирате и посочите LDAP филтрите, като използвате страницата за избор на обект в Directory Connector.
Групи за автоматично задаване на лицензи
Control Hub ви позволява да управлявате задаванията на лицензи за всяка група. Можете да създадете шаблони за лицензи и да ги нанесете към групи на Active Directory, които синхронизирате с облака. В момента на създаването на потребител Webex проверява членството на потребителя и съпоставянето на шаблони за автоматично разпределение на лицензи за този нов потребител.
Препоръчваме ви да използвате LDAP филтър само за синхронизиране на съответните групи с облака. Например можете да зададете филтъра на:
(&(cn=Пример)(objectclass=Група))*
Този филтър синхронизира всички групи в базовия DN, където името започва с „Пример“. На потребителите, които не са зададени на групи, се задават лицензи от шаблона за автоматични лицензи по подразбиране, който сте конфигурирали в Control Hub.
Групи за разполагания на хибридна защита на данни
В Directory Connector трябва да проверите Групи, ако използвате хибридна защита на данни, за да конфигурирате пробна група за пилотни потребители. Вижте Ръководство за разполагане на хибридна защита на данни за насоки. Тази настройка на Directory Connector не засяга синхронизирането на други потребители в облака.
Преди да започнете
Препоръки за група от Active Directory за автоматично задаване на лицензи
| 1 |
От Directory Connector отидете на Конфигурация , след което щракнете върху Избор на обект. |
| 2 |
В раздела Тип обект отметнете Потребители и помислете за ограничаване на броя на контейнерите, които могат да се търсят, за потребителите. Ако искате да синхронизирате само потребителите в определена група, например трябва да въведете LDAP филтър в полето Филтри за LDAP потребители. Ако искате да синхронизирате потребители, които са в групата на примерния мениджър, използвайте филтър като този:
|
| 3 |
Отметнете Идентифициране на стаята, за да отделите данните за стаята от данните за потребителите. Щракнете върху Персонализиране, ако искате да настроите допълнителни атрибути за идентифициране на потребителски данни като данни за стаи. Използвайте тази настройка, ако искате да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака устройства за стая. За повече информация вижте Синхронизиране на информацията за локалните стаи с облака на Webex. |
| 4 |
Отметнете Групи, ако искате да синхронизирате потребителските си групи от Active Directory към облака. Не добавяйте LDAP филтър за синхронизиране на потребители към полето „Групи“. Трябва да използвате полето „Групи“ само, за да синхронизирате самите данни на групата с облака. По подразбиране групите не се синхронизират за нови клиенти. Трябва да активирате синхронизирането на групи. Трябва също така да синхронизирате групите за защита. |
| 5 |
Отметнете Контакти, ако искате да синхронизирате информацията за контакт на потребителите с облака. Directory Connector управлява само контактите, синхронизирани от конектора. Ако вече има контакти в Control Hub, синхронизирането не ги изтрива. Ако контактите бъдат премахнати от обхвата на синхронизацията, информацията за контакт на потребителите също ще бъде премахната в Control Hub. |
| 6 |
Конфигурирайте LDAP филтрите. Можете да добавите разширени филтри, като предоставите валиден LDAP филтър. Вижте тази статия за повече информация относно конфигурирането на LDAP филтри. |
| 7 |
Задайте DN на локалната база за синхронизиране, като щракнете върху Избор, за да видите дървената структура на вашия Active Directory. От тук можете да изберете или премахнете избора кои контейнери да търсите. |
| 8 |
Проверете дали обектите, които искате да добавите за тази конфигурация, и щракнете върху Избор. Можете да изберете отделни или родителски контейнери, които да използвате за синхронизиране. Изберете родителски контейнер, за да активирате всички детски контейнери. Ако изберете контейнер за деца, главният контейнер показва сива отметка, която показва, че детето е било отметнато. След това можете да щракнете върху Избор, за да приемете контейнерите в Active Directory, които сте проверили. Ако вашата организация поставя всички потребители и групи в контейнера за потребители, не е необходимо да търсите други контейнери. Ако вашата организация е разделена на организационни единици, се уверете, че сте избрали OUs. |
| 9 |
Щракнете върху Прилагане. Изберете опция:
За информация за пробните изпълнения вижте Извършване на синхронизиране на пробно изпълнение на вашите потребители в Active Directory. За синхронизиране на група трябва да извършите пълно синхронизиране: Извършване на пълно синхронизиране на потребителите на Active Directory в облака. |
Съпоставяне на потребителски атрибути
Можете да съпоставяте атрибути от вашата локална Active Directory със съответни атрибути в облака. Единственото задължително поле е *uid, уникален идентификатор за всеки потребителски акаунт в услугата за самоличност в облака.
Можете да изберете кой атрибут на Active Directory да съпоставите с облака – например можете да съпоставите firstName lastName в Active Directory или потребителски израз на атрибут, за да displayName в облака.
Акаунтите в Active Directory трябва да имат имейл адрес; по подразбиране uid се съпоставя с полето за реклама на поща (не sAMAccountName).
Ако изберете предпочитаният език да идва от вашата Active Directory, тогава Active Directory е единственият източник на истина: потребителите няма да могат да променят настройката си за език в настройките на Webex, а администраторите няма да могат да променят настройката в Control Hub.
| 1 |
От Directory Connector щракнете върху Конфигурация и след това изберете Съпоставяне на потребителски атрибути. Тази страница показва имената на атрибутите за Active Directory (отляво) и облака на Webex (отдясно). Всички задължителни атрибути са маркирани с червена звезда. |
| 2 |
Превъртете надолу до долната част на Имена на атрибути на Active Directory и след това изберете един от тези атрибути на Active Directory, за да съпоставите с атрибута uid в облака:
Можете да съпоставите всеки от другите атрибути на Active Directory към uid, но ви препоръчваме да използвате mail или userPrincipalName, както е описано в указанията по-горе. В някои случаи потребителятPrincipalName се използва за влизане, но имейл адресът на потребителя се използва за управление на календара му. Трябва да гарантирате, че имейл адресът за управление на календара се съпоставя с полето за основен имейл адрес в Webex. Добавете потребителскотоPrincipalName като алтернативен имейл адрес. За да видите с кои атрибути в Active Directory съответстват в облака, вижте Съпоставяне на атрибути в Active Directory в Directory Connector. За да работи синхронизирането, трябва да се уверите, че атрибутът Active Directory, който изберете, е във формат на имейл. Directory Connector показва изскачащ прозорец, за да ви напомни, ако не изберете някой от препоръчителните атрибути. |
| 3 |
Ако предварително дефинираните атрибути на Active Directory не работят за разполагането ви, щракнете върху падащия атрибут, превъртете до дъното и след това изберете Персонализиране на атрибут, за да отворите прозорец, който ви позволява да дефинирате израз на атрибут. Щракнете върху Помощ, за да получите повече информация за изразите и да видите примери за това как работят изразите. Можете също да видите Изрази за персонализирани атрибути за повече информация. В този пример нека съпоставим атрибутите на Active Directory
Directory Connector проверява стойността на атрибута на uid в услугата за самоличност и извлича 3 налични потребители в текущите опции за филтриране на потребители. Ако всички тези 3 потребители имат валиден имейл формат, Cisco Directory Connector показва следното съобщение:
Ако атрибутът не може да бъде потвърден, ще видите следното предупреждение и можете да се върнете в Active Directory, за да проверите и коригирате потребителските данни:
|
| 4 |
(По избор) Изберете съпоставяния за мобилен и телефоненНомер, ако искате мобилните и работните номера да се показват например в картата за контакт на потребителя в приложението Webex. Данните за телефонните номера се появяват в приложението Webex, когато потребителят премине с мишката върху профилната снимка на друг потребител. За повече информация относно повикванията от карта за контакт на потребителя вижте Повиквания в Webex (Unified CM) Ръководство за разполагане (администратори). |
| 5 |
Изберете допълнителни съпоставяния, за да се показват повече данни в картата за контакт:
След като атрибутите са съпоставени, информацията се появява, когато потребителят премине с мишката над профилната снимка на друг потребител:
За повече информация относно картата за контакт вижте Проверете с кого се свързвате. След като тези атрибути бъдат синхронизирани с всеки потребителски акаунт, можете също да включите „Информация за участниците“ в Control Hub. Тази функция позволява на потребителите на приложението Webex да споделят повече информация в своите профили и да научат повече за себе си. За повече информация относно функцията и как да я активирате, вижте Профили за информация за участниците за Webex, Jabber, Webex Meetings и Webex Events (нов) в Control Hub |
| 6 |
След като направите избора си, щракнете върху Прилагане. |
Всички потребителски данни, които се съдържат в Active Directory, презаписват данните в облака, които съответстват на този потребител. Например, ако сте създали потребител ръчно в Control Hub, имейл адресът на потребителя трябва да бъде идентичен с имейла в Active Directory. Всеки потребител без съответстващ имейл адрес в Active Directory се изтрива.
Изтритите потребители се съхраняват в услугата за самоличност в облака за 7 дни, преди да бъдат окончателно изтрити.
Атрибути на Active Directory и облака
Можете да съпоставяте атрибути от вашата локална Active Directory със съответните атрибути в облака, като използвате раздела Съпоставяне на потребителски атрибути.
Тази таблица сравнява съпоставянето между имената на атрибути на Active Directory и имената на атрибути на Cisco в облака. Тези стойности и съпоставяния са настройката по подразбиране в Directory Connector. Можете да изберете различни атрибути в падащия списък на Active Directory и да определите кой локален атрибут се синхронизира с кой атрибут в облака.
Мислете за падащите атрибути като предварителни настройки. Като алтернатива на стойностите в реда на Active Directory, можете също да зададете персонализиран атрибут, ваша предварителна настройка, в Active Directory (израз с множество атрибути), за да се съпостави с един атрибут в облака в съответния ред. По този начин имате гъвкавостта да определите показваните имена на вашите потребители – например можете да добавите израз, който създава персонализиран атрибут въз основа на името на служителя, дадено име и фамилното име в Active Directory.
Можете също да зададете всеки от атрибутите на Active Directory, който да съпоставите с uid в облака. Трябва обаче да се уверите, че локалният атрибут следва валиден формат на имейл.
Можете да използвате и алтернативни имейл адреси, ако например искате да използвате userPrincipalName за влизане, но имейл адресът на потребителя се използва за управление на неговия календар. В този случай съпоставете друг имейл адрес с атрибута имейлите;тип-работа. Това е имейлът, който се използва за удостоверяване; той не се използва за управление на вашия календар. Имейл адресът, който съпоставяте от AD, трябва да е от потвърден домейн във вашата организация и да е уникален и да не е зададен на друг потребител.
|
Имена на атрибути в Active Directory |
Имена на атрибути в облака на Webex |
Бележки |
|---|---|---|
|
— |
сградаName |
— |
|
в |
в |
Този атрибут указва съкращението на страната на потребителя. |
|
отделНомер |
отделНомер |
Този атрибут се използва за номера на отдел на потребителя, който се появява в картата за контакт и Информация за участниците. |
|
показвано име |
показвано име |
Този атрибут се използва за показвано име на потребителския акаунт, което се появява в контролния център, картата за контакт и информация за участниците. |
|
управление на потребителския акаунт |
ds-pwp-акаунт деактивиран |
Този атрибут се използва за синхронизиране на потребители. Уверете се, че атрибутът userAccountControl е съпоставен с ds-pwp-account-disabled, или потребителите няма да бъдат синхронизирани правилно. |
|
служителНомер |
служителНомер |
— |
|
факсимилеТелефонНомер |
факсимилеТелефонНомер |
— |
|
— |
jabberID |
Този атрибут в облака е свързан с адресите за незабавни съобщения (тип XMPP), които се използват от Jabber. Тази стойност не е същата като sipAddresses. |
|
л |
л |
Този атрибут указва града на потребителя. |
|
— |
езикова променлива |
— |
|
мениджър |
мениджър |
Този атрибут се използва за името на мениджъра на потребителя, което се появява в картата за контакт и Информация за участниците. |
|
мобилен |
мобилен |
Този атрибут се използва като мобилен номер, който се появява за повикване на потребителя от картата за контакт. |
|
или |
или |
Този атрибут указва името на компанията или организацията и се появява в картата за контакт. |
|
или |
или |
Този атрибут указва името на организационната единица. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Този атрибут указва местоположението на офиса на потребителя. |
|
пощенски код |
пощенски код |
Този атрибут указва пощенския или zip кода на потребителя за физическа доставка на поща. |
|
предпочитанLanguage |
предпочитанLanguage |
Този атрибут задава предпочитания език за потребителя и се поддържат следните формати: xx_YY или xx-YY. Ето няколко примера: en_US, EN_GB, fr-CA. Ако използвате неподдържан език или невалиден формат, предпочитаният език на потребителите ще се промени на езика, зададен за организацията. |
|
MSRTCSIP – ОсновенUserAddress ipPhone |
SipAddresses; type=предприятие |
Този атрибут се използва за синхронизиране на информацията за локалната стая от Active Directory в облака на Cisco Webex. |
|
шшшт |
шшшт |
Този атрибут се използва за фамилното име на потребителския акаунт, което се появява в контролния център, картата за контакт и информация за участниците. |
|
-ви |
-ви |
Този атрибут указва щата или провинцията на потребителя. |
|
улицаAddress |
улица |
Този атрибут указва уличния адрес на потребителя за физическа доставка на поща. |
|
телефонНомер |
телефонНомер |
Този атрибут указва основния (служебен) телефонен номер на потребителя, който се използва за повикване на потребителя от картата за контакт. |
|
— |
часова зона |
Този атрибут за облака указва часовата зона на потребителя. |
|
заглавие |
заглавие |
Този атрибут указва заглавието на потребителя, което се появява в картата за контакт и информация за участниците. |
|
тип |
предприятие |
— |
|
*поща *потребителPrincipalName |
uid |
Задължително съпоставяне на атрибути. За всеки потребителски акаунт стойността на Active Directory се съпоставя с уникален uid в облака. В някои случаи потребителятPrincipalName се използва за влизане, но имейл адресът на потребителя се използва за управление на календара му. Трябва да гарантирате, че имейл адресът за управление на календара се съпоставя с полето за основен имейл адрес в Webex. Добавете потребителскотоPrincipalName като алтернативен имейл адрес. След това потребителят може да използва всеки от тези имейл адреси, за да влезе, стига да е налице правилното съпоставяне на SAML атрибути. Вижте съпоставяне на примерен атрибут по-долу за това как бихте могли да съпоставите алтернативен имейл адрес. |
|
*потребителPrincipalName *поща <персонализиран атрибут> |
имейли;тип работа |
Това съпоставяне е по желание, използвайте го, ако искате да използвате алтернативни имейл адреси. Това е имейлът, който се използва за удостоверяване; той не се използва за управление на вашия календар. Имейл адресът, който съпоставяте от AD, трябва да е от потвърден домейн във вашата организация и да е уникален и да не е зададен на друг потребител. |
|
<Нов атрибут за Azure user objectId> |
външенId |
Създайте нов атрибут на Active Directory, за да задържите Azure user objectId, така че да не влиза в конфликт със съществуващ. След това този атрибут се съпоставя с атрибута externalId, като се гарантира, че когато потребителите на Webex създават групи в Microsoft 365, те автоматично създават екипи в Webex. |
Алтернативно съпоставяне на имейл адреси
Изрази за персонализирани атрибути
|
Оператор |
Описание и пример |
|---|---|
|
% |
Премахва всички знаци от началото на низа до позицията на знака или низа аргумент, ако съвпада.
|
|
- |
Стриймва гърба на входния низ от края на посочения низ.
|
|
+ |
Наставя входни низове или изрази.
|
|
| |
Оценява разделените изрази спрямо празния низ и избира първия непразен резултат.
|
Синхронизиране на аватарите на указатели от атрибут на Active Directory към облака
Можете да синхронизирате аватарите на указателя на вашите потребители с облака, така че всеки аватар да се показва, когато те влязат в приложението Webex. Използвайте тази процедура, за да синхронизирате необработени данни за аватар от атрибут на Active Directory.
| 1 |
От Directory Connector отидете на Конфигурация, щракнете върху Аватар и след това отметнете Активиране. |
| 2 |
За Получаване на аватар от изберете атрибут AD и след това изберете атрибута Аватар, който съдържа необработените данни за аватар, които искате да синхронизирате с облака. |
| 3 |
За да проверите дали аватара е достъпен правилно, въведете имейл адреса на потребителя и след това щракнете върху Получаване на аватара на потребителя. Аватарът се появява вдясно. |
| 4 |
След като потвърдите, че аватарът се е появил правилно, щракнете върху Прилагане, за да запишете промените си. |
-
Синхронизираните изображения стават аватар по подразбиране за потребителите в приложението Webex. На потребителите не е позволено да задават собствен аватар, след като тази функция е активирана от Directory Connector.
-
Аватарите на потребителите се синхронизират както с приложението Webex, така и с всички съвпадащи акаунти на сайта на Webex.
Какво да направите след това
Изпълнете пробно синхронизиране; ако няма проблеми, направете пълно синхронизиране, за да получите вашите потребителски акаунти и аватари в Active Directory за синхронизиране в облака и да се появят в Control Hub.
Синхронизиране на аватарите на указатели от ресурсен сървър към облака
Можете да синхронизирате аватарите на указателя на вашите потребители с облака, така че всеки аватар да се показва, когато те влязат в приложението Webex. Използвайте тази процедура за синхронизиране на аватари от ресурсен сървър.
Преди да започнете
-
Моделът на URI и стойността на променливата в тази процедура са примери. Трябва да използвате действителните URL адреси, където се намират аватарите на вашия указател.
-
Моделът на URI на аватара и сървърът, където пребивават аватарите, трябва да са достъпни от приложението Directory Connector. Конекторът се нуждае от http или https достъп до изображенията, но не е необходимо изображенията да са публично достъпни в интернет.
-
Синхронизирането на данни за аватара е отделено от потребителските профили в Active Directory. Ако стартирате прокси сървър, трябва да гарантирате, че данните за аватара могат да бъдат достъпни чрез NTLM удостоверяване или основно удостоверяване.
| 1 |
От Directory Connector отидете на Конфигурация, щракнете върху Аватар и след това отметнете Активиране. |
| 2 |
За Получаване на аватар от изберете Сървър ресурси и след това въведете URI шаблона за аватар – например Нека да разгледаме всяка част от модела на URI за аватара и какво означават те:
|
| 3 |
(По избор) Ако сървърът на ресурси изисква идентификационни данни, отметнете Задаване на идентификационни данни на потребител за аватар, след което или изберете Използване на текущия потребител за влизане в услугата, или Използване на този потребител и въведете паролата. |
| 4 |
Въведете стойността на променливата – например: |
| 5 |
Щракнете върху Тест, за да се уверите, че шаблонът на URI за аватара работи правилно. В този пример, ако стойността на пощата за един запис в AD е |
| 6 |
След като информацията за URI бъде потвърдена и изглежда правилна, щракнете върху Прилагане. За подробна информация относно използването на регулярни изрази вижте Бърза справка за езика на регулярните изрази на Microsoft . |
-
Синхронизираните изображения стават аватар по подразбиране за потребителите в приложението Webex. На потребителите не е позволено да задават собствен аватар, след като тази функция е активирана от Directory Connector.
-
Аватарите на потребителите се синхронизират както с приложението Webex, така и с всички съвпадащи акаунти на сайта на Webex.
Какво да направите след това
Изпълнете пробно синхронизиране; ако няма проблеми, направете пълно синхронизиране, за да получите вашите потребителски акаунти и аватари в Active Directory за синхронизиране в облака и да се появят в Control Hub.
Синхронизиране на информацията за локалните стаи с облака на Webex
Използвайте тази процедура, за да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака Webex устройства (Room, Desk и Board).
| 1 |
От Directory Connector отидете на Синхронизиране, щракнете върху още |
| 2 |
Отметнете Синхронизиране на информацията за стаята с облака, за да отделите данните на стаята от данните на потребителите по време на синхронизацията. Когато тази настройка е деактивирана, данните за стаята се третират по същия начин като данните, синхронизирани от потребителите. |
| 3 |
Отидете на Съпоставяне на атрибути и след това променете съпоставянето на атрибути за атрибута sipAddresses;type=enterprise. За да използвате проверка на стойността, стойността на SIP адреса трябва да е Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Създайте пощенска кутия за ресурси за стая в Exchange. Това добавя атрибута msExchResourceMetaData;ResourceType:Room, който след това конекторът използва, за да идентифицира стаите.
|
| 5 |
От потребителите и компютрите в Active Directory се придвижвайте до и редактирайте свойствата на стаята. Добавете напълно квалифицирания SIP URI с префикс на sip:
|
| 6 |
Извършете пробно синхронизиране и след това пълно синхронизиране в конектора. Новите обекти в стаята са изброени Добавени обекти и съответстващите обекти в стаята се показват в Съответстващи обекти в отчета за пробно изпълнение. Всички предмети на стая, маркирани с флаг за изтриване, са под Стаи изтрити.
Резултатите от пробното изпълнение показват всички съвпадащи ресурси за стаята.
Тази настройка разделя данните на стаята в Active Directory (включително атрибута на стаята) от данните на потребителите. След като синхронизирането завърши, статистиката за облака на таблото на конектора показва данни за стаята, които са били синхронизирани с облака.
|
Какво да направите след това
Сега, след като сте направили тези стъпки, когато извършите търсене на регистрирано в облака устройство Webex, ще видите синхронизираните записи в стаята, които са конфигурирани със SIP адреси. Когато поставите повикване от webex устройството на този запис, се извършва повикване до SIP адреса, конфигуриран за стаята.
От Control Hub можете автоматично да импортирате стаи от вашия указател и да създавате работни области.
Крайната точка не може да започне обратно повикване към приложението Webex. За тестови устройства за набиране тези устройства трябва да бъдат регистрирани като SIP URI локално или някъде извън приложението Webex. Ако системата за стаи Active Directory, която търсите, е регистрирана в Webex и същият имейл адрес е на устройството Webex Room, устройството Desk или Webex Board за услугата за календар, тогава резултатите от търсенето няма да покажат дублирания запис. Устройството Room, Desk или Board се набира директно в приложението Webex и не се извършва SIP повикване.
Изпращане на имейл отчети за резултатите от синхронизирането на указатели
По подразбиране контактите на организацията или администраторите винаги получават известия по имейл. С тази настройка можете да персонализирате кой трябва да получава известия по имейл, които обобщават отчетите за синхронизиране на указатели.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Известие. |
| 2 |
От Directory Connector щракнете върху Настройки, а до Имейл приемник включете Разрешаване на синхронизиране на отчета. |
| 3 |
Отметнете Активиране на уведомяването, ако искате да заместите поведението за уведомяване по подразбиране и да добавите един или повече получатели на имейл. |
| 4 |
Щракнете върху Добавяне и след това въведете имейл адрес. Ако въведете имейл адрес с невалиден формат, се появява съобщение, което ви казва да коригирате проблема, преди да можете да запишете и приложите промените. |
| 5 |
Щракнете върху Добавяне на имейл и след това въведете имейл адрес. Ако въведете имейл адрес с невалиден формат, се появява съобщение, което ви казва да коригирате проблема, преди да можете да запишете и приложите промените. |
| 6 |
Ако трябва да редактирате въведените от вас имейл адреси, щракнете двукратно върху записа на имейла в лявата колона и след това направете всички промени, които трябва да направите. |
| 7 |
След като сте добавили всички валидни имейл адреси, щракнете върху Прилагане. |
| 8 |
След като сте добавили всички валидни имейл адреси, щракнете върху Запиши. |
Какво да направите след това
Ако сте решили, че искате да премахнете имейл адреси, можете да щракнете върху имейл, за да маркирате този запис, и след това да щракнете върху Премахни.
Ако сте решили, че искате да премахнете имейл адреси, можете да щракнете върху Премахване до записи за определени имейл адреси.
Осигуряване на потребители от Active Directory В Control Hub
Изпълнете тези стъпки, за да осигурите потребители на Active Directory и да създадете съответни потребителски акаунти в Control Hub. Можете да осигурите потребителите от разполагане на Active Directory с множество домейни (с една гора или с множество гори), след като инсталирате Directory Connector за всеки домейн. По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. Целта е да имате точно съвпадение между вашите Active Directories и облака на Webex.
| 1 |
Извършване на пробно изпълнение на синхронизиране на потребители от Active Directory Изпълнете пробно изпълнение, за да сравните обекти в локалната Active Directory и обектите в облака на Webex. Пробното изпълнение ви позволява да видите кои обекти ще бъдат добавени, променени или изтрити, преди да стартирате пълно или постепенно синхронизиране и да извършите промените в облака. |
| 2 |
Извършване на пълно синхронизиране на потребителите на Active Directory в облака Когато стартирате пълно синхронизиране, услугата конектор изпраща всички филтрирани обекти от вашия Active Directory (AD) към облака. След това услугата за конектор актуализира хранилището за самоличност с вашите AD записи. Ако сте създали шаблон за автоматично разпределение на лицензи, можете да го зададете на новосинхронизираните потребители. |
| 3 |
Разпределяне на услугите на Webex на синхронизираните с указатели потребители в Control Hub След като завършите пълно синхронизиране на потребителите от Directory Connector в Control Hub, можете да зададете лицензи за услугата на Webex по различни методи. Препоръчваме ви да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory. Можете също да правите отделни промени след тази първоначална стъпка. |
Извършване на пробно изпълнение на синхронизиране на потребители от Active Directory
Изпълнете пробно изпълнение, за да сравните обекти в локалната Active Directory и обектите в облака на Webex. Пробното изпълнение ви позволява да видите кои обекти ще бъдат добавени, променени или изтрити, преди да стартирате пълно или постепенно синхронизиране и да извършите промените в облака.
По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. С Directory Connector целта е да имате точно съвпадение между вашите Active Directories и облака на Webex.
Ако имате няколко домейна в една гора или няколко гори, трябва да направите тази стъпка на всеки от екземплярите на Cisco Directory Connector, които сте инсталирали за всеки домейн на Active Directory.
Преди да започнете
Възможно е вече да имате потребители на приложението Webex в Control Hub, преди да използвате Directory Connector. Сред потребителите в облака някои може да съвпадат с локалния обект на Active Directory и да им бъдат зададени лицензи за услуги. Но някои може да са тестови потребители, които искате да изтриете, докато правите синхронизация. Трябва да създадете точно съвпадение между вашия Active Directory и Control Hub.
| 1 |
Изберете едно:
Когато пробното изпълнение завърши, ще видите един от следните резултати:
Обобщението съдържа информация за съвпадението на обект:
Пробното изпълнение идентифицира потребителите, като ги сравнява с потребителите на домейн. Приложението може да идентифицира потребителите, ако те принадлежат към текущия домейн. В следващата стъпка трябва да решите дали да изтриете обектите или да ги запазите. Несъответстващите обекти се идентифицират като вече съществуващи в облака на Webex, но не съществуващи в локалната Active Directory. |
| 2 |
Прегледайте резултатите от пробното изпълнение и след това изберете опция в зависимост от това дали използвате един домейн или няколко домейна:
|
| 3 |
В подканата Потвърждаване на пробното изпълнение щракнете върху Да, за да извършите отново синхронизирането на пробното изпълнение и вижте таблото, за да видите резултатите. Всички акаунти, които са успешно синхронизирани в пробното изпълнение, се показват под Съвпадащи обекти. Ако потребител в облака няма съответстващ потребител със същия имейл в Active Directory, записът е посочен под Потребители изтрити. За да избегнете това изтриване на флаг, можете да добавите потребител в Active Directory със същия имейл адрес. За да видите подробностите за елементите, които са синхронизирани, щракнете върху съответния раздел за конкретни елементи или Съответстващи обекти. За да запишете обобщената информация, щракнете върху Запиши резултатите във файл. |
| 4 |
Ако се очакват резултатите, отидете на и след това щракнете върху Разрешаване сега, за да извършите ръчно синхронизиране и да го поставите в ръчен режим в този момент. След като извършите синхронизация на последния домейн на Active Directory в разполагането на множество домейни, трябва да активирате автоматичен режим за Directory Connector. Можете да активирате автоматичен режим само когато обектите съвпадат напълно между облака на Webex и всички локални активни директории. |
Какво да направите след това
-
За всички несъответстващи потребителски обекти, които сте запазили, трябва да ги добавите към Active Directory, така че да има точно съвпадение между локално и облака.
-
Изберете тип синхронизиране:
-
По подразбиране се задава постепенно синхронизиране на всеки 30 минути (на версии 3.4 и по-стари) или на всеки 4 часа (на версии 3.5 и по-нови), но можете да промените тази стойност. Постепенното синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране.
-
Ако имате няколко домейна, повторете тези стъпки на всеки друг Directory Connector, който сте инсталирали.
Неща, които трябва да имате предвид
-
Изпълнете пробно изпълнение, преди да активирате пълно синхронизиране или когато промените параметрите за синхронизиране. Ако пробното изпълнение е започнато от промяна в конфигурацията, можете да запишете настройките след завършване на пробното изпълнение. Ако сте добавили потребители ръчно, изпълняването на синхронизиране с Active Directory може да доведе до премахване на добавени преди това потребители. Можете да проверите отчетите за пробно изпълнение на Directory Connector, за да потвърдите, че всички очаквани потребители присъстват, преди да синхронизирате напълно с облака.
-
Ако съответстващите потребители са маркирани да бъдат изтрити и не сте сигурни как да продължите, вижте информация за отстраняване на неизправности и как да се свържете с поддръжката в Отстраняване на неизправности и корекции за Directory Connector.
Изтритите потребители се съхраняват в услугата за самоличност в облака за 7 дни, преди да бъдат окончателно изтрити.
Извършване на пълно синхронизиране на потребителите на Active Directory в облака
Когато стартирате пълно синхронизиране, услугата конектор изпраща всички филтрирани обекти от вашия Active Directory (AD) към облака. След това услугата за конектор актуализира хранилището за самоличност с вашите AD записи. Ако сте създали шаблон за автоматично разпределение на лицензи, можете да го зададете на новосинхронизираните потребители.
Ако имате няколко домейна, трябва да направите тази стъпка на всеки от екземплярите на Directory Connector, които сте инсталирали за всеки домейн на Active Directory.
Directory Connector синхронизира състоянието на потребителския акаунт – В Active Directory всички потребители, които са маркирани като деактивирани, също се появяват като неактивни в облака.
Преди да започнете
-
Ако искате потребителските акаунти на приложението Webex да бъдат в активен статус след пълната синхронизация и преди потребителите да влизат за първи път, трябва да направите следните стъпки, за да заобиколите проверката на имейла:
-
Интегрирайте еднократната идентификация с вашата организация на Webex. Вижте
Еднократна идентификация с услугите на Cisco Webex и доставчика на самоличност на вашата организация
за повече информация. -
Използвайте Control Hub, за да потвърдите и по желание да заявите домейни, съдържащи се в имейл адресите. Вижте
Добавяне, потвърждаване и заявяване на домейни
. -
Потиснете автоматичните имейл покани, така че новите потребители да не получават автоматичната имейл покана за приложението Webex. (Можете да направите собствена имейл кампания.)
Активираните потребители, които не са влезли, се появяват със статус Проверен в Control Hub. След като влязат, те се показват като Активни. За повече информация относно потребителските статуси вижте Потребителски статуси и действия в Cisco Webex Control Hub.
-
-
Когато активирате синхронизирането, Directory Connector първо ви моли да изпълните пробно изпълнение. Препоръчваме да пробвате пробното изпълнение преди пълно синхронизиране, за да видите евентуални грешки.
-
Трябва да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
Ако не използвате шаблони за автоматично разпределение на лицензи, новосинхронизираните потребители автоматично получават безплатни лицензи. Те ще могат да използват същите безплатни функции като тези с безплатни акаунти.
| 1 |
Изберете едно:
|
| 2 |
От Directory Connector отидете на Синхронизиране, щракнете върху повече |
| 3 |
Потвърдете началото на синхронизирането. За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените до 72 часа след извършване на синхронизирането. Можете да се опитате да изчистите локалния кеш за приложението Webex, като следвате следните указания: Windows или Mac.
|
| 4 |
Щракнете върху Обнови, ако искате да актуализирате статуса на синхронизацията. (Синхронизираните елементи се показват под Статистика в облака.) |
| 5 |
За информация за грешките изберете Стартиране на визуализатора на събития от лентата с инструменти Действия, за да видите регистрите на грешки. |
| 6 |
За да зададете график за синхронизиране за текущи инкрементални синхронизации с облака, вижте Задаване на график на конектори и Изпълнение на инкрементално синхронизиране. |
-
След завършване на пълната синхронизация статусът за синхронизиране на указатели се актуализира от Деактивирано на страницата Настройки в Control Hub.
-
Когато всички данни са съчетани между локално и облачно, Directory Connector се променя от ръчен режим в режим на автоматично синхронизиране.
-
Освен ако не интегрирате еднократна идентификация, потвърдите домейни и по избор заявите домейни за имейл акаунтите, които сте синхронизирали, и потиснете автоматизираните имейли, потребителските акаунти в приложението Webex остават в състояние „Непроверен“, докато потребителите не влязат в приложението Webex за първи път, за да потвърдят своите акаунти. Вижте раздела „Преди да започнете“ за указания как да синхронизирате акаунтите като активни потребители.
-
Ако имате няколко домейна, направете тази стъпка на всеки друг Directory Connector, който сте инсталирали. След синхронизацията потребителите във всички домейни, които сте добавили, са изброени в Control Hub.
-
Ако сте интегрирали еднократна идентификация с Webex и потиснати имейл известия, имейл поканите не се изпращат до новосинхронизираните потребители.
-
Не можете да добавяте потребители ръчно в Control Hub, след като Directory Connector е активиран. След като бъде активирано, управлението на потребителите се извършва от Cisco Directory Connector и Active Directory е единственият източник на истина.
-
Всички групи, които сте синхронизирали, се показват в Control Hub и можете да зададете шаблон за лицензи, така че на потребителите в тази група да бъдат зададени лицензи.
Какво да направите след това
-
Когато премахнете потребител от Active Directory, потребителят се изтрива меко след следващото синхронизиране. Потребителят става Неактивен, но профилът за самоличност в облака се съхранява в продължение на седем дни (за да се позволи възстановяване от случайно изтриване).
Когато отметнете Акаунтът е деактивиран в Active Directory, потребителят става Неактивен след следващото синхронизиране. Профилът за самоличност в облака не се изтрива след седем дни, в случай че искате да активирате потребителя отново.
-
Обърнете внимание на тези изключения при поетапно синхронизиране (вместо това следвайте стъпките за пълно синхронизиране по-горе):
-
В случай на актуализиран аватар, но без друга промяна на атрибута, постепенното синхронизиране няма да актуализира аватара на потребителя в облака.
-
Промените в конфигурацията при настройката за съпоставяне на атрибути, базовия DN, филтър и аватар изискват пълно синхронизиране.
-
Разпределяне на услугите на Webex на синхронизираните с указатели потребители в Control Hub
След като завършите пълната синхронизация на потребителите от Cisco Directory Connector в Control Hub, можете да използвате Control Hub, за да зададете едни и същи лицензи за услуга на Webex на всичките си потребители наведнъж или да добавите допълнителни лицензи за нови потребители, ако вече сте конфигурирали шаблон за автоматично зададен лиценз. Можете да правите промени в отделни потребителски акаунти след тази първоначална стъпка.
След като завършите пълната синхронизация на потребителите от Directory Connector в Control Hub, можете да използвате методи в Control Hub, за да зададете глобално лицензи за услугата на Webex на всичките си потребители, отделни потребители, чрез груповия CSV шаблон или автоматично на новите потребители, ако вече сте конфигурирали шаблон за автоматично разпределение на лицензи. Можете да правите промени в отделни потребителски акаунти след тази първоначална стъпка.
Когато зададете лиценз на потребител на приложението Webex, този потребител получава имейл, потвърждаващ задаването, по подразбиране. Имейлът се изпраща от услуга за известия в Control Hub. Ако сте интегрирали еднократна идентификация (SSO) с вашата организация на Webex, можете също да потиснете тези автоматични имейл известия, ако предпочитате да се свързвате директно с потребителите си.
Преди да започнете
-
Трябва да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
-
Извършете пробно изпълнение на синхронизиране на вашите потребители на Active Directory.
-
След като потвърдите резултатите от пробното изпълнение, извършете пълно синхронизиране на потребителите на Active Directory.
По време на пълна синхронизация потребителят се създава в облака, не се добавят задавания на услуги и не се изпраща имейл за активиране. Ако имейлите не се потиснат, новите потребители получават имейл за активиране, когато присвоявате услуги на потребителите по стандартен метод за управление на потребители в Control Hub, като импортиране на CSV файл, ръчна актуализация на потребители или чрез успешно завършване на автоматичното задаване.
| 1 |
От изгледа за клиенти в https://admin.webex.com отидете на , щракнете върху Управление на потребителите, изберете Промяна на всички синхронизирани потребители и след това щракнете върху Напред. |
| 2 |
Изберете опция: |
Какво да направите след това
-
Ако имейлите не се потискат, до всеки потребител се изпраща имейл с покана за присъединяване и изтегляне на Webex.
-
Ако сте избрали едни и същи услуги на Webex за всички ваши потребители, след това можете да промените лиценза, зададен поотделно или групово.
Известни проблеми с Directory Connector
-
Версиите на Windows Server преди 2012 R2 имат проблем с бисквитките, който засяга Directory Connector. Този проблем е поправен във версии 2012 R2 и 2016.
-
За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените 72 часа след момента, в който извършите синхронизирането.
Можете да се опитате да изчистите локалния кеш за приложението Webex, като следвате следните указания: Windows или Mac.
-
Когато потребител използва приложението Webex на настолен компютър или мобилно устройство, за да търси и повика стая, която има само синхронизиран SIP URI, тогава повикването звъни за неопределено време.
Управление на потребителите на приложението Webex
Стартиране на постепенно синхронизиране
Поетапната синхронизация прави заявки за вашия Active Directory и търси промени, които са се случили от последната синхронизация. След това тази стъпка пакетира тези промени и ги изпраща към услугата конектор. Промените включват модификация на атрибутите на потребителите и кога даден потребител е добавен или изтрит.
Тази синхронизация не поставя толкова натоварване на сървърите и не отнема толкова време, колкото пълното синхронизиране. След като направите първоначалното си пълно синхронизиране, препоръчваме опцията „Incremental“ за последващи синхронизации.
Преди да започнете
-
Трябва да настроите шаблон за автоматично разпределение на лицензи , преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
-
Имайте предвид тези изключения, които нарастващото синхронизиране не се поддържа (вместо това следвайте Извършване на пълно синхронизиране на потребители от Active Directory в облака ):
-
В случай на актуализиран аватар, но без друга промяна на атрибута, постепенното синхронизиране няма да актуализира аватара на потребителя в облака.
-
За нови промени в конфигурацията на съпоставянето на атрибути, базовия DN, филтъра и настройката за аватар, постепенното синхронизиране няма да работи и те изискват пълно синхронизиране.
-
| 1 |
От Directory Connector щракнете върху Табло. Когато активирате синхронизирането, Directory Connector първо ви моли да изпълните пробно изпълнение. |
| 2 |
От Действия щракнете върху Режим на синхронизиране > Разрешаване на синхронизацията , ако вече не е активиран. По подразбиране се задава постепенно синхронизиране на всеки 30 минути (на версии 3.4 и по-стари) или на всеки 4 часа (на версии 3.5 и по-нови), но можете да промените тази стойност. Постепенното синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране. Когато се появи нов инкрементален интервал от време, програмата проверява промените въз основа на последното времево клеймо. |
| 3 |
От Действия щракнете върху Синхронизиране сега > Постепенно. За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените 72 часа след момента, в който извършите синхронизирането.
|
| 4 |
За информация за грешките щракнете върху Стартиране на визуализатора на събития от лентата с инструменти Действия , за да видите регистрите на грешки. |
Какво да направите след това
Ако имате няколко домейна, направете тази стъпка в другите екземпляри на Directory Connector, които сте инсталирали.
Възстановяване на случайно изтрити потребители
Directory Connector има проверки и баланси, за да предотврати непреднамерено изтриване на потребители. За съжаление се случват инциденти; може да сте конфигурирали неправилно LDAP филтър в Active Directory, което е изтрило някои потребители при синхронизиране с облака. Функцията за меко изтриване може да ви помогне да се възстановите от тези инциденти и да възстановите потребителските акаунти в Control Hub.
По подразбиране тази функция е активирана за всички организации. Когато потребителите бъдат изтрити в облака, например поради несъответстващ проблем с обект след синхронизиране от Directory Connector, потребителите могат да бъдат възстановени. Ако сте видели бележка за несъответстващи обекти или сте забелязали, че потребителите са изтрити, може да сте в състояние да ги възстановите, ако действате бързо.
Потребителите се маркират като неактивни в Control Hub, когато съответните акаунти се изтриват в Active Directory. Фоновата услуга в облака запазва потребителите до 7 дни. През този период все още можете да използвате Cisco Directory Connector, за да възстановите потребители. Препоръчваме ви да възстановите тези потребители възможно най-скоро.
Потребителите, които са деактивирани в Active Directory, също се маркират като неактивни в Control Hub, но потребителският акаунт не се изтрива след 7 дни.
| 1 |
Влезте в контролния хъб. |
| 2 |
Отидете на Потребители и потвърдете дали даден потребителски акаунт е в неактивно състояние, или не е включен в списъка. За повече информация вижте Потребителски статуси и действия в Control Hub. |
| 3 |
Ако потребителите са изтрити в Control Hub или забележите потребители в състояние „Неактивно“, отидете в Active Directory, добавете липсващите потребителски акаунти и след това направете пробно изпълнение на синхронизиране в Directory Connector. Целта с Directory Connector е да се създаде точно съвпадение между информацията за потребителя в Active Directory и в облака. |
| 4 |
Извършете пълна синхронизация, за да синхронизирате отново временно изтритите потребителски акаунти с Control Hub. Потребителите се възстановяват и преминават към първоначалния статус, включително статуса на акаунта си и зададените услуги. |
Какво да направите след това
Върнете се в Control Hub, отидете на и потвърдете, че изтритите преди това потребителски акаунти се появяват в списъка с потребители.
Изтриване на потребителите за постоянно след меко изтриване
След като изпълните пробно изпълнение, можете да изберете да изтриете за постоянно потребители, които са били меки изтрити при следващото синхронизиране.
| 1 |
След като пробното изпълнение завърши, изберете Меки изтрити обекти. |
| 2 |
Поставете отметка в квадратчето до потребителите, които искате да изтриете. |
| 3 |
Изберете Готово. |
Какво да направите след това
При следващата синхронизация потребителите, които сте проверили, ще бъдат изтрити окончателно.
Промяна на имейл адреса на приложението Webex
Ако искате да промените потребителските имейл адреси и вашата организация използва Directory Connector, променяте тези имейл адреси в Active Directory. Тази процедура обхваща как да промените имейл адрес на приложението Webex за един домейн и процес за промяна на домейна.
Ако искате само да промените имейла или някаква стойност за един потребител, не изтривайте потребителя от Active Directory и след това създайте нов със същия имейл. Облакът тълкува това действие като нов потребителски акаунт и местата на потребителя и другите данни в облака ще бъдат изгубени.
Directory Connector не ограничава промяната на имейл домейна. Когато потребителят обаче се синхронизира отново с облака, състоянието на потребителя зависи от това дали новият домейн е потвърден във вашата организация. Ако домейнът не е потвърден във вашата организация, статусът на потребителя се променя на „В очакване“ след пълното синхронизиране. За повече информация вижте Управление на вашите домейни.
Ако вашата организация не използва Directory Connector, можете да промените имейл адресите на приложението Webex чрез страницата с настройки на акаунта. Вижте Промяна на имейл адреса за вашия акаунт за стъпките, които потребителите могат да последват, за да променят имейлите си.
Промяна на домейна на Active Directory
Можете да използвате тази процедура, за да създавате нови домейни и имейл адреси. Те се синхронизират с услугата за самоличност в облака.
| 1 |
Настройте нов домейн на Active Directory (AD). |
| 2 |
Деактивирайте синхронизирането на всички ваши конектори. |
| 3 |
Деинсталирайте всички конектори. |
| 4 |
Отворете случай, за да промените домейна. В изпращането на случай не забравяйте да поискате премахване на конфигурацията на домейна и всички атрибути за синхронизиране във вашата организация. Преди да отворите случай, за да промените домейна, се уверете, че не се изпълнява синхронизиране. Не променяйте потребителските имейл адреси в Active Directory, докато случаят не изчезне. |
| 5 |
След решаване на случая: Изпълнете тестово изпълнение с Directory Connector, преди да извършите действителното синхронизиране. |
Заявяване на домейн
Претенция за домейн възниква, ако заявите имейл домейн за организация, така че всеки посочен акаунт да бъде създаден в платената клиентска организация, а не в безплатната потребителска организация. Можете да заявите домейн само чрез случай за поддръжка (вижте връзката по-долу за повече информация).
Ако Directory Connector е активен и домейнът е заявен, акаунтите с външни потребители не се създават нито в клиентската организация, нито в безплатната потребителска организация. Само Directory Connector може да осигурява акаунти за организацията от Active Directory. Информацията, съхранена в Active Directory, е първоначалният източник. Ако се опитате да странично табло на акаунт, поканеният потребител получава грешка. Единственият начин, по който поканен потребител може да бъде добавен към място на приложението Webex, е първо да използвате Directory Connector, за да обезпечите акаунта в Control Hub.
Конвертиране на безплатните потребители на приложението Webex в синхронизирана с указателя организация
Можете да използвате уникални имейл адреси само в директорията на приложението Webex. Ако вашите потребители са се записали за безплатната версия на приложението Webex, акаунтът им съществува в безплатната потребителска организация. За да управлявате потребителите в тази организация чрез Directory Connector, мигрирайте (конвертирайте) ги в организацията на клиента, преди да включите Directory Connector. След това добавяте потребителите към Active Directory с точния имейл адрес и след това синхронизирате с облака.
Ако не конвертирате акаунтите преди активирането, изключете Directory Connector, за да ги конвертирате.
Ако се опитате да конвертирате потребител, докато е активирано синхронизирането на указатели, се появява съобщението за грешка не можа да бъде преобразувано
. За да избегнете проблема, можете да използвате тези стъпки като заобиколно решение.
Някои заявени потребители може да се покажат с атрибута movedfrom , когато правят пробно изпълнение. Тези потребители ще бъдат в списъка Изтрити обекти вместо MismatchedObject. Ще трябва да добавите тези потребители към своя списък в AD, ако искате да ги преместите във вашата организация.
Ако не добавите тези потребители, всички те ще бъдат изтрити, след като синхронизирате с облака.
| 1 |
Деактивирайте синхронизирането на указатели от Directory Connector. |
| 2 |
Следвайте процедурата Конвертиране на нелицензирани потребители в Control Hub , за да конвертирате потребителя от безплатната потребителска организация в корпоративната организация. Тази стъпка добавя потребителя към вашата организация и акаунтът се показва в Control Hub. Directory Connector прави Active Directory единственият източник на истина за потребителските акаунти и целта е да има точно съвпадение между Active Directory и Control Hub. Гарантирайте, че има съвпадащи потребители в Active Directory за всички наскоро преобразувани потребители преди повторното синхронизиране. Синхронизирането на "Сухо изпълнение" може да се използва, за да се гарантира, че няма останали несравнима потребители. |
| 3 |
На Directory Connector направете пробно изпълнение на синхронизиране. Когато сухото изпълнение завърши, проверете раздела Добавяне на обекти. Проверете дали всички потребители, които сте преобразували, не се изтриват. Трябва да изпълните пробно изпълнение, преди да активирате повторно синхронизирането, за да сте сигурни, че всички конвертирани потребителски акаунти се показват в Active Directory. Ако включите синхронизирането и акаунтите се намират само в Control Hub, Directory Connector зависи от малки и главни букви и изтрива конвертираните потребители, които открие с несъответстващи имейл адреси (например user1@example.com и User1@example.com). Ако някои преобразувани потребители бъдат изтрити, те губят всичките си места в приложението Webex. |
| 4 |
Когато сте сигурни, че следващото синхронизиране няма да премахне никакви акаунти, активирайте отново синхронизирането на указатели от Directory Connector. |
Преобразуваните потребителски акаунти не се активират автоматично, ако не сте потвърдили домейн. Например, ако сте включили шаблона за автоматично разпределение на лицензи и след това сте включили Directory Connector без проверка на домейна, конвертираните потребители са неактивни в облачната backend, докато не потвърдят имейл адресите си.
Потребителски акаунти в приложението Webex
Когато поканите друг потребител на място в приложението Webex, ако поканеният потребител няма акаунт за приложението Webex, за него се създава акаунт („страничен“). По подразбиране акаунтите, които са създадени по този начин, се добавят към безплатната потребителска организация.
Ако искате да управлявате страничния акаунт с помощта на Directory Connector, трябва да конвертирате акаунта.
Промяна на формата на потребителското име в приложението Webex след синхронизиране на указатели
По подразбиране Directory Connector съпоставя атрибута displayName в Active Directory с атрибута displayName в облака.
След като извършите синхронизиране на указатели, може да откриете, че потребителските имена се показват във формат .
Това потребителско име може да се появи, ако атрибутът displayName в Active Directory е конфигуриран по този начин. Когато атрибутът е съпоставен с displayName в облака, имената се показват във формат в Control Hub.
За да промените формата, в екрана за съпоставяне на атрибути на Directory Connector: съпоставете атрибута на Active Directory givenName sn (или sn givenName), за да показваName в имената на атрибути в облака на Cisco.
Като алтернатива съпоставете атрибута sn givenName с displayName:
Можете също да използвате опцията Персонализиране на атрибут, ако искате да съпоставите свой собствен персонализиран израз на атрибут към displayName.
Например въведете givenName + "" + sn (собствено име, интервал, фамилия) като израз. Това съпоставя двата атрибута в Active Directory за показванеName в облака.
Позволи на потребителите да променят показваните имена в Webex Meetings
Можете да премахнете съпоставянето на атрибута displayName от синхронизирането с облака в Directory Connector, ако искате да позволите на потребителите да редактират предпочитаните си показвани имена. Потребителите могат да въведат показвано име, което да се показва по време на срещи в Webex, вместо собственото и фамилното си име. Администраторите могат също да променят показваното име за потребител ръчно в Control Hub.
| 1 |
От Directory Connector щракнете върху Конфигурация и след това изберете Съпоставяне на потребителски атрибути. |
| 2 |
Изберете displayName под Cisco Cloud Attribute Name. |
| 3 |
Изберете Не синхронизирайте този атрибут. |
Какво да направите след това
Потребителите вече могат да редактират показваните си имена от своя сайт на Webex.
Отстраняване на неизправности в Directory Connector
Надстройте до последното издание на софтуера
За да поддържате внедряването си в съответствие и да получите най-новите функции, функционалност, корекции на грешки и подобрения в защитата, винаги трябва да надстроите до най-новата версия на Directory Connector. Ако не надстроите до най-новата налична версия, може да изпитате проблеми, например Directory Connector вече да не се синхронизира правилно или да сте на версия, която не поддържа задължителното изискване TLS 1.2.
Directory Connector автоматично ви уведомява, когато е налична нова версия. Винаги надстройвайте до най-новата версия, за да избегнете проблеми. Също така виждате известие в лентата на задачите на Windows.
Въпреки че можете ръчно да инсталирате актуализации на софтуера на конектор, препоръчваме да следвате стъпките в Задаване на автоматични надстройки , за да позволите на приложението да управлява вашите надстройки автоматично.
| 1 |
Щракнете върху известието в лентата на задачите на Windows или щракнете с десния бутон върху иконата Directory Connector в лентата на задачите на Windows, за да започнете процеса на надстройване. |
| 2 |
Следвайте инструкциите, за да завършите надстройването. |
| 3 |
Рестартирайте конектора и влезте с вашите идентификационни данни на администратор. |
| 4 |
Потвърдете номера на версията на софтуера под . |
Какво да направите след това
За нова инсталация на Directory Connector можете да изтеглите zip файла и след това да следвате стъпките за инсталиране в това ръководство.
Конфигуриране на общи настройки за Directory Connector
Използвайте тази процедура, за да конфигурирате общи настройки, като името на сървъра, работещ с Directory Connector, нивата на регистрационния файл, автоматичните надстройки и предпочитаните настройки за контролерите на домейни. Името на конектора се появява на таблото в раздела „Конектори“, заедно с всички други конектори, които работят.
| 1 |
От Directory Connector отидете на Конфигурация и след това щракнете върху Общи. |
| 2 |
В полето Име на конектор въведете името на конектора. Това поле показва само името на компютъра, на което в момента работи конекторът. |
| 3 |
Изберете нивото на регистрационния файл от падащия списък. По подразбиране нивото на регистрационния файл е зададено на информация. Наличните нива на регистрационния файл са:
Тези настройки засягат отчета за синхронизиране, който се изпраща по имейл. Ако зададете нивото на регистрационния файл на „Грешка“, в отчета за синхронизиране се съобщават само грешки; ако не съществуват грешки, отчетът за синхронизиране не се изпраща. Променете настройката на „Информация“, след което получавате отчети за синхронизиране след пълно синхронизиране. (Имайте предвид, че за постепенно синхронизиране не се изпращат отчети, когато не се съобщават грешки.) |
| 4 |
Изберете предпочитаните контролери на домейни , за да зададете реда на контролерите на домейни за синхронизиране на самоличности. До контролерите на домейни има достъп от горе до долу. Ако горният контролер не е наличен, изберете втория контролер от списъка. Ако няма посочен контролер, можете да получите достъп до главния контролер. |
| 5 |
Отметнете Автоматично надстройване до новата версия на Cisco Directory Connector , ако искате да се извършват автоматични надстройвания. Винаги е важно да поддържате своя софтуер Cisco Directory Connector до най-новата версия. Препоръчваме ви да отметнете тази настройка, за да позволите автоматичните надстройки на софтуера да се инсталират мълчаливо, когато са налични. |
| 6 |
Проверете LDAP през SSL , за да използвате защитения LDAP (LDAPS) като протокол за свързване. Ако не проверите LDAP през SSL, Directory Connector продължава да използва протокола за LDAP връзка. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) са протоколите за свързване, използвани между приложение и домейнов контролер в инфраструктурата. LDAPS комуникацията е шифрована и защитена. |
Конфигуриране на правилата за конектори
Можете да зададете максималния брой изтривания, които могат да възникнат по време на синхронизиране. Изпълнението на синхронизиране не изтрива обекти от вашия локален Active Directory. Всички обекти се изтриват само от облака.
Например задавате 1 като стойност за праг за изтриване. Когато извършвате пълно или постепенно синхронизиране, ако броят потребители, които искате да изтриете, е по-голям от настройката, Directory Connector показва предупреждение. Ако щракнете върху Праг за заместване, можете да започнете пълно или постепенно синхронизиране успешно, но ще видите това известие за заместване следващия път, когато изпълните правилата.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Правила. |
| 2 |
Поставете отметка в полето Разрешаване на изтриване на прагова тригера , ако искате да добавите прагова тригера. Избирането на тази опция ще задейства предупреждение, ако броят изтривания надвиши прага. Когато акаунтът за изтриване надвиши този, който сте дефинирали, синхронизирането е неуспешно.
|
| 3 |
Въведете максималния брой изтривания, който искате. По подразбиране е 20. Препоръчваме да не увеличавате стойността по подразбиране. |
| 4 |
Щракнете върху Приложи. |
Задаване на графика на конектора
Задайте времето за синхронизиране в Active Directory. Превключването при отказ се използва за висока наличност (HA). Ако един конектор не работи, превключваме към друг конектор в режим на готовност след предварително дефинирания интервал.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Планиране. |
| 2 |
Посочете интервала на постепенно синхронизиране в минути. По подразбиране се задава постепенно синхронизиране на всеки 30 минути. Пълното постепенно синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране. |
| 3 |
Променете стойността за Изпращане на отчети за... време , ако искате да промените колко често се изпращат отчети. |
| 4 |
Отметнете Активиране на график за пълно синхронизиране , за да посочите дните и часовете, в които искате да се извърши пълно синхронизиране. |
| 5 |
Задайте интервала за превключване към отказ в минути. |
| 6 |
Щракнете върху Приложи. |
Сценарии за множество домейни
Множеството домейни се основават на приоритета на домейна. За обекти, които имат една и съща стойност на ключа в различни домейни, след синхронизирането данните от домейна с по-висок приоритет се презаписват данните от домейна с по-нисък приоритет.
Обекти, които имат една и съща стойност на ключа, са свързани в един запис в базата данни.
Ключовата стойност за „Потребител“ е Имейл адрес; ключовата стойност за „Група“ е Име на група.
Пример за използване на случай за повече от един домейн
Този пример приема организация с два домейна – example1.com и example2.com, по реда на приоритета.
-
Добавяне на потребител1 (имейл: user@example1.com) към Active Directory на example1.com.
-
Добавяне на група1(Име на група: Тест) към Active Directory на example1.com.
-
Добавяне на потребител2 (имейл: user@example2.com) към Active Directory на example2.com.
-
Добавяне на група2 (Име на група: Тест) към Active Directory на example2.com.
- Синхронизиране в example1.com
-
Като случай на използване потребителят2 и group2 се синхронизират с облака и се показват в https://admin.webex.com, докато потребителят1 и group1 не са.
Ако извършите пълно или постепенно синхронизиране, например1.com, потребител1 и група1 се синхронизират. Също така потребител2 и група2 са презаписани от информацията на потребител1 и група1.
User1 връзки към user2 като същия запис в базата данни; group1 връзки group2 като същия запис в базата данни.
- Синхронизиране на example1.com и example2.com
-
Като случай на използване потребителят2 и group2 се синхронизират с облака и се показват в https://admin.webex.com, докато потребителят1 и group1 не са.
Помислете за тези стъпки:
- Изтрийте потребител1 и група1 в Active Directory, например1.com.
- Извършете пълно или постепенно синхронизиране, например1.com.
Резултат: информацията на потребителя не е променена в https://admin.webex.com. Потребител2 не е свързан с потребител1 и група2 не е свързана с група1.
- Извършете постепенно синхронизиране, например2.com.
Резултат: информацията на потребителя не е променена в https://admin.webex.com.
- Извършете пълна синхронизация, например2.com.
Резултат: Информацията за потребител2 и група2 е показана в https://admin.webex.com.
Синхронизиране на нов Домейн И запазване на съществуващ домейн
Ако искате да синхронизирате нов домейн (B), докато поддържате синхронизираните потребителски данни на друг съществуващ домейн (A), се уверете, че инсталирате Directory Connector за синхронизиране на домейн (B) на поддържан Windows сървър. Конекторът се свързва с новия домейн след първоначалната настройка, а информацията за потребителя в домейна (А) остава незасегната.
Всеки домейн трябва да има собствен активен конектор. Помислете за два домейна със следната настройка: домейн А с конектори (ca1) и (ca2) за локална висока наличност (HA); домейн В с конектор (cb1). (ca1)и (ca2) служат на домейн А. В този сценарий единият конектор е активен, а другият е в режим на готовност (HA). Този дизайн поддържа домейна синхронизиран, защото един конектор е винаги активен. Така че cb1 е активният конектор за домейн В, тъй като домейн А вече има активен конектор (ca1 или ca2).
Задаване на приоритет на домейна
Използвайте тази процедура, за да промените приоритета на вашите домейни в Active Directory. Приоритетът на домейна ви позволява да определите главния домейн, вторичния домейн и т.н. Това помага, когато двама потребители от два различни домейна имат една и съща стойност на имейл, синхронизирани с една организация.
Не използвайте тази процедура, ако имате един домейн, посочен в Directory Connector. Ако опитате, конекторът ви показва съобщение, заявяващо, че приоритетът на домейна не е задължителен.
Преди да започнете
За да избегнете грешки, инсталирайте или надстройте до най-новата версия на Cisco Directory Connector. Трябва да го изтеглите от https://admin.webex.com.
| 1 |
От Cisco Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху Задаване на приоритет на домейна. |
| 3 |
Маркирайте един домейн в списъка, щракнете върху Нагоре или Надолу , за да промените приоритета на този домейн, след което щракнете върху Запиши , за да запишете тази промяна. Домейните са сортирани по приоритет от горе до долу. |
Превключване на домейни
Използвайте тази процедура, за да свържете отново Cisco Directory Connector към друг домейн.
Преди да започнете
-
Уверете се, че не се изпълняват задачи за синхронизиране, преди да превключите домейни.
-
За да избегнете грешки, инсталирайте или надстройте до най-новата версия на Cisco Directory Connector. Трябва да го изтеглите от Control Hub.
| 1 |
От Cisco Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху Превключване на домейн. |
| 3 |
След като прочетете предупреждението, ако разберете въздействието на тази промяна върху разполагането ви и все още сте сигурни, щракнете върху Да. Ако превключите домейн, излезете от текущия Cisco Directory Connector, другите домейни в конектора са нерегистрирани и информацията за конектора на този компютър се изтрива. |
| 4 |
Влезте отново в Cisco Directory Connector и свържете отново домейна. |
Изключване на синхронизирането на указатели
Ако трябва да спрете синхронизирането от Directory Connector, можете временно да го изключите от Control Hub.
| 1 |
От изгледа за клиент в https://admin.webex.com отидете на , превъртете до Синхронизиране на указатели и след това изберете такава:
|
| 2 |
След като прочетете подканата, щракнете върху Изключване. Синхронизирането спира, докато не го активирате отново от Directory Connector. |
Премахване на съпоставянето на потребителски атрибути
Използвайте Directory Connector, за да премахнете съпоставянето за атрибути на Active Directory, нанесени преди това в облака и синхронизирани с Webex. След като премахнете съпоставянето на атрибути, стойностите на атрибутите се премахват от облака и вече не се синхронизират с Webex. След това тези стойности могат да се редактират ръчно.
| 1 |
От Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху . |
| 3 |
Изберете съпоставянето, което да премахнете от списъка Име на атрибути . |
| 4 |
Под Засегнат потребителски обхват изберете едно от следните:
|
| 5 |
Щракнете върху Приложи. |
Управление на профилни снимки
Използвайте Directory Connector, за да актуализирате снимки на потребителския профил или да премахнете празни снимки на потребителския профил.
| 1 |
От Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху . |
| 3 |
Под Действия изберете едно от следните:
|
| 4 |
Щракнете върху Приложи. |
Деинсталиране и деактивиране на Directory Connector
След като деинсталирате екземпляр на Directory Connector, трябва да го дерегистрирате. Премахнете напълно Directory Connector за някой от следните сценарии:
-
Повече не искате да използвате синхронизиране на указатели.
-
Не искате да използвате един от многото конектори за указатели (висока наличност).
-
Искате да промените домейна и да инсталирате друг конектор.
Преди да започнете
-
Може да имате настроени няколко екземпляра на Directory Connector за висока наличност (HA) или за синхронизиране на множество домейни. Деактивирайте синхронизирането, ако деинсталирате единствения или последния оставащ екземпляр на Directory Connector.
-
Запишете и затворете всяка важна работа, преди да деинсталирате Directory Connector.
| 1 |
От вашата машина с Windows отидете в контролния панел и след това щракнете върху Програми и функции. |
| 2 |
От списъка с програми щракнете върху Directory Connector, изберете Деинсталиране и след това следвайте подканите. Може да се наложи да рестартирате системата си, за да завършите деинсталирането. |
| 3 |
От изгледа на клиента в https://admin.webex.com, отидете на , превъртете до Синхронизиране на указатели, щракнете върху още |
| 4 |
След като прочетете подканата, щракнете върху Деактивиране. Освен ако няма друг Directory Connector с разполагане с висока наличност (HA), потребителските акаунти вече не се синхронизират. |
Стартирайте инструмента за диагностика
Можете да използвате вградения инструмент за диагностика, за да отстраните неизправности в разполагането на Directory Connector. Този инструмент се инсталира като част от Directory Connector 3.4 нататък.
Ако синхронизирането не работи правилно, може да имате конфигурационна или мрежова грешка. Този инструмент тества връзката ви с LDAP, така че да можете сами да диагностицирате грешките, преди да се свържете с поддръжката. Ако инструментът върне някоя грешка, можете да изпратите до поддръжката подробните резултати от регистрационния файл.
-
За да изпълните тестове за услугите на домейн на Active Directory:
-
За да изпълните тестове за услугите на Active Directory Lightweight Directory:
-
За да изпълните тестове за lightweight Directory Access Protocol (LDAP):
Отстраняване на проблеми в Ciso Directory Connector
Отстраняване на неизправности и корекции за Directory Connector
Може да срещнете съобщение за грешка или друг проблем в Directory Connector. Също така, след като Directory Connector синхронизира потребителската информация, конекторът може да ви изпрати имейл отчет, който изброява всички проблеми със синхронизирането. Вижте следващите раздели за проблеми, които могат да възникнат, възможни причини и предложени решения, които можете да опитате, преди да се свържете с поддръжката.
Инсталирай
Directory Connector спря да работи
Получихте имейли за предупреждение, които ви уведомяват, че вашият Directory Connector не работи.
-
Възможно е Directory Connector да не е инсталиран правилно.
-
Directory Connector може да не се изпълнява.
-
Възможно е мрежата да не е достъпна.
Опитайте следното:
-
Отворете . Намерете конектора за указатели. Ако не е там, изтеглете най-новата версия от Control Hub и я инсталирайте.
-
Отворете услугата и намерете услугата Cisco DirSync. Уверете се, че показва състоянието като Стартирано. Ако услугата бъде спряна, щракнете с десния бутон и изберете \„Старт\“, за да рестартирате услугата.
-
Уверете се, че сървърът, на който сте инсталирали Directory Connector, има достъп до интернет.
Грешка при преинсталиране
Проблем – Ако незабавно инсталирате нов конектор, след като деинсталирате стар, може да видите съобщение за грешка.
Възможна причина— В Windows Server 2012 клиентът за деинсталиране се нуждае от време, за да изтрие сервизния акаунт от списъка на услугите.
Решение—След известно време опитайте отново да инсталирате.
Влизане
Directory Connector се срива при влизане с еднократна идентификация
проблем
Directory Connector може да се срине, след като въведете имейл адрес от страница за влизане в SSO.
Решение
Опитайте следното:
Изпълнете следните стъпки, за да конфигурирате нови правила за група:
-
Отидете в домейнов контролер и отворете Управление на групови правила (gpedit.msc).
-
Щракнете с десния бутон върху конкретен OU или домейн и изберете Създаване на GPO в този домейн и Свържете го тук…
-
Дайте име на правилата, след което щракнете с десния бутон и изберете Редактиране.
Изпълнете следните стъпки, за да промените правилата на ниво машина:
-
Отидете на , щракнете с десния бутон върху Регистър, изберете Нов и след това Елемент в регистъра.
-
За път на ключа въведете или се придвижете до HKEY_ЛОКАЛНА_МАШИНА\СОФТУЕР\Microsoft\Internet Explorer\Main.
-
Въведете
Деактивиране на отстраняване на грешки за скриптовеза стойност и въведетенеза данни за стойност.Настройките трябва да съвпадат с тази екранна снимка:
Изпълнете следните стъпки, за да промените правилата на ниво потребител:
-
Отидете на , щракнете с десния бутон върху Регистър, изберете Нов и след това Елемент в регистъра.
-
За път на ключа въведете или се придвижете до HKEY_ТЕКУЩ_ПОТРЕБИТЕЛ\СОФТУЕР\Microsoft\Internet Explorer\Main.
-
Въведете
Деактивиране на отстраняване на грешки за скриптовеза стойност и въведетенеза данни за стойност.Настройките трябва да съвпадат с тази екранна снимка:
Промените влизат в сила, след като стартирате gpupdate /force, машината се рестартира (за промени в машината) или потребителят влезе отново (за промени в потребителя).
Конекторът за услуги на Cisco DirSync не може да се регистрира
проблем
Неуспешно влизане и се появява това съобщение: „Cisco DirSync Service Connector не можа да бъде регистриран“.
Решение
Системата на Windows, на която е инсталиран Directory Connector, трябва да е член на Active Directory.
Не се появява страница за влизане
проблем
Отворихте Directory Connector и страницата за влизане не се появи.
Решение
Изпробвайте следните стъпки:
-
В Internet Explorer отидете на https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Опитайте връзката в други браузъри като Chrome и Firefox.
-
Ако Internet Explorer не може да посети връзката, но могат и други браузъри, поставете отметка в настройките на Internet Explorer и поставете отметка в квадратчетата TLS 1.1 и 1.2. (Използвайте процедурата Разрешаване на TLS в Internet Explorer .)
Появява се подкана за влизане
проблем
Появява се подкана, която иска да въведете потребителското име и паролата, за да предадете удостоверяването.
Възможна причина
Directory Connector завършва мълчаливо удостоверяването за защита на NTLM с акаунта за влизане. Ако удостоверяването е неуспешно, се появява диалогов прозорец, за да се поиска потребителско име и парола за удостоверяване.
Решение
Когато видите знака в изскачащ прозорец, трябва да предоставите валиден акаунт с правилно удостоверяване, за да предадете защитата.
Неуспешно свързване с отдалечения сървър
проблем
По време на нормална работа се появява съобщението за грешка: "Не е възможно свързване с отдалечения сървър".
Възможна причина
Може да имате проблеми с прокси сървъра, които трябва да бъдат разрешени.
Решение
Вижте Отстраняване на проблеми с влизането в акаунта за услугата за повече информация за отстраняване на неизправности.
Конекторът не може да се регистрира
проблем
Виждате съобщението за грешка „Не може да се регистрира конекторът. Възникна общо изключение.“
Възможна причина
В повечето случаи проблемът е, че Directory Connector няма привилегия да се свързва с LDAP корневи контекст.
Решение
Опитайте следното:
-
Изпълнете командната подкана (cmd) и след това въведете ldp.exe.
-
Щракнете върху , изберете Обвързване както в момента сте влезли в потребителя, след което щракнете върху OK.
-
Щракнете върху , въведете DC=arbonneintl,DC=ad като BaseDN и след това щракнете върху OK.
-
Ако проблемът продължава, отворете случай с поддръжката.
Синхронизиране
Аватарите не са синхронизирани
проблем
Cisco Directory Connector синхронизира потребителските AD данни с облака на Webex. Но данните за аватара не са синхронизирани успешно.
Възможна причина
Ако сте използвали повторно съществуващ аватар сървър и аватарите на потребителите вече са синхронизирани, тогава локалният кеш ги улавя и избягва повторното изпращане отново, за да се подобри скоростта на предаване.
Решение
Изтрийте локалния кеш, като изпълните следните стъпки:
-
Отидете на C:\Програмни файлове (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Изтрийте DirSyncPluginAvatar.dll-cache.bin.
-
Изпълнете отново синхронизирането на аватара от Cisco Directory Connector.
Конфликтни потребителски имейл акаунти
проблем
Резултатите от синхронизирането може да показват конфликтни потребителски имейл акаунти.
-
Ако потребителите са изпробвали безплатната версия на приложението Webex, техните имейл адреси се намират в безплатната организация на потребителите.
-
Ако потребителските имейли някога са били синхронизирани в друга организация.
-
Ако потребителските имейли съществуват в много домейни, които принадлежат на организацията.
Решение
Опитайте следното:
-
Изпълнете тези стъпки, ако се опитвате да заявите потребители:
-
Уверете се, че сте потвърдили домейна в Control Hub.
-
Временно деактивирайте Cisco Directory Connector.
-
Използвайте опцията „Заявяване на потребител“ в Control Hub, за да заявите всички акаунти, които може да съществуват в безплатната организация на потребителите. Вижте Заявяване на потребители за вашата организация (Конвертиране на потребители) за повече информация.
-
Направете пробно изпълнение в Cisco Directory Connector и след това активирайте отново синхронизирането на указатели
-
-
За последния случай проверете двукратно потребителските данни във вашите източници на Active Directory.
Преобразуван потребител, маркиран като неактивен
проблем
В синхронизираната с указателя среда сте преобразували безплатен потребител (потребителска организация) във вашата корпоративна организация, но преобразуваният потребител не може да влезе в приложението Webex.
Възможна причина
Когато безплатният потребител бъде преобразуван в корпоративната организация, потребителят се маркира като неактивен в продължение на 30 дни като мярка за съответствие на защитата. През този период потребителят не може да влезе в приложението Webex и е маркиран за изтриване в края на 30-дневния период. Тази ситуация възниква, защото безплатната информация за потребителя не се намира в Active Directory.
Решение
Трябва да предприемете действие, ако не искате потребителският акаунт да бъде изтрит. За да разрешите този проблем, създайте потребителски акаунт във вашата локална Active Directory, който съответства на конвертирания безплатен потребителски акаунт. След това изпълнете синхронизация от Cisco Directory Connector. След това потребителят ще може да влезе отново в приложението Webex и акаунтът няма да бъде изтрит.
Постепенното синхронизиране е неуспешно
проблем
Постепенното синхронизиране е неуспешно.
Този проблем може да възникне в Windows Server 2008 R2 при следните условия:
-
Поддържате актуализации на частична стойност.
-
Филтърът, който използвате, препраща към свързан атрибут на стойност.
-
Стойностите на резултатите за този атрибут са актуализирани от последния път, когато е извършено пълно синхронизиране.
Решение
Windows Server 2008 R2 има грешка, която е свързана с този проблем. Грешката е поправена през 2012 г. R2 и по-нови. Препоръчваме да надстроите своя Windows Server поне до 2012 R2.
Невалидна стойност за атрибут
проблем
За [user dn (различно име)] атрибутът [име на атрибут] има следната невалидна стойност [стойност на атрибут].
Възможна причина
За CN=b,OU=Служители,OU=C Потребители,DC=c,DC=com атрибутът [телефонен номер] има следната невалидна стойност: +. Този атрибут трябва да съдържа поне една цифра.
Решение
Атрибут за този потребител няма валидна стойност. Коригирайте стойността му в съответствие с описанието в предупредителното съобщение. След това извършете друга синхронизация.
Съответстващи потребители за изтриване
проблем
Съответстващите потребители са маркирани за изтриване.
Когато извършвате синхронизиране на пробно изпълнение, за да проверите данните между Active Directory и облака, може да видите един и същ имейл адрес и в двете. Потребителят обаче е маркиран като обект за изтриване.
Решение
Изберете подходяща корекция:
-
Ако е приемливо да изтриете потребителя и да извършите отново лицензите след това, можете да използвате Directory Connector за корекцията. Извършете синхронизация, за да изтриете потребителя, и след това извършете друга синхронизация, за да синхронизирате потребителя от локалната AD към облака.
-
Ако не можете да изтриете и пресъздадете потребителския акаунт, отворете случай с поддръжка.
Липсващ атрибут
проблем
Необходимият атрибут [attribute_name] при добавяне на локален запис [user dn (разграничено име)]. Записът не се създава в Control Hub, докато всички задължителни атрибути не имат стойност.
Възможна причина
Липсва задължителният имейл адрес на атрибута. При добавяне на локален запис [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], записът не се създава в Control Hub, докато всички задължителни атрибути не имат стойност.
Решение
Един от необходимите атрибути липсва за потребителя [user_email_address]. Предоставете необходимите стойности за този потребител.
Вложена група няма да се синхронизира
проблем
Потребителите в група за вграден Active Directory не са синхронизирани правилно с облака.
Възможна причина
Използва се филтър, който включва както дъщерната група, така и родителската група, който не се поддържа. Например: (членof=CN=testgroup1,CN=Потребители,DC=rktest2008,DC=org)
Решение
Трябва да преконфигурирате филтъра, който синхронизира групите. Например: |(memberof=CN=testgroup1,CN=Потребители,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Потребители,DC=rktest2008,DC=org)
Конфликт между имена на потребители
проблем
Има конфликт при именуване за [user dn] за съществуващ обект с въвеждане в облака с името: [имейл адрес на потребител] и от тип потребител [user_type].
Възможна причина
Потребител с този имейл адрес вече съществува в Control Hub.
Решение
Създайте потребител във вашия Active Directory със същия имейл адрес като акаунта, който сте регистрирали чрез Control Hub.
Control Hub
Списъкът с потребители липсва в Control Hub
проблем
Ако имате организация на Webex с повече от 1000 синхронизирани потребители, е възможно да не виждате списъка с потребители в Control Hub.
Решение
Можете да използвате функцията за търсене, за да намерите потребителски акаунт. В Control Hub отидете на Потребители, щракнете върху търсене и след това въведете критерии за търсене, за да намерите определен потребител.
Групите няма да се синхронизират с Control Hub
проблем
Потребителите в група за указател няма да се синхронизират правилно с Control Hub.
Възможна причина
Групата не е маркирана като isCriticalSystemObject в Active Directory.
Решение
Уверете се, че атрибутът isCriticalSystemObject е зададен на TRUE в Active Directory.
Разрешаване на отстраняване на неизправности за конектор за указател
Можете да активирате отстраняването на неизправности, за да помогнете за диагностицирането на грешки, които срещнете в Directory Connector. Отстраняването на неизправности ви позволява да заснемете информацията за мрежовия трафик и да я запишете във файл.
Регистрационните файлове, които са: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Регистрационни файлове
| 1 |
Изпълнете файла |
| 2 |
Рестартирайте услугата. Вижте Как да стартирате услуги за насоки. |
| 3 |
В Directory Connector щракнете върху Табло. |
| 4 |
Отидете на Действия и след това щракнете върху . |
| 5 |
Когато отстраняването на неизправности е активирано, повторете действията, които са причинили грешка; това улавя данните за трафика, за да могат да бъдат разгледани. |
| 6 |
Преглед на регистрационните файлове: ако файлът е празен, уверете се, че акаунтът има привилегии за достъп до вашите AD DS или AD LDS. Папката с регистрационни файлове записва файлове само за последните 3 дни. Съдържанието на регистрационните файлове съответства на изхода от регистрационния файл на събитието към системата. |
| 7 |
Ако е необходимо, изпратете регистрационния файл на поддръжката за помощ. |
| 8 |
Деактивирайте функцията за отстраняване на неизправности, когато сте готови. |
Стартиране на визуализатора на събития
За да видите събитията, които са се случили по време на пълно или постепенно синхронизиране, стартирайте визуализатора на събития. Показва обобщение на административните събития и регистрационните файлове за грешки.
| 1 |
От Directory Connector отидете на Табло , след което щракнете върху Действие > Стартиране на визуализатора на събития. Диалоговият прозорец „Свойства на събитието“ показва подробностите за събитието за синхронизиране и подробностите за грешките. |
| 2 |
От Event Viewer отидете на .
|
| 3 |
Под Действия щракнете върху Запиши всички събития като , за да експортирате всички регистрационни файлове като един файл на събития (*.evtx) или друг формат, като xml или csv. |
Какво да направите след това
Ако трябва да отворите случай, свържете се с поддръжката, опишете проблема с конектора и след това прикачете файла Events към вашия случай.
Регистрационните файлове за събития снемат действия от потребители. За помощ при управление на мрежовия трафик активирайте отстраняването на неизправности на конектора.
Разрешаване на TLS в Internet Explorer
Ако сте превключили доставчици на еднократна идентификация (SSO), може да видите следните съобщения за грешка от Cisco Directory Connector:
-
Възникна грешка при влизане в услугата
-
Възникна грешка в скрипта на тази страница
Ако видите тези грешки, трябва да разрешите настройка за TLS в браузъра си.
| 1 |
Отворете Internet Explorer, след което изберете Инструменти. Сега поставете отметка в квадратчетата за TLS/SSL версията, която искате да разрешите. Щракнете върху OK Затвори браузъра и го отворете отново |
| 2 |
Щракнете върху Опции за интернет , отидете на Разширени , превъртете до Защита. |
| 3 |
Поставете отметка в квадратчетата Използване на TLS 1.1 и Използване на TLS 1.2 и след това щракнете върху OK.
|
| 4 |
Рестартирайте системата си, за да влязат в сила промените. |
Отстраняване на неизправности при влизане в акаунта за услуга
Ако не можете да влезете в Cisco Directory Connector или не можете да изпълните синхронизация, използвайте тези стъпки, за да се опитате да разрешите проблема, преди да се свържете с поддръжката.
| 1 |
Опитайте да посетите https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL в уеб браузъра си. |
| 2 |
Изберете един, в зависимост от резултатите:
|
| 3 |
Като минимум се уверете, че конфигурираният акаунт за услугата Cisco DirSync (която може да бъде намерена в услугите на Windows) има ниво на привилегии, което му позволява достъп до данни за аватар и AD данни. По подразбиране услугата използва идентификационните данни за влизане в акаунта за Windows и удостоверяването. |
Проверка на SafeDllSearchMode в регистъра на Windows
Режимът на търсене в библиотеката с безопасни динамични връзки (DLL) е зададен по подразбиране в регистъра на Windows и по-късно поставя текущата директория на потребителя в реда на търсене в DLL. Ако този режим по някакъв начин е деактивиран, атакуващият може да постави злонамерен DLL (наречен същото като препратен DLL файл, който се намира в системната папка) в текущата работеща директория на приложението.
Обикновено SafeDllSearchMode е активиран, но използвайте тази процедура, за да проверите двукратно настройките на системния регистър.
Преди да започнете
Промените в регистъра на Windows трябва да се правят с изключително внимание. Препоръчваме ви да направите резервно копие на своя регистър, преди да използвате тези стъпки.
| 1 |
В търсенето на Windows или прозореца „Изпълнение“ въведете Regedit и след това натиснете Enter. |
| 2 |
Отидете на HKEY_ЛОКАЛНАТА МАШИНА_\Система\CurrentControlSet\Control\Диспечер на сесии. |
| 3 |
Изберете един:
|
За повече информация вижте Поръчка за търсене в библиотеката с динамични връзки.
Общ преглед на Cisco Directory Connector
Общ преглед на конектора за указатели
Directory Connector е локално приложение за синхронизиране на идентичността в облака. Можете да изтеглите софтуера на конектора от Control Hub и да го инсталирате на вашата локална машина.
С Directory Connector можете да поддържате потребителските си акаунти и данни в Active Directory, така че Active Directory се превръща в единствен източник на истина. Когато направите промяна на място, тя се възпроизвежда в облака.
Вижте всички функции, описания и предимства в таблицата:
| Функция | Описание и полза |
|---|---|
| Лесно за използване табло | Таблото предоставя график за синхронизиране, обобщение и състояние на синхронизацията, както и състояние на Directory Connector. Можете да видите таблото по всяко време, когато влезете. |
| Пробно изпълнение преди синхронизиране с облака | Извършете пробно изпълнение на промените в указателя, преди да бъдат внедрени в облака. След това изпълнете отчет, за да видите, че промените, които искате да направите, са това, което очаквате. |
| Пълно и постепенно синхронизиране | Синхронизирайте цялата директория. Или просто синхронизирайте инкременталните промени, за да спестите обработваща мощност и да съкратите времето за синхронизиране. |
|
Синхронизиране на множество домейни (една гора или множество гори) |
Directory Connector поддържа множество домейни или под една гора, или под множество гори (без нужда от AD LDS). За предприятия с множество домейни на Active Directory, можете да инсталирате Directory Connector за всеки домейн, да свържете всеки домейн с вашата организация и след това да синхронизирате всяка потребителска база в Webex. Control Hub отразява състоянието, като показва състоянието на синхронизация за множество Directory Connectors, позволява ви да изключите синхронизирането за определен домейн и деактивирате Directory Connector при разполагане с висока наличност. |
| Планирано синхронизиране | Задайте график за синхронизиране по ден, час и минута. |
| Lightweight Directory Access Protocol (LDAP) филтри | Дефинирайте критерии за търсене в LDAP и осигурете ефективно импортиране. |
| Съпоставяне на атрибути на Active Directory | Съпоставете атрибути на Microsoft Active Directory със съответстващи атрибути в облака на Webex. Можете да съпоставяте атрибути, които са от значение за вашата конфигурация на Active Directory, и също така да дефинирате персонализирани атрибути, които да съпоставяте към облака. Атрибутите от локалните местоположения формират различни данни в облака, като информация за потребителския акаунт, телефонни номера за влизане в Webex Teams, SIP адреси за ресурси на Room и други данни за карта за контакт на потребителите (длъжност, отдел, мениджър и т.н.). |
|
Корпоративен указател за локални ресурси на стаята и потребители на Cisco Webex Calling (PSTN в облака) и корпоративни контакти без лицензиране за Webex |
Ако част от вашата организация използва PSTN в облака на Cisco Webex Calling за услуга за повиквания или имате локални устройства Room, тази функция позволява на потребителите да търсят в указателя за корпоративни контакти от техните телефони Cisco Webex Calling (PSTN в облака) или от ресурсите Room.
|
| Визуализатор на събитие | Използвайте визуализатора на събития, за да определите дали има проблеми със синхронизирането. |
| Инструмент за диагностика и отстраняване на неизправности | Можете да използвате вградения диагностичен инструмент за отстраняване на неизправности при внедряването на Cisco Directory Connector. Ако синхронизирането не работи правилно, може да имате конфигурационна или мрежова грешка. Този инструмент тества връзката ви с Active Directory, така че да можете сами да диагностицирате грешки, преди да се свържете с поддръжката. След като разрешите отстраняването на неизправности в Directory Connector, се записват регистрационни файлове, които могат да бъдат изпратени на техническата поддръжка. |
| Автоматично надстройване | След като инсталирате Directory Connector, получавате известие всеки път, когато е налична нова версия на софтуера. Можете да настроите автоматични надстройки, така че винаги да сте на най-новата версия на софтуера, когато се пуска нова версия. |
| Висока наличност | Конфигурирайте множество конектори, така че да има резервно копие, в случай че главният конектор или хостът на машината го прекъсне. |
Directory Connector е разделен на три области:
-
Control Hub е единственият интерфейс, който ви позволява да управлявате всички аспекти на вашата организация в Webex: преглеждайте потребителите, задайте лицензи, изтеглете Directory Connector и конфигурирайте еднократна идентификация (SSO) , ако искате вашите потребители да се удостоверяват чрез техния доставчик на корпоративна самоличност и не искате да изпращате имейл покани за приложението Webex.
-
Интерфейсът за управление на Directory Connector е софтуерът, който можете да изтеглите от Control Hub и да инсталирате на надежден сървър на Windows. За множество домейни на Active Directory можете да инсталирате един миг от софтуера за всеки домейн, който искате да синхронизирате. Като използвате софтуера, можете да изпълните синхронизация, за да пренесете потребителските си акаунти от Active Directory в Webex, да преглеждате и наблюдавате статуса на синхронизиране и да конфигурирате услугите на Directory Connector.
-
Услугата за синхронизиране на указатели изисква от вашия Active Directory да извлече потребители и групи за синхронизиране с услугата за конектор и Directory Connector.
Вижте тази схема, за да разберете архитектурата на Directory Connector:
Подготовка на средата за конектор за указатели
Изисквания за Directory Connector
Изисквания за Windows и Active Directory
Можете да инсталирате Directory Connector на следните поддържани сървъри на Windows:
-
Сървър на Windows 2022
-
Windows Server 2019
-
Windows Server 2016
За да разрешите проблем с бисквитките, препоръчваме да надстроите своя домейнов контролер до издание, което съдържа корекцията – Windows Server 2012 R2 или 2016.
Directory Connector се поддържа със следните услуги на Active Directory:
-
Active Directory 2016
(Directory Connector се поддържа при използване на най-новата версия на Active Directory на Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Обърнете внимание на следните допълнителни изисквания:
-
Directory Connector изисква TLS1.2. Трябва да инсталирате следното:
-
.NET Framework v3.5 (изисква се за приложението Directory Connector. Ако срещнете някакви проблеми, използвайте указанията в Активиране на .NET рамка 3.5, като използвате съветника за добавяне на роли и функции.)
-
.NET Framework v.4.5 (изисква се за TLS1.2)
-
-
Изисква се Active Directory Forest функционално ниво 2 (Windows Server 2003) или по-високо. (Вижте Какво представляват функционални нива на Active Directory? за повече информация.)
Изисквания към хардуера
Трябва да инсталирате Directory Connector на компютър със следните минимални изисквания към хардуера:
-
8 GB ОПЕРАТИВНА ПАМЕТ
-
50 GB място за съхранение
-
Няма минимум за процесора
Изисквания за мрежата
Ако мрежата се намира зад защитна стена, се уверете, че системата ви има HTTPS (порт 443) достъп до интернет.
Изисквания за организацията на Webex
-
За достъп до софтуера Directory Connector от Control Hub е необходима организация на Webex с пробна версия или платен абонамент.
-
(По избор) Ако искате новите потребителски акаунти на приложението Webex Да бъдат активни преди първото влизане, препоръчваме да направите следното:
-
Добавете, потвърдете и по желание заявете домейни , които съдържат потребителските имейл адреси, които искате да синхронизирате в облака.
-
Направете интегриране с еднократна идентификация (SSO) на вашия доставчик на самоличност (IdP) с вашата организация на Webex.
-
Потиснете автоматичните покани по имейл, така че новите потребители да не получават автоматичната покана по имейл, а вие да можете да направите собствена имейл кампания. (Тази функция изисква интегриране на SSO.)
-
За повече информация вижте Потребителски статуси и действия в Control Hub.
Изисквания за инсталиране
-
За среда с множество домейни (или за една гора, или за множество гори) трябва да инсталирате един Directory Connector за всеки домейн на Active Directory. Ако искате да синхронизирате нов домейн (B), докато поддържате синхронизираните потребителски данни на друг съществуващ домейн (A), се уверете, че имате отделен поддържан Windows сървър, за да инсталирате Directory Connector за синхронизиране на домейни (B).
-
За влизане в конектора не изискваме акаунт на администратор в Active Directory. Изискваме локален потребителски акаунт, който е същият потребител като пълен администраторски акаунт в Control Hub.
Този локален потребител трябва да има привилегии на тази машина с Windows, за да се свърже с контролера на домейни и да чете потребителски обекти в Active Directory. Акаунтът за влизане на машината трябва да е компютърен администратор с привилегии за инсталиране на софтуер на локалната машина. (Тази информация се отнася и за влизане с виртуална машина.)
-
При влизане в конектора акаунтът за влизане трябва да бъде същият като пълния администраторски акаунт за Control Hub. По подразбиране конекторът използва локалния системен акаунт за достъп до Active Directory. Можете обаче да използвате услугите на Windows, за да конфигурирате друг акаунт за достъп до Active Directory. (Тази информация се отнася и за влизане с виртуална машина.)
-
Уверете се, че режимът за търсене в библиотеката с динамични връзки (DLL) на Windows е активиран, като използвате тази процедура: Проверете SafeDllSearchMode в регистъра на Windows.
-
Ако използвате AD LDS за множество домейни на една гора, препоръчваме да инсталирате Directory Connector и Active Directory Domain Service/Lightweight Directory Services (AD DS/AD LDS) на отделни машини.
Няколко изисквания за домейни
Преди да следвате задачите в потока от задачи за разполагане на Cisco Directory Connector, имайте предвид следните изисквания и препоръки, ако ще синхронизирате информация от Active Directory от множество домейни в облака:
-
За всеки домейн се изисква отделен екземпляр на Directory Connector.
-
Софтуерът на Directory Connector трябва да се изпълнява на хост, който е на същия домейн, който ще се синхронизира.
-
Препоръчваме ви да потвърдите или заявите своите домейни в Control Hub. (Вижте Добавяне, потвърждаване и заявяване на домейни.)
-
Ако искате да синхронизирате повече от 50 домейна, трябва да отворите билет , за да преместите организацията си в голям списък на организацията.
-
Ако желаете, можете да синхронизирате информацията за ресурсите на стаята заедно с потребителските акаунти. (Вижте Синхронизиране на информация за локалните стаи с облака на Webex.)
Препоръки за група от Active Directory за автоматично задаване на лицензи
Групите в Active Directory се използват за събиране на потребителски акаунти, компютърни акаунти и други групи в управляеми единици. Работата с групи, а не с отделни потребители, помага за опростяване на поддръжката и администрирането на мрежата.
В Active Directory има два типа групи:
-
Групи за разпространение – използват се за създаване на списъци за разпространение по имейл.
-
Групи за защита – използват се за присвояване на разрешения на споделени ресурси.
Имайте предвид следните указания, когато създавате групи в Active Directory:
-
Създайте глобална група за всяка роля, отдел или услуга (като продажби, маркетинг, мениджъри, счетоводители, лицензиране на Webex и т.н.).
-
Използвайте стандартни конвенции за именуване във вашата организация, за да улесните идентифицирането на важна информация за дадена група. Имената на групи могат да включват подробности за групата, като например нивото на достъп, типа на ресурсите, нивото на защита, обхвата на групата, възможностите за поща и т.н. Например името на групата „GSG_Webex_Licensing_EMEAR“ се отнася за глобална група за защита за потребители на EMEAR за Webex Licensing.
-
Организирайте групи по лесен за разбиране начин, например по географска или управленска йерархия. Използвайте описания на групи, за да опишете напълно целта на групата.
-
Преди да добавите потребители към новоосигурените групи, дефинирайте шаблона за група за автоматично лицензиране в Control Hub за тези групи. Вижте Настройване на вашия шаблон за автоматично задаване на лицензи за повече информация.
Информация за оразмеряване
Directory Connector работи като мост между локалната Active Directory и облака на Webex. Като такъв конекторът няма горно ограничение за това колко обекти от Active Directory могат да бъдат синхронизирани с облака. Всички ограничения в локалните директории обекти са обвързани със специфичната версия и спецификациите за средата на Active Directory, която се синхронизира с облака, а не със самия конектор.
Няколко фактора могат да повлияят на скоростта на синхронизацията:
-
Общият брой обекти в Active Directory. (Задание за синхронизиране на 5000 потребители няма да отнеме толкова време, колкото 50000.)
-
Скорост на мрежата и честотна лента.
-
Работно натоварване на системата и спецификации.
Ако синхронизирате повече от 50 000 потребители, настоятелно препоръчваме да използвате втори конектор за отказ и резервиране.
Тъй като при синхронизирането са включени няколко фактора и тъй като всяко разгръщане варира в зависимост от горните фактори, не можем да предоставим конкретни стойности за време за това колко време ще отнеме синхронизирането на обекта.
Проверка на SafeDllSearchMode в регистъра на Windows
Режимът на търсене в библиотеката с безопасни динамични връзки (DLL) е зададен по подразбиране в регистъра на Windows и по-късно поставя текущата директория на потребителя в реда на търсене в DLL. Ако този режим по някакъв начин е деактивиран, атакуващият може да постави злонамерен DLL (наречен същото като препратен DLL файл, който се намира в системната папка) в текущата работеща директория на приложението.
Обикновено SafeDllSearchMode е активиран, но използвайте тази процедура, за да проверите двукратно настройките на системния регистър.
Преди да започнете
Промените в регистъра на Windows трябва да се правят с изключително внимание. Препоръчваме ви да направите резервно копие на своя регистър, преди да използвате тези стъпки.
| 1 |
В търсенето на Windows или прозореца „Изпълнение“ въведете Regedit и след това натиснете Enter. |
| 2 |
Отидете на HKEY_ЛОКАЛНАТА МАШИНА_\Система\CurrentControlSet\Control\Диспечер на сесии. |
| 3 |
Изберете един:
|
За повече информация вижте Поръчка за търсене в библиотеката с динамични връзки.
Интегриране на уеб прокси сървър
Интегриране на уеб прокси сървър
Ако удостоверяването на уеб прокси е активирано във вашата среда, все още можете да използвате Directory Connector.
Ако вашата организация използва прозрачен уеб прокси, тя не поддържа удостоверяване. Конекторът успешно се свързва и синхронизира потребителите.
Можете да използвате един от следните подходи:
-
Изрично уеб прокси сървър чрез Internet Explorer (конекторът наследява настройките на уеб прокси сървъра)
-
Изрично уеб прокси сървър през .pac файл (конекторът наследява специфичните за предприятието настройки на прокси сървър)
-
Прозрачен прокси сървър, който работи с конектора без никакви промени
Използване на уеб прокси сървър през браузъра
Можете да настроите Directory Connector да използва уеб прокси сървър през Internet Explorer.
Ако услугата Cisco DirSync се изпълнява от акаунт, различен от текущо влезлия потребител, трябва също да влезете с този акаунт и да конфигурирате уеб прокси сървър.
| 1 |
От Internet Explorer отидете на Опции за интернет, щракнете върху Връзки и след това изберете LAN настройки. |
| 2 |
Посочете екземпляра на Windows, където конекторът е инсталиран на вашия уеб прокси сървър. Конекторът наследява тези настройки за уеб прокси сървър. |
| 3 |
Ако средата ви използва удостоверяване чрез прокси сървър, добавете тези URL адреси към списъка с разрешени:
Можете да извършите това или за целия сайт (за всички организатори), или само за организатора, който има конектора. Ако добавите тези URL адреси към списък с разрешени, за да заобиколите напълно вашия уеб прокси сървър, се уверете, че таблицата ACL на защитната стена е актуализирана, за да се позволи на хоста на конектора да има директен достъп до URL адресите. |
| 4 |
Ако средата ви трябва да поиска списъци за анулиране на сертификати от сертифициращите органи, добавете тези URL адреси към списъка с разрешени:
За повече информация вижте тази статия за домейните и URL адресите, които трябва да бъдат достъпни за услугите на Webex. |
Конфигуриране на уеб прокси сървър чрез PAC файл
Можете да конфигурирате браузър на клиент да използва .pac файл. Този файл предоставя адреса на уеб прокси сървъра и информация за порт. Directory Connector директно наследява специфичната за предприятието конфигурация на уеб прокси сървъра.
| 1 |
За да може конекторът успешно да свърже и синхронизира потребителската информация с облака на Webex, се уверете, че удостоверяването с прокси сървър е деактивирано за |
| 2 |
Ако средата ви използва удостоверяване чрез прокси сървър, добавете тези URL адреси към списъка с разрешени:
Можете да извършите това или за целия сайт (за всички организатори), или само за организатора, който има конектора. Ако добавите тези URL адреси към списък с разрешени, за да заобиколите напълно вашия уеб прокси сървър, се уверете, че таблицата ACL на защитната стена е актуализирана, за да се позволи на хоста на конектора да има директен достъп до URL адресите. |
| 3 |
Ако средата ви трябва да поиска списъци за анулиране на сертификати от сертифициращите органи, добавете тези URL адреси към списъка с разрешени:
За повече информация вижте тази статия за домейните и URL адресите, които трябва да бъдат достъпни за услугите на Webex. |
NTLM прокси сървър
Directory Connector поддържа NT LAN диспечер (NTLM). NTLM е един подход за поддържане на удостоверяване на Windows сред устройствата на домейна и гарантиране на тяхната сигурност.
NTLM дизайн
В повечето случаи потребителят иска достъп до други ресурси на работна станция чрез клиентски компютър, което може да е трудно да се направи по сигурен начин.
Като цяло техническият дизайн на NTLM се основава на механизъм за предизвикателство
и отговор
:
-
Потребителят влиза в клиентския компютър чрез акаунт и парола за Windows. Паролата никога не се записва локално. Вместо обикновена текстова парола, хеш стойността на паролата се съхранява локално. Когато потребителят влезе чрез паролата към клиента, операционната система Windows сравнява съхранената стойност на хеширане и стойността на хеширането от входната парола. Ако и двете са еднакви, удостоверяването преминава.
Когато потребителят иска достъп до някой ресурс на друг сървър, клиентът изпраща заявка към сървъра с името на акаунта в обикновен текст.
-
Когато сървърът получи заявката, сървърът генерира 16-битов случаен ключ. Ключът се нарича предизвикателство (или nonce). Преди сървърът да се върне към клиента, предизвикателството се съхранява в сървъра. И след това сървърът изпраща предизвикателството до клиента в обикновен текст.
-
Веднага след като клиентът получи предизвикателството, изпратено от сървъра, клиентът шифрова предизвикателството с хеш стойността, която е спомената в стъпка 1. След шифроване стойността се изпраща обратно към сървъра.
-
Когато сървърът получи шифрованата стойност от клиента, сървърът я изпраща на контролера на домейна за потвърждение. Искането включва: името на акаунта, шифрованото предизвикателство, което клиентът е изпратил, и първоначалното недвусмислено предизвикателство.
-
Контролерът на домейна може да извлече хешираните стойности на паролата според името на акаунта. И тогава домейнов контролер може да шифрира първоначалното предизвикателство. След това контролерът на домейна може да сравни с получената стойност на хеш и шифрованата стойност на хеш. Ако те са еднакви, проверката е успешна.
Windows има вградено удостоверяване на защитата в операционната система, което улеснява приложенията да поддържат удостоверяване на защитата. В резултат на това не е необходимо да извършвате допълнително конфигуриране.
Конфигуриране на прозрачно прокси
В този сценарий браузърът не знае, че прозрачен уеб прокси сървър прихваща http заявки (порт 80/порт 443) и не се изисква конфигуриране от страна на клиента.
| 1 |
Разположете прозрачен прокси сървър, така че конекторът да може да свързва и синхронизира потребители. |
| 2 |
Потвърдете, че прокси сървърът е успешен – ще видите очакван изскачащ прозорец за удостоверяване на браузъра при стартиране на конектора. |
Задаване на удостоверяване в прокси сървър
Добавете URL адреса cloudconnector.webex.com към своя списък с разрешени, като създадете списък за контрол на достъпа.
На вашия корпоративен сървър на защитна стена:
| 1 |
Активирайте търсенето на DNS, ако вече не е активирано. |
| 2 |
Определете приблизителна скорост на предаване за тази връзка (приблизително 2 mb/s или по-малко за конектора). Това може да не е необходимо. |
| 3 |
Създайте списък за управление на достъпа, който да приложите към хоста на конектора, и посочете Например: access-list 2000 acl-inside extended permit TCP [IP на конектора] cloudconnector.webex.com eq https |
| 4 |
Приложете този ACL към подходящия интерфейс на защитната стена, който е приложим само за този хост с един конектор. |
| 5 |
Уверете се, че от останалите организатори във вашето предприятие все още се изисква да използват вашия уеб прокси сървър, като конфигурират съответната декларация за отказ. |
Разполагане на конектор за указател
Поток на задачи за разполагане на Cisco Directory Connector
Преди да започнете
| 1 |
Инсталиране на конектор за указател Control Hub първоначално показва синхронизирането на указатели като деактивирано. За да включите синхронизирането на указатели за вашата организация, трябва да инсталирате и конфигурирате Directory Connector и след това да извършите успешно пълно синхронизиране. За ново инсталиране на Directory Connector винаги отидете в Control Hub ( https://admin.webex.com), за да получите най-новата версия на софтуера, така че да използвате най-новите функции и корекции на грешки. След като инсталирате софтуера, надстройките се отчитат чрез софтуера и се инсталират автоматично, когато са налични. |
| 2 |
Влезте с идентификационните си данни на администратор на Webex и изпълнете първоначалната настройка. |
| 3 |
Задаване на автоматични надстройки Винаги е важно да поддържате софтуера си Directory Connector актуален до най-новата версия. Препоръчваме ви да използвате тази процедура, за да позволите автоматичните надстройки на софтуера да се инсталират мълчаливо, когато са налични. |
| 4 |
Избор на обекти в Active Directory за синхронизиране По подразбиране Directory Connector синхронизира всички потребители, които не са компютри, и всички групи, които не са критични системни обекти за даден домейн. За повече контрол върху това кои обекти се синхронизират, можете да изберете конкретни потребители, за да синхронизирате и посочите LDAP филтрите, като използвате страницата за избор на обект в Directory Connector. |
| 5 |
Съпоставяне на потребителски атрибути Можете да съпоставяте атрибути от вашата локална Active Directory със съответни атрибути в облака. Единственото задължително поле е *uid. |
| 6 |
Синхронизирайте аватарите на указатели, като използвате една от следните процедури:
Можете да синхронизирате аватарите на вашите потребители с облака, така че да се показва аватара на всеки потребител, когато той влезе в приложението. Можете да синхронизирате аватарите от атрибут на Active Directory или ресурсен сървър. |
| 7 |
Синхронизиране на информацията за локалните стаи с облака на Webex Използвайте тази процедура, за да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака устройства за стая, като устройство Webex Room или Cisco Webex Board |
| 8 |
За да осигурите Потребители От Active Directory В Control Hub, изпълнете следните стъпки:
Следвайте тази последователност, за да осигурите потребители на Active Directory за акаунтите за приложението Webex. Можете да осигурите потребители от множество горски или множество домейни, разполагане на Active Directory за Directory Connector 3.0 и по-нови версии. По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. Целта е да имате точно съвпадение между вашите Active Directories и облака на Webex. |
Инсталиране на конектор за указател
Control Hub първоначално показва синхронизирането на указатели като деактивирано. За да включите синхронизирането на указатели за вашата организация, трябва да инсталирате и конфигурирате Directory Connector и след това да извършите успешно пълно синхронизиране.
Трябва да инсталирате един конектор за всеки домейн на Active Directory, който искате да синхронизирате. Един екземпляр на Directory Connector може да обслужва само един домейн. Вижте следната схема, за да разберете потока за синхронизиране на множество домейни:
Преди да започнете
Ако се удостоверявате чрез прокси сървър, се уверете, че имате своите идентификационни данни за прокси сървър:
-
За базово удостоверяване в прокси сървър ще въведете потребителското име и паролата, след като инсталирате екземпляр на конектора. Конфигурацията на прокси сървъра на Internet Explorer се изисква също и за базово удостоверяване; вижте Използване на уеб прокси сървър през браузъра
-
За прокси NTLM може да видите грешка, когато отворите конектора за първи път. Вижте Използване на уеб прокси сървър през браузъра.
| 1 |
В Control Hub отидете на и изберете Напред. |
| 2 |
Щракнете върху връзката Изтегляне и инсталиране, за да запишете най-новата версия на .zip файла за инсталиране на конектор на вашия VMware или сървър на Windows. Можете да получите .zip файла директно от тази връзка, но трябва да имате пълен администраторски достъп до организация на Control Hub, за да работи този софтуер. За нова инсталация получете най-новата версия на софтуера, така че да използвате най-новите функции и корекции на грешки. След като инсталирате софтуера, надстройките се отчитат чрез софтуера и се инсталират автоматично, когато са налични. |
| 3 |
На сървъра на VMware или Windows разархивирайте и изпълнете .msi файла в папката за настройка, за да стартирате съветника за настройка. |
| 4 |
Щракнете върху Напред, поставете отметка в квадратчето, за да приемете лицензионното споразумение и след това щракнете върху Напред, докато видите екрана за тип на акаунта. |
| 5 |
Изберете типа акаунт за услуга, който искате да използвате, и изпълнете инсталирането с акаунт на администратор:
За да избегнете грешки, се уверете, че са въведени следните привилегии:
|
| 6 |
Щракнете върху Инсталиране. След като тестът на мрежата се изпълни и ако бъдете подканени, въведете основните идентификационни данни за прокси сървъра, щракнете върху OK и след това щракнете върху Край. |
Какво да направите след това
Препоръчваме да рестартирате сървъра след инсталирането. Отчетът за пробно изпълнение не може да покаже правилния резултат, когато данните не са били освободени. При рестартиране на машината всички данни се опресняват, за да се покаже точен резултат в отчета.
Влизане В Directory Connector
Преди да започнете
Уверете се, че имате идентификационните си данни за прокси сървъра.
-
За основно удостоверяване на прокси сървъра ще въведете потребителското име и паролата, след като отворите конектора за първи път.
-
За NTLM на прокси сървър отворете Internet Explorer, щракнете върху иконата на зъбно колело, отидете на Опции за интернет > Връзки > Настройки на LAN, осигурете добавена информация за прокси сървъра, след което щракнете върху OK. Вижте Използване на уеб прокси сървър през браузъра.
| 1 |
Отворете конектора и след това добавете |
| 2 |
Ако получите подкана, влезте с идентификационните си данни за удостоверяване на прокси сървъра и след това влезте в Webex с помощта на администраторския си акаунт и щракнете върху Напред. |
| 3 |
Потвърдете вашата организация и домейн.
|
| 4 |
След като се появи екранът Потвърждаване на организацията, щракнете върху Потвърждаване. Ако вече сте свързали AD DS/AD LDS, се появява екранът Потвърждаване на организацията. |
| 5 |
Щракнете върху Потвърждаване. |
| 6 |
Изберете един, в зависимост от броя домейни на Active Directory, които искате да свържете с Directory Connector:
|
Какво да направите след това
След като влезете, ще бъдете подканени да извършите пробно изпълнение на синхронизиране.
Табло за конектори за указатели
Когато за първи път влезете в Directory Connector, се появява таблото. Тук можете да видите обобщение на всички дейности по синхронизиране, да видите статистика за облака, да извършите пробно изпълнение на синхронизиране, да започнете пълно или постепенно синхронизиране и да стартирате изгледа на събитието, за да видите информация за грешките.
Можете лесно да изпълнявате тези задачи от лентата с инструменти за действия или менюто „Действия“.
|
Компонент |
Описание |
|---|---|
|
Текущо синхронизиране |
Показва информация за статуса относно протичащата в момента синхронизация. Когато не се изпълнява синхронизиране, дисплеят за статус е свободен. |
|
Следващо синхронизиране |
Показва следващото планирано пълно и постепенно синхронизиране. Ако не е зададен график, се показва Непланирани. |
|
Последно синхронизиране |
Показва статуса на последните две извършени синхронизации. |
|
Статус на текущата синхронизация |
Показва общия статус на синхронизирането. |
|
Конектори |
Показва текущите локални конектори, които са достъпни за облака. |
|
Статистика за облака |
Показва общия статус на синхронизирането. |
|
График за синхронизиране |
Показва графика на синхронизиране за постепенно и пълно синхронизиране. |
|
Резюме на конфигурацията |
Изброява настройките, които сте променили в конфигурацията. Например обобщението може да включва следното:
|
| Действие | Описание |
|---|---|
| Започване на постепенно синхронизиране |
Ръчно стартиране на поетапно синхронизиране Това действие се деактивира, когато поставите на пауза или деактивирате синхронизирането, ако не е завършено пълно синхронизиране или ако е в ход синхронизиране. |
|
Пробно изпълнение на синхронизиране |
Извършете синхронизиране на пробно изпълнение. |
|
Стартиране на визуализатора на събития |
Стартирайте Microsoft Event Viewer. |
|
Обнови |
Обновяване на таблото на Cisco Directory Connector |
|
Действие |
Описание |
|---|---|
| Синхронизирай сега |
Незабавно започнете пълна синхронизация. |
|
Режим на синхронизиране |
Изберете режим на постепенно синхронизиране или режим на пълно синхронизиране. |
|
Нулиране на тайната на конектора |
Установете разговор между Cisco Directory Connector и услугата конектор. Ако изберете това действие, ще бъде нулирана тайната в облака и след това ще я бъде записана локално. |
|
Пробно изпълнение |
Изпълнете тест на процеса на синхронизиране. Трябва да изпълните пробно изпълнение, преди да извършите пълно синхронизиране. |
|
Отстраняване на неизправности |
Включване/изключване на отстраняването на неизправности. |
|
Обнови |
Опреснете главния екран на Cisco Directory Connector. |
|
Изход |
Изход от Cisco Directory Connector. |
|
Клавишна комбинация |
Действие |
|---|---|
|
Alt+A |
Показване на менюто Действия |
|
|
Синхронизиране сега |
|
|
Нулиране на тайната на конектора |
|
|
Пробно изпълнение |
|
|
Постепенно синхронизиране |
|
|
Пълно синхронизиране |
|
|
Показване на менюто Помощ |
|
|
Помощ |
|
|
За програмата |
|
|
чзв |
Задаване на автоматични надстройки
| 1 |
От Directory Connector отидете на , и след това проверете Автоматично надстройване до новата версия на Cisco Directory Connector. |
| 2 |
Щракнете върху Прилагане, за да запишете промените си. |
Новите версии на конектора се инсталират автоматично, когато са налични.
Можете да управлявате надстройките ръчно, ако предпочитате. Вижте Надстройване до най-новото издание на софтуера за повече информация.
Избор на обекти в Active Directory за синхронизиране
По подразбиране Directory Connector синхронизира всички потребители, които не са компютри, и всички групи, които не са критични системни обекти за даден домейн. За повече контрол върху това кои обекти се синхронизират, можете да изберете конкретни потребители, за да синхронизирате и посочите LDAP филтрите, като използвате страницата за избор на обект в Directory Connector.
Групи за автоматично задаване на лицензи
Control Hub ви позволява да управлявате задаванията на лицензи за всяка група. Можете да създадете шаблони за лицензи и да ги нанесете към групи на Active Directory, които синхронизирате с облака. В момента на създаването на потребител Webex проверява членството на потребителя и съпоставянето на шаблони за автоматично разпределение на лицензи за този нов потребител.
Препоръчваме ви да използвате LDAP филтър само за синхронизиране на съответните групи с облака. Например можете да зададете филтъра на:
(&(cn=Пример)(objectclass=Група))*
Този филтър синхронизира всички групи в базовия DN, където името започва с „Пример“. На потребителите, които не са зададени на групи, се задават лицензи от шаблона за автоматични лицензи по подразбиране, който сте конфигурирали в Control Hub.
Групи за разполагания на хибридна защита на данни
В Directory Connector трябва да проверите Групи, ако използвате хибридна защита на данни, за да конфигурирате пробна група за пилотни потребители. Вижте Ръководство за разполагане на хибридна защита на данни за насоки. Тази настройка на Directory Connector не засяга синхронизирането на други потребители в облака.
Преди да започнете
Препоръки за група от Active Directory за автоматично задаване на лицензи
| 1 |
От Directory Connector отидете на Конфигурация , след което щракнете върху Избор на обект. |
| 2 |
В раздела Тип обект отметнете Потребители и помислете за ограничаване на броя на контейнерите, които могат да се търсят, за потребителите. Ако искате да синхронизирате само потребителите в определена група, например трябва да въведете LDAP филтър в полето Филтри за LDAP потребители. Ако искате да синхронизирате потребители, които са в групата на примерния мениджър, използвайте филтър като този:
|
| 3 |
Отметнете Идентифициране на стаята, за да отделите данните за стаята от данните за потребителите. Щракнете върху Персонализиране, ако искате да настроите допълнителни атрибути за идентифициране на потребителски данни като данни за стаи. Използвайте тази настройка, ако искате да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака устройства за стая. За повече информация вижте Синхронизиране на информацията за локалните стаи с облака на Webex. |
| 4 |
Отметнете Групи, ако искате да синхронизирате потребителските си групи от Active Directory към облака. Не добавяйте LDAP филтър за синхронизиране на потребители към полето „Групи“. Трябва да използвате полето „Групи“ само, за да синхронизирате самите данни на групата с облака. По подразбиране групите не се синхронизират за нови клиенти. Трябва да активирате синхронизирането на групи. Трябва също така да синхронизирате групите за защита. |
| 5 |
Отметнете Контакти, ако искате да синхронизирате информацията за контакт на потребителите с облака. Directory Connector управлява само контактите, синхронизирани от конектора. Ако вече има контакти в Control Hub, синхронизирането не ги изтрива. Ако контактите бъдат премахнати от обхвата на синхронизацията, информацията за контакт на потребителите също ще бъде премахната в Control Hub. |
| 6 |
Конфигурирайте LDAP филтрите. Можете да добавите разширени филтри, като предоставите валиден LDAP филтър. Вижте тази статия за повече информация относно конфигурирането на LDAP филтри. |
| 7 |
Задайте DN на локалната база за синхронизиране, като щракнете върху Избор, за да видите дървената структура на вашия Active Directory. От тук можете да изберете или премахнете избора кои контейнери да търсите. |
| 8 |
Проверете дали обектите, които искате да добавите за тази конфигурация, и щракнете върху Избор. Можете да изберете отделни или родителски контейнери, които да използвате за синхронизиране. Изберете родителски контейнер, за да активирате всички детски контейнери. Ако изберете контейнер за деца, главният контейнер показва сива отметка, която показва, че детето е било отметнато. След това можете да щракнете върху Избор, за да приемете контейнерите в Active Directory, които сте проверили. Ако вашата организация поставя всички потребители и групи в контейнера за потребители, не е необходимо да търсите други контейнери. Ако вашата организация е разделена на организационни единици, се уверете, че сте избрали OUs. |
| 9 |
Щракнете върху Прилагане. Изберете опция:
За информация за пробните изпълнения вижте Извършване на синхронизиране на пробно изпълнение на вашите потребители в Active Directory. За синхронизиране на група трябва да извършите пълно синхронизиране: Извършване на пълно синхронизиране на потребителите на Active Directory в облака. |
Съпоставяне на потребителски атрибути
Можете да съпоставяте атрибути от вашата локална Active Directory със съответни атрибути в облака. Единственото задължително поле е *uid, уникален идентификатор за всеки потребителски акаунт в услугата за самоличност в облака.
Можете да изберете кой атрибут на Active Directory да съпоставите с облака – например можете да съпоставите firstName lastName в Active Directory или потребителски израз на атрибут, за да displayName в облака.
Акаунтите в Active Directory трябва да имат имейл адрес; по подразбиране uid се съпоставя с полето за реклама на поща (не sAMAccountName).
Ако изберете предпочитаният език да идва от вашата Active Directory, тогава Active Directory е единственият източник на истина: потребителите няма да могат да променят настройката си за език в настройките на Webex, а администраторите няма да могат да променят настройката в Control Hub.
| 1 |
От Directory Connector щракнете върху Конфигурация и след това изберете Съпоставяне на потребителски атрибути. Тази страница показва имената на атрибутите за Active Directory (отляво) и облака на Webex (отдясно). Всички задължителни атрибути са маркирани с червена звезда. |
| 2 |
Превъртете надолу до долната част на Имена на атрибути на Active Directory и след това изберете един от тези атрибути на Active Directory, за да съпоставите с атрибута uid в облака:
Можете да съпоставите всеки от другите атрибути на Active Directory към uid, но ви препоръчваме да използвате mail или userPrincipalName, както е описано в указанията по-горе. В някои случаи потребителятPrincipalName се използва за влизане, но имейл адресът на потребителя се използва за управление на календара му. Трябва да гарантирате, че имейл адресът за управление на календара се съпоставя с полето за основен имейл адрес в Webex. Добавете потребителскотоPrincipalName като алтернативен имейл адрес. За да видите с кои атрибути в Active Directory съответстват в облака, вижте Съпоставяне на атрибути в Active Directory в Directory Connector. За да работи синхронизирането, трябва да се уверите, че атрибутът Active Directory, който изберете, е във формат на имейл. Directory Connector показва изскачащ прозорец, за да ви напомни, ако не изберете някой от препоръчителните атрибути. |
| 3 |
Ако предварително дефинираните атрибути на Active Directory не работят за разполагането ви, щракнете върху падащия атрибут, превъртете до дъното и след това изберете Персонализиране на атрибут, за да отворите прозорец, който ви позволява да дефинирате израз на атрибут. Щракнете върху Помощ, за да получите повече информация за изразите и да видите примери за това как работят изразите. Можете също да видите Изрази за персонализирани атрибути за повече информация. В този пример нека съпоставим атрибутите на Active Directory
Directory Connector проверява стойността на атрибута на uid в услугата за самоличност и извлича 3 налични потребители в текущите опции за филтриране на потребители. Ако всички тези 3 потребители имат валиден имейл формат, Cisco Directory Connector показва следното съобщение:
Ако атрибутът не може да бъде потвърден, ще видите следното предупреждение и можете да се върнете в Active Directory, за да проверите и коригирате потребителските данни:
|
| 4 |
(По избор) Изберете съпоставяния за мобилен и телефоненНомер, ако искате мобилните и работните номера да се показват например в картата за контакт на потребителя в приложението Webex. Данните за телефонните номера се появяват в приложението Webex, когато потребителят премине с мишката върху профилната снимка на друг потребител. За повече информация относно повикванията от карта за контакт на потребителя вижте Повиквания в Webex (Unified CM) Ръководство за разполагане (администратори). |
| 5 |
Изберете допълнителни съпоставяния, за да се показват повече данни в картата за контакт:
След като атрибутите са съпоставени, информацията се появява, когато потребителят премине с мишката над профилната снимка на друг потребител:
За повече информация относно картата за контакт вижте Проверете с кого се свързвате. След като тези атрибути бъдат синхронизирани с всеки потребителски акаунт, можете също да включите „Информация за участниците“ в Control Hub. Тази функция позволява на потребителите на приложението Webex да споделят повече информация в своите профили и да научат повече за себе си. За повече информация относно функцията и как да я активирате, вижте Профили за информация за участниците за Webex, Jabber, Webex Meetings и Webex Events (нов) в Control Hub |
| 6 |
След като направите избора си, щракнете върху Прилагане. |
Всички потребителски данни, които се съдържат в Active Directory, презаписват данните в облака, които съответстват на този потребител. Например, ако сте създали потребител ръчно в Control Hub, имейл адресът на потребителя трябва да бъде идентичен с имейла в Active Directory. Всеки потребител без съответстващ имейл адрес в Active Directory се изтрива.
Изтритите потребители се съхраняват в услугата за самоличност в облака за 7 дни, преди да бъдат окончателно изтрити.
Атрибути на Active Directory и облака
Можете да съпоставяте атрибути от вашата локална Active Directory със съответните атрибути в облака, като използвате раздела Съпоставяне на потребителски атрибути.
Тази таблица сравнява съпоставянето между имената на атрибути на Active Directory и имената на атрибути на Cisco в облака. Тези стойности и съпоставяния са настройката по подразбиране в Directory Connector. Можете да изберете различни атрибути в падащия списък на Active Directory и да определите кой локален атрибут се синхронизира с кой атрибут в облака.
Мислете за падащите атрибути като предварителни настройки. Като алтернатива на стойностите в реда на Active Directory, можете също да зададете персонализиран атрибут, ваша предварителна настройка, в Active Directory (израз с множество атрибути), за да се съпостави с един атрибут в облака в съответния ред. По този начин имате гъвкавостта да определите показваните имена на вашите потребители – например можете да добавите израз, който създава персонализиран атрибут въз основа на името на служителя, дадено име и фамилното име в Active Directory.
Можете също да зададете всеки от атрибутите на Active Directory, който да съпоставите с uid в облака. Трябва обаче да се уверите, че локалният атрибут следва валиден формат на имейл.
Можете да използвате и алтернативни имейл адреси, ако например искате да използвате userPrincipalName за влизане, но имейл адресът на потребителя се използва за управление на неговия календар. В този случай съпоставете друг имейл адрес с атрибута имейлите;тип-работа. Това е имейлът, който се използва за удостоверяване; той не се използва за управление на вашия календар. Имейл адресът, който съпоставяте от AD, трябва да е от потвърден домейн във вашата организация и да е уникален и да не е зададен на друг потребител.
|
Имена на атрибути в Active Directory |
Имена на атрибути в облака на Webex |
Бележки |
|---|---|---|
|
— |
сградаName |
— |
|
в |
в |
Този атрибут указва съкращението на страната на потребителя. |
|
отделНомер |
отделНомер |
Този атрибут се използва за номера на отдел на потребителя, който се появява в картата за контакт и Информация за участниците. |
|
показвано име |
показвано име |
Този атрибут се използва за показвано име на потребителския акаунт, което се появява в контролния център, картата за контакт и информация за участниците. |
|
управление на потребителския акаунт |
ds-pwp-акаунт деактивиран |
Този атрибут се използва за синхронизиране на потребители. Уверете се, че атрибутът userAccountControl е съпоставен с ds-pwp-account-disabled, или потребителите няма да бъдат синхронизирани правилно. |
|
служителНомер |
служителНомер |
— |
|
факсимилеТелефонНомер |
факсимилеТелефонНомер |
— |
|
— |
jabberID |
Този атрибут в облака е свързан с адресите за незабавни съобщения (тип XMPP), които се използват от Jabber. Тази стойност не е същата като sipAddresses. |
|
л |
л |
Този атрибут указва града на потребителя. |
|
— |
езикова променлива |
— |
|
мениджър |
мениджър |
Този атрибут се използва за името на мениджъра на потребителя, което се появява в картата за контакт и Информация за участниците. |
|
мобилен |
мобилен |
Този атрибут се използва като мобилен номер, който се появява за повикване на потребителя от картата за контакт. |
|
или |
или |
Този атрибут указва името на компанията или организацията и се появява в картата за контакт. |
|
или |
или |
Този атрибут указва името на организационната единица. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Този атрибут указва местоположението на офиса на потребителя. |
|
пощенски код |
пощенски код |
Този атрибут указва пощенския или zip кода на потребителя за физическа доставка на поща. |
|
предпочитанLanguage |
предпочитанLanguage |
Този атрибут задава предпочитания език за потребителя и се поддържат следните формати: xx_YY или xx-YY. Ето няколко примера: en_US, EN_GB, fr-CA. Ако използвате неподдържан език или невалиден формат, предпочитаният език на потребителите ще се промени на езика, зададен за организацията. |
|
MSRTCSIP – ОсновенUserAddress ipPhone |
SipAddresses; type=предприятие |
Този атрибут се използва за синхронизиране на информацията за локалната стая от Active Directory в облака на Cisco Webex. |
|
шшшт |
шшшт |
Този атрибут се използва за фамилното име на потребителския акаунт, което се появява в контролния център, картата за контакт и информация за участниците. |
|
-ви |
-ви |
Този атрибут указва щата или провинцията на потребителя. |
|
улицаAddress |
улица |
Този атрибут указва уличния адрес на потребителя за физическа доставка на поща. |
|
телефонНомер |
телефонНомер |
Този атрибут указва основния (служебен) телефонен номер на потребителя, който се използва за повикване на потребителя от картата за контакт. |
|
— |
часова зона |
Този атрибут за облака указва часовата зона на потребителя. |
|
заглавие |
заглавие |
Този атрибут указва заглавието на потребителя, което се появява в картата за контакт и информация за участниците. |
|
тип |
предприятие |
— |
|
*поща *потребителPrincipalName |
uid |
Задължително съпоставяне на атрибути. За всеки потребителски акаунт стойността на Active Directory се съпоставя с уникален uid в облака. В някои случаи потребителятPrincipalName се използва за влизане, но имейл адресът на потребителя се използва за управление на календара му. Трябва да гарантирате, че имейл адресът за управление на календара се съпоставя с полето за основен имейл адрес в Webex. Добавете потребителскотоPrincipalName като алтернативен имейл адрес. След това потребителят може да използва всеки от тези имейл адреси, за да влезе, стига да е налице правилното съпоставяне на SAML атрибути. Вижте съпоставяне на примерен атрибут по-долу за това как бихте могли да съпоставите алтернативен имейл адрес. |
|
*потребителPrincipalName *поща <персонализиран атрибут> |
имейли;тип работа |
Това съпоставяне е по желание, използвайте го, ако искате да използвате алтернативни имейл адреси. Това е имейлът, който се използва за удостоверяване; той не се използва за управление на вашия календар. Имейл адресът, който съпоставяте от AD, трябва да е от потвърден домейн във вашата организация и да е уникален и да не е зададен на друг потребител. |
|
<Нов атрибут за Azure user objectId> |
външенId |
Създайте нов атрибут на Active Directory, за да задържите Azure user objectId, така че да не влиза в конфликт със съществуващ. След това този атрибут се съпоставя с атрибута externalId, като се гарантира, че когато потребителите на Webex създават групи в Microsoft 365, те автоматично създават екипи в Webex. |
Алтернативно съпоставяне на имейл адреси
Изрази за персонализирани атрибути
|
Оператор |
Описание и пример |
|---|---|
|
% |
Премахва всички знаци от началото на низа до позицията на знака или низа аргумент, ако съвпада.
|
|
- |
Стриймва гърба на входния низ от края на посочения низ.
|
|
+ |
Наставя входни низове или изрази.
|
|
| |
Оценява разделените изрази спрямо празния низ и избира първия непразен резултат.
|
Синхронизиране на аватарите на указатели от атрибут на Active Directory към облака
Можете да синхронизирате аватарите на указателя на вашите потребители с облака, така че всеки аватар да се показва, когато те влязат в приложението Webex. Използвайте тази процедура, за да синхронизирате необработени данни за аватар от атрибут на Active Directory.
| 1 |
От Directory Connector отидете на Конфигурация, щракнете върху Аватар и след това отметнете Активиране. |
| 2 |
За Получаване на аватар от изберете атрибут AD и след това изберете атрибута Аватар, който съдържа необработените данни за аватар, които искате да синхронизирате с облака. |
| 3 |
За да проверите дали аватара е достъпен правилно, въведете имейл адреса на потребителя и след това щракнете върху Получаване на аватара на потребителя. Аватарът се появява вдясно. |
| 4 |
След като потвърдите, че аватарът се е появил правилно, щракнете върху Прилагане, за да запишете промените си. |
-
Синхронизираните изображения стават аватар по подразбиране за потребителите в приложението Webex. На потребителите не е позволено да задават собствен аватар, след като тази функция е активирана от Directory Connector.
-
Аватарите на потребителите се синхронизират както с приложението Webex, така и с всички съвпадащи акаунти на сайта на Webex.
Какво да направите след това
Изпълнете пробно синхронизиране; ако няма проблеми, направете пълно синхронизиране, за да получите вашите потребителски акаунти и аватари в Active Directory за синхронизиране в облака и да се появят в Control Hub.
Синхронизиране на аватарите на указатели от ресурсен сървър към облака
Можете да синхронизирате аватарите на указателя на вашите потребители с облака, така че всеки аватар да се показва, когато те влязат в приложението Webex. Използвайте тази процедура за синхронизиране на аватари от ресурсен сървър.
Преди да започнете
-
Моделът на URI и стойността на променливата в тази процедура са примери. Трябва да използвате действителните URL адреси, където се намират аватарите на вашия указател.
-
Моделът на URI на аватара и сървърът, където пребивават аватарите, трябва да са достъпни от приложението Directory Connector. Конекторът се нуждае от http или https достъп до изображенията, но не е необходимо изображенията да са публично достъпни в интернет.
-
Синхронизирането на данни за аватара е отделено от потребителските профили в Active Directory. Ако стартирате прокси сървър, трябва да гарантирате, че данните за аватара могат да бъдат достъпни чрез NTLM удостоверяване или основно удостоверяване.
| 1 |
От Directory Connector отидете на Конфигурация, щракнете върху Аватар и след това отметнете Активиране. |
| 2 |
За Получаване на аватар от изберете Сървър ресурси и след това въведете URI шаблона за аватар – например Нека да разгледаме всяка част от модела на URI за аватара и какво означават те:
|
| 3 |
(По избор) Ако сървърът на ресурси изисква идентификационни данни, отметнете Задаване на идентификационни данни на потребител за аватар, след което или изберете Използване на текущия потребител за влизане в услугата, или Използване на този потребител и въведете паролата. |
| 4 |
Въведете стойността на променливата – например: |
| 5 |
Щракнете върху Тест, за да се уверите, че шаблонът на URI за аватара работи правилно. В този пример, ако стойността на пощата за един запис в AD е |
| 6 |
След като информацията за URI бъде потвърдена и изглежда правилна, щракнете върху Прилагане. За подробна информация относно използването на регулярни изрази вижте Бърза справка за езика на регулярните изрази на Microsoft . |
-
Синхронизираните изображения стават аватар по подразбиране за потребителите в приложението Webex. На потребителите не е позволено да задават собствен аватар, след като тази функция е активирана от Directory Connector.
-
Аватарите на потребителите се синхронизират както с приложението Webex, така и с всички съвпадащи акаунти на сайта на Webex.
Какво да направите след това
Изпълнете пробно синхронизиране; ако няма проблеми, направете пълно синхронизиране, за да получите вашите потребителски акаунти и аватари в Active Directory за синхронизиране в облака и да се появят в Control Hub.
Синхронизиране на информацията за локалните стаи с облака на Webex
Използвайте тази процедура, за да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака Webex устройства (Room, Desk и Board).
| 1 |
От Directory Connector отидете на Синхронизиране, щракнете върху още |
| 2 |
Отметнете Синхронизиране на информацията за стаята с облака, за да отделите данните на стаята от данните на потребителите по време на синхронизацията. Когато тази настройка е деактивирана, данните за стаята се третират по същия начин като данните, синхронизирани от потребителите. |
| 3 |
Отидете на Съпоставяне на атрибути и след това променете съпоставянето на атрибути за атрибута sipAddresses;type=enterprise. За да използвате проверка на стойността, стойността на SIP адреса трябва да е Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Създайте пощенска кутия за ресурси за стая в Exchange. Това добавя атрибута msExchResourceMetaData;ResourceType:Room, който след това конекторът използва, за да идентифицира стаите.
|
| 5 |
От потребителите и компютрите в Active Directory се придвижвайте до и редактирайте свойствата на стаята. Добавете напълно квалифицирания SIP URI с префикс на sip:
|
| 6 |
Извършете пробно синхронизиране и след това пълно синхронизиране в конектора. Новите обекти в стаята са изброени Добавени обекти и съответстващите обекти в стаята се показват в Съответстващи обекти в отчета за пробно изпълнение. Всички предмети на стая, маркирани с флаг за изтриване, са под Стаи изтрити.
Резултатите от пробното изпълнение показват всички съвпадащи ресурси за стаята.
Тази настройка разделя данните на стаята в Active Directory (включително атрибута на стаята) от данните на потребителите. След като синхронизирането завърши, статистиката за облака на таблото на конектора показва данни за стаята, които са били синхронизирани с облака.
|
Какво да направите след това
Сега, след като сте направили тези стъпки, когато извършите търсене на регистрирано в облака устройство Webex, ще видите синхронизираните записи в стаята, които са конфигурирани със SIP адреси. Когато поставите повикване от webex устройството на този запис, се извършва повикване до SIP адреса, конфигуриран за стаята.
От Control Hub можете автоматично да импортирате стаи от вашия указател и да създавате работни области.
Крайната точка не може да започне обратно повикване към приложението Webex. За тестови устройства за набиране тези устройства трябва да бъдат регистрирани като SIP URI локално или някъде извън приложението Webex. Ако системата за стаи Active Directory, която търсите, е регистрирана в Webex и същият имейл адрес е на устройството Webex Room, устройството Desk или Webex Board за услугата за календар, тогава резултатите от търсенето няма да покажат дублирания запис. Устройството Room, Desk или Board се набира директно в приложението Webex и не се извършва SIP повикване.
Изпращане на имейл отчети за резултатите от синхронизирането на указатели
По подразбиране контактите на организацията или администраторите винаги получават известия по имейл. С тази настройка можете да персонализирате кой трябва да получава известия по имейл, които обобщават отчетите за синхронизиране на указатели.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Известие. |
| 2 |
От Directory Connector щракнете върху Настройки, а до Имейл приемник включете Разрешаване на синхронизиране на отчета. |
| 3 |
Отметнете Активиране на уведомяването, ако искате да заместите поведението за уведомяване по подразбиране и да добавите един или повече получатели на имейл. |
| 4 |
Щракнете върху Добавяне и след това въведете имейл адрес. Ако въведете имейл адрес с невалиден формат, се появява съобщение, което ви казва да коригирате проблема, преди да можете да запишете и приложите промените. |
| 5 |
Щракнете върху Добавяне на имейл и след това въведете имейл адрес. Ако въведете имейл адрес с невалиден формат, се появява съобщение, което ви казва да коригирате проблема, преди да можете да запишете и приложите промените. |
| 6 |
Ако трябва да редактирате въведените от вас имейл адреси, щракнете двукратно върху записа на имейла в лявата колона и след това направете всички промени, които трябва да направите. |
| 7 |
След като сте добавили всички валидни имейл адреси, щракнете върху Прилагане. |
| 8 |
След като сте добавили всички валидни имейл адреси, щракнете върху Запиши. |
Какво да направите след това
Ако сте решили, че искате да премахнете имейл адреси, можете да щракнете върху имейл, за да маркирате този запис, и след това да щракнете върху Премахни.
Ако сте решили, че искате да премахнете имейл адреси, можете да щракнете върху Премахване до записи за определени имейл адреси.
Осигуряване на потребители от Active Directory В Control Hub
Изпълнете тези стъпки, за да осигурите потребители на Active Directory и да създадете съответни потребителски акаунти в Control Hub. Можете да осигурите потребителите от разполагане на Active Directory с множество домейни (с една гора или с множество гори), след като инсталирате Directory Connector за всеки домейн. По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. Целта е да имате точно съвпадение между вашите Active Directories и облака на Webex.
| 1 |
Извършване на пробно изпълнение на синхронизиране на потребители от Active Directory Изпълнете пробно изпълнение, за да сравните обекти в локалната Active Directory и обектите в облака на Webex. Пробното изпълнение ви позволява да видите кои обекти ще бъдат добавени, променени или изтрити, преди да стартирате пълно или постепенно синхронизиране и да извършите промените в облака. |
| 2 |
Извършване на пълно синхронизиране на потребителите на Active Directory в облака Когато стартирате пълно синхронизиране, услугата конектор изпраща всички филтрирани обекти от вашия Active Directory (AD) към облака. След това услугата за конектор актуализира хранилището за самоличност с вашите AD записи. Ако сте създали шаблон за автоматично разпределение на лицензи, можете да го зададете на новосинхронизираните потребители. |
| 3 |
Разпределяне на услугите на Webex на синхронизираните с указатели потребители в Control Hub След като завършите пълно синхронизиране на потребителите от Directory Connector в Control Hub, можете да зададете лицензи за услугата на Webex по различни методи. Препоръчваме ви да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory. Можете също да правите отделни промени след тази първоначална стъпка. |
Извършване на пробно изпълнение на синхронизиране на потребители от Active Directory
Изпълнете пробно изпълнение, за да сравните обекти в локалната Active Directory и обектите в облака на Webex. Пробното изпълнение ви позволява да видите кои обекти ще бъдат добавени, променени или изтрити, преди да стартирате пълно или постепенно синхронизиране и да извършите промените в облака.
По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. С Directory Connector целта е да имате точно съвпадение между вашите Active Directories и облака на Webex.
Ако имате няколко домейна в една гора или няколко гори, трябва да направите тази стъпка на всеки от екземплярите на Cisco Directory Connector, които сте инсталирали за всеки домейн на Active Directory.
Преди да започнете
Възможно е вече да имате потребители на приложението Webex в Control Hub, преди да използвате Directory Connector. Сред потребителите в облака някои може да съвпадат с локалния обект на Active Directory и да им бъдат зададени лицензи за услуги. Но някои може да са тестови потребители, които искате да изтриете, докато правите синхронизация. Трябва да създадете точно съвпадение между вашия Active Directory и Control Hub.
| 1 |
Изберете едно:
Когато пробното изпълнение завърши, ще видите един от следните резултати:
Обобщението съдържа информация за съвпадението на обект:
Пробното изпълнение идентифицира потребителите, като ги сравнява с потребителите на домейн. Приложението може да идентифицира потребителите, ако те принадлежат към текущия домейн. В следващата стъпка трябва да решите дали да изтриете обектите или да ги запазите. Несъответстващите обекти се идентифицират като вече съществуващи в облака на Webex, но не съществуващи в локалната Active Directory. |
| 2 |
Прегледайте резултатите от пробното изпълнение и след това изберете опция в зависимост от това дали използвате един домейн или няколко домейна:
|
| 3 |
В подканата Потвърждаване на пробното изпълнение щракнете върху Да, за да извършите отново синхронизирането на пробното изпълнение и вижте таблото, за да видите резултатите. Всички акаунти, които са успешно синхронизирани в пробното изпълнение, се показват под Съвпадащи обекти. Ако потребител в облака няма съответстващ потребител със същия имейл в Active Directory, записът е посочен под Потребители изтрити. За да избегнете това изтриване на флаг, можете да добавите потребител в Active Directory със същия имейл адрес. За да видите подробностите за елементите, които са синхронизирани, щракнете върху съответния раздел за конкретни елементи или Съответстващи обекти. За да запишете обобщената информация, щракнете върху Запиши резултатите във файл. |
| 4 |
Ако се очакват резултатите, отидете на и след това щракнете върху Разрешаване сега, за да извършите ръчно синхронизиране и да го поставите в ръчен режим в този момент. След като извършите синхронизация на последния домейн на Active Directory в разполагането на множество домейни, трябва да активирате автоматичен режим за Directory Connector. Можете да активирате автоматичен режим само когато обектите съвпадат напълно между облака на Webex и всички локални активни директории. |
Какво да направите след това
-
За всички несъответстващи потребителски обекти, които сте запазили, трябва да ги добавите към Active Directory, така че да има точно съвпадение между локално и облака.
-
Изберете тип синхронизиране:
-
По подразбиране се задава постепенно синхронизиране на всеки 30 минути (на версии 3.4 и по-стари) или на всеки 4 часа (на версии 3.5 и по-нови), но можете да промените тази стойност. Постепенното синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране.
-
Ако имате няколко домейна, повторете тези стъпки на всеки друг Directory Connector, който сте инсталирали.
Неща, които трябва да имате предвид
-
Изпълнете пробно изпълнение, преди да активирате пълно синхронизиране или когато промените параметрите за синхронизиране. Ако пробното изпълнение е започнато от промяна в конфигурацията, можете да запишете настройките след завършване на пробното изпълнение. Ако сте добавили потребители ръчно, изпълняването на синхронизиране с Active Directory може да доведе до премахване на добавени преди това потребители. Можете да проверите отчетите за пробно изпълнение на Directory Connector, за да потвърдите, че всички очаквани потребители присъстват, преди да синхронизирате напълно с облака.
-
Ако съответстващите потребители са маркирани да бъдат изтрити и не сте сигурни как да продължите, вижте информация за отстраняване на неизправности и как да се свържете с поддръжката в Отстраняване на неизправности и корекции за Directory Connector.
Изтритите потребители се съхраняват в услугата за самоличност в облака за 7 дни, преди да бъдат окончателно изтрити.
Извършване на пълно синхронизиране на потребителите на Active Directory в облака
Когато стартирате пълно синхронизиране, услугата конектор изпраща всички филтрирани обекти от вашия Active Directory (AD) към облака. След това услугата за конектор актуализира хранилището за самоличност с вашите AD записи. Ако сте създали шаблон за автоматично разпределение на лицензи, можете да го зададете на новосинхронизираните потребители.
Ако имате няколко домейна, трябва да направите тази стъпка на всеки от екземплярите на Directory Connector, които сте инсталирали за всеки домейн на Active Directory.
Directory Connector синхронизира състоянието на потребителския акаунт – В Active Directory всички потребители, които са маркирани като деактивирани, също се появяват като неактивни в облака.
Преди да започнете
-
Ако искате потребителските акаунти на приложението Webex да бъдат в активен статус след пълната синхронизация и преди потребителите да влизат за първи път, трябва да направите следните стъпки, за да заобиколите проверката на имейла:
-
Интегрирайте еднократната идентификация с вашата организация на Webex. Вижте
Еднократна идентификация с услугите на Cisco Webex и доставчика на самоличност на вашата организация
за повече информация. -
Използвайте Control Hub, за да потвърдите и по желание да заявите домейни, съдържащи се в имейл адресите. Вижте
Добавяне, потвърждаване и заявяване на домейни
. -
Потиснете автоматичните имейл покани, така че новите потребители да не получават автоматичната имейл покана за приложението Webex. (Можете да направите собствена имейл кампания.)
Активираните потребители, които не са влезли, се появяват със статус Проверен в Control Hub. След като влязат, те се показват като Активни. За повече информация относно потребителските статуси вижте Потребителски статуси и действия в Cisco Webex Control Hub.
-
-
Когато активирате синхронизирането, Directory Connector първо ви моли да изпълните пробно изпълнение. Препоръчваме да пробвате пробното изпълнение преди пълно синхронизиране, за да видите евентуални грешки.
-
Трябва да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
Ако не използвате шаблони за автоматично разпределение на лицензи, новосинхронизираните потребители автоматично получават безплатни лицензи. Те ще могат да използват същите безплатни функции като тези с безплатни акаунти.
| 1 |
Изберете едно:
|
| 2 |
От Directory Connector отидете на Синхронизиране, щракнете върху повече |
| 3 |
Потвърдете началото на синхронизирането. За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените до 72 часа след извършване на синхронизирането. Можете да се опитате да изчистите локалния кеш за приложението Webex, като следвате следните указания: Windows или Mac.
|
| 4 |
Щракнете върху Обнови, ако искате да актуализирате статуса на синхронизацията. (Синхронизираните елементи се показват под Статистика в облака.) |
| 5 |
За информация за грешките изберете Стартиране на визуализатора на събития от лентата с инструменти Действия, за да видите регистрите на грешки. |
| 6 |
За да зададете график за синхронизиране за текущи инкрементални синхронизации с облака, вижте Задаване на график на конектори и Изпълнение на инкрементално синхронизиране. |
-
След завършване на пълната синхронизация статусът за синхронизиране на указатели се актуализира от Деактивирано на страницата Настройки в Control Hub.
-
Когато всички данни са съчетани между локално и облачно, Directory Connector се променя от ръчен режим в режим на автоматично синхронизиране.
-
Освен ако не интегрирате еднократна идентификация, потвърдите домейни и по избор заявите домейни за имейл акаунтите, които сте синхронизирали, и потиснете автоматизираните имейли, потребителските акаунти в приложението Webex остават в състояние „Непроверен“, докато потребителите не влязат в приложението Webex за първи път, за да потвърдят своите акаунти. Вижте раздела „Преди да започнете“ за указания как да синхронизирате акаунтите като активни потребители.
-
Ако имате няколко домейна, направете тази стъпка на всеки друг Directory Connector, който сте инсталирали. След синхронизацията потребителите във всички домейни, които сте добавили, са изброени в Control Hub.
-
Ако сте интегрирали еднократна идентификация с Webex и потиснати имейл известия, имейл поканите не се изпращат до новосинхронизираните потребители.
-
Не можете да добавяте потребители ръчно в Control Hub, след като Directory Connector е активиран. След като бъде активирано, управлението на потребителите се извършва от Cisco Directory Connector и Active Directory е единственият източник на истина.
-
Всички групи, които сте синхронизирали, се показват в Control Hub и можете да зададете шаблон за лицензи, така че на потребителите в тази група да бъдат зададени лицензи.
Какво да направите след това
-
Когато премахнете потребител от Active Directory, потребителят се изтрива меко след следващото синхронизиране. Потребителят става Неактивен, но профилът за самоличност в облака се съхранява в продължение на седем дни (за да се позволи възстановяване от случайно изтриване).
Когато отметнете Акаунтът е деактивиран в Active Directory, потребителят става Неактивен след следващото синхронизиране. Профилът за самоличност в облака не се изтрива след седем дни, в случай че искате да активирате потребителя отново.
-
Обърнете внимание на тези изключения при поетапно синхронизиране (вместо това следвайте стъпките за пълно синхронизиране по-горе):
-
В случай на актуализиран аватар, но без друга промяна на атрибута, постепенното синхронизиране няма да актуализира аватара на потребителя в облака.
-
Промените в конфигурацията при настройката за съпоставяне на атрибути, базовия DN, филтър и аватар изискват пълно синхронизиране.
-
Разпределяне на услугите на Webex на синхронизираните с указатели потребители в Control Hub
След като завършите пълната синхронизация на потребителите от Cisco Directory Connector в Control Hub, можете да използвате Control Hub, за да зададете едни и същи лицензи за услуга на Webex на всичките си потребители наведнъж или да добавите допълнителни лицензи за нови потребители, ако вече сте конфигурирали шаблон за автоматично зададен лиценз. Можете да правите промени в отделни потребителски акаунти след тази първоначална стъпка.
След като завършите пълната синхронизация на потребителите от Directory Connector в Control Hub, можете да използвате методи в Control Hub, за да зададете глобално лицензи за услугата на Webex на всичките си потребители, отделни потребители, чрез груповия CSV шаблон или автоматично на новите потребители, ако вече сте конфигурирали шаблон за автоматично разпределение на лицензи. Можете да правите промени в отделни потребителски акаунти след тази първоначална стъпка.
Когато зададете лиценз на потребител на приложението Webex, този потребител получава имейл, потвърждаващ задаването, по подразбиране. Имейлът се изпраща от услуга за известия в Control Hub. Ако сте интегрирали еднократна идентификация (SSO) с вашата организация на Webex, можете също да потиснете тези автоматични имейл известия, ако предпочитате да се свързвате директно с потребителите си.
Преди да започнете
-
Трябва да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
-
Извършете пробно изпълнение на синхронизиране на вашите потребители на Active Directory.
-
След като потвърдите резултатите от пробното изпълнение, извършете пълно синхронизиране на потребителите на Active Directory.
По време на пълна синхронизация потребителят се създава в облака, не се добавят задавания на услуги и не се изпраща имейл за активиране. Ако имейлите не се потиснат, новите потребители получават имейл за активиране, когато присвоявате услуги на потребителите по стандартен метод за управление на потребители в Control Hub, като импортиране на CSV файл, ръчна актуализация на потребители или чрез успешно завършване на автоматичното задаване.
| 1 |
От изгледа за клиенти в https://admin.webex.com отидете на , щракнете върху Управление на потребителите, изберете Промяна на всички синхронизирани потребители и след това щракнете върху Напред. |
| 2 |
Изберете опция: |
Какво да направите след това
-
Ако имейлите не се потискат, до всеки потребител се изпраща имейл с покана за присъединяване и изтегляне на Webex.
-
Ако сте избрали едни и същи услуги на Webex за всички ваши потребители, след това можете да промените лиценза, зададен поотделно или групово.
Известни проблеми с Directory Connector
-
Версиите на Windows Server преди 2012 R2 имат проблем с бисквитките, който засяга Directory Connector. Този проблем е поправен във версии 2012 R2 и 2016.
-
За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените 72 часа след момента, в който извършите синхронизирането.
Можете да се опитате да изчистите локалния кеш за приложението Webex, като следвате следните указания: Windows или Mac.
-
Когато потребител използва приложението Webex на настолен компютър или мобилно устройство, за да търси и повика стая, която има само синхронизиран SIP URI, тогава повикването звъни за неопределено време.
Управление на потребителите на приложението Webex
Стартиране на постепенно синхронизиране
Поетапната синхронизация прави заявки за вашия Active Directory и търси промени, които са се случили от последната синхронизация. След това тази стъпка пакетира тези промени и ги изпраща към услугата конектор. Промените включват модификация на атрибутите на потребителите и кога даден потребител е добавен или изтрит.
Тази синхронизация не поставя толкова натоварване на сървърите и не отнема толкова време, колкото пълното синхронизиране. След като направите първоначалното си пълно синхронизиране, препоръчваме опцията „Incremental“ за последващи синхронизации.
Преди да започнете
-
Трябва да настроите шаблон за автоматично разпределение на лицензи , преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
-
Имайте предвид тези изключения, които нарастващото синхронизиране не се поддържа (вместо това следвайте Извършване на пълно синхронизиране на потребители от Active Directory в облака ):
-
В случай на актуализиран аватар, но без друга промяна на атрибута, постепенното синхронизиране няма да актуализира аватара на потребителя в облака.
-
За нови промени в конфигурацията на съпоставянето на атрибути, базовия DN, филтъра и настройката за аватар, постепенното синхронизиране няма да работи и те изискват пълно синхронизиране.
-
| 1 |
От Directory Connector щракнете върху Табло. Когато активирате синхронизирането, Directory Connector първо ви моли да изпълните пробно изпълнение. |
| 2 |
От Действия щракнете върху Режим на синхронизиране > Разрешаване на синхронизацията , ако вече не е активиран. По подразбиране се задава постепенно синхронизиране на всеки 30 минути (на версии 3.4 и по-стари) или на всеки 4 часа (на версии 3.5 и по-нови), но можете да промените тази стойност. Постепенното синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране. Когато се появи нов инкрементален интервал от време, програмата проверява промените въз основа на последното времево клеймо. |
| 3 |
От Действия щракнете върху Синхронизиране сега > Постепенно. За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените 72 часа след момента, в който извършите синхронизирането.
|
| 4 |
За информация за грешките щракнете върху Стартиране на визуализатора на събития от лентата с инструменти Действия , за да видите регистрите на грешки. |
Какво да направите след това
Ако имате няколко домейна, направете тази стъпка в другите екземпляри на Directory Connector, които сте инсталирали.
Възстановяване на случайно изтрити потребители
Directory Connector има проверки и баланси, за да предотврати непреднамерено изтриване на потребители. За съжаление се случват инциденти; може да сте конфигурирали неправилно LDAP филтър в Active Directory, което е изтрило някои потребители при синхронизиране с облака. Функцията за меко изтриване може да ви помогне да се възстановите от тези инциденти и да възстановите потребителските акаунти в Control Hub.
По подразбиране тази функция е активирана за всички организации. Когато потребителите бъдат изтрити в облака, например поради несъответстващ проблем с обект след синхронизиране от Directory Connector, потребителите могат да бъдат възстановени. Ако сте видели бележка за несъответстващи обекти или сте забелязали, че потребителите са изтрити, може да сте в състояние да ги възстановите, ако действате бързо.
Потребителите се маркират като неактивни в Control Hub, когато съответните акаунти се изтриват в Active Directory. Фоновата услуга в облака запазва потребителите до 7 дни. През този период все още можете да използвате Cisco Directory Connector, за да възстановите потребители. Препоръчваме ви да възстановите тези потребители възможно най-скоро.
Потребителите, които са деактивирани в Active Directory, също се маркират като неактивни в Control Hub, но потребителският акаунт не се изтрива след 7 дни.
| 1 |
Влезте в контролния хъб. |
| 2 |
Отидете на Потребители и потвърдете дали даден потребителски акаунт е в неактивно състояние, или не е включен в списъка. За повече информация вижте Потребителски статуси и действия в Control Hub. |
| 3 |
Ако потребителите са изтрити в Control Hub или забележите потребители в състояние „Неактивно“, отидете в Active Directory, добавете липсващите потребителски акаунти и след това направете пробно изпълнение на синхронизиране в Directory Connector. Целта с Directory Connector е да се създаде точно съвпадение между информацията за потребителя в Active Directory и в облака. |
| 4 |
Извършете пълна синхронизация, за да синхронизирате отново временно изтритите потребителски акаунти с Control Hub. Потребителите се възстановяват и преминават към първоначалния статус, включително статуса на акаунта си и зададените услуги. |
Какво да направите след това
Върнете се в Control Hub, отидете на и потвърдете, че изтритите преди това потребителски акаунти се появяват в списъка с потребители.
Изтриване на потребителите за постоянно след меко изтриване
След като изпълните пробно изпълнение, можете да изберете да изтриете за постоянно потребители, които са били меки изтрити при следващото синхронизиране.
| 1 |
След като пробното изпълнение завърши, изберете Меки изтрити обекти. |
| 2 |
Поставете отметка в квадратчето до потребителите, които искате да изтриете. |
| 3 |
Изберете Готово. |
Какво да направите след това
При следващата синхронизация потребителите, които сте проверили, ще бъдат изтрити окончателно.
Промяна на имейл адреса на приложението Webex
Ако искате да промените потребителските имейл адреси и вашата организация използва Directory Connector, променяте тези имейл адреси в Active Directory. Тази процедура обхваща как да промените имейл адрес на приложението Webex за един домейн и процес за промяна на домейна.
Ако искате само да промените имейла или някаква стойност за един потребител, не изтривайте потребителя от Active Directory и след това създайте нов със същия имейл. Облакът тълкува това действие като нов потребителски акаунт и местата на потребителя и другите данни в облака ще бъдат изгубени.
Directory Connector не ограничава промяната на имейл домейна. Когато потребителят обаче се синхронизира отново с облака, състоянието на потребителя зависи от това дали новият домейн е потвърден във вашата организация. Ако домейнът не е потвърден във вашата организация, статусът на потребителя се променя на „В очакване“ след пълното синхронизиране. За повече информация вижте Управление на вашите домейни.
Ако вашата организация не използва Directory Connector, можете да промените имейл адресите на приложението Webex чрез страницата с настройки на акаунта. Вижте Промяна на имейл адреса за вашия акаунт за стъпките, които потребителите могат да последват, за да променят имейлите си.
Промяна на домейна на Active Directory
Можете да използвате тази процедура, за да създавате нови домейни и имейл адреси. Те се синхронизират с услугата за самоличност в облака.
| 1 |
Настройте нов домейн на Active Directory (AD). |
| 2 |
Деактивирайте синхронизирането на всички ваши конектори. |
| 3 |
Деинсталирайте всички конектори. |
| 4 |
Отворете случай, за да промените домейна. В изпращането на случай не забравяйте да поискате премахване на конфигурацията на домейна и всички атрибути за синхронизиране във вашата организация. Преди да отворите случай, за да промените домейна, се уверете, че не се изпълнява синхронизиране. Не променяйте потребителските имейл адреси в Active Directory, докато случаят не изчезне. |
| 5 |
След решаване на случая: Изпълнете тестово изпълнение с Directory Connector, преди да извършите действителното синхронизиране. |
Заявяване на домейн
Претенция за домейн възниква, ако заявите имейл домейн за организация, така че всеки посочен акаунт да бъде създаден в платената клиентска организация, а не в безплатната потребителска организация. Можете да заявите домейн само чрез случай за поддръжка (вижте връзката по-долу за повече информация).
Ако Directory Connector е активен и домейнът е заявен, акаунтите с външни потребители не се създават нито в клиентската организация, нито в безплатната потребителска организация. Само Directory Connector може да осигурява акаунти за организацията от Active Directory. Информацията, съхранена в Active Directory, е първоначалният източник. Ако се опитате да странично табло на акаунт, поканеният потребител получава грешка. Единственият начин, по който поканен потребител може да бъде добавен към място на приложението Webex, е първо да използвате Directory Connector, за да обезпечите акаунта в Control Hub.
Конвертиране на безплатните потребители на приложението Webex в синхронизирана с указателя организация
Можете да използвате уникални имейл адреси само в директорията на приложението Webex. Ако вашите потребители са се записали за безплатната версия на приложението Webex, акаунтът им съществува в безплатната потребителска организация. За да управлявате потребителите в тази организация чрез Directory Connector, мигрирайте (конвертирайте) ги в организацията на клиента, преди да включите Directory Connector. След това добавяте потребителите към Active Directory с точния имейл адрес и след това синхронизирате с облака.
Ако не конвертирате акаунтите преди активирането, изключете Directory Connector, за да ги конвертирате.
Ако се опитате да конвертирате потребител, докато е активирано синхронизирането на указатели, се появява съобщението за грешка не можа да бъде преобразувано
. За да избегнете проблема, можете да използвате тези стъпки като заобиколно решение.
Някои заявени потребители може да се покажат с атрибута movedfrom , когато правят пробно изпълнение. Тези потребители ще бъдат в списъка Изтрити обекти вместо MismatchedObject. Ще трябва да добавите тези потребители към своя списък в AD, ако искате да ги преместите във вашата организация.
Ако не добавите тези потребители, всички те ще бъдат изтрити, след като синхронизирате с облака.
| 1 |
Деактивирайте синхронизирането на указатели от Directory Connector. |
| 2 |
Следвайте процедурата Конвертиране на нелицензирани потребители в Control Hub , за да конвертирате потребителя от безплатната потребителска организация в корпоративната организация. Тази стъпка добавя потребителя към вашата организация и акаунтът се показва в Control Hub. Directory Connector прави Active Directory единственият източник на истина за потребителските акаунти и целта е да има точно съвпадение между Active Directory и Control Hub. Гарантирайте, че има съвпадащи потребители в Active Directory за всички наскоро преобразувани потребители преди повторното синхронизиране. Синхронизирането на "Сухо изпълнение" може да се използва, за да се гарантира, че няма останали несравнима потребители. |
| 3 |
На Directory Connector направете пробно изпълнение на синхронизиране. Когато сухото изпълнение завърши, проверете раздела Добавяне на обекти. Проверете дали всички потребители, които сте преобразували, не се изтриват. Трябва да изпълните пробно изпълнение, преди да активирате повторно синхронизирането, за да сте сигурни, че всички конвертирани потребителски акаунти се показват в Active Directory. Ако включите синхронизирането и акаунтите се намират само в Control Hub, Directory Connector зависи от малки и главни букви и изтрива конвертираните потребители, които открие с несъответстващи имейл адреси (например user1@example.com и User1@example.com). Ако някои преобразувани потребители бъдат изтрити, те губят всичките си места в приложението Webex. |
| 4 |
Когато сте сигурни, че следващото синхронизиране няма да премахне никакви акаунти, активирайте отново синхронизирането на указатели от Directory Connector. |
Преобразуваните потребителски акаунти не се активират автоматично, ако не сте потвърдили домейн. Например, ако сте включили шаблона за автоматично разпределение на лицензи и след това сте включили Directory Connector без проверка на домейна, конвертираните потребители са неактивни в облачната backend, докато не потвърдят имейл адресите си.
Потребителски акаунти в приложението Webex
Когато поканите друг потребител на място в приложението Webex, ако поканеният потребител няма акаунт за приложението Webex, за него се създава акаунт („страничен“). По подразбиране акаунтите, които са създадени по този начин, се добавят към безплатната потребителска организация.
Ако искате да управлявате страничния акаунт с помощта на Directory Connector, трябва да конвертирате акаунта.
Промяна на формата на потребителското име в приложението Webex след синхронизиране на указатели
По подразбиране Directory Connector съпоставя атрибута displayName в Active Directory с атрибута displayName в облака.
След като извършите синхронизиране на указатели, може да откриете, че потребителските имена се показват във формат .
Това потребителско име може да се появи, ако атрибутът displayName в Active Directory е конфигуриран по този начин. Когато атрибутът е съпоставен с displayName в облака, имената се показват във формат в Control Hub.
За да промените формата, в екрана за съпоставяне на атрибути на Directory Connector: съпоставете атрибута на Active Directory givenName sn (или sn givenName), за да показваName в имената на атрибути в облака на Cisco.
Като алтернатива съпоставете атрибута sn givenName с displayName:
Можете също да използвате опцията Персонализиране на атрибут, ако искате да съпоставите свой собствен персонализиран израз на атрибут към displayName.
Например въведете givenName + "" + sn (собствено име, интервал, фамилия) като израз. Това съпоставя двата атрибута в Active Directory за показванеName в облака.
Позволи на потребителите да променят показваните имена в Webex Meetings
Можете да премахнете съпоставянето на атрибута displayName от синхронизирането с облака в Directory Connector, ако искате да позволите на потребителите да редактират предпочитаните си показвани имена. Потребителите могат да въведат показвано име, което да се показва по време на срещи в Webex, вместо собственото и фамилното си име. Администраторите могат също да променят показваното име за потребител ръчно в Control Hub.
| 1 |
От Directory Connector щракнете върху Конфигурация и след това изберете Съпоставяне на потребителски атрибути. |
| 2 |
Изберете displayName под Cisco Cloud Attribute Name. |
| 3 |
Изберете Не синхронизирайте този атрибут. |
Какво да направите след това
Потребителите вече могат да редактират показваните си имена от своя сайт на Webex.
Отстраняване на неизправности в Directory Connector
Надстройте до последното издание на софтуера
За да поддържате внедряването си в съответствие и да получите най-новите функции, функционалност, корекции на грешки и подобрения в защитата, винаги трябва да надстроите до най-новата версия на Directory Connector. Ако не надстроите до най-новата налична версия, може да изпитате проблеми, например Directory Connector вече да не се синхронизира правилно или да сте на версия, която не поддържа задължителното изискване TLS 1.2.
Directory Connector автоматично ви уведомява, когато е налична нова версия. Винаги надстройвайте до най-новата версия, за да избегнете проблеми. Също така виждате известие в лентата на задачите на Windows.
Въпреки че можете ръчно да инсталирате актуализации на софтуера на конектор, препоръчваме да следвате стъпките в Задаване на автоматични надстройки , за да позволите на приложението да управлява вашите надстройки автоматично.
| 1 |
Щракнете върху известието в лентата на задачите на Windows или щракнете с десния бутон върху иконата Directory Connector в лентата на задачите на Windows, за да започнете процеса на надстройване. |
| 2 |
Следвайте инструкциите, за да завършите надстройването. |
| 3 |
Рестартирайте конектора и влезте с вашите идентификационни данни на администратор. |
| 4 |
Потвърдете номера на версията на софтуера под . |
Какво да направите след това
За нова инсталация на Directory Connector можете да изтеглите zip файла и след това да следвате стъпките за инсталиране в това ръководство.
Конфигуриране на общи настройки за Directory Connector
Използвайте тази процедура, за да конфигурирате общи настройки, като името на сървъра, работещ с Directory Connector, нивата на регистрационния файл, автоматичните надстройки и предпочитаните настройки за контролерите на домейни. Името на конектора се появява на таблото в раздела „Конектори“, заедно с всички други конектори, които работят.
| 1 |
От Directory Connector отидете на Конфигурация и след това щракнете върху Общи. |
| 2 |
В полето Име на конектор въведете името на конектора. Това поле показва само името на компютъра, на което в момента работи конекторът. |
| 3 |
Изберете нивото на регистрационния файл от падащия списък. По подразбиране нивото на регистрационния файл е зададено на информация. Наличните нива на регистрационния файл са:
Тези настройки засягат отчета за синхронизиране, който се изпраща по имейл. Ако зададете нивото на регистрационния файл на „Грешка“, в отчета за синхронизиране се съобщават само грешки; ако не съществуват грешки, отчетът за синхронизиране не се изпраща. Променете настройката на „Информация“, след което получавате отчети за синхронизиране след пълно синхронизиране. (Имайте предвид, че за постепенно синхронизиране не се изпращат отчети, когато не се съобщават грешки.) |
| 4 |
Изберете предпочитаните контролери на домейни , за да зададете реда на контролерите на домейни за синхронизиране на самоличности. До контролерите на домейни има достъп от горе до долу. Ако горният контролер не е наличен, изберете втория контролер от списъка. Ако няма посочен контролер, можете да получите достъп до главния контролер. |
| 5 |
Отметнете Автоматично надстройване до новата версия на Cisco Directory Connector , ако искате да се извършват автоматични надстройвания. Винаги е важно да поддържате своя софтуер Cisco Directory Connector до най-новата версия. Препоръчваме ви да отметнете тази настройка, за да позволите автоматичните надстройки на софтуера да се инсталират мълчаливо, когато са налични. |
| 6 |
Проверете LDAP през SSL , за да използвате защитения LDAP (LDAPS) като протокол за свързване. Ако не проверите LDAP през SSL, Directory Connector продължава да използва протокола за LDAP връзка. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) са протоколите за свързване, използвани между приложение и домейнов контролер в инфраструктурата. LDAPS комуникацията е шифрована и защитена. |
Конфигуриране на правилата за конектори
Можете да зададете максималния брой изтривания, които могат да възникнат по време на синхронизиране. Изпълнението на синхронизиране не изтрива обекти от вашия локален Active Directory. Всички обекти се изтриват само от облака.
Например задавате 1 като стойност за праг за изтриване. Когато извършвате пълно или постепенно синхронизиране, ако броят потребители, които искате да изтриете, е по-голям от настройката, Directory Connector показва предупреждение. Ако щракнете върху Праг за заместване, можете да започнете пълно или постепенно синхронизиране успешно, но ще видите това известие за заместване следващия път, когато изпълните правилата.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Правила. |
| 2 |
Поставете отметка в полето Разрешаване на изтриване на прагова тригера , ако искате да добавите прагова тригера. Избирането на тази опция ще задейства предупреждение, ако броят изтривания надвиши прага. Когато акаунтът за изтриване надвиши този, който сте дефинирали, синхронизирането е неуспешно.
|
| 3 |
Въведете максималния брой изтривания, който искате. По подразбиране е 20. Препоръчваме да не увеличавате стойността по подразбиране. |
| 4 |
Щракнете върху Приложи. |
Задаване на графика на конектора
Задайте времето за синхронизиране в Active Directory. Превключването при отказ се използва за висока наличност (HA). Ако един конектор не работи, превключваме към друг конектор в режим на готовност след предварително дефинирания интервал.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Планиране. |
| 2 |
Посочете интервала на постепенно синхронизиране в минути. По подразбиране се задава постепенно синхронизиране на всеки 30 минути. Пълното постепенно синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране. |
| 3 |
Променете стойността за Изпращане на отчети за... време , ако искате да промените колко често се изпращат отчети. |
| 4 |
Отметнете Активиране на график за пълно синхронизиране , за да посочите дните и часовете, в които искате да се извърши пълно синхронизиране. |
| 5 |
Задайте интервала за превключване към отказ в минути. |
| 6 |
Щракнете върху Приложи. |
Сценарии за множество домейни
Множеството домейни се основават на приоритета на домейна. За обекти, които имат една и съща стойност на ключа в различни домейни, след синхронизирането данните от домейна с по-висок приоритет се презаписват данните от домейна с по-нисък приоритет.
Обекти, които имат една и съща стойност на ключа, са свързани в един запис в базата данни.
Ключовата стойност за „Потребител“ е Имейл адрес; ключовата стойност за „Група“ е Име на група.
Пример за използване на случай за повече от един домейн
Този пример приема организация с два домейна – example1.com и example2.com, по реда на приоритета.
-
Добавяне на потребител1 (имейл: user@example1.com) към Active Directory на example1.com.
-
Добавяне на група1(Име на група: Тест) към Active Directory на example1.com.
-
Добавяне на потребител2 (имейл: user@example2.com) към Active Directory на example2.com.
-
Добавяне на група2 (Име на група: Тест) към Active Directory на example2.com.
- Синхронизиране в example1.com
-
Като случай на използване потребителят2 и group2 се синхронизират с облака и се показват в https://admin.webex.com, докато потребителят1 и group1 не са.
Ако извършите пълно или постепенно синхронизиране, например1.com, потребител1 и група1 се синхронизират. Също така потребител2 и група2 са презаписани от информацията на потребител1 и група1.
User1 връзки към user2 като същия запис в базата данни; group1 връзки group2 като същия запис в базата данни.
- Синхронизиране на example1.com и example2.com
-
Като случай на използване потребителят2 и group2 се синхронизират с облака и се показват в https://admin.webex.com, докато потребителят1 и group1 не са.
Помислете за тези стъпки:
- Изтрийте потребител1 и група1 в Active Directory, например1.com.
- Извършете пълно или постепенно синхронизиране, например1.com.
Резултат: информацията на потребителя не е променена в https://admin.webex.com. Потребител2 не е свързан с потребител1 и група2 не е свързана с група1.
- Извършете постепенно синхронизиране, например2.com.
Резултат: информацията на потребителя не е променена в https://admin.webex.com.
- Извършете пълна синхронизация, например2.com.
Резултат: Информацията за потребител2 и група2 е показана в https://admin.webex.com.
Синхронизиране на нов Домейн И запазване на съществуващ домейн
Ако искате да синхронизирате нов домейн (B), докато поддържате синхронизираните потребителски данни на друг съществуващ домейн (A), се уверете, че инсталирате Directory Connector за синхронизиране на домейн (B) на поддържан Windows сървър. Конекторът се свързва с новия домейн след първоначалната настройка, а информацията за потребителя в домейна (А) остава незасегната.
Всеки домейн трябва да има собствен активен конектор. Помислете за два домейна със следната настройка: домейн А с конектори (ca1) и (ca2) за локална висока наличност (HA); домейн В с конектор (cb1). (ca1)и (ca2) служат на домейн А. В този сценарий единият конектор е активен, а другият е в режим на готовност (HA). Този дизайн поддържа домейна синхронизиран, защото един конектор е винаги активен. Така че cb1 е активният конектор за домейн В, тъй като домейн А вече има активен конектор (ca1 или ca2).
Задаване на приоритет на домейна
Използвайте тази процедура, за да промените приоритета на вашите домейни в Active Directory. Приоритетът на домейна ви позволява да определите главния домейн, вторичния домейн и т.н. Това помага, когато двама потребители от два различни домейна имат една и съща стойност на имейл, синхронизирани с една организация.
Не използвайте тази процедура, ако имате един домейн, посочен в Directory Connector. Ако опитате, конекторът ви показва съобщение, заявяващо, че приоритетът на домейна не е задължителен.
Преди да започнете
За да избегнете грешки, инсталирайте или надстройте до най-новата версия на Cisco Directory Connector. Трябва да го изтеглите от https://admin.webex.com.
| 1 |
От Cisco Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху Задаване на приоритет на домейна. |
| 3 |
Маркирайте един домейн в списъка, щракнете върху Нагоре или Надолу , за да промените приоритета на този домейн, след което щракнете върху Запиши , за да запишете тази промяна. Домейните са сортирани по приоритет от горе до долу. |
Превключване на домейни
Използвайте тази процедура, за да свържете отново Cisco Directory Connector към друг домейн.
Преди да започнете
-
Уверете се, че не се изпълняват задачи за синхронизиране, преди да превключите домейни.
-
За да избегнете грешки, инсталирайте или надстройте до най-новата версия на Cisco Directory Connector. Трябва да го изтеглите от Control Hub.
| 1 |
От Cisco Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху Превключване на домейн. |
| 3 |
След като прочетете предупреждението, ако разберете въздействието на тази промяна върху разполагането ви и все още сте сигурни, щракнете върху Да. Ако превключите домейн, излезете от текущия Cisco Directory Connector, другите домейни в конектора са нерегистрирани и информацията за конектора на този компютър се изтрива. |
| 4 |
Влезте отново в Cisco Directory Connector и свържете отново домейна. |
Изключване на синхронизирането на указатели
Ако трябва да спрете синхронизирането от Directory Connector, можете временно да го изключите от Control Hub.
| 1 |
От изгледа за клиент в https://admin.webex.com отидете на , превъртете до Синхронизиране на указатели и след това изберете такава:
|
| 2 |
След като прочетете подканата, щракнете върху Изключване. Синхронизирането спира, докато не го активирате отново от Directory Connector. |
Премахване на съпоставянето на потребителски атрибути
Използвайте Directory Connector, за да премахнете съпоставянето за атрибути на Active Directory, нанесени преди това в облака и синхронизирани с Webex. След като премахнете съпоставянето на атрибути, стойностите на атрибутите се премахват от облака и вече не се синхронизират с Webex. След това тези стойности могат да се редактират ръчно.
| 1 |
От Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху . |
| 3 |
Изберете съпоставянето, което да премахнете от списъка Име на атрибути . |
| 4 |
Под Засегнат потребителски обхват изберете едно от следните:
|
| 5 |
Щракнете върху Приложи. |
Управление на профилни снимки
Използвайте Directory Connector, за да актуализирате снимки на потребителския профил или да премахнете празни снимки на потребителския профил.
| 1 |
От Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху . |
| 3 |
Под Действия изберете едно от следните:
|
| 4 |
Щракнете върху Приложи. |
Деинсталиране и деактивиране на Directory Connector
След като деинсталирате екземпляр на Directory Connector, трябва да го дерегистрирате. Премахнете напълно Directory Connector за някой от следните сценарии:
-
Повече не искате да използвате синхронизиране на указатели.
-
Не искате да използвате един от многото конектори за указатели (висока наличност).
-
Искате да промените домейна и да инсталирате друг конектор.
Преди да започнете
-
Може да имате настроени няколко екземпляра на Directory Connector за висока наличност (HA) или за синхронизиране на множество домейни. Деактивирайте синхронизирането, ако деинсталирате единствения или последния оставащ екземпляр на Directory Connector.
-
Запишете и затворете всяка важна работа, преди да деинсталирате Directory Connector.
| 1 |
От вашата машина с Windows отидете в контролния панел и след това щракнете върху Програми и функции. |
| 2 |
От списъка с програми щракнете върху Directory Connector, изберете Деинсталиране и след това следвайте подканите. Може да се наложи да рестартирате системата си, за да завършите деинсталирането. |
| 3 |
От изгледа на клиента в https://admin.webex.com, отидете на , превъртете до Синхронизиране на указатели, щракнете върху още |
| 4 |
След като прочетете подканата, щракнете върху Деактивиране. Освен ако няма друг Directory Connector с разполагане с висока наличност (HA), потребителските акаунти вече не се синхронизират. |
Стартирайте инструмента за диагностика
Можете да използвате вградения инструмент за диагностика, за да отстраните неизправности в разполагането на Directory Connector. Този инструмент се инсталира като част от Directory Connector 3.4 нататък.
Ако синхронизирането не работи правилно, може да имате конфигурационна или мрежова грешка. Този инструмент тества връзката ви с LDAP, така че да можете сами да диагностицирате грешките, преди да се свържете с поддръжката. Ако инструментът върне някоя грешка, можете да изпратите до поддръжката подробните резултати от регистрационния файл.
-
За да изпълните тестове за услугите на домейн на Active Directory:
-
За да изпълните тестове за услугите на Active Directory Lightweight Directory:
-
За да изпълните тестове за lightweight Directory Access Protocol (LDAP):
Отстраняване на проблеми в Ciso Directory Connector
Отстраняване на неизправности и корекции за Directory Connector
Може да срещнете съобщение за грешка или друг проблем в Directory Connector. Също така, след като Directory Connector синхронизира потребителската информация, конекторът може да ви изпрати имейл отчет, който изброява всички проблеми със синхронизирането. Вижте следващите раздели за проблеми, които могат да възникнат, възможни причини и предложени решения, които можете да опитате, преди да се свържете с поддръжката.
Инсталирай
Directory Connector спря да работи
Получихте имейли за предупреждение, които ви уведомяват, че вашият Directory Connector не работи.
-
Възможно е Directory Connector да не е инсталиран правилно.
-
Directory Connector може да не се изпълнява.
-
Възможно е мрежата да не е достъпна.
Опитайте следното:
-
Отворете . Намерете конектора за указатели. Ако не е там, изтеглете най-новата версия от Control Hub и я инсталирайте.
-
Отворете услугата и намерете услугата Cisco DirSync. Уверете се, че показва състоянието като Стартирано. Ако услугата бъде спряна, щракнете с десния бутон и изберете \„Старт\“, за да рестартирате услугата.
-
Уверете се, че сървърът, на който сте инсталирали Directory Connector, има достъп до интернет.
Грешка при преинсталиране
Проблем – Ако незабавно инсталирате нов конектор, след като деинсталирате стар, може да видите съобщение за грешка.
Възможна причина— В Windows Server 2012 клиентът за деинсталиране се нуждае от време, за да изтрие сервизния акаунт от списъка на услугите.
Решение—След известно време опитайте отново да инсталирате.
Влизане
Directory Connector се срива при влизане с еднократна идентификация
проблем
Directory Connector може да се срине, след като въведете имейл адрес от страница за влизане в SSO.
Решение
Опитайте следното:
Изпълнете следните стъпки, за да конфигурирате нови правила за група:
-
Отидете в домейнов контролер и отворете Управление на групови правила (gpedit.msc).
-
Щракнете с десния бутон върху конкретен OU или домейн и изберете Създаване на GPO в този домейн и Свържете го тук…
-
Дайте име на правилата, след което щракнете с десния бутон и изберете Редактиране.
Изпълнете следните стъпки, за да промените правилата на ниво машина:
-
Отидете на , щракнете с десния бутон върху Регистър, изберете Нов и след това Елемент в регистъра.
-
За път на ключа въведете или се придвижете до HKEY_ЛОКАЛНА_МАШИНА\СОФТУЕР\Microsoft\Internet Explorer\Main.
-
Въведете
Деактивиране на отстраняване на грешки за скриптовеза стойност и въведетенеза данни за стойност.Настройките трябва да съвпадат с тази екранна снимка:
Изпълнете следните стъпки, за да промените правилата на ниво потребител:
-
Отидете на , щракнете с десния бутон върху Регистър, изберете Нов и след това Елемент в регистъра.
-
За път на ключа въведете или се придвижете до HKEY_ТЕКУЩ_ПОТРЕБИТЕЛ\СОФТУЕР\Microsoft\Internet Explorer\Main.
-
Въведете
Деактивиране на отстраняване на грешки за скриптовеза стойност и въведетенеза данни за стойност.Настройките трябва да съвпадат с тази екранна снимка:
Промените влизат в сила, след като стартирате gpupdate /force, машината се рестартира (за промени в машината) или потребителят влезе отново (за промени в потребителя).
Конекторът за услуги на Cisco DirSync не може да се регистрира
проблем
Неуспешно влизане и се появява това съобщение: „Cisco DirSync Service Connector не можа да бъде регистриран“.
Решение
Системата на Windows, на която е инсталиран Directory Connector, трябва да е член на Active Directory.
Не се появява страница за влизане
проблем
Отворихте Directory Connector и страницата за влизане не се появи.
Решение
Изпробвайте следните стъпки:
-
В Internet Explorer отидете на https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Опитайте връзката в други браузъри като Chrome и Firefox.
-
Ако Internet Explorer не може да посети връзката, но могат и други браузъри, поставете отметка в настройките на Internet Explorer и поставете отметка в квадратчетата TLS 1.1 и 1.2. (Използвайте процедурата Разрешаване на TLS в Internet Explorer .)
Появява се подкана за влизане
проблем
Появява се подкана, която иска да въведете потребителското име и паролата, за да предадете удостоверяването.
Възможна причина
Directory Connector завършва мълчаливо удостоверяването за защита на NTLM с акаунта за влизане. Ако удостоверяването е неуспешно, се появява диалогов прозорец, за да се поиска потребителско име и парола за удостоверяване.
Решение
Когато видите знака в изскачащ прозорец, трябва да предоставите валиден акаунт с правилно удостоверяване, за да предадете защитата.
Неуспешно свързване с отдалечения сървър
проблем
По време на нормална работа се появява съобщението за грешка: "Не е възможно свързване с отдалечения сървър".
Възможна причина
Може да имате проблеми с прокси сървъра, които трябва да бъдат разрешени.
Решение
Вижте Отстраняване на проблеми с влизането в акаунта за услугата за повече информация за отстраняване на неизправности.
Конекторът не може да се регистрира
проблем
Виждате съобщението за грешка „Не може да се регистрира конекторът. Възникна общо изключение.“
Възможна причина
В повечето случаи проблемът е, че Directory Connector няма привилегия да се свързва с LDAP корневи контекст.
Решение
Опитайте следното:
-
Изпълнете командната подкана (cmd) и след това въведете ldp.exe.
-
Щракнете върху , изберете Обвързване както в момента сте влезли в потребителя, след което щракнете върху OK.
-
Щракнете върху , въведете DC=arbonneintl,DC=ad като BaseDN и след това щракнете върху OK.
-
Ако проблемът продължава, отворете случай с поддръжката.
Синхронизиране
Аватарите не са синхронизирани
проблем
Cisco Directory Connector синхронизира потребителските AD данни с облака на Webex. Но данните за аватара не са синхронизирани успешно.
Възможна причина
Ако сте използвали повторно съществуващ аватар сървър и аватарите на потребителите вече са синхронизирани, тогава локалният кеш ги улавя и избягва повторното изпращане отново, за да се подобри скоростта на предаване.
Решение
Изтрийте локалния кеш, като изпълните следните стъпки:
-
Отидете на C:\Програмни файлове (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Изтрийте DirSyncPluginAvatar.dll-cache.bin.
-
Изпълнете отново синхронизирането на аватара от Cisco Directory Connector.
Конфликтни потребителски имейл акаунти
проблем
Резултатите от синхронизирането може да показват конфликтни потребителски имейл акаунти.
-
Ако потребителите са изпробвали безплатната версия на приложението Webex, техните имейл адреси се намират в безплатната организация на потребителите.
-
Ако потребителските имейли някога са били синхронизирани в друга организация.
-
Ако потребителските имейли съществуват в много домейни, които принадлежат на организацията.
Решение
Опитайте следното:
-
Изпълнете тези стъпки, ако се опитвате да заявите потребители:
-
Уверете се, че сте потвърдили домейна в Control Hub.
-
Временно деактивирайте Cisco Directory Connector.
-
Използвайте опцията „Заявяване на потребител“ в Control Hub, за да заявите всички акаунти, които може да съществуват в безплатната организация на потребителите. Вижте Заявяване на потребители за вашата организация (Конвертиране на потребители) за повече информация.
-
Направете пробно изпълнение в Cisco Directory Connector и след това активирайте отново синхронизирането на указатели
-
-
За последния случай проверете двукратно потребителските данни във вашите източници на Active Directory.
Преобразуван потребител, маркиран като неактивен
проблем
В синхронизираната с указателя среда сте преобразували безплатен потребител (потребителска организация) във вашата корпоративна организация, но преобразуваният потребител не може да влезе в приложението Webex.
Възможна причина
Когато безплатният потребител бъде преобразуван в корпоративната организация, потребителят се маркира като неактивен в продължение на 30 дни като мярка за съответствие на защитата. През този период потребителят не може да влезе в приложението Webex и е маркиран за изтриване в края на 30-дневния период. Тази ситуация възниква, защото безплатната информация за потребителя не се намира в Active Directory.
Решение
Трябва да предприемете действие, ако не искате потребителският акаунт да бъде изтрит. За да разрешите този проблем, създайте потребителски акаунт във вашата локална Active Directory, който съответства на конвертирания безплатен потребителски акаунт. След това изпълнете синхронизация от Cisco Directory Connector. След това потребителят ще може да влезе отново в приложението Webex и акаунтът няма да бъде изтрит.
Постепенното синхронизиране е неуспешно
проблем
Постепенното синхронизиране е неуспешно.
Този проблем може да възникне в Windows Server 2008 R2 при следните условия:
-
Поддържате актуализации на частична стойност.
-
Филтърът, който използвате, препраща към свързан атрибут на стойност.
-
Стойностите на резултатите за този атрибут са актуализирани от последния път, когато е извършено пълно синхронизиране.
Решение
Windows Server 2008 R2 има грешка, която е свързана с този проблем. Грешката е поправена през 2012 г. R2 и по-нови. Препоръчваме да надстроите своя Windows Server поне до 2012 R2.
Невалидна стойност за атрибут
проблем
За [user dn (различно име)] атрибутът [име на атрибут] има следната невалидна стойност [стойност на атрибут].
Възможна причина
За CN=b,OU=Служители,OU=C Потребители,DC=c,DC=com атрибутът [телефонен номер] има следната невалидна стойност: +. Този атрибут трябва да съдържа поне една цифра.
Решение
Атрибут за този потребител няма валидна стойност. Коригирайте стойността му в съответствие с описанието в предупредителното съобщение. След това извършете друга синхронизация.
Съответстващи потребители за изтриване
проблем
Съответстващите потребители са маркирани за изтриване.
Когато извършвате синхронизиране на пробно изпълнение, за да проверите данните между Active Directory и облака, може да видите един и същ имейл адрес и в двете. Потребителят обаче е маркиран като обект за изтриване.
Решение
Изберете подходяща корекция:
-
Ако е приемливо да изтриете потребителя и да извършите отново лицензите след това, можете да използвате Directory Connector за корекцията. Извършете синхронизация, за да изтриете потребителя, и след това извършете друга синхронизация, за да синхронизирате потребителя от локалната AD към облака.
-
Ако не можете да изтриете и пресъздадете потребителския акаунт, отворете случай с поддръжка.
Липсващ атрибут
проблем
Необходимият атрибут [attribute_name] при добавяне на локален запис [user dn (разграничено име)]. Записът не се създава в Control Hub, докато всички задължителни атрибути не имат стойност.
Възможна причина
Липсва задължителният имейл адрес на атрибута. При добавяне на локален запис [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], записът не се създава в Control Hub, докато всички задължителни атрибути не имат стойност.
Решение
Един от необходимите атрибути липсва за потребителя [user_email_address]. Предоставете необходимите стойности за този потребител.
Вложена група няма да се синхронизира
проблем
Потребителите в група за вграден Active Directory не са синхронизирани правилно с облака.
Възможна причина
Използва се филтър, който включва както дъщерната група, така и родителската група, който не се поддържа. Например: (членof=CN=testgroup1,CN=Потребители,DC=rktest2008,DC=org)
Решение
Трябва да преконфигурирате филтъра, който синхронизира групите. Например: |(memberof=CN=testgroup1,CN=Потребители,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Потребители,DC=rktest2008,DC=org)
Конфликт между имена на потребители
проблем
Има конфликт при именуване за [user dn] за съществуващ обект с въвеждане в облака с името: [имейл адрес на потребител] и от тип потребител [user_type].
Възможна причина
Потребител с този имейл адрес вече съществува в Control Hub.
Решение
Създайте потребител във вашия Active Directory със същия имейл адрес като акаунта, който сте регистрирали чрез Control Hub.
Control Hub
Списъкът с потребители липсва в Control Hub
проблем
Ако имате организация на Webex с повече от 1000 синхронизирани потребители, е възможно да не виждате списъка с потребители в Control Hub.
Решение
Можете да използвате функцията за търсене, за да намерите потребителски акаунт. В Control Hub отидете на Потребители, щракнете върху търсене и след това въведете критерии за търсене, за да намерите определен потребител.
Групите няма да се синхронизират с Control Hub
проблем
Потребителите в група за указател няма да се синхронизират правилно с Control Hub.
Възможна причина
Групата не е маркирана като isCriticalSystemObject в Active Directory.
Решение
Уверете се, че атрибутът isCriticalSystemObject е зададен на TRUE в Active Directory.
Разрешаване на отстраняване на неизправности за конектор за указател
Можете да активирате отстраняването на неизправности, за да помогнете за диагностицирането на грешки, които срещнете в Directory Connector. Отстраняването на неизправности ви позволява да заснемете информацията за мрежовия трафик и да я запишете във файл.
Регистрационните файлове, които са: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Регистрационни файлове
| 1 |
Изпълнете файла |
| 2 |
Рестартирайте услугата. Вижте Как да стартирате услуги за насоки. |
| 3 |
В Directory Connector щракнете върху Табло. |
| 4 |
Отидете на Действия и след това щракнете върху . |
| 5 |
Когато отстраняването на неизправности е активирано, повторете действията, които са причинили грешка; това улавя данните за трафика, за да могат да бъдат разгледани. |
| 6 |
Преглед на регистрационните файлове: ако файлът е празен, уверете се, че акаунтът има привилегии за достъп до вашите AD DS или AD LDS. Папката с регистрационни файлове записва файлове само за последните 3 дни. Съдържанието на регистрационните файлове съответства на изхода от регистрационния файл на събитието към системата. |
| 7 |
Ако е необходимо, изпратете регистрационния файл на поддръжката за помощ. |
| 8 |
Деактивирайте функцията за отстраняване на неизправности, когато сте готови. |
Стартиране на визуализатора на събития
За да видите събитията, които са се случили по време на пълно или постепенно синхронизиране, стартирайте визуализатора на събития. Показва обобщение на административните събития и регистрационните файлове за грешки.
| 1 |
От Directory Connector отидете на Табло , след което щракнете върху Действие > Стартиране на визуализатора на събития. Диалоговият прозорец „Свойства на събитието“ показва подробностите за събитието за синхронизиране и подробностите за грешките. |
| 2 |
От Event Viewer отидете на .
|
| 3 |
Под Действия щракнете върху Запиши всички събития като , за да експортирате всички регистрационни файлове като един файл на събития (*.evtx) или друг формат, като xml или csv. |
Какво да направите след това
Ако трябва да отворите случай, свържете се с поддръжката, опишете проблема с конектора и след това прикачете файла Events към вашия случай.
Регистрационните файлове за събития снемат действия от потребители. За помощ при управление на мрежовия трафик активирайте отстраняването на неизправности на конектора.
Разрешаване на TLS в Internet Explorer
Ако сте превключили доставчици на еднократна идентификация (SSO), може да видите следните съобщения за грешка от Cisco Directory Connector:
-
Възникна грешка при влизане в услугата
-
Възникна грешка в скрипта на тази страница
Ако видите тези грешки, трябва да разрешите настройка за TLS в браузъра си.
| 1 |
Отворете Internet Explorer, след което изберете Инструменти. Сега поставете отметка в квадратчетата за TLS/SSL версията, която искате да разрешите. Щракнете върху OK Затвори браузъра и го отворете отново |
| 2 |
Щракнете върху Опции за интернет , отидете на Разширени , превъртете до Защита. |
| 3 |
Поставете отметка в квадратчетата Използване на TLS 1.1 и Използване на TLS 1.2 и след това щракнете върху OK.
|
| 4 |
Рестартирайте системата си, за да влязат в сила промените. |
Отстраняване на неизправности при влизане в акаунта за услуга
Ако не можете да влезете в Cisco Directory Connector или не можете да изпълните синхронизация, използвайте тези стъпки, за да се опитате да разрешите проблема, преди да се свържете с поддръжката.
| 1 |
Опитайте да посетите https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL в уеб браузъра си. |
| 2 |
Изберете един, в зависимост от резултатите:
|
| 3 |
Като минимум се уверете, че конфигурираният акаунт за услугата Cisco DirSync (която може да бъде намерена в услугите на Windows) има ниво на привилегии, което му позволява достъп до данни за аватар и AD данни. По подразбиране услугата използва идентификационните данни за влизане в акаунта за Windows и удостоверяването. |
Проверка на SafeDllSearchMode в регистъра на Windows
Режимът на търсене в библиотеката с безопасни динамични връзки (DLL) е зададен по подразбиране в регистъра на Windows и по-късно поставя текущата директория на потребителя в реда на търсене в DLL. Ако този режим по някакъв начин е деактивиран, атакуващият може да постави злонамерен DLL (наречен същото като препратен DLL файл, който се намира в системната папка) в текущата работеща директория на приложението.
Обикновено SafeDllSearchMode е активиран, но използвайте тази процедура, за да проверите двукратно настройките на системния регистър.
Преди да започнете
Промените в регистъра на Windows трябва да се правят с изключително внимание. Препоръчваме ви да направите резервно копие на своя регистър, преди да използвате тези стъпки.
| 1 |
В търсенето на Windows или прозореца „Изпълнение“ въведете Regedit и след това натиснете Enter. |
| 2 |
Отидете на HKEY_ЛОКАЛНАТА МАШИНА_\Система\CurrentControlSet\Control\Диспечер на сесии. |
| 3 |
Изберете един:
|
За повече информация вижте Поръчка за търсене в библиотеката с динамични връзки.
Общ преглед на Cisco Directory Connector
Общ преглед на конектора за указатели
Directory Connector е локално приложение за синхронизиране на идентичността в облака. Можете да изтеглите софтуера на конектора от Control Hub и да го инсталирате на вашата локална машина.
С Directory Connector можете да поддържате потребителските си акаунти и данни в Active Directory, така че Active Directory се превръща в единствен източник на истина. Когато направите промяна на място, тя се възпроизвежда в облака.
Вижте всички функции, описания и предимства в таблицата:
| Функция | Описание и полза |
|---|---|
| Лесно за използване табло | Таблото предоставя график за синхронизиране, обобщение и състояние на синхронизацията, както и състояние на Directory Connector. Можете да видите таблото по всяко време, когато влезете. |
| Пробно изпълнение преди синхронизиране с облака | Извършете пробно изпълнение на промените в указателя, преди да бъдат внедрени в облака. След това изпълнете отчет, за да видите, че промените, които искате да направите, са това, което очаквате. |
| Пълно и постепенно синхронизиране | Синхронизирайте цялата директория. Или просто синхронизирайте инкременталните промени, за да спестите обработваща мощност и да съкратите времето за синхронизиране. |
|
Синхронизиране на множество домейни (една гора или множество гори) |
Directory Connector поддържа множество домейни или под една гора, или под множество гори (без нужда от AD LDS). За предприятия с множество домейни на Active Directory, можете да инсталирате Directory Connector за всеки домейн, да свържете всеки домейн с вашата организация и след това да синхронизирате всяка потребителска база в Webex. Control Hub отразява състоянието, като показва състоянието на синхронизация за множество Directory Connectors, позволява ви да изключите синхронизирането за определен домейн и деактивирате Directory Connector при разполагане с висока наличност. |
| Планирано синхронизиране | Задайте график за синхронизиране по ден, час и минута. |
| Lightweight Directory Access Protocol (LDAP) филтри | Дефинирайте критерии за търсене в LDAP и осигурете ефективно импортиране. |
| Съпоставяне на атрибути на Active Directory | Съпоставете атрибути на Microsoft Active Directory със съответстващи атрибути в облака на Webex. Можете да съпоставяте атрибути, които са от значение за вашата конфигурация на Active Directory, и също така да дефинирате персонализирани атрибути, които да съпоставяте към облака. Атрибутите от локалните местоположения формират различни данни в облака, като информация за потребителския акаунт, телефонни номера за влизане в Webex Teams, SIP адреси за ресурси на Room и други данни за карта за контакт на потребителите (длъжност, отдел, мениджър и т.н.). |
|
Корпоративен указател за локални ресурси на стаята и потребители на Cisco Webex Calling (PSTN в облака) и корпоративни контакти без лицензиране за Webex |
Ако част от вашата организация използва PSTN в облака на Cisco Webex Calling за услуга за повиквания или имате локални устройства Room, тази функция позволява на потребителите да търсят в указателя за корпоративни контакти от техните телефони Cisco Webex Calling (PSTN в облака) или от ресурсите Room.
|
| Визуализатор на събитие | Използвайте визуализатора на събития, за да определите дали има проблеми със синхронизирането. |
| Инструмент за диагностика и отстраняване на неизправности | Можете да използвате вградения диагностичен инструмент за отстраняване на неизправности при внедряването на Cisco Directory Connector. Ако синхронизирането не работи правилно, може да имате конфигурационна или мрежова грешка. Този инструмент тества връзката ви с Active Directory, така че да можете сами да диагностицирате грешки, преди да се свържете с поддръжката. След като разрешите отстраняването на неизправности в Directory Connector, се записват регистрационни файлове, които могат да бъдат изпратени на техническата поддръжка. |
| Автоматично надстройване | След като инсталирате Directory Connector, получавате известие всеки път, когато е налична нова версия на софтуера. Можете да настроите автоматични надстройки, така че винаги да сте на най-новата версия на софтуера, когато се пуска нова версия. |
| Висока наличност | Конфигурирайте множество конектори, така че да има резервно копие, в случай че главният конектор или хостът на машината го прекъсне. |
Directory Connector е разделен на три области:
-
Control Hub е единственият интерфейс, който ви позволява да управлявате всички аспекти на вашата организация в Webex: преглеждайте потребителите, задайте лицензи, изтеглете Directory Connector и конфигурирайте еднократна идентификация (SSO) , ако искате вашите потребители да се удостоверяват чрез техния доставчик на корпоративна самоличност и не искате да изпращате имейл покани за приложението Webex.
-
Интерфейсът за управление на Directory Connector е софтуерът, който можете да изтеглите от Control Hub и да инсталирате на надежден сървър на Windows. За множество домейни на Active Directory можете да инсталирате един миг от софтуера за всеки домейн, който искате да синхронизирате. Като използвате софтуера, можете да изпълните синхронизация, за да пренесете потребителските си акаунти от Active Directory в Webex, да преглеждате и наблюдавате статуса на синхронизиране и да конфигурирате услугите на Directory Connector.
-
Услугата за синхронизиране на указатели изисква от вашия Active Directory да извлече потребители и групи за синхронизиране с услугата за конектор и Directory Connector.
Вижте тази схема, за да разберете архитектурата на Directory Connector:
Подготовка на средата за конектор за указатели
Изисквания за Directory Connector
Изисквания за Windows и Active Directory
Можете да инсталирате Directory Connector на следните поддържани сървъри на Windows:
-
Сървър на Windows 2022
-
Windows Server 2019
-
Windows Server 2016
За да разрешите проблем с бисквитките, препоръчваме да надстроите своя домейнов контролер до издание, което съдържа корекцията – Windows Server 2012 R2 или 2016.
Directory Connector се поддържа със следните услуги на Active Directory:
-
Active Directory 2016
(Directory Connector се поддържа при използване на най-новата версия на Active Directory на Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Обърнете внимание на следните допълнителни изисквания:
-
Directory Connector изисква TLS1.2. Трябва да инсталирате следното:
-
.NET Framework v3.5 (изисква се за приложението Directory Connector. Ако срещнете някакви проблеми, използвайте указанията в Активиране на .NET рамка 3.5, като използвате съветника за добавяне на роли и функции.)
-
.NET Framework v.4.5 (изисква се за TLS1.2)
-
-
Изисква се Active Directory Forest функционално ниво 2 (Windows Server 2003) или по-високо. (Вижте Какво представляват функционални нива на Active Directory? за повече информация.)
Изисквания към хардуера
Трябва да инсталирате Directory Connector на компютър със следните минимални изисквания към хардуера:
-
8 GB ОПЕРАТИВНА ПАМЕТ
-
50 GB място за съхранение
-
Няма минимум за процесора
Изисквания за мрежата
Ако мрежата се намира зад защитна стена, се уверете, че системата ви има HTTPS (порт 443) достъп до интернет.
Изисквания за организацията на Webex
-
За достъп до софтуера Directory Connector от Control Hub е необходима организация на Webex с пробна версия или платен абонамент.
-
(По избор) Ако искате новите потребителски акаунти на приложението Webex Да бъдат активни преди първото влизане, препоръчваме да направите следното:
-
Добавете, потвърдете и по желание заявете домейни , които съдържат потребителските имейл адреси, които искате да синхронизирате в облака.
-
Направете интегриране с еднократна идентификация (SSO) на вашия доставчик на самоличност (IdP) с вашата организация на Webex.
-
Потиснете автоматичните покани по имейл, така че новите потребители да не получават автоматичната покана по имейл, а вие да можете да направите собствена имейл кампания. (Тази функция изисква интегриране на SSO.)
-
За повече информация вижте Потребителски статуси и действия в Control Hub.
Изисквания за инсталиране
-
За среда с множество домейни (или за една гора, или за множество гори) трябва да инсталирате един Directory Connector за всеки домейн на Active Directory. Ако искате да синхронизирате нов домейн (B), докато поддържате синхронизираните потребителски данни на друг съществуващ домейн (A), се уверете, че имате отделен поддържан Windows сървър, за да инсталирате Directory Connector за синхронизиране на домейни (B).
-
За влизане в конектора не изискваме акаунт на администратор в Active Directory. Изискваме локален потребителски акаунт, който е същият потребител като пълен администраторски акаунт в Control Hub.
Този локален потребител трябва да има привилегии на тази машина с Windows, за да се свърже с контролера на домейни и да чете потребителски обекти в Active Directory. Акаунтът за влизане на машината трябва да е компютърен администратор с привилегии за инсталиране на софтуер на локалната машина. (Тази информация се отнася и за влизане с виртуална машина.)
-
При влизане в конектора акаунтът за влизане трябва да бъде същият като пълния администраторски акаунт за Control Hub. По подразбиране конекторът използва локалния системен акаунт за достъп до Active Directory. Можете обаче да използвате услугите на Windows, за да конфигурирате друг акаунт за достъп до Active Directory. (Тази информация се отнася и за влизане с виртуална машина.)
-
Уверете се, че режимът за търсене в библиотеката с динамични връзки (DLL) на Windows е активиран, като използвате тази процедура: Проверете SafeDllSearchMode в регистъра на Windows.
-
Ако използвате AD LDS за множество домейни на една гора, препоръчваме да инсталирате Directory Connector и Active Directory Domain Service/Lightweight Directory Services (AD DS/AD LDS) на отделни машини.
Няколко изисквания за домейни
Преди да следвате задачите в потока от задачи за разполагане на Cisco Directory Connector, имайте предвид следните изисквания и препоръки, ако ще синхронизирате информация от Active Directory от множество домейни в облака:
-
За всеки домейн се изисква отделен екземпляр на Directory Connector.
-
Софтуерът на Directory Connector трябва да се изпълнява на хост, който е на същия домейн, който ще се синхронизира.
-
Препоръчваме ви да потвърдите или заявите своите домейни в Control Hub. (Вижте Добавяне, потвърждаване и заявяване на домейни.)
-
Ако искате да синхронизирате повече от 50 домейна, трябва да отворите билет , за да преместите организацията си в голям списък на организацията.
-
Ако желаете, можете да синхронизирате информацията за ресурсите на стаята заедно с потребителските акаунти. (Вижте Синхронизиране на информация за локалните стаи с облака на Webex.)
Препоръки за група от Active Directory за автоматично задаване на лицензи
Групите в Active Directory се използват за събиране на потребителски акаунти, компютърни акаунти и други групи в управляеми единици. Работата с групи, а не с отделни потребители, помага за опростяване на поддръжката и администрирането на мрежата.
В Active Directory има два типа групи:
-
Групи за разпространение – използват се за създаване на списъци за разпространение по имейл.
-
Групи за защита – използват се за присвояване на разрешения на споделени ресурси.
Имайте предвид следните указания, когато създавате групи в Active Directory:
-
Създайте глобална група за всяка роля, отдел или услуга (като продажби, маркетинг, мениджъри, счетоводители, лицензиране на Webex и т.н.).
-
Използвайте стандартни конвенции за именуване във вашата организация, за да улесните идентифицирането на важна информация за дадена група. Имената на групи могат да включват подробности за групата, като например нивото на достъп, типа на ресурсите, нивото на защита, обхвата на групата, възможностите за поща и т.н. Например името на групата „GSG_Webex_Licensing_EMEAR“ се отнася за глобална група за защита за потребители на EMEAR за Webex Licensing.
-
Организирайте групи по лесен за разбиране начин, например по географска или управленска йерархия. Използвайте описания на групи, за да опишете напълно целта на групата.
-
Преди да добавите потребители към новоосигурените групи, дефинирайте шаблона за група за автоматично лицензиране в Control Hub за тези групи. Вижте Настройване на вашия шаблон за автоматично задаване на лицензи за повече информация.
Информация за оразмеряване
Directory Connector работи като мост между локалната Active Directory и облака на Webex. Като такъв конекторът няма горно ограничение за това колко обекти от Active Directory могат да бъдат синхронизирани с облака. Всички ограничения в локалните директории обекти са обвързани със специфичната версия и спецификациите за средата на Active Directory, която се синхронизира с облака, а не със самия конектор.
Няколко фактора могат да повлияят на скоростта на синхронизацията:
-
Общият брой обекти в Active Directory. (Задание за синхронизиране на 5000 потребители няма да отнеме толкова време, колкото 50000.)
-
Скорост на мрежата и честотна лента.
-
Работно натоварване на системата и спецификации.
Ако синхронизирате повече от 50 000 потребители, настоятелно препоръчваме да използвате втори конектор за отказ и резервиране.
Тъй като при синхронизирането са включени няколко фактора и тъй като всяко разгръщане варира в зависимост от горните фактори, не можем да предоставим конкретни стойности за време за това колко време ще отнеме синхронизирането на обекта.
Проверка на SafeDllSearchMode в регистъра на Windows
Режимът на търсене в библиотеката с безопасни динамични връзки (DLL) е зададен по подразбиране в регистъра на Windows и по-късно поставя текущата директория на потребителя в реда на търсене в DLL. Ако този режим по някакъв начин е деактивиран, атакуващият може да постави злонамерен DLL (наречен същото като препратен DLL файл, който се намира в системната папка) в текущата работеща директория на приложението.
Обикновено SafeDllSearchMode е активиран, но използвайте тази процедура, за да проверите двукратно настройките на системния регистър.
Преди да започнете
Промените в регистъра на Windows трябва да се правят с изключително внимание. Препоръчваме ви да направите резервно копие на своя регистър, преди да използвате тези стъпки.
| 1 |
В търсенето на Windows или прозореца „Изпълнение“ въведете Regedit и след това натиснете Enter. |
| 2 |
Отидете на HKEY_ЛОКАЛНАТА МАШИНА_\Система\CurrentControlSet\Control\Диспечер на сесии. |
| 3 |
Изберете един:
|
За повече информация вижте Поръчка за търсене в библиотеката с динамични връзки.
Интегриране на уеб прокси сървър
Интегриране на уеб прокси сървър
Ако удостоверяването на уеб прокси е активирано във вашата среда, все още можете да използвате Directory Connector.
Ако вашата организация използва прозрачен уеб прокси, тя не поддържа удостоверяване. Конекторът успешно се свързва и синхронизира потребителите.
Можете да използвате един от следните подходи:
-
Изрично уеб прокси сървър чрез Internet Explorer (конекторът наследява настройките на уеб прокси сървъра)
-
Изрично уеб прокси сървър през .pac файл (конекторът наследява специфичните за предприятието настройки на прокси сървър)
-
Прозрачен прокси сървър, който работи с конектора без никакви промени
Използване на уеб прокси сървър през браузъра
Можете да настроите Directory Connector да използва уеб прокси сървър през Internet Explorer.
Ако услугата Cisco DirSync се изпълнява от акаунт, различен от текущо влезлия потребител, трябва също да влезете с този акаунт и да конфигурирате уеб прокси сървър.
| 1 |
От Internet Explorer отидете на Опции за интернет, щракнете върху Връзки и след това изберете LAN настройки. |
| 2 |
Посочете екземпляра на Windows, където конекторът е инсталиран на вашия уеб прокси сървър. Конекторът наследява тези настройки за уеб прокси сървър. |
| 3 |
Ако средата ви използва удостоверяване чрез прокси сървър, добавете тези URL адреси към списъка с разрешени:
Можете да извършите това или за целия сайт (за всички организатори), или само за организатора, който има конектора. Ако добавите тези URL адреси към списък с разрешени, за да заобиколите напълно вашия уеб прокси сървър, се уверете, че таблицата ACL на защитната стена е актуализирана, за да се позволи на хоста на конектора да има директен достъп до URL адресите. |
| 4 |
Ако средата ви трябва да поиска списъци за анулиране на сертификати от сертифициращите органи, добавете тези URL адреси към списъка с разрешени:
За повече информация вижте тази статия за домейните и URL адресите, които трябва да бъдат достъпни за услугите на Webex. |
Конфигуриране на уеб прокси сървър чрез PAC файл
Можете да конфигурирате браузър на клиент да използва .pac файл. Този файл предоставя адреса на уеб прокси сървъра и информация за порт. Directory Connector директно наследява специфичната за предприятието конфигурация на уеб прокси сървъра.
| 1 |
За да може конекторът успешно да свърже и синхронизира потребителската информация с облака на Webex, се уверете, че удостоверяването с прокси сървър е деактивирано за |
| 2 |
Ако средата ви използва удостоверяване чрез прокси сървър, добавете тези URL адреси към списъка с разрешени:
Можете да извършите това или за целия сайт (за всички организатори), или само за организатора, който има конектора. Ако добавите тези URL адреси към списък с разрешени, за да заобиколите напълно вашия уеб прокси сървър, се уверете, че таблицата ACL на защитната стена е актуализирана, за да се позволи на хоста на конектора да има директен достъп до URL адресите. |
| 3 |
Ако средата ви трябва да поиска списъци за анулиране на сертификати от сертифициращите органи, добавете тези URL адреси към списъка с разрешени:
За повече информация вижте тази статия за домейните и URL адресите, които трябва да бъдат достъпни за услугите на Webex. |
NTLM прокси сървър
Directory Connector поддържа NT LAN диспечер (NTLM). NTLM е един подход за поддържане на удостоверяване на Windows сред устройствата на домейна и гарантиране на тяхната сигурност.
NTLM дизайн
В повечето случаи потребителят иска достъп до други ресурси на работна станция чрез клиентски компютър, което може да е трудно да се направи по сигурен начин.
Като цяло техническият дизайн на NTLM се основава на механизъм за предизвикателство
и отговор
:
-
Потребителят влиза в клиентския компютър чрез акаунт и парола за Windows. Паролата никога не се записва локално. Вместо обикновена текстова парола, хеш стойността на паролата се съхранява локално. Когато потребителят влезе чрез паролата към клиента, операционната система Windows сравнява съхранената стойност на хеширане и стойността на хеширането от входната парола. Ако и двете са еднакви, удостоверяването преминава.
Когато потребителят иска достъп до някой ресурс на друг сървър, клиентът изпраща заявка към сървъра с името на акаунта в обикновен текст.
-
Когато сървърът получи заявката, сървърът генерира 16-битов случаен ключ. Ключът се нарича предизвикателство (или nonce). Преди сървърът да се върне към клиента, предизвикателството се съхранява в сървъра. И след това сървърът изпраща предизвикателството до клиента в обикновен текст.
-
Веднага след като клиентът получи предизвикателството, изпратено от сървъра, клиентът шифрова предизвикателството с хеш стойността, която е спомената в стъпка 1. След шифроване стойността се изпраща обратно към сървъра.
-
Когато сървърът получи шифрованата стойност от клиента, сървърът я изпраща на контролера на домейна за потвърждение. Искането включва: името на акаунта, шифрованото предизвикателство, което клиентът е изпратил, и първоначалното недвусмислено предизвикателство.
-
Контролерът на домейна може да извлече хешираните стойности на паролата според името на акаунта. И тогава домейнов контролер може да шифрира първоначалното предизвикателство. След това контролерът на домейна може да сравни с получената стойност на хеш и шифрованата стойност на хеш. Ако те са еднакви, проверката е успешна.
Windows има вградено удостоверяване на защитата в операционната система, което улеснява приложенията да поддържат удостоверяване на защитата. В резултат на това не е необходимо да извършвате допълнително конфигуриране.
Конфигуриране на прозрачно прокси
В този сценарий браузърът не знае, че прозрачен уеб прокси сървър прихваща http заявки (порт 80/порт 443) и не се изисква конфигуриране от страна на клиента.
| 1 |
Разположете прозрачен прокси сървър, така че конекторът да може да свързва и синхронизира потребители. |
| 2 |
Потвърдете, че прокси сървърът е успешен – ще видите очакван изскачащ прозорец за удостоверяване на браузъра при стартиране на конектора. |
Задаване на удостоверяване в прокси сървър
Добавете URL адреса cloudconnector.webex.com към своя списък с разрешени, като създадете списък за контрол на достъпа.
На вашия корпоративен сървър на защитна стена:
| 1 |
Активирайте търсенето на DNS, ако вече не е активирано. |
| 2 |
Определете приблизителна скорост на предаване за тази връзка (приблизително 2 mb/s или по-малко за конектора). Това може да не е необходимо. |
| 3 |
Създайте списък за управление на достъпа, който да приложите към хоста на конектора, и посочете Например: access-list 2000 acl-inside extended permit TCP [IP на конектора] cloudconnector.webex.com eq https |
| 4 |
Приложете този ACL към подходящия интерфейс на защитната стена, който е приложим само за този хост с един конектор. |
| 5 |
Уверете се, че от останалите организатори във вашето предприятие все още се изисква да използват вашия уеб прокси сървър, като конфигурират съответната декларация за отказ. |
Разполагане на конектор за указател
Поток на задачи за разполагане на Cisco Directory Connector
Преди да започнете
| 1 |
Инсталиране на конектор за указател Control Hub първоначално показва синхронизирането на указатели като деактивирано. За да включите синхронизирането на указатели за вашата организация, трябва да инсталирате и конфигурирате Directory Connector и след това да извършите успешно пълно синхронизиране. За ново инсталиране на Directory Connector винаги отидете в Control Hub ( https://admin.webex.com), за да получите най-новата версия на софтуера, така че да използвате най-новите функции и корекции на грешки. След като инсталирате софтуера, надстройките се отчитат чрез софтуера и се инсталират автоматично, когато са налични. |
| 2 |
Влезте с идентификационните си данни на администратор на Webex и изпълнете първоначалната настройка. |
| 3 |
Задаване на автоматични надстройки Винаги е важно да поддържате софтуера си Directory Connector актуален до най-новата версия. Препоръчваме ви да използвате тази процедура, за да позволите автоматичните надстройки на софтуера да се инсталират мълчаливо, когато са налични. |
| 4 |
Избор на обекти в Active Directory за синхронизиране По подразбиране Directory Connector синхронизира всички потребители, които не са компютри, и всички групи, които не са критични системни обекти за даден домейн. За повече контрол върху това кои обекти се синхронизират, можете да изберете конкретни потребители, за да синхронизирате и посочите LDAP филтрите, като използвате страницата за избор на обект в Directory Connector. |
| 5 |
Съпоставяне на потребителски атрибути Можете да съпоставяте атрибути от вашата локална Active Directory със съответни атрибути в облака. Единственото задължително поле е *uid. |
| 6 |
Синхронизирайте аватарите на указатели, като използвате една от следните процедури:
Можете да синхронизирате аватарите на вашите потребители с облака, така че да се показва аватара на всеки потребител, когато той влезе в приложението. Можете да синхронизирате аватарите от атрибут на Active Directory или ресурсен сървър. |
| 7 |
Синхронизиране на информацията за локалните стаи с облака на Webex Използвайте тази процедура, за да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака устройства за стая, като устройство Webex Room или Cisco Webex Board |
| 8 |
За да осигурите Потребители От Active Directory В Control Hub, изпълнете следните стъпки:
Следвайте тази последователност, за да осигурите потребители на Active Directory за акаунтите за приложението Webex. Можете да осигурите потребители от множество горски или множество домейни, разполагане на Active Directory за Directory Connector 3.0 и по-нови версии. По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. Целта е да имате точно съвпадение между вашите Active Directories и облака на Webex. |
Инсталиране на конектор за указател
Control Hub първоначално показва синхронизирането на указатели като деактивирано. За да включите синхронизирането на указатели за вашата организация, трябва да инсталирате и конфигурирате Directory Connector и след това да извършите успешно пълно синхронизиране.
Трябва да инсталирате един конектор за всеки домейн на Active Directory, който искате да синхронизирате. Един екземпляр на Directory Connector може да обслужва само един домейн. Вижте следната схема, за да разберете потока за синхронизиране на множество домейни:
Преди да започнете
Ако се удостоверявате чрез прокси сървър, се уверете, че имате своите идентификационни данни за прокси сървър:
-
За базово удостоверяване в прокси сървър ще въведете потребителското име и паролата, след като инсталирате екземпляр на конектора. Конфигурацията на прокси сървъра на Internet Explorer се изисква също и за базово удостоверяване; вижте Използване на уеб прокси сървър през браузъра
-
За прокси NTLM може да видите грешка, когато отворите конектора за първи път. Вижте Използване на уеб прокси сървър през браузъра.
| 1 |
В Control Hub отидете на и изберете Напред. |
| 2 |
Щракнете върху връзката Изтегляне и инсталиране, за да запишете най-новата версия на .zip файла за инсталиране на конектор на вашия VMware или сървър на Windows. Можете да получите .zip файла директно от тази връзка, но трябва да имате пълен администраторски достъп до организация на Control Hub, за да работи този софтуер. За нова инсталация получете най-новата версия на софтуера, така че да използвате най-новите функции и корекции на грешки. След като инсталирате софтуера, надстройките се отчитат чрез софтуера и се инсталират автоматично, когато са налични. |
| 3 |
На сървъра на VMware или Windows разархивирайте и изпълнете .msi файла в папката за настройка, за да стартирате съветника за настройка. |
| 4 |
Щракнете върху Напред, поставете отметка в квадратчето, за да приемете лицензионното споразумение и след това щракнете върху Напред, докато видите екрана за тип на акаунта. |
| 5 |
Изберете типа акаунт за услуга, който искате да използвате, и изпълнете инсталирането с акаунт на администратор:
За да избегнете грешки, се уверете, че са въведени следните привилегии:
|
| 6 |
Щракнете върху Инсталиране. След като тестът на мрежата се изпълни и ако бъдете подканени, въведете основните идентификационни данни за прокси сървъра, щракнете върху OK и след това щракнете върху Край. |
Какво да направите след това
Препоръчваме да рестартирате сървъра след инсталирането. Отчетът за пробно изпълнение не може да покаже правилния резултат, когато данните не са били освободени. При рестартиране на машината всички данни се опресняват, за да се покаже точен резултат в отчета.
Влизане В Directory Connector
Преди да започнете
Уверете се, че имате идентификационните си данни за прокси сървъра.
-
За основно удостоверяване на прокси сървъра ще въведете потребителското име и паролата, след като отворите конектора за първи път.
-
За NTLM на прокси сървър отворете Internet Explorer, щракнете върху иконата на зъбно колело, отидете на Опции за интернет > Връзки > Настройки на LAN, осигурете добавена информация за прокси сървъра, след което щракнете върху OK. Вижте Използване на уеб прокси сървър през браузъра.
| 1 |
Отворете конектора и след това добавете |
| 2 |
Ако получите подкана, влезте с идентификационните си данни за удостоверяване на прокси сървъра и след това влезте в Webex с помощта на администраторския си акаунт и щракнете върху Напред. |
| 3 |
Потвърдете вашата организация и домейн.
|
| 4 |
След като се появи екранът Потвърждаване на организацията, щракнете върху Потвърждаване. Ако вече сте свързали AD DS/AD LDS, се появява екранът Потвърждаване на организацията. |
| 5 |
Щракнете върху Потвърждаване. |
| 6 |
Изберете един, в зависимост от броя домейни на Active Directory, които искате да свържете с Directory Connector:
|
Какво да направите след това
След като влезете, ще бъдете подканени да извършите пробно изпълнение на синхронизиране.
Табло за конектори за указатели
Когато за първи път влезете в Directory Connector, се появява таблото. Тук можете да видите обобщение на всички дейности по синхронизиране, да видите статистика за облака, да извършите пробно изпълнение на синхронизиране, да започнете пълно или постепенно синхронизиране и да стартирате изгледа на събитието, за да видите информация за грешките.
Можете лесно да изпълнявате тези задачи от лентата с инструменти за действия или менюто „Действия“.
|
Компонент |
Описание |
|---|---|
|
Текущо синхронизиране |
Показва информация за статуса относно протичащата в момента синхронизация. Когато не се изпълнява синхронизиране, дисплеят за статус е свободен. |
|
Следващо синхронизиране |
Показва следващото планирано пълно и постепенно синхронизиране. Ако не е зададен график, се показва Непланирани. |
|
Последно синхронизиране |
Показва статуса на последните две извършени синхронизации. |
|
Статус на текущата синхронизация |
Показва общия статус на синхронизирането. |
|
Конектори |
Показва текущите локални конектори, които са достъпни за облака. |
|
Статистика за облака |
Показва общия статус на синхронизирането. |
|
График за синхронизиране |
Показва графика на синхронизиране за постепенно и пълно синхронизиране. |
|
Резюме на конфигурацията |
Изброява настройките, които сте променили в конфигурацията. Например обобщението може да включва следното:
|
| Действие | Описание |
|---|---|
| Започване на постепенно синхронизиране |
Ръчно стартиране на поетапно синхронизиране Това действие се деактивира, когато поставите на пауза или деактивирате синхронизирането, ако не е завършено пълно синхронизиране или ако е в ход синхронизиране. |
|
Пробно изпълнение на синхронизиране |
Извършете синхронизиране на пробно изпълнение. |
|
Стартиране на визуализатора на събития |
Стартирайте Microsoft Event Viewer. |
|
Обнови |
Обновяване на таблото на Cisco Directory Connector |
|
Действие |
Описание |
|---|---|
| Синхронизирай сега |
Незабавно започнете пълна синхронизация. |
|
Режим на синхронизиране |
Изберете режим на постепенно синхронизиране или режим на пълно синхронизиране. |
|
Нулиране на тайната на конектора |
Установете разговор между Cisco Directory Connector и услугата конектор. Ако изберете това действие, ще бъде нулирана тайната в облака и след това ще я бъде записана локално. |
|
Пробно изпълнение |
Изпълнете тест на процеса на синхронизиране. Трябва да изпълните пробно изпълнение, преди да извършите пълно синхронизиране. |
|
Отстраняване на неизправности |
Включване/изключване на отстраняването на неизправности. |
|
Обнови |
Опреснете главния екран на Cisco Directory Connector. |
|
Изход |
Изход от Cisco Directory Connector. |
|
Клавишна комбинация |
Действие |
|---|---|
|
Alt+A |
Показване на менюто Действия |
|
|
Синхронизиране сега |
|
|
Нулиране на тайната на конектора |
|
|
Пробно изпълнение |
|
|
Постепенно синхронизиране |
|
|
Пълно синхронизиране |
|
|
Показване на менюто Помощ |
|
|
Помощ |
|
|
За програмата |
|
|
чзв |
Задаване на автоматични надстройки
| 1 |
От Directory Connector отидете на , и след това проверете Автоматично надстройване до новата версия на Cisco Directory Connector. |
| 2 |
Щракнете върху Прилагане, за да запишете промените си. |
Новите версии на конектора се инсталират автоматично, когато са налични.
Можете да управлявате надстройките ръчно, ако предпочитате. Вижте Надстройване до най-новото издание на софтуера за повече информация.
Избор на обекти в Active Directory за синхронизиране
По подразбиране Directory Connector синхронизира всички потребители, които не са компютри, и всички групи, които не са критични системни обекти за даден домейн. За повече контрол върху това кои обекти се синхронизират, можете да изберете конкретни потребители, за да синхронизирате и посочите LDAP филтрите, като използвате страницата за избор на обект в Directory Connector.
Групи за автоматично задаване на лицензи
Control Hub ви позволява да управлявате задаванията на лицензи за всяка група. Можете да създадете шаблони за лицензи и да ги нанесете към групи на Active Directory, които синхронизирате с облака. В момента на създаването на потребител Webex проверява членството на потребителя и съпоставянето на шаблони за автоматично разпределение на лицензи за този нов потребител.
Препоръчваме ви да използвате LDAP филтър само за синхронизиране на съответните групи с облака. Например можете да зададете филтъра на:
(&(cn=Пример)(objectclass=Група))*
Този филтър синхронизира всички групи в базовия DN, където името започва с „Пример“. На потребителите, които не са зададени на групи, се задават лицензи от шаблона за автоматични лицензи по подразбиране, който сте конфигурирали в Control Hub.
Групи за разполагания на хибридна защита на данни
В Directory Connector трябва да проверите Групи, ако използвате хибридна защита на данни, за да конфигурирате пробна група за пилотни потребители. Вижте Ръководство за разполагане на хибридна защита на данни за насоки. Тази настройка на Directory Connector не засяга синхронизирането на други потребители в облака.
Преди да започнете
Препоръки за група от Active Directory за автоматично задаване на лицензи
| 1 |
От Directory Connector отидете на Конфигурация , след което щракнете върху Избор на обект. |
| 2 |
В раздела Тип обект отметнете Потребители и помислете за ограничаване на броя на контейнерите, които могат да се търсят, за потребителите. Ако искате да синхронизирате само потребителите в определена група, например трябва да въведете LDAP филтър в полето Филтри за LDAP потребители. Ако искате да синхронизирате потребители, които са в групата на примерния мениджър, използвайте филтър като този:
|
| 3 |
Отметнете Идентифициране на стаята, за да отделите данните за стаята от данните за потребителите. Щракнете върху Персонализиране, ако искате да настроите допълнителни атрибути за идентифициране на потребителски данни като данни за стаи. Използвайте тази настройка, ако искате да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака устройства за стая. За повече информация вижте Синхронизиране на информацията за локалните стаи с облака на Webex. |
| 4 |
Отметнете Групи, ако искате да синхронизирате потребителските си групи от Active Directory към облака. Не добавяйте LDAP филтър за синхронизиране на потребители към полето „Групи“. Трябва да използвате полето „Групи“ само, за да синхронизирате самите данни на групата с облака. По подразбиране групите не се синхронизират за нови клиенти. Трябва да активирате синхронизирането на групи. Трябва също така да синхронизирате групите за защита. |
| 5 |
Отметнете Контакти, ако искате да синхронизирате информацията за контакт на потребителите с облака. Directory Connector управлява само контактите, синхронизирани от конектора. Ако вече има контакти в Control Hub, синхронизирането не ги изтрива. Ако контактите бъдат премахнати от обхвата на синхронизацията, информацията за контакт на потребителите също ще бъде премахната в Control Hub. |
| 6 |
Конфигурирайте LDAP филтрите. Можете да добавите разширени филтри, като предоставите валиден LDAP филтър. Вижте тази статия за повече информация относно конфигурирането на LDAP филтри. |
| 7 |
Задайте DN на локалната база за синхронизиране, като щракнете върху Избор, за да видите дървената структура на вашия Active Directory. От тук можете да изберете или премахнете избора кои контейнери да търсите. |
| 8 |
Проверете дали обектите, които искате да добавите за тази конфигурация, и щракнете върху Избор. Можете да изберете отделни или родителски контейнери, които да използвате за синхронизиране. Изберете родителски контейнер, за да активирате всички детски контейнери. Ако изберете контейнер за деца, главният контейнер показва сива отметка, която показва, че детето е било отметнато. След това можете да щракнете върху Избор, за да приемете контейнерите в Active Directory, които сте проверили. Ако вашата организация поставя всички потребители и групи в контейнера за потребители, не е необходимо да търсите други контейнери. Ако вашата организация е разделена на организационни единици, се уверете, че сте избрали OUs. |
| 9 |
Щракнете върху Прилагане. Изберете опция:
За информация за пробните изпълнения вижте Извършване на синхронизиране на пробно изпълнение на вашите потребители в Active Directory. За синхронизиране на група трябва да извършите пълно синхронизиране: Извършване на пълно синхронизиране на потребителите на Active Directory в облака. |
Съпоставяне на потребителски атрибути
Можете да съпоставяте атрибути от вашата локална Active Directory със съответни атрибути в облака. Единственото задължително поле е *uid, уникален идентификатор за всеки потребителски акаунт в услугата за самоличност в облака.
Можете да изберете кой атрибут на Active Directory да съпоставите с облака – например можете да съпоставите firstName lastName в Active Directory или потребителски израз на атрибут, за да displayName в облака.
Акаунтите в Active Directory трябва да имат имейл адрес; по подразбиране uid се съпоставя с полето за реклама на поща (не sAMAccountName).
Ако изберете предпочитаният език да идва от вашата Active Directory, тогава Active Directory е единственият източник на истина: потребителите няма да могат да променят настройката си за език в настройките на Webex, а администраторите няма да могат да променят настройката в Control Hub.
| 1 |
От Directory Connector щракнете върху Конфигурация и след това изберете Съпоставяне на потребителски атрибути. Тази страница показва имената на атрибутите за Active Directory (отляво) и облака на Webex (отдясно). Всички задължителни атрибути са маркирани с червена звезда. |
| 2 |
Превъртете надолу до долната част на Имена на атрибути на Active Directory и след това изберете един от тези атрибути на Active Directory, за да съпоставите с атрибута uid в облака:
Можете да съпоставите всеки от другите атрибути на Active Directory към uid, но ви препоръчваме да използвате mail или userPrincipalName, както е описано в указанията по-горе. В някои случаи потребителятPrincipalName се използва за влизане, но имейл адресът на потребителя се използва за управление на календара му. Трябва да гарантирате, че имейл адресът за управление на календара се съпоставя с полето за основен имейл адрес в Webex. Добавете потребителскотоPrincipalName като алтернативен имейл адрес. За да видите с кои атрибути в Active Directory съответстват в облака, вижте Съпоставяне на атрибути в Active Directory в Directory Connector. За да работи синхронизирането, трябва да се уверите, че атрибутът Active Directory, който изберете, е във формат на имейл. Directory Connector показва изскачащ прозорец, за да ви напомни, ако не изберете някой от препоръчителните атрибути. |
| 3 |
Ако предварително дефинираните атрибути на Active Directory не работят за разполагането ви, щракнете върху падащия атрибут, превъртете до дъното и след това изберете Персонализиране на атрибут, за да отворите прозорец, който ви позволява да дефинирате израз на атрибут. Щракнете върху Помощ, за да получите повече информация за изразите и да видите примери за това как работят изразите. Можете също да видите Изрази за персонализирани атрибути за повече информация. В този пример нека съпоставим атрибутите на Active Directory
Directory Connector проверява стойността на атрибута на uid в услугата за самоличност и извлича 3 налични потребители в текущите опции за филтриране на потребители. Ако всички тези 3 потребители имат валиден имейл формат, Cisco Directory Connector показва следното съобщение:
Ако атрибутът не може да бъде потвърден, ще видите следното предупреждение и можете да се върнете в Active Directory, за да проверите и коригирате потребителските данни:
|
| 4 |
(По избор) Изберете съпоставяния за мобилен и телефоненНомер, ако искате мобилните и работните номера да се показват например в картата за контакт на потребителя в приложението Webex. Данните за телефонните номера се появяват в приложението Webex, когато потребителят премине с мишката върху профилната снимка на друг потребител. За повече информация относно повикванията от карта за контакт на потребителя вижте Повиквания в Webex (Unified CM) Ръководство за разполагане (администратори). |
| 5 |
Изберете допълнителни съпоставяния, за да се показват повече данни в картата за контакт:
След като атрибутите са съпоставени, информацията се появява, когато потребителят премине с мишката над профилната снимка на друг потребител:
За повече информация относно картата за контакт вижте Проверете с кого се свързвате. След като тези атрибути бъдат синхронизирани с всеки потребителски акаунт, можете също да включите „Информация за участниците“ в Control Hub. Тази функция позволява на потребителите на приложението Webex да споделят повече информация в своите профили и да научат повече за себе си. За повече информация относно функцията и как да я активирате, вижте Профили за информация за участниците за Webex, Jabber, Webex Meetings и Webex Events (нов) в Control Hub |
| 6 |
След като направите избора си, щракнете върху Прилагане. |
Всички потребителски данни, които се съдържат в Active Directory, презаписват данните в облака, които съответстват на този потребител. Например, ако сте създали потребител ръчно в Control Hub, имейл адресът на потребителя трябва да бъде идентичен с имейла в Active Directory. Всеки потребител без съответстващ имейл адрес в Active Directory се изтрива.
Изтритите потребители се съхраняват в услугата за самоличност в облака за 7 дни, преди да бъдат окончателно изтрити.
Атрибути на Active Directory и облака
Можете да съпоставяте атрибути от вашата локална Active Directory със съответните атрибути в облака, като използвате раздела Съпоставяне на потребителски атрибути.
Тази таблица сравнява съпоставянето между имената на атрибути на Active Directory и имената на атрибути на Cisco в облака. Тези стойности и съпоставяния са настройката по подразбиране в Directory Connector. Можете да изберете различни атрибути в падащия списък на Active Directory и да определите кой локален атрибут се синхронизира с кой атрибут в облака.
Мислете за падащите атрибути като предварителни настройки. Като алтернатива на стойностите в реда на Active Directory, можете също да зададете персонализиран атрибут, ваша предварителна настройка, в Active Directory (израз с множество атрибути), за да се съпостави с един атрибут в облака в съответния ред. По този начин имате гъвкавостта да определите показваните имена на вашите потребители – например можете да добавите израз, който създава персонализиран атрибут въз основа на името на служителя, дадено име и фамилното име в Active Directory.
Можете също да зададете всеки от атрибутите на Active Directory, който да съпоставите с uid в облака. Трябва обаче да се уверите, че локалният атрибут следва валиден формат на имейл.
Можете да използвате и алтернативни имейл адреси, ако например искате да използвате userPrincipalName за влизане, но имейл адресът на потребителя се използва за управление на неговия календар. В този случай съпоставете друг имейл адрес с атрибута имейлите;тип-работа. Това е имейлът, който се използва за удостоверяване; той не се използва за управление на вашия календар. Имейл адресът, който съпоставяте от AD, трябва да е от потвърден домейн във вашата организация и да е уникален и да не е зададен на друг потребител.
|
Имена на атрибути в Active Directory |
Имена на атрибути в облака на Webex |
Бележки |
|---|---|---|
|
— |
сградаName |
— |
|
в |
в |
Този атрибут указва съкращението на страната на потребителя. |
|
отделНомер |
отделНомер |
Този атрибут се използва за номера на отдел на потребителя, който се появява в картата за контакт и Информация за участниците. |
|
показвано име |
показвано име |
Този атрибут се използва за показвано име на потребителския акаунт, което се появява в контролния център, картата за контакт и информация за участниците. |
|
управление на потребителския акаунт |
ds-pwp-акаунт деактивиран |
Този атрибут се използва за синхронизиране на потребители. Уверете се, че атрибутът userAccountControl е съпоставен с ds-pwp-account-disabled, или потребителите няма да бъдат синхронизирани правилно. |
|
служителНомер |
служителНомер |
— |
|
факсимилеТелефонНомер |
факсимилеТелефонНомер |
— |
|
— |
jabberID |
Този атрибут в облака е свързан с адресите за незабавни съобщения (тип XMPP), които се използват от Jabber. Тази стойност не е същата като sipAddresses. |
|
л |
л |
Този атрибут указва града на потребителя. |
|
— |
езикова променлива |
— |
|
мениджър |
мениджър |
Този атрибут се използва за името на мениджъра на потребителя, което се появява в картата за контакт и Информация за участниците. |
|
мобилен |
мобилен |
Този атрибут се използва като мобилен номер, който се появява за повикване на потребителя от картата за контакт. |
|
или |
или |
Този атрибут указва името на компанията или организацията и се появява в картата за контакт. |
|
или |
или |
Този атрибут указва името на организационната единица. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Този атрибут указва местоположението на офиса на потребителя. |
|
пощенски код |
пощенски код |
Този атрибут указва пощенския или zip кода на потребителя за физическа доставка на поща. |
|
предпочитанLanguage |
предпочитанLanguage |
Този атрибут задава предпочитания език за потребителя и се поддържат следните формати: xx_YY или xx-YY. Ето няколко примера: en_US, EN_GB, fr-CA. Ако използвате неподдържан език или невалиден формат, предпочитаният език на потребителите ще се промени на езика, зададен за организацията. |
|
MSRTCSIP – ОсновенUserAddress ipPhone |
SipAddresses; type=предприятие |
Този атрибут се използва за синхронизиране на информацията за локалната стая от Active Directory в облака на Cisco Webex. |
|
шшшт |
шшшт |
Този атрибут се използва за фамилното име на потребителския акаунт, което се появява в контролния център, картата за контакт и информация за участниците. |
|
-ви |
-ви |
Този атрибут указва щата или провинцията на потребителя. |
|
улицаAddress |
улица |
Този атрибут указва уличния адрес на потребителя за физическа доставка на поща. |
|
телефонНомер |
телефонНомер |
Този атрибут указва основния (служебен) телефонен номер на потребителя, който се използва за повикване на потребителя от картата за контакт. |
|
— |
часова зона |
Този атрибут за облака указва часовата зона на потребителя. |
|
заглавие |
заглавие |
Този атрибут указва заглавието на потребителя, което се появява в картата за контакт и информация за участниците. |
|
тип |
предприятие |
— |
|
*поща *потребителPrincipalName |
uid |
Задължително съпоставяне на атрибути. За всеки потребителски акаунт стойността на Active Directory се съпоставя с уникален uid в облака. В някои случаи потребителятPrincipalName се използва за влизане, но имейл адресът на потребителя се използва за управление на календара му. Трябва да гарантирате, че имейл адресът за управление на календара се съпоставя с полето за основен имейл адрес в Webex. Добавете потребителскотоPrincipalName като алтернативен имейл адрес. След това потребителят може да използва всеки от тези имейл адреси, за да влезе, стига да е налице правилното съпоставяне на SAML атрибути. Вижте съпоставяне на примерен атрибут по-долу за това как бихте могли да съпоставите алтернативен имейл адрес. |
|
*потребителPrincipalName *поща <персонализиран атрибут> |
имейли;тип работа |
Това съпоставяне е по желание, използвайте го, ако искате да използвате алтернативни имейл адреси. Това е имейлът, който се използва за удостоверяване; той не се използва за управление на вашия календар. Имейл адресът, който съпоставяте от AD, трябва да е от потвърден домейн във вашата организация и да е уникален и да не е зададен на друг потребител. |
|
<Нов атрибут за Azure user objectId> |
външенId |
Създайте нов атрибут на Active Directory, за да задържите Azure user objectId, така че да не влиза в конфликт със съществуващ. След това този атрибут се съпоставя с атрибута externalId, като се гарантира, че когато потребителите на Webex създават групи в Microsoft 365, те автоматично създават екипи в Webex. |
Алтернативно съпоставяне на имейл адреси
Изрази за персонализирани атрибути
|
Оператор |
Описание и пример |
|---|---|
|
% |
Премахва всички знаци от началото на низа до позицията на знака или низа аргумент, ако съвпада.
|
|
- |
Стриймва гърба на входния низ от края на посочения низ.
|
|
+ |
Наставя входни низове или изрази.
|
|
| |
Оценява разделените изрази спрямо празния низ и избира първия непразен резултат.
|
Синхронизиране на аватарите на указатели от атрибут на Active Directory към облака
Можете да синхронизирате аватарите на указателя на вашите потребители с облака, така че всеки аватар да се показва, когато те влязат в приложението Webex. Използвайте тази процедура, за да синхронизирате необработени данни за аватар от атрибут на Active Directory.
| 1 |
От Directory Connector отидете на Конфигурация, щракнете върху Аватар и след това отметнете Активиране. |
| 2 |
За Получаване на аватар от изберете атрибут AD и след това изберете атрибута Аватар, който съдържа необработените данни за аватар, които искате да синхронизирате с облака. |
| 3 |
За да проверите дали аватара е достъпен правилно, въведете имейл адреса на потребителя и след това щракнете върху Получаване на аватара на потребителя. Аватарът се появява вдясно. |
| 4 |
След като потвърдите, че аватарът се е появил правилно, щракнете върху Прилагане, за да запишете промените си. |
-
Синхронизираните изображения стават аватар по подразбиране за потребителите в приложението Webex. На потребителите не е позволено да задават собствен аватар, след като тази функция е активирана от Directory Connector.
-
Аватарите на потребителите се синхронизират както с приложението Webex, така и с всички съвпадащи акаунти на сайта на Webex.
Какво да направите след това
Изпълнете пробно синхронизиране; ако няма проблеми, направете пълно синхронизиране, за да получите вашите потребителски акаунти и аватари в Active Directory за синхронизиране в облака и да се появят в Control Hub.
Синхронизиране на аватарите на указатели от ресурсен сървър към облака
Можете да синхронизирате аватарите на указателя на вашите потребители с облака, така че всеки аватар да се показва, когато те влязат в приложението Webex. Използвайте тази процедура за синхронизиране на аватари от ресурсен сървър.
Преди да започнете
-
Моделът на URI и стойността на променливата в тази процедура са примери. Трябва да използвате действителните URL адреси, където се намират аватарите на вашия указател.
-
Моделът на URI на аватара и сървърът, където пребивават аватарите, трябва да са достъпни от приложението Directory Connector. Конекторът се нуждае от http или https достъп до изображенията, но не е необходимо изображенията да са публично достъпни в интернет.
-
Синхронизирането на данни за аватара е отделено от потребителските профили в Active Directory. Ако стартирате прокси сървър, трябва да гарантирате, че данните за аватара могат да бъдат достъпни чрез NTLM удостоверяване или основно удостоверяване.
| 1 |
От Directory Connector отидете на Конфигурация, щракнете върху Аватар и след това отметнете Активиране. |
| 2 |
За Получаване на аватар от изберете Сървър ресурси и след това въведете URI шаблона за аватар – например Нека да разгледаме всяка част от модела на URI за аватара и какво означават те:
|
| 3 |
(По избор) Ако сървърът на ресурси изисква идентификационни данни, отметнете Задаване на идентификационни данни на потребител за аватар, след което или изберете Използване на текущия потребител за влизане в услугата, или Използване на този потребител и въведете паролата. |
| 4 |
Въведете стойността на променливата – например: |
| 5 |
Щракнете върху Тест, за да се уверите, че шаблонът на URI за аватара работи правилно. В този пример, ако стойността на пощата за един запис в AD е |
| 6 |
След като информацията за URI бъде потвърдена и изглежда правилна, щракнете върху Прилагане. За подробна информация относно използването на регулярни изрази вижте Бърза справка за езика на регулярните изрази на Microsoft . |
-
Синхронизираните изображения стават аватар по подразбиране за потребителите в приложението Webex. На потребителите не е позволено да задават собствен аватар, след като тази функция е активирана от Directory Connector.
-
Аватарите на потребителите се синхронизират както с приложението Webex, така и с всички съвпадащи акаунти на сайта на Webex.
Какво да направите след това
Изпълнете пробно синхронизиране; ако няма проблеми, направете пълно синхронизиране, за да получите вашите потребителски акаунти и аватари в Active Directory за синхронизиране в облака и да се появят в Control Hub.
Синхронизиране на информацията за локалните стаи с облака на Webex
Използвайте тази процедура, за да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака Webex устройства (Room, Desk и Board).
| 1 |
От Directory Connector отидете на Синхронизиране, щракнете върху още |
| 2 |
Отметнете Синхронизиране на информацията за стаята с облака, за да отделите данните на стаята от данните на потребителите по време на синхронизацията. Когато тази настройка е деактивирана, данните за стаята се третират по същия начин като данните, синхронизирани от потребителите. |
| 3 |
Отидете на Съпоставяне на атрибути и след това променете съпоставянето на атрибути за атрибута sipAddresses;type=enterprise. За да използвате проверка на стойността, стойността на SIP адреса трябва да е Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Създайте пощенска кутия за ресурси за стая в Exchange. Това добавя атрибута msExchResourceMetaData;ResourceType:Room, който след това конекторът използва, за да идентифицира стаите.
|
| 5 |
От потребителите и компютрите в Active Directory се придвижвайте до и редактирайте свойствата на стаята. Добавете напълно квалифицирания SIP URI с префикс на sip:
|
| 6 |
Извършете пробно синхронизиране и след това пълно синхронизиране в конектора. Новите обекти в стаята са изброени Добавени обекти и съответстващите обекти в стаята се показват в Съответстващи обекти в отчета за пробно изпълнение. Всички предмети на стая, маркирани с флаг за изтриване, са под Стаи изтрити.
Резултатите от пробното изпълнение показват всички съвпадащи ресурси за стаята.
Тази настройка разделя данните на стаята в Active Directory (включително атрибута на стаята) от данните на потребителите. След като синхронизирането завърши, статистиката за облака на таблото на конектора показва данни за стаята, които са били синхронизирани с облака.
|
Какво да направите след това
Сега, след като сте направили тези стъпки, когато извършите търсене на регистрирано в облака устройство Webex, ще видите синхронизираните записи в стаята, които са конфигурирани със SIP адреси. Когато поставите повикване от webex устройството на този запис, се извършва повикване до SIP адреса, конфигуриран за стаята.
От Control Hub можете автоматично да импортирате стаи от вашия указател и да създавате работни области.
Крайната точка не може да започне обратно повикване към приложението Webex. За тестови устройства за набиране тези устройства трябва да бъдат регистрирани като SIP URI локално или някъде извън приложението Webex. Ако системата за стаи Active Directory, която търсите, е регистрирана в Webex и същият имейл адрес е на устройството Webex Room, устройството Desk или Webex Board за услугата за календар, тогава резултатите от търсенето няма да покажат дублирания запис. Устройството Room, Desk или Board се набира директно в приложението Webex и не се извършва SIP повикване.
Изпращане на имейл отчети за резултатите от синхронизирането на указатели
По подразбиране контактите на организацията или администраторите винаги получават известия по имейл. С тази настройка можете да персонализирате кой трябва да получава известия по имейл, които обобщават отчетите за синхронизиране на указатели.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Известие. |
| 2 |
От Directory Connector щракнете върху Настройки, а до Имейл приемник включете Разрешаване на синхронизиране на отчета. |
| 3 |
Отметнете Активиране на уведомяването, ако искате да заместите поведението за уведомяване по подразбиране и да добавите един или повече получатели на имейл. |
| 4 |
Щракнете върху Добавяне и след това въведете имейл адрес. Ако въведете имейл адрес с невалиден формат, се появява съобщение, което ви казва да коригирате проблема, преди да можете да запишете и приложите промените. |
| 5 |
Щракнете върху Добавяне на имейл и след това въведете имейл адрес. Ако въведете имейл адрес с невалиден формат, се появява съобщение, което ви казва да коригирате проблема, преди да можете да запишете и приложите промените. |
| 6 |
Ако трябва да редактирате въведените от вас имейл адреси, щракнете двукратно върху записа на имейла в лявата колона и след това направете всички промени, които трябва да направите. |
| 7 |
След като сте добавили всички валидни имейл адреси, щракнете върху Прилагане. |
| 8 |
След като сте добавили всички валидни имейл адреси, щракнете върху Запиши. |
Какво да направите след това
Ако сте решили, че искате да премахнете имейл адреси, можете да щракнете върху имейл, за да маркирате този запис, и след това да щракнете върху Премахни.
Ако сте решили, че искате да премахнете имейл адреси, можете да щракнете върху Премахване до записи за определени имейл адреси.
Осигуряване на потребители от Active Directory В Control Hub
Изпълнете тези стъпки, за да осигурите потребители на Active Directory и да създадете съответни потребителски акаунти в Control Hub. Можете да осигурите потребителите от разполагане на Active Directory с множество домейни (с една гора или с множество гори), след като инсталирате Directory Connector за всеки домейн. По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. Целта е да имате точно съвпадение между вашите Active Directories и облака на Webex.
| 1 |
Извършване на пробно изпълнение на синхронизиране на потребители от Active Directory Изпълнете пробно изпълнение, за да сравните обекти в локалната Active Directory и обектите в облака на Webex. Пробното изпълнение ви позволява да видите кои обекти ще бъдат добавени, променени или изтрити, преди да стартирате пълно или постепенно синхронизиране и да извършите промените в облака. |
| 2 |
Извършване на пълно синхронизиране на потребителите на Active Directory в облака Когато стартирате пълно синхронизиране, услугата конектор изпраща всички филтрирани обекти от вашия Active Directory (AD) към облака. След това услугата за конектор актуализира хранилището за самоличност с вашите AD записи. Ако сте създали шаблон за автоматично разпределение на лицензи, можете да го зададете на новосинхронизираните потребители. |
| 3 |
Разпределяне на услугите на Webex на синхронизираните с указатели потребители в Control Hub След като завършите пълно синхронизиране на потребителите от Directory Connector в Control Hub, можете да зададете лицензи за услугата на Webex по различни методи. Препоръчваме ви да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory. Можете също да правите отделни промени след тази първоначална стъпка. |
Извършване на пробно изпълнение на синхронизиране на потребители от Active Directory
Изпълнете пробно изпълнение, за да сравните обекти в локалната Active Directory и обектите в облака на Webex. Пробното изпълнение ви позволява да видите кои обекти ще бъдат добавени, променени или изтрити, преди да стартирате пълно или постепенно синхронизиране и да извършите промените в облака.
По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. С Directory Connector целта е да имате точно съвпадение между вашите Active Directories и облака на Webex.
Ако имате няколко домейна в една гора или няколко гори, трябва да направите тази стъпка на всеки от екземплярите на Cisco Directory Connector, които сте инсталирали за всеки домейн на Active Directory.
Преди да започнете
Възможно е вече да имате потребители на приложението Webex в Control Hub, преди да използвате Directory Connector. Сред потребителите в облака някои може да съвпадат с локалния обект на Active Directory и да им бъдат зададени лицензи за услуги. Но някои може да са тестови потребители, които искате да изтриете, докато правите синхронизация. Трябва да създадете точно съвпадение между вашия Active Directory и Control Hub.
| 1 |
Изберете едно:
Когато пробното изпълнение завърши, ще видите един от следните резултати:
Обобщението съдържа информация за съвпадението на обект:
Пробното изпълнение идентифицира потребителите, като ги сравнява с потребителите на домейн. Приложението може да идентифицира потребителите, ако те принадлежат към текущия домейн. В следващата стъпка трябва да решите дали да изтриете обектите или да ги запазите. Несъответстващите обекти се идентифицират като вече съществуващи в облака на Webex, но не съществуващи в локалната Active Directory. |
| 2 |
Прегледайте резултатите от пробното изпълнение и след това изберете опция в зависимост от това дали използвате един домейн или няколко домейна:
|
| 3 |
В подканата Потвърждаване на пробното изпълнение щракнете върху Да, за да извършите отново синхронизирането на пробното изпълнение и вижте таблото, за да видите резултатите. Всички акаунти, които са успешно синхронизирани в пробното изпълнение, се показват под Съвпадащи обекти. Ако потребител в облака няма съответстващ потребител със същия имейл в Active Directory, записът е посочен под Потребители изтрити. За да избегнете това изтриване на флаг, можете да добавите потребител в Active Directory със същия имейл адрес. За да видите подробностите за елементите, които са синхронизирани, щракнете върху съответния раздел за конкретни елементи или Съответстващи обекти. За да запишете обобщената информация, щракнете върху Запиши резултатите във файл. |
| 4 |
Ако се очакват резултатите, отидете на и след това щракнете върху Разрешаване сега, за да извършите ръчно синхронизиране и да го поставите в ръчен режим в този момент. След като извършите синхронизация на последния домейн на Active Directory в разполагането на множество домейни, трябва да активирате автоматичен режим за Directory Connector. Можете да активирате автоматичен режим само когато обектите съвпадат напълно между облака на Webex и всички локални активни директории. |
Какво да направите след това
-
За всички несъответстващи потребителски обекти, които сте запазили, трябва да ги добавите към Active Directory, така че да има точно съвпадение между локално и облака.
-
Изберете тип синхронизиране:
-
По подразбиране се задава постепенно синхронизиране на всеки 30 минути (на версии 3.4 и по-стари) или на всеки 4 часа (на версии 3.5 и по-нови), но можете да промените тази стойност. Постепенното синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране.
-
Ако имате няколко домейна, повторете тези стъпки на всеки друг Directory Connector, който сте инсталирали.
Неща, които трябва да имате предвид
-
Изпълнете пробно изпълнение, преди да активирате пълно синхронизиране или когато промените параметрите за синхронизиране. Ако пробното изпълнение е започнато от промяна в конфигурацията, можете да запишете настройките след завършване на пробното изпълнение. Ако сте добавили потребители ръчно, изпълняването на синхронизиране с Active Directory може да доведе до премахване на добавени преди това потребители. Можете да проверите отчетите за пробно изпълнение на Directory Connector, за да потвърдите, че всички очаквани потребители присъстват, преди да синхронизирате напълно с облака.
-
Ако съответстващите потребители са маркирани да бъдат изтрити и не сте сигурни как да продължите, вижте информация за отстраняване на неизправности и как да се свържете с поддръжката в Отстраняване на неизправности и корекции за Directory Connector.
Изтритите потребители се съхраняват в услугата за самоличност в облака за 7 дни, преди да бъдат окончателно изтрити.
Извършване на пълно синхронизиране на потребителите на Active Directory в облака
Когато стартирате пълно синхронизиране, услугата конектор изпраща всички филтрирани обекти от вашия Active Directory (AD) към облака. След това услугата за конектор актуализира хранилището за самоличност с вашите AD записи. Ако сте създали шаблон за автоматично разпределение на лицензи, можете да го зададете на новосинхронизираните потребители.
Ако имате няколко домейна, трябва да направите тази стъпка на всеки от екземплярите на Directory Connector, които сте инсталирали за всеки домейн на Active Directory.
Directory Connector синхронизира състоянието на потребителския акаунт – В Active Directory всички потребители, които са маркирани като деактивирани, също се появяват като неактивни в облака.
Преди да започнете
-
Ако искате потребителските акаунти на приложението Webex да бъдат в активен статус след пълната синхронизация и преди потребителите да влизат за първи път, трябва да направите следните стъпки, за да заобиколите проверката на имейла:
-
Интегрирайте еднократната идентификация с вашата организация на Webex. Вижте
Еднократна идентификация с услугите на Cisco Webex и доставчика на самоличност на вашата организация
за повече информация. -
Използвайте Control Hub, за да потвърдите и по желание да заявите домейни, съдържащи се в имейл адресите. Вижте
Добавяне, потвърждаване и заявяване на домейни
. -
Потиснете автоматичните имейл покани, така че новите потребители да не получават автоматичната имейл покана за приложението Webex. (Можете да направите собствена имейл кампания.)
Активираните потребители, които не са влезли, се появяват със статус Проверен в Control Hub. След като влязат, те се показват като Активни. За повече информация относно потребителските статуси вижте Потребителски статуси и действия в Cisco Webex Control Hub.
-
-
Когато активирате синхронизирането, Directory Connector първо ви моли да изпълните пробно изпълнение. Препоръчваме да пробвате пробното изпълнение преди пълно синхронизиране, за да видите евентуални грешки.
-
Трябва да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
Ако не използвате шаблони за автоматично разпределение на лицензи, новосинхронизираните потребители автоматично получават безплатни лицензи. Те ще могат да използват същите безплатни функции като тези с безплатни акаунти.
| 1 |
Изберете едно:
|
| 2 |
От Directory Connector отидете на Синхронизиране, щракнете върху повече |
| 3 |
Потвърдете началото на синхронизирането. За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените до 72 часа след извършване на синхронизирането. Можете да се опитате да изчистите локалния кеш за приложението Webex, като следвате следните указания: Windows или Mac.
|
| 4 |
Щракнете върху Обнови, ако искате да актуализирате статуса на синхронизацията. (Синхронизираните елементи се показват под Статистика в облака.) |
| 5 |
За информация за грешките изберете Стартиране на визуализатора на събития от лентата с инструменти Действия, за да видите регистрите на грешки. |
| 6 |
За да зададете график за синхронизиране за текущи инкрементални синхронизации с облака, вижте Задаване на график на конектори и Изпълнение на инкрементално синхронизиране. |
-
След завършване на пълната синхронизация статусът за синхронизиране на указатели се актуализира от Деактивирано на страницата Настройки в Control Hub.
-
Когато всички данни са съчетани между локално и облачно, Directory Connector се променя от ръчен режим в режим на автоматично синхронизиране.
-
Освен ако не интегрирате еднократна идентификация, потвърдите домейни и по избор заявите домейни за имейл акаунтите, които сте синхронизирали, и потиснете автоматизираните имейли, потребителските акаунти в приложението Webex остават в състояние „Непроверен“, докато потребителите не влязат в приложението Webex за първи път, за да потвърдят своите акаунти. Вижте раздела „Преди да започнете“ за указания как да синхронизирате акаунтите като активни потребители.
-
Ако имате няколко домейна, направете тази стъпка на всеки друг Directory Connector, който сте инсталирали. След синхронизацията потребителите във всички домейни, които сте добавили, са изброени в Control Hub.
-
Ако сте интегрирали еднократна идентификация с Webex и потиснати имейл известия, имейл поканите не се изпращат до новосинхронизираните потребители.
-
Не можете да добавяте потребители ръчно в Control Hub, след като Directory Connector е активиран. След като бъде активирано, управлението на потребителите се извършва от Cisco Directory Connector и Active Directory е единственият източник на истина.
-
Всички групи, които сте синхронизирали, се показват в Control Hub и можете да зададете шаблон за лицензи, така че на потребителите в тази група да бъдат зададени лицензи.
Какво да направите след това
-
Когато премахнете потребител от Active Directory, потребителят се изтрива меко след следващото синхронизиране. Потребителят става Неактивен, но профилът за самоличност в облака се съхранява в продължение на седем дни (за да се позволи възстановяване от случайно изтриване).
Когато отметнете Акаунтът е деактивиран в Active Directory, потребителят става Неактивен след следващото синхронизиране. Профилът за самоличност в облака не се изтрива след седем дни, в случай че искате да активирате потребителя отново.
-
Обърнете внимание на тези изключения при поетапно синхронизиране (вместо това следвайте стъпките за пълно синхронизиране по-горе):
-
В случай на актуализиран аватар, но без друга промяна на атрибута, постепенното синхронизиране няма да актуализира аватара на потребителя в облака.
-
Промените в конфигурацията при настройката за съпоставяне на атрибути, базовия DN, филтър и аватар изискват пълно синхронизиране.
-
Разпределяне на услугите на Webex на синхронизираните с указатели потребители в Control Hub
След като завършите пълната синхронизация на потребителите от Cisco Directory Connector в Control Hub, можете да използвате Control Hub, за да зададете едни и същи лицензи за услуга на Webex на всичките си потребители наведнъж или да добавите допълнителни лицензи за нови потребители, ако вече сте конфигурирали шаблон за автоматично зададен лиценз. Можете да правите промени в отделни потребителски акаунти след тази първоначална стъпка.
След като завършите пълната синхронизация на потребителите от Directory Connector в Control Hub, можете да използвате методи в Control Hub, за да зададете глобално лицензи за услугата на Webex на всичките си потребители, отделни потребители, чрез груповия CSV шаблон или автоматично на новите потребители, ако вече сте конфигурирали шаблон за автоматично разпределение на лицензи. Можете да правите промени в отделни потребителски акаунти след тази първоначална стъпка.
Когато зададете лиценз на потребител на приложението Webex, този потребител получава имейл, потвърждаващ задаването, по подразбиране. Имейлът се изпраща от услуга за известия в Control Hub. Ако сте интегрирали еднократна идентификация (SSO) с вашата организация на Webex, можете също да потиснете тези автоматични имейл известия, ако предпочитате да се свързвате директно с потребителите си.
Преди да започнете
-
Трябва да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
-
Извършете пробно изпълнение на синхронизиране на вашите потребители на Active Directory.
-
След като потвърдите резултатите от пробното изпълнение, извършете пълно синхронизиране на потребителите на Active Directory.
По време на пълна синхронизация потребителят се създава в облака, не се добавят задавания на услуги и не се изпраща имейл за активиране. Ако имейлите не се потиснат, новите потребители получават имейл за активиране, когато присвоявате услуги на потребителите по стандартен метод за управление на потребители в Control Hub, като импортиране на CSV файл, ръчна актуализация на потребители или чрез успешно завършване на автоматичното задаване.
| 1 |
От изгледа за клиенти в https://admin.webex.com отидете на , щракнете върху Управление на потребителите, изберете Промяна на всички синхронизирани потребители и след това щракнете върху Напред. |
| 2 |
Изберете опция: |
Какво да направите след това
-
Ако имейлите не се потискат, до всеки потребител се изпраща имейл с покана за присъединяване и изтегляне на Webex.
-
Ако сте избрали едни и същи услуги на Webex за всички ваши потребители, след това можете да промените лиценза, зададен поотделно или групово.
Известни проблеми с Directory Connector
-
Версиите на Windows Server преди 2012 R2 имат проблем с бисквитките, който засяга Directory Connector. Този проблем е поправен във версии 2012 R2 и 2016.
-
За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените 72 часа след момента, в който извършите синхронизирането.
Можете да се опитате да изчистите локалния кеш за приложението Webex, като следвате следните указания: Windows или Mac.
-
Когато потребител използва приложението Webex на настолен компютър или мобилно устройство, за да търси и повика стая, която има само синхронизиран SIP URI, тогава повикването звъни за неопределено време.
Управление на потребителите на приложението Webex
Стартиране на постепенно синхронизиране
Поетапната синхронизация прави заявки за вашия Active Directory и търси промени, които са се случили от последната синхронизация. След това тази стъпка пакетира тези промени и ги изпраща към услугата конектор. Промените включват модификация на атрибутите на потребителите и кога даден потребител е добавен или изтрит.
Тази синхронизация не поставя толкова натоварване на сървърите и не отнема толкова време, колкото пълното синхронизиране. След като направите първоначалното си пълно синхронизиране, препоръчваме опцията „Incremental“ за последващи синхронизации.
Преди да започнете
-
Трябва да настроите шаблон за автоматично разпределение на лицензи , преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
-
Имайте предвид тези изключения, които нарастващото синхронизиране не се поддържа (вместо това следвайте Извършване на пълно синхронизиране на потребители от Active Directory в облака ):
-
В случай на актуализиран аватар, но без друга промяна на атрибута, постепенното синхронизиране няма да актуализира аватара на потребителя в облака.
-
За нови промени в конфигурацията на съпоставянето на атрибути, базовия DN, филтъра и настройката за аватар, постепенното синхронизиране няма да работи и те изискват пълно синхронизиране.
-
| 1 |
От Directory Connector щракнете върху Табло. Когато активирате синхронизирането, Directory Connector първо ви моли да изпълните пробно изпълнение. |
| 2 |
От Действия щракнете върху Режим на синхронизиране > Разрешаване на синхронизацията , ако вече не е активиран. По подразбиране се задава постепенно синхронизиране на всеки 30 минути (на версии 3.4 и по-стари) или на всеки 4 часа (на версии 3.5 и по-нови), но можете да промените тази стойност. Постепенното синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране. Когато се появи нов инкрементален интервал от време, програмата проверява промените въз основа на последното времево клеймо. |
| 3 |
От Действия щракнете върху Синхронизиране сега > Постепенно. За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените 72 часа след момента, в който извършите синхронизирането.
|
| 4 |
За информация за грешките щракнете върху Стартиране на визуализатора на събития от лентата с инструменти Действия , за да видите регистрите на грешки. |
Какво да направите след това
Ако имате няколко домейна, направете тази стъпка в другите екземпляри на Directory Connector, които сте инсталирали.
Възстановяване на случайно изтрити потребители
Directory Connector има проверки и баланси, за да предотврати непреднамерено изтриване на потребители. За съжаление се случват инциденти; може да сте конфигурирали неправилно LDAP филтър в Active Directory, което е изтрило някои потребители при синхронизиране с облака. Функцията за меко изтриване може да ви помогне да се възстановите от тези инциденти и да възстановите потребителските акаунти в Control Hub.
По подразбиране тази функция е активирана за всички организации. Когато потребителите бъдат изтрити в облака, например поради несъответстващ проблем с обект след синхронизиране от Directory Connector, потребителите могат да бъдат възстановени. Ако сте видели бележка за несъответстващи обекти или сте забелязали, че потребителите са изтрити, може да сте в състояние да ги възстановите, ако действате бързо.
Потребителите се маркират като неактивни в Control Hub, когато съответните акаунти се изтриват в Active Directory. Фоновата услуга в облака запазва потребителите до 7 дни. През този период все още можете да използвате Cisco Directory Connector, за да възстановите потребители. Препоръчваме ви да възстановите тези потребители възможно най-скоро.
Потребителите, които са деактивирани в Active Directory, също се маркират като неактивни в Control Hub, но потребителският акаунт не се изтрива след 7 дни.
| 1 |
Влезте в контролния хъб. |
| 2 |
Отидете на Потребители и потвърдете дали даден потребителски акаунт е в неактивно състояние, или не е включен в списъка. За повече информация вижте Потребителски статуси и действия в Control Hub. |
| 3 |
Ако потребителите са изтрити в Control Hub или забележите потребители в състояние „Неактивно“, отидете в Active Directory, добавете липсващите потребителски акаунти и след това направете пробно изпълнение на синхронизиране в Directory Connector. Целта с Directory Connector е да се създаде точно съвпадение между информацията за потребителя в Active Directory и в облака. |
| 4 |
Извършете пълна синхронизация, за да синхронизирате отново временно изтритите потребителски акаунти с Control Hub. Потребителите се възстановяват и преминават към първоначалния статус, включително статуса на акаунта си и зададените услуги. |
Какво да направите след това
Върнете се в Control Hub, отидете на и потвърдете, че изтритите преди това потребителски акаунти се появяват в списъка с потребители.
Изтриване на потребителите за постоянно след меко изтриване
След като изпълните пробно изпълнение, можете да изберете да изтриете за постоянно потребители, които са били меки изтрити при следващото синхронизиране.
| 1 |
След като пробното изпълнение завърши, изберете Меки изтрити обекти. |
| 2 |
Поставете отметка в квадратчето до потребителите, които искате да изтриете. |
| 3 |
Изберете Готово. |
Какво да направите след това
При следващата синхронизация потребителите, които сте проверили, ще бъдат изтрити окончателно.
Промяна на имейл адреса на приложението Webex
Ако искате да промените потребителските имейл адреси и вашата организация използва Directory Connector, променяте тези имейл адреси в Active Directory. Тази процедура обхваща как да промените имейл адрес на приложението Webex за един домейн и процес за промяна на домейна.
Ако искате само да промените имейла или някаква стойност за един потребител, не изтривайте потребителя от Active Directory и след това създайте нов със същия имейл. Облакът тълкува това действие като нов потребителски акаунт и местата на потребителя и другите данни в облака ще бъдат изгубени.
Directory Connector не ограничава промяната на имейл домейна. Когато потребителят обаче се синхронизира отново с облака, състоянието на потребителя зависи от това дали новият домейн е потвърден във вашата организация. Ако домейнът не е потвърден във вашата организация, статусът на потребителя се променя на „В очакване“ след пълното синхронизиране. За повече информация вижте Управление на вашите домейни.
Ако вашата организация не използва Directory Connector, можете да промените имейл адресите на приложението Webex чрез страницата с настройки на акаунта. Вижте Промяна на имейл адреса за вашия акаунт за стъпките, които потребителите могат да последват, за да променят имейлите си.
Промяна на домейна на Active Directory
Можете да използвате тази процедура, за да създавате нови домейни и имейл адреси. Те се синхронизират с услугата за самоличност в облака.
| 1 |
Настройте нов домейн на Active Directory (AD). |
| 2 |
Деактивирайте синхронизирането на всички ваши конектори. |
| 3 |
Деинсталирайте всички конектори. |
| 4 |
Отворете случай, за да промените домейна. В изпращането на случай не забравяйте да поискате премахване на конфигурацията на домейна и всички атрибути за синхронизиране във вашата организация. Преди да отворите случай, за да промените домейна, се уверете, че не се изпълнява синхронизиране. Не променяйте потребителските имейл адреси в Active Directory, докато случаят не изчезне. |
| 5 |
След решаване на случая: Изпълнете тестово изпълнение с Directory Connector, преди да извършите действителното синхронизиране. |
Заявяване на домейн
Претенция за домейн възниква, ако заявите имейл домейн за организация, така че всеки посочен акаунт да бъде създаден в платената клиентска организация, а не в безплатната потребителска организация. Можете да заявите домейн само чрез случай за поддръжка (вижте връзката по-долу за повече информация).
Ако Directory Connector е активен и домейнът е заявен, акаунтите с външни потребители не се създават нито в клиентската организация, нито в безплатната потребителска организация. Само Directory Connector може да осигурява акаунти за организацията от Active Directory. Информацията, съхранена в Active Directory, е първоначалният източник. Ако се опитате да странично табло на акаунт, поканеният потребител получава грешка. Единственият начин, по който поканен потребител може да бъде добавен към място на приложението Webex, е първо да използвате Directory Connector, за да обезпечите акаунта в Control Hub.
Конвертиране на безплатните потребители на приложението Webex в синхронизирана с указателя организация
Можете да използвате уникални имейл адреси само в директорията на приложението Webex. Ако вашите потребители са се записали за безплатната версия на приложението Webex, акаунтът им съществува в безплатната потребителска организация. За да управлявате потребителите в тази организация чрез Directory Connector, мигрирайте (конвертирайте) ги в организацията на клиента, преди да включите Directory Connector. След това добавяте потребителите към Active Directory с точния имейл адрес и след това синхронизирате с облака.
Ако не конвертирате акаунтите преди активирането, изключете Directory Connector, за да ги конвертирате.
Ако се опитате да конвертирате потребител, докато е активирано синхронизирането на указатели, се появява съобщението за грешка не можа да бъде преобразувано
. За да избегнете проблема, можете да използвате тези стъпки като заобиколно решение.
Някои заявени потребители може да се покажат с атрибута movedfrom , когато правят пробно изпълнение. Тези потребители ще бъдат в списъка Изтрити обекти вместо MismatchedObject. Ще трябва да добавите тези потребители към своя списък в AD, ако искате да ги преместите във вашата организация.
Ако не добавите тези потребители, всички те ще бъдат изтрити, след като синхронизирате с облака.
| 1 |
Деактивирайте синхронизирането на указатели от Directory Connector. |
| 2 |
Следвайте процедурата Конвертиране на нелицензирани потребители в Control Hub , за да конвертирате потребителя от безплатната потребителска организация в корпоративната организация. Тази стъпка добавя потребителя към вашата организация и акаунтът се показва в Control Hub. Directory Connector прави Active Directory единственият източник на истина за потребителските акаунти и целта е да има точно съвпадение между Active Directory и Control Hub. Гарантирайте, че има съвпадащи потребители в Active Directory за всички наскоро преобразувани потребители преди повторното синхронизиране. Синхронизирането на "Сухо изпълнение" може да се използва, за да се гарантира, че няма останали несравнима потребители. |
| 3 |
На Directory Connector направете пробно изпълнение на синхронизиране. Когато сухото изпълнение завърши, проверете раздела Добавяне на обекти. Проверете дали всички потребители, които сте преобразували, не се изтриват. Трябва да изпълните пробно изпълнение, преди да активирате повторно синхронизирането, за да сте сигурни, че всички конвертирани потребителски акаунти се показват в Active Directory. Ако включите синхронизирането и акаунтите се намират само в Control Hub, Directory Connector зависи от малки и главни букви и изтрива конвертираните потребители, които открие с несъответстващи имейл адреси (например user1@example.com и User1@example.com). Ако някои преобразувани потребители бъдат изтрити, те губят всичките си места в приложението Webex. |
| 4 |
Когато сте сигурни, че следващото синхронизиране няма да премахне никакви акаунти, активирайте отново синхронизирането на указатели от Directory Connector. |
Преобразуваните потребителски акаунти не се активират автоматично, ако не сте потвърдили домейн. Например, ако сте включили шаблона за автоматично разпределение на лицензи и след това сте включили Directory Connector без проверка на домейна, конвертираните потребители са неактивни в облачната backend, докато не потвърдят имейл адресите си.
Потребителски акаунти в приложението Webex
Когато поканите друг потребител на място в приложението Webex, ако поканеният потребител няма акаунт за приложението Webex, за него се създава акаунт („страничен“). По подразбиране акаунтите, които са създадени по този начин, се добавят към безплатната потребителска организация.
Ако искате да управлявате страничния акаунт с помощта на Directory Connector, трябва да конвертирате акаунта.
Промяна на формата на потребителското име в приложението Webex след синхронизиране на указатели
По подразбиране Directory Connector съпоставя атрибута displayName в Active Directory с атрибута displayName в облака.
След като извършите синхронизиране на указатели, може да откриете, че потребителските имена се показват във формат .
Това потребителско име може да се появи, ако атрибутът displayName в Active Directory е конфигуриран по този начин. Когато атрибутът е съпоставен с displayName в облака, имената се показват във формат в Control Hub.
За да промените формата, в екрана за съпоставяне на атрибути на Directory Connector: съпоставете атрибута на Active Directory givenName sn (или sn givenName), за да показваName в имената на атрибути в облака на Cisco.
Като алтернатива съпоставете атрибута sn givenName с displayName:
Можете също да използвате опцията Персонализиране на атрибут, ако искате да съпоставите свой собствен персонализиран израз на атрибут към displayName.
Например въведете givenName + "" + sn (собствено име, интервал, фамилия) като израз. Това съпоставя двата атрибута в Active Directory за показванеName в облака.
Позволи на потребителите да променят показваните имена в Webex Meetings
Можете да премахнете съпоставянето на атрибута displayName от синхронизирането с облака в Directory Connector, ако искате да позволите на потребителите да редактират предпочитаните си показвани имена. Потребителите могат да въведат показвано име, което да се показва по време на срещи в Webex, вместо собственото и фамилното си име. Администраторите могат също да променят показваното име за потребител ръчно в Control Hub.
| 1 |
От Directory Connector щракнете върху Конфигурация и след това изберете Съпоставяне на потребителски атрибути. |
| 2 |
Изберете displayName под Cisco Cloud Attribute Name. |
| 3 |
Изберете Не синхронизирайте този атрибут. |
Какво да направите след това
Потребителите вече могат да редактират показваните си имена от своя сайт на Webex.
Отстраняване на неизправности в Directory Connector
Надстройте до последното издание на софтуера
За да поддържате внедряването си в съответствие и да получите най-новите функции, функционалност, корекции на грешки и подобрения в защитата, винаги трябва да надстроите до най-новата версия на Directory Connector. Ако не надстроите до най-новата налична версия, може да изпитате проблеми, например Directory Connector вече да не се синхронизира правилно или да сте на версия, която не поддържа задължителното изискване TLS 1.2.
Directory Connector автоматично ви уведомява, когато е налична нова версия. Винаги надстройвайте до най-новата версия, за да избегнете проблеми. Също така виждате известие в лентата на задачите на Windows.
Въпреки че можете ръчно да инсталирате актуализации на софтуера на конектор, препоръчваме да следвате стъпките в Задаване на автоматични надстройки , за да позволите на приложението да управлява вашите надстройки автоматично.
| 1 |
Щракнете върху известието в лентата на задачите на Windows или щракнете с десния бутон върху иконата Directory Connector в лентата на задачите на Windows, за да започнете процеса на надстройване. |
| 2 |
Следвайте инструкциите, за да завършите надстройването. |
| 3 |
Рестартирайте конектора и влезте с вашите идентификационни данни на администратор. |
| 4 |
Потвърдете номера на версията на софтуера под . |
Какво да направите след това
За нова инсталация на Directory Connector можете да изтеглите zip файла и след това да следвате стъпките за инсталиране в това ръководство.
Конфигуриране на общи настройки за Directory Connector
Използвайте тази процедура, за да конфигурирате общи настройки, като името на сървъра, работещ с Directory Connector, нивата на регистрационния файл, автоматичните надстройки и предпочитаните настройки за контролерите на домейни. Името на конектора се появява на таблото в раздела „Конектори“, заедно с всички други конектори, които работят.
| 1 |
От Directory Connector отидете на Конфигурация и след това щракнете върху Общи. |
| 2 |
В полето Име на конектор въведете името на конектора. Това поле показва само името на компютъра, на което в момента работи конекторът. |
| 3 |
Изберете нивото на регистрационния файл от падащия списък. По подразбиране нивото на регистрационния файл е зададено на информация. Наличните нива на регистрационния файл са:
Тези настройки засягат отчета за синхронизиране, който се изпраща по имейл. Ако зададете нивото на регистрационния файл на „Грешка“, в отчета за синхронизиране се съобщават само грешки; ако не съществуват грешки, отчетът за синхронизиране не се изпраща. Променете настройката на „Информация“, след което получавате отчети за синхронизиране след пълно синхронизиране. (Имайте предвид, че за постепенно синхронизиране не се изпращат отчети, когато не се съобщават грешки.) |
| 4 |
Изберете предпочитаните контролери на домейни , за да зададете реда на контролерите на домейни за синхронизиране на самоличности. До контролерите на домейни има достъп от горе до долу. Ако горният контролер не е наличен, изберете втория контролер от списъка. Ако няма посочен контролер, можете да получите достъп до главния контролер. |
| 5 |
Отметнете Автоматично надстройване до новата версия на Cisco Directory Connector , ако искате да се извършват автоматични надстройвания. Винаги е важно да поддържате своя софтуер Cisco Directory Connector до най-новата версия. Препоръчваме ви да отметнете тази настройка, за да позволите автоматичните надстройки на софтуера да се инсталират мълчаливо, когато са налични. |
| 6 |
Проверете LDAP през SSL , за да използвате защитения LDAP (LDAPS) като протокол за свързване. Ако не проверите LDAP през SSL, Directory Connector продължава да използва протокола за LDAP връзка. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) са протоколите за свързване, използвани между приложение и домейнов контролер в инфраструктурата. LDAPS комуникацията е шифрована и защитена. |
Конфигуриране на правилата за конектори
Можете да зададете максималния брой изтривания, които могат да възникнат по време на синхронизиране. Изпълнението на синхронизиране не изтрива обекти от вашия локален Active Directory. Всички обекти се изтриват само от облака.
Например задавате 1 като стойност за праг за изтриване. Когато извършвате пълно или постепенно синхронизиране, ако броят потребители, които искате да изтриете, е по-голям от настройката, Directory Connector показва предупреждение. Ако щракнете върху Праг за заместване, можете да започнете пълно или постепенно синхронизиране успешно, но ще видите това известие за заместване следващия път, когато изпълните правилата.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Правила. |
| 2 |
Поставете отметка в полето Разрешаване на изтриване на прагова тригера , ако искате да добавите прагова тригера. Избирането на тази опция ще задейства предупреждение, ако броят изтривания надвиши прага. Когато акаунтът за изтриване надвиши този, който сте дефинирали, синхронизирането е неуспешно.
|
| 3 |
Въведете максималния брой изтривания, който искате. По подразбиране е 20. Препоръчваме да не увеличавате стойността по подразбиране. |
| 4 |
Щракнете върху Приложи. |
Задаване на графика на конектора
Задайте времето за синхронизиране в Active Directory. Превключването при отказ се използва за висока наличност (HA). Ако един конектор не работи, превключваме към друг конектор в режим на готовност след предварително дефинирания интервал.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Планиране. |
| 2 |
Посочете интервала на постепенно синхронизиране в минути. По подразбиране се задава постепенно синхронизиране на всеки 30 минути. Пълното постепенно синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране. |
| 3 |
Променете стойността за Изпращане на отчети за... време , ако искате да промените колко често се изпращат отчети. |
| 4 |
Отметнете Активиране на график за пълно синхронизиране , за да посочите дните и часовете, в които искате да се извърши пълно синхронизиране. |
| 5 |
Задайте интервала за превключване към отказ в минути. |
| 6 |
Щракнете върху Приложи. |
Сценарии за множество домейни
Множеството домейни се основават на приоритета на домейна. За обекти, които имат една и съща стойност на ключа в различни домейни, след синхронизирането данните от домейна с по-висок приоритет се презаписват данните от домейна с по-нисък приоритет.
Обекти, които имат една и съща стойност на ключа, са свързани в един запис в базата данни.
Ключовата стойност за „Потребител“ е Имейл адрес; ключовата стойност за „Група“ е Име на група.
Пример за използване на случай за повече от един домейн
Този пример приема организация с два домейна – example1.com и example2.com, по реда на приоритета.
-
Добавяне на потребител1 (имейл: user@example1.com) към Active Directory на example1.com.
-
Добавяне на група1(Име на група: Тест) към Active Directory на example1.com.
-
Добавяне на потребител2 (имейл: user@example2.com) към Active Directory на example2.com.
-
Добавяне на група2 (Име на група: Тест) към Active Directory на example2.com.
- Синхронизиране в example1.com
-
Като случай на използване потребителят2 и group2 се синхронизират с облака и се показват в https://admin.webex.com, докато потребителят1 и group1 не са.
Ако извършите пълно или постепенно синхронизиране, например1.com, потребител1 и група1 се синхронизират. Също така потребител2 и група2 са презаписани от информацията на потребител1 и група1.
User1 връзки към user2 като същия запис в базата данни; group1 връзки group2 като същия запис в базата данни.
- Синхронизиране на example1.com и example2.com
-
Като случай на използване потребителят2 и group2 се синхронизират с облака и се показват в https://admin.webex.com, докато потребителят1 и group1 не са.
Помислете за тези стъпки:
- Изтрийте потребител1 и група1 в Active Directory, например1.com.
- Извършете пълно или постепенно синхронизиране, например1.com.
Резултат: информацията на потребителя не е променена в https://admin.webex.com. Потребител2 не е свързан с потребител1 и група2 не е свързана с група1.
- Извършете постепенно синхронизиране, например2.com.
Резултат: информацията на потребителя не е променена в https://admin.webex.com.
- Извършете пълна синхронизация, например2.com.
Резултат: Информацията за потребител2 и група2 е показана в https://admin.webex.com.
Синхронизиране на нов Домейн И запазване на съществуващ домейн
Ако искате да синхронизирате нов домейн (B), докато поддържате синхронизираните потребителски данни на друг съществуващ домейн (A), се уверете, че инсталирате Directory Connector за синхронизиране на домейн (B) на поддържан Windows сървър. Конекторът се свързва с новия домейн след първоначалната настройка, а информацията за потребителя в домейна (А) остава незасегната.
Всеки домейн трябва да има собствен активен конектор. Помислете за два домейна със следната настройка: домейн А с конектори (ca1) и (ca2) за локална висока наличност (HA); домейн В с конектор (cb1). (ca1)и (ca2) служат на домейн А. В този сценарий единият конектор е активен, а другият е в режим на готовност (HA). Този дизайн поддържа домейна синхронизиран, защото един конектор е винаги активен. Така че cb1 е активният конектор за домейн В, тъй като домейн А вече има активен конектор (ca1 или ca2).
Задаване на приоритет на домейна
Използвайте тази процедура, за да промените приоритета на вашите домейни в Active Directory. Приоритетът на домейна ви позволява да определите главния домейн, вторичния домейн и т.н. Това помага, когато двама потребители от два различни домейна имат една и съща стойност на имейл, синхронизирани с една организация.
Не използвайте тази процедура, ако имате един домейн, посочен в Directory Connector. Ако опитате, конекторът ви показва съобщение, заявяващо, че приоритетът на домейна не е задължителен.
Преди да започнете
За да избегнете грешки, инсталирайте или надстройте до най-новата версия на Cisco Directory Connector. Трябва да го изтеглите от https://admin.webex.com.
| 1 |
От Cisco Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху Задаване на приоритет на домейна. |
| 3 |
Маркирайте един домейн в списъка, щракнете върху Нагоре или Надолу , за да промените приоритета на този домейн, след което щракнете върху Запиши , за да запишете тази промяна. Домейните са сортирани по приоритет от горе до долу. |
Превключване на домейни
Използвайте тази процедура, за да свържете отново Cisco Directory Connector към друг домейн.
Преди да започнете
-
Уверете се, че не се изпълняват задачи за синхронизиране, преди да превключите домейни.
-
За да избегнете грешки, инсталирайте или надстройте до най-новата версия на Cisco Directory Connector. Трябва да го изтеглите от Control Hub.
| 1 |
От Cisco Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху Превключване на домейн. |
| 3 |
След като прочетете предупреждението, ако разберете въздействието на тази промяна върху разполагането ви и все още сте сигурни, щракнете върху Да. Ако превключите домейн, излезете от текущия Cisco Directory Connector, другите домейни в конектора са нерегистрирани и информацията за конектора на този компютър се изтрива. |
| 4 |
Влезте отново в Cisco Directory Connector и свържете отново домейна. |
Изключване на синхронизирането на указатели
Ако трябва да спрете синхронизирането от Directory Connector, можете временно да го изключите от Control Hub.
| 1 |
От изгледа за клиент в https://admin.webex.com отидете на , превъртете до Синхронизиране на указатели и след това изберете такава:
|
| 2 |
След като прочетете подканата, щракнете върху Изключване. Синхронизирането спира, докато не го активирате отново от Directory Connector. |
Премахване на съпоставянето на потребителски атрибути
Използвайте Directory Connector, за да премахнете съпоставянето за атрибути на Active Directory, нанесени преди това в облака и синхронизирани с Webex. След като премахнете съпоставянето на атрибути, стойностите на атрибутите се премахват от облака и вече не се синхронизират с Webex. След това тези стойности могат да се редактират ръчно.
| 1 |
От Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху . |
| 3 |
Изберете съпоставянето, което да премахнете от списъка Име на атрибути . |
| 4 |
Под Засегнат потребителски обхват изберете едно от следните:
|
| 5 |
Щракнете върху Приложи. |
Управление на профилни снимки
Използвайте Directory Connector, за да актуализирате снимки на потребителския профил или да премахнете празни снимки на потребителския профил.
| 1 |
От Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху . |
| 3 |
Под Действия изберете едно от следните:
|
| 4 |
Щракнете върху Приложи. |
Деинсталиране и деактивиране на Directory Connector
След като деинсталирате екземпляр на Directory Connector, трябва да го дерегистрирате. Премахнете напълно Directory Connector за някой от следните сценарии:
-
Повече не искате да използвате синхронизиране на указатели.
-
Не искате да използвате един от многото конектори за указатели (висока наличност).
-
Искате да промените домейна и да инсталирате друг конектор.
Преди да започнете
-
Може да имате настроени няколко екземпляра на Directory Connector за висока наличност (HA) или за синхронизиране на множество домейни. Деактивирайте синхронизирането, ако деинсталирате единствения или последния оставащ екземпляр на Directory Connector.
-
Запишете и затворете всяка важна работа, преди да деинсталирате Directory Connector.
| 1 |
От вашата машина с Windows отидете в контролния панел и след това щракнете върху Програми и функции. |
| 2 |
От списъка с програми щракнете върху Directory Connector, изберете Деинсталиране и след това следвайте подканите. Може да се наложи да рестартирате системата си, за да завършите деинсталирането. |
| 3 |
От изгледа на клиента в https://admin.webex.com, отидете на , превъртете до Синхронизиране на указатели, щракнете върху още |
| 4 |
След като прочетете подканата, щракнете върху Деактивиране. Освен ако няма друг Directory Connector с разполагане с висока наличност (HA), потребителските акаунти вече не се синхронизират. |
Стартирайте инструмента за диагностика
Можете да използвате вградения инструмент за диагностика, за да отстраните неизправности в разполагането на Directory Connector. Този инструмент се инсталира като част от Directory Connector 3.4 нататък.
Ако синхронизирането не работи правилно, може да имате конфигурационна или мрежова грешка. Този инструмент тества връзката ви с LDAP, така че да можете сами да диагностицирате грешките, преди да се свържете с поддръжката. Ако инструментът върне някоя грешка, можете да изпратите до поддръжката подробните резултати от регистрационния файл.
-
За да изпълните тестове за услугите на домейн на Active Directory:
-
За да изпълните тестове за услугите на Active Directory Lightweight Directory:
-
За да изпълните тестове за lightweight Directory Access Protocol (LDAP):
Отстраняване на проблеми в Ciso Directory Connector
Отстраняване на неизправности и корекции за Directory Connector
Може да срещнете съобщение за грешка или друг проблем в Directory Connector. Също така, след като Directory Connector синхронизира потребителската информация, конекторът може да ви изпрати имейл отчет, който изброява всички проблеми със синхронизирането. Вижте следващите раздели за проблеми, които могат да възникнат, възможни причини и предложени решения, които можете да опитате, преди да се свържете с поддръжката.
Инсталирай
Directory Connector спря да работи
Получихте имейли за предупреждение, които ви уведомяват, че вашият Directory Connector не работи.
-
Възможно е Directory Connector да не е инсталиран правилно.
-
Directory Connector може да не се изпълнява.
-
Възможно е мрежата да не е достъпна.
Опитайте следното:
-
Отворете . Намерете конектора за указатели. Ако не е там, изтеглете най-новата версия от Control Hub и я инсталирайте.
-
Отворете услугата и намерете услугата Cisco DirSync. Уверете се, че показва състоянието като Стартирано. Ако услугата бъде спряна, щракнете с десния бутон и изберете \„Старт\“, за да рестартирате услугата.
-
Уверете се, че сървърът, на който сте инсталирали Directory Connector, има достъп до интернет.
Грешка при преинсталиране
Проблем – Ако незабавно инсталирате нов конектор, след като деинсталирате стар, може да видите съобщение за грешка.
Възможна причина— В Windows Server 2012 клиентът за деинсталиране се нуждае от време, за да изтрие сервизния акаунт от списъка на услугите.
Решение—След известно време опитайте отново да инсталирате.
Влизане
Directory Connector се срива при влизане с еднократна идентификация
проблем
Directory Connector може да се срине, след като въведете имейл адрес от страница за влизане в SSO.
Решение
Опитайте следното:
Изпълнете следните стъпки, за да конфигурирате нови правила за група:
-
Отидете в домейнов контролер и отворете Управление на групови правила (gpedit.msc).
-
Щракнете с десния бутон върху конкретен OU или домейн и изберете Създаване на GPO в този домейн и Свържете го тук…
-
Дайте име на правилата, след което щракнете с десния бутон и изберете Редактиране.
Изпълнете следните стъпки, за да промените правилата на ниво машина:
-
Отидете на , щракнете с десния бутон върху Регистър, изберете Нов и след това Елемент в регистъра.
-
За път на ключа въведете или се придвижете до HKEY_ЛОКАЛНА_МАШИНА\СОФТУЕР\Microsoft\Internet Explorer\Main.
-
Въведете
Деактивиране на отстраняване на грешки за скриптовеза стойност и въведетенеза данни за стойност.Настройките трябва да съвпадат с тази екранна снимка:
Изпълнете следните стъпки, за да промените правилата на ниво потребител:
-
Отидете на , щракнете с десния бутон върху Регистър, изберете Нов и след това Елемент в регистъра.
-
За път на ключа въведете или се придвижете до HKEY_ТЕКУЩ_ПОТРЕБИТЕЛ\СОФТУЕР\Microsoft\Internet Explorer\Main.
-
Въведете
Деактивиране на отстраняване на грешки за скриптовеза стойност и въведетенеза данни за стойност.Настройките трябва да съвпадат с тази екранна снимка:
Промените влизат в сила, след като стартирате gpupdate /force, машината се рестартира (за промени в машината) или потребителят влезе отново (за промени в потребителя).
Конекторът за услуги на Cisco DirSync не може да се регистрира
проблем
Неуспешно влизане и се появява това съобщение: „Cisco DirSync Service Connector не можа да бъде регистриран“.
Решение
Системата на Windows, на която е инсталиран Directory Connector, трябва да е член на Active Directory.
Не се появява страница за влизане
проблем
Отворихте Directory Connector и страницата за влизане не се появи.
Решение
Изпробвайте следните стъпки:
-
В Internet Explorer отидете на https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Опитайте връзката в други браузъри като Chrome и Firefox.
-
Ако Internet Explorer не може да посети връзката, но могат и други браузъри, поставете отметка в настройките на Internet Explorer и поставете отметка в квадратчетата TLS 1.1 и 1.2. (Използвайте процедурата Разрешаване на TLS в Internet Explorer .)
Появява се подкана за влизане
проблем
Появява се подкана, която иска да въведете потребителското име и паролата, за да предадете удостоверяването.
Възможна причина
Directory Connector завършва мълчаливо удостоверяването за защита на NTLM с акаунта за влизане. Ако удостоверяването е неуспешно, се появява диалогов прозорец, за да се поиска потребителско име и парола за удостоверяване.
Решение
Когато видите знака в изскачащ прозорец, трябва да предоставите валиден акаунт с правилно удостоверяване, за да предадете защитата.
Неуспешно свързване с отдалечения сървър
проблем
По време на нормална работа се появява съобщението за грешка: "Не е възможно свързване с отдалечения сървър".
Възможна причина
Може да имате проблеми с прокси сървъра, които трябва да бъдат разрешени.
Решение
Вижте Отстраняване на проблеми с влизането в акаунта за услугата за повече информация за отстраняване на неизправности.
Конекторът не може да се регистрира
проблем
Виждате съобщението за грешка „Не може да се регистрира конекторът. Възникна общо изключение.“
Възможна причина
В повечето случаи проблемът е, че Directory Connector няма привилегия да се свързва с LDAP корневи контекст.
Решение
Опитайте следното:
-
Изпълнете командната подкана (cmd) и след това въведете ldp.exe.
-
Щракнете върху , изберете Обвързване както в момента сте влезли в потребителя, след което щракнете върху OK.
-
Щракнете върху , въведете DC=arbonneintl,DC=ad като BaseDN и след това щракнете върху OK.
-
Ако проблемът продължава, отворете случай с поддръжката.
Синхронизиране
Аватарите не са синхронизирани
проблем
Cisco Directory Connector синхронизира потребителските AD данни с облака на Webex. Но данните за аватара не са синхронизирани успешно.
Възможна причина
Ако сте използвали повторно съществуващ аватар сървър и аватарите на потребителите вече са синхронизирани, тогава локалният кеш ги улавя и избягва повторното изпращане отново, за да се подобри скоростта на предаване.
Решение
Изтрийте локалния кеш, като изпълните следните стъпки:
-
Отидете на C:\Програмни файлове (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Изтрийте DirSyncPluginAvatar.dll-cache.bin.
-
Изпълнете отново синхронизирането на аватара от Cisco Directory Connector.
Конфликтни потребителски имейл акаунти
проблем
Резултатите от синхронизирането може да показват конфликтни потребителски имейл акаунти.
-
Ако потребителите са изпробвали безплатната версия на приложението Webex, техните имейл адреси се намират в безплатната организация на потребителите.
-
Ако потребителските имейли някога са били синхронизирани в друга организация.
-
Ако потребителските имейли съществуват в много домейни, които принадлежат на организацията.
Решение
Опитайте следното:
-
Изпълнете тези стъпки, ако се опитвате да заявите потребители:
-
Уверете се, че сте потвърдили домейна в Control Hub.
-
Временно деактивирайте Cisco Directory Connector.
-
Използвайте опцията „Заявяване на потребител“ в Control Hub, за да заявите всички акаунти, които може да съществуват в безплатната организация на потребителите. Вижте Заявяване на потребители за вашата организация (Конвертиране на потребители) за повече информация.
-
Направете пробно изпълнение в Cisco Directory Connector и след това активирайте отново синхронизирането на указатели
-
-
За последния случай проверете двукратно потребителските данни във вашите източници на Active Directory.
Преобразуван потребител, маркиран като неактивен
проблем
В синхронизираната с указателя среда сте преобразували безплатен потребител (потребителска организация) във вашата корпоративна организация, но преобразуваният потребител не може да влезе в приложението Webex.
Възможна причина
Когато безплатният потребител бъде преобразуван в корпоративната организация, потребителят се маркира като неактивен в продължение на 30 дни като мярка за съответствие на защитата. През този период потребителят не може да влезе в приложението Webex и е маркиран за изтриване в края на 30-дневния период. Тази ситуация възниква, защото безплатната информация за потребителя не се намира в Active Directory.
Решение
Трябва да предприемете действие, ако не искате потребителският акаунт да бъде изтрит. За да разрешите този проблем, създайте потребителски акаунт във вашата локална Active Directory, който съответства на конвертирания безплатен потребителски акаунт. След това изпълнете синхронизация от Cisco Directory Connector. След това потребителят ще може да влезе отново в приложението Webex и акаунтът няма да бъде изтрит.
Постепенното синхронизиране е неуспешно
проблем
Постепенното синхронизиране е неуспешно.
Този проблем може да възникне в Windows Server 2008 R2 при следните условия:
-
Поддържате актуализации на частична стойност.
-
Филтърът, който използвате, препраща към свързан атрибут на стойност.
-
Стойностите на резултатите за този атрибут са актуализирани от последния път, когато е извършено пълно синхронизиране.
Решение
Windows Server 2008 R2 има грешка, която е свързана с този проблем. Грешката е поправена през 2012 г. R2 и по-нови. Препоръчваме да надстроите своя Windows Server поне до 2012 R2.
Невалидна стойност за атрибут
проблем
За [user dn (различно име)] атрибутът [име на атрибут] има следната невалидна стойност [стойност на атрибут].
Възможна причина
За CN=b,OU=Служители,OU=C Потребители,DC=c,DC=com атрибутът [телефонен номер] има следната невалидна стойност: +. Този атрибут трябва да съдържа поне една цифра.
Решение
Атрибут за този потребител няма валидна стойност. Коригирайте стойността му в съответствие с описанието в предупредителното съобщение. След това извършете друга синхронизация.
Съответстващи потребители за изтриване
проблем
Съответстващите потребители са маркирани за изтриване.
Когато извършвате синхронизиране на пробно изпълнение, за да проверите данните между Active Directory и облака, може да видите един и същ имейл адрес и в двете. Потребителят обаче е маркиран като обект за изтриване.
Решение
Изберете подходяща корекция:
-
Ако е приемливо да изтриете потребителя и да извършите отново лицензите след това, можете да използвате Directory Connector за корекцията. Извършете синхронизация, за да изтриете потребителя, и след това извършете друга синхронизация, за да синхронизирате потребителя от локалната AD към облака.
-
Ако не можете да изтриете и пресъздадете потребителския акаунт, отворете случай с поддръжка.
Липсващ атрибут
проблем
Необходимият атрибут [attribute_name] при добавяне на локален запис [user dn (разграничено име)]. Записът не се създава в Control Hub, докато всички задължителни атрибути не имат стойност.
Възможна причина
Липсва задължителният имейл адрес на атрибута. При добавяне на локален запис [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], записът не се създава в Control Hub, докато всички задължителни атрибути не имат стойност.
Решение
Един от необходимите атрибути липсва за потребителя [user_email_address]. Предоставете необходимите стойности за този потребител.
Вложена група няма да се синхронизира
проблем
Потребителите в група за вграден Active Directory не са синхронизирани правилно с облака.
Възможна причина
Използва се филтър, който включва както дъщерната група, така и родителската група, който не се поддържа. Например: (членof=CN=testgroup1,CN=Потребители,DC=rktest2008,DC=org)
Решение
Трябва да преконфигурирате филтъра, който синхронизира групите. Например: |(memberof=CN=testgroup1,CN=Потребители,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Потребители,DC=rktest2008,DC=org)
Конфликт между имена на потребители
проблем
Има конфликт при именуване за [user dn] за съществуващ обект с въвеждане в облака с името: [имейл адрес на потребител] и от тип потребител [user_type].
Възможна причина
Потребител с този имейл адрес вече съществува в Control Hub.
Решение
Създайте потребител във вашия Active Directory със същия имейл адрес като акаунта, който сте регистрирали чрез Control Hub.
Control Hub
Списъкът с потребители липсва в Control Hub
проблем
Ако имате организация на Webex с повече от 1000 синхронизирани потребители, е възможно да не виждате списъка с потребители в Control Hub.
Решение
Можете да използвате функцията за търсене, за да намерите потребителски акаунт. В Control Hub отидете на Потребители, щракнете върху търсене и след това въведете критерии за търсене, за да намерите определен потребител.
Групите няма да се синхронизират с Control Hub
проблем
Потребителите в група за указател няма да се синхронизират правилно с Control Hub.
Възможна причина
Групата не е маркирана като isCriticalSystemObject в Active Directory.
Решение
Уверете се, че атрибутът isCriticalSystemObject е зададен на TRUE в Active Directory.
Разрешаване на отстраняване на неизправности за конектор за указател
Можете да активирате отстраняването на неизправности, за да помогнете за диагностицирането на грешки, които срещнете в Directory Connector. Отстраняването на неизправности ви позволява да заснемете информацията за мрежовия трафик и да я запишете във файл.
Регистрационните файлове, които са: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Регистрационни файлове
| 1 |
Изпълнете файла |
| 2 |
Рестартирайте услугата. Вижте Как да стартирате услуги за насоки. |
| 3 |
В Directory Connector щракнете върху Табло. |
| 4 |
Отидете на Действия и след това щракнете върху . |
| 5 |
Когато отстраняването на неизправности е активирано, повторете действията, които са причинили грешка; това улавя данните за трафика, за да могат да бъдат разгледани. |
| 6 |
Преглед на регистрационните файлове: ако файлът е празен, уверете се, че акаунтът има привилегии за достъп до вашите AD DS или AD LDS. Папката с регистрационни файлове записва файлове само за последните 3 дни. Съдържанието на регистрационните файлове съответства на изхода от регистрационния файл на събитието към системата. |
| 7 |
Ако е необходимо, изпратете регистрационния файл на поддръжката за помощ. |
| 8 |
Деактивирайте функцията за отстраняване на неизправности, когато сте готови. |
Стартиране на визуализатора на събития
За да видите събитията, които са се случили по време на пълно или постепенно синхронизиране, стартирайте визуализатора на събития. Показва обобщение на административните събития и регистрационните файлове за грешки.
| 1 |
От Directory Connector отидете на Табло , след което щракнете върху Действие > Стартиране на визуализатора на събития. Диалоговият прозорец „Свойства на събитието“ показва подробностите за събитието за синхронизиране и подробностите за грешките. |
| 2 |
От Event Viewer отидете на .
|
| 3 |
Под Действия щракнете върху Запиши всички събития като , за да експортирате всички регистрационни файлове като един файл на събития (*.evtx) или друг формат, като xml или csv. |
Какво да направите след това
Ако трябва да отворите случай, свържете се с поддръжката, опишете проблема с конектора и след това прикачете файла Events към вашия случай.
Регистрационните файлове за събития снемат действия от потребители. За помощ при управление на мрежовия трафик активирайте отстраняването на неизправности на конектора.
Разрешаване на TLS в Internet Explorer
Ако сте превключили доставчици на еднократна идентификация (SSO), може да видите следните съобщения за грешка от Cisco Directory Connector:
-
Възникна грешка при влизане в услугата
-
Възникна грешка в скрипта на тази страница
Ако видите тези грешки, трябва да разрешите настройка за TLS в браузъра си.
| 1 |
Отворете Internet Explorer, след което изберете Инструменти. Сега поставете отметка в квадратчетата за TLS/SSL версията, която искате да разрешите. Щракнете върху OK Затвори браузъра и го отворете отново |
| 2 |
Щракнете върху Опции за интернет , отидете на Разширени , превъртете до Защита. |
| 3 |
Поставете отметка в квадратчетата Използване на TLS 1.1 и Използване на TLS 1.2 и след това щракнете върху OK.
|
| 4 |
Рестартирайте системата си, за да влязат в сила промените. |
Отстраняване на неизправности при влизане в акаунта за услуга
Ако не можете да влезете в Cisco Directory Connector или не можете да изпълните синхронизация, използвайте тези стъпки, за да се опитате да разрешите проблема, преди да се свържете с поддръжката.
| 1 |
Опитайте да посетите https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL в уеб браузъра си. |
| 2 |
Изберете един, в зависимост от резултатите:
|
| 3 |
Като минимум се уверете, че конфигурираният акаунт за услугата Cisco DirSync (която може да бъде намерена в услугите на Windows) има ниво на привилегии, което му позволява достъп до данни за аватар и AD данни. По подразбиране услугата използва идентификационните данни за влизане в акаунта за Windows и удостоверяването. |
Проверка на SafeDllSearchMode в регистъра на Windows
Режимът на търсене в библиотеката с безопасни динамични връзки (DLL) е зададен по подразбиране в регистъра на Windows и по-късно поставя текущата директория на потребителя в реда на търсене в DLL. Ако този режим по някакъв начин е деактивиран, атакуващият може да постави злонамерен DLL (наречен същото като препратен DLL файл, който се намира в системната папка) в текущата работеща директория на приложението.
Обикновено SafeDllSearchMode е активиран, но използвайте тази процедура, за да проверите двукратно настройките на системния регистър.
Преди да започнете
Промените в регистъра на Windows трябва да се правят с изключително внимание. Препоръчваме ви да направите резервно копие на своя регистър, преди да използвате тези стъпки.
| 1 |
В търсенето на Windows или прозореца „Изпълнение“ въведете Regedit и след това натиснете Enter. |
| 2 |
Отидете на HKEY_ЛОКАЛНАТА МАШИНА_\Система\CurrentControlSet\Control\Диспечер на сесии. |
| 3 |
Изберете един:
|
За повече информация вижте Поръчка за търсене в библиотеката с динамични връзки.
Общ преглед на Cisco Directory Connector
Общ преглед на конектора за указатели
Directory Connector е локално приложение за синхронизиране на идентичността в облака. Можете да изтеглите софтуера на конектора от Control Hub и да го инсталирате на вашата локална машина.
С Directory Connector можете да поддържате потребителските си акаунти и данни в Active Directory, така че Active Directory се превръща в единствен източник на истина. Когато направите промяна на място, тя се възпроизвежда в облака.
Вижте всички функции, описания и предимства в таблицата:
| Функция | Описание и полза |
|---|---|
| Лесно за използване табло | Таблото предоставя график за синхронизиране, обобщение и състояние на синхронизацията, както и състояние на Directory Connector. Можете да видите таблото по всяко време, когато влезете. |
| Пробно изпълнение преди синхронизиране с облака | Извършете пробно изпълнение на промените в указателя, преди да бъдат внедрени в облака. След това изпълнете отчет, за да видите, че промените, които искате да направите, са това, което очаквате. |
| Пълно и постепенно синхронизиране | Синхронизирайте цялата директория. Или просто синхронизирайте инкременталните промени, за да спестите обработваща мощност и да съкратите времето за синхронизиране. |
|
Синхронизиране на множество домейни (една гора или множество гори) |
Directory Connector поддържа множество домейни или под една гора, или под множество гори (без нужда от AD LDS). За предприятия с множество домейни на Active Directory, можете да инсталирате Directory Connector за всеки домейн, да свържете всеки домейн с вашата организация и след това да синхронизирате всяка потребителска база в Webex. Control Hub отразява състоянието, като показва състоянието на синхронизация за множество Directory Connectors, позволява ви да изключите синхронизирането за определен домейн и деактивирате Directory Connector при разполагане с висока наличност. |
| Планирано синхронизиране | Задайте график за синхронизиране по ден, час и минута. |
| Lightweight Directory Access Protocol (LDAP) филтри | Дефинирайте критерии за търсене в LDAP и осигурете ефективно импортиране. |
| Съпоставяне на атрибути на Active Directory | Съпоставете атрибути на Microsoft Active Directory със съответстващи атрибути в облака на Webex. Можете да съпоставяте атрибути, които са от значение за вашата конфигурация на Active Directory, и също така да дефинирате персонализирани атрибути, които да съпоставяте към облака. Атрибутите от локалните местоположения формират различни данни в облака, като информация за потребителския акаунт, телефонни номера за влизане в Webex Teams, SIP адреси за ресурси на Room и други данни за карта за контакт на потребителите (длъжност, отдел, мениджър и т.н.). |
|
Корпоративен указател за локални ресурси на стаята и потребители на Cisco Webex Calling (PSTN в облака) и корпоративни контакти без лицензиране за Webex |
Ако част от вашата организация използва PSTN в облака на Cisco Webex Calling за услуга за повиквания или имате локални устройства Room, тази функция позволява на потребителите да търсят в указателя за корпоративни контакти от техните телефони Cisco Webex Calling (PSTN в облака) или от ресурсите Room.
|
| Визуализатор на събитие | Използвайте визуализатора на събития, за да определите дали има проблеми със синхронизирането. |
| Инструмент за диагностика и отстраняване на неизправности | Можете да използвате вградения диагностичен инструмент за отстраняване на неизправности при внедряването на Cisco Directory Connector. Ако синхронизирането не работи правилно, може да имате конфигурационна или мрежова грешка. Този инструмент тества връзката ви с Active Directory, така че да можете сами да диагностицирате грешки, преди да се свържете с поддръжката. След като разрешите отстраняването на неизправности в Directory Connector, се записват регистрационни файлове, които могат да бъдат изпратени на техническата поддръжка. |
| Автоматично надстройване | След като инсталирате Directory Connector, получавате известие всеки път, когато е налична нова версия на софтуера. Можете да настроите автоматични надстройки, така че винаги да сте на най-новата версия на софтуера, когато се пуска нова версия. |
| Висока наличност | Конфигурирайте множество конектори, така че да има резервно копие, в случай че главният конектор или хостът на машината го прекъсне. |
Directory Connector е разделен на три области:
-
Control Hub е единственият интерфейс, който ви позволява да управлявате всички аспекти на вашата организация в Webex: преглеждайте потребителите, задайте лицензи, изтеглете Directory Connector и конфигурирайте еднократна идентификация (SSO) , ако искате вашите потребители да се удостоверяват чрез техния доставчик на корпоративна самоличност и не искате да изпращате имейл покани за приложението Webex.
-
Интерфейсът за управление на Directory Connector е софтуерът, който можете да изтеглите от Control Hub и да инсталирате на надежден сървър на Windows. За множество домейни на Active Directory можете да инсталирате един миг от софтуера за всеки домейн, който искате да синхронизирате. Като използвате софтуера, можете да изпълните синхронизация, за да пренесете потребителските си акаунти от Active Directory в Webex, да преглеждате и наблюдавате статуса на синхронизиране и да конфигурирате услугите на Directory Connector.
-
Услугата за синхронизиране на указатели изисква от вашия Active Directory да извлече потребители и групи за синхронизиране с услугата за конектор и Directory Connector.
Вижте тази схема, за да разберете архитектурата на Directory Connector:
Подготовка на средата за конектор за указатели
Изисквания за Directory Connector
Изисквания за Windows и Active Directory
Можете да инсталирате Directory Connector на следните поддържани сървъри на Windows:
-
Сървър на Windows 2022
-
Windows Server 2019
-
Windows Server 2016
За да разрешите проблем с бисквитките, препоръчваме да надстроите своя домейнов контролер до издание, което съдържа корекцията – Windows Server 2012 R2 или 2016.
Directory Connector се поддържа със следните услуги на Active Directory:
-
Active Directory 2016
(Directory Connector се поддържа при използване на най-новата версия на Active Directory на Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Обърнете внимание на следните допълнителни изисквания:
-
Directory Connector изисква TLS1.2. Трябва да инсталирате следното:
-
.NET Framework v3.5 (изисква се за приложението Directory Connector. Ако срещнете някакви проблеми, използвайте указанията в Активиране на .NET рамка 3.5, като използвате съветника за добавяне на роли и функции.)
-
.NET Framework v.4.5 (изисква се за TLS1.2)
-
-
Изисква се Active Directory Forest функционално ниво 2 (Windows Server 2003) или по-високо. (Вижте Какво представляват функционални нива на Active Directory? за повече информация.)
Изисквания към хардуера
Трябва да инсталирате Directory Connector на компютър със следните минимални изисквания към хардуера:
-
8 GB ОПЕРАТИВНА ПАМЕТ
-
50 GB място за съхранение
-
Няма минимум за процесора
Изисквания за мрежата
Ако мрежата се намира зад защитна стена, се уверете, че системата ви има HTTPS (порт 443) достъп до интернет.
Изисквания за организацията на Webex
-
За достъп до софтуера Directory Connector от Control Hub е необходима организация на Webex с пробна версия или платен абонамент.
-
(По избор) Ако искате новите потребителски акаунти на приложението Webex Да бъдат активни преди първото влизане, препоръчваме да направите следното:
-
Добавете, потвърдете и по желание заявете домейни , които съдържат потребителските имейл адреси, които искате да синхронизирате в облака.
-
Направете интегриране с еднократна идентификация (SSO) на вашия доставчик на самоличност (IdP) с вашата организация на Webex.
-
Потиснете автоматичните покани по имейл, така че новите потребители да не получават автоматичната покана по имейл, а вие да можете да направите собствена имейл кампания. (Тази функция изисква интегриране на SSO.)
-
За повече информация вижте Потребителски статуси и действия в Control Hub.
Изисквания за инсталиране
-
За среда с множество домейни (или за една гора, или за множество гори) трябва да инсталирате един Directory Connector за всеки домейн на Active Directory. Ако искате да синхронизирате нов домейн (B), докато поддържате синхронизираните потребителски данни на друг съществуващ домейн (A), се уверете, че имате отделен поддържан Windows сървър, за да инсталирате Directory Connector за синхронизиране на домейни (B).
-
За влизане в конектора не изискваме акаунт на администратор в Active Directory. Изискваме локален потребителски акаунт, който е същият потребител като пълен администраторски акаунт в Control Hub.
Този локален потребител трябва да има привилегии на тази машина с Windows, за да се свърже с контролера на домейни и да чете потребителски обекти в Active Directory. Акаунтът за влизане на машината трябва да е компютърен администратор с привилегии за инсталиране на софтуер на локалната машина. (Тази информация се отнася и за влизане с виртуална машина.)
-
При влизане в конектора акаунтът за влизане трябва да бъде същият като пълния администраторски акаунт за Control Hub. По подразбиране конекторът използва локалния системен акаунт за достъп до Active Directory. Можете обаче да използвате услугите на Windows, за да конфигурирате друг акаунт за достъп до Active Directory. (Тази информация се отнася и за влизане с виртуална машина.)
-
Уверете се, че режимът за търсене в библиотеката с динамични връзки (DLL) на Windows е активиран, като използвате тази процедура: Проверете SafeDllSearchMode в регистъра на Windows.
-
Ако използвате AD LDS за множество домейни на една гора, препоръчваме да инсталирате Directory Connector и Active Directory Domain Service/Lightweight Directory Services (AD DS/AD LDS) на отделни машини.
Няколко изисквания за домейни
Преди да следвате задачите в потока от задачи за разполагане на Cisco Directory Connector, имайте предвид следните изисквания и препоръки, ако ще синхронизирате информация от Active Directory от множество домейни в облака:
-
За всеки домейн се изисква отделен екземпляр на Directory Connector.
-
Софтуерът на Directory Connector трябва да се изпълнява на хост, който е на същия домейн, който ще се синхронизира.
-
Препоръчваме ви да потвърдите или заявите своите домейни в Control Hub. (Вижте Добавяне, потвърждаване и заявяване на домейни.)
-
Ако искате да синхронизирате повече от 50 домейна, трябва да отворите билет , за да преместите организацията си в голям списък на организацията.
-
Ако желаете, можете да синхронизирате информацията за ресурсите на стаята заедно с потребителските акаунти. (Вижте Синхронизиране на информация за локалните стаи с облака на Webex.)
Препоръки за група от Active Directory за автоматично задаване на лицензи
Групите в Active Directory се използват за събиране на потребителски акаунти, компютърни акаунти и други групи в управляеми единици. Работата с групи, а не с отделни потребители, помага за опростяване на поддръжката и администрирането на мрежата.
В Active Directory има два типа групи:
-
Групи за разпространение – използват се за създаване на списъци за разпространение по имейл.
-
Групи за защита – използват се за присвояване на разрешения на споделени ресурси.
Имайте предвид следните указания, когато създавате групи в Active Directory:
-
Създайте глобална група за всяка роля, отдел или услуга (като продажби, маркетинг, мениджъри, счетоводители, лицензиране на Webex и т.н.).
-
Използвайте стандартни конвенции за именуване във вашата организация, за да улесните идентифицирането на важна информация за дадена група. Имената на групи могат да включват подробности за групата, като например нивото на достъп, типа на ресурсите, нивото на защита, обхвата на групата, възможностите за поща и т.н. Например името на групата „GSG_Webex_Licensing_EMEAR“ се отнася за глобална група за защита за потребители на EMEAR за Webex Licensing.
-
Организирайте групи по лесен за разбиране начин, например по географска или управленска йерархия. Използвайте описания на групи, за да опишете напълно целта на групата.
-
Преди да добавите потребители към новоосигурените групи, дефинирайте шаблона за група за автоматично лицензиране в Control Hub за тези групи. Вижте Настройване на вашия шаблон за автоматично задаване на лицензи за повече информация.
Информация за оразмеряване
Directory Connector работи като мост между локалната Active Directory и облака на Webex. Като такъв конекторът няма горно ограничение за това колко обекти от Active Directory могат да бъдат синхронизирани с облака. Всички ограничения в локалните директории обекти са обвързани със специфичната версия и спецификациите за средата на Active Directory, която се синхронизира с облака, а не със самия конектор.
Няколко фактора могат да повлияят на скоростта на синхронизацията:
-
Общият брой обекти в Active Directory. (Задание за синхронизиране на 5000 потребители няма да отнеме толкова време, колкото 50000.)
-
Скорост на мрежата и честотна лента.
-
Работно натоварване на системата и спецификации.
Ако синхронизирате повече от 50 000 потребители, настоятелно препоръчваме да използвате втори конектор за отказ и резервиране.
Тъй като при синхронизирането са включени няколко фактора и тъй като всяко разгръщане варира в зависимост от горните фактори, не можем да предоставим конкретни стойности за време за това колко време ще отнеме синхронизирането на обекта.
Проверка на SafeDllSearchMode в регистъра на Windows
Режимът на търсене в библиотеката с безопасни динамични връзки (DLL) е зададен по подразбиране в регистъра на Windows и по-късно поставя текущата директория на потребителя в реда на търсене в DLL. Ако този режим по някакъв начин е деактивиран, атакуващият може да постави злонамерен DLL (наречен същото като препратен DLL файл, който се намира в системната папка) в текущата работеща директория на приложението.
Обикновено SafeDllSearchMode е активиран, но използвайте тази процедура, за да проверите двукратно настройките на системния регистър.
Преди да започнете
Промените в регистъра на Windows трябва да се правят с изключително внимание. Препоръчваме ви да направите резервно копие на своя регистър, преди да използвате тези стъпки.
| 1 |
В търсенето на Windows или прозореца „Изпълнение“ въведете Regedit и след това натиснете Enter. |
| 2 |
Отидете на HKEY_ЛОКАЛНАТА МАШИНА_\Система\CurrentControlSet\Control\Диспечер на сесии. |
| 3 |
Изберете един:
|
За повече информация вижте Поръчка за търсене в библиотеката с динамични връзки.
Интегриране на уеб прокси сървър
Интегриране на уеб прокси сървър
Ако удостоверяването на уеб прокси е активирано във вашата среда, все още можете да използвате Directory Connector.
Ако вашата организация използва прозрачен уеб прокси, тя не поддържа удостоверяване. Конекторът успешно се свързва и синхронизира потребителите.
Можете да използвате един от следните подходи:
-
Изрично уеб прокси сървър чрез Internet Explorer (конекторът наследява настройките на уеб прокси сървъра)
-
Изрично уеб прокси сървър през .pac файл (конекторът наследява специфичните за предприятието настройки на прокси сървър)
-
Прозрачен прокси сървър, който работи с конектора без никакви промени
Използване на уеб прокси сървър през браузъра
Можете да настроите Directory Connector да използва уеб прокси сървър през Internet Explorer.
Ако услугата Cisco DirSync се изпълнява от акаунт, различен от текущо влезлия потребител, трябва също да влезете с този акаунт и да конфигурирате уеб прокси сървър.
| 1 |
От Internet Explorer отидете на Опции за интернет, щракнете върху Връзки и след това изберете LAN настройки. |
| 2 |
Посочете екземпляра на Windows, където конекторът е инсталиран на вашия уеб прокси сървър. Конекторът наследява тези настройки за уеб прокси сървър. |
| 3 |
Ако средата ви използва удостоверяване чрез прокси сървър, добавете тези URL адреси към списъка с разрешени:
Можете да извършите това или за целия сайт (за всички организатори), или само за организатора, който има конектора. Ако добавите тези URL адреси към списък с разрешени, за да заобиколите напълно вашия уеб прокси сървър, се уверете, че таблицата ACL на защитната стена е актуализирана, за да се позволи на хоста на конектора да има директен достъп до URL адресите. |
| 4 |
Ако средата ви трябва да поиска списъци за анулиране на сертификати от сертифициращите органи, добавете тези URL адреси към списъка с разрешени:
За повече информация вижте тази статия за домейните и URL адресите, които трябва да бъдат достъпни за услугите на Webex. |
Конфигуриране на уеб прокси сървър чрез PAC файл
Можете да конфигурирате браузър на клиент да използва .pac файл. Този файл предоставя адреса на уеб прокси сървъра и информация за порт. Directory Connector директно наследява специфичната за предприятието конфигурация на уеб прокси сървъра.
| 1 |
За да може конекторът успешно да свърже и синхронизира потребителската информация с облака на Webex, се уверете, че удостоверяването с прокси сървър е деактивирано за |
| 2 |
Ако средата ви използва удостоверяване чрез прокси сървър, добавете тези URL адреси към списъка с разрешени:
Можете да извършите това или за целия сайт (за всички организатори), или само за организатора, който има конектора. Ако добавите тези URL адреси към списък с разрешени, за да заобиколите напълно вашия уеб прокси сървър, се уверете, че таблицата ACL на защитната стена е актуализирана, за да се позволи на хоста на конектора да има директен достъп до URL адресите. |
| 3 |
Ако средата ви трябва да поиска списъци за анулиране на сертификати от сертифициращите органи, добавете тези URL адреси към списъка с разрешени:
За повече информация вижте тази статия за домейните и URL адресите, които трябва да бъдат достъпни за услугите на Webex. |
NTLM прокси сървър
Directory Connector поддържа NT LAN диспечер (NTLM). NTLM е един подход за поддържане на удостоверяване на Windows сред устройствата на домейна и гарантиране на тяхната сигурност.
NTLM дизайн
В повечето случаи потребителят иска достъп до други ресурси на работна станция чрез клиентски компютър, което може да е трудно да се направи по сигурен начин.
Като цяло техническият дизайн на NTLM се основава на механизъм за предизвикателство
и отговор
:
-
Потребителят влиза в клиентския компютър чрез акаунт и парола за Windows. Паролата никога не се записва локално. Вместо обикновена текстова парола, хеш стойността на паролата се съхранява локално. Когато потребителят влезе чрез паролата към клиента, операционната система Windows сравнява съхранената стойност на хеширане и стойността на хеширането от входната парола. Ако и двете са еднакви, удостоверяването преминава.
Когато потребителят иска достъп до някой ресурс на друг сървър, клиентът изпраща заявка към сървъра с името на акаунта в обикновен текст.
-
Когато сървърът получи заявката, сървърът генерира 16-битов случаен ключ. Ключът се нарича предизвикателство (или nonce). Преди сървърът да се върне към клиента, предизвикателството се съхранява в сървъра. И след това сървърът изпраща предизвикателството до клиента в обикновен текст.
-
Веднага след като клиентът получи предизвикателството, изпратено от сървъра, клиентът шифрова предизвикателството с хеш стойността, която е спомената в стъпка 1. След шифроване стойността се изпраща обратно към сървъра.
-
Когато сървърът получи шифрованата стойност от клиента, сървърът я изпраща на контролера на домейна за потвърждение. Искането включва: името на акаунта, шифрованото предизвикателство, което клиентът е изпратил, и първоначалното недвусмислено предизвикателство.
-
Контролерът на домейна може да извлече хешираните стойности на паролата според името на акаунта. И тогава домейнов контролер може да шифрира първоначалното предизвикателство. След това контролерът на домейна може да сравни с получената стойност на хеш и шифрованата стойност на хеш. Ако те са еднакви, проверката е успешна.
Windows има вградено удостоверяване на защитата в операционната система, което улеснява приложенията да поддържат удостоверяване на защитата. В резултат на това не е необходимо да извършвате допълнително конфигуриране.
Конфигуриране на прозрачно прокси
В този сценарий браузърът не знае, че прозрачен уеб прокси сървър прихваща http заявки (порт 80/порт 443) и не се изисква конфигуриране от страна на клиента.
| 1 |
Разположете прозрачен прокси сървър, така че конекторът да може да свързва и синхронизира потребители. |
| 2 |
Потвърдете, че прокси сървърът е успешен – ще видите очакван изскачащ прозорец за удостоверяване на браузъра при стартиране на конектора. |
Задаване на удостоверяване в прокси сървър
Добавете URL адреса cloudconnector.webex.com към своя списък с разрешени, като създадете списък за контрол на достъпа.
На вашия корпоративен сървър на защитна стена:
| 1 |
Активирайте търсенето на DNS, ако вече не е активирано. |
| 2 |
Определете приблизителна скорост на предаване за тази връзка (приблизително 2 mb/s или по-малко за конектора). Това може да не е необходимо. |
| 3 |
Създайте списък за управление на достъпа, който да приложите към хоста на конектора, и посочете Например: access-list 2000 acl-inside extended permit TCP [IP на конектора] cloudconnector.webex.com eq https |
| 4 |
Приложете този ACL към подходящия интерфейс на защитната стена, който е приложим само за този хост с един конектор. |
| 5 |
Уверете се, че от останалите организатори във вашето предприятие все още се изисква да използват вашия уеб прокси сървър, като конфигурират съответната декларация за отказ. |
Разполагане на конектор за указател
Поток на задачи за разполагане на Cisco Directory Connector
Преди да започнете
| 1 |
Инсталиране на конектор за указател Control Hub първоначално показва синхронизирането на указатели като деактивирано. За да включите синхронизирането на указатели за вашата организация, трябва да инсталирате и конфигурирате Directory Connector и след това да извършите успешно пълно синхронизиране. За ново инсталиране на Directory Connector винаги отидете в Control Hub ( https://admin.webex.com), за да получите най-новата версия на софтуера, така че да използвате най-новите функции и корекции на грешки. След като инсталирате софтуера, надстройките се отчитат чрез софтуера и се инсталират автоматично, когато са налични. |
| 2 |
Влезте с идентификационните си данни на администратор на Webex и изпълнете първоначалната настройка. |
| 3 |
Задаване на автоматични надстройки Винаги е важно да поддържате софтуера си Directory Connector актуален до най-новата версия. Препоръчваме ви да използвате тази процедура, за да позволите автоматичните надстройки на софтуера да се инсталират мълчаливо, когато са налични. |
| 4 |
Избор на обекти в Active Directory за синхронизиране По подразбиране Directory Connector синхронизира всички потребители, които не са компютри, и всички групи, които не са критични системни обекти за даден домейн. За повече контрол върху това кои обекти се синхронизират, можете да изберете конкретни потребители, за да синхронизирате и посочите LDAP филтрите, като използвате страницата за избор на обект в Directory Connector. |
| 5 |
Съпоставяне на потребителски атрибути Можете да съпоставяте атрибути от вашата локална Active Directory със съответни атрибути в облака. Единственото задължително поле е *uid. |
| 6 |
Синхронизирайте аватарите на указатели, като използвате една от следните процедури:
Можете да синхронизирате аватарите на вашите потребители с облака, така че да се показва аватара на всеки потребител, когато той влезе в приложението. Можете да синхронизирате аватарите от атрибут на Active Directory или ресурсен сървър. |
| 7 |
Синхронизиране на информацията за локалните стаи с облака на Webex Използвайте тази процедура, за да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака устройства за стая, като устройство Webex Room или Cisco Webex Board |
| 8 |
За да осигурите Потребители От Active Directory В Control Hub, изпълнете следните стъпки:
Следвайте тази последователност, за да осигурите потребители на Active Directory за акаунтите за приложението Webex. Можете да осигурите потребители от множество горски или множество домейни, разполагане на Active Directory за Directory Connector 3.0 и по-нови версии. По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. Целта е да имате точно съвпадение между вашите Active Directories и облака на Webex. |
Инсталиране на конектор за указател
Control Hub първоначално показва синхронизирането на указатели като деактивирано. За да включите синхронизирането на указатели за вашата организация, трябва да инсталирате и конфигурирате Directory Connector и след това да извършите успешно пълно синхронизиране.
Трябва да инсталирате един конектор за всеки домейн на Active Directory, който искате да синхронизирате. Един екземпляр на Directory Connector може да обслужва само един домейн. Вижте следната схема, за да разберете потока за синхронизиране на множество домейни:
Преди да започнете
Ако се удостоверявате чрез прокси сървър, се уверете, че имате своите идентификационни данни за прокси сървър:
-
За базово удостоверяване в прокси сървър ще въведете потребителското име и паролата, след като инсталирате екземпляр на конектора. Конфигурацията на прокси сървъра на Internet Explorer се изисква също и за базово удостоверяване; вижте Използване на уеб прокси сървър през браузъра
-
За прокси NTLM може да видите грешка, когато отворите конектора за първи път. Вижте Използване на уеб прокси сървър през браузъра.
| 1 |
В Control Hub отидете на и изберете Напред. |
| 2 |
Щракнете върху връзката Изтегляне и инсталиране, за да запишете най-новата версия на .zip файла за инсталиране на конектор на вашия VMware или сървър на Windows. Можете да получите .zip файла директно от тази връзка, но трябва да имате пълен администраторски достъп до организация на Control Hub, за да работи този софтуер. За нова инсталация получете най-новата версия на софтуера, така че да използвате най-новите функции и корекции на грешки. След като инсталирате софтуера, надстройките се отчитат чрез софтуера и се инсталират автоматично, когато са налични. |
| 3 |
На сървъра на VMware или Windows разархивирайте и изпълнете .msi файла в папката за настройка, за да стартирате съветника за настройка. |
| 4 |
Щракнете върху Напред, поставете отметка в квадратчето, за да приемете лицензионното споразумение и след това щракнете върху Напред, докато видите екрана за тип на акаунта. |
| 5 |
Изберете типа акаунт за услуга, който искате да използвате, и изпълнете инсталирането с акаунт на администратор:
За да избегнете грешки, се уверете, че са въведени следните привилегии:
|
| 6 |
Щракнете върху Инсталиране. След като тестът на мрежата се изпълни и ако бъдете подканени, въведете основните идентификационни данни за прокси сървъра, щракнете върху OK и след това щракнете върху Край. |
Какво да направите след това
Препоръчваме да рестартирате сървъра след инсталирането. Отчетът за пробно изпълнение не може да покаже правилния резултат, когато данните не са били освободени. При рестартиране на машината всички данни се опресняват, за да се покаже точен резултат в отчета.
Влизане В Directory Connector
Преди да започнете
Уверете се, че имате идентификационните си данни за прокси сървъра.
-
За основно удостоверяване на прокси сървъра ще въведете потребителското име и паролата, след като отворите конектора за първи път.
-
За NTLM на прокси сървър отворете Internet Explorer, щракнете върху иконата на зъбно колело, отидете на Опции за интернет > Връзки > Настройки на LAN, осигурете добавена информация за прокси сървъра, след което щракнете върху OK. Вижте Използване на уеб прокси сървър през браузъра.
| 1 |
Отворете конектора и след това добавете |
| 2 |
Ако получите подкана, влезте с идентификационните си данни за удостоверяване на прокси сървъра и след това влезте в Webex с помощта на администраторския си акаунт и щракнете върху Напред. |
| 3 |
Потвърдете вашата организация и домейн.
|
| 4 |
След като се появи екранът Потвърждаване на организацията, щракнете върху Потвърждаване. Ако вече сте свързали AD DS/AD LDS, се появява екранът Потвърждаване на организацията. |
| 5 |
Щракнете върху Потвърждаване. |
| 6 |
Изберете един, в зависимост от броя домейни на Active Directory, които искате да свържете с Directory Connector:
|
Какво да направите след това
След като влезете, ще бъдете подканени да извършите пробно изпълнение на синхронизиране.
Табло за конектори за указатели
Когато за първи път влезете в Directory Connector, се появява таблото. Тук можете да видите обобщение на всички дейности по синхронизиране, да видите статистика за облака, да извършите пробно изпълнение на синхронизиране, да започнете пълно или постепенно синхронизиране и да стартирате изгледа на събитието, за да видите информация за грешките.
Можете лесно да изпълнявате тези задачи от лентата с инструменти за действия или менюто „Действия“.
|
Компонент |
Описание |
|---|---|
|
Текущо синхронизиране |
Показва информация за статуса относно протичащата в момента синхронизация. Когато не се изпълнява синхронизиране, дисплеят за статус е свободен. |
|
Следващо синхронизиране |
Показва следващото планирано пълно и постепенно синхронизиране. Ако не е зададен график, се показва Непланирани. |
|
Последно синхронизиране |
Показва статуса на последните две извършени синхронизации. |
|
Статус на текущата синхронизация |
Показва общия статус на синхронизирането. |
|
Конектори |
Показва текущите локални конектори, които са достъпни за облака. |
|
Статистика за облака |
Показва общия статус на синхронизирането. |
|
График за синхронизиране |
Показва графика на синхронизиране за постепенно и пълно синхронизиране. |
|
Резюме на конфигурацията |
Изброява настройките, които сте променили в конфигурацията. Например обобщението може да включва следното:
|
| Действие | Описание |
|---|---|
| Започване на постепенно синхронизиране |
Ръчно стартиране на поетапно синхронизиране Това действие се деактивира, когато поставите на пауза или деактивирате синхронизирането, ако не е завършено пълно синхронизиране или ако е в ход синхронизиране. |
|
Пробно изпълнение на синхронизиране |
Извършете синхронизиране на пробно изпълнение. |
|
Стартиране на визуализатора на събития |
Стартирайте Microsoft Event Viewer. |
|
Обнови |
Обновяване на таблото на Cisco Directory Connector |
|
Действие |
Описание |
|---|---|
| Синхронизирай сега |
Незабавно започнете пълна синхронизация. |
|
Режим на синхронизиране |
Изберете режим на постепенно синхронизиране или режим на пълно синхронизиране. |
|
Нулиране на тайната на конектора |
Установете разговор между Cisco Directory Connector и услугата конектор. Ако изберете това действие, ще бъде нулирана тайната в облака и след това ще я бъде записана локално. |
|
Пробно изпълнение |
Изпълнете тест на процеса на синхронизиране. Трябва да изпълните пробно изпълнение, преди да извършите пълно синхронизиране. |
|
Отстраняване на неизправности |
Включване/изключване на отстраняването на неизправности. |
|
Обнови |
Опреснете главния екран на Cisco Directory Connector. |
|
Изход |
Изход от Cisco Directory Connector. |
|
Клавишна комбинация |
Действие |
|---|---|
|
Alt+A |
Показване на менюто Действия |
|
|
Синхронизиране сега |
|
|
Нулиране на тайната на конектора |
|
|
Пробно изпълнение |
|
|
Постепенно синхронизиране |
|
|
Пълно синхронизиране |
|
|
Показване на менюто Помощ |
|
|
Помощ |
|
|
За програмата |
|
|
чзв |
Задаване на автоматични надстройки
| 1 |
От Directory Connector отидете на , и след това проверете Автоматично надстройване до новата версия на Cisco Directory Connector. |
| 2 |
Щракнете върху Прилагане, за да запишете промените си. |
Новите версии на конектора се инсталират автоматично, когато са налични.
Можете да управлявате надстройките ръчно, ако предпочитате. Вижте Надстройване до най-новото издание на софтуера за повече информация.
Избор на обекти в Active Directory за синхронизиране
По подразбиране Directory Connector синхронизира всички потребители, които не са компютри, и всички групи, които не са критични системни обекти за даден домейн. За повече контрол върху това кои обекти се синхронизират, можете да изберете конкретни потребители, за да синхронизирате и посочите LDAP филтрите, като използвате страницата за избор на обект в Directory Connector.
Групи за автоматично задаване на лицензи
Control Hub ви позволява да управлявате задаванията на лицензи за всяка група. Можете да създадете шаблони за лицензи и да ги нанесете към групи на Active Directory, които синхронизирате с облака. В момента на създаването на потребител Webex проверява членството на потребителя и съпоставянето на шаблони за автоматично разпределение на лицензи за този нов потребител.
Препоръчваме ви да използвате LDAP филтър само за синхронизиране на съответните групи с облака. Например можете да зададете филтъра на:
(&(cn=Пример)(objectclass=Група))*
Този филтър синхронизира всички групи в базовия DN, където името започва с „Пример“. На потребителите, които не са зададени на групи, се задават лицензи от шаблона за автоматични лицензи по подразбиране, който сте конфигурирали в Control Hub.
Групи за разполагания на хибридна защита на данни
В Directory Connector трябва да проверите Групи, ако използвате хибридна защита на данни, за да конфигурирате пробна група за пилотни потребители. Вижте Ръководство за разполагане на хибридна защита на данни за насоки. Тази настройка на Directory Connector не засяга синхронизирането на други потребители в облака.
Преди да започнете
Препоръки за група от Active Directory за автоматично задаване на лицензи
| 1 |
От Directory Connector отидете на Конфигурация , след което щракнете върху Избор на обект. |
| 2 |
В раздела Тип обект отметнете Потребители и помислете за ограничаване на броя на контейнерите, които могат да се търсят, за потребителите. Ако искате да синхронизирате само потребителите в определена група, например трябва да въведете LDAP филтър в полето Филтри за LDAP потребители. Ако искате да синхронизирате потребители, които са в групата на примерния мениджър, използвайте филтър като този:
|
| 3 |
Отметнете Идентифициране на стаята, за да отделите данните за стаята от данните за потребителите. Щракнете върху Персонализиране, ако искате да настроите допълнителни атрибути за идентифициране на потребителски данни като данни за стаи. Използвайте тази настройка, ако искате да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака устройства за стая. За повече информация вижте Синхронизиране на информацията за локалните стаи с облака на Webex. |
| 4 |
Отметнете Групи, ако искате да синхронизирате потребителските си групи от Active Directory към облака. Не добавяйте LDAP филтър за синхронизиране на потребители към полето „Групи“. Трябва да използвате полето „Групи“ само, за да синхронизирате самите данни на групата с облака. По подразбиране групите не се синхронизират за нови клиенти. Трябва да активирате синхронизирането на групи. Трябва също така да синхронизирате групите за защита. |
| 5 |
Отметнете Контакти, ако искате да синхронизирате информацията за контакт на потребителите с облака. Directory Connector управлява само контактите, синхронизирани от конектора. Ако вече има контакти в Control Hub, синхронизирането не ги изтрива. Ако контактите бъдат премахнати от обхвата на синхронизацията, информацията за контакт на потребителите също ще бъде премахната в Control Hub. |
| 6 |
Конфигурирайте LDAP филтрите. Можете да добавите разширени филтри, като предоставите валиден LDAP филтър. Вижте тази статия за повече информация относно конфигурирането на LDAP филтри. |
| 7 |
Задайте DN на локалната база за синхронизиране, като щракнете върху Избор, за да видите дървената структура на вашия Active Directory. От тук можете да изберете или премахнете избора кои контейнери да търсите. |
| 8 |
Проверете дали обектите, които искате да добавите за тази конфигурация, и щракнете върху Избор. Можете да изберете отделни или родителски контейнери, които да използвате за синхронизиране. Изберете родителски контейнер, за да активирате всички детски контейнери. Ако изберете контейнер за деца, главният контейнер показва сива отметка, която показва, че детето е било отметнато. След това можете да щракнете върху Избор, за да приемете контейнерите в Active Directory, които сте проверили. Ако вашата организация поставя всички потребители и групи в контейнера за потребители, не е необходимо да търсите други контейнери. Ако вашата организация е разделена на организационни единици, се уверете, че сте избрали OUs. |
| 9 |
Щракнете върху Прилагане. Изберете опция:
За информация за пробните изпълнения вижте Извършване на синхронизиране на пробно изпълнение на вашите потребители в Active Directory. За синхронизиране на група трябва да извършите пълно синхронизиране: Извършване на пълно синхронизиране на потребителите на Active Directory в облака. |
Съпоставяне на потребителски атрибути
Можете да съпоставяте атрибути от вашата локална Active Directory със съответни атрибути в облака. Единственото задължително поле е *uid, уникален идентификатор за всеки потребителски акаунт в услугата за самоличност в облака.
Можете да изберете кой атрибут на Active Directory да съпоставите с облака – например можете да съпоставите firstName lastName в Active Directory или потребителски израз на атрибут, за да displayName в облака.
Акаунтите в Active Directory трябва да имат имейл адрес; по подразбиране uid се съпоставя с полето за реклама на поща (не sAMAccountName).
Ако изберете предпочитаният език да идва от вашата Active Directory, тогава Active Directory е единственият източник на истина: потребителите няма да могат да променят настройката си за език в настройките на Webex, а администраторите няма да могат да променят настройката в Control Hub.
| 1 |
От Directory Connector щракнете върху Конфигурация и след това изберете Съпоставяне на потребителски атрибути. Тази страница показва имената на атрибутите за Active Directory (отляво) и облака на Webex (отдясно). Всички задължителни атрибути са маркирани с червена звезда. |
| 2 |
Превъртете надолу до долната част на Имена на атрибути на Active Directory и след това изберете един от тези атрибути на Active Directory, за да съпоставите с атрибута uid в облака:
Можете да съпоставите всеки от другите атрибути на Active Directory към uid, но ви препоръчваме да използвате mail или userPrincipalName, както е описано в указанията по-горе. В някои случаи потребителятPrincipalName се използва за влизане, но имейл адресът на потребителя се използва за управление на календара му. Трябва да гарантирате, че имейл адресът за управление на календара се съпоставя с полето за основен имейл адрес в Webex. Добавете потребителскотоPrincipalName като алтернативен имейл адрес. За да видите с кои атрибути в Active Directory съответстват в облака, вижте Съпоставяне на атрибути в Active Directory в Directory Connector. За да работи синхронизирането, трябва да се уверите, че атрибутът Active Directory, който изберете, е във формат на имейл. Directory Connector показва изскачащ прозорец, за да ви напомни, ако не изберете някой от препоръчителните атрибути. |
| 3 |
Ако предварително дефинираните атрибути на Active Directory не работят за разполагането ви, щракнете върху падащия атрибут, превъртете до дъното и след това изберете Персонализиране на атрибут, за да отворите прозорец, който ви позволява да дефинирате израз на атрибут. Щракнете върху Помощ, за да получите повече информация за изразите и да видите примери за това как работят изразите. Можете също да видите Изрази за персонализирани атрибути за повече информация. В този пример нека съпоставим атрибутите на Active Directory
Directory Connector проверява стойността на атрибута на uid в услугата за самоличност и извлича 3 налични потребители в текущите опции за филтриране на потребители. Ако всички тези 3 потребители имат валиден имейл формат, Cisco Directory Connector показва следното съобщение:
Ако атрибутът не може да бъде потвърден, ще видите следното предупреждение и можете да се върнете в Active Directory, за да проверите и коригирате потребителските данни:
|
| 4 |
(По избор) Изберете съпоставяния за мобилен и телефоненНомер, ако искате мобилните и работните номера да се показват например в картата за контакт на потребителя в приложението Webex. Данните за телефонните номера се появяват в приложението Webex, когато потребителят премине с мишката върху профилната снимка на друг потребител. За повече информация относно повикванията от карта за контакт на потребителя вижте Повиквания в Webex (Unified CM) Ръководство за разполагане (администратори). |
| 5 |
Изберете допълнителни съпоставяния, за да се показват повече данни в картата за контакт:
След като атрибутите са съпоставени, информацията се появява, когато потребителят премине с мишката над профилната снимка на друг потребител:
За повече информация относно картата за контакт вижте Проверете с кого се свързвате. След като тези атрибути бъдат синхронизирани с всеки потребителски акаунт, можете също да включите „Информация за участниците“ в Control Hub. Тази функция позволява на потребителите на приложението Webex да споделят повече информация в своите профили и да научат повече за себе си. За повече информация относно функцията и как да я активирате, вижте Профили за информация за участниците за Webex, Jabber, Webex Meetings и Webex Events (нов) в Control Hub |
| 6 |
След като направите избора си, щракнете върху Прилагане. |
Всички потребителски данни, които се съдържат в Active Directory, презаписват данните в облака, които съответстват на този потребител. Например, ако сте създали потребител ръчно в Control Hub, имейл адресът на потребителя трябва да бъде идентичен с имейла в Active Directory. Всеки потребител без съответстващ имейл адрес в Active Directory се изтрива.
Изтритите потребители се съхраняват в услугата за самоличност в облака за 7 дни, преди да бъдат окончателно изтрити.
Атрибути на Active Directory и облака
Можете да съпоставяте атрибути от вашата локална Active Directory със съответните атрибути в облака, като използвате раздела Съпоставяне на потребителски атрибути.
Тази таблица сравнява съпоставянето между имената на атрибути на Active Directory и имената на атрибути на Cisco в облака. Тези стойности и съпоставяния са настройката по подразбиране в Directory Connector. Можете да изберете различни атрибути в падащия списък на Active Directory и да определите кой локален атрибут се синхронизира с кой атрибут в облака.
Мислете за падащите атрибути като предварителни настройки. Като алтернатива на стойностите в реда на Active Directory, можете също да зададете персонализиран атрибут, ваша предварителна настройка, в Active Directory (израз с множество атрибути), за да се съпостави с един атрибут в облака в съответния ред. По този начин имате гъвкавостта да определите показваните имена на вашите потребители – например можете да добавите израз, който създава персонализиран атрибут въз основа на името на служителя, дадено име и фамилното име в Active Directory.
Можете също да зададете всеки от атрибутите на Active Directory, който да съпоставите с uid в облака. Трябва обаче да се уверите, че локалният атрибут следва валиден формат на имейл.
Можете да използвате и алтернативни имейл адреси, ако например искате да използвате userPrincipalName за влизане, но имейл адресът на потребителя се използва за управление на неговия календар. В този случай съпоставете друг имейл адрес с атрибута имейлите;тип-работа. Това е имейлът, който се използва за удостоверяване; той не се използва за управление на вашия календар. Имейл адресът, който съпоставяте от AD, трябва да е от потвърден домейн във вашата организация и да е уникален и да не е зададен на друг потребител.
|
Имена на атрибути в Active Directory |
Имена на атрибути в облака на Webex |
Бележки |
|---|---|---|
|
— |
сградаName |
— |
|
в |
в |
Този атрибут указва съкращението на страната на потребителя. |
|
отделНомер |
отделНомер |
Този атрибут се използва за номера на отдел на потребителя, който се появява в картата за контакт и Информация за участниците. |
|
показвано име |
показвано име |
Този атрибут се използва за показвано име на потребителския акаунт, което се появява в контролния център, картата за контакт и информация за участниците. |
|
управление на потребителския акаунт |
ds-pwp-акаунт деактивиран |
Този атрибут се използва за синхронизиране на потребители. Уверете се, че атрибутът userAccountControl е съпоставен с ds-pwp-account-disabled, или потребителите няма да бъдат синхронизирани правилно. |
|
служителНомер |
служителНомер |
— |
|
факсимилеТелефонНомер |
факсимилеТелефонНомер |
— |
|
— |
jabberID |
Този атрибут в облака е свързан с адресите за незабавни съобщения (тип XMPP), които се използват от Jabber. Тази стойност не е същата като sipAddresses. |
|
л |
л |
Този атрибут указва града на потребителя. |
|
— |
езикова променлива |
— |
|
мениджър |
мениджър |
Този атрибут се използва за името на мениджъра на потребителя, което се появява в картата за контакт и Информация за участниците. |
|
мобилен |
мобилен |
Този атрибут се използва като мобилен номер, който се появява за повикване на потребителя от картата за контакт. |
|
или |
или |
Този атрибут указва името на компанията или организацията и се появява в картата за контакт. |
|
или |
или |
Този атрибут указва името на организационната единица. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Този атрибут указва местоположението на офиса на потребителя. |
|
пощенски код |
пощенски код |
Този атрибут указва пощенския или zip кода на потребителя за физическа доставка на поща. |
|
предпочитанLanguage |
предпочитанLanguage |
Този атрибут задава предпочитания език за потребителя и се поддържат следните формати: xx_YY или xx-YY. Ето няколко примера: en_US, EN_GB, fr-CA. Ако използвате неподдържан език или невалиден формат, предпочитаният език на потребителите ще се промени на езика, зададен за организацията. |
|
MSRTCSIP – ОсновенUserAddress ipPhone |
SipAddresses; type=предприятие |
Този атрибут се използва за синхронизиране на информацията за локалната стая от Active Directory в облака на Cisco Webex. |
|
шшшт |
шшшт |
Този атрибут се използва за фамилното име на потребителския акаунт, което се появява в контролния център, картата за контакт и информация за участниците. |
|
-ви |
-ви |
Този атрибут указва щата или провинцията на потребителя. |
|
улицаAddress |
улица |
Този атрибут указва уличния адрес на потребителя за физическа доставка на поща. |
|
телефонНомер |
телефонНомер |
Този атрибут указва основния (служебен) телефонен номер на потребителя, който се използва за повикване на потребителя от картата за контакт. |
|
— |
часова зона |
Този атрибут за облака указва часовата зона на потребителя. |
|
заглавие |
заглавие |
Този атрибут указва заглавието на потребителя, което се появява в картата за контакт и информация за участниците. |
|
тип |
предприятие |
— |
|
*поща *потребителPrincipalName |
uid |
Задължително съпоставяне на атрибути. За всеки потребителски акаунт стойността на Active Directory се съпоставя с уникален uid в облака. В някои случаи потребителятPrincipalName се използва за влизане, но имейл адресът на потребителя се използва за управление на календара му. Трябва да гарантирате, че имейл адресът за управление на календара се съпоставя с полето за основен имейл адрес в Webex. Добавете потребителскотоPrincipalName като алтернативен имейл адрес. След това потребителят може да използва всеки от тези имейл адреси, за да влезе, стига да е налице правилното съпоставяне на SAML атрибути. Вижте съпоставяне на примерен атрибут по-долу за това как бихте могли да съпоставите алтернативен имейл адрес. |
|
*потребителPrincipalName *поща <персонализиран атрибут> |
имейли;тип работа |
Това съпоставяне е по желание, използвайте го, ако искате да използвате алтернативни имейл адреси. Това е имейлът, който се използва за удостоверяване; той не се използва за управление на вашия календар. Имейл адресът, който съпоставяте от AD, трябва да е от потвърден домейн във вашата организация и да е уникален и да не е зададен на друг потребител. |
|
<Нов атрибут за Azure user objectId> |
външенId |
Създайте нов атрибут на Active Directory, за да задържите Azure user objectId, така че да не влиза в конфликт със съществуващ. След това този атрибут се съпоставя с атрибута externalId, като се гарантира, че когато потребителите на Webex създават групи в Microsoft 365, те автоматично създават екипи в Webex. |
Алтернативно съпоставяне на имейл адреси
Изрази за персонализирани атрибути
|
Оператор |
Описание и пример |
|---|---|
|
% |
Премахва всички знаци от началото на низа до позицията на знака или низа аргумент, ако съвпада.
|
|
- |
Стриймва гърба на входния низ от края на посочения низ.
|
|
+ |
Наставя входни низове или изрази.
|
|
| |
Оценява разделените изрази спрямо празния низ и избира първия непразен резултат.
|
Синхронизиране на аватарите на указатели от атрибут на Active Directory към облака
Можете да синхронизирате аватарите на указателя на вашите потребители с облака, така че всеки аватар да се показва, когато те влязат в приложението Webex. Използвайте тази процедура, за да синхронизирате необработени данни за аватар от атрибут на Active Directory.
| 1 |
От Directory Connector отидете на Конфигурация, щракнете върху Аватар и след това отметнете Активиране. |
| 2 |
За Получаване на аватар от изберете атрибут AD и след това изберете атрибута Аватар, който съдържа необработените данни за аватар, които искате да синхронизирате с облака. |
| 3 |
За да проверите дали аватара е достъпен правилно, въведете имейл адреса на потребителя и след това щракнете върху Получаване на аватара на потребителя. Аватарът се появява вдясно. |
| 4 |
След като потвърдите, че аватарът се е появил правилно, щракнете върху Прилагане, за да запишете промените си. |
-
Синхронизираните изображения стават аватар по подразбиране за потребителите в приложението Webex. На потребителите не е позволено да задават собствен аватар, след като тази функция е активирана от Directory Connector.
-
Аватарите на потребителите се синхронизират както с приложението Webex, така и с всички съвпадащи акаунти на сайта на Webex.
Какво да направите след това
Изпълнете пробно синхронизиране; ако няма проблеми, направете пълно синхронизиране, за да получите вашите потребителски акаунти и аватари в Active Directory за синхронизиране в облака и да се появят в Control Hub.
Синхронизиране на аватарите на указатели от ресурсен сървър към облака
Можете да синхронизирате аватарите на указателя на вашите потребители с облака, така че всеки аватар да се показва, когато те влязат в приложението Webex. Използвайте тази процедура за синхронизиране на аватари от ресурсен сървър.
Преди да започнете
-
Моделът на URI и стойността на променливата в тази процедура са примери. Трябва да използвате действителните URL адреси, където се намират аватарите на вашия указател.
-
Моделът на URI на аватара и сървърът, където пребивават аватарите, трябва да са достъпни от приложението Directory Connector. Конекторът се нуждае от http или https достъп до изображенията, но не е необходимо изображенията да са публично достъпни в интернет.
-
Синхронизирането на данни за аватара е отделено от потребителските профили в Active Directory. Ако стартирате прокси сървър, трябва да гарантирате, че данните за аватара могат да бъдат достъпни чрез NTLM удостоверяване или основно удостоверяване.
| 1 |
От Directory Connector отидете на Конфигурация, щракнете върху Аватар и след това отметнете Активиране. |
| 2 |
За Получаване на аватар от изберете Сървър ресурси и след това въведете URI шаблона за аватар – например Нека да разгледаме всяка част от модела на URI за аватара и какво означават те:
|
| 3 |
(По избор) Ако сървърът на ресурси изисква идентификационни данни, отметнете Задаване на идентификационни данни на потребител за аватар, след което или изберете Използване на текущия потребител за влизане в услугата, или Използване на този потребител и въведете паролата. |
| 4 |
Въведете стойността на променливата – например: |
| 5 |
Щракнете върху Тест, за да се уверите, че шаблонът на URI за аватара работи правилно. В този пример, ако стойността на пощата за един запис в AD е |
| 6 |
След като информацията за URI бъде потвърдена и изглежда правилна, щракнете върху Прилагане. За подробна информация относно използването на регулярни изрази вижте Бърза справка за езика на регулярните изрази на Microsoft . |
-
Синхронизираните изображения стават аватар по подразбиране за потребителите в приложението Webex. На потребителите не е позволено да задават собствен аватар, след като тази функция е активирана от Directory Connector.
-
Аватарите на потребителите се синхронизират както с приложението Webex, така и с всички съвпадащи акаунти на сайта на Webex.
Какво да направите след това
Изпълнете пробно синхронизиране; ако няма проблеми, направете пълно синхронизиране, за да получите вашите потребителски акаунти и аватари в Active Directory за синхронизиране в облака и да се появят в Control Hub.
Синхронизиране на информацията за локалните стаи с облака на Webex
Използвайте тази процедура, за да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака Webex устройства (Room, Desk и Board).
| 1 |
От Directory Connector отидете на Синхронизиране, щракнете върху още |
| 2 |
Отметнете Синхронизиране на информацията за стаята с облака, за да отделите данните на стаята от данните на потребителите по време на синхронизацията. Когато тази настройка е деактивирана, данните за стаята се третират по същия начин като данните, синхронизирани от потребителите. |
| 3 |
Отидете на Съпоставяне на атрибути и след това променете съпоставянето на атрибути за атрибута sipAddresses;type=enterprise. За да използвате проверка на стойността, стойността на SIP адреса трябва да е Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Създайте пощенска кутия за ресурси за стая в Exchange. Това добавя атрибута msExchResourceMetaData;ResourceType:Room, който след това конекторът използва, за да идентифицира стаите.
|
| 5 |
От потребителите и компютрите в Active Directory се придвижвайте до и редактирайте свойствата на стаята. Добавете напълно квалифицирания SIP URI с префикс на sip:
|
| 6 |
Извършете пробно синхронизиране и след това пълно синхронизиране в конектора. Новите обекти в стаята са изброени Добавени обекти и съответстващите обекти в стаята се показват в Съответстващи обекти в отчета за пробно изпълнение. Всички предмети на стая, маркирани с флаг за изтриване, са под Стаи изтрити.
Резултатите от пробното изпълнение показват всички съвпадащи ресурси за стаята.
Тази настройка разделя данните на стаята в Active Directory (включително атрибута на стаята) от данните на потребителите. След като синхронизирането завърши, статистиката за облака на таблото на конектора показва данни за стаята, които са били синхронизирани с облака.
|
Какво да направите след това
Сега, след като сте направили тези стъпки, когато извършите търсене на регистрирано в облака устройство Webex, ще видите синхронизираните записи в стаята, които са конфигурирани със SIP адреси. Когато поставите повикване от webex устройството на този запис, се извършва повикване до SIP адреса, конфигуриран за стаята.
От Control Hub можете автоматично да импортирате стаи от вашия указател и да създавате работни области.
Крайната точка не може да започне обратно повикване към приложението Webex. За тестови устройства за набиране тези устройства трябва да бъдат регистрирани като SIP URI локално или някъде извън приложението Webex. Ако системата за стаи Active Directory, която търсите, е регистрирана в Webex и същият имейл адрес е на устройството Webex Room, устройството Desk или Webex Board за услугата за календар, тогава резултатите от търсенето няма да покажат дублирания запис. Устройството Room, Desk или Board се набира директно в приложението Webex и не се извършва SIP повикване.
Изпращане на имейл отчети за резултатите от синхронизирането на указатели
По подразбиране контактите на организацията или администраторите винаги получават известия по имейл. С тази настройка можете да персонализирате кой трябва да получава известия по имейл, които обобщават отчетите за синхронизиране на указатели.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Известие. |
| 2 |
От Directory Connector щракнете върху Настройки, а до Имейл приемник включете Разрешаване на синхронизиране на отчета. |
| 3 |
Отметнете Активиране на уведомяването, ако искате да заместите поведението за уведомяване по подразбиране и да добавите един или повече получатели на имейл. |
| 4 |
Щракнете върху Добавяне и след това въведете имейл адрес. Ако въведете имейл адрес с невалиден формат, се появява съобщение, което ви казва да коригирате проблема, преди да можете да запишете и приложите промените. |
| 5 |
Щракнете върху Добавяне на имейл и след това въведете имейл адрес. Ако въведете имейл адрес с невалиден формат, се появява съобщение, което ви казва да коригирате проблема, преди да можете да запишете и приложите промените. |
| 6 |
Ако трябва да редактирате въведените от вас имейл адреси, щракнете двукратно върху записа на имейла в лявата колона и след това направете всички промени, които трябва да направите. |
| 7 |
След като сте добавили всички валидни имейл адреси, щракнете върху Прилагане. |
| 8 |
След като сте добавили всички валидни имейл адреси, щракнете върху Запиши. |
Какво да направите след това
Ако сте решили, че искате да премахнете имейл адреси, можете да щракнете върху имейл, за да маркирате този запис, и след това да щракнете върху Премахни.
Ако сте решили, че искате да премахнете имейл адреси, можете да щракнете върху Премахване до записи за определени имейл адреси.
Осигуряване на потребители от Active Directory В Control Hub
Изпълнете тези стъпки, за да осигурите потребители на Active Directory и да създадете съответни потребителски акаунти в Control Hub. Можете да осигурите потребителите от разполагане на Active Directory с множество домейни (с една гора или с множество гори), след като инсталирате Directory Connector за всеки домейн. По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. Целта е да имате точно съвпадение между вашите Active Directories и облака на Webex.
| 1 |
Извършване на пробно изпълнение на синхронизиране на потребители от Active Directory Изпълнете пробно изпълнение, за да сравните обекти в локалната Active Directory и обектите в облака на Webex. Пробното изпълнение ви позволява да видите кои обекти ще бъдат добавени, променени или изтрити, преди да стартирате пълно или постепенно синхронизиране и да извършите промените в облака. |
| 2 |
Извършване на пълно синхронизиране на потребителите на Active Directory в облака Когато стартирате пълно синхронизиране, услугата конектор изпраща всички филтрирани обекти от вашия Active Directory (AD) към облака. След това услугата за конектор актуализира хранилището за самоличност с вашите AD записи. Ако сте създали шаблон за автоматично разпределение на лицензи, можете да го зададете на новосинхронизираните потребители. |
| 3 |
Разпределяне на услугите на Webex на синхронизираните с указатели потребители в Control Hub След като завършите пълно синхронизиране на потребителите от Directory Connector в Control Hub, можете да зададете лицензи за услугата на Webex по различни методи. Препоръчваме ви да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory. Можете също да правите отделни промени след тази първоначална стъпка. |
Извършване на пробно изпълнение на синхронизиране на потребители от Active Directory
Изпълнете пробно изпълнение, за да сравните обекти в локалната Active Directory и обектите в облака на Webex. Пробното изпълнение ви позволява да видите кои обекти ще бъдат добавени, променени или изтрити, преди да стартирате пълно или постепенно синхронизиране и да извършите промените в облака.
По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. С Directory Connector целта е да имате точно съвпадение между вашите Active Directories и облака на Webex.
Ако имате няколко домейна в една гора или няколко гори, трябва да направите тази стъпка на всеки от екземплярите на Cisco Directory Connector, които сте инсталирали за всеки домейн на Active Directory.
Преди да започнете
Възможно е вече да имате потребители на приложението Webex в Control Hub, преди да използвате Directory Connector. Сред потребителите в облака някои може да съвпадат с локалния обект на Active Directory и да им бъдат зададени лицензи за услуги. Но някои може да са тестови потребители, които искате да изтриете, докато правите синхронизация. Трябва да създадете точно съвпадение между вашия Active Directory и Control Hub.
| 1 |
Изберете едно:
Когато пробното изпълнение завърши, ще видите един от следните резултати:
Обобщението съдържа информация за съвпадението на обект:
Пробното изпълнение идентифицира потребителите, като ги сравнява с потребителите на домейн. Приложението може да идентифицира потребителите, ако те принадлежат към текущия домейн. В следващата стъпка трябва да решите дали да изтриете обектите или да ги запазите. Несъответстващите обекти се идентифицират като вече съществуващи в облака на Webex, но не съществуващи в локалната Active Directory. |
| 2 |
Прегледайте резултатите от пробното изпълнение и след това изберете опция в зависимост от това дали използвате един домейн или няколко домейна:
|
| 3 |
В подканата Потвърждаване на пробното изпълнение щракнете върху Да, за да извършите отново синхронизирането на пробното изпълнение и вижте таблото, за да видите резултатите. Всички акаунти, които са успешно синхронизирани в пробното изпълнение, се показват под Съвпадащи обекти. Ако потребител в облака няма съответстващ потребител със същия имейл в Active Directory, записът е посочен под Потребители изтрити. За да избегнете това изтриване на флаг, можете да добавите потребител в Active Directory със същия имейл адрес. За да видите подробностите за елементите, които са синхронизирани, щракнете върху съответния раздел за конкретни елементи или Съответстващи обекти. За да запишете обобщената информация, щракнете върху Запиши резултатите във файл. |
| 4 |
Ако се очакват резултатите, отидете на и след това щракнете върху Разрешаване сега, за да извършите ръчно синхронизиране и да го поставите в ръчен режим в този момент. След като извършите синхронизация на последния домейн на Active Directory в разполагането на множество домейни, трябва да активирате автоматичен режим за Directory Connector. Можете да активирате автоматичен режим само когато обектите съвпадат напълно между облака на Webex и всички локални активни директории. |
Какво да направите след това
-
За всички несъответстващи потребителски обекти, които сте запазили, трябва да ги добавите към Active Directory, така че да има точно съвпадение между локално и облака.
-
Изберете тип синхронизиране:
-
По подразбиране се задава постепенно синхронизиране на всеки 30 минути (на версии 3.4 и по-стари) или на всеки 4 часа (на версии 3.5 и по-нови), но можете да промените тази стойност. Постепенното синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране.
-
Ако имате няколко домейна, повторете тези стъпки на всеки друг Directory Connector, който сте инсталирали.
Неща, които трябва да имате предвид
-
Изпълнете пробно изпълнение, преди да активирате пълно синхронизиране или когато промените параметрите за синхронизиране. Ако пробното изпълнение е започнато от промяна в конфигурацията, можете да запишете настройките след завършване на пробното изпълнение. Ако сте добавили потребители ръчно, изпълняването на синхронизиране с Active Directory може да доведе до премахване на добавени преди това потребители. Можете да проверите отчетите за пробно изпълнение на Directory Connector, за да потвърдите, че всички очаквани потребители присъстват, преди да синхронизирате напълно с облака.
-
Ако съответстващите потребители са маркирани да бъдат изтрити и не сте сигурни как да продължите, вижте информация за отстраняване на неизправности и как да се свържете с поддръжката в Отстраняване на неизправности и корекции за Directory Connector.
Изтритите потребители се съхраняват в услугата за самоличност в облака за 7 дни, преди да бъдат окончателно изтрити.
Извършване на пълно синхронизиране на потребителите на Active Directory в облака
Когато стартирате пълно синхронизиране, услугата конектор изпраща всички филтрирани обекти от вашия Active Directory (AD) към облака. След това услугата за конектор актуализира хранилището за самоличност с вашите AD записи. Ако сте създали шаблон за автоматично разпределение на лицензи, можете да го зададете на новосинхронизираните потребители.
Ако имате няколко домейна, трябва да направите тази стъпка на всеки от екземплярите на Directory Connector, които сте инсталирали за всеки домейн на Active Directory.
Directory Connector синхронизира състоянието на потребителския акаунт – В Active Directory всички потребители, които са маркирани като деактивирани, също се появяват като неактивни в облака.
Преди да започнете
-
Ако искате потребителските акаунти на приложението Webex да бъдат в активен статус след пълната синхронизация и преди потребителите да влизат за първи път, трябва да направите следните стъпки, за да заобиколите проверката на имейла:
-
Интегрирайте еднократната идентификация с вашата организация на Webex. Вижте
Еднократна идентификация с услугите на Cisco Webex и доставчика на самоличност на вашата организация
за повече информация. -
Използвайте Control Hub, за да потвърдите и по желание да заявите домейни, съдържащи се в имейл адресите. Вижте
Добавяне, потвърждаване и заявяване на домейни
. -
Потиснете автоматичните имейл покани, така че новите потребители да не получават автоматичната имейл покана за приложението Webex. (Можете да направите собствена имейл кампания.)
Активираните потребители, които не са влезли, се появяват със статус Проверен в Control Hub. След като влязат, те се показват като Активни. За повече информация относно потребителските статуси вижте Потребителски статуси и действия в Cisco Webex Control Hub.
-
-
Когато активирате синхронизирането, Directory Connector първо ви моли да изпълните пробно изпълнение. Препоръчваме да пробвате пробното изпълнение преди пълно синхронизиране, за да видите евентуални грешки.
-
Трябва да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
Ако не използвате шаблони за автоматично разпределение на лицензи, новосинхронизираните потребители автоматично получават безплатни лицензи. Те ще могат да използват същите безплатни функции като тези с безплатни акаунти.
| 1 |
Изберете едно:
|
| 2 |
От Directory Connector отидете на Синхронизиране, щракнете върху повече |
| 3 |
Потвърдете началото на синхронизирането. За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените до 72 часа след извършване на синхронизирането. Можете да се опитате да изчистите локалния кеш за приложението Webex, като следвате следните указания: Windows или Mac.
|
| 4 |
Щракнете върху Обнови, ако искате да актуализирате статуса на синхронизацията. (Синхронизираните елементи се показват под Статистика в облака.) |
| 5 |
За информация за грешките изберете Стартиране на визуализатора на събития от лентата с инструменти Действия, за да видите регистрите на грешки. |
| 6 |
За да зададете график за синхронизиране за текущи инкрементални синхронизации с облака, вижте Задаване на график на конектори и Изпълнение на инкрементално синхронизиране. |
-
След завършване на пълната синхронизация статусът за синхронизиране на указатели се актуализира от Деактивирано на страницата Настройки в Control Hub.
-
Когато всички данни са съчетани между локално и облачно, Directory Connector се променя от ръчен режим в режим на автоматично синхронизиране.
-
Освен ако не интегрирате еднократна идентификация, потвърдите домейни и по избор заявите домейни за имейл акаунтите, които сте синхронизирали, и потиснете автоматизираните имейли, потребителските акаунти в приложението Webex остават в състояние „Непроверен“, докато потребителите не влязат в приложението Webex за първи път, за да потвърдят своите акаунти. Вижте раздела „Преди да започнете“ за указания как да синхронизирате акаунтите като активни потребители.
-
Ако имате няколко домейна, направете тази стъпка на всеки друг Directory Connector, който сте инсталирали. След синхронизацията потребителите във всички домейни, които сте добавили, са изброени в Control Hub.
-
Ако сте интегрирали еднократна идентификация с Webex и потиснати имейл известия, имейл поканите не се изпращат до новосинхронизираните потребители.
-
Не можете да добавяте потребители ръчно в Control Hub, след като Directory Connector е активиран. След като бъде активирано, управлението на потребителите се извършва от Cisco Directory Connector и Active Directory е единственият източник на истина.
-
Всички групи, които сте синхронизирали, се показват в Control Hub и можете да зададете шаблон за лицензи, така че на потребителите в тази група да бъдат зададени лицензи.
Какво да направите след това
-
Когато премахнете потребител от Active Directory, потребителят се изтрива меко след следващото синхронизиране. Потребителят става Неактивен, но профилът за самоличност в облака се съхранява в продължение на седем дни (за да се позволи възстановяване от случайно изтриване).
Когато отметнете Акаунтът е деактивиран в Active Directory, потребителят става Неактивен след следващото синхронизиране. Профилът за самоличност в облака не се изтрива след седем дни, в случай че искате да активирате потребителя отново.
-
Обърнете внимание на тези изключения при поетапно синхронизиране (вместо това следвайте стъпките за пълно синхронизиране по-горе):
-
В случай на актуализиран аватар, но без друга промяна на атрибута, постепенното синхронизиране няма да актуализира аватара на потребителя в облака.
-
Промените в конфигурацията при настройката за съпоставяне на атрибути, базовия DN, филтър и аватар изискват пълно синхронизиране.
-
Разпределяне на услугите на Webex на синхронизираните с указатели потребители в Control Hub
След като завършите пълната синхронизация на потребителите от Cisco Directory Connector в Control Hub, можете да използвате Control Hub, за да зададете едни и същи лицензи за услуга на Webex на всичките си потребители наведнъж или да добавите допълнителни лицензи за нови потребители, ако вече сте конфигурирали шаблон за автоматично зададен лиценз. Можете да правите промени в отделни потребителски акаунти след тази първоначална стъпка.
След като завършите пълната синхронизация на потребителите от Directory Connector в Control Hub, можете да използвате методи в Control Hub, за да зададете глобално лицензи за услугата на Webex на всичките си потребители, отделни потребители, чрез груповия CSV шаблон или автоматично на новите потребители, ако вече сте конфигурирали шаблон за автоматично разпределение на лицензи. Можете да правите промени в отделни потребителски акаунти след тази първоначална стъпка.
Когато зададете лиценз на потребител на приложението Webex, този потребител получава имейл, потвърждаващ задаването, по подразбиране. Имейлът се изпраща от услуга за известия в Control Hub. Ако сте интегрирали еднократна идентификация (SSO) с вашата организация на Webex, можете също да потиснете тези автоматични имейл известия, ако предпочитате да се свързвате директно с потребителите си.
Преди да започнете
-
Трябва да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
-
Извършете пробно изпълнение на синхронизиране на вашите потребители на Active Directory.
-
След като потвърдите резултатите от пробното изпълнение, извършете пълно синхронизиране на потребителите на Active Directory.
По време на пълна синхронизация потребителят се създава в облака, не се добавят задавания на услуги и не се изпраща имейл за активиране. Ако имейлите не се потиснат, новите потребители получават имейл за активиране, когато присвоявате услуги на потребителите по стандартен метод за управление на потребители в Control Hub, като импортиране на CSV файл, ръчна актуализация на потребители или чрез успешно завършване на автоматичното задаване.
| 1 |
От изгледа за клиенти в https://admin.webex.com отидете на , щракнете върху Управление на потребителите, изберете Промяна на всички синхронизирани потребители и след това щракнете върху Напред. |
| 2 |
Изберете опция: |
Какво да направите след това
-
Ако имейлите не се потискат, до всеки потребител се изпраща имейл с покана за присъединяване и изтегляне на Webex.
-
Ако сте избрали едни и същи услуги на Webex за всички ваши потребители, след това можете да промените лиценза, зададен поотделно или групово.
Известни проблеми с Directory Connector
-
Версиите на Windows Server преди 2012 R2 имат проблем с бисквитките, който засяга Directory Connector. Този проблем е поправен във версии 2012 R2 и 2016.
-
За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените 72 часа след момента, в който извършите синхронизирането.
Можете да се опитате да изчистите локалния кеш за приложението Webex, като следвате следните указания: Windows или Mac.
-
Когато потребител използва приложението Webex на настолен компютър или мобилно устройство, за да търси и повика стая, която има само синхронизиран SIP URI, тогава повикването звъни за неопределено време.
Управление на потребителите на приложението Webex
Стартиране на постепенно синхронизиране
Поетапната синхронизация прави заявки за вашия Active Directory и търси промени, които са се случили от последната синхронизация. След това тази стъпка пакетира тези промени и ги изпраща към услугата конектор. Промените включват модификация на атрибутите на потребителите и кога даден потребител е добавен или изтрит.
Тази синхронизация не поставя толкова натоварване на сървърите и не отнема толкова време, колкото пълното синхронизиране. След като направите първоначалното си пълно синхронизиране, препоръчваме опцията „Incremental“ за последващи синхронизации.
Преди да започнете
-
Трябва да настроите шаблон за автоматично разпределение на лицензи , преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
-
Имайте предвид тези изключения, които нарастващото синхронизиране не се поддържа (вместо това следвайте Извършване на пълно синхронизиране на потребители от Active Directory в облака ):
-
В случай на актуализиран аватар, но без друга промяна на атрибута, постепенното синхронизиране няма да актуализира аватара на потребителя в облака.
-
За нови промени в конфигурацията на съпоставянето на атрибути, базовия DN, филтъра и настройката за аватар, постепенното синхронизиране няма да работи и те изискват пълно синхронизиране.
-
| 1 |
От Directory Connector щракнете върху Табло. Когато активирате синхронизирането, Directory Connector първо ви моли да изпълните пробно изпълнение. |
| 2 |
От Действия щракнете върху Режим на синхронизиране > Разрешаване на синхронизацията , ако вече не е активиран. По подразбиране се задава постепенно синхронизиране на всеки 30 минути (на версии 3.4 и по-стари) или на всеки 4 часа (на версии 3.5 и по-нови), но можете да промените тази стойност. Постепенното синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране. Когато се появи нов инкрементален интервал от време, програмата проверява промените въз основа на последното времево клеймо. |
| 3 |
От Действия щракнете върху Синхронизиране сега > Постепенно. За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените 72 часа след момента, в който извършите синхронизирането.
|
| 4 |
За информация за грешките щракнете върху Стартиране на визуализатора на събития от лентата с инструменти Действия , за да видите регистрите на грешки. |
Какво да направите след това
Ако имате няколко домейна, направете тази стъпка в другите екземпляри на Directory Connector, които сте инсталирали.
Възстановяване на случайно изтрити потребители
Directory Connector има проверки и баланси, за да предотврати непреднамерено изтриване на потребители. За съжаление се случват инциденти; може да сте конфигурирали неправилно LDAP филтър в Active Directory, което е изтрило някои потребители при синхронизиране с облака. Функцията за меко изтриване може да ви помогне да се възстановите от тези инциденти и да възстановите потребителските акаунти в Control Hub.
По подразбиране тази функция е активирана за всички организации. Когато потребителите бъдат изтрити в облака, например поради несъответстващ проблем с обект след синхронизиране от Directory Connector, потребителите могат да бъдат възстановени. Ако сте видели бележка за несъответстващи обекти или сте забелязали, че потребителите са изтрити, може да сте в състояние да ги възстановите, ако действате бързо.
Потребителите се маркират като неактивни в Control Hub, когато съответните акаунти се изтриват в Active Directory. Фоновата услуга в облака запазва потребителите до 7 дни. През този период все още можете да използвате Cisco Directory Connector, за да възстановите потребители. Препоръчваме ви да възстановите тези потребители възможно най-скоро.
Потребителите, които са деактивирани в Active Directory, също се маркират като неактивни в Control Hub, но потребителският акаунт не се изтрива след 7 дни.
| 1 |
Влезте в контролния хъб. |
| 2 |
Отидете на Потребители и потвърдете дали даден потребителски акаунт е в неактивно състояние, или не е включен в списъка. За повече информация вижте Потребителски статуси и действия в Control Hub. |
| 3 |
Ако потребителите са изтрити в Control Hub или забележите потребители в състояние „Неактивно“, отидете в Active Directory, добавете липсващите потребителски акаунти и след това направете пробно изпълнение на синхронизиране в Directory Connector. Целта с Directory Connector е да се създаде точно съвпадение между информацията за потребителя в Active Directory и в облака. |
| 4 |
Извършете пълна синхронизация, за да синхронизирате отново временно изтритите потребителски акаунти с Control Hub. Потребителите се възстановяват и преминават към първоначалния статус, включително статуса на акаунта си и зададените услуги. |
Какво да направите след това
Върнете се в Control Hub, отидете на и потвърдете, че изтритите преди това потребителски акаунти се появяват в списъка с потребители.
Изтриване на потребителите за постоянно след меко изтриване
След като изпълните пробно изпълнение, можете да изберете да изтриете за постоянно потребители, които са били меки изтрити при следващото синхронизиране.
| 1 |
След като пробното изпълнение завърши, изберете Меки изтрити обекти. |
| 2 |
Поставете отметка в квадратчето до потребителите, които искате да изтриете. |
| 3 |
Изберете Готово. |
Какво да направите след това
При следващата синхронизация потребителите, които сте проверили, ще бъдат изтрити окончателно.
Промяна на имейл адреса на приложението Webex
Ако искате да промените потребителските имейл адреси и вашата организация използва Directory Connector, променяте тези имейл адреси в Active Directory. Тази процедура обхваща как да промените имейл адрес на приложението Webex за един домейн и процес за промяна на домейна.
Ако искате само да промените имейла или някаква стойност за един потребител, не изтривайте потребителя от Active Directory и след това създайте нов със същия имейл. Облакът тълкува това действие като нов потребителски акаунт и местата на потребителя и другите данни в облака ще бъдат изгубени.
Directory Connector не ограничава промяната на имейл домейна. Когато потребителят обаче се синхронизира отново с облака, състоянието на потребителя зависи от това дали новият домейн е потвърден във вашата организация. Ако домейнът не е потвърден във вашата организация, статусът на потребителя се променя на „В очакване“ след пълното синхронизиране. За повече информация вижте Управление на вашите домейни.
Ако вашата организация не използва Directory Connector, можете да промените имейл адресите на приложението Webex чрез страницата с настройки на акаунта. Вижте Промяна на имейл адреса за вашия акаунт за стъпките, които потребителите могат да последват, за да променят имейлите си.
Промяна на домейна на Active Directory
Можете да използвате тази процедура, за да създавате нови домейни и имейл адреси. Те се синхронизират с услугата за самоличност в облака.
| 1 |
Настройте нов домейн на Active Directory (AD). |
| 2 |
Деактивирайте синхронизирането на всички ваши конектори. |
| 3 |
Деинсталирайте всички конектори. |
| 4 |
Отворете случай, за да промените домейна. В изпращането на случай не забравяйте да поискате премахване на конфигурацията на домейна и всички атрибути за синхронизиране във вашата организация. Преди да отворите случай, за да промените домейна, се уверете, че не се изпълнява синхронизиране. Не променяйте потребителските имейл адреси в Active Directory, докато случаят не изчезне. |
| 5 |
След решаване на случая: Изпълнете тестово изпълнение с Directory Connector, преди да извършите действителното синхронизиране. |
Заявяване на домейн
Претенция за домейн възниква, ако заявите имейл домейн за организация, така че всеки посочен акаунт да бъде създаден в платената клиентска организация, а не в безплатната потребителска организация. Можете да заявите домейн само чрез случай за поддръжка (вижте връзката по-долу за повече информация).
Ако Directory Connector е активен и домейнът е заявен, акаунтите с външни потребители не се създават нито в клиентската организация, нито в безплатната потребителска организация. Само Directory Connector може да осигурява акаунти за организацията от Active Directory. Информацията, съхранена в Active Directory, е първоначалният източник. Ако се опитате да странично табло на акаунт, поканеният потребител получава грешка. Единственият начин, по който поканен потребител може да бъде добавен към място на приложението Webex, е първо да използвате Directory Connector, за да обезпечите акаунта в Control Hub.
Конвертиране на безплатните потребители на приложението Webex в синхронизирана с указателя организация
Можете да използвате уникални имейл адреси само в директорията на приложението Webex. Ако вашите потребители са се записали за безплатната версия на приложението Webex, акаунтът им съществува в безплатната потребителска организация. За да управлявате потребителите в тази организация чрез Directory Connector, мигрирайте (конвертирайте) ги в организацията на клиента, преди да включите Directory Connector. След това добавяте потребителите към Active Directory с точния имейл адрес и след това синхронизирате с облака.
Ако не конвертирате акаунтите преди активирането, изключете Directory Connector, за да ги конвертирате.
Ако се опитате да конвертирате потребител, докато е активирано синхронизирането на указатели, се появява съобщението за грешка не можа да бъде преобразувано
. За да избегнете проблема, можете да използвате тези стъпки като заобиколно решение.
Някои заявени потребители може да се покажат с атрибута movedfrom , когато правят пробно изпълнение. Тези потребители ще бъдат в списъка Изтрити обекти вместо MismatchedObject. Ще трябва да добавите тези потребители към своя списък в AD, ако искате да ги преместите във вашата организация.
Ако не добавите тези потребители, всички те ще бъдат изтрити, след като синхронизирате с облака.
| 1 |
Деактивирайте синхронизирането на указатели от Directory Connector. |
| 2 |
Следвайте процедурата Конвертиране на нелицензирани потребители в Control Hub , за да конвертирате потребителя от безплатната потребителска организация в корпоративната организация. Тази стъпка добавя потребителя към вашата организация и акаунтът се показва в Control Hub. Directory Connector прави Active Directory единственият източник на истина за потребителските акаунти и целта е да има точно съвпадение между Active Directory и Control Hub. Гарантирайте, че има съвпадащи потребители в Active Directory за всички наскоро преобразувани потребители преди повторното синхронизиране. Синхронизирането на "Сухо изпълнение" може да се използва, за да се гарантира, че няма останали несравнима потребители. |
| 3 |
На Directory Connector направете пробно изпълнение на синхронизиране. Когато сухото изпълнение завърши, проверете раздела Добавяне на обекти. Проверете дали всички потребители, които сте преобразували, не се изтриват. Трябва да изпълните пробно изпълнение, преди да активирате повторно синхронизирането, за да сте сигурни, че всички конвертирани потребителски акаунти се показват в Active Directory. Ако включите синхронизирането и акаунтите се намират само в Control Hub, Directory Connector зависи от малки и главни букви и изтрива конвертираните потребители, които открие с несъответстващи имейл адреси (например user1@example.com и User1@example.com). Ако някои преобразувани потребители бъдат изтрити, те губят всичките си места в приложението Webex. |
| 4 |
Когато сте сигурни, че следващото синхронизиране няма да премахне никакви акаунти, активирайте отново синхронизирането на указатели от Directory Connector. |
Преобразуваните потребителски акаунти не се активират автоматично, ако не сте потвърдили домейн. Например, ако сте включили шаблона за автоматично разпределение на лицензи и след това сте включили Directory Connector без проверка на домейна, конвертираните потребители са неактивни в облачната backend, докато не потвърдят имейл адресите си.
Потребителски акаунти в приложението Webex
Когато поканите друг потребител на място в приложението Webex, ако поканеният потребител няма акаунт за приложението Webex, за него се създава акаунт („страничен“). По подразбиране акаунтите, които са създадени по този начин, се добавят към безплатната потребителска организация.
Ако искате да управлявате страничния акаунт с помощта на Directory Connector, трябва да конвертирате акаунта.
Промяна на формата на потребителското име в приложението Webex след синхронизиране на указатели
По подразбиране Directory Connector съпоставя атрибута displayName в Active Directory с атрибута displayName в облака.
След като извършите синхронизиране на указатели, може да откриете, че потребителските имена се показват във формат .
Това потребителско име може да се появи, ако атрибутът displayName в Active Directory е конфигуриран по този начин. Когато атрибутът е съпоставен с displayName в облака, имената се показват във формат в Control Hub.
За да промените формата, в екрана за съпоставяне на атрибути на Directory Connector: съпоставете атрибута на Active Directory givenName sn (или sn givenName), за да показваName в имената на атрибути в облака на Cisco.
Като алтернатива съпоставете атрибута sn givenName с displayName:
Можете също да използвате опцията Персонализиране на атрибут, ако искате да съпоставите свой собствен персонализиран израз на атрибут към displayName.
Например въведете givenName + "" + sn (собствено име, интервал, фамилия) като израз. Това съпоставя двата атрибута в Active Directory за показванеName в облака.
Позволи на потребителите да променят показваните имена в Webex Meetings
Можете да премахнете съпоставянето на атрибута displayName от синхронизирането с облака в Directory Connector, ако искате да позволите на потребителите да редактират предпочитаните си показвани имена. Потребителите могат да въведат показвано име, което да се показва по време на срещи в Webex, вместо собственото и фамилното си име. Администраторите могат също да променят показваното име за потребител ръчно в Control Hub.
| 1 |
От Directory Connector щракнете върху Конфигурация и след това изберете Съпоставяне на потребителски атрибути. |
| 2 |
Изберете displayName под Cisco Cloud Attribute Name. |
| 3 |
Изберете Не синхронизирайте този атрибут. |
Какво да направите след това
Потребителите вече могат да редактират показваните си имена от своя сайт на Webex.
Отстраняване на неизправности в Directory Connector
Надстройте до последното издание на софтуера
За да поддържате внедряването си в съответствие и да получите най-новите функции, функционалност, корекции на грешки и подобрения в защитата, винаги трябва да надстроите до най-новата версия на Directory Connector. Ако не надстроите до най-новата налична версия, може да изпитате проблеми, например Directory Connector вече да не се синхронизира правилно или да сте на версия, която не поддържа задължителното изискване TLS 1.2.
Directory Connector автоматично ви уведомява, когато е налична нова версия. Винаги надстройвайте до най-новата версия, за да избегнете проблеми. Също така виждате известие в лентата на задачите на Windows.
Въпреки че можете ръчно да инсталирате актуализации на софтуера на конектор, препоръчваме да следвате стъпките в Задаване на автоматични надстройки , за да позволите на приложението да управлява вашите надстройки автоматично.
| 1 |
Щракнете върху известието в лентата на задачите на Windows или щракнете с десния бутон върху иконата Directory Connector в лентата на задачите на Windows, за да започнете процеса на надстройване. |
| 2 |
Следвайте инструкциите, за да завършите надстройването. |
| 3 |
Рестартирайте конектора и влезте с вашите идентификационни данни на администратор. |
| 4 |
Потвърдете номера на версията на софтуера под . |
Какво да направите след това
За нова инсталация на Directory Connector можете да изтеглите zip файла и след това да следвате стъпките за инсталиране в това ръководство.
Конфигуриране на общи настройки за Directory Connector
Използвайте тази процедура, за да конфигурирате общи настройки, като името на сървъра, работещ с Directory Connector, нивата на регистрационния файл, автоматичните надстройки и предпочитаните настройки за контролерите на домейни. Името на конектора се появява на таблото в раздела „Конектори“, заедно с всички други конектори, които работят.
| 1 |
От Directory Connector отидете на Конфигурация и след това щракнете върху Общи. |
| 2 |
В полето Име на конектор въведете името на конектора. Това поле показва само името на компютъра, на което в момента работи конекторът. |
| 3 |
Изберете нивото на регистрационния файл от падащия списък. По подразбиране нивото на регистрационния файл е зададено на информация. Наличните нива на регистрационния файл са:
Тези настройки засягат отчета за синхронизиране, който се изпраща по имейл. Ако зададете нивото на регистрационния файл на „Грешка“, в отчета за синхронизиране се съобщават само грешки; ако не съществуват грешки, отчетът за синхронизиране не се изпраща. Променете настройката на „Информация“, след което получавате отчети за синхронизиране след пълно синхронизиране. (Имайте предвид, че за постепенно синхронизиране не се изпращат отчети, когато не се съобщават грешки.) |
| 4 |
Изберете предпочитаните контролери на домейни , за да зададете реда на контролерите на домейни за синхронизиране на самоличности. До контролерите на домейни има достъп от горе до долу. Ако горният контролер не е наличен, изберете втория контролер от списъка. Ако няма посочен контролер, можете да получите достъп до главния контролер. |
| 5 |
Отметнете Автоматично надстройване до новата версия на Cisco Directory Connector , ако искате да се извършват автоматични надстройвания. Винаги е важно да поддържате своя софтуер Cisco Directory Connector до най-новата версия. Препоръчваме ви да отметнете тази настройка, за да позволите автоматичните надстройки на софтуера да се инсталират мълчаливо, когато са налични. |
| 6 |
Проверете LDAP през SSL , за да използвате защитения LDAP (LDAPS) като протокол за свързване. Ако не проверите LDAP през SSL, Directory Connector продължава да използва протокола за LDAP връзка. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) са протоколите за свързване, използвани между приложение и домейнов контролер в инфраструктурата. LDAPS комуникацията е шифрована и защитена. |
Конфигуриране на правилата за конектори
Можете да зададете максималния брой изтривания, които могат да възникнат по време на синхронизиране. Изпълнението на синхронизиране не изтрива обекти от вашия локален Active Directory. Всички обекти се изтриват само от облака.
Например задавате 1 като стойност за праг за изтриване. Когато извършвате пълно или постепенно синхронизиране, ако броят потребители, които искате да изтриете, е по-голям от настройката, Directory Connector показва предупреждение. Ако щракнете върху Праг за заместване, можете да започнете пълно или постепенно синхронизиране успешно, но ще видите това известие за заместване следващия път, когато изпълните правилата.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Правила. |
| 2 |
Поставете отметка в полето Разрешаване на изтриване на прагова тригера , ако искате да добавите прагова тригера. Избирането на тази опция ще задейства предупреждение, ако броят изтривания надвиши прага. Когато акаунтът за изтриване надвиши този, който сте дефинирали, синхронизирането е неуспешно.
|
| 3 |
Въведете максималния брой изтривания, който искате. По подразбиране е 20. Препоръчваме да не увеличавате стойността по подразбиране. |
| 4 |
Щракнете върху Приложи. |
Задаване на графика на конектора
Задайте времето за синхронизиране в Active Directory. Превключването при отказ се използва за висока наличност (HA). Ако един конектор не работи, превключваме към друг конектор в режим на готовност след предварително дефинирания интервал.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Планиране. |
| 2 |
Посочете интервала на постепенно синхронизиране в минути. По подразбиране се задава постепенно синхронизиране на всеки 30 минути. Пълното постепенно синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране. |
| 3 |
Променете стойността за Изпращане на отчети за... време , ако искате да промените колко често се изпращат отчети. |
| 4 |
Отметнете Активиране на график за пълно синхронизиране , за да посочите дните и часовете, в които искате да се извърши пълно синхронизиране. |
| 5 |
Задайте интервала за превключване към отказ в минути. |
| 6 |
Щракнете върху Приложи. |
Сценарии за множество домейни
Множеството домейни се основават на приоритета на домейна. За обекти, които имат една и съща стойност на ключа в различни домейни, след синхронизирането данните от домейна с по-висок приоритет се презаписват данните от домейна с по-нисък приоритет.
Обекти, които имат една и съща стойност на ключа, са свързани в един запис в базата данни.
Ключовата стойност за „Потребител“ е Имейл адрес; ключовата стойност за „Група“ е Име на група.
Пример за използване на случай за повече от един домейн
Този пример приема организация с два домейна – example1.com и example2.com, по реда на приоритета.
-
Добавяне на потребител1 (имейл: user@example1.com) към Active Directory на example1.com.
-
Добавяне на група1(Име на група: Тест) към Active Directory на example1.com.
-
Добавяне на потребител2 (имейл: user@example2.com) към Active Directory на example2.com.
-
Добавяне на група2 (Име на група: Тест) към Active Directory на example2.com.
- Синхронизиране в example1.com
-
Като случай на използване потребителят2 и group2 се синхронизират с облака и се показват в https://admin.webex.com, докато потребителят1 и group1 не са.
Ако извършите пълно или постепенно синхронизиране, например1.com, потребител1 и група1 се синхронизират. Също така потребител2 и група2 са презаписани от информацията на потребител1 и група1.
User1 връзки към user2 като същия запис в базата данни; group1 връзки group2 като същия запис в базата данни.
- Синхронизиране на example1.com и example2.com
-
Като случай на използване потребителят2 и group2 се синхронизират с облака и се показват в https://admin.webex.com, докато потребителят1 и group1 не са.
Помислете за тези стъпки:
- Изтрийте потребител1 и група1 в Active Directory, например1.com.
- Извършете пълно или постепенно синхронизиране, например1.com.
Резултат: информацията на потребителя не е променена в https://admin.webex.com. Потребител2 не е свързан с потребител1 и група2 не е свързана с група1.
- Извършете постепенно синхронизиране, например2.com.
Резултат: информацията на потребителя не е променена в https://admin.webex.com.
- Извършете пълна синхронизация, например2.com.
Резултат: Информацията за потребител2 и група2 е показана в https://admin.webex.com.
Синхронизиране на нов Домейн И запазване на съществуващ домейн
Ако искате да синхронизирате нов домейн (B), докато поддържате синхронизираните потребителски данни на друг съществуващ домейн (A), се уверете, че инсталирате Directory Connector за синхронизиране на домейн (B) на поддържан Windows сървър. Конекторът се свързва с новия домейн след първоначалната настройка, а информацията за потребителя в домейна (А) остава незасегната.
Всеки домейн трябва да има собствен активен конектор. Помислете за два домейна със следната настройка: домейн А с конектори (ca1) и (ca2) за локална висока наличност (HA); домейн В с конектор (cb1). (ca1)и (ca2) служат на домейн А. В този сценарий единият конектор е активен, а другият е в режим на готовност (HA). Този дизайн поддържа домейна синхронизиран, защото един конектор е винаги активен. Така че cb1 е активният конектор за домейн В, тъй като домейн А вече има активен конектор (ca1 или ca2).
Задаване на приоритет на домейна
Използвайте тази процедура, за да промените приоритета на вашите домейни в Active Directory. Приоритетът на домейна ви позволява да определите главния домейн, вторичния домейн и т.н. Това помага, когато двама потребители от два различни домейна имат една и съща стойност на имейл, синхронизирани с една организация.
Не използвайте тази процедура, ако имате един домейн, посочен в Directory Connector. Ако опитате, конекторът ви показва съобщение, заявяващо, че приоритетът на домейна не е задължителен.
Преди да започнете
За да избегнете грешки, инсталирайте или надстройте до най-новата версия на Cisco Directory Connector. Трябва да го изтеглите от https://admin.webex.com.
| 1 |
От Cisco Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху Задаване на приоритет на домейна. |
| 3 |
Маркирайте един домейн в списъка, щракнете върху Нагоре или Надолу , за да промените приоритета на този домейн, след което щракнете върху Запиши , за да запишете тази промяна. Домейните са сортирани по приоритет от горе до долу. |
Превключване на домейни
Използвайте тази процедура, за да свържете отново Cisco Directory Connector към друг домейн.
Преди да започнете
-
Уверете се, че не се изпълняват задачи за синхронизиране, преди да превключите домейни.
-
За да избегнете грешки, инсталирайте или надстройте до най-новата версия на Cisco Directory Connector. Трябва да го изтеглите от Control Hub.
| 1 |
От Cisco Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху Превключване на домейн. |
| 3 |
След като прочетете предупреждението, ако разберете въздействието на тази промяна върху разполагането ви и все още сте сигурни, щракнете върху Да. Ако превключите домейн, излезете от текущия Cisco Directory Connector, другите домейни в конектора са нерегистрирани и информацията за конектора на този компютър се изтрива. |
| 4 |
Влезте отново в Cisco Directory Connector и свържете отново домейна. |
Изключване на синхронизирането на указатели
Ако трябва да спрете синхронизирането от Directory Connector, можете временно да го изключите от Control Hub.
| 1 |
От изгледа за клиент в https://admin.webex.com отидете на , превъртете до Синхронизиране на указатели и след това изберете такава:
|
| 2 |
След като прочетете подканата, щракнете върху Изключване. Синхронизирането спира, докато не го активирате отново от Directory Connector. |
Премахване на съпоставянето на потребителски атрибути
Използвайте Directory Connector, за да премахнете съпоставянето за атрибути на Active Directory, нанесени преди това в облака и синхронизирани с Webex. След като премахнете съпоставянето на атрибути, стойностите на атрибутите се премахват от облака и вече не се синхронизират с Webex. След това тези стойности могат да се редактират ръчно.
| 1 |
От Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху . |
| 3 |
Изберете съпоставянето, което да премахнете от списъка Име на атрибути . |
| 4 |
Под Засегнат потребителски обхват изберете едно от следните:
|
| 5 |
Щракнете върху Приложи. |
Управление на профилни снимки
Използвайте Directory Connector, за да актуализирате снимки на потребителския профил или да премахнете празни снимки на потребителския профил.
| 1 |
От Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху . |
| 3 |
Под Действия изберете едно от следните:
|
| 4 |
Щракнете върху Приложи. |
Деинсталиране и деактивиране на Directory Connector
След като деинсталирате екземпляр на Directory Connector, трябва да го дерегистрирате. Премахнете напълно Directory Connector за някой от следните сценарии:
-
Повече не искате да използвате синхронизиране на указатели.
-
Не искате да използвате един от многото конектори за указатели (висока наличност).
-
Искате да промените домейна и да инсталирате друг конектор.
Преди да започнете
-
Може да имате настроени няколко екземпляра на Directory Connector за висока наличност (HA) или за синхронизиране на множество домейни. Деактивирайте синхронизирането, ако деинсталирате единствения или последния оставащ екземпляр на Directory Connector.
-
Запишете и затворете всяка важна работа, преди да деинсталирате Directory Connector.
| 1 |
От вашата машина с Windows отидете в контролния панел и след това щракнете върху Програми и функции. |
| 2 |
От списъка с програми щракнете върху Directory Connector, изберете Деинсталиране и след това следвайте подканите. Може да се наложи да рестартирате системата си, за да завършите деинсталирането. |
| 3 |
От изгледа на клиента в https://admin.webex.com, отидете на , превъртете до Синхронизиране на указатели, щракнете върху още |
| 4 |
След като прочетете подканата, щракнете върху Деактивиране. Освен ако няма друг Directory Connector с разполагане с висока наличност (HA), потребителските акаунти вече не се синхронизират. |
Стартирайте инструмента за диагностика
Можете да използвате вградения инструмент за диагностика, за да отстраните неизправности в разполагането на Directory Connector. Този инструмент се инсталира като част от Directory Connector 3.4 нататък.
Ако синхронизирането не работи правилно, може да имате конфигурационна или мрежова грешка. Този инструмент тества връзката ви с LDAP, така че да можете сами да диагностицирате грешките, преди да се свържете с поддръжката. Ако инструментът върне някоя грешка, можете да изпратите до поддръжката подробните резултати от регистрационния файл.
-
За да изпълните тестове за услугите на домейн на Active Directory:
-
За да изпълните тестове за услугите на Active Directory Lightweight Directory:
-
За да изпълните тестове за lightweight Directory Access Protocol (LDAP):
Отстраняване на проблеми в Ciso Directory Connector
Отстраняване на неизправности и корекции за Directory Connector
Може да срещнете съобщение за грешка или друг проблем в Directory Connector. Също така, след като Directory Connector синхронизира потребителската информация, конекторът може да ви изпрати имейл отчет, който изброява всички проблеми със синхронизирането. Вижте следващите раздели за проблеми, които могат да възникнат, възможни причини и предложени решения, които можете да опитате, преди да се свържете с поддръжката.
Инсталирай
Directory Connector спря да работи
Получихте имейли за предупреждение, които ви уведомяват, че вашият Directory Connector не работи.
-
Възможно е Directory Connector да не е инсталиран правилно.
-
Directory Connector може да не се изпълнява.
-
Възможно е мрежата да не е достъпна.
Опитайте следното:
-
Отворете . Намерете конектора за указатели. Ако не е там, изтеглете най-новата версия от Control Hub и я инсталирайте.
-
Отворете услугата и намерете услугата Cisco DirSync. Уверете се, че показва състоянието като Стартирано. Ако услугата бъде спряна, щракнете с десния бутон и изберете \„Старт\“, за да рестартирате услугата.
-
Уверете се, че сървърът, на който сте инсталирали Directory Connector, има достъп до интернет.
Грешка при преинсталиране
Проблем – Ако незабавно инсталирате нов конектор, след като деинсталирате стар, може да видите съобщение за грешка.
Възможна причина— В Windows Server 2012 клиентът за деинсталиране се нуждае от време, за да изтрие сервизния акаунт от списъка на услугите.
Решение—След известно време опитайте отново да инсталирате.
Влизане
Directory Connector се срива при влизане с еднократна идентификация
проблем
Directory Connector може да се срине, след като въведете имейл адрес от страница за влизане в SSO.
Решение
Опитайте следното:
Изпълнете следните стъпки, за да конфигурирате нови правила за група:
-
Отидете в домейнов контролер и отворете Управление на групови правила (gpedit.msc).
-
Щракнете с десния бутон върху конкретен OU или домейн и изберете Създаване на GPO в този домейн и Свържете го тук…
-
Дайте име на правилата, след което щракнете с десния бутон и изберете Редактиране.
Изпълнете следните стъпки, за да промените правилата на ниво машина:
-
Отидете на , щракнете с десния бутон върху Регистър, изберете Нов и след това Елемент в регистъра.
-
За път на ключа въведете или се придвижете до HKEY_ЛОКАЛНА_МАШИНА\СОФТУЕР\Microsoft\Internet Explorer\Main.
-
Въведете
Деактивиране на отстраняване на грешки за скриптовеза стойност и въведетенеза данни за стойност.Настройките трябва да съвпадат с тази екранна снимка:
Изпълнете следните стъпки, за да промените правилата на ниво потребител:
-
Отидете на , щракнете с десния бутон върху Регистър, изберете Нов и след това Елемент в регистъра.
-
За път на ключа въведете или се придвижете до HKEY_ТЕКУЩ_ПОТРЕБИТЕЛ\СОФТУЕР\Microsoft\Internet Explorer\Main.
-
Въведете
Деактивиране на отстраняване на грешки за скриптовеза стойност и въведетенеза данни за стойност.Настройките трябва да съвпадат с тази екранна снимка:
Промените влизат в сила, след като стартирате gpupdate /force, машината се рестартира (за промени в машината) или потребителят влезе отново (за промени в потребителя).
Конекторът за услуги на Cisco DirSync не може да се регистрира
проблем
Неуспешно влизане и се появява това съобщение: „Cisco DirSync Service Connector не можа да бъде регистриран“.
Решение
Системата на Windows, на която е инсталиран Directory Connector, трябва да е член на Active Directory.
Не се появява страница за влизане
проблем
Отворихте Directory Connector и страницата за влизане не се появи.
Решение
Изпробвайте следните стъпки:
-
В Internet Explorer отидете на https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Опитайте връзката в други браузъри като Chrome и Firefox.
-
Ако Internet Explorer не може да посети връзката, но могат и други браузъри, поставете отметка в настройките на Internet Explorer и поставете отметка в квадратчетата TLS 1.1 и 1.2. (Използвайте процедурата Разрешаване на TLS в Internet Explorer .)
Появява се подкана за влизане
проблем
Появява се подкана, която иска да въведете потребителското име и паролата, за да предадете удостоверяването.
Възможна причина
Directory Connector завършва мълчаливо удостоверяването за защита на NTLM с акаунта за влизане. Ако удостоверяването е неуспешно, се появява диалогов прозорец, за да се поиска потребителско име и парола за удостоверяване.
Решение
Когато видите знака в изскачащ прозорец, трябва да предоставите валиден акаунт с правилно удостоверяване, за да предадете защитата.
Неуспешно свързване с отдалечения сървър
проблем
По време на нормална работа се появява съобщението за грешка: "Не е възможно свързване с отдалечения сървър".
Възможна причина
Може да имате проблеми с прокси сървъра, които трябва да бъдат разрешени.
Решение
Вижте Отстраняване на проблеми с влизането в акаунта за услугата за повече информация за отстраняване на неизправности.
Конекторът не може да се регистрира
проблем
Виждате съобщението за грешка „Не може да се регистрира конекторът. Възникна общо изключение.“
Възможна причина
В повечето случаи проблемът е, че Directory Connector няма привилегия да се свързва с LDAP корневи контекст.
Решение
Опитайте следното:
-
Изпълнете командната подкана (cmd) и след това въведете ldp.exe.
-
Щракнете върху , изберете Обвързване както в момента сте влезли в потребителя, след което щракнете върху OK.
-
Щракнете върху , въведете DC=arbonneintl,DC=ad като BaseDN и след това щракнете върху OK.
-
Ако проблемът продължава, отворете случай с поддръжката.
Синхронизиране
Аватарите не са синхронизирани
проблем
Cisco Directory Connector синхронизира потребителските AD данни с облака на Webex. Но данните за аватара не са синхронизирани успешно.
Възможна причина
Ако сте използвали повторно съществуващ аватар сървър и аватарите на потребителите вече са синхронизирани, тогава локалният кеш ги улавя и избягва повторното изпращане отново, за да се подобри скоростта на предаване.
Решение
Изтрийте локалния кеш, като изпълните следните стъпки:
-
Отидете на C:\Програмни файлове (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Изтрийте DirSyncPluginAvatar.dll-cache.bin.
-
Изпълнете отново синхронизирането на аватара от Cisco Directory Connector.
Конфликтни потребителски имейл акаунти
проблем
Резултатите от синхронизирането може да показват конфликтни потребителски имейл акаунти.
-
Ако потребителите са изпробвали безплатната версия на приложението Webex, техните имейл адреси се намират в безплатната организация на потребителите.
-
Ако потребителските имейли някога са били синхронизирани в друга организация.
-
Ако потребителските имейли съществуват в много домейни, които принадлежат на организацията.
Решение
Опитайте следното:
-
Изпълнете тези стъпки, ако се опитвате да заявите потребители:
-
Уверете се, че сте потвърдили домейна в Control Hub.
-
Временно деактивирайте Cisco Directory Connector.
-
Използвайте опцията „Заявяване на потребител“ в Control Hub, за да заявите всички акаунти, които може да съществуват в безплатната организация на потребителите. Вижте Заявяване на потребители за вашата организация (Конвертиране на потребители) за повече информация.
-
Направете пробно изпълнение в Cisco Directory Connector и след това активирайте отново синхронизирането на указатели
-
-
За последния случай проверете двукратно потребителските данни във вашите източници на Active Directory.
Преобразуван потребител, маркиран като неактивен
проблем
В синхронизираната с указателя среда сте преобразували безплатен потребител (потребителска организация) във вашата корпоративна организация, но преобразуваният потребител не може да влезе в приложението Webex.
Възможна причина
Когато безплатният потребител бъде преобразуван в корпоративната организация, потребителят се маркира като неактивен в продължение на 30 дни като мярка за съответствие на защитата. През този период потребителят не може да влезе в приложението Webex и е маркиран за изтриване в края на 30-дневния период. Тази ситуация възниква, защото безплатната информация за потребителя не се намира в Active Directory.
Решение
Трябва да предприемете действие, ако не искате потребителският акаунт да бъде изтрит. За да разрешите този проблем, създайте потребителски акаунт във вашата локална Active Directory, който съответства на конвертирания безплатен потребителски акаунт. След това изпълнете синхронизация от Cisco Directory Connector. След това потребителят ще може да влезе отново в приложението Webex и акаунтът няма да бъде изтрит.
Постепенното синхронизиране е неуспешно
проблем
Постепенното синхронизиране е неуспешно.
Този проблем може да възникне в Windows Server 2008 R2 при следните условия:
-
Поддържате актуализации на частична стойност.
-
Филтърът, който използвате, препраща към свързан атрибут на стойност.
-
Стойностите на резултатите за този атрибут са актуализирани от последния път, когато е извършено пълно синхронизиране.
Решение
Windows Server 2008 R2 има грешка, която е свързана с този проблем. Грешката е поправена през 2012 г. R2 и по-нови. Препоръчваме да надстроите своя Windows Server поне до 2012 R2.
Невалидна стойност за атрибут
проблем
За [user dn (различно име)] атрибутът [име на атрибут] има следната невалидна стойност [стойност на атрибут].
Възможна причина
За CN=b,OU=Служители,OU=C Потребители,DC=c,DC=com атрибутът [телефонен номер] има следната невалидна стойност: +. Този атрибут трябва да съдържа поне една цифра.
Решение
Атрибут за този потребител няма валидна стойност. Коригирайте стойността му в съответствие с описанието в предупредителното съобщение. След това извършете друга синхронизация.
Съответстващи потребители за изтриване
проблем
Съответстващите потребители са маркирани за изтриване.
Когато извършвате синхронизиране на пробно изпълнение, за да проверите данните между Active Directory и облака, може да видите един и същ имейл адрес и в двете. Потребителят обаче е маркиран като обект за изтриване.
Решение
Изберете подходяща корекция:
-
Ако е приемливо да изтриете потребителя и да извършите отново лицензите след това, можете да използвате Directory Connector за корекцията. Извършете синхронизация, за да изтриете потребителя, и след това извършете друга синхронизация, за да синхронизирате потребителя от локалната AD към облака.
-
Ако не можете да изтриете и пресъздадете потребителския акаунт, отворете случай с поддръжка.
Липсващ атрибут
проблем
Необходимият атрибут [attribute_name] при добавяне на локален запис [user dn (разграничено име)]. Записът не се създава в Control Hub, докато всички задължителни атрибути не имат стойност.
Възможна причина
Липсва задължителният имейл адрес на атрибута. При добавяне на локален запис [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], записът не се създава в Control Hub, докато всички задължителни атрибути не имат стойност.
Решение
Един от необходимите атрибути липсва за потребителя [user_email_address]. Предоставете необходимите стойности за този потребител.
Вложена група няма да се синхронизира
проблем
Потребителите в група за вграден Active Directory не са синхронизирани правилно с облака.
Възможна причина
Използва се филтър, който включва както дъщерната група, така и родителската група, който не се поддържа. Например: (членof=CN=testgroup1,CN=Потребители,DC=rktest2008,DC=org)
Решение
Трябва да преконфигурирате филтъра, който синхронизира групите. Например: |(memberof=CN=testgroup1,CN=Потребители,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Потребители,DC=rktest2008,DC=org)
Конфликт между имена на потребители
проблем
Има конфликт при именуване за [user dn] за съществуващ обект с въвеждане в облака с името: [имейл адрес на потребител] и от тип потребител [user_type].
Възможна причина
Потребител с този имейл адрес вече съществува в Control Hub.
Решение
Създайте потребител във вашия Active Directory със същия имейл адрес като акаунта, който сте регистрирали чрез Control Hub.
Control Hub
Списъкът с потребители липсва в Control Hub
проблем
Ако имате организация на Webex с повече от 1000 синхронизирани потребители, е възможно да не виждате списъка с потребители в Control Hub.
Решение
Можете да използвате функцията за търсене, за да намерите потребителски акаунт. В Control Hub отидете на Потребители, щракнете върху търсене и след това въведете критерии за търсене, за да намерите определен потребител.
Групите няма да се синхронизират с Control Hub
проблем
Потребителите в група за указател няма да се синхронизират правилно с Control Hub.
Възможна причина
Групата не е маркирана като isCriticalSystemObject в Active Directory.
Решение
Уверете се, че атрибутът isCriticalSystemObject е зададен на TRUE в Active Directory.
Разрешаване на отстраняване на неизправности за конектор за указател
Можете да активирате отстраняването на неизправности, за да помогнете за диагностицирането на грешки, които срещнете в Directory Connector. Отстраняването на неизправности ви позволява да заснемете информацията за мрежовия трафик и да я запишете във файл.
Регистрационните файлове, които са: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Регистрационни файлове
| 1 |
Изпълнете файла |
| 2 |
Рестартирайте услугата. Вижте Как да стартирате услуги за насоки. |
| 3 |
В Directory Connector щракнете върху Табло. |
| 4 |
Отидете на Действия и след това щракнете върху . |
| 5 |
Когато отстраняването на неизправности е активирано, повторете действията, които са причинили грешка; това улавя данните за трафика, за да могат да бъдат разгледани. |
| 6 |
Преглед на регистрационните файлове: ако файлът е празен, уверете се, че акаунтът има привилегии за достъп до вашите AD DS или AD LDS. Папката с регистрационни файлове записва файлове само за последните 3 дни. Съдържанието на регистрационните файлове съответства на изхода от регистрационния файл на събитието към системата. |
| 7 |
Ако е необходимо, изпратете регистрационния файл на поддръжката за помощ. |
| 8 |
Деактивирайте функцията за отстраняване на неизправности, когато сте готови. |
Стартиране на визуализатора на събития
За да видите събитията, които са се случили по време на пълно или постепенно синхронизиране, стартирайте визуализатора на събития. Показва обобщение на административните събития и регистрационните файлове за грешки.
| 1 |
От Directory Connector отидете на Табло , след което щракнете върху Действие > Стартиране на визуализатора на събития. Диалоговият прозорец „Свойства на събитието“ показва подробностите за събитието за синхронизиране и подробностите за грешките. |
| 2 |
От Event Viewer отидете на .
|
| 3 |
Под Действия щракнете върху Запиши всички събития като , за да експортирате всички регистрационни файлове като един файл на събития (*.evtx) или друг формат, като xml или csv. |
Какво да направите след това
Ако трябва да отворите случай, свържете се с поддръжката, опишете проблема с конектора и след това прикачете файла Events към вашия случай.
Регистрационните файлове за събития снемат действия от потребители. За помощ при управление на мрежовия трафик активирайте отстраняването на неизправности на конектора.
Разрешаване на TLS в Internet Explorer
Ако сте превключили доставчици на еднократна идентификация (SSO), може да видите следните съобщения за грешка от Cisco Directory Connector:
-
Възникна грешка при влизане в услугата
-
Възникна грешка в скрипта на тази страница
Ако видите тези грешки, трябва да разрешите настройка за TLS в браузъра си.
| 1 |
Отворете Internet Explorer, след което изберете Инструменти. Сега поставете отметка в квадратчетата за TLS/SSL версията, която искате да разрешите. Щракнете върху OK Затвори браузъра и го отворете отново |
| 2 |
Щракнете върху Опции за интернет , отидете на Разширени , превъртете до Защита. |
| 3 |
Поставете отметка в квадратчетата Използване на TLS 1.1 и Използване на TLS 1.2 и след това щракнете върху OK.
|
| 4 |
Рестартирайте системата си, за да влязат в сила промените. |
Отстраняване на неизправности при влизане в акаунта за услуга
Ако не можете да влезете в Cisco Directory Connector или не можете да изпълните синхронизация, използвайте тези стъпки, за да се опитате да разрешите проблема, преди да се свържете с поддръжката.
| 1 |
Опитайте да посетите https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL в уеб браузъра си. |
| 2 |
Изберете един, в зависимост от резултатите:
|
| 3 |
Като минимум се уверете, че конфигурираният акаунт за услугата Cisco DirSync (която може да бъде намерена в услугите на Windows) има ниво на привилегии, което му позволява достъп до данни за аватар и AD данни. По подразбиране услугата използва идентификационните данни за влизане в акаунта за Windows и удостоверяването. |
Проверка на SafeDllSearchMode в регистъра на Windows
Режимът на търсене в библиотеката с безопасни динамични връзки (DLL) е зададен по подразбиране в регистъра на Windows и по-късно поставя текущата директория на потребителя в реда на търсене в DLL. Ако този режим по някакъв начин е деактивиран, атакуващият може да постави злонамерен DLL (наречен същото като препратен DLL файл, който се намира в системната папка) в текущата работеща директория на приложението.
Обикновено SafeDllSearchMode е активиран, но използвайте тази процедура, за да проверите двукратно настройките на системния регистър.
Преди да започнете
Промените в регистъра на Windows трябва да се правят с изключително внимание. Препоръчваме ви да направите резервно копие на своя регистър, преди да използвате тези стъпки.
| 1 |
В търсенето на Windows или прозореца „Изпълнение“ въведете Regedit и след това натиснете Enter. |
| 2 |
Отидете на HKEY_ЛОКАЛНАТА МАШИНА_\Система\CurrentControlSet\Control\Диспечер на сесии. |
| 3 |
Изберете един:
|
За повече информация вижте Поръчка за търсене в библиотеката с динамични връзки.
Общ преглед на Cisco Directory Connector
Общ преглед на конектора за указатели
Directory Connector е локално приложение за синхронизиране на идентичността в облака. Можете да изтеглите софтуера на конектора от Control Hub и да го инсталирате на вашата локална машина.
С Directory Connector можете да поддържате потребителските си акаунти и данни в Active Directory, така че Active Directory се превръща в единствен източник на истина. Когато направите промяна на място, тя се възпроизвежда в облака.
Вижте всички функции, описания и предимства в таблицата:
| Функция | Описание и полза |
|---|---|
| Лесно за използване табло | Таблото предоставя график за синхронизиране, обобщение и състояние на синхронизацията, както и състояние на Directory Connector. Можете да видите таблото по всяко време, когато влезете. |
| Пробно изпълнение преди синхронизиране с облака | Извършете пробно изпълнение на промените в указателя, преди да бъдат внедрени в облака. След това изпълнете отчет, за да видите, че промените, които искате да направите, са това, което очаквате. |
| Пълно и постепенно синхронизиране | Синхронизирайте цялата директория. Или просто синхронизирайте инкременталните промени, за да спестите обработваща мощност и да съкратите времето за синхронизиране. |
|
Синхронизиране на множество домейни (една гора или множество гори) |
Directory Connector поддържа множество домейни или под една гора, или под множество гори (без нужда от AD LDS). За предприятия с множество домейни на Active Directory, можете да инсталирате Directory Connector за всеки домейн, да свържете всеки домейн с вашата организация и след това да синхронизирате всяка потребителска база в Webex. Control Hub отразява състоянието, като показва състоянието на синхронизация за множество Directory Connectors, позволява ви да изключите синхронизирането за определен домейн и деактивирате Directory Connector при разполагане с висока наличност. |
| Планирано синхронизиране | Задайте график за синхронизиране по ден, час и минута. |
| Lightweight Directory Access Protocol (LDAP) филтри | Дефинирайте критерии за търсене в LDAP и осигурете ефективно импортиране. |
| Съпоставяне на атрибути на Active Directory | Съпоставете атрибути на Microsoft Active Directory със съответстващи атрибути в облака на Webex. Можете да съпоставяте атрибути, които са от значение за вашата конфигурация на Active Directory, и също така да дефинирате персонализирани атрибути, които да съпоставяте към облака. Атрибутите от локалните местоположения формират различни данни в облака, като информация за потребителския акаунт, телефонни номера за влизане в Webex Teams, SIP адреси за ресурси на Room и други данни за карта за контакт на потребителите (длъжност, отдел, мениджър и т.н.). |
|
Корпоративен указател за локални ресурси на стаята и потребители на Cisco Webex Calling (PSTN в облака) и корпоративни контакти без лицензиране за Webex |
Ако част от вашата организация използва PSTN в облака на Cisco Webex Calling за услуга за повиквания или имате локални устройства Room, тази функция позволява на потребителите да търсят в указателя за корпоративни контакти от техните телефони Cisco Webex Calling (PSTN в облака) или от ресурсите Room.
|
| Визуализатор на събитие | Използвайте визуализатора на събития, за да определите дали има проблеми със синхронизирането. |
| Инструмент за диагностика и отстраняване на неизправности | Можете да използвате вградения диагностичен инструмент за отстраняване на неизправности при внедряването на Cisco Directory Connector. Ако синхронизирането не работи правилно, може да имате конфигурационна или мрежова грешка. Този инструмент тества връзката ви с Active Directory, така че да можете сами да диагностицирате грешки, преди да се свържете с поддръжката. След като разрешите отстраняването на неизправности в Directory Connector, се записват регистрационни файлове, които могат да бъдат изпратени на техническата поддръжка. |
| Автоматично надстройване | След като инсталирате Directory Connector, получавате известие всеки път, когато е налична нова версия на софтуера. Можете да настроите автоматични надстройки, така че винаги да сте на най-новата версия на софтуера, когато се пуска нова версия. |
| Висока наличност | Конфигурирайте множество конектори, така че да има резервно копие, в случай че главният конектор или хостът на машината го прекъсне. |
Directory Connector е разделен на три области:
-
Control Hub е единственият интерфейс, който ви позволява да управлявате всички аспекти на вашата организация в Webex: преглеждайте потребителите, задайте лицензи, изтеглете Directory Connector и конфигурирайте еднократна идентификация (SSO) , ако искате вашите потребители да се удостоверяват чрез техния доставчик на корпоративна самоличност и не искате да изпращате имейл покани за приложението Webex.
-
Интерфейсът за управление на Directory Connector е софтуерът, който можете да изтеглите от Control Hub и да инсталирате на надежден сървър на Windows. За множество домейни на Active Directory можете да инсталирате един миг от софтуера за всеки домейн, който искате да синхронизирате. Като използвате софтуера, можете да изпълните синхронизация, за да пренесете потребителските си акаунти от Active Directory в Webex, да преглеждате и наблюдавате статуса на синхронизиране и да конфигурирате услугите на Directory Connector.
-
Услугата за синхронизиране на указатели изисква от вашия Active Directory да извлече потребители и групи за синхронизиране с услугата за конектор и Directory Connector.
Вижте тази схема, за да разберете архитектурата на Directory Connector:
Подготовка на средата за конектор за указатели
Изисквания за Directory Connector
Изисквания за Windows и Active Directory
Можете да инсталирате Directory Connector на следните поддържани сървъри на Windows:
-
Сървър на Windows 2022
-
Windows Server 2019
-
Windows Server 2016
За да разрешите проблем с бисквитките, препоръчваме да надстроите своя домейнов контролер до издание, което съдържа корекцията – Windows Server 2012 R2 или 2016.
Directory Connector се поддържа със следните услуги на Active Directory:
-
Active Directory 2016
(Directory Connector се поддържа при използване на най-новата версия на Active Directory на Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Обърнете внимание на следните допълнителни изисквания:
-
Directory Connector изисква TLS1.2. Трябва да инсталирате следното:
-
.NET Framework v3.5 (изисква се за приложението Directory Connector. Ако срещнете някакви проблеми, използвайте указанията в Активиране на .NET рамка 3.5, като използвате съветника за добавяне на роли и функции.)
-
.NET Framework v.4.5 (изисква се за TLS1.2)
-
-
Изисква се Active Directory Forest функционално ниво 2 (Windows Server 2003) или по-високо. (Вижте Какво представляват функционални нива на Active Directory? за повече информация.)
Изисквания към хардуера
Трябва да инсталирате Directory Connector на компютър със следните минимални изисквания към хардуера:
-
8 GB ОПЕРАТИВНА ПАМЕТ
-
50 GB място за съхранение
-
Няма минимум за процесора
Изисквания за мрежата
Ако мрежата се намира зад защитна стена, се уверете, че системата ви има HTTPS (порт 443) достъп до интернет.
Изисквания за организацията на Webex
-
За достъп до софтуера Directory Connector от Control Hub е необходима организация на Webex с пробна версия или платен абонамент.
-
(По избор) Ако искате новите потребителски акаунти на приложението Webex Да бъдат активни преди първото влизане, препоръчваме да направите следното:
-
Добавете, потвърдете и по желание заявете домейни , които съдържат потребителските имейл адреси, които искате да синхронизирате в облака.
-
Направете интегриране с еднократна идентификация (SSO) на вашия доставчик на самоличност (IdP) с вашата организация на Webex.
-
Потиснете автоматичните покани по имейл, така че новите потребители да не получават автоматичната покана по имейл, а вие да можете да направите собствена имейл кампания. (Тази функция изисква интегриране на SSO.)
-
За повече информация вижте Потребителски статуси и действия в Control Hub.
Изисквания за инсталиране
-
За среда с множество домейни (или за една гора, или за множество гори) трябва да инсталирате един Directory Connector за всеки домейн на Active Directory. Ако искате да синхронизирате нов домейн (B), докато поддържате синхронизираните потребителски данни на друг съществуващ домейн (A), се уверете, че имате отделен поддържан Windows сървър, за да инсталирате Directory Connector за синхронизиране на домейни (B).
-
За влизане в конектора не изискваме акаунт на администратор в Active Directory. Изискваме локален потребителски акаунт, който е същият потребител като пълен администраторски акаунт в Control Hub.
Този локален потребител трябва да има привилегии на тази машина с Windows, за да се свърже с контролера на домейни и да чете потребителски обекти в Active Directory. Акаунтът за влизане на машината трябва да е компютърен администратор с привилегии за инсталиране на софтуер на локалната машина. (Тази информация се отнася и за влизане с виртуална машина.)
-
При влизане в конектора акаунтът за влизане трябва да бъде същият като пълния администраторски акаунт за Control Hub. По подразбиране конекторът използва локалния системен акаунт за достъп до Active Directory. Можете обаче да използвате услугите на Windows, за да конфигурирате друг акаунт за достъп до Active Directory. (Тази информация се отнася и за влизане с виртуална машина.)
-
Уверете се, че режимът за търсене в библиотеката с динамични връзки (DLL) на Windows е активиран, като използвате тази процедура: Проверете SafeDllSearchMode в регистъра на Windows.
-
Ако използвате AD LDS за множество домейни на една гора, препоръчваме да инсталирате Directory Connector и Active Directory Domain Service/Lightweight Directory Services (AD DS/AD LDS) на отделни машини.
Няколко изисквания за домейни
Преди да следвате задачите в потока от задачи за разполагане на Cisco Directory Connector, имайте предвид следните изисквания и препоръки, ако ще синхронизирате информация от Active Directory от множество домейни в облака:
-
За всеки домейн се изисква отделен екземпляр на Directory Connector.
-
Софтуерът на Directory Connector трябва да се изпълнява на хост, който е на същия домейн, който ще се синхронизира.
-
Препоръчваме ви да потвърдите или заявите своите домейни в Control Hub. (Вижте Добавяне, потвърждаване и заявяване на домейни.)
-
Ако искате да синхронизирате повече от 50 домейна, трябва да отворите билет , за да преместите организацията си в голям списък на организацията.
-
Ако желаете, можете да синхронизирате информацията за ресурсите на стаята заедно с потребителските акаунти. (Вижте Синхронизиране на информация за локалните стаи с облака на Webex.)
Препоръки за група от Active Directory за автоматично задаване на лицензи
Групите в Active Directory се използват за събиране на потребителски акаунти, компютърни акаунти и други групи в управляеми единици. Работата с групи, а не с отделни потребители, помага за опростяване на поддръжката и администрирането на мрежата.
В Active Directory има два типа групи:
-
Групи за разпространение – използват се за създаване на списъци за разпространение по имейл.
-
Групи за защита – използват се за присвояване на разрешения на споделени ресурси.
Имайте предвид следните указания, когато създавате групи в Active Directory:
-
Създайте глобална група за всяка роля, отдел или услуга (като продажби, маркетинг, мениджъри, счетоводители, лицензиране на Webex и т.н.).
-
Използвайте стандартни конвенции за именуване във вашата организация, за да улесните идентифицирането на важна информация за дадена група. Имената на групи могат да включват подробности за групата, като например нивото на достъп, типа на ресурсите, нивото на защита, обхвата на групата, възможностите за поща и т.н. Например името на групата „GSG_Webex_Licensing_EMEAR“ се отнася за глобална група за защита за потребители на EMEAR за Webex Licensing.
-
Организирайте групи по лесен за разбиране начин, например по географска или управленска йерархия. Използвайте описания на групи, за да опишете напълно целта на групата.
-
Преди да добавите потребители към новоосигурените групи, дефинирайте шаблона за група за автоматично лицензиране в Control Hub за тези групи. Вижте Настройване на вашия шаблон за автоматично задаване на лицензи за повече информация.
Информация за оразмеряване
Directory Connector работи като мост между локалната Active Directory и облака на Webex. Като такъв конекторът няма горно ограничение за това колко обекти от Active Directory могат да бъдат синхронизирани с облака. Всички ограничения в локалните директории обекти са обвързани със специфичната версия и спецификациите за средата на Active Directory, която се синхронизира с облака, а не със самия конектор.
Няколко фактора могат да повлияят на скоростта на синхронизацията:
-
Общият брой обекти в Active Directory. (Задание за синхронизиране на 5000 потребители няма да отнеме толкова време, колкото 50000.)
-
Скорост на мрежата и честотна лента.
-
Работно натоварване на системата и спецификации.
Ако синхронизирате повече от 50 000 потребители, настоятелно препоръчваме да използвате втори конектор за отказ и резервиране.
Тъй като при синхронизирането са включени няколко фактора и тъй като всяко разгръщане варира в зависимост от горните фактори, не можем да предоставим конкретни стойности за време за това колко време ще отнеме синхронизирането на обекта.
Проверка на SafeDllSearchMode в регистъра на Windows
Режимът на търсене в библиотеката с безопасни динамични връзки (DLL) е зададен по подразбиране в регистъра на Windows и по-късно поставя текущата директория на потребителя в реда на търсене в DLL. Ако този режим по някакъв начин е деактивиран, атакуващият може да постави злонамерен DLL (наречен същото като препратен DLL файл, който се намира в системната папка) в текущата работеща директория на приложението.
Обикновено SafeDllSearchMode е активиран, но използвайте тази процедура, за да проверите двукратно настройките на системния регистър.
Преди да започнете
Промените в регистъра на Windows трябва да се правят с изключително внимание. Препоръчваме ви да направите резервно копие на своя регистър, преди да използвате тези стъпки.
| 1 |
В търсенето на Windows или прозореца „Изпълнение“ въведете Regedit и след това натиснете Enter. |
| 2 |
Отидете на HKEY_ЛОКАЛНАТА МАШИНА_\Система\CurrentControlSet\Control\Диспечер на сесии. |
| 3 |
Изберете един:
|
За повече информация вижте Поръчка за търсене в библиотеката с динамични връзки.
Интегриране на уеб прокси сървър
Интегриране на уеб прокси сървър
Ако удостоверяването на уеб прокси е активирано във вашата среда, все още можете да използвате Directory Connector.
Ако вашата организация използва прозрачен уеб прокси, тя не поддържа удостоверяване. Конекторът успешно се свързва и синхронизира потребителите.
Можете да използвате един от следните подходи:
-
Изрично уеб прокси сървър чрез Internet Explorer (конекторът наследява настройките на уеб прокси сървъра)
-
Изрично уеб прокси сървър през .pac файл (конекторът наследява специфичните за предприятието настройки на прокси сървър)
-
Прозрачен прокси сървър, който работи с конектора без никакви промени
Използване на уеб прокси сървър през браузъра
Можете да настроите Directory Connector да използва уеб прокси сървър през Internet Explorer.
Ако услугата Cisco DirSync се изпълнява от акаунт, различен от текущо влезлия потребител, трябва също да влезете с този акаунт и да конфигурирате уеб прокси сървър.
| 1 |
От Internet Explorer отидете на Опции за интернет, щракнете върху Връзки и след това изберете LAN настройки. |
| 2 |
Посочете екземпляра на Windows, където конекторът е инсталиран на вашия уеб прокси сървър. Конекторът наследява тези настройки за уеб прокси сървър. |
| 3 |
Ако средата ви използва удостоверяване чрез прокси сървър, добавете тези URL адреси към списъка с разрешени:
Можете да извършите това или за целия сайт (за всички организатори), или само за организатора, който има конектора. Ако добавите тези URL адреси към списък с разрешени, за да заобиколите напълно вашия уеб прокси сървър, се уверете, че таблицата ACL на защитната стена е актуализирана, за да се позволи на хоста на конектора да има директен достъп до URL адресите. |
| 4 |
Ако средата ви трябва да поиска списъци за анулиране на сертификати от сертифициращите органи, добавете тези URL адреси към списъка с разрешени:
За повече информация вижте тази статия за домейните и URL адресите, които трябва да бъдат достъпни за услугите на Webex. |
Конфигуриране на уеб прокси сървър чрез PAC файл
Можете да конфигурирате браузър на клиент да използва .pac файл. Този файл предоставя адреса на уеб прокси сървъра и информация за порт. Directory Connector директно наследява специфичната за предприятието конфигурация на уеб прокси сървъра.
| 1 |
За да може конекторът успешно да свърже и синхронизира потребителската информация с облака на Webex, се уверете, че удостоверяването с прокси сървър е деактивирано за |
| 2 |
Ако средата ви използва удостоверяване чрез прокси сървър, добавете тези URL адреси към списъка с разрешени:
Можете да извършите това или за целия сайт (за всички организатори), или само за организатора, който има конектора. Ако добавите тези URL адреси към списък с разрешени, за да заобиколите напълно вашия уеб прокси сървър, се уверете, че таблицата ACL на защитната стена е актуализирана, за да се позволи на хоста на конектора да има директен достъп до URL адресите. |
| 3 |
Ако средата ви трябва да поиска списъци за анулиране на сертификати от сертифициращите органи, добавете тези URL адреси към списъка с разрешени:
За повече информация вижте тази статия за домейните и URL адресите, които трябва да бъдат достъпни за услугите на Webex. |
NTLM прокси сървър
Directory Connector поддържа NT LAN диспечер (NTLM). NTLM е един подход за поддържане на удостоверяване на Windows сред устройствата на домейна и гарантиране на тяхната сигурност.
NTLM дизайн
В повечето случаи потребителят иска достъп до други ресурси на работна станция чрез клиентски компютър, което може да е трудно да се направи по сигурен начин.
Като цяло техническият дизайн на NTLM се основава на механизъм за предизвикателство
и отговор
:
-
Потребителят влиза в клиентския компютър чрез акаунт и парола за Windows. Паролата никога не се записва локално. Вместо обикновена текстова парола, хеш стойността на паролата се съхранява локално. Когато потребителят влезе чрез паролата към клиента, операционната система Windows сравнява съхранената стойност на хеширане и стойността на хеширането от входната парола. Ако и двете са еднакви, удостоверяването преминава.
Когато потребителят иска достъп до някой ресурс на друг сървър, клиентът изпраща заявка към сървъра с името на акаунта в обикновен текст.
-
Когато сървърът получи заявката, сървърът генерира 16-битов случаен ключ. Ключът се нарича предизвикателство (или nonce). Преди сървърът да се върне към клиента, предизвикателството се съхранява в сървъра. И след това сървърът изпраща предизвикателството до клиента в обикновен текст.
-
Веднага след като клиентът получи предизвикателството, изпратено от сървъра, клиентът шифрова предизвикателството с хеш стойността, която е спомената в стъпка 1. След шифроване стойността се изпраща обратно към сървъра.
-
Когато сървърът получи шифрованата стойност от клиента, сървърът я изпраща на контролера на домейна за потвърждение. Искането включва: името на акаунта, шифрованото предизвикателство, което клиентът е изпратил, и първоначалното недвусмислено предизвикателство.
-
Контролерът на домейна може да извлече хешираните стойности на паролата според името на акаунта. И тогава домейнов контролер може да шифрира първоначалното предизвикателство. След това контролерът на домейна може да сравни с получената стойност на хеш и шифрованата стойност на хеш. Ако те са еднакви, проверката е успешна.
Windows има вградено удостоверяване на защитата в операционната система, което улеснява приложенията да поддържат удостоверяване на защитата. В резултат на това не е необходимо да извършвате допълнително конфигуриране.
Конфигуриране на прозрачно прокси
В този сценарий браузърът не знае, че прозрачен уеб прокси сървър прихваща http заявки (порт 80/порт 443) и не се изисква конфигуриране от страна на клиента.
| 1 |
Разположете прозрачен прокси сървър, така че конекторът да може да свързва и синхронизира потребители. |
| 2 |
Потвърдете, че прокси сървърът е успешен – ще видите очакван изскачащ прозорец за удостоверяване на браузъра при стартиране на конектора. |
Задаване на удостоверяване в прокси сървър
Добавете URL адреса cloudconnector.webex.com към своя списък с разрешени, като създадете списък за контрол на достъпа.
На вашия корпоративен сървър на защитна стена:
| 1 |
Активирайте търсенето на DNS, ако вече не е активирано. |
| 2 |
Определете приблизителна скорост на предаване за тази връзка (приблизително 2 mb/s или по-малко за конектора). Това може да не е необходимо. |
| 3 |
Създайте списък за управление на достъпа, който да приложите към хоста на конектора, и посочете Например: access-list 2000 acl-inside extended permit TCP [IP на конектора] cloudconnector.webex.com eq https |
| 4 |
Приложете този ACL към подходящия интерфейс на защитната стена, който е приложим само за този хост с един конектор. |
| 5 |
Уверете се, че от останалите организатори във вашето предприятие все още се изисква да използват вашия уеб прокси сървър, като конфигурират съответната декларация за отказ. |
Разполагане на конектор за указател
Поток на задачи за разполагане на Cisco Directory Connector
Преди да започнете
| 1 |
Инсталиране на конектор за указател Control Hub първоначално показва синхронизирането на указатели като деактивирано. За да включите синхронизирането на указатели за вашата организация, трябва да инсталирате и конфигурирате Directory Connector и след това да извършите успешно пълно синхронизиране. За ново инсталиране на Directory Connector винаги отидете в Control Hub ( https://admin.webex.com), за да получите най-новата версия на софтуера, така че да използвате най-новите функции и корекции на грешки. След като инсталирате софтуера, надстройките се отчитат чрез софтуера и се инсталират автоматично, когато са налични. |
| 2 |
Влезте с идентификационните си данни на администратор на Webex и изпълнете първоначалната настройка. |
| 3 |
Задаване на автоматични надстройки Винаги е важно да поддържате софтуера си Directory Connector актуален до най-новата версия. Препоръчваме ви да използвате тази процедура, за да позволите автоматичните надстройки на софтуера да се инсталират мълчаливо, когато са налични. |
| 4 |
Избор на обекти в Active Directory за синхронизиране По подразбиране Directory Connector синхронизира всички потребители, които не са компютри, и всички групи, които не са критични системни обекти за даден домейн. За повече контрол върху това кои обекти се синхронизират, можете да изберете конкретни потребители, за да синхронизирате и посочите LDAP филтрите, като използвате страницата за избор на обект в Directory Connector. |
| 5 |
Съпоставяне на потребителски атрибути Можете да съпоставяте атрибути от вашата локална Active Directory със съответни атрибути в облака. Единственото задължително поле е *uid. |
| 6 |
Синхронизирайте аватарите на указатели, като използвате една от следните процедури:
Можете да синхронизирате аватарите на вашите потребители с облака, така че да се показва аватара на всеки потребител, когато той влезе в приложението. Можете да синхронизирате аватарите от атрибут на Active Directory или ресурсен сървър. |
| 7 |
Синхронизиране на информацията за локалните стаи с облака на Webex Използвайте тази процедура, за да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака устройства за стая, като устройство Webex Room или Cisco Webex Board |
| 8 |
За да осигурите Потребители От Active Directory В Control Hub, изпълнете следните стъпки:
Следвайте тази последователност, за да осигурите потребители на Active Directory за акаунтите за приложението Webex. Можете да осигурите потребители от множество горски или множество домейни, разполагане на Active Directory за Directory Connector 3.0 и по-нови версии. По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. Целта е да имате точно съвпадение между вашите Active Directories и облака на Webex. |
Инсталиране на конектор за указател
Control Hub първоначално показва синхронизирането на указатели като деактивирано. За да включите синхронизирането на указатели за вашата организация, трябва да инсталирате и конфигурирате Directory Connector и след това да извършите успешно пълно синхронизиране.
Трябва да инсталирате един конектор за всеки домейн на Active Directory, който искате да синхронизирате. Един екземпляр на Directory Connector може да обслужва само един домейн. Вижте следната схема, за да разберете потока за синхронизиране на множество домейни:
Преди да започнете
Ако се удостоверявате чрез прокси сървър, се уверете, че имате своите идентификационни данни за прокси сървър:
-
За базово удостоверяване в прокси сървър ще въведете потребителското име и паролата, след като инсталирате екземпляр на конектора. Конфигурацията на прокси сървъра на Internet Explorer се изисква също и за базово удостоверяване; вижте Използване на уеб прокси сървър през браузъра
-
За прокси NTLM може да видите грешка, когато отворите конектора за първи път. Вижте Използване на уеб прокси сървър през браузъра.
| 1 |
В Control Hub отидете на и изберете Напред. |
| 2 |
Щракнете върху връзката Изтегляне и инсталиране, за да запишете най-новата версия на .zip файла за инсталиране на конектор на вашия VMware или сървър на Windows. Можете да получите .zip файла директно от тази връзка, но трябва да имате пълен администраторски достъп до организация на Control Hub, за да работи този софтуер. За нова инсталация получете най-новата версия на софтуера, така че да използвате най-новите функции и корекции на грешки. След като инсталирате софтуера, надстройките се отчитат чрез софтуера и се инсталират автоматично, когато са налични. |
| 3 |
На сървъра на VMware или Windows разархивирайте и изпълнете .msi файла в папката за настройка, за да стартирате съветника за настройка. |
| 4 |
Щракнете върху Напред, поставете отметка в квадратчето, за да приемете лицензионното споразумение и след това щракнете върху Напред, докато видите екрана за тип на акаунта. |
| 5 |
Изберете типа акаунт за услуга, който искате да използвате, и изпълнете инсталирането с акаунт на администратор:
За да избегнете грешки, се уверете, че са въведени следните привилегии:
|
| 6 |
Щракнете върху Инсталиране. След като тестът на мрежата се изпълни и ако бъдете подканени, въведете основните идентификационни данни за прокси сървъра, щракнете върху OK и след това щракнете върху Край. |
Какво да направите след това
Препоръчваме да рестартирате сървъра след инсталирането. Отчетът за пробно изпълнение не може да покаже правилния резултат, когато данните не са били освободени. При рестартиране на машината всички данни се опресняват, за да се покаже точен резултат в отчета.
Влизане В Directory Connector
Преди да започнете
Уверете се, че имате идентификационните си данни за прокси сървъра.
-
За основно удостоверяване на прокси сървъра ще въведете потребителското име и паролата, след като отворите конектора за първи път.
-
За NTLM на прокси сървър отворете Internet Explorer, щракнете върху иконата на зъбно колело, отидете на Опции за интернет > Връзки > Настройки на LAN, осигурете добавена информация за прокси сървъра, след което щракнете върху OK. Вижте Използване на уеб прокси сървър през браузъра.
| 1 |
Отворете конектора и след това добавете |
| 2 |
Ако получите подкана, влезте с идентификационните си данни за удостоверяване на прокси сървъра и след това влезте в Webex с помощта на администраторския си акаунт и щракнете върху Напред. |
| 3 |
Потвърдете вашата организация и домейн.
|
| 4 |
След като се появи екранът Потвърждаване на организацията, щракнете върху Потвърждаване. Ако вече сте свързали AD DS/AD LDS, се появява екранът Потвърждаване на организацията. |
| 5 |
Щракнете върху Потвърждаване. |
| 6 |
Изберете един, в зависимост от броя домейни на Active Directory, които искате да свържете с Directory Connector:
|
Какво да направите след това
След като влезете, ще бъдете подканени да извършите пробно изпълнение на синхронизиране.
Табло за конектори за указатели
Когато за първи път влезете в Directory Connector, се появява таблото. Тук можете да видите обобщение на всички дейности по синхронизиране, да видите статистика за облака, да извършите пробно изпълнение на синхронизиране, да започнете пълно или постепенно синхронизиране и да стартирате изгледа на събитието, за да видите информация за грешките.
Можете лесно да изпълнявате тези задачи от лентата с инструменти за действия или менюто „Действия“.
|
Компонент |
Описание |
|---|---|
|
Текущо синхронизиране |
Показва информация за статуса относно протичащата в момента синхронизация. Когато не се изпълнява синхронизиране, дисплеят за статус е свободен. |
|
Следващо синхронизиране |
Показва следващото планирано пълно и постепенно синхронизиране. Ако не е зададен график, се показва Непланирани. |
|
Последно синхронизиране |
Показва статуса на последните две извършени синхронизации. |
|
Статус на текущата синхронизация |
Показва общия статус на синхронизирането. |
|
Конектори |
Показва текущите локални конектори, които са достъпни за облака. |
|
Статистика за облака |
Показва общия статус на синхронизирането. |
|
График за синхронизиране |
Показва графика на синхронизиране за постепенно и пълно синхронизиране. |
|
Резюме на конфигурацията |
Изброява настройките, които сте променили в конфигурацията. Например обобщението може да включва следното:
|
| Действие | Описание |
|---|---|
| Започване на постепенно синхронизиране |
Ръчно стартиране на поетапно синхронизиране Това действие се деактивира, когато поставите на пауза или деактивирате синхронизирането, ако не е завършено пълно синхронизиране или ако е в ход синхронизиране. |
|
Пробно изпълнение на синхронизиране |
Извършете синхронизиране на пробно изпълнение. |
|
Стартиране на визуализатора на събития |
Стартирайте Microsoft Event Viewer. |
|
Обнови |
Обновяване на таблото на Cisco Directory Connector |
|
Действие |
Описание |
|---|---|
| Синхронизирай сега |
Незабавно започнете пълна синхронизация. |
|
Режим на синхронизиране |
Изберете режим на постепенно синхронизиране или режим на пълно синхронизиране. |
|
Нулиране на тайната на конектора |
Установете разговор между Cisco Directory Connector и услугата конектор. Ако изберете това действие, ще бъде нулирана тайната в облака и след това ще я бъде записана локално. |
|
Пробно изпълнение |
Изпълнете тест на процеса на синхронизиране. Трябва да изпълните пробно изпълнение, преди да извършите пълно синхронизиране. |
|
Отстраняване на неизправности |
Включване/изключване на отстраняването на неизправности. |
|
Обнови |
Опреснете главния екран на Cisco Directory Connector. |
|
Изход |
Изход от Cisco Directory Connector. |
|
Клавишна комбинация |
Действие |
|---|---|
|
Alt+A |
Показване на менюто Действия |
|
|
Синхронизиране сега |
|
|
Нулиране на тайната на конектора |
|
|
Пробно изпълнение |
|
|
Постепенно синхронизиране |
|
|
Пълно синхронизиране |
|
|
Показване на менюто Помощ |
|
|
Помощ |
|
|
За програмата |
|
|
чзв |
Задаване на автоматични надстройки
| 1 |
От Directory Connector отидете на , и след това проверете Автоматично надстройване до новата версия на Cisco Directory Connector. |
| 2 |
Щракнете върху Прилагане, за да запишете промените си. |
Новите версии на конектора се инсталират автоматично, когато са налични.
Можете да управлявате надстройките ръчно, ако предпочитате. Вижте Надстройване до най-новото издание на софтуера за повече информация.
Избор на обекти в Active Directory за синхронизиране
По подразбиране Directory Connector синхронизира всички потребители, които не са компютри, и всички групи, които не са критични системни обекти за даден домейн. За повече контрол върху това кои обекти се синхронизират, можете да изберете конкретни потребители, за да синхронизирате и посочите LDAP филтрите, като използвате страницата за избор на обект в Directory Connector.
Групи за автоматично задаване на лицензи
Control Hub ви позволява да управлявате задаванията на лицензи за всяка група. Можете да създадете шаблони за лицензи и да ги нанесете към групи на Active Directory, които синхронизирате с облака. В момента на създаването на потребител Webex проверява членството на потребителя и съпоставянето на шаблони за автоматично разпределение на лицензи за този нов потребител.
Препоръчваме ви да използвате LDAP филтър само за синхронизиране на съответните групи с облака. Например можете да зададете филтъра на:
(&(cn=Пример)(objectclass=Група))*
Този филтър синхронизира всички групи в базовия DN, където името започва с „Пример“. На потребителите, които не са зададени на групи, се задават лицензи от шаблона за автоматични лицензи по подразбиране, който сте конфигурирали в Control Hub.
Групи за разполагания на хибридна защита на данни
В Directory Connector трябва да проверите Групи, ако използвате хибридна защита на данни, за да конфигурирате пробна група за пилотни потребители. Вижте Ръководство за разполагане на хибридна защита на данни за насоки. Тази настройка на Directory Connector не засяга синхронизирането на други потребители в облака.
Преди да започнете
Препоръки за група от Active Directory за автоматично задаване на лицензи
| 1 |
От Directory Connector отидете на Конфигурация , след което щракнете върху Избор на обект. |
| 2 |
В раздела Тип обект отметнете Потребители и помислете за ограничаване на броя на контейнерите, които могат да се търсят, за потребителите. Ако искате да синхронизирате само потребителите в определена група, например трябва да въведете LDAP филтър в полето Филтри за LDAP потребители. Ако искате да синхронизирате потребители, които са в групата на примерния мениджър, използвайте филтър като този:
|
| 3 |
Отметнете Идентифициране на стаята, за да отделите данните за стаята от данните за потребителите. Щракнете върху Персонализиране, ако искате да настроите допълнителни атрибути за идентифициране на потребителски данни като данни за стаи. Използвайте тази настройка, ако искате да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака устройства за стая. За повече информация вижте Синхронизиране на информацията за локалните стаи с облака на Webex. |
| 4 |
Отметнете Групи, ако искате да синхронизирате потребителските си групи от Active Directory към облака. Не добавяйте LDAP филтър за синхронизиране на потребители към полето „Групи“. Трябва да използвате полето „Групи“ само, за да синхронизирате самите данни на групата с облака. По подразбиране групите не се синхронизират за нови клиенти. Трябва да активирате синхронизирането на групи. Трябва също така да синхронизирате групите за защита. |
| 5 |
Отметнете Контакти, ако искате да синхронизирате информацията за контакт на потребителите с облака. Directory Connector управлява само контактите, синхронизирани от конектора. Ако вече има контакти в Control Hub, синхронизирането не ги изтрива. Ако контактите бъдат премахнати от обхвата на синхронизацията, информацията за контакт на потребителите също ще бъде премахната в Control Hub. |
| 6 |
Конфигурирайте LDAP филтрите. Можете да добавите разширени филтри, като предоставите валиден LDAP филтър. Вижте тази статия за повече информация относно конфигурирането на LDAP филтри. |
| 7 |
Задайте DN на локалната база за синхронизиране, като щракнете върху Избор, за да видите дървената структура на вашия Active Directory. От тук можете да изберете или премахнете избора кои контейнери да търсите. |
| 8 |
Проверете дали обектите, които искате да добавите за тази конфигурация, и щракнете върху Избор. Можете да изберете отделни или родителски контейнери, които да използвате за синхронизиране. Изберете родителски контейнер, за да активирате всички детски контейнери. Ако изберете контейнер за деца, главният контейнер показва сива отметка, която показва, че детето е било отметнато. След това можете да щракнете върху Избор, за да приемете контейнерите в Active Directory, които сте проверили. Ако вашата организация поставя всички потребители и групи в контейнера за потребители, не е необходимо да търсите други контейнери. Ако вашата организация е разделена на организационни единици, се уверете, че сте избрали OUs. |
| 9 |
Щракнете върху Прилагане. Изберете опция:
За информация за пробните изпълнения вижте Извършване на синхронизиране на пробно изпълнение на вашите потребители в Active Directory. За синхронизиране на група трябва да извършите пълно синхронизиране: Извършване на пълно синхронизиране на потребителите на Active Directory в облака. |
Съпоставяне на потребителски атрибути
Можете да съпоставяте атрибути от вашата локална Active Directory със съответни атрибути в облака. Единственото задължително поле е *uid, уникален идентификатор за всеки потребителски акаунт в услугата за самоличност в облака.
Можете да изберете кой атрибут на Active Directory да съпоставите с облака – например можете да съпоставите firstName lastName в Active Directory или потребителски израз на атрибут, за да displayName в облака.
Акаунтите в Active Directory трябва да имат имейл адрес; по подразбиране uid се съпоставя с полето за реклама на поща (не sAMAccountName).
Ако изберете предпочитаният език да идва от вашата Active Directory, тогава Active Directory е единственият източник на истина: потребителите няма да могат да променят настройката си за език в настройките на Webex, а администраторите няма да могат да променят настройката в Control Hub.
| 1 |
От Directory Connector щракнете върху Конфигурация и след това изберете Съпоставяне на потребителски атрибути. Тази страница показва имената на атрибутите за Active Directory (отляво) и облака на Webex (отдясно). Всички задължителни атрибути са маркирани с червена звезда. |
| 2 |
Превъртете надолу до долната част на Имена на атрибути на Active Directory и след това изберете един от тези атрибути на Active Directory, за да съпоставите с атрибута uid в облака:
Можете да съпоставите всеки от другите атрибути на Active Directory към uid, но ви препоръчваме да използвате mail или userPrincipalName, както е описано в указанията по-горе. В някои случаи потребителятPrincipalName се използва за влизане, но имейл адресът на потребителя се използва за управление на календара му. Трябва да гарантирате, че имейл адресът за управление на календара се съпоставя с полето за основен имейл адрес в Webex. Добавете потребителскотоPrincipalName като алтернативен имейл адрес. За да видите с кои атрибути в Active Directory съответстват в облака, вижте Съпоставяне на атрибути в Active Directory в Directory Connector. За да работи синхронизирането, трябва да се уверите, че атрибутът Active Directory, който изберете, е във формат на имейл. Directory Connector показва изскачащ прозорец, за да ви напомни, ако не изберете някой от препоръчителните атрибути. |
| 3 |
Ако предварително дефинираните атрибути на Active Directory не работят за разполагането ви, щракнете върху падащия атрибут, превъртете до дъното и след това изберете Персонализиране на атрибут, за да отворите прозорец, който ви позволява да дефинирате израз на атрибут. Щракнете върху Помощ, за да получите повече информация за изразите и да видите примери за това как работят изразите. Можете също да видите Изрази за персонализирани атрибути за повече информация. В този пример нека съпоставим атрибутите на Active Directory
Directory Connector проверява стойността на атрибута на uid в услугата за самоличност и извлича 3 налични потребители в текущите опции за филтриране на потребители. Ако всички тези 3 потребители имат валиден имейл формат, Cisco Directory Connector показва следното съобщение:
Ако атрибутът не може да бъде потвърден, ще видите следното предупреждение и можете да се върнете в Active Directory, за да проверите и коригирате потребителските данни:
|
| 4 |
(По избор) Изберете съпоставяния за мобилен и телефоненНомер, ако искате мобилните и работните номера да се показват например в картата за контакт на потребителя в приложението Webex. Данните за телефонните номера се появяват в приложението Webex, когато потребителят премине с мишката върху профилната снимка на друг потребител. За повече информация относно повикванията от карта за контакт на потребителя вижте Повиквания в Webex (Unified CM) Ръководство за разполагане (администратори). |
| 5 |
Изберете допълнителни съпоставяния, за да се показват повече данни в картата за контакт:
След като атрибутите са съпоставени, информацията се появява, когато потребителят премине с мишката над профилната снимка на друг потребител:
За повече информация относно картата за контакт вижте Проверете с кого се свързвате. След като тези атрибути бъдат синхронизирани с всеки потребителски акаунт, можете също да включите „Информация за участниците“ в Control Hub. Тази функция позволява на потребителите на приложението Webex да споделят повече информация в своите профили и да научат повече за себе си. За повече информация относно функцията и как да я активирате, вижте Профили за информация за участниците за Webex, Jabber, Webex Meetings и Webex Events (нов) в Control Hub |
| 6 |
След като направите избора си, щракнете върху Прилагане. |
Всички потребителски данни, които се съдържат в Active Directory, презаписват данните в облака, които съответстват на този потребител. Например, ако сте създали потребител ръчно в Control Hub, имейл адресът на потребителя трябва да бъде идентичен с имейла в Active Directory. Всеки потребител без съответстващ имейл адрес в Active Directory се изтрива.
Изтритите потребители се съхраняват в услугата за самоличност в облака за 7 дни, преди да бъдат окончателно изтрити.
Атрибути на Active Directory и облака
Можете да съпоставяте атрибути от вашата локална Active Directory със съответните атрибути в облака, като използвате раздела Съпоставяне на потребителски атрибути.
Тази таблица сравнява съпоставянето между имената на атрибути на Active Directory и имената на атрибути на Cisco в облака. Тези стойности и съпоставяния са настройката по подразбиране в Directory Connector. Можете да изберете различни атрибути в падащия списък на Active Directory и да определите кой локален атрибут се синхронизира с кой атрибут в облака.
Мислете за падащите атрибути като предварителни настройки. Като алтернатива на стойностите в реда на Active Directory, можете също да зададете персонализиран атрибут, ваша предварителна настройка, в Active Directory (израз с множество атрибути), за да се съпостави с един атрибут в облака в съответния ред. По този начин имате гъвкавостта да определите показваните имена на вашите потребители – например можете да добавите израз, който създава персонализиран атрибут въз основа на името на служителя, дадено име и фамилното име в Active Directory.
Можете също да зададете всеки от атрибутите на Active Directory, който да съпоставите с uid в облака. Трябва обаче да се уверите, че локалният атрибут следва валиден формат на имейл.
Можете да използвате и алтернативни имейл адреси, ако например искате да използвате userPrincipalName за влизане, но имейл адресът на потребителя се използва за управление на неговия календар. В този случай съпоставете друг имейл адрес с атрибута имейлите;тип-работа. Това е имейлът, който се използва за удостоверяване; той не се използва за управление на вашия календар. Имейл адресът, който съпоставяте от AD, трябва да е от потвърден домейн във вашата организация и да е уникален и да не е зададен на друг потребител.
|
Имена на атрибути в Active Directory |
Имена на атрибути в облака на Webex |
Бележки |
|---|---|---|
|
— |
сградаName |
— |
|
в |
в |
Този атрибут указва съкращението на страната на потребителя. |
|
отделНомер |
отделНомер |
Този атрибут се използва за номера на отдел на потребителя, който се появява в картата за контакт и Информация за участниците. |
|
показвано име |
показвано име |
Този атрибут се използва за показвано име на потребителския акаунт, което се появява в контролния център, картата за контакт и информация за участниците. |
|
управление на потребителския акаунт |
ds-pwp-акаунт деактивиран |
Този атрибут се използва за синхронизиране на потребители. Уверете се, че атрибутът userAccountControl е съпоставен с ds-pwp-account-disabled, или потребителите няма да бъдат синхронизирани правилно. |
|
служителНомер |
служителНомер |
— |
|
факсимилеТелефонНомер |
факсимилеТелефонНомер |
— |
|
— |
jabberID |
Този атрибут в облака е свързан с адресите за незабавни съобщения (тип XMPP), които се използват от Jabber. Тази стойност не е същата като sipAddresses. |
|
л |
л |
Този атрибут указва града на потребителя. |
|
— |
езикова променлива |
— |
|
мениджър |
мениджър |
Този атрибут се използва за името на мениджъра на потребителя, което се появява в картата за контакт и Информация за участниците. |
|
мобилен |
мобилен |
Този атрибут се използва като мобилен номер, който се появява за повикване на потребителя от картата за контакт. |
|
или |
или |
Този атрибут указва името на компанията или организацията и се появява в картата за контакт. |
|
или |
или |
Този атрибут указва името на организационната единица. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Този атрибут указва местоположението на офиса на потребителя. |
|
пощенски код |
пощенски код |
Този атрибут указва пощенския или zip кода на потребителя за физическа доставка на поща. |
|
предпочитанLanguage |
предпочитанLanguage |
Този атрибут задава предпочитания език за потребителя и се поддържат следните формати: xx_YY или xx-YY. Ето няколко примера: en_US, EN_GB, fr-CA. Ако използвате неподдържан език или невалиден формат, предпочитаният език на потребителите ще се промени на езика, зададен за организацията. |
|
MSRTCSIP – ОсновенUserAddress ipPhone |
SipAddresses; type=предприятие |
Този атрибут се използва за синхронизиране на информацията за локалната стая от Active Directory в облака на Cisco Webex. |
|
шшшт |
шшшт |
Този атрибут се използва за фамилното име на потребителския акаунт, което се появява в контролния център, картата за контакт и информация за участниците. |
|
-ви |
-ви |
Този атрибут указва щата или провинцията на потребителя. |
|
улицаAddress |
улица |
Този атрибут указва уличния адрес на потребителя за физическа доставка на поща. |
|
телефонНомер |
телефонНомер |
Този атрибут указва основния (служебен) телефонен номер на потребителя, който се използва за повикване на потребителя от картата за контакт. |
|
— |
часова зона |
Този атрибут за облака указва часовата зона на потребителя. |
|
заглавие |
заглавие |
Този атрибут указва заглавието на потребителя, което се появява в картата за контакт и информация за участниците. |
|
тип |
предприятие |
— |
|
*поща *потребителPrincipalName |
uid |
Задължително съпоставяне на атрибути. За всеки потребителски акаунт стойността на Active Directory се съпоставя с уникален uid в облака. В някои случаи потребителятPrincipalName се използва за влизане, но имейл адресът на потребителя се използва за управление на календара му. Трябва да гарантирате, че имейл адресът за управление на календара се съпоставя с полето за основен имейл адрес в Webex. Добавете потребителскотоPrincipalName като алтернативен имейл адрес. След това потребителят може да използва всеки от тези имейл адреси, за да влезе, стига да е налице правилното съпоставяне на SAML атрибути. Вижте съпоставяне на примерен атрибут по-долу за това как бихте могли да съпоставите алтернативен имейл адрес. |
|
*потребителPrincipalName *поща <персонализиран атрибут> |
имейли;тип работа |
Това съпоставяне е по желание, използвайте го, ако искате да използвате алтернативни имейл адреси. Това е имейлът, който се използва за удостоверяване; той не се използва за управление на вашия календар. Имейл адресът, който съпоставяте от AD, трябва да е от потвърден домейн във вашата организация и да е уникален и да не е зададен на друг потребител. |
|
<Нов атрибут за Azure user objectId> |
външенId |
Създайте нов атрибут на Active Directory, за да задържите Azure user objectId, така че да не влиза в конфликт със съществуващ. След това този атрибут се съпоставя с атрибута externalId, като се гарантира, че когато потребителите на Webex създават групи в Microsoft 365, те автоматично създават екипи в Webex. |
Алтернативно съпоставяне на имейл адреси
Изрази за персонализирани атрибути
|
Оператор |
Описание и пример |
|---|---|
|
% |
Премахва всички знаци от началото на низа до позицията на знака или низа аргумент, ако съвпада.
|
|
- |
Стриймва гърба на входния низ от края на посочения низ.
|
|
+ |
Наставя входни низове или изрази.
|
|
| |
Оценява разделените изрази спрямо празния низ и избира първия непразен резултат.
|
Синхронизиране на аватарите на указатели от атрибут на Active Directory към облака
Можете да синхронизирате аватарите на указателя на вашите потребители с облака, така че всеки аватар да се показва, когато те влязат в приложението Webex. Използвайте тази процедура, за да синхронизирате необработени данни за аватар от атрибут на Active Directory.
| 1 |
От Directory Connector отидете на Конфигурация, щракнете върху Аватар и след това отметнете Активиране. |
| 2 |
За Получаване на аватар от изберете атрибут AD и след това изберете атрибута Аватар, който съдържа необработените данни за аватар, които искате да синхронизирате с облака. |
| 3 |
За да проверите дали аватара е достъпен правилно, въведете имейл адреса на потребителя и след това щракнете върху Получаване на аватара на потребителя. Аватарът се появява вдясно. |
| 4 |
След като потвърдите, че аватарът се е появил правилно, щракнете върху Прилагане, за да запишете промените си. |
-
Синхронизираните изображения стават аватар по подразбиране за потребителите в приложението Webex. На потребителите не е позволено да задават собствен аватар, след като тази функция е активирана от Directory Connector.
-
Аватарите на потребителите се синхронизират както с приложението Webex, така и с всички съвпадащи акаунти на сайта на Webex.
Какво да направите след това
Изпълнете пробно синхронизиране; ако няма проблеми, направете пълно синхронизиране, за да получите вашите потребителски акаунти и аватари в Active Directory за синхронизиране в облака и да се появят в Control Hub.
Синхронизиране на аватарите на указатели от ресурсен сървър към облака
Можете да синхронизирате аватарите на указателя на вашите потребители с облака, така че всеки аватар да се показва, когато те влязат в приложението Webex. Използвайте тази процедура за синхронизиране на аватари от ресурсен сървър.
Преди да започнете
-
Моделът на URI и стойността на променливата в тази процедура са примери. Трябва да използвате действителните URL адреси, където се намират аватарите на вашия указател.
-
Моделът на URI на аватара и сървърът, където пребивават аватарите, трябва да са достъпни от приложението Directory Connector. Конекторът се нуждае от http или https достъп до изображенията, но не е необходимо изображенията да са публично достъпни в интернет.
-
Синхронизирането на данни за аватара е отделено от потребителските профили в Active Directory. Ако стартирате прокси сървър, трябва да гарантирате, че данните за аватара могат да бъдат достъпни чрез NTLM удостоверяване или основно удостоверяване.
| 1 |
От Directory Connector отидете на Конфигурация, щракнете върху Аватар и след това отметнете Активиране. |
| 2 |
За Получаване на аватар от изберете Сървър ресурси и след това въведете URI шаблона за аватар – например Нека да разгледаме всяка част от модела на URI за аватара и какво означават те:
|
| 3 |
(По избор) Ако сървърът на ресурси изисква идентификационни данни, отметнете Задаване на идентификационни данни на потребител за аватар, след което или изберете Използване на текущия потребител за влизане в услугата, или Използване на този потребител и въведете паролата. |
| 4 |
Въведете стойността на променливата – например: |
| 5 |
Щракнете върху Тест, за да се уверите, че шаблонът на URI за аватара работи правилно. В този пример, ако стойността на пощата за един запис в AD е |
| 6 |
След като информацията за URI бъде потвърдена и изглежда правилна, щракнете върху Прилагане. За подробна информация относно използването на регулярни изрази вижте Бърза справка за езика на регулярните изрази на Microsoft . |
-
Синхронизираните изображения стават аватар по подразбиране за потребителите в приложението Webex. На потребителите не е позволено да задават собствен аватар, след като тази функция е активирана от Directory Connector.
-
Аватарите на потребителите се синхронизират както с приложението Webex, така и с всички съвпадащи акаунти на сайта на Webex.
Какво да направите след това
Изпълнете пробно синхронизиране; ако няма проблеми, направете пълно синхронизиране, за да получите вашите потребителски акаунти и аватари в Active Directory за синхронизиране в облака и да се появят в Control Hub.
Синхронизиране на информацията за локалните стаи с облака на Webex
Използвайте тази процедура, за да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака Webex устройства (Room, Desk и Board).
| 1 |
От Directory Connector отидете на Синхронизиране, щракнете върху още |
| 2 |
Отметнете Синхронизиране на информацията за стаята с облака, за да отделите данните на стаята от данните на потребителите по време на синхронизацията. Когато тази настройка е деактивирана, данните за стаята се третират по същия начин като данните, синхронизирани от потребителите. |
| 3 |
Отидете на Съпоставяне на атрибути и след това променете съпоставянето на атрибути за атрибута sipAddresses;type=enterprise. За да използвате проверка на стойността, стойността на SIP адреса трябва да е Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Създайте пощенска кутия за ресурси за стая в Exchange. Това добавя атрибута msExchResourceMetaData;ResourceType:Room, който след това конекторът използва, за да идентифицира стаите.
|
| 5 |
От потребителите и компютрите в Active Directory се придвижвайте до и редактирайте свойствата на стаята. Добавете напълно квалифицирания SIP URI с префикс на sip:
|
| 6 |
Извършете пробно синхронизиране и след това пълно синхронизиране в конектора. Новите обекти в стаята са изброени Добавени обекти и съответстващите обекти в стаята се показват в Съответстващи обекти в отчета за пробно изпълнение. Всички предмети на стая, маркирани с флаг за изтриване, са под Стаи изтрити.
Резултатите от пробното изпълнение показват всички съвпадащи ресурси за стаята.
Тази настройка разделя данните на стаята в Active Directory (включително атрибута на стаята) от данните на потребителите. След като синхронизирането завърши, статистиката за облака на таблото на конектора показва данни за стаята, които са били синхронизирани с облака.
|
Какво да направите след това
Сега, след като сте направили тези стъпки, когато извършите търсене на регистрирано в облака устройство Webex, ще видите синхронизираните записи в стаята, които са конфигурирани със SIP адреси. Когато поставите повикване от webex устройството на този запис, се извършва повикване до SIP адреса, конфигуриран за стаята.
От Control Hub можете автоматично да импортирате стаи от вашия указател и да създавате работни области.
Крайната точка не може да започне обратно повикване към приложението Webex. За тестови устройства за набиране тези устройства трябва да бъдат регистрирани като SIP URI локално или някъде извън приложението Webex. Ако системата за стаи Active Directory, която търсите, е регистрирана в Webex и същият имейл адрес е на устройството Webex Room, устройството Desk или Webex Board за услугата за календар, тогава резултатите от търсенето няма да покажат дублирания запис. Устройството Room, Desk или Board се набира директно в приложението Webex и не се извършва SIP повикване.
Изпращане на имейл отчети за резултатите от синхронизирането на указатели
По подразбиране контактите на организацията или администраторите винаги получават известия по имейл. С тази настройка можете да персонализирате кой трябва да получава известия по имейл, които обобщават отчетите за синхронизиране на указатели.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Известие. |
| 2 |
От Directory Connector щракнете върху Настройки, а до Имейл приемник включете Разрешаване на синхронизиране на отчета. |
| 3 |
Отметнете Активиране на уведомяването, ако искате да заместите поведението за уведомяване по подразбиране и да добавите един или повече получатели на имейл. |
| 4 |
Щракнете върху Добавяне и след това въведете имейл адрес. Ако въведете имейл адрес с невалиден формат, се появява съобщение, което ви казва да коригирате проблема, преди да можете да запишете и приложите промените. |
| 5 |
Щракнете върху Добавяне на имейл и след това въведете имейл адрес. Ако въведете имейл адрес с невалиден формат, се появява съобщение, което ви казва да коригирате проблема, преди да можете да запишете и приложите промените. |
| 6 |
Ако трябва да редактирате въведените от вас имейл адреси, щракнете двукратно върху записа на имейла в лявата колона и след това направете всички промени, които трябва да направите. |
| 7 |
След като сте добавили всички валидни имейл адреси, щракнете върху Прилагане. |
| 8 |
След като сте добавили всички валидни имейл адреси, щракнете върху Запиши. |
Какво да направите след това
Ако сте решили, че искате да премахнете имейл адреси, можете да щракнете върху имейл, за да маркирате този запис, и след това да щракнете върху Премахни.
Ако сте решили, че искате да премахнете имейл адреси, можете да щракнете върху Премахване до записи за определени имейл адреси.
Осигуряване на потребители от Active Directory В Control Hub
Изпълнете тези стъпки, за да осигурите потребители на Active Directory и да създадете съответни потребителски акаунти в Control Hub. Можете да осигурите потребителите от разполагане на Active Directory с множество домейни (с една гора или с множество гори), след като инсталирате Directory Connector за всеки домейн. По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. Целта е да имате точно съвпадение между вашите Active Directories и облака на Webex.
| 1 |
Извършване на пробно изпълнение на синхронизиране на потребители от Active Directory Изпълнете пробно изпълнение, за да сравните обекти в локалната Active Directory и обектите в облака на Webex. Пробното изпълнение ви позволява да видите кои обекти ще бъдат добавени, променени или изтрити, преди да стартирате пълно или постепенно синхронизиране и да извършите промените в облака. |
| 2 |
Извършване на пълно синхронизиране на потребителите на Active Directory в облака Когато стартирате пълно синхронизиране, услугата конектор изпраща всички филтрирани обекти от вашия Active Directory (AD) към облака. След това услугата за конектор актуализира хранилището за самоличност с вашите AD записи. Ако сте създали шаблон за автоматично разпределение на лицензи, можете да го зададете на новосинхронизираните потребители. |
| 3 |
Разпределяне на услугите на Webex на синхронизираните с указатели потребители в Control Hub След като завършите пълно синхронизиране на потребителите от Directory Connector в Control Hub, можете да зададете лицензи за услугата на Webex по различни методи. Препоръчваме ви да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory. Можете също да правите отделни промени след тази първоначална стъпка. |
Извършване на пробно изпълнение на синхронизиране на потребители от Active Directory
Изпълнете пробно изпълнение, за да сравните обекти в локалната Active Directory и обектите в облака на Webex. Пробното изпълнение ви позволява да видите кои обекти ще бъдат добавени, променени или изтрити, преди да стартирате пълно или постепенно синхронизиране и да извършите промените в облака.
По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. С Directory Connector целта е да имате точно съвпадение между вашите Active Directories и облака на Webex.
Ако имате няколко домейна в една гора или няколко гори, трябва да направите тази стъпка на всеки от екземплярите на Cisco Directory Connector, които сте инсталирали за всеки домейн на Active Directory.
Преди да започнете
Възможно е вече да имате потребители на приложението Webex в Control Hub, преди да използвате Directory Connector. Сред потребителите в облака някои може да съвпадат с локалния обект на Active Directory и да им бъдат зададени лицензи за услуги. Но някои може да са тестови потребители, които искате да изтриете, докато правите синхронизация. Трябва да създадете точно съвпадение между вашия Active Directory и Control Hub.
| 1 |
Изберете едно:
Когато пробното изпълнение завърши, ще видите един от следните резултати:
Обобщението съдържа информация за съвпадението на обект:
Пробното изпълнение идентифицира потребителите, като ги сравнява с потребителите на домейн. Приложението може да идентифицира потребителите, ако те принадлежат към текущия домейн. В следващата стъпка трябва да решите дали да изтриете обектите или да ги запазите. Несъответстващите обекти се идентифицират като вече съществуващи в облака на Webex, но не съществуващи в локалната Active Directory. |
| 2 |
Прегледайте резултатите от пробното изпълнение и след това изберете опция в зависимост от това дали използвате един домейн или няколко домейна:
|
| 3 |
В подканата Потвърждаване на пробното изпълнение щракнете върху Да, за да извършите отново синхронизирането на пробното изпълнение и вижте таблото, за да видите резултатите. Всички акаунти, които са успешно синхронизирани в пробното изпълнение, се показват под Съвпадащи обекти. Ако потребител в облака няма съответстващ потребител със същия имейл в Active Directory, записът е посочен под Потребители изтрити. За да избегнете това изтриване на флаг, можете да добавите потребител в Active Directory със същия имейл адрес. За да видите подробностите за елементите, които са синхронизирани, щракнете върху съответния раздел за конкретни елементи или Съответстващи обекти. За да запишете обобщената информация, щракнете върху Запиши резултатите във файл. |
| 4 |
Ако се очакват резултатите, отидете на и след това щракнете върху Разрешаване сега, за да извършите ръчно синхронизиране и да го поставите в ръчен режим в този момент. След като извършите синхронизация на последния домейн на Active Directory в разполагането на множество домейни, трябва да активирате автоматичен режим за Directory Connector. Можете да активирате автоматичен режим само когато обектите съвпадат напълно между облака на Webex и всички локални активни директории. |
Какво да направите след това
-
За всички несъответстващи потребителски обекти, които сте запазили, трябва да ги добавите към Active Directory, така че да има точно съвпадение между локално и облака.
-
Изберете тип синхронизиране:
-
По подразбиране се задава постепенно синхронизиране на всеки 30 минути (на версии 3.4 и по-стари) или на всеки 4 часа (на версии 3.5 и по-нови), но можете да промените тази стойност. Постепенното синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране.
-
Ако имате няколко домейна, повторете тези стъпки на всеки друг Directory Connector, който сте инсталирали.
Неща, които трябва да имате предвид
-
Изпълнете пробно изпълнение, преди да активирате пълно синхронизиране или когато промените параметрите за синхронизиране. Ако пробното изпълнение е започнато от промяна в конфигурацията, можете да запишете настройките след завършване на пробното изпълнение. Ако сте добавили потребители ръчно, изпълняването на синхронизиране с Active Directory може да доведе до премахване на добавени преди това потребители. Можете да проверите отчетите за пробно изпълнение на Directory Connector, за да потвърдите, че всички очаквани потребители присъстват, преди да синхронизирате напълно с облака.
-
Ако съответстващите потребители са маркирани да бъдат изтрити и не сте сигурни как да продължите, вижте информация за отстраняване на неизправности и как да се свържете с поддръжката в Отстраняване на неизправности и корекции за Directory Connector.
Изтритите потребители се съхраняват в услугата за самоличност в облака за 7 дни, преди да бъдат окончателно изтрити.
Извършване на пълно синхронизиране на потребителите на Active Directory в облака
Когато стартирате пълно синхронизиране, услугата конектор изпраща всички филтрирани обекти от вашия Active Directory (AD) към облака. След това услугата за конектор актуализира хранилището за самоличност с вашите AD записи. Ако сте създали шаблон за автоматично разпределение на лицензи, можете да го зададете на новосинхронизираните потребители.
Ако имате няколко домейна, трябва да направите тази стъпка на всеки от екземплярите на Directory Connector, които сте инсталирали за всеки домейн на Active Directory.
Directory Connector синхронизира състоянието на потребителския акаунт – В Active Directory всички потребители, които са маркирани като деактивирани, също се появяват като неактивни в облака.
Преди да започнете
-
Ако искате потребителските акаунти на приложението Webex да бъдат в активен статус след пълната синхронизация и преди потребителите да влизат за първи път, трябва да направите следните стъпки, за да заобиколите проверката на имейла:
-
Интегрирайте еднократната идентификация с вашата организация на Webex. Вижте
Еднократна идентификация с услугите на Cisco Webex и доставчика на самоличност на вашата организация
за повече информация. -
Използвайте Control Hub, за да потвърдите и по желание да заявите домейни, съдържащи се в имейл адресите. Вижте
Добавяне, потвърждаване и заявяване на домейни
. -
Потиснете автоматичните имейл покани, така че новите потребители да не получават автоматичната имейл покана за приложението Webex. (Можете да направите собствена имейл кампания.)
Активираните потребители, които не са влезли, се появяват със статус Проверен в Control Hub. След като влязат, те се показват като Активни. За повече информация относно потребителските статуси вижте Потребителски статуси и действия в Cisco Webex Control Hub.
-
-
Когато активирате синхронизирането, Directory Connector първо ви моли да изпълните пробно изпълнение. Препоръчваме да пробвате пробното изпълнение преди пълно синхронизиране, за да видите евентуални грешки.
-
Трябва да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
Ако не използвате шаблони за автоматично разпределение на лицензи, новосинхронизираните потребители автоматично получават безплатни лицензи. Те ще могат да използват същите безплатни функции като тези с безплатни акаунти.
| 1 |
Изберете едно:
|
| 2 |
От Directory Connector отидете на Синхронизиране, щракнете върху повече |
| 3 |
Потвърдете началото на синхронизирането. За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените до 72 часа след извършване на синхронизирането. Можете да се опитате да изчистите локалния кеш за приложението Webex, като следвате следните указания: Windows или Mac.
|
| 4 |
Щракнете върху Обнови, ако искате да актуализирате статуса на синхронизацията. (Синхронизираните елементи се показват под Статистика в облака.) |
| 5 |
За информация за грешките изберете Стартиране на визуализатора на събития от лентата с инструменти Действия, за да видите регистрите на грешки. |
| 6 |
За да зададете график за синхронизиране за текущи инкрементални синхронизации с облака, вижте Задаване на график на конектори и Изпълнение на инкрементално синхронизиране. |
-
След завършване на пълната синхронизация статусът за синхронизиране на указатели се актуализира от Деактивирано на страницата Настройки в Control Hub.
-
Когато всички данни са съчетани между локално и облачно, Directory Connector се променя от ръчен режим в режим на автоматично синхронизиране.
-
Освен ако не интегрирате еднократна идентификация, потвърдите домейни и по избор заявите домейни за имейл акаунтите, които сте синхронизирали, и потиснете автоматизираните имейли, потребителските акаунти в приложението Webex остават в състояние „Непроверен“, докато потребителите не влязат в приложението Webex за първи път, за да потвърдят своите акаунти. Вижте раздела „Преди да започнете“ за указания как да синхронизирате акаунтите като активни потребители.
-
Ако имате няколко домейна, направете тази стъпка на всеки друг Directory Connector, който сте инсталирали. След синхронизацията потребителите във всички домейни, които сте добавили, са изброени в Control Hub.
-
Ако сте интегрирали еднократна идентификация с Webex и потиснати имейл известия, имейл поканите не се изпращат до новосинхронизираните потребители.
-
Не можете да добавяте потребители ръчно в Control Hub, след като Directory Connector е активиран. След като бъде активирано, управлението на потребителите се извършва от Cisco Directory Connector и Active Directory е единственият източник на истина.
-
Всички групи, които сте синхронизирали, се показват в Control Hub и можете да зададете шаблон за лицензи, така че на потребителите в тази група да бъдат зададени лицензи.
Какво да направите след това
-
Когато премахнете потребител от Active Directory, потребителят се изтрива меко след следващото синхронизиране. Потребителят става Неактивен, но профилът за самоличност в облака се съхранява в продължение на седем дни (за да се позволи възстановяване от случайно изтриване).
Когато отметнете Акаунтът е деактивиран в Active Directory, потребителят става Неактивен след следващото синхронизиране. Профилът за самоличност в облака не се изтрива след седем дни, в случай че искате да активирате потребителя отново.
-
Обърнете внимание на тези изключения при поетапно синхронизиране (вместо това следвайте стъпките за пълно синхронизиране по-горе):
-
В случай на актуализиран аватар, но без друга промяна на атрибута, постепенното синхронизиране няма да актуализира аватара на потребителя в облака.
-
Промените в конфигурацията при настройката за съпоставяне на атрибути, базовия DN, филтър и аватар изискват пълно синхронизиране.
-
Разпределяне на услугите на Webex на синхронизираните с указатели потребители в Control Hub
След като завършите пълната синхронизация на потребителите от Cisco Directory Connector в Control Hub, можете да използвате Control Hub, за да зададете едни и същи лицензи за услуга на Webex на всичките си потребители наведнъж или да добавите допълнителни лицензи за нови потребители, ако вече сте конфигурирали шаблон за автоматично зададен лиценз. Можете да правите промени в отделни потребителски акаунти след тази първоначална стъпка.
След като завършите пълната синхронизация на потребителите от Directory Connector в Control Hub, можете да използвате методи в Control Hub, за да зададете глобално лицензи за услугата на Webex на всичките си потребители, отделни потребители, чрез груповия CSV шаблон или автоматично на новите потребители, ако вече сте конфигурирали шаблон за автоматично разпределение на лицензи. Можете да правите промени в отделни потребителски акаунти след тази първоначална стъпка.
Когато зададете лиценз на потребител на приложението Webex, този потребител получава имейл, потвърждаващ задаването, по подразбиране. Имейлът се изпраща от услуга за известия в Control Hub. Ако сте интегрирали еднократна идентификация (SSO) с вашата организация на Webex, можете също да потиснете тези автоматични имейл известия, ако предпочитате да се свързвате директно с потребителите си.
Преди да започнете
-
Трябва да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
-
Извършете пробно изпълнение на синхронизиране на вашите потребители на Active Directory.
-
След като потвърдите резултатите от пробното изпълнение, извършете пълно синхронизиране на потребителите на Active Directory.
По време на пълна синхронизация потребителят се създава в облака, не се добавят задавания на услуги и не се изпраща имейл за активиране. Ако имейлите не се потиснат, новите потребители получават имейл за активиране, когато присвоявате услуги на потребителите по стандартен метод за управление на потребители в Control Hub, като импортиране на CSV файл, ръчна актуализация на потребители или чрез успешно завършване на автоматичното задаване.
| 1 |
От изгледа за клиенти в https://admin.webex.com отидете на , щракнете върху Управление на потребителите, изберете Промяна на всички синхронизирани потребители и след това щракнете върху Напред. |
| 2 |
Изберете опция: |
Какво да направите след това
-
Ако имейлите не се потискат, до всеки потребител се изпраща имейл с покана за присъединяване и изтегляне на Webex.
-
Ако сте избрали едни и същи услуги на Webex за всички ваши потребители, след това можете да промените лиценза, зададен поотделно или групово.
Известни проблеми с Directory Connector
-
Версиите на Windows Server преди 2012 R2 имат проблем с бисквитките, който засяга Directory Connector. Този проблем е поправен във версии 2012 R2 и 2016.
-
За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените 72 часа след момента, в който извършите синхронизирането.
Можете да се опитате да изчистите локалния кеш за приложението Webex, като следвате следните указания: Windows или Mac.
-
Когато потребител използва приложението Webex на настолен компютър или мобилно устройство, за да търси и повика стая, която има само синхронизиран SIP URI, тогава повикването звъни за неопределено време.
Управление на потребителите на приложението Webex
Стартиране на постепенно синхронизиране
Поетапната синхронизация прави заявки за вашия Active Directory и търси промени, които са се случили от последната синхронизация. След това тази стъпка пакетира тези промени и ги изпраща към услугата конектор. Промените включват модификация на атрибутите на потребителите и кога даден потребител е добавен или изтрит.
Тази синхронизация не поставя толкова натоварване на сървърите и не отнема толкова време, колкото пълното синхронизиране. След като направите първоначалното си пълно синхронизиране, препоръчваме опцията „Incremental“ за последващи синхронизации.
Преди да започнете
-
Трябва да настроите шаблон за автоматично разпределение на лицензи , преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
-
Имайте предвид тези изключения, които нарастващото синхронизиране не се поддържа (вместо това следвайте Извършване на пълно синхронизиране на потребители от Active Directory в облака ):
-
В случай на актуализиран аватар, но без друга промяна на атрибута, постепенното синхронизиране няма да актуализира аватара на потребителя в облака.
-
За нови промени в конфигурацията на съпоставянето на атрибути, базовия DN, филтъра и настройката за аватар, постепенното синхронизиране няма да работи и те изискват пълно синхронизиране.
-
| 1 |
От Directory Connector щракнете върху Табло. Когато активирате синхронизирането, Directory Connector първо ви моли да изпълните пробно изпълнение. |
| 2 |
От Действия щракнете върху Режим на синхронизиране > Разрешаване на синхронизацията , ако вече не е активиран. По подразбиране се задава постепенно синхронизиране на всеки 30 минути (на версии 3.4 и по-стари) или на всеки 4 часа (на версии 3.5 и по-нови), но можете да промените тази стойност. Постепенното синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране. Когато се появи нов инкрементален интервал от време, програмата проверява промените въз основа на последното времево клеймо. |
| 3 |
От Действия щракнете върху Синхронизиране сега > Постепенно. За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените 72 часа след момента, в който извършите синхронизирането.
|
| 4 |
За информация за грешките щракнете върху Стартиране на визуализатора на събития от лентата с инструменти Действия , за да видите регистрите на грешки. |
Какво да направите след това
Ако имате няколко домейна, направете тази стъпка в другите екземпляри на Directory Connector, които сте инсталирали.
Възстановяване на случайно изтрити потребители
Directory Connector има проверки и баланси, за да предотврати непреднамерено изтриване на потребители. За съжаление се случват инциденти; може да сте конфигурирали неправилно LDAP филтър в Active Directory, което е изтрило някои потребители при синхронизиране с облака. Функцията за меко изтриване може да ви помогне да се възстановите от тези инциденти и да възстановите потребителските акаунти в Control Hub.
По подразбиране тази функция е активирана за всички организации. Когато потребителите бъдат изтрити в облака, например поради несъответстващ проблем с обект след синхронизиране от Directory Connector, потребителите могат да бъдат възстановени. Ако сте видели бележка за несъответстващи обекти или сте забелязали, че потребителите са изтрити, може да сте в състояние да ги възстановите, ако действате бързо.
Потребителите се маркират като неактивни в Control Hub, когато съответните акаунти се изтриват в Active Directory. Фоновата услуга в облака запазва потребителите до 7 дни. През този период все още можете да използвате Cisco Directory Connector, за да възстановите потребители. Препоръчваме ви да възстановите тези потребители възможно най-скоро.
Потребителите, които са деактивирани в Active Directory, също се маркират като неактивни в Control Hub, но потребителският акаунт не се изтрива след 7 дни.
| 1 |
Влезте в контролния хъб. |
| 2 |
Отидете на Потребители и потвърдете дали даден потребителски акаунт е в неактивно състояние, или не е включен в списъка. За повече информация вижте Потребителски статуси и действия в Control Hub. |
| 3 |
Ако потребителите са изтрити в Control Hub или забележите потребители в състояние „Неактивно“, отидете в Active Directory, добавете липсващите потребителски акаунти и след това направете пробно изпълнение на синхронизиране в Directory Connector. Целта с Directory Connector е да се създаде точно съвпадение между информацията за потребителя в Active Directory и в облака. |
| 4 |
Извършете пълна синхронизация, за да синхронизирате отново временно изтритите потребителски акаунти с Control Hub. Потребителите се възстановяват и преминават към първоначалния статус, включително статуса на акаунта си и зададените услуги. |
Какво да направите след това
Върнете се в Control Hub, отидете на и потвърдете, че изтритите преди това потребителски акаунти се появяват в списъка с потребители.
Изтриване на потребителите за постоянно след меко изтриване
След като изпълните пробно изпълнение, можете да изберете да изтриете за постоянно потребители, които са били меки изтрити при следващото синхронизиране.
| 1 |
След като пробното изпълнение завърши, изберете Меки изтрити обекти. |
| 2 |
Поставете отметка в квадратчето до потребителите, които искате да изтриете. |
| 3 |
Изберете Готово. |
Какво да направите след това
При следващата синхронизация потребителите, които сте проверили, ще бъдат изтрити окончателно.
Промяна на имейл адреса на приложението Webex
Ако искате да промените потребителските имейл адреси и вашата организация използва Directory Connector, променяте тези имейл адреси в Active Directory. Тази процедура обхваща как да промените имейл адрес на приложението Webex за един домейн и процес за промяна на домейна.
Ако искате само да промените имейла или някаква стойност за един потребител, не изтривайте потребителя от Active Directory и след това създайте нов със същия имейл. Облакът тълкува това действие като нов потребителски акаунт и местата на потребителя и другите данни в облака ще бъдат изгубени.
Directory Connector не ограничава промяната на имейл домейна. Когато потребителят обаче се синхронизира отново с облака, състоянието на потребителя зависи от това дали новият домейн е потвърден във вашата организация. Ако домейнът не е потвърден във вашата организация, статусът на потребителя се променя на „В очакване“ след пълното синхронизиране. За повече информация вижте Управление на вашите домейни.
Ако вашата организация не използва Directory Connector, можете да промените имейл адресите на приложението Webex чрез страницата с настройки на акаунта. Вижте Промяна на имейл адреса за вашия акаунт за стъпките, които потребителите могат да последват, за да променят имейлите си.
Промяна на домейна на Active Directory
Можете да използвате тази процедура, за да създавате нови домейни и имейл адреси. Те се синхронизират с услугата за самоличност в облака.
| 1 |
Настройте нов домейн на Active Directory (AD). |
| 2 |
Деактивирайте синхронизирането на всички ваши конектори. |
| 3 |
Деинсталирайте всички конектори. |
| 4 |
Отворете случай, за да промените домейна. В изпращането на случай не забравяйте да поискате премахване на конфигурацията на домейна и всички атрибути за синхронизиране във вашата организация. Преди да отворите случай, за да промените домейна, се уверете, че не се изпълнява синхронизиране. Не променяйте потребителските имейл адреси в Active Directory, докато случаят не изчезне. |
| 5 |
След решаване на случая: Изпълнете тестово изпълнение с Directory Connector, преди да извършите действителното синхронизиране. |
Заявяване на домейн
Претенция за домейн възниква, ако заявите имейл домейн за организация, така че всеки посочен акаунт да бъде създаден в платената клиентска организация, а не в безплатната потребителска организация. Можете да заявите домейн само чрез случай за поддръжка (вижте връзката по-долу за повече информация).
Ако Directory Connector е активен и домейнът е заявен, акаунтите с външни потребители не се създават нито в клиентската организация, нито в безплатната потребителска организация. Само Directory Connector може да осигурява акаунти за организацията от Active Directory. Информацията, съхранена в Active Directory, е първоначалният източник. Ако се опитате да странично табло на акаунт, поканеният потребител получава грешка. Единственият начин, по който поканен потребител може да бъде добавен към място на приложението Webex, е първо да използвате Directory Connector, за да обезпечите акаунта в Control Hub.
Конвертиране на безплатните потребители на приложението Webex в синхронизирана с указателя организация
Можете да използвате уникални имейл адреси само в директорията на приложението Webex. Ако вашите потребители са се записали за безплатната версия на приложението Webex, акаунтът им съществува в безплатната потребителска организация. За да управлявате потребителите в тази организация чрез Directory Connector, мигрирайте (конвертирайте) ги в организацията на клиента, преди да включите Directory Connector. След това добавяте потребителите към Active Directory с точния имейл адрес и след това синхронизирате с облака.
Ако не конвертирате акаунтите преди активирането, изключете Directory Connector, за да ги конвертирате.
Ако се опитате да конвертирате потребител, докато е активирано синхронизирането на указатели, се появява съобщението за грешка не можа да бъде преобразувано
. За да избегнете проблема, можете да използвате тези стъпки като заобиколно решение.
Някои заявени потребители може да се покажат с атрибута movedfrom , когато правят пробно изпълнение. Тези потребители ще бъдат в списъка Изтрити обекти вместо MismatchedObject. Ще трябва да добавите тези потребители към своя списък в AD, ако искате да ги преместите във вашата организация.
Ако не добавите тези потребители, всички те ще бъдат изтрити, след като синхронизирате с облака.
| 1 |
Деактивирайте синхронизирането на указатели от Directory Connector. |
| 2 |
Следвайте процедурата Конвертиране на нелицензирани потребители в Control Hub , за да конвертирате потребителя от безплатната потребителска организация в корпоративната организация. Тази стъпка добавя потребителя към вашата организация и акаунтът се показва в Control Hub. Directory Connector прави Active Directory единственият източник на истина за потребителските акаунти и целта е да има точно съвпадение между Active Directory и Control Hub. Гарантирайте, че има съвпадащи потребители в Active Directory за всички наскоро преобразувани потребители преди повторното синхронизиране. Синхронизирането на "Сухо изпълнение" може да се използва, за да се гарантира, че няма останали несравнима потребители. |
| 3 |
На Directory Connector направете пробно изпълнение на синхронизиране. Когато сухото изпълнение завърши, проверете раздела Добавяне на обекти. Проверете дали всички потребители, които сте преобразували, не се изтриват. Трябва да изпълните пробно изпълнение, преди да активирате повторно синхронизирането, за да сте сигурни, че всички конвертирани потребителски акаунти се показват в Active Directory. Ако включите синхронизирането и акаунтите се намират само в Control Hub, Directory Connector зависи от малки и главни букви и изтрива конвертираните потребители, които открие с несъответстващи имейл адреси (например user1@example.com и User1@example.com). Ако някои преобразувани потребители бъдат изтрити, те губят всичките си места в приложението Webex. |
| 4 |
Когато сте сигурни, че следващото синхронизиране няма да премахне никакви акаунти, активирайте отново синхронизирането на указатели от Directory Connector. |
Преобразуваните потребителски акаунти не се активират автоматично, ако не сте потвърдили домейн. Например, ако сте включили шаблона за автоматично разпределение на лицензи и след това сте включили Directory Connector без проверка на домейна, конвертираните потребители са неактивни в облачната backend, докато не потвърдят имейл адресите си.
Потребителски акаунти в приложението Webex
Когато поканите друг потребител на място в приложението Webex, ако поканеният потребител няма акаунт за приложението Webex, за него се създава акаунт („страничен“). По подразбиране акаунтите, които са създадени по този начин, се добавят към безплатната потребителска организация.
Ако искате да управлявате страничния акаунт с помощта на Directory Connector, трябва да конвертирате акаунта.
Промяна на формата на потребителското име в приложението Webex след синхронизиране на указатели
По подразбиране Directory Connector съпоставя атрибута displayName в Active Directory с атрибута displayName в облака.
След като извършите синхронизиране на указатели, може да откриете, че потребителските имена се показват във формат .
Това потребителско име може да се появи, ако атрибутът displayName в Active Directory е конфигуриран по този начин. Когато атрибутът е съпоставен с displayName в облака, имената се показват във формат в Control Hub.
За да промените формата, в екрана за съпоставяне на атрибути на Directory Connector: съпоставете атрибута на Active Directory givenName sn (или sn givenName), за да показваName в имената на атрибути в облака на Cisco.
Като алтернатива съпоставете атрибута sn givenName с displayName:
Можете също да използвате опцията Персонализиране на атрибут, ако искате да съпоставите свой собствен персонализиран израз на атрибут към displayName.
Например въведете givenName + "" + sn (собствено име, интервал, фамилия) като израз. Това съпоставя двата атрибута в Active Directory за показванеName в облака.
Позволи на потребителите да променят показваните имена в Webex Meetings
Можете да премахнете съпоставянето на атрибута displayName от синхронизирането с облака в Directory Connector, ако искате да позволите на потребителите да редактират предпочитаните си показвани имена. Потребителите могат да въведат показвано име, което да се показва по време на срещи в Webex, вместо собственото и фамилното си име. Администраторите могат също да променят показваното име за потребител ръчно в Control Hub.
| 1 |
От Directory Connector щракнете върху Конфигурация и след това изберете Съпоставяне на потребителски атрибути. |
| 2 |
Изберете displayName под Cisco Cloud Attribute Name. |
| 3 |
Изберете Не синхронизирайте този атрибут. |
Какво да направите след това
Потребителите вече могат да редактират показваните си имена от своя сайт на Webex.
Отстраняване на неизправности в Directory Connector
Надстройте до последното издание на софтуера
За да поддържате внедряването си в съответствие и да получите най-новите функции, функционалност, корекции на грешки и подобрения в защитата, винаги трябва да надстроите до най-новата версия на Directory Connector. Ако не надстроите до най-новата налична версия, може да изпитате проблеми, например Directory Connector вече да не се синхронизира правилно или да сте на версия, която не поддържа задължителното изискване TLS 1.2.
Directory Connector автоматично ви уведомява, когато е налична нова версия. Винаги надстройвайте до най-новата версия, за да избегнете проблеми. Също така виждате известие в лентата на задачите на Windows.
Въпреки че можете ръчно да инсталирате актуализации на софтуера на конектор, препоръчваме да следвате стъпките в Задаване на автоматични надстройки , за да позволите на приложението да управлява вашите надстройки автоматично.
| 1 |
Щракнете върху известието в лентата на задачите на Windows или щракнете с десния бутон върху иконата Directory Connector в лентата на задачите на Windows, за да започнете процеса на надстройване. |
| 2 |
Следвайте инструкциите, за да завършите надстройването. |
| 3 |
Рестартирайте конектора и влезте с вашите идентификационни данни на администратор. |
| 4 |
Потвърдете номера на версията на софтуера под . |
Какво да направите след това
За нова инсталация на Directory Connector можете да изтеглите zip файла и след това да следвате стъпките за инсталиране в това ръководство.
Конфигуриране на общи настройки за Directory Connector
Използвайте тази процедура, за да конфигурирате общи настройки, като името на сървъра, работещ с Directory Connector, нивата на регистрационния файл, автоматичните надстройки и предпочитаните настройки за контролерите на домейни. Името на конектора се появява на таблото в раздела „Конектори“, заедно с всички други конектори, които работят.
| 1 |
От Directory Connector отидете на Конфигурация и след това щракнете върху Общи. |
| 2 |
В полето Име на конектор въведете името на конектора. Това поле показва само името на компютъра, на което в момента работи конекторът. |
| 3 |
Изберете нивото на регистрационния файл от падащия списък. По подразбиране нивото на регистрационния файл е зададено на информация. Наличните нива на регистрационния файл са:
Тези настройки засягат отчета за синхронизиране, който се изпраща по имейл. Ако зададете нивото на регистрационния файл на „Грешка“, в отчета за синхронизиране се съобщават само грешки; ако не съществуват грешки, отчетът за синхронизиране не се изпраща. Променете настройката на „Информация“, след което получавате отчети за синхронизиране след пълно синхронизиране. (Имайте предвид, че за постепенно синхронизиране не се изпращат отчети, когато не се съобщават грешки.) |
| 4 |
Изберете предпочитаните контролери на домейни , за да зададете реда на контролерите на домейни за синхронизиране на самоличности. До контролерите на домейни има достъп от горе до долу. Ако горният контролер не е наличен, изберете втория контролер от списъка. Ако няма посочен контролер, можете да получите достъп до главния контролер. |
| 5 |
Отметнете Автоматично надстройване до новата версия на Cisco Directory Connector , ако искате да се извършват автоматични надстройвания. Винаги е важно да поддържате своя софтуер Cisco Directory Connector до най-новата версия. Препоръчваме ви да отметнете тази настройка, за да позволите автоматичните надстройки на софтуера да се инсталират мълчаливо, когато са налични. |
| 6 |
Проверете LDAP през SSL , за да използвате защитения LDAP (LDAPS) като протокол за свързване. Ако не проверите LDAP през SSL, Directory Connector продължава да използва протокола за LDAP връзка. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) са протоколите за свързване, използвани между приложение и домейнов контролер в инфраструктурата. LDAPS комуникацията е шифрована и защитена. |
Конфигуриране на правилата за конектори
Можете да зададете максималния брой изтривания, които могат да възникнат по време на синхронизиране. Изпълнението на синхронизиране не изтрива обекти от вашия локален Active Directory. Всички обекти се изтриват само от облака.
Например задавате 1 като стойност за праг за изтриване. Когато извършвате пълно или постепенно синхронизиране, ако броят потребители, които искате да изтриете, е по-голям от настройката, Directory Connector показва предупреждение. Ако щракнете върху Праг за заместване, можете да започнете пълно или постепенно синхронизиране успешно, но ще видите това известие за заместване следващия път, когато изпълните правилата.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Правила. |
| 2 |
Поставете отметка в полето Разрешаване на изтриване на прагова тригера , ако искате да добавите прагова тригера. Избирането на тази опция ще задейства предупреждение, ако броят изтривания надвиши прага. Когато акаунтът за изтриване надвиши този, който сте дефинирали, синхронизирането е неуспешно.
|
| 3 |
Въведете максималния брой изтривания, който искате. По подразбиране е 20. Препоръчваме да не увеличавате стойността по подразбиране. |
| 4 |
Щракнете върху Приложи. |
Задаване на графика на конектора
Задайте времето за синхронизиране в Active Directory. Превключването при отказ се използва за висока наличност (HA). Ако един конектор не работи, превключваме към друг конектор в режим на готовност след предварително дефинирания интервал.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Планиране. |
| 2 |
Посочете интервала на постепенно синхронизиране в минути. По подразбиране се задава постепенно синхронизиране на всеки 30 минути. Пълното постепенно синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране. |
| 3 |
Променете стойността за Изпращане на отчети за... време , ако искате да промените колко често се изпращат отчети. |
| 4 |
Отметнете Активиране на график за пълно синхронизиране , за да посочите дните и часовете, в които искате да се извърши пълно синхронизиране. |
| 5 |
Задайте интервала за превключване към отказ в минути. |
| 6 |
Щракнете върху Приложи. |
Сценарии за множество домейни
Множеството домейни се основават на приоритета на домейна. За обекти, които имат една и съща стойност на ключа в различни домейни, след синхронизирането данните от домейна с по-висок приоритет се презаписват данните от домейна с по-нисък приоритет.
Обекти, които имат една и съща стойност на ключа, са свързани в един запис в базата данни.
Ключовата стойност за „Потребител“ е Имейл адрес; ключовата стойност за „Група“ е Име на група.
Пример за използване на случай за повече от един домейн
Този пример приема организация с два домейна – example1.com и example2.com, по реда на приоритета.
-
Добавяне на потребител1 (имейл: user@example1.com) към Active Directory на example1.com.
-
Добавяне на група1(Име на група: Тест) към Active Directory на example1.com.
-
Добавяне на потребител2 (имейл: user@example2.com) към Active Directory на example2.com.
-
Добавяне на група2 (Име на група: Тест) към Active Directory на example2.com.
- Синхронизиране в example1.com
-
Като случай на използване потребителят2 и group2 се синхронизират с облака и се показват в https://admin.webex.com, докато потребителят1 и group1 не са.
Ако извършите пълно или постепенно синхронизиране, например1.com, потребител1 и група1 се синхронизират. Също така потребител2 и група2 са презаписани от информацията на потребител1 и група1.
User1 връзки към user2 като същия запис в базата данни; group1 връзки group2 като същия запис в базата данни.
- Синхронизиране на example1.com и example2.com
-
Като случай на използване потребителят2 и group2 се синхронизират с облака и се показват в https://admin.webex.com, докато потребителят1 и group1 не са.
Помислете за тези стъпки:
- Изтрийте потребител1 и група1 в Active Directory, например1.com.
- Извършете пълно или постепенно синхронизиране, например1.com.
Резултат: информацията на потребителя не е променена в https://admin.webex.com. Потребител2 не е свързан с потребител1 и група2 не е свързана с група1.
- Извършете постепенно синхронизиране, например2.com.
Резултат: информацията на потребителя не е променена в https://admin.webex.com.
- Извършете пълна синхронизация, например2.com.
Резултат: Информацията за потребител2 и група2 е показана в https://admin.webex.com.
Синхронизиране на нов Домейн И запазване на съществуващ домейн
Ако искате да синхронизирате нов домейн (B), докато поддържате синхронизираните потребителски данни на друг съществуващ домейн (A), се уверете, че инсталирате Directory Connector за синхронизиране на домейн (B) на поддържан Windows сървър. Конекторът се свързва с новия домейн след първоначалната настройка, а информацията за потребителя в домейна (А) остава незасегната.
Всеки домейн трябва да има собствен активен конектор. Помислете за два домейна със следната настройка: домейн А с конектори (ca1) и (ca2) за локална висока наличност (HA); домейн В с конектор (cb1). (ca1)и (ca2) служат на домейн А. В този сценарий единият конектор е активен, а другият е в режим на готовност (HA). Този дизайн поддържа домейна синхронизиран, защото един конектор е винаги активен. Така че cb1 е активният конектор за домейн В, тъй като домейн А вече има активен конектор (ca1 или ca2).
Задаване на приоритет на домейна
Използвайте тази процедура, за да промените приоритета на вашите домейни в Active Directory. Приоритетът на домейна ви позволява да определите главния домейн, вторичния домейн и т.н. Това помага, когато двама потребители от два различни домейна имат една и съща стойност на имейл, синхронизирани с една организация.
Не използвайте тази процедура, ако имате един домейн, посочен в Directory Connector. Ако опитате, конекторът ви показва съобщение, заявяващо, че приоритетът на домейна не е задължителен.
Преди да започнете
За да избегнете грешки, инсталирайте или надстройте до най-новата версия на Cisco Directory Connector. Трябва да го изтеглите от https://admin.webex.com.
| 1 |
От Cisco Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху Задаване на приоритет на домейна. |
| 3 |
Маркирайте един домейн в списъка, щракнете върху Нагоре или Надолу , за да промените приоритета на този домейн, след което щракнете върху Запиши , за да запишете тази промяна. Домейните са сортирани по приоритет от горе до долу. |
Превключване на домейни
Използвайте тази процедура, за да свържете отново Cisco Directory Connector към друг домейн.
Преди да започнете
-
Уверете се, че не се изпълняват задачи за синхронизиране, преди да превключите домейни.
-
За да избегнете грешки, инсталирайте или надстройте до най-новата версия на Cisco Directory Connector. Трябва да го изтеглите от Control Hub.
| 1 |
От Cisco Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху Превключване на домейн. |
| 3 |
След като прочетете предупреждението, ако разберете въздействието на тази промяна върху разполагането ви и все още сте сигурни, щракнете върху Да. Ако превключите домейн, излезете от текущия Cisco Directory Connector, другите домейни в конектора са нерегистрирани и информацията за конектора на този компютър се изтрива. |
| 4 |
Влезте отново в Cisco Directory Connector и свържете отново домейна. |
Изключване на синхронизирането на указатели
Ако трябва да спрете синхронизирането от Directory Connector, можете временно да го изключите от Control Hub.
| 1 |
От изгледа за клиент в https://admin.webex.com отидете на , превъртете до Синхронизиране на указатели и след това изберете такава:
|
| 2 |
След като прочетете подканата, щракнете върху Изключване. Синхронизирането спира, докато не го активирате отново от Directory Connector. |
Премахване на съпоставянето на потребителски атрибути
Използвайте Directory Connector, за да премахнете съпоставянето за атрибути на Active Directory, нанесени преди това в облака и синхронизирани с Webex. След като премахнете съпоставянето на атрибути, стойностите на атрибутите се премахват от облака и вече не се синхронизират с Webex. След това тези стойности могат да се редактират ръчно.
| 1 |
От Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху . |
| 3 |
Изберете съпоставянето, което да премахнете от списъка Име на атрибути . |
| 4 |
Под Засегнат потребителски обхват изберете едно от следните:
|
| 5 |
Щракнете върху Приложи. |
Управление на профилни снимки
Използвайте Directory Connector, за да актуализирате снимки на потребителския профил или да премахнете празни снимки на потребителския профил.
| 1 |
От Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху . |
| 3 |
Под Действия изберете едно от следните:
|
| 4 |
Щракнете върху Приложи. |
Деинсталиране и деактивиране на Directory Connector
След като деинсталирате екземпляр на Directory Connector, трябва да го дерегистрирате. Премахнете напълно Directory Connector за някой от следните сценарии:
-
Повече не искате да използвате синхронизиране на указатели.
-
Не искате да използвате един от многото конектори за указатели (висока наличност).
-
Искате да промените домейна и да инсталирате друг конектор.
Преди да започнете
-
Може да имате настроени няколко екземпляра на Directory Connector за висока наличност (HA) или за синхронизиране на множество домейни. Деактивирайте синхронизирането, ако деинсталирате единствения или последния оставащ екземпляр на Directory Connector.
-
Запишете и затворете всяка важна работа, преди да деинсталирате Directory Connector.
| 1 |
От вашата машина с Windows отидете в контролния панел и след това щракнете върху Програми и функции. |
| 2 |
От списъка с програми щракнете върху Directory Connector, изберете Деинсталиране и след това следвайте подканите. Може да се наложи да рестартирате системата си, за да завършите деинсталирането. |
| 3 |
От изгледа на клиента в https://admin.webex.com, отидете на , превъртете до Синхронизиране на указатели, щракнете върху още |
| 4 |
След като прочетете подканата, щракнете върху Деактивиране. Освен ако няма друг Directory Connector с разполагане с висока наличност (HA), потребителските акаунти вече не се синхронизират. |
Стартирайте инструмента за диагностика
Можете да използвате вградения инструмент за диагностика, за да отстраните неизправности в разполагането на Directory Connector. Този инструмент се инсталира като част от Directory Connector 3.4 нататък.
Ако синхронизирането не работи правилно, може да имате конфигурационна или мрежова грешка. Този инструмент тества връзката ви с LDAP, така че да можете сами да диагностицирате грешките, преди да се свържете с поддръжката. Ако инструментът върне някоя грешка, можете да изпратите до поддръжката подробните резултати от регистрационния файл.
-
За да изпълните тестове за услугите на домейн на Active Directory:
-
За да изпълните тестове за услугите на Active Directory Lightweight Directory:
-
За да изпълните тестове за lightweight Directory Access Protocol (LDAP):
Отстраняване на проблеми в Ciso Directory Connector
Отстраняване на неизправности и корекции за Directory Connector
Може да срещнете съобщение за грешка или друг проблем в Directory Connector. Също така, след като Directory Connector синхронизира потребителската информация, конекторът може да ви изпрати имейл отчет, който изброява всички проблеми със синхронизирането. Вижте следващите раздели за проблеми, които могат да възникнат, възможни причини и предложени решения, които можете да опитате, преди да се свържете с поддръжката.
Инсталирай
Directory Connector спря да работи
Получихте имейли за предупреждение, които ви уведомяват, че вашият Directory Connector не работи.
-
Възможно е Directory Connector да не е инсталиран правилно.
-
Directory Connector може да не се изпълнява.
-
Възможно е мрежата да не е достъпна.
Опитайте следното:
-
Отворете . Намерете конектора за указатели. Ако не е там, изтеглете най-новата версия от Control Hub и я инсталирайте.
-
Отворете услугата и намерете услугата Cisco DirSync. Уверете се, че показва състоянието като Стартирано. Ако услугата бъде спряна, щракнете с десния бутон и изберете \„Старт\“, за да рестартирате услугата.
-
Уверете се, че сървърът, на който сте инсталирали Directory Connector, има достъп до интернет.
Грешка при преинсталиране
Проблем – Ако незабавно инсталирате нов конектор, след като деинсталирате стар, може да видите съобщение за грешка.
Възможна причина— В Windows Server 2012 клиентът за деинсталиране се нуждае от време, за да изтрие сервизния акаунт от списъка на услугите.
Решение—След известно време опитайте отново да инсталирате.
Влизане
Directory Connector се срива при влизане с еднократна идентификация
проблем
Directory Connector може да се срине, след като въведете имейл адрес от страница за влизане в SSO.
Решение
Опитайте следното:
Изпълнете следните стъпки, за да конфигурирате нови правила за група:
-
Отидете в домейнов контролер и отворете Управление на групови правила (gpedit.msc).
-
Щракнете с десния бутон върху конкретен OU или домейн и изберете Създаване на GPO в този домейн и Свържете го тук…
-
Дайте име на правилата, след което щракнете с десния бутон и изберете Редактиране.
Изпълнете следните стъпки, за да промените правилата на ниво машина:
-
Отидете на , щракнете с десния бутон върху Регистър, изберете Нов и след това Елемент в регистъра.
-
За път на ключа въведете или се придвижете до HKEY_ЛОКАЛНА_МАШИНА\СОФТУЕР\Microsoft\Internet Explorer\Main.
-
Въведете
Деактивиране на отстраняване на грешки за скриптовеза стойност и въведетенеза данни за стойност.Настройките трябва да съвпадат с тази екранна снимка:
Изпълнете следните стъпки, за да промените правилата на ниво потребител:
-
Отидете на , щракнете с десния бутон върху Регистър, изберете Нов и след това Елемент в регистъра.
-
За път на ключа въведете или се придвижете до HKEY_ТЕКУЩ_ПОТРЕБИТЕЛ\СОФТУЕР\Microsoft\Internet Explorer\Main.
-
Въведете
Деактивиране на отстраняване на грешки за скриптовеза стойност и въведетенеза данни за стойност.Настройките трябва да съвпадат с тази екранна снимка:
Промените влизат в сила, след като стартирате gpupdate /force, машината се рестартира (за промени в машината) или потребителят влезе отново (за промени в потребителя).
Конекторът за услуги на Cisco DirSync не може да се регистрира
проблем
Неуспешно влизане и се появява това съобщение: „Cisco DirSync Service Connector не можа да бъде регистриран“.
Решение
Системата на Windows, на която е инсталиран Directory Connector, трябва да е член на Active Directory.
Не се появява страница за влизане
проблем
Отворихте Directory Connector и страницата за влизане не се появи.
Решение
Изпробвайте следните стъпки:
-
В Internet Explorer отидете на https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Опитайте връзката в други браузъри като Chrome и Firefox.
-
Ако Internet Explorer не може да посети връзката, но могат и други браузъри, поставете отметка в настройките на Internet Explorer и поставете отметка в квадратчетата TLS 1.1 и 1.2. (Използвайте процедурата Разрешаване на TLS в Internet Explorer .)
Появява се подкана за влизане
проблем
Появява се подкана, която иска да въведете потребителското име и паролата, за да предадете удостоверяването.
Възможна причина
Directory Connector завършва мълчаливо удостоверяването за защита на NTLM с акаунта за влизане. Ако удостоверяването е неуспешно, се появява диалогов прозорец, за да се поиска потребителско име и парола за удостоверяване.
Решение
Когато видите знака в изскачащ прозорец, трябва да предоставите валиден акаунт с правилно удостоверяване, за да предадете защитата.
Неуспешно свързване с отдалечения сървър
проблем
По време на нормална работа се появява съобщението за грешка: "Не е възможно свързване с отдалечения сървър".
Възможна причина
Може да имате проблеми с прокси сървъра, които трябва да бъдат разрешени.
Решение
Вижте Отстраняване на проблеми с влизането в акаунта за услугата за повече информация за отстраняване на неизправности.
Конекторът не може да се регистрира
проблем
Виждате съобщението за грешка „Не може да се регистрира конекторът. Възникна общо изключение.“
Възможна причина
В повечето случаи проблемът е, че Directory Connector няма привилегия да се свързва с LDAP корневи контекст.
Решение
Опитайте следното:
-
Изпълнете командната подкана (cmd) и след това въведете ldp.exe.
-
Щракнете върху , изберете Обвързване както в момента сте влезли в потребителя, след което щракнете върху OK.
-
Щракнете върху , въведете DC=arbonneintl,DC=ad като BaseDN и след това щракнете върху OK.
-
Ако проблемът продължава, отворете случай с поддръжката.
Синхронизиране
Аватарите не са синхронизирани
проблем
Cisco Directory Connector синхронизира потребителските AD данни с облака на Webex. Но данните за аватара не са синхронизирани успешно.
Възможна причина
Ако сте използвали повторно съществуващ аватар сървър и аватарите на потребителите вече са синхронизирани, тогава локалният кеш ги улавя и избягва повторното изпращане отново, за да се подобри скоростта на предаване.
Решение
Изтрийте локалния кеш, като изпълните следните стъпки:
-
Отидете на C:\Програмни файлове (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Изтрийте DirSyncPluginAvatar.dll-cache.bin.
-
Изпълнете отново синхронизирането на аватара от Cisco Directory Connector.
Конфликтни потребителски имейл акаунти
проблем
Резултатите от синхронизирането може да показват конфликтни потребителски имейл акаунти.
-
Ако потребителите са изпробвали безплатната версия на приложението Webex, техните имейл адреси се намират в безплатната организация на потребителите.
-
Ако потребителските имейли някога са били синхронизирани в друга организация.
-
Ако потребителските имейли съществуват в много домейни, които принадлежат на организацията.
Решение
Опитайте следното:
-
Изпълнете тези стъпки, ако се опитвате да заявите потребители:
-
Уверете се, че сте потвърдили домейна в Control Hub.
-
Временно деактивирайте Cisco Directory Connector.
-
Използвайте опцията „Заявяване на потребител“ в Control Hub, за да заявите всички акаунти, които може да съществуват в безплатната организация на потребителите. Вижте Заявяване на потребители за вашата организация (Конвертиране на потребители) за повече информация.
-
Направете пробно изпълнение в Cisco Directory Connector и след това активирайте отново синхронизирането на указатели
-
-
За последния случай проверете двукратно потребителските данни във вашите източници на Active Directory.
Преобразуван потребител, маркиран като неактивен
проблем
В синхронизираната с указателя среда сте преобразували безплатен потребител (потребителска организация) във вашата корпоративна организация, но преобразуваният потребител не може да влезе в приложението Webex.
Възможна причина
Когато безплатният потребител бъде преобразуван в корпоративната организация, потребителят се маркира като неактивен в продължение на 30 дни като мярка за съответствие на защитата. През този период потребителят не може да влезе в приложението Webex и е маркиран за изтриване в края на 30-дневния период. Тази ситуация възниква, защото безплатната информация за потребителя не се намира в Active Directory.
Решение
Трябва да предприемете действие, ако не искате потребителският акаунт да бъде изтрит. За да разрешите този проблем, създайте потребителски акаунт във вашата локална Active Directory, който съответства на конвертирания безплатен потребителски акаунт. След това изпълнете синхронизация от Cisco Directory Connector. След това потребителят ще може да влезе отново в приложението Webex и акаунтът няма да бъде изтрит.
Постепенното синхронизиране е неуспешно
проблем
Постепенното синхронизиране е неуспешно.
Този проблем може да възникне в Windows Server 2008 R2 при следните условия:
-
Поддържате актуализации на частична стойност.
-
Филтърът, който използвате, препраща към свързан атрибут на стойност.
-
Стойностите на резултатите за този атрибут са актуализирани от последния път, когато е извършено пълно синхронизиране.
Решение
Windows Server 2008 R2 има грешка, която е свързана с този проблем. Грешката е поправена през 2012 г. R2 и по-нови. Препоръчваме да надстроите своя Windows Server поне до 2012 R2.
Невалидна стойност за атрибут
проблем
За [user dn (различно име)] атрибутът [име на атрибут] има следната невалидна стойност [стойност на атрибут].
Възможна причина
За CN=b,OU=Служители,OU=C Потребители,DC=c,DC=com атрибутът [телефонен номер] има следната невалидна стойност: +. Този атрибут трябва да съдържа поне една цифра.
Решение
Атрибут за този потребител няма валидна стойност. Коригирайте стойността му в съответствие с описанието в предупредителното съобщение. След това извършете друга синхронизация.
Съответстващи потребители за изтриване
проблем
Съответстващите потребители са маркирани за изтриване.
Когато извършвате синхронизиране на пробно изпълнение, за да проверите данните между Active Directory и облака, може да видите един и същ имейл адрес и в двете. Потребителят обаче е маркиран като обект за изтриване.
Решение
Изберете подходяща корекция:
-
Ако е приемливо да изтриете потребителя и да извършите отново лицензите след това, можете да използвате Directory Connector за корекцията. Извършете синхронизация, за да изтриете потребителя, и след това извършете друга синхронизация, за да синхронизирате потребителя от локалната AD към облака.
-
Ако не можете да изтриете и пресъздадете потребителския акаунт, отворете случай с поддръжка.
Липсващ атрибут
проблем
Необходимият атрибут [attribute_name] при добавяне на локален запис [user dn (разграничено име)]. Записът не се създава в Control Hub, докато всички задължителни атрибути не имат стойност.
Възможна причина
Липсва задължителният имейл адрес на атрибута. При добавяне на локален запис [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], записът не се създава в Control Hub, докато всички задължителни атрибути не имат стойност.
Решение
Един от необходимите атрибути липсва за потребителя [user_email_address]. Предоставете необходимите стойности за този потребител.
Вложена група няма да се синхронизира
проблем
Потребителите в група за вграден Active Directory не са синхронизирани правилно с облака.
Възможна причина
Използва се филтър, който включва както дъщерната група, така и родителската група, който не се поддържа. Например: (членof=CN=testgroup1,CN=Потребители,DC=rktest2008,DC=org)
Решение
Трябва да преконфигурирате филтъра, който синхронизира групите. Например: |(memberof=CN=testgroup1,CN=Потребители,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Потребители,DC=rktest2008,DC=org)
Конфликт между имена на потребители
проблем
Има конфликт при именуване за [user dn] за съществуващ обект с въвеждане в облака с името: [имейл адрес на потребител] и от тип потребител [user_type].
Възможна причина
Потребител с този имейл адрес вече съществува в Control Hub.
Решение
Създайте потребител във вашия Active Directory със същия имейл адрес като акаунта, който сте регистрирали чрез Control Hub.
Control Hub
Списъкът с потребители липсва в Control Hub
проблем
Ако имате организация на Webex с повече от 1000 синхронизирани потребители, е възможно да не виждате списъка с потребители в Control Hub.
Решение
Можете да използвате функцията за търсене, за да намерите потребителски акаунт. В Control Hub отидете на Потребители, щракнете върху търсене и след това въведете критерии за търсене, за да намерите определен потребител.
Групите няма да се синхронизират с Control Hub
проблем
Потребителите в група за указател няма да се синхронизират правилно с Control Hub.
Възможна причина
Групата не е маркирана като isCriticalSystemObject в Active Directory.
Решение
Уверете се, че атрибутът isCriticalSystemObject е зададен на TRUE в Active Directory.
Разрешаване на отстраняване на неизправности за конектор за указател
Можете да активирате отстраняването на неизправности, за да помогнете за диагностицирането на грешки, които срещнете в Directory Connector. Отстраняването на неизправности ви позволява да заснемете информацията за мрежовия трафик и да я запишете във файл.
Регистрационните файлове, които са: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Регистрационни файлове
| 1 |
Изпълнете файла |
| 2 |
Рестартирайте услугата. Вижте Как да стартирате услуги за насоки. |
| 3 |
В Directory Connector щракнете върху Табло. |
| 4 |
Отидете на Действия и след това щракнете върху . |
| 5 |
Когато отстраняването на неизправности е активирано, повторете действията, които са причинили грешка; това улавя данните за трафика, за да могат да бъдат разгледани. |
| 6 |
Преглед на регистрационните файлове: ако файлът е празен, уверете се, че акаунтът има привилегии за достъп до вашите AD DS или AD LDS. Папката с регистрационни файлове записва файлове само за последните 3 дни. Съдържанието на регистрационните файлове съответства на изхода от регистрационния файл на събитието към системата. |
| 7 |
Ако е необходимо, изпратете регистрационния файл на поддръжката за помощ. |
| 8 |
Деактивирайте функцията за отстраняване на неизправности, когато сте готови. |
Стартиране на визуализатора на събития
За да видите събитията, които са се случили по време на пълно или постепенно синхронизиране, стартирайте визуализатора на събития. Показва обобщение на административните събития и регистрационните файлове за грешки.
| 1 |
От Directory Connector отидете на Табло , след което щракнете върху Действие > Стартиране на визуализатора на събития. Диалоговият прозорец „Свойства на събитието“ показва подробностите за събитието за синхронизиране и подробностите за грешките. |
| 2 |
От Event Viewer отидете на .
|
| 3 |
Под Действия щракнете върху Запиши всички събития като , за да експортирате всички регистрационни файлове като един файл на събития (*.evtx) или друг формат, като xml или csv. |
Какво да направите след това
Ако трябва да отворите случай, свържете се с поддръжката, опишете проблема с конектора и след това прикачете файла Events към вашия случай.
Регистрационните файлове за събития снемат действия от потребители. За помощ при управление на мрежовия трафик активирайте отстраняването на неизправности на конектора.
Разрешаване на TLS в Internet Explorer
Ако сте превключили доставчици на еднократна идентификация (SSO), може да видите следните съобщения за грешка от Cisco Directory Connector:
-
Възникна грешка при влизане в услугата
-
Възникна грешка в скрипта на тази страница
Ако видите тези грешки, трябва да разрешите настройка за TLS в браузъра си.
| 1 |
Отворете Internet Explorer, след което изберете Инструменти. Сега поставете отметка в квадратчетата за TLS/SSL версията, която искате да разрешите. Щракнете върху OK Затвори браузъра и го отворете отново |
| 2 |
Щракнете върху Опции за интернет , отидете на Разширени , превъртете до Защита. |
| 3 |
Поставете отметка в квадратчетата Използване на TLS 1.1 и Използване на TLS 1.2 и след това щракнете върху OK.
|
| 4 |
Рестартирайте системата си, за да влязат в сила промените. |
Отстраняване на неизправности при влизане в акаунта за услуга
Ако не можете да влезете в Cisco Directory Connector или не можете да изпълните синхронизация, използвайте тези стъпки, за да се опитате да разрешите проблема, преди да се свържете с поддръжката.
| 1 |
Опитайте да посетите https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL в уеб браузъра си. |
| 2 |
Изберете един, в зависимост от резултатите:
|
| 3 |
Като минимум се уверете, че конфигурираният акаунт за услугата Cisco DirSync (която може да бъде намерена в услугите на Windows) има ниво на привилегии, което му позволява достъп до данни за аватар и AD данни. По подразбиране услугата използва идентификационните данни за влизане в акаунта за Windows и удостоверяването. |
Проверка на SafeDllSearchMode в регистъра на Windows
Режимът на търсене в библиотеката с безопасни динамични връзки (DLL) е зададен по подразбиране в регистъра на Windows и по-късно поставя текущата директория на потребителя в реда на търсене в DLL. Ако този режим по някакъв начин е деактивиран, атакуващият може да постави злонамерен DLL (наречен същото като препратен DLL файл, който се намира в системната папка) в текущата работеща директория на приложението.
Обикновено SafeDllSearchMode е активиран, но използвайте тази процедура, за да проверите двукратно настройките на системния регистър.
Преди да започнете
Промените в регистъра на Windows трябва да се правят с изключително внимание. Препоръчваме ви да направите резервно копие на своя регистър, преди да използвате тези стъпки.
| 1 |
В търсенето на Windows или прозореца „Изпълнение“ въведете Regedit и след това натиснете Enter. |
| 2 |
Отидете на HKEY_ЛОКАЛНАТА МАШИНА_\Система\CurrentControlSet\Control\Диспечер на сесии. |
| 3 |
Изберете един:
|
За повече информация вижте Поръчка за търсене в библиотеката с динамични връзки.
Общ преглед на Cisco Directory Connector
Общ преглед на конектора за указатели
Directory Connector е локално приложение за синхронизиране на идентичността в облака. Можете да изтеглите софтуера на конектора от Control Hub и да го инсталирате на вашата локална машина.
С Directory Connector можете да поддържате потребителските си акаунти и данни в Active Directory, така че Active Directory се превръща в единствен източник на истина. Когато направите промяна на място, тя се възпроизвежда в облака.
Вижте всички функции, описания и предимства в таблицата:
| Функция | Описание и полза |
|---|---|
| Лесно за използване табло | Таблото предоставя график за синхронизиране, обобщение и състояние на синхронизацията, както и състояние на Directory Connector. Можете да видите таблото по всяко време, когато влезете. |
| Пробно изпълнение преди синхронизиране с облака | Извършете пробно изпълнение на промените в указателя, преди да бъдат внедрени в облака. След това изпълнете отчет, за да видите, че промените, които искате да направите, са това, което очаквате. |
| Пълно и постепенно синхронизиране | Синхронизирайте цялата директория. Или просто синхронизирайте инкременталните промени, за да спестите обработваща мощност и да съкратите времето за синхронизиране. |
|
Синхронизиране на множество домейни (една гора или множество гори) |
Directory Connector поддържа множество домейни или под една гора, или под множество гори (без нужда от AD LDS). За предприятия с множество домейни на Active Directory, можете да инсталирате Directory Connector за всеки домейн, да свържете всеки домейн с вашата организация и след това да синхронизирате всяка потребителска база в Webex. Control Hub отразява състоянието, като показва състоянието на синхронизация за множество Directory Connectors, позволява ви да изключите синхронизирането за определен домейн и деактивирате Directory Connector при разполагане с висока наличност. |
| Планирано синхронизиране | Задайте график за синхронизиране по ден, час и минута. |
| Lightweight Directory Access Protocol (LDAP) филтри | Дефинирайте критерии за търсене в LDAP и осигурете ефективно импортиране. |
| Съпоставяне на атрибути на Active Directory | Съпоставете атрибути на Microsoft Active Directory със съответстващи атрибути в облака на Webex. Можете да съпоставяте атрибути, които са от значение за вашата конфигурация на Active Directory, и също така да дефинирате персонализирани атрибути, които да съпоставяте към облака. Атрибутите от локалните местоположения формират различни данни в облака, като информация за потребителския акаунт, телефонни номера за влизане в Webex Teams, SIP адреси за ресурси на Room и други данни за карта за контакт на потребителите (длъжност, отдел, мениджър и т.н.). |
|
Корпоративен указател за локални ресурси на стаята и потребители на Cisco Webex Calling (PSTN в облака) и корпоративни контакти без лицензиране за Webex |
Ако част от вашата организация използва PSTN в облака на Cisco Webex Calling за услуга за повиквания или имате локални устройства Room, тази функция позволява на потребителите да търсят в указателя за корпоративни контакти от техните телефони Cisco Webex Calling (PSTN в облака) или от ресурсите Room.
|
| Визуализатор на събитие | Използвайте визуализатора на събития, за да определите дали има проблеми със синхронизирането. |
| Инструмент за диагностика и отстраняване на неизправности | Можете да използвате вградения диагностичен инструмент за отстраняване на неизправности при внедряването на Cisco Directory Connector. Ако синхронизирането не работи правилно, може да имате конфигурационна или мрежова грешка. Този инструмент тества връзката ви с Active Directory, така че да можете сами да диагностицирате грешки, преди да се свържете с поддръжката. След като разрешите отстраняването на неизправности в Directory Connector, се записват регистрационни файлове, които могат да бъдат изпратени на техническата поддръжка. |
| Автоматично надстройване | След като инсталирате Directory Connector, получавате известие всеки път, когато е налична нова версия на софтуера. Можете да настроите автоматични надстройки, така че винаги да сте на най-новата версия на софтуера, когато се пуска нова версия. |
| Висока наличност | Конфигурирайте множество конектори, така че да има резервно копие, в случай че главният конектор или хостът на машината го прекъсне. |
Directory Connector е разделен на три области:
-
Control Hub е единственият интерфейс, който ви позволява да управлявате всички аспекти на вашата организация в Webex: преглеждайте потребителите, задайте лицензи, изтеглете Directory Connector и конфигурирайте еднократна идентификация (SSO) , ако искате вашите потребители да се удостоверяват чрез техния доставчик на корпоративна самоличност и не искате да изпращате имейл покани за приложението Webex.
-
Интерфейсът за управление на Directory Connector е софтуерът, който можете да изтеглите от Control Hub и да инсталирате на надежден сървър на Windows. За множество домейни на Active Directory можете да инсталирате един миг от софтуера за всеки домейн, който искате да синхронизирате. Като използвате софтуера, можете да изпълните синхронизация, за да пренесете потребителските си акаунти от Active Directory в Webex, да преглеждате и наблюдавате статуса на синхронизиране и да конфигурирате услугите на Directory Connector.
-
Услугата за синхронизиране на указатели изисква от вашия Active Directory да извлече потребители и групи за синхронизиране с услугата за конектор и Directory Connector.
Вижте тази схема, за да разберете архитектурата на Directory Connector:
Подготовка на средата за конектор за указатели
Изисквания за Directory Connector
Изисквания за Windows и Active Directory
Можете да инсталирате Directory Connector на следните поддържани сървъри на Windows:
-
Сървър на Windows 2022
-
Windows Server 2019
-
Windows Server 2016
За да разрешите проблем с бисквитките, препоръчваме да надстроите своя домейнов контролер до издание, което съдържа корекцията – Windows Server 2012 R2 или 2016.
Directory Connector се поддържа със следните услуги на Active Directory:
-
Active Directory 2016
(Directory Connector се поддържа при използване на най-новата версия на Active Directory на Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Обърнете внимание на следните допълнителни изисквания:
-
Directory Connector изисква TLS1.2. Трябва да инсталирате следното:
-
.NET Framework v3.5 (изисква се за приложението Directory Connector. Ако срещнете някакви проблеми, използвайте указанията в Активиране на .NET рамка 3.5, като използвате съветника за добавяне на роли и функции.)
-
.NET Framework v.4.5 (изисква се за TLS1.2)
-
-
Изисква се Active Directory Forest функционално ниво 2 (Windows Server 2003) или по-високо. (Вижте Какво представляват функционални нива на Active Directory? за повече информация.)
Изисквания към хардуера
Трябва да инсталирате Directory Connector на компютър със следните минимални изисквания към хардуера:
-
8 GB ОПЕРАТИВНА ПАМЕТ
-
50 GB място за съхранение
-
Няма минимум за процесора
Изисквания за мрежата
Ако мрежата се намира зад защитна стена, се уверете, че системата ви има HTTPS (порт 443) достъп до интернет.
Изисквания за организацията на Webex
-
За достъп до софтуера Directory Connector от Control Hub е необходима организация на Webex с пробна версия или платен абонамент.
-
(По избор) Ако искате новите потребителски акаунти на приложението Webex Да бъдат активни преди първото влизане, препоръчваме да направите следното:
-
Добавете, потвърдете и по желание заявете домейни , които съдържат потребителските имейл адреси, които искате да синхронизирате в облака.
-
Направете интегриране с еднократна идентификация (SSO) на вашия доставчик на самоличност (IdP) с вашата организация на Webex.
-
Потиснете автоматичните покани по имейл, така че новите потребители да не получават автоматичната покана по имейл, а вие да можете да направите собствена имейл кампания. (Тази функция изисква интегриране на SSO.)
-
За повече информация вижте Потребителски статуси и действия в Control Hub.
Изисквания за инсталиране
-
За среда с множество домейни (или за една гора, или за множество гори) трябва да инсталирате един Directory Connector за всеки домейн на Active Directory. Ако искате да синхронизирате нов домейн (B), докато поддържате синхронизираните потребителски данни на друг съществуващ домейн (A), се уверете, че имате отделен поддържан Windows сървър, за да инсталирате Directory Connector за синхронизиране на домейни (B).
-
За влизане в конектора не изискваме акаунт на администратор в Active Directory. Изискваме локален потребителски акаунт, който е същият потребител като пълен администраторски акаунт в Control Hub.
Този локален потребител трябва да има привилегии на тази машина с Windows, за да се свърже с контролера на домейни и да чете потребителски обекти в Active Directory. Акаунтът за влизане на машината трябва да е компютърен администратор с привилегии за инсталиране на софтуер на локалната машина. (Тази информация се отнася и за влизане с виртуална машина.)
-
При влизане в конектора акаунтът за влизане трябва да бъде същият като пълния администраторски акаунт за Control Hub. По подразбиране конекторът използва локалния системен акаунт за достъп до Active Directory. Можете обаче да използвате услугите на Windows, за да конфигурирате друг акаунт за достъп до Active Directory. (Тази информация се отнася и за влизане с виртуална машина.)
-
Уверете се, че режимът за търсене в библиотеката с динамични връзки (DLL) на Windows е активиран, като използвате тази процедура: Проверете SafeDllSearchMode в регистъра на Windows.
-
Ако използвате AD LDS за множество домейни на една гора, препоръчваме да инсталирате Directory Connector и Active Directory Domain Service/Lightweight Directory Services (AD DS/AD LDS) на отделни машини.
Няколко изисквания за домейни
Преди да следвате задачите в потока от задачи за разполагане на Cisco Directory Connector, имайте предвид следните изисквания и препоръки, ако ще синхронизирате информация от Active Directory от множество домейни в облака:
-
За всеки домейн се изисква отделен екземпляр на Directory Connector.
-
Софтуерът на Directory Connector трябва да се изпълнява на хост, който е на същия домейн, който ще се синхронизира.
-
Препоръчваме ви да потвърдите или заявите своите домейни в Control Hub. (Вижте Добавяне, потвърждаване и заявяване на домейни.)
-
Ако искате да синхронизирате повече от 50 домейна, трябва да отворите билет , за да преместите организацията си в голям списък на организацията.
-
Ако желаете, можете да синхронизирате информацията за ресурсите на стаята заедно с потребителските акаунти. (Вижте Синхронизиране на информация за локалните стаи с облака на Webex.)
Препоръки за група от Active Directory за автоматично задаване на лицензи
Групите в Active Directory се използват за събиране на потребителски акаунти, компютърни акаунти и други групи в управляеми единици. Работата с групи, а не с отделни потребители, помага за опростяване на поддръжката и администрирането на мрежата.
В Active Directory има два типа групи:
-
Групи за разпространение – използват се за създаване на списъци за разпространение по имейл.
-
Групи за защита – използват се за присвояване на разрешения на споделени ресурси.
Имайте предвид следните указания, когато създавате групи в Active Directory:
-
Създайте глобална група за всяка роля, отдел или услуга (като продажби, маркетинг, мениджъри, счетоводители, лицензиране на Webex и т.н.).
-
Използвайте стандартни конвенции за именуване във вашата организация, за да улесните идентифицирането на важна информация за дадена група. Имената на групи могат да включват подробности за групата, като например нивото на достъп, типа на ресурсите, нивото на защита, обхвата на групата, възможностите за поща и т.н. Например името на групата „GSG_Webex_Licensing_EMEAR“ се отнася за глобална група за защита за потребители на EMEAR за Webex Licensing.
-
Организирайте групи по лесен за разбиране начин, например по географска или управленска йерархия. Използвайте описания на групи, за да опишете напълно целта на групата.
-
Преди да добавите потребители към новоосигурените групи, дефинирайте шаблона за група за автоматично лицензиране в Control Hub за тези групи. Вижте Настройване на вашия шаблон за автоматично задаване на лицензи за повече информация.
Информация за оразмеряване
Directory Connector работи като мост между локалната Active Directory и облака на Webex. Като такъв конекторът няма горно ограничение за това колко обекти от Active Directory могат да бъдат синхронизирани с облака. Всички ограничения в локалните директории обекти са обвързани със специфичната версия и спецификациите за средата на Active Directory, която се синхронизира с облака, а не със самия конектор.
Няколко фактора могат да повлияят на скоростта на синхронизацията:
-
Общият брой обекти в Active Directory. (Задание за синхронизиране на 5000 потребители няма да отнеме толкова време, колкото 50000.)
-
Скорост на мрежата и честотна лента.
-
Работно натоварване на системата и спецификации.
Ако синхронизирате повече от 50 000 потребители, настоятелно препоръчваме да използвате втори конектор за отказ и резервиране.
Тъй като при синхронизирането са включени няколко фактора и тъй като всяко разгръщане варира в зависимост от горните фактори, не можем да предоставим конкретни стойности за време за това колко време ще отнеме синхронизирането на обекта.
Проверка на SafeDllSearchMode в регистъра на Windows
Режимът на търсене в библиотеката с безопасни динамични връзки (DLL) е зададен по подразбиране в регистъра на Windows и по-късно поставя текущата директория на потребителя в реда на търсене в DLL. Ако този режим по някакъв начин е деактивиран, атакуващият може да постави злонамерен DLL (наречен същото като препратен DLL файл, който се намира в системната папка) в текущата работеща директория на приложението.
Обикновено SafeDllSearchMode е активиран, но използвайте тази процедура, за да проверите двукратно настройките на системния регистър.
Преди да започнете
Промените в регистъра на Windows трябва да се правят с изключително внимание. Препоръчваме ви да направите резервно копие на своя регистър, преди да използвате тези стъпки.
| 1 |
В търсенето на Windows или прозореца „Изпълнение“ въведете Regedit и след това натиснете Enter. |
| 2 |
Отидете на HKEY_ЛОКАЛНАТА МАШИНА_\Система\CurrentControlSet\Control\Диспечер на сесии. |
| 3 |
Изберете един:
|
За повече информация вижте Поръчка за търсене в библиотеката с динамични връзки.
Интегриране на уеб прокси сървър
Интегриране на уеб прокси сървър
Ако удостоверяването на уеб прокси е активирано във вашата среда, все още можете да използвате Directory Connector.
Ако вашата организация използва прозрачен уеб прокси, тя не поддържа удостоверяване. Конекторът успешно се свързва и синхронизира потребителите.
Можете да използвате един от следните подходи:
-
Изрично уеб прокси сървър чрез Internet Explorer (конекторът наследява настройките на уеб прокси сървъра)
-
Изрично уеб прокси сървър през .pac файл (конекторът наследява специфичните за предприятието настройки на прокси сървър)
-
Прозрачен прокси сървър, който работи с конектора без никакви промени
Използване на уеб прокси сървър през браузъра
Можете да настроите Directory Connector да използва уеб прокси сървър през Internet Explorer.
Ако услугата Cisco DirSync се изпълнява от акаунт, различен от текущо влезлия потребител, трябва също да влезете с този акаунт и да конфигурирате уеб прокси сървър.
| 1 |
От Internet Explorer отидете на Опции за интернет, щракнете върху Връзки и след това изберете LAN настройки. |
| 2 |
Посочете екземпляра на Windows, където конекторът е инсталиран на вашия уеб прокси сървър. Конекторът наследява тези настройки за уеб прокси сървър. |
| 3 |
Ако средата ви използва удостоверяване чрез прокси сървър, добавете тези URL адреси към списъка с разрешени:
Можете да извършите това или за целия сайт (за всички организатори), или само за организатора, който има конектора. Ако добавите тези URL адреси към списък с разрешени, за да заобиколите напълно вашия уеб прокси сървър, се уверете, че таблицата ACL на защитната стена е актуализирана, за да се позволи на хоста на конектора да има директен достъп до URL адресите. |
| 4 |
Ако средата ви трябва да поиска списъци за анулиране на сертификати от сертифициращите органи, добавете тези URL адреси към списъка с разрешени:
За повече информация вижте тази статия за домейните и URL адресите, които трябва да бъдат достъпни за услугите на Webex. |
Конфигуриране на уеб прокси сървър чрез PAC файл
Можете да конфигурирате браузър на клиент да използва .pac файл. Този файл предоставя адреса на уеб прокси сървъра и информация за порт. Directory Connector директно наследява специфичната за предприятието конфигурация на уеб прокси сървъра.
| 1 |
За да може конекторът успешно да свърже и синхронизира потребителската информация с облака на Webex, се уверете, че удостоверяването с прокси сървър е деактивирано за |
| 2 |
Ако средата ви използва удостоверяване чрез прокси сървър, добавете тези URL адреси към списъка с разрешени:
Можете да извършите това или за целия сайт (за всички организатори), или само за организатора, който има конектора. Ако добавите тези URL адреси към списък с разрешени, за да заобиколите напълно вашия уеб прокси сървър, се уверете, че таблицата ACL на защитната стена е актуализирана, за да се позволи на хоста на конектора да има директен достъп до URL адресите. |
| 3 |
Ако средата ви трябва да поиска списъци за анулиране на сертификати от сертифициращите органи, добавете тези URL адреси към списъка с разрешени:
За повече информация вижте тази статия за домейните и URL адресите, които трябва да бъдат достъпни за услугите на Webex. |
NTLM прокси сървър
Directory Connector поддържа NT LAN диспечер (NTLM). NTLM е един подход за поддържане на удостоверяване на Windows сред устройствата на домейна и гарантиране на тяхната сигурност.
NTLM дизайн
В повечето случаи потребителят иска достъп до други ресурси на работна станция чрез клиентски компютър, което може да е трудно да се направи по сигурен начин.
Като цяло техническият дизайн на NTLM се основава на механизъм за предизвикателство
и отговор
:
-
Потребителят влиза в клиентския компютър чрез акаунт и парола за Windows. Паролата никога не се записва локално. Вместо обикновена текстова парола, хеш стойността на паролата се съхранява локално. Когато потребителят влезе чрез паролата към клиента, операционната система Windows сравнява съхранената стойност на хеширане и стойността на хеширането от входната парола. Ако и двете са еднакви, удостоверяването преминава.
Когато потребителят иска достъп до някой ресурс на друг сървър, клиентът изпраща заявка към сървъра с името на акаунта в обикновен текст.
-
Когато сървърът получи заявката, сървърът генерира 16-битов случаен ключ. Ключът се нарича предизвикателство (или nonce). Преди сървърът да се върне към клиента, предизвикателството се съхранява в сървъра. И след това сървърът изпраща предизвикателството до клиента в обикновен текст.
-
Веднага след като клиентът получи предизвикателството, изпратено от сървъра, клиентът шифрова предизвикателството с хеш стойността, която е спомената в стъпка 1. След шифроване стойността се изпраща обратно към сървъра.
-
Когато сървърът получи шифрованата стойност от клиента, сървърът я изпраща на контролера на домейна за потвърждение. Искането включва: името на акаунта, шифрованото предизвикателство, което клиентът е изпратил, и първоначалното недвусмислено предизвикателство.
-
Контролерът на домейна може да извлече хешираните стойности на паролата според името на акаунта. И тогава домейнов контролер може да шифрира първоначалното предизвикателство. След това контролерът на домейна може да сравни с получената стойност на хеш и шифрованата стойност на хеш. Ако те са еднакви, проверката е успешна.
Windows има вградено удостоверяване на защитата в операционната система, което улеснява приложенията да поддържат удостоверяване на защитата. В резултат на това не е необходимо да извършвате допълнително конфигуриране.
Конфигуриране на прозрачно прокси
В този сценарий браузърът не знае, че прозрачен уеб прокси сървър прихваща http заявки (порт 80/порт 443) и не се изисква конфигуриране от страна на клиента.
| 1 |
Разположете прозрачен прокси сървър, така че конекторът да може да свързва и синхронизира потребители. |
| 2 |
Потвърдете, че прокси сървърът е успешен – ще видите очакван изскачащ прозорец за удостоверяване на браузъра при стартиране на конектора. |
Задаване на удостоверяване в прокси сървър
Добавете URL адреса cloudconnector.webex.com към своя списък с разрешени, като създадете списък за контрол на достъпа.
На вашия корпоративен сървър на защитна стена:
| 1 |
Активирайте търсенето на DNS, ако вече не е активирано. |
| 2 |
Определете приблизителна скорост на предаване за тази връзка (приблизително 2 mb/s или по-малко за конектора). Това може да не е необходимо. |
| 3 |
Създайте списък за управление на достъпа, който да приложите към хоста на конектора, и посочете Например: access-list 2000 acl-inside extended permit TCP [IP на конектора] cloudconnector.webex.com eq https |
| 4 |
Приложете този ACL към подходящия интерфейс на защитната стена, който е приложим само за този хост с един конектор. |
| 5 |
Уверете се, че от останалите организатори във вашето предприятие все още се изисква да използват вашия уеб прокси сървър, като конфигурират съответната декларация за отказ. |
Разполагане на конектор за указател
Поток на задачи за разполагане на Cisco Directory Connector
Преди да започнете
| 1 |
Инсталиране на конектор за указател Control Hub първоначално показва синхронизирането на указатели като деактивирано. За да включите синхронизирането на указатели за вашата организация, трябва да инсталирате и конфигурирате Directory Connector и след това да извършите успешно пълно синхронизиране. За ново инсталиране на Directory Connector винаги отидете в Control Hub ( https://admin.webex.com), за да получите най-новата версия на софтуера, така че да използвате най-новите функции и корекции на грешки. След като инсталирате софтуера, надстройките се отчитат чрез софтуера и се инсталират автоматично, когато са налични. |
| 2 |
Влезте с идентификационните си данни на администратор на Webex и изпълнете първоначалната настройка. |
| 3 |
Задаване на автоматични надстройки Винаги е важно да поддържате софтуера си Directory Connector актуален до най-новата версия. Препоръчваме ви да използвате тази процедура, за да позволите автоматичните надстройки на софтуера да се инсталират мълчаливо, когато са налични. |
| 4 |
Избор на обекти в Active Directory за синхронизиране По подразбиране Directory Connector синхронизира всички потребители, които не са компютри, и всички групи, които не са критични системни обекти за даден домейн. За повече контрол върху това кои обекти се синхронизират, можете да изберете конкретни потребители, за да синхронизирате и посочите LDAP филтрите, като използвате страницата за избор на обект в Directory Connector. |
| 5 |
Съпоставяне на потребителски атрибути Можете да съпоставяте атрибути от вашата локална Active Directory със съответни атрибути в облака. Единственото задължително поле е *uid. |
| 6 |
Синхронизирайте аватарите на указатели, като използвате една от следните процедури:
Можете да синхронизирате аватарите на вашите потребители с облака, така че да се показва аватара на всеки потребител, когато той влезе в приложението. Можете да синхронизирате аватарите от атрибут на Active Directory или ресурсен сървър. |
| 7 |
Синхронизиране на информацията за локалните стаи с облака на Webex Използвайте тази процедура, за да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака устройства за стая, като устройство Webex Room или Cisco Webex Board |
| 8 |
За да осигурите Потребители От Active Directory В Control Hub, изпълнете следните стъпки:
Следвайте тази последователност, за да осигурите потребители на Active Directory за акаунтите за приложението Webex. Можете да осигурите потребители от множество горски или множество домейни, разполагане на Active Directory за Directory Connector 3.0 и по-нови версии. По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. Целта е да имате точно съвпадение между вашите Active Directories и облака на Webex. |
Инсталиране на конектор за указател
Control Hub първоначално показва синхронизирането на указатели като деактивирано. За да включите синхронизирането на указатели за вашата организация, трябва да инсталирате и конфигурирате Directory Connector и след това да извършите успешно пълно синхронизиране.
Трябва да инсталирате един конектор за всеки домейн на Active Directory, който искате да синхронизирате. Един екземпляр на Directory Connector може да обслужва само един домейн. Вижте следната схема, за да разберете потока за синхронизиране на множество домейни:
Преди да започнете
Ако се удостоверявате чрез прокси сървър, се уверете, че имате своите идентификационни данни за прокси сървър:
-
За базово удостоверяване в прокси сървър ще въведете потребителското име и паролата, след като инсталирате екземпляр на конектора. Конфигурацията на прокси сървъра на Internet Explorer се изисква също и за базово удостоверяване; вижте Използване на уеб прокси сървър през браузъра
-
За прокси NTLM може да видите грешка, когато отворите конектора за първи път. Вижте Използване на уеб прокси сървър през браузъра.
| 1 |
В Control Hub отидете на и изберете Напред. |
| 2 |
Щракнете върху връзката Изтегляне и инсталиране, за да запишете най-новата версия на .zip файла за инсталиране на конектор на вашия VMware или сървър на Windows. Можете да получите .zip файла директно от тази връзка, но трябва да имате пълен администраторски достъп до организация на Control Hub, за да работи този софтуер. За нова инсталация получете най-новата версия на софтуера, така че да използвате най-новите функции и корекции на грешки. След като инсталирате софтуера, надстройките се отчитат чрез софтуера и се инсталират автоматично, когато са налични. |
| 3 |
На сървъра на VMware или Windows разархивирайте и изпълнете .msi файла в папката за настройка, за да стартирате съветника за настройка. |
| 4 |
Щракнете върху Напред, поставете отметка в квадратчето, за да приемете лицензионното споразумение и след това щракнете върху Напред, докато видите екрана за тип на акаунта. |
| 5 |
Изберете типа акаунт за услуга, който искате да използвате, и изпълнете инсталирането с акаунт на администратор:
За да избегнете грешки, се уверете, че са въведени следните привилегии:
|
| 6 |
Щракнете върху Инсталиране. След като тестът на мрежата се изпълни и ако бъдете подканени, въведете основните идентификационни данни за прокси сървъра, щракнете върху OK и след това щракнете върху Край. |
Какво да направите след това
Препоръчваме да рестартирате сървъра след инсталирането. Отчетът за пробно изпълнение не може да покаже правилния резултат, когато данните не са били освободени. При рестартиране на машината всички данни се опресняват, за да се покаже точен резултат в отчета.
Влизане В Directory Connector
Преди да започнете
Уверете се, че имате идентификационните си данни за прокси сървъра.
-
За основно удостоверяване на прокси сървъра ще въведете потребителското име и паролата, след като отворите конектора за първи път.
-
За NTLM на прокси сървър отворете Internet Explorer, щракнете върху иконата на зъбно колело, отидете на Опции за интернет > Връзки > Настройки на LAN, осигурете добавена информация за прокси сървъра, след което щракнете върху OK. Вижте Използване на уеб прокси сървър през браузъра.
| 1 |
Отворете конектора и след това добавете |
| 2 |
Ако получите подкана, влезте с идентификационните си данни за удостоверяване на прокси сървъра и след това влезте в Webex с помощта на администраторския си акаунт и щракнете върху Напред. |
| 3 |
Потвърдете вашата организация и домейн.
|
| 4 |
След като се появи екранът Потвърждаване на организацията, щракнете върху Потвърждаване. Ако вече сте свързали AD DS/AD LDS, се появява екранът Потвърждаване на организацията. |
| 5 |
Щракнете върху Потвърждаване. |
| 6 |
Изберете един, в зависимост от броя домейни на Active Directory, които искате да свържете с Directory Connector:
|
Какво да направите след това
След като влезете, ще бъдете подканени да извършите пробно изпълнение на синхронизиране.
Табло за конектори за указатели
Когато за първи път влезете в Directory Connector, се появява таблото. Тук можете да видите обобщение на всички дейности по синхронизиране, да видите статистика за облака, да извършите пробно изпълнение на синхронизиране, да започнете пълно или постепенно синхронизиране и да стартирате изгледа на събитието, за да видите информация за грешките.
Можете лесно да изпълнявате тези задачи от лентата с инструменти за действия или менюто „Действия“.
|
Компонент |
Описание |
|---|---|
|
Текущо синхронизиране |
Показва информация за статуса относно протичащата в момента синхронизация. Когато не се изпълнява синхронизиране, дисплеят за статус е свободен. |
|
Следващо синхронизиране |
Показва следващото планирано пълно и постепенно синхронизиране. Ако не е зададен график, се показва Непланирани. |
|
Последно синхронизиране |
Показва статуса на последните две извършени синхронизации. |
|
Статус на текущата синхронизация |
Показва общия статус на синхронизирането. |
|
Конектори |
Показва текущите локални конектори, които са достъпни за облака. |
|
Статистика за облака |
Показва общия статус на синхронизирането. |
|
График за синхронизиране |
Показва графика на синхронизиране за постепенно и пълно синхронизиране. |
|
Резюме на конфигурацията |
Изброява настройките, които сте променили в конфигурацията. Например обобщението може да включва следното:
|
| Действие | Описание |
|---|---|
| Започване на постепенно синхронизиране |
Ръчно стартиране на поетапно синхронизиране Това действие се деактивира, когато поставите на пауза или деактивирате синхронизирането, ако не е завършено пълно синхронизиране или ако е в ход синхронизиране. |
|
Пробно изпълнение на синхронизиране |
Извършете синхронизиране на пробно изпълнение. |
|
Стартиране на визуализатора на събития |
Стартирайте Microsoft Event Viewer. |
|
Обнови |
Обновяване на таблото на Cisco Directory Connector |
|
Действие |
Описание |
|---|---|
| Синхронизирай сега |
Незабавно започнете пълна синхронизация. |
|
Режим на синхронизиране |
Изберете режим на постепенно синхронизиране или режим на пълно синхронизиране. |
|
Нулиране на тайната на конектора |
Установете разговор между Cisco Directory Connector и услугата конектор. Ако изберете това действие, ще бъде нулирана тайната в облака и след това ще я бъде записана локално. |
|
Пробно изпълнение |
Изпълнете тест на процеса на синхронизиране. Трябва да изпълните пробно изпълнение, преди да извършите пълно синхронизиране. |
|
Отстраняване на неизправности |
Включване/изключване на отстраняването на неизправности. |
|
Обнови |
Опреснете главния екран на Cisco Directory Connector. |
|
Изход |
Изход от Cisco Directory Connector. |
|
Клавишна комбинация |
Действие |
|---|---|
|
Alt+A |
Показване на менюто Действия |
|
|
Синхронизиране сега |
|
|
Нулиране на тайната на конектора |
|
|
Пробно изпълнение |
|
|
Постепенно синхронизиране |
|
|
Пълно синхронизиране |
|
|
Показване на менюто Помощ |
|
|
Помощ |
|
|
За програмата |
|
|
чзв |
Задаване на автоматични надстройки
| 1 |
От Directory Connector отидете на , и след това проверете Автоматично надстройване до новата версия на Cisco Directory Connector. |
| 2 |
Щракнете върху Прилагане, за да запишете промените си. |
Новите версии на конектора се инсталират автоматично, когато са налични.
Можете да управлявате надстройките ръчно, ако предпочитате. Вижте Надстройване до най-новото издание на софтуера за повече информация.
Избор на обекти в Active Directory за синхронизиране
По подразбиране Directory Connector синхронизира всички потребители, които не са компютри, и всички групи, които не са критични системни обекти за даден домейн. За повече контрол върху това кои обекти се синхронизират, можете да изберете конкретни потребители, за да синхронизирате и посочите LDAP филтрите, като използвате страницата за избор на обект в Directory Connector.
Групи за автоматично задаване на лицензи
Control Hub ви позволява да управлявате задаванията на лицензи за всяка група. Можете да създадете шаблони за лицензи и да ги нанесете към групи на Active Directory, които синхронизирате с облака. В момента на създаването на потребител Webex проверява членството на потребителя и съпоставянето на шаблони за автоматично разпределение на лицензи за този нов потребител.
Препоръчваме ви да използвате LDAP филтър само за синхронизиране на съответните групи с облака. Например можете да зададете филтъра на:
(&(cn=Пример)(objectclass=Група))*
Този филтър синхронизира всички групи в базовия DN, където името започва с „Пример“. На потребителите, които не са зададени на групи, се задават лицензи от шаблона за автоматични лицензи по подразбиране, който сте конфигурирали в Control Hub.
Групи за разполагания на хибридна защита на данни
В Directory Connector трябва да проверите Групи, ако използвате хибридна защита на данни, за да конфигурирате пробна група за пилотни потребители. Вижте Ръководство за разполагане на хибридна защита на данни за насоки. Тази настройка на Directory Connector не засяга синхронизирането на други потребители в облака.
Преди да започнете
Препоръки за група от Active Directory за автоматично задаване на лицензи
| 1 |
От Directory Connector отидете на Конфигурация , след което щракнете върху Избор на обект. |
| 2 |
В раздела Тип обект отметнете Потребители и помислете за ограничаване на броя на контейнерите, които могат да се търсят, за потребителите. Ако искате да синхронизирате само потребителите в определена група, например трябва да въведете LDAP филтър в полето Филтри за LDAP потребители. Ако искате да синхронизирате потребители, които са в групата на примерния мениджър, използвайте филтър като този:
|
| 3 |
Отметнете Идентифициране на стаята, за да отделите данните за стаята от данните за потребителите. Щракнете върху Персонализиране, ако искате да настроите допълнителни атрибути за идентифициране на потребителски данни като данни за стаи. Използвайте тази настройка, ако искате да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака устройства за стая. За повече информация вижте Синхронизиране на информацията за локалните стаи с облака на Webex. |
| 4 |
Отметнете Групи, ако искате да синхронизирате потребителските си групи от Active Directory към облака. Не добавяйте LDAP филтър за синхронизиране на потребители към полето „Групи“. Трябва да използвате полето „Групи“ само, за да синхронизирате самите данни на групата с облака. По подразбиране групите не се синхронизират за нови клиенти. Трябва да активирате синхронизирането на групи. Трябва също така да синхронизирате групите за защита. |
| 5 |
Отметнете Контакти, ако искате да синхронизирате информацията за контакт на потребителите с облака. Directory Connector управлява само контактите, синхронизирани от конектора. Ако вече има контакти в Control Hub, синхронизирането не ги изтрива. Ако контактите бъдат премахнати от обхвата на синхронизацията, информацията за контакт на потребителите също ще бъде премахната в Control Hub. |
| 6 |
Конфигурирайте LDAP филтрите. Можете да добавите разширени филтри, като предоставите валиден LDAP филтър. Вижте тази статия за повече информация относно конфигурирането на LDAP филтри. |
| 7 |
Задайте DN на локалната база за синхронизиране, като щракнете върху Избор, за да видите дървената структура на вашия Active Directory. От тук можете да изберете или премахнете избора кои контейнери да търсите. |
| 8 |
Проверете дали обектите, които искате да добавите за тази конфигурация, и щракнете върху Избор. Можете да изберете отделни или родителски контейнери, които да използвате за синхронизиране. Изберете родителски контейнер, за да активирате всички детски контейнери. Ако изберете контейнер за деца, главният контейнер показва сива отметка, която показва, че детето е било отметнато. След това можете да щракнете върху Избор, за да приемете контейнерите в Active Directory, които сте проверили. Ако вашата организация поставя всички потребители и групи в контейнера за потребители, не е необходимо да търсите други контейнери. Ако вашата организация е разделена на организационни единици, се уверете, че сте избрали OUs. |
| 9 |
Щракнете върху Прилагане. Изберете опция:
За информация за пробните изпълнения вижте Извършване на синхронизиране на пробно изпълнение на вашите потребители в Active Directory. За синхронизиране на група трябва да извършите пълно синхронизиране: Извършване на пълно синхронизиране на потребителите на Active Directory в облака. |
Съпоставяне на потребителски атрибути
Можете да съпоставяте атрибути от вашата локална Active Directory със съответни атрибути в облака. Единственото задължително поле е *uid, уникален идентификатор за всеки потребителски акаунт в услугата за самоличност в облака.
Можете да изберете кой атрибут на Active Directory да съпоставите с облака – например можете да съпоставите firstName lastName в Active Directory или потребителски израз на атрибут, за да displayName в облака.
Акаунтите в Active Directory трябва да имат имейл адрес; по подразбиране uid се съпоставя с полето за реклама на поща (не sAMAccountName).
Ако изберете предпочитаният език да идва от вашата Active Directory, тогава Active Directory е единственият източник на истина: потребителите няма да могат да променят настройката си за език в настройките на Webex, а администраторите няма да могат да променят настройката в Control Hub.
| 1 |
От Directory Connector щракнете върху Конфигурация и след това изберете Съпоставяне на потребителски атрибути. Тази страница показва имената на атрибутите за Active Directory (отляво) и облака на Webex (отдясно). Всички задължителни атрибути са маркирани с червена звезда. |
| 2 |
Превъртете надолу до долната част на Имена на атрибути на Active Directory и след това изберете един от тези атрибути на Active Directory, за да съпоставите с атрибута uid в облака:
Можете да съпоставите всеки от другите атрибути на Active Directory към uid, но ви препоръчваме да използвате mail или userPrincipalName, както е описано в указанията по-горе. В някои случаи потребителятPrincipalName се използва за влизане, но имейл адресът на потребителя се използва за управление на календара му. Трябва да гарантирате, че имейл адресът за управление на календара се съпоставя с полето за основен имейл адрес в Webex. Добавете потребителскотоPrincipalName като алтернативен имейл адрес. За да видите с кои атрибути в Active Directory съответстват в облака, вижте Съпоставяне на атрибути в Active Directory в Directory Connector. За да работи синхронизирането, трябва да се уверите, че атрибутът Active Directory, който изберете, е във формат на имейл. Directory Connector показва изскачащ прозорец, за да ви напомни, ако не изберете някой от препоръчителните атрибути. |
| 3 |
Ако предварително дефинираните атрибути на Active Directory не работят за разполагането ви, щракнете върху падащия атрибут, превъртете до дъното и след това изберете Персонализиране на атрибут, за да отворите прозорец, който ви позволява да дефинирате израз на атрибут. Щракнете върху Помощ, за да получите повече информация за изразите и да видите примери за това как работят изразите. Можете също да видите Изрази за персонализирани атрибути за повече информация. В този пример нека съпоставим атрибутите на Active Directory
Directory Connector проверява стойността на атрибута на uid в услугата за самоличност и извлича 3 налични потребители в текущите опции за филтриране на потребители. Ако всички тези 3 потребители имат валиден имейл формат, Cisco Directory Connector показва следното съобщение:
Ако атрибутът не може да бъде потвърден, ще видите следното предупреждение и можете да се върнете в Active Directory, за да проверите и коригирате потребителските данни:
|
| 4 |
(По избор) Изберете съпоставяния за мобилен и телефоненНомер, ако искате мобилните и работните номера да се показват например в картата за контакт на потребителя в приложението Webex. Данните за телефонните номера се появяват в приложението Webex, когато потребителят премине с мишката върху профилната снимка на друг потребител. За повече информация относно повикванията от карта за контакт на потребителя вижте Повиквания в Webex (Unified CM) Ръководство за разполагане (администратори). |
| 5 |
Изберете допълнителни съпоставяния, за да се показват повече данни в картата за контакт:
След като атрибутите са съпоставени, информацията се появява, когато потребителят премине с мишката над профилната снимка на друг потребител:
За повече информация относно картата за контакт вижте Проверете с кого се свързвате. След като тези атрибути бъдат синхронизирани с всеки потребителски акаунт, можете също да включите „Информация за участниците“ в Control Hub. Тази функция позволява на потребителите на приложението Webex да споделят повече информация в своите профили и да научат повече за себе си. За повече информация относно функцията и как да я активирате, вижте Профили за информация за участниците за Webex, Jabber, Webex Meetings и Webex Events (нов) в Control Hub |
| 6 |
След като направите избора си, щракнете върху Прилагане. |
Всички потребителски данни, които се съдържат в Active Directory, презаписват данните в облака, които съответстват на този потребител. Например, ако сте създали потребител ръчно в Control Hub, имейл адресът на потребителя трябва да бъде идентичен с имейла в Active Directory. Всеки потребител без съответстващ имейл адрес в Active Directory се изтрива.
Изтритите потребители се съхраняват в услугата за самоличност в облака за 7 дни, преди да бъдат окончателно изтрити.
Атрибути на Active Directory и облака
Можете да съпоставяте атрибути от вашата локална Active Directory със съответните атрибути в облака, като използвате раздела Съпоставяне на потребителски атрибути.
Тази таблица сравнява съпоставянето между имената на атрибути на Active Directory и имената на атрибути на Cisco в облака. Тези стойности и съпоставяния са настройката по подразбиране в Directory Connector. Можете да изберете различни атрибути в падащия списък на Active Directory и да определите кой локален атрибут се синхронизира с кой атрибут в облака.
Мислете за падащите атрибути като предварителни настройки. Като алтернатива на стойностите в реда на Active Directory, можете също да зададете персонализиран атрибут, ваша предварителна настройка, в Active Directory (израз с множество атрибути), за да се съпостави с един атрибут в облака в съответния ред. По този начин имате гъвкавостта да определите показваните имена на вашите потребители – например можете да добавите израз, който създава персонализиран атрибут въз основа на името на служителя, дадено име и фамилното име в Active Directory.
Можете също да зададете всеки от атрибутите на Active Directory, който да съпоставите с uid в облака. Трябва обаче да се уверите, че локалният атрибут следва валиден формат на имейл.
Можете да използвате и алтернативни имейл адреси, ако например искате да използвате userPrincipalName за влизане, но имейл адресът на потребителя се използва за управление на неговия календар. В този случай съпоставете друг имейл адрес с атрибута имейлите;тип-работа. Това е имейлът, който се използва за удостоверяване; той не се използва за управление на вашия календар. Имейл адресът, който съпоставяте от AD, трябва да е от потвърден домейн във вашата организация и да е уникален и да не е зададен на друг потребител.
|
Имена на атрибути в Active Directory |
Имена на атрибути в облака на Webex |
Бележки |
|---|---|---|
|
— |
сградаName |
— |
|
в |
в |
Този атрибут указва съкращението на страната на потребителя. |
|
отделНомер |
отделНомер |
Този атрибут се използва за номера на отдел на потребителя, който се появява в картата за контакт и Информация за участниците. |
|
показвано име |
показвано име |
Този атрибут се използва за показвано име на потребителския акаунт, което се появява в контролния център, картата за контакт и информация за участниците. |
|
управление на потребителския акаунт |
ds-pwp-акаунт деактивиран |
Този атрибут се използва за синхронизиране на потребители. Уверете се, че атрибутът userAccountControl е съпоставен с ds-pwp-account-disabled, или потребителите няма да бъдат синхронизирани правилно. |
|
служителНомер |
служителНомер |
— |
|
факсимилеТелефонНомер |
факсимилеТелефонНомер |
— |
|
— |
jabberID |
Този атрибут в облака е свързан с адресите за незабавни съобщения (тип XMPP), които се използват от Jabber. Тази стойност не е същата като sipAddresses. |
|
л |
л |
Този атрибут указва града на потребителя. |
|
— |
езикова променлива |
— |
|
мениджър |
мениджър |
Този атрибут се използва за името на мениджъра на потребителя, което се появява в картата за контакт и Информация за участниците. |
|
мобилен |
мобилен |
Този атрибут се използва като мобилен номер, който се появява за повикване на потребителя от картата за контакт. |
|
или |
или |
Този атрибут указва името на компанията или организацията и се появява в картата за контакт. |
|
или |
или |
Този атрибут указва името на организационната единица. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Този атрибут указва местоположението на офиса на потребителя. |
|
пощенски код |
пощенски код |
Този атрибут указва пощенския или zip кода на потребителя за физическа доставка на поща. |
|
предпочитанLanguage |
предпочитанLanguage |
Този атрибут задава предпочитания език за потребителя и се поддържат следните формати: xx_YY или xx-YY. Ето няколко примера: en_US, EN_GB, fr-CA. Ако използвате неподдържан език или невалиден формат, предпочитаният език на потребителите ще се промени на езика, зададен за организацията. |
|
MSRTCSIP – ОсновенUserAddress ipPhone |
SipAddresses; type=предприятие |
Този атрибут се използва за синхронизиране на информацията за локалната стая от Active Directory в облака на Cisco Webex. |
|
шшшт |
шшшт |
Този атрибут се използва за фамилното име на потребителския акаунт, което се появява в контролния център, картата за контакт и информация за участниците. |
|
-ви |
-ви |
Този атрибут указва щата или провинцията на потребителя. |
|
улицаAddress |
улица |
Този атрибут указва уличния адрес на потребителя за физическа доставка на поща. |
|
телефонНомер |
телефонНомер |
Този атрибут указва основния (служебен) телефонен номер на потребителя, който се използва за повикване на потребителя от картата за контакт. |
|
— |
часова зона |
Този атрибут за облака указва часовата зона на потребителя. |
|
заглавие |
заглавие |
Този атрибут указва заглавието на потребителя, което се появява в картата за контакт и информация за участниците. |
|
тип |
предприятие |
— |
|
*поща *потребителPrincipalName |
uid |
Задължително съпоставяне на атрибути. За всеки потребителски акаунт стойността на Active Directory се съпоставя с уникален uid в облака. В някои случаи потребителятPrincipalName се използва за влизане, но имейл адресът на потребителя се използва за управление на календара му. Трябва да гарантирате, че имейл адресът за управление на календара се съпоставя с полето за основен имейл адрес в Webex. Добавете потребителскотоPrincipalName като алтернативен имейл адрес. След това потребителят може да използва всеки от тези имейл адреси, за да влезе, стига да е налице правилното съпоставяне на SAML атрибути. Вижте съпоставяне на примерен атрибут по-долу за това как бихте могли да съпоставите алтернативен имейл адрес. |
|
*потребителPrincipalName *поща <персонализиран атрибут> |
имейли;тип работа |
Това съпоставяне е по желание, използвайте го, ако искате да използвате алтернативни имейл адреси. Това е имейлът, който се използва за удостоверяване; той не се използва за управление на вашия календар. Имейл адресът, който съпоставяте от AD, трябва да е от потвърден домейн във вашата организация и да е уникален и да не е зададен на друг потребител. |
|
<Нов атрибут за Azure user objectId> |
външенId |
Създайте нов атрибут на Active Directory, за да задържите Azure user objectId, така че да не влиза в конфликт със съществуващ. След това този атрибут се съпоставя с атрибута externalId, като се гарантира, че когато потребителите на Webex създават групи в Microsoft 365, те автоматично създават екипи в Webex. |
Алтернативно съпоставяне на имейл адреси
Изрази за персонализирани атрибути
|
Оператор |
Описание и пример |
|---|---|
|
% |
Премахва всички знаци от началото на низа до позицията на знака или низа аргумент, ако съвпада.
|
|
- |
Стриймва гърба на входния низ от края на посочения низ.
|
|
+ |
Наставя входни низове или изрази.
|
|
| |
Оценява разделените изрази спрямо празния низ и избира първия непразен резултат.
|
Синхронизиране на аватарите на указатели от атрибут на Active Directory към облака
Можете да синхронизирате аватарите на указателя на вашите потребители с облака, така че всеки аватар да се показва, когато те влязат в приложението Webex. Използвайте тази процедура, за да синхронизирате необработени данни за аватар от атрибут на Active Directory.
| 1 |
От Directory Connector отидете на Конфигурация, щракнете върху Аватар и след това отметнете Активиране. |
| 2 |
За Получаване на аватар от изберете атрибут AD и след това изберете атрибута Аватар, който съдържа необработените данни за аватар, които искате да синхронизирате с облака. |
| 3 |
За да проверите дали аватара е достъпен правилно, въведете имейл адреса на потребителя и след това щракнете върху Получаване на аватара на потребителя. Аватарът се появява вдясно. |
| 4 |
След като потвърдите, че аватарът се е появил правилно, щракнете върху Прилагане, за да запишете промените си. |
-
Синхронизираните изображения стават аватар по подразбиране за потребителите в приложението Webex. На потребителите не е позволено да задават собствен аватар, след като тази функция е активирана от Directory Connector.
-
Аватарите на потребителите се синхронизират както с приложението Webex, така и с всички съвпадащи акаунти на сайта на Webex.
Какво да направите след това
Изпълнете пробно синхронизиране; ако няма проблеми, направете пълно синхронизиране, за да получите вашите потребителски акаунти и аватари в Active Directory за синхронизиране в облака и да се появят в Control Hub.
Синхронизиране на аватарите на указатели от ресурсен сървър към облака
Можете да синхронизирате аватарите на указателя на вашите потребители с облака, така че всеки аватар да се показва, когато те влязат в приложението Webex. Използвайте тази процедура за синхронизиране на аватари от ресурсен сървър.
Преди да започнете
-
Моделът на URI и стойността на променливата в тази процедура са примери. Трябва да използвате действителните URL адреси, където се намират аватарите на вашия указател.
-
Моделът на URI на аватара и сървърът, където пребивават аватарите, трябва да са достъпни от приложението Directory Connector. Конекторът се нуждае от http или https достъп до изображенията, но не е необходимо изображенията да са публично достъпни в интернет.
-
Синхронизирането на данни за аватара е отделено от потребителските профили в Active Directory. Ако стартирате прокси сървър, трябва да гарантирате, че данните за аватара могат да бъдат достъпни чрез NTLM удостоверяване или основно удостоверяване.
| 1 |
От Directory Connector отидете на Конфигурация, щракнете върху Аватар и след това отметнете Активиране. |
| 2 |
За Получаване на аватар от изберете Сървър ресурси и след това въведете URI шаблона за аватар – например Нека да разгледаме всяка част от модела на URI за аватара и какво означават те:
|
| 3 |
(По избор) Ако сървърът на ресурси изисква идентификационни данни, отметнете Задаване на идентификационни данни на потребител за аватар, след което или изберете Използване на текущия потребител за влизане в услугата, или Използване на този потребител и въведете паролата. |
| 4 |
Въведете стойността на променливата – например: |
| 5 |
Щракнете върху Тест, за да се уверите, че шаблонът на URI за аватара работи правилно. В този пример, ако стойността на пощата за един запис в AD е |
| 6 |
След като информацията за URI бъде потвърдена и изглежда правилна, щракнете върху Прилагане. За подробна информация относно използването на регулярни изрази вижте Бърза справка за езика на регулярните изрази на Microsoft . |
-
Синхронизираните изображения стават аватар по подразбиране за потребителите в приложението Webex. На потребителите не е позволено да задават собствен аватар, след като тази функция е активирана от Directory Connector.
-
Аватарите на потребителите се синхронизират както с приложението Webex, така и с всички съвпадащи акаунти на сайта на Webex.
Какво да направите след това
Изпълнете пробно синхронизиране; ако няма проблеми, направете пълно синхронизиране, за да получите вашите потребителски акаунти и аватари в Active Directory за синхронизиране в облака и да се появят в Control Hub.
Синхронизиране на информацията за локалните стаи с облака на Webex
Използвайте тази процедура, за да синхронизирате информацията за локалните стаи от Active Directory в облака на Webex. След като синхронизирате информацията за стаята, устройствата за помещения с конфигуриран, съпоставен SIP адрес се показват като подлежащи на търсене записи на регистрирани в облака Webex устройства (Room, Desk и Board).
| 1 |
От Directory Connector отидете на Синхронизиране, щракнете върху още |
| 2 |
Отметнете Синхронизиране на информацията за стаята с облака, за да отделите данните на стаята от данните на потребителите по време на синхронизацията. Когато тази настройка е деактивирана, данните за стаята се третират по същия начин като данните, синхронизирани от потребителите. |
| 3 |
Отидете на Съпоставяне на атрибути и след това променете съпоставянето на атрибути за атрибута sipAddresses;type=enterprise. За да използвате проверка на стойността, стойността на SIP адреса трябва да е Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Създайте пощенска кутия за ресурси за стая в Exchange. Това добавя атрибута msExchResourceMetaData;ResourceType:Room, който след това конекторът използва, за да идентифицира стаите.
|
| 5 |
От потребителите и компютрите в Active Directory се придвижвайте до и редактирайте свойствата на стаята. Добавете напълно квалифицирания SIP URI с префикс на sip:
|
| 6 |
Извършете пробно синхронизиране и след това пълно синхронизиране в конектора. Новите обекти в стаята са изброени Добавени обекти и съответстващите обекти в стаята се показват в Съответстващи обекти в отчета за пробно изпълнение. Всички предмети на стая, маркирани с флаг за изтриване, са под Стаи изтрити.
Резултатите от пробното изпълнение показват всички съвпадащи ресурси за стаята.
Тази настройка разделя данните на стаята в Active Directory (включително атрибута на стаята) от данните на потребителите. След като синхронизирането завърши, статистиката за облака на таблото на конектора показва данни за стаята, които са били синхронизирани с облака.
|
Какво да направите след това
Сега, след като сте направили тези стъпки, когато извършите търсене на регистрирано в облака устройство Webex, ще видите синхронизираните записи в стаята, които са конфигурирани със SIP адреси. Когато поставите повикване от webex устройството на този запис, се извършва повикване до SIP адреса, конфигуриран за стаята.
От Control Hub можете автоматично да импортирате стаи от вашия указател и да създавате работни области.
Крайната точка не може да започне обратно повикване към приложението Webex. За тестови устройства за набиране тези устройства трябва да бъдат регистрирани като SIP URI локално или някъде извън приложението Webex. Ако системата за стаи Active Directory, която търсите, е регистрирана в Webex и същият имейл адрес е на устройството Webex Room, устройството Desk или Webex Board за услугата за календар, тогава резултатите от търсенето няма да покажат дублирания запис. Устройството Room, Desk или Board се набира директно в приложението Webex и не се извършва SIP повикване.
Изпращане на имейл отчети за резултатите от синхронизирането на указатели
По подразбиране контактите на организацията или администраторите винаги получават известия по имейл. С тази настройка можете да персонализирате кой трябва да получава известия по имейл, които обобщават отчетите за синхронизиране на указатели.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Известие. |
| 2 |
От Directory Connector щракнете върху Настройки, а до Имейл приемник включете Разрешаване на синхронизиране на отчета. |
| 3 |
Отметнете Активиране на уведомяването, ако искате да заместите поведението за уведомяване по подразбиране и да добавите един или повече получатели на имейл. |
| 4 |
Щракнете върху Добавяне и след това въведете имейл адрес. Ако въведете имейл адрес с невалиден формат, се появява съобщение, което ви казва да коригирате проблема, преди да можете да запишете и приложите промените. |
| 5 |
Щракнете върху Добавяне на имейл и след това въведете имейл адрес. Ако въведете имейл адрес с невалиден формат, се появява съобщение, което ви казва да коригирате проблема, преди да можете да запишете и приложите промените. |
| 6 |
Ако трябва да редактирате въведените от вас имейл адреси, щракнете двукратно върху записа на имейла в лявата колона и след това направете всички промени, които трябва да направите. |
| 7 |
След като сте добавили всички валидни имейл адреси, щракнете върху Прилагане. |
| 8 |
След като сте добавили всички валидни имейл адреси, щракнете върху Запиши. |
Какво да направите след това
Ако сте решили, че искате да премахнете имейл адреси, можете да щракнете върху имейл, за да маркирате този запис, и след това да щракнете върху Премахни.
Ако сте решили, че искате да премахнете имейл адреси, можете да щракнете върху Премахване до записи за определени имейл адреси.
Осигуряване на потребители от Active Directory В Control Hub
Изпълнете тези стъпки, за да осигурите потребители на Active Directory и да създадете съответни потребителски акаунти в Control Hub. Можете да осигурите потребителите от разполагане на Active Directory с множество домейни (с една гора или с множество гори), след като инсталирате Directory Connector за всеки домейн. По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. Целта е да имате точно съвпадение между вашите Active Directories и облака на Webex.
| 1 |
Извършване на пробно изпълнение на синхронизиране на потребители от Active Directory Изпълнете пробно изпълнение, за да сравните обекти в локалната Active Directory и обектите в облака на Webex. Пробното изпълнение ви позволява да видите кои обекти ще бъдат добавени, променени или изтрити, преди да стартирате пълно или постепенно синхронизиране и да извършите промените в облака. |
| 2 |
Извършване на пълно синхронизиране на потребителите на Active Directory в облака Когато стартирате пълно синхронизиране, услугата конектор изпраща всички филтрирани обекти от вашия Active Directory (AD) към облака. След това услугата за конектор актуализира хранилището за самоличност с вашите AD записи. Ако сте създали шаблон за автоматично разпределение на лицензи, можете да го зададете на новосинхронизираните потребители. |
| 3 |
Разпределяне на услугите на Webex на синхронизираните с указатели потребители в Control Hub След като завършите пълно синхронизиране на потребителите от Directory Connector в Control Hub, можете да зададете лицензи за услугата на Webex по различни методи. Препоръчваме ви да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory. Можете също да правите отделни промени след тази първоначална стъпка. |
Извършване на пробно изпълнение на синхронизиране на потребители от Active Directory
Изпълнете пробно изпълнение, за да сравните обекти в локалната Active Directory и обектите в облака на Webex. Пробното изпълнение ви позволява да видите кои обекти ще бъдат добавени, променени или изтрити, преди да стартирате пълно или постепенно синхронизиране и да извършите промените в облака.
По време на процеса на включване на потребители от различни домейни трябва да решите дали да запазите или изтриете потребителските обекти, които може вече да съществуват в облака на Webex – например тестови акаунти от пробен период. С Directory Connector целта е да имате точно съвпадение между вашите Active Directories и облака на Webex.
Ако имате няколко домейна в една гора или няколко гори, трябва да направите тази стъпка на всеки от екземплярите на Cisco Directory Connector, които сте инсталирали за всеки домейн на Active Directory.
Преди да започнете
Възможно е вече да имате потребители на приложението Webex в Control Hub, преди да използвате Directory Connector. Сред потребителите в облака някои може да съвпадат с локалния обект на Active Directory и да им бъдат зададени лицензи за услуги. Но някои може да са тестови потребители, които искате да изтриете, докато правите синхронизация. Трябва да създадете точно съвпадение между вашия Active Directory и Control Hub.
| 1 |
Изберете едно:
Когато пробното изпълнение завърши, ще видите един от следните резултати:
Обобщението съдържа информация за съвпадението на обект:
Пробното изпълнение идентифицира потребителите, като ги сравнява с потребителите на домейн. Приложението може да идентифицира потребителите, ако те принадлежат към текущия домейн. В следващата стъпка трябва да решите дали да изтриете обектите или да ги запазите. Несъответстващите обекти се идентифицират като вече съществуващи в облака на Webex, но не съществуващи в локалната Active Directory. |
| 2 |
Прегледайте резултатите от пробното изпълнение и след това изберете опция в зависимост от това дали използвате един домейн или няколко домейна:
|
| 3 |
В подканата Потвърждаване на пробното изпълнение щракнете върху Да, за да извършите отново синхронизирането на пробното изпълнение и вижте таблото, за да видите резултатите. Всички акаунти, които са успешно синхронизирани в пробното изпълнение, се показват под Съвпадащи обекти. Ако потребител в облака няма съответстващ потребител със същия имейл в Active Directory, записът е посочен под Потребители изтрити. За да избегнете това изтриване на флаг, можете да добавите потребител в Active Directory със същия имейл адрес. За да видите подробностите за елементите, които са синхронизирани, щракнете върху съответния раздел за конкретни елементи или Съответстващи обекти. За да запишете обобщената информация, щракнете върху Запиши резултатите във файл. |
| 4 |
Ако се очакват резултатите, отидете на и след това щракнете върху Разрешаване сега, за да извършите ръчно синхронизиране и да го поставите в ръчен режим в този момент. След като извършите синхронизация на последния домейн на Active Directory в разполагането на множество домейни, трябва да активирате автоматичен режим за Directory Connector. Можете да активирате автоматичен режим само когато обектите съвпадат напълно между облака на Webex и всички локални активни директории. |
Какво да направите след това
-
За всички несъответстващи потребителски обекти, които сте запазили, трябва да ги добавите към Active Directory, така че да има точно съвпадение между локално и облака.
-
Изберете тип синхронизиране:
-
По подразбиране се задава постепенно синхронизиране на всеки 30 минути (на версии 3.4 и по-стари) или на всеки 4 часа (на версии 3.5 и по-нови), но можете да промените тази стойност. Постепенното синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране.
-
Ако имате няколко домейна, повторете тези стъпки на всеки друг Directory Connector, който сте инсталирали.
Неща, които трябва да имате предвид
-
Изпълнете пробно изпълнение, преди да активирате пълно синхронизиране или когато промените параметрите за синхронизиране. Ако пробното изпълнение е започнато от промяна в конфигурацията, можете да запишете настройките след завършване на пробното изпълнение. Ако сте добавили потребители ръчно, изпълняването на синхронизиране с Active Directory може да доведе до премахване на добавени преди това потребители. Можете да проверите отчетите за пробно изпълнение на Directory Connector, за да потвърдите, че всички очаквани потребители присъстват, преди да синхронизирате напълно с облака.
-
Ако съответстващите потребители са маркирани да бъдат изтрити и не сте сигурни как да продължите, вижте информация за отстраняване на неизправности и как да се свържете с поддръжката в Отстраняване на неизправности и корекции за Directory Connector.
Изтритите потребители се съхраняват в услугата за самоличност в облака за 7 дни, преди да бъдат окончателно изтрити.
Извършване на пълно синхронизиране на потребителите на Active Directory в облака
Когато стартирате пълно синхронизиране, услугата конектор изпраща всички филтрирани обекти от вашия Active Directory (AD) към облака. След това услугата за конектор актуализира хранилището за самоличност с вашите AD записи. Ако сте създали шаблон за автоматично разпределение на лицензи, можете да го зададете на новосинхронизираните потребители.
Ако имате няколко домейна, трябва да направите тази стъпка на всеки от екземплярите на Directory Connector, които сте инсталирали за всеки домейн на Active Directory.
Directory Connector синхронизира състоянието на потребителския акаунт – В Active Directory всички потребители, които са маркирани като деактивирани, също се появяват като неактивни в облака.
Преди да започнете
-
Ако искате потребителските акаунти на приложението Webex да бъдат в активен статус след пълната синхронизация и преди потребителите да влизат за първи път, трябва да направите следните стъпки, за да заобиколите проверката на имейла:
-
Интегрирайте еднократната идентификация с вашата организация на Webex. Вижте
Еднократна идентификация с услугите на Cisco Webex и доставчика на самоличност на вашата организация
за повече информация. -
Използвайте Control Hub, за да потвърдите и по желание да заявите домейни, съдържащи се в имейл адресите. Вижте
Добавяне, потвърждаване и заявяване на домейни
. -
Потиснете автоматичните имейл покани, така че новите потребители да не получават автоматичната имейл покана за приложението Webex. (Можете да направите собствена имейл кампания.)
Активираните потребители, които не са влезли, се появяват със статус Проверен в Control Hub. След като влязат, те се показват като Активни. За повече информация относно потребителските статуси вижте Потребителски статуси и действия в Cisco Webex Control Hub.
-
-
Когато активирате синхронизирането, Directory Connector първо ви моли да изпълните пробно изпълнение. Препоръчваме да пробвате пробното изпълнение преди пълно синхронизиране, за да видите евентуални грешки.
-
Трябва да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
Ако не използвате шаблони за автоматично разпределение на лицензи, новосинхронизираните потребители автоматично получават безплатни лицензи. Те ще могат да използват същите безплатни функции като тези с безплатни акаунти.
| 1 |
Изберете едно:
|
| 2 |
От Directory Connector отидете на Синхронизиране, щракнете върху повече |
| 3 |
Потвърдете началото на синхронизирането. За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените до 72 часа след извършване на синхронизирането. Можете да се опитате да изчистите локалния кеш за приложението Webex, като следвате следните указания: Windows или Mac.
|
| 4 |
Щракнете върху Обнови, ако искате да актуализирате статуса на синхронизацията. (Синхронизираните елементи се показват под Статистика в облака.) |
| 5 |
За информация за грешките изберете Стартиране на визуализатора на събития от лентата с инструменти Действия, за да видите регистрите на грешки. |
| 6 |
За да зададете график за синхронизиране за текущи инкрементални синхронизации с облака, вижте Задаване на график на конектори и Изпълнение на инкрементално синхронизиране. |
-
След завършване на пълната синхронизация статусът за синхронизиране на указатели се актуализира от Деактивирано на страницата Настройки в Control Hub.
-
Когато всички данни са съчетани между локално и облачно, Directory Connector се променя от ръчен режим в режим на автоматично синхронизиране.
-
Освен ако не интегрирате еднократна идентификация, потвърдите домейни и по избор заявите домейни за имейл акаунтите, които сте синхронизирали, и потиснете автоматизираните имейли, потребителските акаунти в приложението Webex остават в състояние „Непроверен“, докато потребителите не влязат в приложението Webex за първи път, за да потвърдят своите акаунти. Вижте раздела „Преди да започнете“ за указания как да синхронизирате акаунтите като активни потребители.
-
Ако имате няколко домейна, направете тази стъпка на всеки друг Directory Connector, който сте инсталирали. След синхронизацията потребителите във всички домейни, които сте добавили, са изброени в Control Hub.
-
Ако сте интегрирали еднократна идентификация с Webex и потиснати имейл известия, имейл поканите не се изпращат до новосинхронизираните потребители.
-
Не можете да добавяте потребители ръчно в Control Hub, след като Directory Connector е активиран. След като бъде активирано, управлението на потребителите се извършва от Cisco Directory Connector и Active Directory е единственият източник на истина.
-
Всички групи, които сте синхронизирали, се показват в Control Hub и можете да зададете шаблон за лицензи, така че на потребителите в тази група да бъдат зададени лицензи.
Какво да направите след това
-
Когато премахнете потребител от Active Directory, потребителят се изтрива меко след следващото синхронизиране. Потребителят става Неактивен, но профилът за самоличност в облака се съхранява в продължение на седем дни (за да се позволи възстановяване от случайно изтриване).
Когато отметнете Акаунтът е деактивиран в Active Directory, потребителят става Неактивен след следващото синхронизиране. Профилът за самоличност в облака не се изтрива след седем дни, в случай че искате да активирате потребителя отново.
-
Обърнете внимание на тези изключения при поетапно синхронизиране (вместо това следвайте стъпките за пълно синхронизиране по-горе):
-
В случай на актуализиран аватар, но без друга промяна на атрибута, постепенното синхронизиране няма да актуализира аватара на потребителя в облака.
-
Промените в конфигурацията при настройката за съпоставяне на атрибути, базовия DN, филтър и аватар изискват пълно синхронизиране.
-
Разпределяне на услугите на Webex на синхронизираните с указатели потребители в Control Hub
След като завършите пълната синхронизация на потребителите от Cisco Directory Connector в Control Hub, можете да използвате Control Hub, за да зададете едни и същи лицензи за услуга на Webex на всичките си потребители наведнъж или да добавите допълнителни лицензи за нови потребители, ако вече сте конфигурирали шаблон за автоматично зададен лиценз. Можете да правите промени в отделни потребителски акаунти след тази първоначална стъпка.
След като завършите пълната синхронизация на потребителите от Directory Connector в Control Hub, можете да използвате методи в Control Hub, за да зададете глобално лицензи за услугата на Webex на всичките си потребители, отделни потребители, чрез груповия CSV шаблон или автоматично на новите потребители, ако вече сте конфигурирали шаблон за автоматично разпределение на лицензи. Можете да правите промени в отделни потребителски акаунти след тази първоначална стъпка.
Когато зададете лиценз на потребител на приложението Webex, този потребител получава имейл, потвърждаващ задаването, по подразбиране. Имейлът се изпраща от услуга за известия в Control Hub. Ако сте интегрирали еднократна идентификация (SSO) с вашата организация на Webex, можете също да потиснете тези автоматични имейл известия, ако предпочитате да се свързвате директно с потребителите си.
Преди да започнете
-
Трябва да настроите шаблон за автоматично разпределение на лицензи, преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
-
Извършете пробно изпълнение на синхронизиране на вашите потребители на Active Directory.
-
След като потвърдите резултатите от пробното изпълнение, извършете пълно синхронизиране на потребителите на Active Directory.
По време на пълна синхронизация потребителят се създава в облака, не се добавят задавания на услуги и не се изпраща имейл за активиране. Ако имейлите не се потиснат, новите потребители получават имейл за активиране, когато присвоявате услуги на потребителите по стандартен метод за управление на потребители в Control Hub, като импортиране на CSV файл, ръчна актуализация на потребители или чрез успешно завършване на автоматичното задаване.
| 1 |
От изгледа за клиенти в https://admin.webex.com отидете на , щракнете върху Управление на потребителите, изберете Промяна на всички синхронизирани потребители и след това щракнете върху Напред. |
| 2 |
Изберете опция: |
Какво да направите след това
-
Ако имейлите не се потискат, до всеки потребител се изпраща имейл с покана за присъединяване и изтегляне на Webex.
-
Ако сте избрали едни и същи услуги на Webex за всички ваши потребители, след това можете да промените лиценза, зададен поотделно или групово.
Известни проблеми с Directory Connector
-
Версиите на Windows Server преди 2012 R2 имат проблем с бисквитките, който засяга Directory Connector. Този проблем е поправен във версии 2012 R2 и 2016.
-
За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените 72 часа след момента, в който извършите синхронизирането.
Можете да се опитате да изчистите локалния кеш за приложението Webex, като следвате следните указания: Windows или Mac.
-
Когато потребител използва приложението Webex на настолен компютър или мобилно устройство, за да търси и повика стая, която има само синхронизиран SIP URI, тогава повикването звъни за неопределено време.
Управление на потребителите на приложението Webex
Стартиране на постепенно синхронизиране
Поетапната синхронизация прави заявки за вашия Active Directory и търси промени, които са се случили от последната синхронизация. След това тази стъпка пакетира тези промени и ги изпраща към услугата конектор. Промените включват модификация на атрибутите на потребителите и кога даден потребител е добавен или изтрит.
Тази синхронизация не поставя толкова натоварване на сървърите и не отнема толкова време, колкото пълното синхронизиране. След като направите първоначалното си пълно синхронизиране, препоръчваме опцията „Incremental“ за последващи синхронизации.
Преди да започнете
-
Трябва да настроите шаблон за автоматично разпределение на лицензи , преди да го използвате на нови потребители на приложението Webex, които сте синхронизирали от Active Directory.
-
Имайте предвид тези изключения, които нарастващото синхронизиране не се поддържа (вместо това следвайте Извършване на пълно синхронизиране на потребители от Active Directory в облака ):
-
В случай на актуализиран аватар, но без друга промяна на атрибута, постепенното синхронизиране няма да актуализира аватара на потребителя в облака.
-
За нови промени в конфигурацията на съпоставянето на атрибути, базовия DN, филтъра и настройката за аватар, постепенното синхронизиране няма да работи и те изискват пълно синхронизиране.
-
| 1 |
От Directory Connector щракнете върху Табло. Когато активирате синхронизирането, Directory Connector първо ви моли да изпълните пробно изпълнение. |
| 2 |
От Действия щракнете върху Режим на синхронизиране > Разрешаване на синхронизацията , ако вече не е активиран. По подразбиране се задава постепенно синхронизиране на всеки 30 минути (на версии 3.4 и по-стари) или на всеки 4 часа (на версии 3.5 и по-нови), но можете да промените тази стойност. Постепенното синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране. Когато се появи нов инкрементален интервал от време, програмата проверява промените въз основа на последното времево клеймо. |
| 3 |
От Действия щракнете върху Синхронизиране сега > Постепенно. За всички промени, които правите на потребители в Active Directory (например показвано име), Control Hub отразява промяната незабавно, когато обновите потребителския изглед, но приложението Webex отразява промените 72 часа след момента, в който извършите синхронизирането.
|
| 4 |
За информация за грешките щракнете върху Стартиране на визуализатора на събития от лентата с инструменти Действия , за да видите регистрите на грешки. |
Какво да направите след това
Ако имате няколко домейна, направете тази стъпка в другите екземпляри на Directory Connector, които сте инсталирали.
Възстановяване на случайно изтрити потребители
Directory Connector има проверки и баланси, за да предотврати непреднамерено изтриване на потребители. За съжаление се случват инциденти; може да сте конфигурирали неправилно LDAP филтър в Active Directory, което е изтрило някои потребители при синхронизиране с облака. Функцията за меко изтриване може да ви помогне да се възстановите от тези инциденти и да възстановите потребителските акаунти в Control Hub.
По подразбиране тази функция е активирана за всички организации. Когато потребителите бъдат изтрити в облака, например поради несъответстващ проблем с обект след синхронизиране от Directory Connector, потребителите могат да бъдат възстановени. Ако сте видели бележка за несъответстващи обекти или сте забелязали, че потребителите са изтрити, може да сте в състояние да ги възстановите, ако действате бързо.
Потребителите се маркират като неактивни в Control Hub, когато съответните акаунти се изтриват в Active Directory. Фоновата услуга в облака запазва потребителите до 7 дни. През този период все още можете да използвате Cisco Directory Connector, за да възстановите потребители. Препоръчваме ви да възстановите тези потребители възможно най-скоро.
Потребителите, които са деактивирани в Active Directory, също се маркират като неактивни в Control Hub, но потребителският акаунт не се изтрива след 7 дни.
| 1 |
Влезте в контролния хъб. |
| 2 |
Отидете на Потребители и потвърдете дали даден потребителски акаунт е в неактивно състояние, или не е включен в списъка. За повече информация вижте Потребителски статуси и действия в Control Hub. |
| 3 |
Ако потребителите са изтрити в Control Hub или забележите потребители в състояние „Неактивно“, отидете в Active Directory, добавете липсващите потребителски акаунти и след това направете пробно изпълнение на синхронизиране в Directory Connector. Целта с Directory Connector е да се създаде точно съвпадение между информацията за потребителя в Active Directory и в облака. |
| 4 |
Извършете пълна синхронизация, за да синхронизирате отново временно изтритите потребителски акаунти с Control Hub. Потребителите се възстановяват и преминават към първоначалния статус, включително статуса на акаунта си и зададените услуги. |
Какво да направите след това
Върнете се в Control Hub, отидете на и потвърдете, че изтритите преди това потребителски акаунти се появяват в списъка с потребители.
Изтриване на потребителите за постоянно след меко изтриване
След като изпълните пробно изпълнение, можете да изберете да изтриете за постоянно потребители, които са били меки изтрити при следващото синхронизиране.
| 1 |
След като пробното изпълнение завърши, изберете Меки изтрити обекти. |
| 2 |
Поставете отметка в квадратчето до потребителите, които искате да изтриете. |
| 3 |
Изберете Готово. |
Какво да направите след това
При следващата синхронизация потребителите, които сте проверили, ще бъдат изтрити окончателно.
Промяна на имейл адреса на приложението Webex
Ако искате да промените потребителските имейл адреси и вашата организация използва Directory Connector, променяте тези имейл адреси в Active Directory. Тази процедура обхваща как да промените имейл адрес на приложението Webex за един домейн и процес за промяна на домейна.
Ако искате само да промените имейла или някаква стойност за един потребител, не изтривайте потребителя от Active Directory и след това създайте нов със същия имейл. Облакът тълкува това действие като нов потребителски акаунт и местата на потребителя и другите данни в облака ще бъдат изгубени.
Directory Connector не ограничава промяната на имейл домейна. Когато потребителят обаче се синхронизира отново с облака, състоянието на потребителя зависи от това дали новият домейн е потвърден във вашата организация. Ако домейнът не е потвърден във вашата организация, статусът на потребителя се променя на „В очакване“ след пълното синхронизиране. За повече информация вижте Управление на вашите домейни.
Ако вашата организация не използва Directory Connector, можете да промените имейл адресите на приложението Webex чрез страницата с настройки на акаунта. Вижте Промяна на имейл адреса за вашия акаунт за стъпките, които потребителите могат да последват, за да променят имейлите си.
Промяна на домейна на Active Directory
Можете да използвате тази процедура, за да създавате нови домейни и имейл адреси. Те се синхронизират с услугата за самоличност в облака.
| 1 |
Настройте нов домейн на Active Directory (AD). |
| 2 |
Деактивирайте синхронизирането на всички ваши конектори. |
| 3 |
Деинсталирайте всички конектори. |
| 4 |
Отворете случай, за да промените домейна. В изпращането на случай не забравяйте да поискате премахване на конфигурацията на домейна и всички атрибути за синхронизиране във вашата организация. Преди да отворите случай, за да промените домейна, се уверете, че не се изпълнява синхронизиране. Не променяйте потребителските имейл адреси в Active Directory, докато случаят не изчезне. |
| 5 |
След решаване на случая: Изпълнете тестово изпълнение с Directory Connector, преди да извършите действителното синхронизиране. |
Заявяване на домейн
Претенция за домейн възниква, ако заявите имейл домейн за организация, така че всеки посочен акаунт да бъде създаден в платената клиентска организация, а не в безплатната потребителска организация. Можете да заявите домейн само чрез случай за поддръжка (вижте връзката по-долу за повече информация).
Ако Directory Connector е активен и домейнът е заявен, акаунтите с външни потребители не се създават нито в клиентската организация, нито в безплатната потребителска организация. Само Directory Connector може да осигурява акаунти за организацията от Active Directory. Информацията, съхранена в Active Directory, е първоначалният източник. Ако се опитате да странично табло на акаунт, поканеният потребител получава грешка. Единственият начин, по който поканен потребител може да бъде добавен към място на приложението Webex, е първо да използвате Directory Connector, за да обезпечите акаунта в Control Hub.
Конвертиране на безплатните потребители на приложението Webex в синхронизирана с указателя организация
Можете да използвате уникални имейл адреси само в директорията на приложението Webex. Ако вашите потребители са се записали за безплатната версия на приложението Webex, акаунтът им съществува в безплатната потребителска организация. За да управлявате потребителите в тази организация чрез Directory Connector, мигрирайте (конвертирайте) ги в организацията на клиента, преди да включите Directory Connector. След това добавяте потребителите към Active Directory с точния имейл адрес и след това синхронизирате с облака.
Ако не конвертирате акаунтите преди активирането, изключете Directory Connector, за да ги конвертирате.
Ако се опитате да конвертирате потребител, докато е активирано синхронизирането на указатели, се появява съобщението за грешка не можа да бъде преобразувано
. За да избегнете проблема, можете да използвате тези стъпки като заобиколно решение.
Някои заявени потребители може да се покажат с атрибута movedfrom , когато правят пробно изпълнение. Тези потребители ще бъдат в списъка Изтрити обекти вместо MismatchedObject. Ще трябва да добавите тези потребители към своя списък в AD, ако искате да ги преместите във вашата организация.
Ако не добавите тези потребители, всички те ще бъдат изтрити, след като синхронизирате с облака.
| 1 |
Деактивирайте синхронизирането на указатели от Directory Connector. |
| 2 |
Следвайте процедурата Конвертиране на нелицензирани потребители в Control Hub , за да конвертирате потребителя от безплатната потребителска организация в корпоративната организация. Тази стъпка добавя потребителя към вашата организация и акаунтът се показва в Control Hub. Directory Connector прави Active Directory единственият източник на истина за потребителските акаунти и целта е да има точно съвпадение между Active Directory и Control Hub. Гарантирайте, че има съвпадащи потребители в Active Directory за всички наскоро преобразувани потребители преди повторното синхронизиране. Синхронизирането на "Сухо изпълнение" може да се използва, за да се гарантира, че няма останали несравнима потребители. |
| 3 |
На Directory Connector направете пробно изпълнение на синхронизиране. Когато сухото изпълнение завърши, проверете раздела Добавяне на обекти. Проверете дали всички потребители, които сте преобразували, не се изтриват. Трябва да изпълните пробно изпълнение, преди да активирате повторно синхронизирането, за да сте сигурни, че всички конвертирани потребителски акаунти се показват в Active Directory. Ако включите синхронизирането и акаунтите се намират само в Control Hub, Directory Connector зависи от малки и главни букви и изтрива конвертираните потребители, които открие с несъответстващи имейл адреси (например user1@example.com и User1@example.com). Ако някои преобразувани потребители бъдат изтрити, те губят всичките си места в приложението Webex. |
| 4 |
Когато сте сигурни, че следващото синхронизиране няма да премахне никакви акаунти, активирайте отново синхронизирането на указатели от Directory Connector. |
Преобразуваните потребителски акаунти не се активират автоматично, ако не сте потвърдили домейн. Например, ако сте включили шаблона за автоматично разпределение на лицензи и след това сте включили Directory Connector без проверка на домейна, конвертираните потребители са неактивни в облачната backend, докато не потвърдят имейл адресите си.
Потребителски акаунти в приложението Webex
Когато поканите друг потребител на място в приложението Webex, ако поканеният потребител няма акаунт за приложението Webex, за него се създава акаунт („страничен“). По подразбиране акаунтите, които са създадени по този начин, се добавят към безплатната потребителска организация.
Ако искате да управлявате страничния акаунт с помощта на Directory Connector, трябва да конвертирате акаунта.
Промяна на формата на потребителското име в приложението Webex след синхронизиране на указатели
По подразбиране Directory Connector съпоставя атрибута displayName в Active Directory с атрибута displayName в облака.
След като извършите синхронизиране на указатели, може да откриете, че потребителските имена се показват във формат .
Това потребителско име може да се появи, ако атрибутът displayName в Active Directory е конфигуриран по този начин. Когато атрибутът е съпоставен с displayName в облака, имената се показват във формат в Control Hub.
За да промените формата, в екрана за съпоставяне на атрибути на Directory Connector: съпоставете атрибута на Active Directory givenName sn (или sn givenName), за да показваName в имената на атрибути в облака на Cisco.
Като алтернатива съпоставете атрибута sn givenName с displayName:
Можете също да използвате опцията Персонализиране на атрибут, ако искате да съпоставите свой собствен персонализиран израз на атрибут към displayName.
Например въведете givenName + "" + sn (собствено име, интервал, фамилия) като израз. Това съпоставя двата атрибута в Active Directory за показванеName в облака.
Позволи на потребителите да променят показваните имена в Webex Meetings
Можете да премахнете съпоставянето на атрибута displayName от синхронизирането с облака в Directory Connector, ако искате да позволите на потребителите да редактират предпочитаните си показвани имена. Потребителите могат да въведат показвано име, което да се показва по време на срещи в Webex, вместо собственото и фамилното си име. Администраторите могат също да променят показваното име за потребител ръчно в Control Hub.
| 1 |
От Directory Connector щракнете върху Конфигурация и след това изберете Съпоставяне на потребителски атрибути. |
| 2 |
Изберете displayName под Cisco Cloud Attribute Name. |
| 3 |
Изберете Не синхронизирайте този атрибут. |
Какво да направите след това
Потребителите вече могат да редактират показваните си имена от своя сайт на Webex.
Отстраняване на неизправности в Directory Connector
Надстройте до последното издание на софтуера
За да поддържате внедряването си в съответствие и да получите най-новите функции, функционалност, корекции на грешки и подобрения в защитата, винаги трябва да надстроите до най-новата версия на Directory Connector. Ако не надстроите до най-новата налична версия, може да изпитате проблеми, например Directory Connector вече да не се синхронизира правилно или да сте на версия, която не поддържа задължителното изискване TLS 1.2.
Directory Connector автоматично ви уведомява, когато е налична нова версия. Винаги надстройвайте до най-новата версия, за да избегнете проблеми. Също така виждате известие в лентата на задачите на Windows.
Въпреки че можете ръчно да инсталирате актуализации на софтуера на конектор, препоръчваме да следвате стъпките в Задаване на автоматични надстройки , за да позволите на приложението да управлява вашите надстройки автоматично.
| 1 |
Щракнете върху известието в лентата на задачите на Windows или щракнете с десния бутон върху иконата Directory Connector в лентата на задачите на Windows, за да започнете процеса на надстройване. |
| 2 |
Следвайте инструкциите, за да завършите надстройването. |
| 3 |
Рестартирайте конектора и влезте с вашите идентификационни данни на администратор. |
| 4 |
Потвърдете номера на версията на софтуера под . |
Какво да направите след това
За нова инсталация на Directory Connector можете да изтеглите zip файла и след това да следвате стъпките за инсталиране в това ръководство.
Конфигуриране на общи настройки за Directory Connector
Използвайте тази процедура, за да конфигурирате общи настройки, като името на сървъра, работещ с Directory Connector, нивата на регистрационния файл, автоматичните надстройки и предпочитаните настройки за контролерите на домейни. Името на конектора се появява на таблото в раздела „Конектори“, заедно с всички други конектори, които работят.
| 1 |
От Directory Connector отидете на Конфигурация и след това щракнете върху Общи. |
| 2 |
В полето Име на конектор въведете името на конектора. Това поле показва само името на компютъра, на което в момента работи конекторът. |
| 3 |
Изберете нивото на регистрационния файл от падащия списък. По подразбиране нивото на регистрационния файл е зададено на информация. Наличните нива на регистрационния файл са:
Тези настройки засягат отчета за синхронизиране, който се изпраща по имейл. Ако зададете нивото на регистрационния файл на „Грешка“, в отчета за синхронизиране се съобщават само грешки; ако не съществуват грешки, отчетът за синхронизиране не се изпраща. Променете настройката на „Информация“, след което получавате отчети за синхронизиране след пълно синхронизиране. (Имайте предвид, че за постепенно синхронизиране не се изпращат отчети, когато не се съобщават грешки.) |
| 4 |
Изберете предпочитаните контролери на домейни , за да зададете реда на контролерите на домейни за синхронизиране на самоличности. До контролерите на домейни има достъп от горе до долу. Ако горният контролер не е наличен, изберете втория контролер от списъка. Ако няма посочен контролер, можете да получите достъп до главния контролер. |
| 5 |
Отметнете Автоматично надстройване до новата версия на Cisco Directory Connector , ако искате да се извършват автоматични надстройвания. Винаги е важно да поддържате своя софтуер Cisco Directory Connector до най-новата версия. Препоръчваме ви да отметнете тази настройка, за да позволите автоматичните надстройки на софтуера да се инсталират мълчаливо, когато са налични. |
| 6 |
Проверете LDAP през SSL , за да използвате защитения LDAP (LDAPS) като протокол за свързване. Ако не проверите LDAP през SSL, Directory Connector продължава да използва протокола за LDAP връзка. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) са протоколите за свързване, използвани между приложение и домейнов контролер в инфраструктурата. LDAPS комуникацията е шифрована и защитена. |
Конфигуриране на правилата за конектори
Можете да зададете максималния брой изтривания, които могат да възникнат по време на синхронизиране. Изпълнението на синхронизиране не изтрива обекти от вашия локален Active Directory. Всички обекти се изтриват само от облака.
Например задавате 1 като стойност за праг за изтриване. Когато извършвате пълно или постепенно синхронизиране, ако броят потребители, които искате да изтриете, е по-голям от настройката, Directory Connector показва предупреждение. Ако щракнете върху Праг за заместване, можете да започнете пълно или постепенно синхронизиране успешно, но ще видите това известие за заместване следващия път, когато изпълните правилата.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Правила. |
| 2 |
Поставете отметка в полето Разрешаване на изтриване на прагова тригера , ако искате да добавите прагова тригера. Избирането на тази опция ще задейства предупреждение, ако броят изтривания надвиши прага. Когато акаунтът за изтриване надвиши този, който сте дефинирали, синхронизирането е неуспешно.
|
| 3 |
Въведете максималния брой изтривания, който искате. По подразбиране е 20. Препоръчваме да не увеличавате стойността по подразбиране. |
| 4 |
Щракнете върху Приложи. |
Задаване на графика на конектора
Задайте времето за синхронизиране в Active Directory. Превключването при отказ се използва за висока наличност (HA). Ако един конектор не работи, превключваме към друг конектор в режим на готовност след предварително дефинирания интервал.
| 1 |
От Directory Connector щракнете върху Конфигурация, след което изберете Планиране. |
| 2 |
Посочете интервала на постепенно синхронизиране в минути. По подразбиране се задава постепенно синхронизиране на всеки 30 минути. Пълното постепенно синхронизиране не се извършва, докато първоначално не извършите пълно синхронизиране. |
| 3 |
Променете стойността за Изпращане на отчети за... време , ако искате да промените колко често се изпращат отчети. |
| 4 |
Отметнете Активиране на график за пълно синхронизиране , за да посочите дните и часовете, в които искате да се извърши пълно синхронизиране. |
| 5 |
Задайте интервала за превключване към отказ в минути. |
| 6 |
Щракнете върху Приложи. |
Сценарии за множество домейни
Множеството домейни се основават на приоритета на домейна. За обекти, които имат една и съща стойност на ключа в различни домейни, след синхронизирането данните от домейна с по-висок приоритет се презаписват данните от домейна с по-нисък приоритет.
Обекти, които имат една и съща стойност на ключа, са свързани в един запис в базата данни.
Ключовата стойност за „Потребител“ е Имейл адрес; ключовата стойност за „Група“ е Име на група.
Пример за използване на случай за повече от един домейн
Този пример приема организация с два домейна – example1.com и example2.com, по реда на приоритета.
-
Добавяне на потребител1 (имейл: user@example1.com) към Active Directory на example1.com.
-
Добавяне на група1(Име на група: Тест) към Active Directory на example1.com.
-
Добавяне на потребител2 (имейл: user@example2.com) към Active Directory на example2.com.
-
Добавяне на група2 (Име на група: Тест) към Active Directory на example2.com.
- Синхронизиране в example1.com
-
Като случай на използване потребителят2 и group2 се синхронизират с облака и се показват в https://admin.webex.com, докато потребителят1 и group1 не са.
Ако извършите пълно или постепенно синхронизиране, например1.com, потребител1 и група1 се синхронизират. Също така потребител2 и група2 са презаписани от информацията на потребител1 и група1.
User1 връзки към user2 като същия запис в базата данни; group1 връзки group2 като същия запис в базата данни.
- Синхронизиране на example1.com и example2.com
-
Като случай на използване потребителят2 и group2 се синхронизират с облака и се показват в https://admin.webex.com, докато потребителят1 и group1 не са.
Помислете за тези стъпки:
- Изтрийте потребител1 и група1 в Active Directory, например1.com.
- Извършете пълно или постепенно синхронизиране, например1.com.
Резултат: информацията на потребителя не е променена в https://admin.webex.com. Потребител2 не е свързан с потребител1 и група2 не е свързана с група1.
- Извършете постепенно синхронизиране, например2.com.
Резултат: информацията на потребителя не е променена в https://admin.webex.com.
- Извършете пълна синхронизация, например2.com.
Резултат: Информацията за потребител2 и група2 е показана в https://admin.webex.com.
Синхронизиране на нов Домейн И запазване на съществуващ домейн
Ако искате да синхронизирате нов домейн (B), докато поддържате синхронизираните потребителски данни на друг съществуващ домейн (A), се уверете, че инсталирате Directory Connector за синхронизиране на домейн (B) на поддържан Windows сървър. Конекторът се свързва с новия домейн след първоначалната настройка, а информацията за потребителя в домейна (А) остава незасегната.
Всеки домейн трябва да има собствен активен конектор. Помислете за два домейна със следната настройка: домейн А с конектори (ca1) и (ca2) за локална висока наличност (HA); домейн В с конектор (cb1). (ca1)и (ca2) служат на домейн А. В този сценарий единият конектор е активен, а другият е в режим на готовност (HA). Този дизайн поддържа домейна синхронизиран, защото един конектор е винаги активен. Така че cb1 е активният конектор за домейн В, тъй като домейн А вече има активен конектор (ca1 или ca2).
Задаване на приоритет на домейна
Използвайте тази процедура, за да промените приоритета на вашите домейни в Active Directory. Приоритетът на домейна ви позволява да определите главния домейн, вторичния домейн и т.н. Това помага, когато двама потребители от два различни домейна имат една и съща стойност на имейл, синхронизирани с една организация.
Не използвайте тази процедура, ако имате един домейн, посочен в Directory Connector. Ако опитате, конекторът ви показва съобщение, заявяващо, че приоритетът на домейна не е задължителен.
Преди да започнете
За да избегнете грешки, инсталирайте или надстройте до най-новата версия на Cisco Directory Connector. Трябва да го изтеглите от https://admin.webex.com.
| 1 |
От Cisco Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху Задаване на приоритет на домейна. |
| 3 |
Маркирайте един домейн в списъка, щракнете върху Нагоре или Надолу , за да промените приоритета на този домейн, след което щракнете върху Запиши , за да запишете тази промяна. Домейните са сортирани по приоритет от горе до долу. |
Превключване на домейни
Използвайте тази процедура, за да свържете отново Cisco Directory Connector към друг домейн.
Преди да започнете
-
Уверете се, че не се изпълняват задачи за синхронизиране, преди да превключите домейни.
-
За да избегнете грешки, инсталирайте или надстройте до най-новата версия на Cisco Directory Connector. Трябва да го изтеглите от Control Hub.
| 1 |
От Cisco Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху Превключване на домейн. |
| 3 |
След като прочетете предупреждението, ако разберете въздействието на тази промяна върху разполагането ви и все още сте сигурни, щракнете върху Да. Ако превключите домейн, излезете от текущия Cisco Directory Connector, другите домейни в конектора са нерегистрирани и информацията за конектора на този компютър се изтрива. |
| 4 |
Влезте отново в Cisco Directory Connector и свържете отново домейна. |
Изключване на синхронизирането на указатели
Ако трябва да спрете синхронизирането от Directory Connector, можете временно да го изключите от Control Hub.
| 1 |
От изгледа за клиент в https://admin.webex.com отидете на , превъртете до Синхронизиране на указатели и след това изберете такава:
|
| 2 |
След като прочетете подканата, щракнете върху Изключване. Синхронизирането спира, докато не го активирате отново от Directory Connector. |
Премахване на съпоставянето на потребителски атрибути
Използвайте Directory Connector, за да премахнете съпоставянето за атрибути на Active Directory, нанесени преди това в облака и синхронизирани с Webex. След като премахнете съпоставянето на атрибути, стойностите на атрибутите се премахват от облака и вече не се синхронизират с Webex. След това тези стойности могат да се редактират ръчно.
| 1 |
От Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху . |
| 3 |
Изберете съпоставянето, което да премахнете от списъка Име на атрибути . |
| 4 |
Под Засегнат потребителски обхват изберете едно от следните:
|
| 5 |
Щракнете върху Приложи. |
Управление на профилни снимки
Използвайте Directory Connector, за да актуализирате снимки на потребителския профил или да премахнете празни снимки на потребителския профил.
| 1 |
От Directory Connector щракнете върху Табло. |
| 2 |
Отидете на Действия и след това щракнете върху . |
| 3 |
Под Действия изберете едно от следните:
|
| 4 |
Щракнете върху Приложи. |
Деинсталиране и деактивиране на Directory Connector
След като деинсталирате екземпляр на Directory Connector, трябва да го дерегистрирате. Премахнете напълно Directory Connector за някой от следните сценарии:
-
Повече не искате да използвате синхронизиране на указатели.
-
Не искате да използвате един от многото конектори за указатели (висока наличност).
-
Искате да промените домейна и да инсталирате друг конектор.
Преди да започнете
-
Може да имате настроени няколко екземпляра на Directory Connector за висока наличност (HA) или за синхронизиране на множество домейни. Деактивирайте синхронизирането, ако деинсталирате единствения или последния оставащ екземпляр на Directory Connector.
-
Запишете и затворете всяка важна работа, преди да деинсталирате Directory Connector.
| 1 |
От вашата машина с Windows отидете в контролния панел и след това щракнете върху Програми и функции. |
| 2 |
От списъка с програми щракнете върху Directory Connector, изберете Деинсталиране и след това следвайте подканите. Може да се наложи да рестартирате системата си, за да завършите деинсталирането. |
| 3 |
От изгледа на клиента в https://admin.webex.com, отидете на , превъртете до Синхронизиране на указатели, щракнете върху още |
| 4 |
След като прочетете подканата, щракнете върху Деактивиране. Освен ако няма друг Directory Connector с разполагане с висока наличност (HA), потребителските акаунти вече не се синхронизират. |
Стартирайте инструмента за диагностика
Можете да използвате вградения инструмент за диагностика, за да отстраните неизправности в разполагането на Directory Connector. Този инструмент се инсталира като част от Directory Connector 3.4 нататък.
Ако синхронизирането не работи правилно, може да имате конфигурационна или мрежова грешка. Този инструмент тества връзката ви с LDAP, така че да можете сами да диагностицирате грешките, преди да се свържете с поддръжката. Ако инструментът върне някоя грешка, можете да изпратите до поддръжката подробните резултати от регистрационния файл.
-
За да изпълните тестове за услугите на домейн на Active Directory:
-
За да изпълните тестове за услугите на Active Directory Lightweight Directory:
-
За да изпълните тестове за lightweight Directory Access Protocol (LDAP):
Отстраняване на проблеми в Ciso Directory Connector
Отстраняване на неизправности и корекции за Directory Connector
Може да срещнете съобщение за грешка или друг проблем в Directory Connector. Също така, след като Directory Connector синхронизира потребителската информация, конекторът може да ви изпрати имейл отчет, който изброява всички проблеми със синхронизирането. Вижте следващите раздели за проблеми, които могат да възникнат, възможни причини и предложени решения, които можете да опитате, преди да се свържете с поддръжката.
Инсталирай
Directory Connector спря да работи
Получихте имейли за предупреждение, които ви уведомяват, че вашият Directory Connector не работи.
-
Възможно е Directory Connector да не е инсталиран правилно.
-
Directory Connector може да не се изпълнява.
-
Възможно е мрежата да не е достъпна.
Опитайте следното:
-
Отворете . Намерете конектора за указатели. Ако не е там, изтеглете най-новата версия от Control Hub и я инсталирайте.
-
Отворете услугата и намерете услугата Cisco DirSync. Уверете се, че показва състоянието като Стартирано. Ако услугата бъде спряна, щракнете с десния бутон и изберете \„Старт\“, за да рестартирате услугата.
-
Уверете се, че сървърът, на който сте инсталирали Directory Connector, има достъп до интернет.
Грешка при преинсталиране
Проблем – Ако незабавно инсталирате нов конектор, след като деинсталирате стар, може да видите съобщение за грешка.
Възможна причина— В Windows Server 2012 клиентът за деинсталиране се нуждае от време, за да изтрие сервизния акаунт от списъка на услугите.
Решение—След известно време опитайте отново да инсталирате.
Влизане
Directory Connector се срива при влизане с еднократна идентификация
проблем
Directory Connector може да се срине, след като въведете имейл адрес от страница за влизане в SSO.
Решение
Опитайте следното:
Изпълнете следните стъпки, за да конфигурирате нови правила за група:
-
Отидете в домейнов контролер и отворете Управление на групови правила (gpedit.msc).
-
Щракнете с десния бутон върху конкретен OU или домейн и изберете Създаване на GPO в този домейн и Свържете го тук…
-
Дайте име на правилата, след което щракнете с десния бутон и изберете Редактиране.
Изпълнете следните стъпки, за да промените правилата на ниво машина:
-
Отидете на , щракнете с десния бутон върху Регистър, изберете Нов и след това Елемент в регистъра.
-
За път на ключа въведете или се придвижете до HKEY_ЛОКАЛНА_МАШИНА\СОФТУЕР\Microsoft\Internet Explorer\Main.
-
Въведете
Деактивиране на отстраняване на грешки за скриптовеза стойност и въведетенеза данни за стойност.Настройките трябва да съвпадат с тази екранна снимка:
Изпълнете следните стъпки, за да промените правилата на ниво потребител:
-
Отидете на , щракнете с десния бутон върху Регистър, изберете Нов и след това Елемент в регистъра.
-
За път на ключа въведете или се придвижете до HKEY_ТЕКУЩ_ПОТРЕБИТЕЛ\СОФТУЕР\Microsoft\Internet Explorer\Main.
-
Въведете
Деактивиране на отстраняване на грешки за скриптовеза стойност и въведетенеза данни за стойност.Настройките трябва да съвпадат с тази екранна снимка:
Промените влизат в сила, след като стартирате gpupdate /force, машината се рестартира (за промени в машината) или потребителят влезе отново (за промени в потребителя).
Конекторът за услуги на Cisco DirSync не може да се регистрира
проблем
Неуспешно влизане и се появява това съобщение: „Cisco DirSync Service Connector не можа да бъде регистриран“.
Решение
Системата на Windows, на която е инсталиран Directory Connector, трябва да е член на Active Directory.
Не се появява страница за влизане
проблем
Отворихте Directory Connector и страницата за влизане не се появи.
Решение
Изпробвайте следните стъпки:
-
В Internet Explorer отидете на https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Опитайте връзката в други браузъри като Chrome и Firefox.
-
Ако Internet Explorer не може да посети връзката, но могат и други браузъри, поставете отметка в настройките на Internet Explorer и поставете отметка в квадратчетата TLS 1.1 и 1.2. (Използвайте процедурата Разрешаване на TLS в Internet Explorer .)
Появява се подкана за влизане
проблем
Появява се подкана, която иска да въведете потребителското име и паролата, за да предадете удостоверяването.
Възможна причина
Directory Connector завършва мълчаливо удостоверяването за защита на NTLM с акаунта за влизане. Ако удостоверяването е неуспешно, се появява диалогов прозорец, за да се поиска потребителско име и парола за удостоверяване.
Решение
Когато видите знака в изскачащ прозорец, трябва да предоставите валиден акаунт с правилно удостоверяване, за да предадете защитата.
Неуспешно свързване с отдалечения сървър
проблем
По време на нормална работа се появява съобщението за грешка: "Не е възможно свързване с отдалечения сървър".
Възможна причина
Може да имате проблеми с прокси сървъра, които трябва да бъдат разрешени.
Решение
Вижте Отстраняване на проблеми с влизането в акаунта за услугата за повече информация за отстраняване на неизправности.
Конекторът не може да се регистрира
проблем
Виждате съобщението за грешка „Не може да се регистрира конекторът. Възникна общо изключение.“
Възможна причина
В повечето случаи проблемът е, че Directory Connector няма привилегия да се свързва с LDAP корневи контекст.
Решение
Опитайте следното:
-
Изпълнете командната подкана (cmd) и след това въведете ldp.exe.
-
Щракнете върху , изберете Обвързване както в момента сте влезли в потребителя, след което щракнете върху OK.
-
Щракнете върху , въведете DC=arbonneintl,DC=ad като BaseDN и след това щракнете върху OK.
-
Ако проблемът продължава, отворете случай с поддръжката.
Синхронизиране
Аватарите не са синхронизирани
проблем
Cisco Directory Connector синхронизира потребителските AD данни с облака на Webex. Но данните за аватара не са синхронизирани успешно.
Възможна причина
Ако сте използвали повторно съществуващ аватар сървър и аватарите на потребителите вече са синхронизирани, тогава локалният кеш ги улавя и избягва повторното изпращане отново, за да се подобри скоростта на предаване.
Решение
Изтрийте локалния кеш, като изпълните следните стъпки:
-
Отидете на C:\Програмни файлове (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Изтрийте DirSyncPluginAvatar.dll-cache.bin.
-
Изпълнете отново синхронизирането на аватара от Cisco Directory Connector.
Конфликтни потребителски имейл акаунти
проблем
Резултатите от синхронизирането може да показват конфликтни потребителски имейл акаунти.
-
Ако потребителите са изпробвали безплатната версия на приложението Webex, техните имейл адреси се намират в безплатната организация на потребителите.
-
Ако потребителските имейли някога са били синхронизирани в друга организация.
-
Ако потребителските имейли съществуват в много домейни, които принадлежат на организацията.
Решение
Опитайте следното:
-
Изпълнете тези стъпки, ако се опитвате да заявите потребители:
-
Уверете се, че сте потвърдили домейна в Control Hub.
-
Временно деактивирайте Cisco Directory Connector.
-
Използвайте опцията „Заявяване на потребител“ в Control Hub, за да заявите всички акаунти, които може да съществуват в безплатната организация на потребителите. Вижте Заявяване на потребители за вашата организация (Конвертиране на потребители) за повече информация.
-
Направете пробно изпълнение в Cisco Directory Connector и след това активирайте отново синхронизирането на указатели
-
-
За последния случай проверете двукратно потребителските данни във вашите източници на Active Directory.
Преобразуван потребител, маркиран като неактивен
проблем
В синхронизираната с указателя среда сте преобразували безплатен потребител (потребителска организация) във вашата корпоративна организация, но преобразуваният потребител не може да влезе в приложението Webex.
Възможна причина
Когато безплатният потребител бъде преобразуван в корпоративната организация, потребителят се маркира като неактивен в продължение на 30 дни като мярка за съответствие на защитата. През този период потребителят не може да влезе в приложението Webex и е маркиран за изтриване в края на 30-дневния период. Тази ситуация възниква, защото безплатната информация за потребителя не се намира в Active Directory.
Решение
Трябва да предприемете действие, ако не искате потребителският акаунт да бъде изтрит. За да разрешите този проблем, създайте потребителски акаунт във вашата локална Active Directory, който съответства на конвертирания безплатен потребителски акаунт. След това изпълнете синхронизация от Cisco Directory Connector. След това потребителят ще може да влезе отново в приложението Webex и акаунтът няма да бъде изтрит.
Постепенното синхронизиране е неуспешно
проблем
Постепенното синхронизиране е неуспешно.
Този проблем може да възникне в Windows Server 2008 R2 при следните условия:
-
Поддържате актуализации на частична стойност.
-
Филтърът, който използвате, препраща към свързан атрибут на стойност.
-
Стойностите на резултатите за този атрибут са актуализирани от последния път, когато е извършено пълно синхронизиране.
Решение
Windows Server 2008 R2 има грешка, която е свързана с този проблем. Грешката е поправена през 2012 г. R2 и по-нови. Препоръчваме да надстроите своя Windows Server поне до 2012 R2.
Невалидна стойност за атрибут
проблем
За [user dn (различно име)] атрибутът [име на атрибут] има следната невалидна стойност [стойност на атрибут].
Възможна причина
За CN=b,OU=Служители,OU=C Потребители,DC=c,DC=com атрибутът [телефонен номер] има следната невалидна стойност: +. Този атрибут трябва да съдържа поне една цифра.
Решение
Атрибут за този потребител няма валидна стойност. Коригирайте стойността му в съответствие с описанието в предупредителното съобщение. След това извършете друга синхронизация.
Съответстващи потребители за изтриване
проблем
Съответстващите потребители са маркирани за изтриване.
Когато извършвате синхронизиране на пробно изпълнение, за да проверите данните между Active Directory и облака, може да видите един и същ имейл адрес и в двете. Потребителят обаче е маркиран като обект за изтриване.
Решение
Изберете подходяща корекция:
-
Ако е приемливо да изтриете потребителя и да извършите отново лицензите след това, можете да използвате Directory Connector за корекцията. Извършете синхронизация, за да изтриете потребителя, и след това извършете друга синхронизация, за да синхронизирате потребителя от локалната AD към облака.
-
Ако не можете да изтриете и пресъздадете потребителския акаунт, отворете случай с поддръжка.
Липсващ атрибут
проблем
Необходимият атрибут [attribute_name] при добавяне на локален запис [user dn (разграничено име)]. Записът не се създава в Control Hub, докато всички задължителни атрибути не имат стойност.
Възможна причина
Липсва задължителният имейл адрес на атрибута. При добавяне на локален запис [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], записът не се създава в Control Hub, докато всички задължителни атрибути не имат стойност.
Решение
Един от необходимите атрибути липсва за потребителя [user_email_address]. Предоставете необходимите стойности за този потребител.
Вложена група няма да се синхронизира
проблем
Потребителите в група за вграден Active Directory не са синхронизирани правилно с облака.
Възможна причина
Използва се филтър, който включва както дъщерната група, така и родителската група, който не се поддържа. Например: (членof=CN=testgroup1,CN=Потребители,DC=rktest2008,DC=org)
Решение
Трябва да преконфигурирате филтъра, който синхронизира групите. Например: |(memberof=CN=testgroup1,CN=Потребители,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Потребители,DC=rktest2008,DC=org)
Конфликт между имена на потребители
проблем
Има конфликт при именуване за [user dn] за съществуващ обект с въвеждане в облака с името: [имейл адрес на потребител] и от тип потребител [user_type].
Възможна причина
Потребител с този имейл адрес вече съществува в Control Hub.
Решение
Създайте потребител във вашия Active Directory със същия имейл адрес като акаунта, който сте регистрирали чрез Control Hub.
Control Hub
Списъкът с потребители липсва в Control Hub
проблем
Ако имате организация на Webex с повече от 1000 синхронизирани потребители, е възможно да не виждате списъка с потребители в Control Hub.
Решение
Можете да използвате функцията за търсене, за да намерите потребителски акаунт. В Control Hub отидете на Потребители, щракнете върху търсене и след това въведете критерии за търсене, за да намерите определен потребител.
Групите няма да се синхронизират с Control Hub
проблем
Потребителите в група за указател няма да се синхронизират правилно с Control Hub.
Възможна причина
Групата не е маркирана като isCriticalSystemObject в Active Directory.
Решение
Уверете се, че атрибутът isCriticalSystemObject е зададен на TRUE в Active Directory.
Разрешаване на отстраняване на неизправности за конектор за указател
Можете да активирате отстраняването на неизправности, за да помогнете за диагностицирането на грешки, които срещнете в Directory Connector. Отстраняването на неизправности ви позволява да заснемете информацията за мрежовия трафик и да я запишете във файл.
Регистрационните файлове, които са: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Регистрационни файлове
| 1 |
Изпълнете файла |
| 2 |
Рестартирайте услугата. Вижте Как да стартирате услуги за насоки. |
| 3 |
В Directory Connector щракнете върху Табло. |
| 4 |
Отидете на Действия и след това щракнете върху . |
| 5 |
Когато отстраняването на неизправности е активирано, повторете действията, които са причинили грешка; това улавя данните за трафика, за да могат да бъдат разгледани. |
| 6 |
Преглед на регистрационните файлове: ако файлът е празен, уверете се, че акаунтът има привилегии за достъп до вашите AD DS или AD LDS. Папката с регистрационни файлове записва файлове само за последните 3 дни. Съдържанието на регистрационните файлове съответства на изхода от регистрационния файл на събитието към системата. |
| 7 |
Ако е необходимо, изпратете регистрационния файл на поддръжката за помощ. |
| 8 |
Деактивирайте функцията за отстраняване на неизправности, когато сте готови. |
Стартиране на визуализатора на събития
За да видите събитията, които са се случили по време на пълно или постепенно синхронизиране, стартирайте визуализатора на събития. Показва обобщение на административните събития и регистрационните файлове за грешки.
| 1 |
От Directory Connector отидете на Табло , след което щракнете върху Действие > Стартиране на визуализатора на събития. Диалоговият прозорец „Свойства на събитието“ показва подробностите за събитието за синхронизиране и подробностите за грешките. |
| 2 |
От Event Viewer отидете на .
|
| 3 |
Под Действия щракнете върху Запиши всички събития като , за да експортирате всички регистрационни файлове като един файл на събития (*.evtx) или друг формат, като xml или csv. |
Какво да направите след това
Ако трябва да отворите случай, свържете се с поддръжката, опишете проблема с конектора и след това прикачете файла Events към вашия случай.
Регистрационните файлове за събития снемат действия от потребители. За помощ при управление на мрежовия трафик активирайте отстраняването на неизправности на конектора.
Разрешаване на TLS в Internet Explorer
Ако сте превключили доставчици на еднократна идентификация (SSO), може да видите следните съобщения за грешка от Cisco Directory Connector:
-
Възникна грешка при влизане в услугата
-
Възникна грешка в скрипта на тази страница
Ако видите тези грешки, трябва да разрешите настройка за TLS в браузъра си.
| 1 |
Отворете Internet Explorer, след което изберете Инструменти. Сега поставете отметка в квадратчетата за TLS/SSL версията, която искате да разрешите. Щракнете върху OK Затвори браузъра и го отворете отново |
| 2 |
Щракнете върху Опции за интернет , отидете на Разширени , превъртете до Защита. |
| 3 |
Поставете отметка в квадратчетата Използване на TLS 1.1 и Използване на TLS 1.2 и след това щракнете върху OK.
|
| 4 |
Рестартирайте системата си, за да влязат в сила промените. |
Отстраняване на неизправности при влизане в акаунта за услуга
Ако не можете да влезете в Cisco Directory Connector или не можете да изпълните синхронизация, използвайте тези стъпки, за да се опитате да разрешите проблема, преди да се свържете с поддръжката.
| 1 |
Опитайте да посетите https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL в уеб браузъра си. |
| 2 |
Изберете един, в зависимост от резултатите:
|
| 3 |
Като минимум се уверете, че конфигурираният акаунт за услугата Cisco DirSync (която може да бъде намерена в услугите на Windows) има ниво на привилегии, което му позволява достъп до данни за аватар и AD данни. По подразбиране услугата използва идентификационните данни за влизане в акаунта за Windows и удостоверяването. |
Проверка на SafeDllSearchMode в регистъра на Windows
Режимът на търсене в библиотеката с безопасни динамични връзки (DLL) е зададен по подразбиране в регистъра на Windows и по-късно поставя текущата директория на потребителя в реда на търсене в DLL. Ако този режим по някакъв начин е деактивиран, атакуващият може да постави злонамерен DLL (наречен същото като препратен DLL файл, който се намира в системната папка) в текущата работеща директория на приложението.
Обикновено SafeDllSearchMode е активиран, но използвайте тази процедура, за да проверите двукратно настройките на системния регистър.
Преди да започнете
Промените в регистъра на Windows трябва да се правят с изключително внимание. Препоръчваме ви да направите резервно копие на своя регистър, преди да използвате тези стъпки.
| 1 |
В търсенето на Windows или прозореца „Изпълнение“ въведете Regedit и след това натиснете Enter. |
| 2 |
Отидете на HKEY_ЛОКАЛНАТА МАШИНА_\Система\CurrentControlSet\Control\Диспечер на сесии. |
| 3 |
Изберете един:
|
За повече информация вижте Поръчка за търсене в библиотеката с динамични връзки.
