Bereitstellungshandbuch für Directory Connector

Übersicht über Cisco Directory Connector

Verzeichniskonnektor – Übersicht

Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.

Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur einzigen Quelle der Wahrheit wird. Wenn Sie eine Änderung lokal vornehmen, wird sie in die Cloud repliziert.

Alle Funktionen, Beschreibungen und Vorteile finden Sie in der Tabelle:

Funktion	Beschreibung und Nutzen
Benutzerfreundliches Dashboard	Das Dashboard bietet einen Synchronisierungszeitplan, eine Zusammenfassung, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard bei jeder Anmeldung anzeigen.
Probelauf vor der Synchronisierung mit der Cloud	Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor diese in der Cloud implementiert werden. Führen Sie dann einen Bericht aus, um zu sehen, dass die Änderungen, die Sie vornehmen möchten, Ihren Erwartungen entsprechen.
Volle und inkrementelle Synchronisierung	Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie einfach die inkrementellen Änderungen, um Rechenleistung zu sparen und die Synchronisierungszeit zu verkürzen.
Mehrere Domänen synchronisieren (einzelne Gesamtstrukturen oder mehrere Gesamtstrukturen)	Directory Connector unterstützt mehrere Domänen entweder unter einer einzelnen Gesamtstruktur oder unter mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Control Hub spiegelt den Status wider, indem der Synchronisierungsstatus für mehrere Verzeichniskonnektoren angezeigt wird. Sie können die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Verzeichniskonnektor in einer Hochverfügbarkeitsbereitstellung deaktivieren.
Geplante Synchronisierung	Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest.
Leichte LDAP-Filter (Directory Access Protocol)	Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit.
Active Directory-Attributzuordnung	Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um sie der Cloud zuzuordnen. Die Attribute vom Standort aus umfassen verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, enteprise-Telefonnummern in Webex Teams, SIP-Adressen von Raumressourcen und andere Daten der Benutzerkontaktkarte (Jobtitel, Abteilung, Manager usw.).
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung	Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte verwenden, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten von ihren Cisco Webex Calling (Cloud PSTN)-Telefonen oder Raumressourcen durchsuchen. Raumressourcen Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugewiesenen SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Cisco Webex Raumgerät oder Cisco Webex Board angezeigt. Wenn Benutzer eine Suche auf einem Cisco Webex Room Device oder Cisco Webex Board durchführen, werden die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn sie einen Anruf vom Webex-Gerät aus bei diesem Eintrag tätigen, wird ein Anruf an die SIP-Adresse getätigt, die für den Raum konfiguriert wurde. Anrufe Benutzer können zusätzlich zu den Webex-App-Kontakten Anrufe an Unternehmenskontakte tätigen. Über den Directory Connector werden die Unternehmensbenutzer und ihre Telefonnummern zu Ihrer Webex-Organisation hinzugefügt. Sie müssen nicht für Webex-Dienste lizenziert werden, damit diese Funktion funktioniert. Benutzer, die nicht für Webex lizenziert sind, werden in der Verzeichnissuche auf dem Telefon eines Cisco Webex Calling-Benutzers angezeigt, solange ein URI oder eine Telefonnummer über den Directory Connector mit Webex synchronisiert ist. Die Anrufe funktionieren gleich für beide Benutzertypen. Außerdem bietet dieses Feature eine Bearbeitungsfunktion für Kontakte, die nur eine Telefonnummer enthalten. Für die Kontakte in den Suchergebnissen gilt Folgendes: Wenn Kontakte über einen wählbaren URI (Webex-SIP-Adresse) und eine Telefonnummer verfügen, wird der URI angezeigt, der mit dem Kontakt verknüpft ist. Wenn Kontakte keinen wählbaren URI, aber eine Telefonnummer haben, wird die Telefonnummer angezeigt. Außerdem wird ein Softkey zum Bearbeiten der gewählten Nummer angezeigt. Kontakte ohne URI oder Telefonnummer werden nicht im Verzeichnis angezeigt.
Event-Betrachter	Verwenden Sie die Ereignisanzeige, um festzustellen, ob Probleme mit der Synchronisierung aufgetreten sind.
Diagnosetool und Fehlerbehebung	Sie können das integrierte Diagnosetool verwenden, um Probleme mit Ihrer Cisco Directory Connector-Bereitstellung zu beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, sodass Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können.
Automatisches Upgrade	Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Version der Software verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird.
Hochverfügbarkeit	Konfigurieren Sie mehrere Anschlüsse so, dass ein Backup vorhanden ist, falls der Hauptanschluss oder der Rechner, auf dem er gehostet wird, ausfällt.

Directory Connector ist in drei Bereiche unterteilt:

Control Hub ist die einzige Schnittstelle, mit der Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und einmalige Anmeldung (SSO) konfigurieren, wenn Sie möchten, dass sich Ihre Benutzer über ihren Identitätsanbieter für Unternehmen authentifizieren, und Sie keine E-Mail-Einladungen für die Webex-App senden möchten.
Die Verwaltungsoberfläche des Verzeichniskonnektors ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Bei mehreren Active Directory-Domänen können Sie für jede Domäne, die Sie synchronisieren möchten, einen Instant-Update der Software installieren. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex aufzunehmen, den Synchronisierungsstatus anzuzeigen und zu überwachen und Directory Connector-Dienste zu konfigurieren.
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory für die Synchronisierung mit dem Connector-Dienst und dem Directory Connector ab.

Lesen Sie dieses Diagramm, um die Directory Connector-Architektur zu verstehen:

***Architektur für Directory Connector***

Vorbereiten Ihrer Umgebung für Directory Connector

Anforderungen für Directory Connector

Windows- und Active Directory-Anforderungen

Sie können Directory Connector auf diesen unterstützten Windows-Servern installieren:

Windows Server 2012
Windows Server 2019
Windows Server 2016

Um ein Cookie-Problem zu beheben, empfehlen wir, dass Sie Ihren Domänencontroller auf eine Version aktualisieren, die die Korrektur enthält: Windows Server 2012 R2 oder 2016 .

Der Directory Connector wird mit den folgenden Active Directory-Diensten unterstützt:

Active Directory 2016

(Directory Connector wird bei Verwendung der neuesten Version von Active Directory auf Windows Server 2019 unterstützt)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Beachten Sie die folgenden zusätzlichen Anforderungen:

Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
- .NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, verwenden Sie die Anweisungen in Enable .NET Framework 3.5, indem Sie den Assistenten zum Hinzufügen von Rollen und Funktionen verwenden.)
- .NET Framework v.4.5 (erforderlich für TLS1.2)
Active Directory Forest Funktionsstufe 2 (Windows Server 2003) oder höher ist erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen? .)

Hardwareanforderungen

Sie müssen Directory Connector auf einem Computer mit den folgenden minimalen Hardwareanforderungen installieren:

8 GB RAM
50 GB Speicherplatz
Keine Mindestanforderung für die CPU

Netzwerk-Anforderungen

Stellen Sie sicher, dass Ihr System über HTTPS (Port 443) auf das Internet zugreifen kann, falls sich Ihr Netzwerk hinter einer Firewall befindet.

Webex-Organisationsanforderungen

Um über Control Hub auf die Directory Connector-Software zuzugreifen, benötigen Sie eine Webex-Organisation mit einer Testversion oder ein kostenpflichtiges Abonnement.
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Folgendes:
- Fügen Sie Domänen hinzu, überprüfen und beanspruchen Sie optional Domänen , die die Benutzer-E-Mail-Adressen enthalten, die Sie in der Cloud synchronisieren möchten.
- Führen Sie eine SSO-Integration (Single Sign-On) Ihres Identitätsanbieters (IdP) in Ihre Webex-Organisation durch.
- Unterdrücken Sie automatische E-Mail-Einladungen, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)

Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub .

Installationsanforderungen

Für eine Umgebung mit mehreren Domänen (entweder einzelne Gesamtstrukturen oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, stellen Sie sicher, dass Sie über einen separaten unterstützten Windows-Server verfügen, um den Directory Connector für die Domänensynchronisierung (B) zu installieren.
Für die Anmeldung am Connector benötigen wir kein Administratorkonto in Active Directory. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer ist wie ein vollständiges Administratorkonto in Control Hub.

Dieser lokale Benutzer muss über Privilegien auf diesem Windows-Computer verfügen, um eine Verbindung mit dem Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Anmelde-Konto des Computers sollte ein Computeradministrator mit Berechtigungen sein, um Software auf dem lokalen Computer zu installieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Bei der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector das lokale Systemkonto, um auf Active Directory zuzugreifen. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Stellen Sie sicher, dass der Suchmodus für die dynamische Linkbibliothek (DLL) von Windows Safe mit diesem Verfahren aktiviert ist: Überprüfen Sie SafeDllSearchMode in der Windows Registry .
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, empfehlen wir, Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Maschinen zu installieren.

Anforderungen für mehrere Domänen

Bevor Sie die Aufgaben im Abschnitt Bereitstellungsaufgabe des Cisco Directory Connectors befolgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in der Cloud synchronisieren möchten:

Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Domänen hinzufügen, verifizieren und beanspruchen .)
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , um Ihre Organisation in eine große Organisationsliste zu verschieben.
Bei Bedarf können Sie die Ressourceninformationen des Raums mit den Benutzerkonten synchronisieren. (Siehe Lokale Rauminformationen mit der Webex Cloud synchronisieren.)

Empfehlungen für die Active Directory-Gruppe für die automatische Lizenzzuweisung

Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbare Einheiten zu erfassen. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.

Es gibt zwei Arten von Gruppen in Active Directory:

Verteilungsgruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
Sicherheitsgruppen – Wird verwendet, um Berechtigungen für freigegebene Ressourcen zuzuweisen.

Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:

Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienst (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex-Lizenzierung usw.).
Verwenden Sie Standardbenennungskonventionen in Ihrer Organisation, um wichtige Informationen über eine Gruppe leichter identifizieren zu können. Gruppennamen können Details zur Gruppe enthalten, z. B. Zugriffsebene, Art der Ressource, Sicherheitsstufe, Gruppenumfang, E-Mail-Funktion usw. Der Gruppenname „GSG _ W ebex_ L icensing_ EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
Organisieren Sie Gruppen auf eine leicht verständliche Weise, z. B. nach Geographie oder Führungshierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die Vorlage für automatische Lizenzgruppen in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für automatische Lizenzzuweisung einrichten .

Größenanpassungsinformationen

Der Directory Connector funktioniert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Einschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.

Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:

Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsauftrag dauert nicht bis zu 50000.)
Netzwerkgeschwindigkeit und Bandbreite.
System-Workload und Spezifikationen.

Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.

Da mehrere Faktoren an der Synchronisierung beteiligt sind und jede Bereitstellung von den oben genannten Faktoren abhängt, können wir keine spezifischen Zeitwerte für die Dauer der Objektsynchronisierung angeben.

Überprüfen SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für sichere dynamische Links-Bibliotheken (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und platziert das aktuelle Verzeichnis des Benutzers später in der DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt das gleiche wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) in das aktuelle Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, vor der Verwendung dieser Schritte ein Backup Ihrer Registrierung zu erstellen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ „regedit“ ein, und drücken Sie dann die Eingabetaste.

2

Gehen Sie zu HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager .

3

Wählen Sie eine Option:

SafeDllSearchMode wird nicht aufgelistet —Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt – Stellen Sie sicher, dass der Wert auf 1 eingestellt ist .

Weitere Informationen finden Sie unter Dynamic Link Library Search Order .

Webproxy-Integration

Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.

Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector verbindet und synchronisiert die Benutzer erfolgreich.

Sie können einen der folgenden Ansätze verwenden:

Expliziter Webproxy über Internet Explorer (der Connector übernimmt die Webproxy-Einstellungen)
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert

Webproxy über den Browser verwenden

Sie können den Directory Connector so einrichten, dass er einen Webproxy über Internet Explorer verwendet.

Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,

1

Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus.

2

Verweisen Sie die Windows-Instanz, auf der der Connector installiert ist, auf Ihren Webproxy. Der Connector übernimmt diese Webproxy-Einstellungen.

3

Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:

cloudconnector.webex.com für die Synchronisierung.
idbroker.webex.com für die Authentifizierung.
idbroker-static.webex.com für die Bereitstellung statischer Ressourcen, wie Schriftart, js-Komponenten usw.

Sie können dies entweder site-weit (für alle Hosts) oder nur für den Host durchführen, der den Connector hat.

Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy vollständig zu umgehen, stellen Sie sicher, dass Ihre Firewall-ACL-Tabelle aktualisiert wird, damit der Connector-Host direkt auf die URLs zugreifen kann.

4

Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Zulassungsliste hinzu:

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

Webproxy über eine PAC-Datei konfigurieren

Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.

1

Damit der Connector die Benutzerinformationen erfolgreich mit der Webex-Cloud verbindet und synchronisiert, stellen Sie sicher, dass die Proxy-Authentifizierung deaktiviert ist für cloudconnector.webex.com in der .pac-Dateikonfiguration für den Host, auf dem der Connector installiert ist.

2

Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:

cloudconnector.webex.com für die Synchronisierung.
idbroker.webex.com für die Authentifizierung.
idbroker-static.webex.com für die Bereitstellung statischer Ressourcen, wie Schriftart, js-Komponenten usw.

Sie können dies entweder site-weit (für alle Hosts) oder nur für den Host durchführen, der den Connector hat.

Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy vollständig zu umgehen, stellen Sie sicher, dass Ihre Firewall-ACL-Tabelle aktualisiert wird, damit der Connector-Host direkt auf die URLs zugreifen kann.

3

Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Zulassungsliste hinzu:

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

NTLM-Proxy

Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.

NTLM-Design

In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.

Generell basiert das technische Design von NTLM auf einem Mechanismus von Challenge und Response :

Ein Benutzer meldet sich über ein Windows-Konto und ein Passwort bei einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines Nur-Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht Windows OS den gespeicherten Hash-Wert und den Hash-Wert des Eingabepassworts. Wenn beide identisch sind, wird die Authentifizierung erfolgreich durchgeführt.

Wenn der Benutzer auf eine Ressource in einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im Klartext.
Wenn der Server die Anforderung empfängt, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Aufgabe auf dem Server gespeichert. Und dann sendet der Server die Aufgabe im Klartext an den Client.
Sobald der Client die Aufgabe vom Server erhält, verschlüsselt der Client die Aufgabe durch den Hash-Wert, der in Schritt 1 erwähnt wurde. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet der Server ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: den Kontonamen, die verschlüsselte Aufgabe, die der Client gesendet hat, und die ursprüngliche einfache Aufgabe.
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Aufgabe verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.

In Windows ist die Sicherheitsauthentifizierung im Betriebssystem integriert, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Daher müssen Sie die weitere Konfiguration nicht abschließen.

Transparenten Proxy konfigurieren

In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.

1	Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann.
2	Bestätigen Sie, dass der Proxy erfolgreich ist. Beim Starten des Connectors wird ein erwartetes Browser-Authentifizierungs-Popup-Fenster angezeigt.

Proxy-Authentifizierung festlegen

URL hinzufügen cloudconnector.webex.com auf Ihre Zulassungsliste, indem Sie eine Zugriffssteuerungsliste erstellen.

Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:

1	Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist.
2	Bestimmen Sie eine geschätzte Bandbreite für diese Verbindung (bei ca. 2 mb/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich.
3	Erstellen Sie eine Zugriffssteuerungsliste, die auf den Connector-Host angewendet werden soll, und geben Sie `cloudconnector.webex.com` als Ziel für das Hinzufügen zur Positivliste. Zum Beispiel: `access-list 2000 acl-inside extended permit TCP [IP of the connector] cloudconnector.webex.com eq https`
4	Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host anwendbar ist.
5	Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren.

Directory Connector bereitstellen

Ablauf der Bereitstellungsaufgabe für den Cisco Directory Connector

Vorbereitungen

Vorbereiten Ihrer Umgebung für Directory Connector

1	Directory Connector installieren Control Hub zeigt die Verzeichnissynchronisierung zunächst als deaktiviert an. Um die Verzeichnissynchronisierung für Ihre Organisation zu aktivieren, müssen Sie Directory Connector installieren und konfigurieren und anschließend eine vollständige Synchronisierung durchführen. Für eine Neuinstallation von Directory Connector rufen Sie immer Control Hub ( https://admin.webex.com) auf, um die neueste Version der Software zu erhalten, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn sie verfügbar sind.
2	Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administratoranmeldeinformationen an und führen Sie die Ersteinrichtung durch.
3	Automatische Upgrades einrichten Es ist immer wichtig, Ihre Directory Connector-Software auf dem neuesten Stand zu halten. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades auf die Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
4	Active Directory-Objekte für die Synchronisierung auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie bestimmte Benutzer auswählen, um LDAP-Filter zu synchronisieren und anzugeben, indem Sie die Seite Objektauswahl im Directory Connector verwenden.
5	Benutzerattribute zuordnen Sie können die Attribute aus Ihrem lokalen Active Directory zu den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld lautet *uid.
6	Synchronisieren Sie Verzeichnis-Avatare mithilfe einer der folgenden Verfahren: Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver in die Cloud Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass die Benutzer-Avatare nach der Anmeldung in der Anwendung angezeigt werden. Sie können Avatare über ein Active Directory-Attribut oder einen Ressourcenserver synchronisieren.
7	Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit diesem Verfahren können Sie lokale Rauminformationen aus Active Directory in der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf Cloud-registrierten Raumgeräten wie einem Webex Room Device oder Cisco Webex Board angezeigt.
8	Um Benutzer aus Active Directory In Control Hub bereitzustellen, führen Sie die folgenden Schritte aus: Probelauf für die Synchronisierung Ihrer Active Directory-Benutzer durchführen Vollständige Synchronisierung von Active Directory-Benutzern in die Cloud Zuweisen von Webex-Diensten zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub Befolgen Sie diese Reihenfolge, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wäldern oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Das Ziel ist eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud.

Directory Connector installieren

Control Hub zeigt die Verzeichnissynchronisierung zunächst als deaktiviert an. Um die Verzeichnissynchronisierung für Ihre Organisation zu aktivieren, müssen Sie Directory Connector installieren und konfigurieren und anschließend eine vollständige Synchronisierung durchführen.

Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf für die Synchronisierung mehrerer Domänen:

***Mehrfacher Domänenfluss für Directory Connector***

Vorbereitungen

Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Ihre Proxy-Anmeldeinformationen vorhanden sind:

Für die Proxy-Basic-Authentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxykonfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Verwenden eines Webproxys über den Browser
Für Proxy-NTLM wird möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser .

1

Gehen Sie in Control Hub , zu Benutzer > Benutzer verwalten > Verzeichnissynchronisierung aktivieren , und wählen Sie Weiter .

2

Klicken Sie auf den Link Herunterladen und installieren , um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern.

Sie können die ZIP-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert.

Für eine neue Installation benötigen Sie die neueste Version der Software, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden können. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn sie verfügbar sind.

3

Entpacken Sie die MSI-Datei auf dem VMware- oder Windows Server im Einrichtungsordner und führen Sie sie aus, um den Einrichtungsassistenten zu starten.

4

Klicken Sie auf Next , aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Next , bis der Bildschirm für den Kontotyp angezeigt wird.

5

Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto aus:

Lokales System – Die Standardoption. Verwenden Sie diese Option, wenn Sie einen Proxy in Internet Explorer konfiguriert haben.

Domänenkonto – Verwenden Sie diese Option, wenn der Computer Teil einer Domäne ist. Der Directory Connector muss mit den Netzwerkdiensten interagieren, um auf Domänenressourcen zuzugreifen. Geben Sie anschließend die Kontoinformationen ein und klicken Sie auf OK. Verwenden Sie bei der Eingabe des Benutzernamens das Format {domain}\{user_name}

Für einen mit AD (NTLMv2 oder Kerberos) integrierten Proxy müssen Sie die Option Domänenkonto verwenden. Das für die Ausführung des Directory Connector-Diensts verwendete Konto benötigt ausreichende Privilegien, um den Proxy zu durchlaufen und auf AD zuzugreifen.

Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind:

Der Server ist Teil der Domäne
Das Domänenkonto kann auf die lokalen AD-Daten und Avatardaten zugreifen. Das Konto muss auch die lokale Administratorrolle haben, da es auf Dateien unter zugreifen muss C:\Program Files.
Bei der Anmeldung einer virtuellen Maschine muss das Administratorkonto-Privileg mindestens Domäneninformationen lesen können.

6

Klicken Sie auf Installieren. Nachdem der Netzwerktest ausgeführt wurde, geben Sie bei Aufforderung Ihre Proxy-Basisanmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertigstellen .

Nächste Schritte

Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Beim Neustart der Maschine werden alle Daten aktualisiert, um ein genaues Ergebnis im Bericht anzuzeigen.

Bei Directory Connector anmelden

Vorbereitungen

Stellen Sie sicher, dass Ihre Proxy-Anmeldeinformationen vorhanden sind.

Für den Proxy basic-auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
Öffnen Sie für den Proxy NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen , stellen Sie sicher, dass die Informationen zum Proxyserver hinzugefügt werden, und klicken Sie dann auf OK . Siehe Verwenden eines Webproxys über den Browser .

1

Öffnen Sie den Konnektor und fügen Sie https://idbroker.webex.com zu Ihrer Liste der vertrauenswürdigen Sites hinzu, wenn eine Aufforderung angezeigt wird.

2

Melden Sie sich bei Aufforderung mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter.

3

Bestätigen Sie Ihr Unternehmen und Ihre Domäne.

Wenn Sie AD DS wählen, aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden, wählen Sie die Domäne aus, die Sie synchronisieren möchten, und klicken Sie dann auf Bestätigen .

Wenn Sie LDAP nicht über SSL aktivieren, verwendet DirSync weiterhin das LDAP-Verbindungsprotokoll.

LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle, die zwischen einer Anwendung und dem Domänencontroller innerhalb der Infrastruktur verwendet werden. Die LDAPS-Kommunikation ist verschlüsselt und sicher.

Wenn Sie AD LDS ausgewählt haben, geben Sie Host, Domäne und Port ein, und klicken Sie auf Aktualisieren, um alle Anwendungspartitionen zu laden. Wählen Sie anschließend die Partition in der Dropdown-Liste aus, und klicken Sie auf Bestätigen. Weitere Informationen finden Sie im Abschnitt AD LDS.

Auf der Registerkarte CloudConnectorCommon.dll Konfigurationsdatei, stellen Sie sicher, dass Sie die Einstellung ADAuthLevel zum Knoten appSetting hinzufügen. Die Werte können 1, 2 oder 3 sein. Lesen Sie diesen Artikel von Microsoft, um mehr über AuthenticationTypes zu erfahren. Hier ein Beispiel für die Einstellung mit dem Wert 1:

<appSettings>
<add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" />
<add key="ADAuthLevel" value="1" />
</appSettings>

4

Nachdem der Bildschirm Unternehmen bestätigen angezeigt wurde, klicken Sie auf Bestätigen.

Falls Sie Ihr AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Unternehmen bestätigen angezeigt.

5

Klicken Sie auf Bestätigen.

6

Wählen Sie eine der folgenden Optionen aus, je nach der Anzahl der Active Directory-Domänen, die Sie an Directory Connector binden möchten:

Wenn Sie eine einzige AD LDS-Domäne verwenden, führen Sie die Bindung mit der vorhandenen AD LDS-Quelle aus und klicken Sie auf Bestätigen.
Wenn Sie eine einzige AD LDS-Domäne verwenden, führen Sie die Bindung entweder mit der vorhandenen oder mit einer neuen Domäne aus. Wenn Sie An eine neue Domäne binden auswählen, klicken Sie auf Weiter.
AD LDS kann nicht für die neue Bindung ausgewählt werden, da die vorhandene Quelle vom Typ AD DS ist.
Wenn Sie mehr als eine Domäne verwenden, wählen Sie eine vorhandene Domäne aus der Liste aus oder wählen Sie An neue Domäne binden aus und klicken Sie auf Weiter.
Die vorhandene Quelle muss vom Typ AD DS sein, da Sie mehr als eine Domäne verwenden. Wenn Sie An neue Domäne binden auswählen und auf Weiter klicken, können Sie AD LDS nicht für die neue Bindung auswählen.

Nächste Schritte

Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.

Directory Connector-Dashboard

Nach Ihrer ersten Anmeldung bei Directory Connector wird das Dashboard angezeigt. Hier sehen Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken, können einen Probelauf für die Synchronisierung durchführen, eine komplette oder inkrementelle Synchronisierung starten und die Eventanzeige starten, um Fehlerinformationen anzuzeigen.

Melden Sie sich erneut an, falls Ihre Sitzung abläuft.

Sie können diese Aufgaben problemlos über die Symbolleiste oder das Menü „Aktionen“ ausführen.

Tabelle 1: Dashboard-Komponenten
Komponente	Beschreibung
Aktuelle Synchronisierung	Zeigt Statusinformationen zur gegenwärtig stattfindenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige leer.
Nächste Synchronisierung	Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Plan festgelegt ist, wird Nicht geplant angezeigt.
Letzte Synchronisierung	Zeigt den Status der letzten beiden Synchronisierungen an.
Aktueller Synchronisierungsstatus	Zeigt den Gesamtstatus der Synchronisierung.
Konnektoren	Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind.
Cloud-Statistiken	Zeigt den Gesamtstatus der Synchronisierung.
Synchronisierungszeitplan	Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung.
Konfigurationszusammenfassung	Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten: Alle Objekte werden synchronisiert Alle Benutzer werden synchronisiert Gelöschte Schwelle wurde deaktiviert.

Tabelle 2: Aktionen-Symbolleiste

Aktion

Beschreibung

Inkrementelle Synchronisierung starten

Manuelles Starten einer inkrementellen Synchronisierung

Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn keine vollständige Synchronisierung abgeschlossen wurde oder wenn eine Synchronisierung ausgeführt wird.

Probelauf Synchronisierung

Führen Sie einen Probelauf für die Synchronisierung durch.

Starten der Ereignisanzeige

Starten Sie die Microsoft-Ereignisanzeige.

Aktualisieren

Aktualisieren des Cisco Directory Connector-Dashboards

Tabelle 3. Menüleiste „Aktionen“
Aktion	Beschreibung
Jetzt synchronisieren	Starten Sie eine vollständige Sofortsynchronisierung.
Synchronisierungsmodus	Wählen Sie zwischen inkrementellem und vollständigem Synchronisierungsmodus aus.
Geheimen Connector-Schlüssel zurücksetzen	Stellen Sie eine Konversation zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Wenn Sie diese Aktion auswählen, wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert.
Probelauf	Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung vornehmen.
Fehlerbehebung	Aktivieren/Deaktivieren Sie die Fehlerbehebung.
Aktualisieren	Aktualisieren Sie den Hauptbildschirm des Cisco Directory Connectors.
Beenden	Beenden Sie den Cisco Directory Connector.

Tabelle 4. Tastenkombinationen
Tastenkombination	Aktion
Alt +A	Öffnet das Menü Aktionen
`Alt +A + S`	Jetzt synchronisieren
`Alt +A + R`	Geheimen Connector-Schlüssel zurücksetzen
`Alt +A + D`	Probelauf
`Alt +A + S + I`	Inkrementelle Synchronisierung
`Alt +A + S + F`	Vollständige Synchronisierung
`Alt + H`	Menü Hilfe anzeigen
`Alt + H + H`	Hilfe
`Alt + H + A`	Info
`Alt + H + F`	Häufig gestellte Fragen

Automatische Upgrades einrichten

1	Wechseln Sie vom Directory Connector zu Konfiguration > Allgemein und anschließend Automatisches Upgrade auf die neue Cisco Directory Connector-Version .
2	Klicken Sie auf Anwenden , um Ihre Änderungen zu speichern.

Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.

Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion .

Active Directory-Objekte für die Synchronisierung auswählen

Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie bestimmte Benutzer auswählen, um LDAP-Filter zu synchronisieren und anzugeben, indem Sie die Seite Objektauswahl im Directory Connector verwenden.

Gruppen für automatische Lizenzzuweisung

Mit Control Hub können Sie Lizenzzuweisungen pro Gruppe verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Zum Zeitpunkt der Benutzererstellung überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.

Wir empfehlen die Verwendung eines LDAP-Filters, um nur relevante Gruppen mit der Cloud zu synchronisieren. Sie können den Filter beispielsweise folgendermaßen festlegen:

(&(cn=Example)(objectclass=Group))*

Dieser Filter synchronisiert alle Gruppen innerhalb der Basis-DN, wobei der Name mit Beispiel beginnt. Benutzern, die nicht Gruppen zugewiesen sind, werden Lizenzen aus der standardmäßigen automatischen Lizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.

Bildschirm „Objektauswahl“ im Directory Connector

Gruppen für Bereitstellungen der Hybrid-Datensicherheit

In Directory Connector müssen Sie die Option Gruppen aktivieren, wenn Sie Hybrid Data Security verwenden, um eine Testgruppe für Pilotbenutzer zu konfigurieren. Weitere Informationen finden Sie im Bereitstellungsleitfaden für die Hybrid-Datensicherheit . Diese Verzeichniskonnektor-Einstellung hat keine Auswirkungen auf die Synchronisierung anderer Benutzer mit der Cloud.

Vorbereitungen

Empfehlungen für die Active Directory-Gruppe für die automatische Lizenzzuweisung

1

Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl.

2

Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und ziehen Sie in Erwägung, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen.

Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die sich in der Beispiel-Manager-Gruppe befinden, verwenden Sie einen Filter wie diesen:

(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))

3

Aktivieren Sie das Kontrollkästchen „Raum identifizieren“ , um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen , wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren.

Verwenden Sie diese Einstellung, wenn Sie Informationen zu lokalen Räumen aus Active Directory in die Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf Cloud-registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud .

4

Aktivieren Sie „Gruppen“ , wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten.

Fügen Sie dem Feld „Gruppen“ keinen LDAP-Filter zur Benutzersynchronisierung hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren.

Standardmäßig werden Gruppen nicht für neue Kunden synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren.

5

Aktivieren Sie das Kontrollkästchen Kontakte , wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten.

Der Directory Connector verwaltet nur Kontakte, die vom Connector synchronisiert wurden. Wenn bereits Kontakte in Control Hub vorhanden sind, werden die Kontakte durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsbereich entfernt werden, werden die Kontaktinformationen der Benutzer auch in Control Hub entfernt.

6

Konfigurieren Sie die LDAP-Filter. Durch die Angabe eines gültigen LDAP-Filters können Sie erweiterte Filter hinzufügen. Lesen Sie diesen Artikel für weitere Informationen zum Konfigurieren von LDAP-Filtern.

7

Geben Sie die Option „Lokale Basis-DNs zum Synchronisieren“ an , indem Sie auf „Auswahl“ klicken, um die Strukturstruktur Ihres Active Directory anzuzeigen. Hier können Sie auswählen, welche Container durchsucht werden sollen.

8

Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten und klicken Sie auf Auswählen.

Sie können einzelne oder übergeordnete Container für die Synchronisierung auswählen. Wählen Sie einen übergeordneten Container, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird neben dem übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container ausgewählt wurde. Sie können auf Auswählen klicken, um die ausgewählten Active Directory-Container zu übernehmen.

Wenn in Ihrer Organisation alle Benutzer und Gruppen im Benutzer-Container abgelegt sind, müssen Sie die anderen Container nicht durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, müssen Sie sicherstellen, dass Sie OUs auswählen.

9

Klicken Sie auf Übernehmen.

Wählen Sie eine Option:

Konfig-Änderungen übernehmen
Probelauf
Abbrechen

Informationen zu Probeläufen finden Sie unter „Durchführen eines Probelaufs für die Synchronisierung Ihrer Active Directory-Benutzer“.

Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Führen Sie eine vollständige Synchronisierung der Active Directory-Benutzer in die Cloud durch.

Benutzerattribute zuordnen

Sie können die Attribute aus Ihrem lokalen Active Directory zu den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.

Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll. So können Sie beispielsweise firstName lastName in Active Directory oder einem benutzerdefinierten Attributausdruck auf displayName in der Cloud.

Konten in Active Directory müssen eine E-Mail-Adresse besitzen; die uid wird standardmäßig ad mail-Feld (nicht sAMAccountName).

Wenn Sie sich dafür entscheiden, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, dann ist Active Directory die einzige Quelle der Wahrheit: Benutzer können ihre Spracheinstellung nicht in den Webex-Einstellungen ändern, und Administratoren können die Einstellung nicht in Control Hub ändern.

1

Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattribute-Zuordnung aus.

Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet.

2

Scrollen Sie nach unten unter den Active Directory-Attributnamen , und wählen Sie dann eines dieser Active Directory-Attribute aus, um dem Cloud-Attribut uid :

mail : Wird von den meisten Bereitstellungen für das E-Mail-Format verwendet.
userPrincipalName – Eine alternative Option, wenn Ihr E-Mail-Attribut für andere Zwecke in Active Directory verwendet wird. Dieses Attribut muss im E-Mail-Format vorliegen.

Sie können alle anderen Active Directory-Attribute der uid zuordnen. Wir empfehlen Ihnen jedoch, Mail oder userPrincipalName wie in den obigen Richtlinien beschrieben zu verwenden. In einigen Fällen wird der userPrincipalName für die Anmeldung verwendet, aber die E-Mail-Adresse eines Benutzers wird für die Verwaltung seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem primären E-Mail-Adressfeld in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, welche Attribute in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen in Directory Connector.

Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen ausgewählte Active Directory-Attribut das E-Mail-Format aufweist. Der Verzeichniskonnektor zeigt ein Popup-Fenster an, das Sie daran erinnert, wenn Sie eines der empfohlenen Attribute nicht auswählen.

3

Wenn die vordefinierten Active Directory-Attribute für Ihre Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie dann Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können.

Klicken Sie auf Hilfe , um weitere Informationen über die Ausdrücke zu erhalten und Beispiele zu sehen, wie Ausdrücke funktionieren. Weitere Informationen finden Sie unter Ausdrücke für benutzerdefinierte Attribute .

In diesem Beispiel werden die Active Directory-Attribute zugeordnet. givenName und Sn zum Cloud-Attribut displayName:

Definieren Sie den Attributausdruck als givenName + "" + Sn(die Anführungszeichen sind ein zusätzliches Leerzeichen) und geben Sie dann eine vorhandene Benutzer-E-Mail-Adresse zum Überprüfen an.
Klicken Sie auf Verify und sehen Sie, ob das Ergebnis mit dem übereinstimmt, was Sie erwartet haben.

Ein erfolgreiches Ergebnis sieht so aus:
Wenn die Ergebnisse Ihren Erwartungen entsprechen, klicken Sie auf OK , um das neue benutzerdefinierte Attribut zu speichern.

Wenn Sie später die displayName, können Sie einen neuen Attributausdruck eingeben

Directory Connector überprüft den Attributwert von uid im Identitätsdienst und ruft 3 verfügbare Benutzer unter den aktuellen Benutzerfilteroptionen ab. Wenn alle diese 3 Benutzer ein gültiges E-Mail-Format haben, zeigt der Cisco Directory Connector die folgende Nachricht an:

Wenn das Attribut nicht verifiziert werden kann, wird die folgende Warnung angezeigt und Sie können zur Überprüfung und Korrektur der Benutzerdaten zu Active Directory zurückkehren:

4

(Optional) Wählen Sie Zuordnungen für mobile und telephoneNumber aus, wenn mobile und geschäftliche Nummern angezeigt werden sollen, z. B. in der Visitenkarte des Benutzers in der Webex-App.

Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers bewegt.

Weitere Informationen zum Anrufen von der Visitenkarte eines Benutzers finden Sie unter „Anrufe“ im Webex (Unified CM)-Bereitstellungshandbuch (Administratoren).

5

Wählen Sie zusätzliche Zuordnungen aus, damit weitere Daten in der Visitenkarte angezeigt werden:

departmentNumber
displayName
manager
title

Nachdem die Attribute zugeordnet wurden, werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers bewegt:

Kontaktinformation

Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren .

Nachdem diese Attribute mit jedem Benutzerkonto synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Webex-App-Benutzer mehr Informationen in ihren Profilen teilen und mehr über einander erfahren. Weitere Informationen über die Funktion und ihre Aktivierung finden Sie unter People Insights-Profile für Webex, Jabber, Webex Meetings und Webex Events (neu) in Control Hub

6

Treffen Sie Ihre Auswahl und klicken Sie auf Übernehmen.

Die in Active Directory enthaltenen Benutzerdaten überschreiben die entsprechenden Daten in der Cloud für den jeweiligen Benutzer. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Jeder Benutzer ohne entsprechende E-Mail-Adresse in Active Directory wird gelöscht.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst gespeichert, bevor sie dauerhaft gelöscht werden.

Active Directory- und Cloud-Attribute

Sie können die Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattribute-Zuordnung verwenden.

In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Directory Connector. Sie können in den Dropdowns für Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloud-Attribut synchronisiert wird.

Stellen Sie sich die Dropdown-Attribute als Voreinstellungen vor. Alternativ zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory (ein Ausdruck mit mehreren Attributen) angeben, um einem einzelnen Cloud-Attribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise können Sie flexibel die Anzeigenamen Ihrer Benutzer bestimmen. Beispielsweise können Sie einen Ausdruck hinzufügen, der ein benutzerdefiniertes Attribut basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory erstellt.

Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden sollen. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.

Sie können auch alternative E-Mail-Adressen verwenden, wenn Sie beispielsweise den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall eine andere E-Mail-Adresse dem Attribut E-Mail-Typ-Arbeit zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht für die Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie von AD zuordnen, muss von einer verifizierten Domäne innerhalb Ihrer Organisation stammen und muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.

Active Directory-Attributnamen	Webex Cloud-Attributnamen	Hinweise
—	buildingName	—
c	c	Dieses Attribut gibt die Länderkürzel des Benutzers an.
departmentNumber	departmentNumber	Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die in den Bereichen Kontaktkarte und People Insights angezeigt wird.
displayName	displayName	Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub angezeigt wird, die Kontaktkarte und People Insights .
userAccountControl	ds-pwp-account-disabled	Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist oder dass Benutzer nicht ordnungsgemäß synchronisiert werden.
employeeNumber	employeeNumber	—
facsimileTelephoneNumber	facsimileTelephoneNumber	—
—	jabberID	Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert entspricht nicht sipAddresses.
l	l	Dieses Attribut gibt die Stadt des Benutzers an.
—	locale	—
Manager	Manager	Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der in den Bereichen Kontaktkarte und People Insights angezeigt wird.
mobile	mobile	Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen.
o	o	Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird in der Kontaktkarte angezeigt.
ou	ou	Dieses Attribut gibt den Namen der Organisationseinheit an.
physicalDeliveryOfficeName	physicalDeliveryOfficeName	Dieses Attribut gibt den Bürostandort des Benutzers an.
postalCode	postalCode	Dieses Attribut gibt die Post- oder Postleitzahl des Benutzers für die physische Postzustellung an.
preferredLanguage	preferredLanguage	Dieses Attribut legt die bevorzugte Sprache des Benutzers fest und die folgenden Formate werden unterstützt: xx_YY oder xx-YY. Hier sind einige Beispiele: en_USA, en_ GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format angeben, wird die Sprache der Organisation als bevorzugte Sprache für den Benutzer verwendet.
MSRTCSIP-PrimaryUserAddress IP-Telefon	SipAdressen;type=Unternehmen	Dieses Attribut wird für die Synchronisierung von lokalen Rauminformationen aus Active Directory in die Cisco Webex-Cloud verwendet.
sn	sn	Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub angezeigt wird, die Kontaktkarte und People Insights .
st	st	Dieses Attribut gibt das Bundesland des Benutzers an.
streetAddress	street	Dieses Attribut gibt die Adresse des Benutzers für die physische Postzustellung an.
telephoneNumber	telephoneNumber	Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die für das Anrufen des Benutzers über die Kontaktkarte verwendet wird.
—	timezone	Dieses Cloud-Attribut gibt die Zeitzone des Benutzers an.
title	title	Dieses Attribut gibt den Titel des Benutzers an, der in den Bereichen Kontaktkarte und People Insights angezeigt wird.
typ	enterprise	—
mail userPrincipalName	Uid	Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird der userPrincipalName für die Anmeldung verwendet, aber die E-Mail-Adresse eines Benutzers wird für die Verwaltung seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem primären E-Mail-Adressfeld in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann dann eine dieser E-Mail-Adressen verwenden, um sich anzumelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen zur Zuordnung einer alternativen E-Mail-Adresse finden Sie in der Beispielattributzuordnung unten.
userPrincipalName mail <custom attribute="">	E-Mails;Typ-Arbeit	Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht für die Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie von AD zuordnen, muss von einer verifizierten Domäne innerhalb Ihrer Organisation stammen und muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.
<New attribute="" for="" Azure="" user="" objectId="">	externe ID	Erstellen Sie ein neues Active Directory-Attribut, das die ObjektId des Azure-Benutzers enthält, damit es nicht mit einer vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen .

Alternative E-Mail-Adressenzuordnung

Ausdrücke für benutzerdefinierte Attribute

Tabelle 5: Ausdrücke für benutzerdefinierte Attribute
Vermittler	Beschreibung und Beispiel
%	Entfernt alle Zeichen vom Anfang des Strings an die Position des Zeichen- oder String-Arguments, wenn sie übereinstimmen. Beispielausdruck `"abc@example.com" % "@"` Ergebnis `example.com`
-	Entfernt die Rückseite der Eingangszeichenfolge vom Ende der angegebenen Zeichenfolge. Beispielausdruck `"abc@example.com" - "@"` Ergebnis `abc`
+	Verkettet Eingaben von Zeichenfolgen oder Ausdrücken. Beispielausdruck `"abc" + "" + "def"` Ergebnis `abc def`
\|	Evaluiert die getrennten Ausdrücke mit der leeren Zeichenfolge und wählt das erste nicht-leere Ergebnis aus. Beispielausdruck `"" \| "abc"` Ergebnis `abc`

Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar angezeigt wird, wenn er sich bei der Webex-App anmeldet. Mit dieser Prozedur können Sie rohe Avatar-Daten von einem Active Directory-Attribut synchronisieren.

1	Wechseln Sie vom Directory Connector zu Konfiguration , klicken Sie auf Avatar und aktivieren Sie anschließend „Aktivieren“ .
2	Für Avatar aus abrufen, wählen Sie das AD-Attribut und wählen Sie dann das Avatar-Attribut aus, das die rohen Avatar-Daten enthält, die Sie mit der Cloud synchronisieren möchten.
3	Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar abrufen . Der Avatar wird rechts angezeigt.
4	Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Anwenden , um Ihre Änderungen zu speichern.

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer können keinen eigenen Avatar festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn keine Probleme auftreten, führen Sie eine vollständige Synchronisierung durch, um Ihre Active Directory-Benutzerkonten und Avatare für die Synchronisierung in der Cloud zu erhalten und in Control Hub anzuzeigen.

Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver in die Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar angezeigt wird, wenn er sich bei der Webex-App anmeldet. Verwenden Sie dieses Verfahren, um Avatare von einem Ressourcenserver zu synchronisieren.

Vorbereitungen

Das URI-Muster und der Variablenwert in dieser Prozedur sind lediglich Beispiele. Verwenden Sie stattdessen die tatsächlichen URLs, unter denen sich Ihre Verzeichnis-Avatare befinden.
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht im Internet öffentlich zugänglich sein.
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass Avatar-Daten per NTLM-Authentifizierung oder Basic-Authentifizierung aufgerufen werden können.

1	Wechseln Sie vom Directory Connector zu Konfiguration , klicken Sie auf Avatar und aktivieren Sie anschließend „Aktivieren“ .
2	Für Avatar abrufen von , wählen Sie Ressourcenserver und geben Sie dann das Avatar-URI-Muster ein – Beispiel: *`http://www.example.com/dir/photo/zoom/{mail: .?(?=@.)}.jpg`* Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten: http://www.example.com/dir/photo/zoom/– Der Pfad, zu dem sich alle Fotos befinden, die synchronisiert werden sollen. Es muss sich um eine URL handeln, auf die der Directory Connector-Dienst auf Ihrem Server zugreifen kann. mail: – fordert den Directory Connector auf, den Wert des E-Mail-Attributs aus Active Directory abzurufen *.?(?=@.)* – Eine Regex-Syntax, die die folgenden Funktionen ausführt: *`.`– Ein beliebiges Zeichen, das Null- oder mehrmals wiederholt wird. `?`– Legt fest, dass die vorhergehende Variable mit so wenigen Zeichen wie möglich übereinstimmt. `(?= ... )`– Entspricht einer Gruppe nach dem Hauptausdruck, ohne sie in das Ergebnis einzubeziehen. Directory Connector sucht nach einer Übereinstimmung und fügt sie nicht in die Ausgabe ein. `@.`– Das At-Symbol, gefolgt von einem beliebigen Zeichen, das null- oder mehrmals wiederholt wird. .jpg* – Die Dateierweiterung für die Avatare Ihrer Benutzer. Siehe unterstützte Dateitypen in diesem Dokument und ändern Sie die Erweiterung entsprechend.
3	(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen erfordert, aktivieren Sie das Kontrollkästchen Benutzeranmeldeinformationen für Avatar festlegen, wählen Sie dann entweder Aktuellen Dienstanmeldeingenieur verwenden oder Diesen Benutzer verwenden und geben Sie das Kennwort ein.
4	Geben Sie den Variablenwert ein – Zum Beispiel: `abcd@example.com`.
5	Klicken Sie auf Test , um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. In diesem Beispiel lautet der Endgültige Avatar-URI folgendermaßen, wenn der mail-Wert für einen AD-Eintrag `abcd@example.com` und JPG-Bilder wurden synchronisiert, der Final Avatar URI ist `http://www.example.com/dir/photo/zoom/abcd.jpg`
6	Nachdem die URI-Informationen überprüft wurden und korrekt aussehen, klicken Sie auf Anwenden. Detaillierte Informationen zum Verwenden regulärer Ausdrücke finden Sie in der Microsoft Reguläre Ausdrucksprache – Schnellreferenz .

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer können keinen eigenen Avatar festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn keine Probleme auftreten, führen Sie eine vollständige Synchronisierung durch, um Ihre Active Directory-Benutzerkonten und Avatare für die Synchronisierung in der Cloud zu erhalten und in Control Hub anzuzeigen.

Synchronisieren von lokalen Rauminformationen mit der Webex Cloud

Mit diesem Verfahren können Sie lokale Rauminformationen aus Active Directory in der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf Cloud-registrierten Webex-Geräten (Room, Desk und Board) angezeigt.

1

Wechseln Sie vom Directory Connector zu Synchronisieren , und klicken Sie auf mehrKlicken Sie neben einer synchronisierten Domäne auf Konfiguration und wählen Sie dann Objektauswahl .

2

Aktivieren Sie Rauminformationen mit Cloud synchronisieren , um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen.

Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf dieselbe Weise behandelt wie vom Benutzer synchronisierte Daten.

3

Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=Enterprise .

Um die Werteüberprüfung zu verwenden, sollte der Wert der SIP-Adresse wie folgt sein: Pattern.compile("^([^@])(.*)@(.*)$")

Wählen Sie MSRTCSIP-PrimaryUserAddress wenn verfügbar.
Wenn Sie in Ihrem Active Directory-Schema nicht über das oben genannte Attribut verfügen, verwenden Sie ein anderes Feld, z. B. ipPhone .

4

Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann verwendet, um Räume zu identifizieren.

5

Navigieren Sie von Active Directory-Benutzern und Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den voll qualifizierten SIP-URI mit dem Präfix sip hinzu:

6

Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch.

Die neuen Raumobjekte werden aufgelistet Objekte hinzugefügt und übereinstimmende Raumobjekte werden in Objekte übereinstimmenden im Probelauf-Bericht angezeigt. Alle zum Löschen markierten Raumobjekte befinden sich unter „Räume gelöscht“.

Die Ergebnisse des Probelaufs zeigen alle Raumressourcen an, die übereinstimmen.

Directory Connector-Probelauf mit übereinstimmenden Objekten

Bei dieser Einstellung werden die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten getrennt. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.

Verzeichnis-Connector-Dashboard, das das Fenster für Cloud-Statistiken hervorhebt. Die Cloud-Statistik umfasst Benutzer, Gruppen, Räume und Kontakte.

Nächste Schritte

Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Webex-Cloud registrierten Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie bei diesem Eintrag einen Anruf vom Webex-Gerät aus tätigen, wird ein Anruf an die SIP-Adresse getätigt, die für den Raum konfiguriert wurde.

In Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.

Der Endpunkt kann keinen Rückruf an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte als SIP-URI lokal oder an einem anderen Ort als der Webex-App registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, Schreibtischgerät oder Webex Board für den Kalenderdienst befindet, wird in den Suchergebnissen nicht der doppelte Eintrag angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App gewählt, und es wird kein SIP-Anruf getätigt.

E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisierung senden

Standardmäßig erhalten die Organisationskontakte oder -administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen erhalten soll, in denen die Verzeichnissynchronisierungsberichte zusammengefasst sind.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie dann Benachrichtigung .
2	Klicken Sie im Directory Connector auf Einstellungen und neben E-Mail-Empfänger auf Synchronisierung des Berichts aktivieren .
3	Aktivieren Sie Benachrichtigung aktivieren , wenn Sie das Standardbenachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten.
4	Klicken Sie auf Hinzufügen und geben Sie dann eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse in einem ungültigen Format eingeben, wird eine Meldung angezeigt, in der Sie aufgefordert werden, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
5	Klicken Sie auf E-Mail hinzufügen und geben Sie dann eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse in einem ungültigen Format eingeben, wird eine Meldung angezeigt, in der Sie aufgefordert werden, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
6	Wenn Sie die eingegebenen E-Mail-Adressen bearbeiten müssen, doppelklicken Sie in der linken Spalte auf den E-Mail-Eintrag und nehmen Sie dann die gewünschten Änderungen vor.
7	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Anwenden.
8	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf „Speichern“ .

Nächste Schritte

Wenn Sie entschieden haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und dann auf „Entfernen“ klicken .

Wenn Sie entschieden haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.

Bereitstellen von Benutzern aus Active Directory In Control Hub

Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (mit einer einzelnen Gesamtstruktur oder mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Das Ziel ist eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud.

1	Probelauf für die Synchronisierung Ihrer Active Directory-Benutzer durchführen Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory und Objekte in der Webex-Cloud zu vergleichen. Bei einem Probelauf können Sie sehen, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und die Änderungen an der Cloud übertragen.
2	Vollständige Synchronisierung von Active Directory-Benutzern in die Cloud Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihren Active Directory (AD) in die Cloud. Anschließend aktualisiert der Connector-Dienst den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Vorlage für die automatische Lizenzzuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
3	Zuweisen von Webex-Diensten zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen mit einer Vielzahl von Methoden zuweisen. Wir empfehlen, dass Sie eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen.

Probelauf für die Synchronisierung Ihrer Active Directory-Benutzer durchführen

Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory und Objekte in der Webex-Cloud zu vergleichen. Bei einem Probelauf können Sie sehen, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und die Änderungen an der Cloud übertragen.

Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Mit Directory Connector ist es das Ziel, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erreichen.

Wenn Sie mehrere Domänen in einer einzelnen Gesamtstruktur oder mehreren Gesamtstrukturen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen durchführen, die Sie für jede Active Directory-Domäne installiert haben.

Vorbereitungen

Möglicherweise haben Sie bereits einige Webex-App-Benutzer in Control Hub, bevor Sie Directory Connector verwendet haben. Unter den Benutzern in der Cloud können einige mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es kann sich jedoch um Testbenutzer handeln, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Ihrem Active Directory und Control Hub erstellen.

1

Wählen Sie eine Option:

Klicken Sie nach der erstmaligen Anmeldung auf Ja auf die Eingabeaufforderung, um einen Probelauf durchzuführen.
Wenn Sie eine Erinnerung zum Durchführen eines Probelaufs verpassen, klicken Sie jederzeit über den Directory Connector auf Dashboard , wählen Sie Sync Dry Run und klicken Sie dann auf OK , um einen Probelauf für die Synchronisierung zu starten.

Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt:

Im Directory Connector wurden nicht übereinstimmende Objekte erkannt
Zusammenfassung der Probelauf-Berichtsergebnisse und nicht übereinstimmende Objekte im Directory Connector

Die Zusammenfassung enthält Informationen zum Objekt-Matching:

Übereinstimmende Objekte – Ein Benutzer, der sich in Webex Common Identity befindet und auch in der Active Directory-Domäne vorhanden ist, d. h. wenn someuser@cisco.com mit Webex synchronisiert und in Control Hub angezeigt wurde und derselbe Benutzer (someuser@cisco.com) in Active Directory vorhanden ist. Dies bedeutet, dass der Benutzer abgeglichen wurde.
Nicht übereinstimmende Objekte – Ein Benutzer, der sich in Webex befindet, unabhängig davon, wie der Benutzer zur gemeinsamen Identität hinzugefügt wurde, aber nicht im Active Directory vorhanden ist. Es wird ein Nicht übereinstimmendes Objekt genannt. Beispiel: Wenn someuser@cisco.com in Webex synchronisiert und in Control Hub angezeigt wurde, aber derselbe Benutzer (someuser@cisco.com) nicht von Active Directory verwaltet wird, zeigt der Bericht an, dass der Benutzer nicht übereinstimmt.

Der Probelauf identifiziert die Benutzer, indem er mit Domänenbenutzern verglichen wird. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory.

2

Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option, je nachdem, ob Sie eine einzelne Domäne oder mehrere Domänen verwenden:

Einzelne Domäne – Entscheiden Sie, ob die nicht übereinstimmenden Benutzer beibehalten werden sollen. Wenn Sie sie behalten möchten, wählen Sie Nein, behalten Sie Objekte ; wenn Sie dies nicht tun, wählen Sie Ja, löschen Sie Objekte . Nachdem Sie diese Schritte ausgeführt haben und manuell eine vollständige Synchronisierung durchgeführt haben, sodass zwischen dem Standort und der Cloud eine exakte Übereinstimmung besteht, aktiviert Directory Connector automatisch geplante Aufgaben zur automatischen Synchronisierung.
Mehrere Domänen – Führen Sie für eine Organisation mit Domäne A und Domäne B zuerst einen Probelauf für Domäne A durch. Wenn Sie nicht übereinstimmende Benutzer beibehalten möchten, wählen Sie Nein, behalten Sie Objekte . (Diese nicht übereinstimmenden Benutzer können Mitglieder der Domäne B sein.) Wenn Sie löschen möchten, wählen Sie Ja, löschen Sie Objekte .
Wenn Sie die Benutzer beibehalten, führen Sie zunächst eine vollständige Synchronisierung für Domäne A aus, und führen Sie dann einen Probelauf für Domäne B aus. Wenn immer noch nicht übereinstimmende Benutzer vorhanden sind, fügen Sie diese Benutzer in Active Directory hinzu und führen Sie dann eine vollständige Synchronisierung für Domäne B aus. Wenn zwischen dem Standort und der Cloud eine exakte Übereinstimmung besteht, aktiviert der Verzeichniskonnektor automatisch geplante Aufgaben zur automatischen Synchronisierung.

3

Klicken Sie in der Aufforderung „Probelauf bestätigen “ auf „Ja“ , um den Probelauf für die Synchronisierung erneut auszuführen, und zeigen Sie das Dashboard an, um die Ergebnisse anzuzeigen.

Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter „ Objekte übereinstimmen“ angezeigt.

Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschungsmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen.

Klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched, um Details der synchronisierten Elemente anzuzeigen. Klicken Sie auf Ergebnisse in Datei speichern, um die Zusammenfassung zu speichern.

4

Wenn die Ergebnisse erwartet werden, gehen Sie zu Aktionen > Synchronisierungsmodus > Synchronisierung aktivieren , und klicken Sie dann auf Jetzt aktivieren , um eine manuelle Synchronisierung durchzuführen und an dieser Stelle in den manuellen Modus zu wechseln.

Nachdem Sie eine Synchronisierung der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für den Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte vollständig zwischen der Webex-Cloud und allen lokalen Active Directories übereinstimmen.

Nächste Schritte

Bei nicht übereinstimmenden Benutzerobjekten, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen der lokalen Umgebung und der Cloud besteht.
Synchronisierungstyp auswählen:
- Führen Sie eine vollständige Synchronisierung der Active Directory-Benutzer in die Cloud durch , wenn Sie zum ersten Mal neue Benutzer mit der Cloud synchronisieren. Sie tun dies über Aktionen > Jetzt synchronisieren > Vollständig , und dann werden Benutzer aus der aktuellen Domäne synchronisiert.
- Richten Sie den Connector-Zeitplan ein und führen Sie eine inkrementelle Synchronisierung aus, nachdem Sie eine vollständige Synchronisierung durchgeführt haben und wenn Sie die Änderungen nach der anfänglichen Synchronisierung übernehmen möchten. Diese Art der Synchronisierung wird empfohlen, um kleine Änderungen an der Active Directory-Benutzerquelle zu übernehmen.
  
  Standardmäßig wird eine inkrementelle Synchronisierung auf alle 30 Minuten (ab Version 3.4) oder alle 4 Stunden (ab Version 3.5) festgelegt, Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, wenn Sie eine vollständige Synchronisierung durchgeführt haben.
Wenn Sie mehrere Domänen haben, wiederholen Sie diese Schritte auf einem anderen Verzeichniskonnektor, den Sie installiert haben.

Wichtige Hinweise

Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisierung dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeläufe überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.
Wenn übereinstimmende Benutzer als zu löschen markiert sind und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und kontaktieren Sie den Support unter „Fehlerbehebung und Fehlerbehebung für Directory Connector“.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst gespeichert, bevor sie dauerhaft gelöscht werden.

Vollständige Synchronisierung von Active Directory-Benutzern in die Cloud

Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihren Active Directory (AD) in die Cloud. Anschließend aktualisiert der Connector-Dienst den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Vorlage für die automatische Lizenzzuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.

Wenn Sie mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen durchführen, die Sie für jede Active Directory-Domäne installiert haben.

Directory Connector synchronisiert den Status des Benutzerkontos. In Active Directory werden alle Benutzer, die als deaktiviert markiert sind, auch in der Cloud als inaktiv angezeigt.

Vorbereitungen

Wenn sich die Benutzerkonten der Webex-App nach der vollständigen Synchronisierung und bevor sich die Benutzer zum ersten Mal anmelden, im Aktivstatus befinden sollen, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:

Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Weitere Informationen finden Sie unter Einmaliges Anmelden mit Cisco Webex-Diensten und dem Identitätsanbieter Ihrer Organisation.
Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe Domänen hinzufügen, überprüfen und beanspruchen .

Unterdrücken Sie automatische E-Mail-Einladungen , damit neue Benutzer nicht die automatische E-Mail-Einladung zur Webex-App erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)

Aktivierte Benutzer, die sich nicht angemeldet haben, werden mit dem Status „ Verifiziert“ in Control Hub angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub .

Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen. Wir empfehlen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu beheben.

Sie müssen eine Lizenzvorlage automatisch zuweisen einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.

Wenn Sie keine automatischen Lizenzvorlagen verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie werden in der Lage sein, zu verwenden die gleichen kostenlosen Funktionen wie diejenigen mit kostenlosen Konten.

1

Wählen Sie eine Option:

Wenn der Probelauf nach der ersten Anmeldung abgeschlossen ist und für alle Domänen korrekt aussieht, klicken Sie auf Jetzt aktivieren , um die automatische Synchronisierung zuzulassen.
Wechseln Sie vom Directory Connector zum Dashboard , klicken Sie auf Aktionen , wählen Sie Synchronisierungsmodus > Synchronisierung aktivieren , und klicken Sie dann auf Jetzt synchronisieren > Vollständig , um die Synchronisierung zu starten.

2

Wechseln Sie vom Directory Connector zu Synchronisieren , und klicken Sie auf mehrKlicken Sie neben einer synchronisierten Domäne auf Konfiguration und wählen Sie dann Vollständige Synchronisierung .

3

Bestätigen Sie den Beginn der Synchronisierung.

Bei allen Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), gibt Control Hub die Änderung sofort wieder, wenn Sie die Benutzeransicht aktualisieren, aber die Webex-App gibt die Änderungen bis zu 72 Stunden nach der Synchronisierung wieder.

Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie folgende Anweisungen ausführen: Windows oder Mac .

Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase.
Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Benutzerdaten werden mit der Cloud synchronisiert.
Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.

4

Klicken Sie auf Aktualisieren , wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik .)

5

Um Informationen zu Fehlern zu erhalten, wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um die Fehlerprotokolle anzuzeigen.

6

Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen in der Cloud finden Sie unter Connector-Zeitplan festlegen und Inkrementelle Synchronisierung ausführen .

Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung von Deaktiviert zu Betriebsbereit auf der Seite Einstellungen in Control Hub aktualisiert.
Wenn alle Daten zwischen der lokalen und der Cloud-Umgebung abgeglichen werden, wechselt der Directory Connector vom manuellen in den automatischen Synchronisierungsmodus.
Wenn Sie keine Single Sign-On-Konten integrieren, keine Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben, und keine automatisierten E-Mails unterdrücken, verbleiben die Webex-App-Benutzerkonten im Status "Nicht verifiziert", bis sich Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Anweisungen zum Synchronisieren der Konten als Aktive Benutzer finden Sie im Abschnitt „Bevor Sie beginnen“.
Wenn Sie mehrere Domänen haben, führen Sie diesen Schritt auf einem anderen Verzeichniskonnektor aus, den Sie installiert haben. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
Wenn Sie Single Sign-On mit Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
Sie können keine Benutzer manuell in Control Hub hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung erfolgt die Benutzerverwaltung über den Cisco Directory Connector, und Active Directory ist die einzige Informationsquelle.
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.

Nächste Schritte

Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung weich gelöscht. Der Benutzer wird Inactive aber das Cloud-Identitätsprofil wird sieben Tage lang aufbewahrt (um die Wiederherstellung nach einem versehentlichen Löschen zu ermöglichen).

Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer Inactive nach der nächsten Synchronisierung. Das Cloud-Identitätsprofil wird nicht nach sieben Tagen gelöscht, falls Sie den Benutzer erneut aktivieren möchten.
Beachten Sie diese Ausnahmen für eine inkrementelle Synchronisierung (befolgen Sie stattdessen die Schritte zur vollständigen Synchronisierung oben):
- Im Fall eines aktualisierten Avatars, aber keine andere Attributänderung, wird der Avatar des Benutzers durch inkrementelle Synchronisierung nicht in der Cloud aktualisiert.
- Konfigurationsänderungen in Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.

Zuweisen von Webex-Diensten zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub

Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco Directory Connector in Control Hub abgeschlossen haben, können Sie mit Control Hub allen Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Änderungen am Benutzerkonto vornehmen.

Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie mithilfe von Methoden in Control Hub Webex-Dienstlizenzen allen Benutzern, einzelnen Benutzern, über die CSV-Massenvorlage oder automatisch neuen Benutzern zuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Änderungen am Benutzerkonto vornehmen.

Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken , wenn Sie Ihre Benutzer direkt kontaktieren möchten.

Vorbereitungen

Sie müssen eine Lizenzvorlage automatisch zuweisen einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Führen Sie einen Probelauf für die Synchronisierung Ihrer Active Directory-Benutzer durch.
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung Ihrer Active Directory-Benutzer durch.

Zum Zeitpunkt der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine standardmäßige Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreichen Abschluss der automatischen Zuweisung.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Benutzer, klicken Sie Benutzer verwalten, wählen Alle synchronisierten Benutzer ändern, und klicken Sie dann auf Nächster.

2

Wählen Sie eine Option:

Dienstlizenzen in Control Hub für einzelne Benutzer bearbeiten – Benutzer manuell ändern.
Ändern von Benutzern in Control Hub mit der CSV-Vorlage – Ändern Sie Benutzer in einem Massenvorgang.

Nächste Schritte

Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung zum Beitreten und Herunterladen von Webex gesendet.
Wenn Sie dieselben Webex-Dienste für alle Ihre Benutzer ausgewählt haben, können Sie die Lizenz anschließend einzeln oder gesammelt ändern.

Weitere Informationen

Möglichkeiten zum Hinzufügen und Verwalten von Benutzern in Ihrer Organisation

Bekannte Probleme mit Directory Connector

Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das den Directory Connector betrifft. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
Bei allen Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), gibt Control Hub die Änderung sofort wieder, wenn Sie die Benutzeransicht aktualisieren, aber die Webex-App gibt die Änderungen 72 Stunden nach der Synchronisierung wieder.

Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie folgende Anweisungen ausführen: Windows oder Mac .
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, klingelt der Anruf zu diesem Zeitpunkt unbegrenzt.

Webex-App-Benutzer verwalten

Durchführen einer inkrementellen Synchronisierung

Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen Änderungen an der Benutzerattributierung und den Zeitpunkt, an dem ein Benutzer hinzugefügt oder gelöscht wird.

Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie Ihre anfängliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.

Vorbereitungen

Sie müssen eine Lizenzvorlage automatisch zuweisen einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in die Cloud durchführen ):
- Im Fall eines aktualisierten Avatars, aber keine andere Attributänderung, wird der Avatar des Benutzers durch inkrementelle Synchronisierung nicht in der Cloud aktualisiert.
- Bei neuen Konfigurationsänderungen in der Attributzuordnung, Basis-DN, Filter und der Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht, und diese erfordern eine vollständige Synchronisierung.

1

Klicken Sie in Directory Connector auf Dashboard.

Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen.

2

Klicken Sie unter „Aktionen“ auf „Synchronisierungsmodus“ > „Synchronisierung aktivieren“ , falls nicht bereits aktiviert.

Standardmäßig wird eine inkrementelle Synchronisierung auf alle 30 Minuten (ab Version 3.4) oder alle 4 Stunden (ab Version 3.5) festgelegt, Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, wenn Sie eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen basierend auf dem letzten Zeitstempel.

3

Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell.

Bei allen Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), gibt Control Hub die Änderung sofort wieder, wenn Sie die Benutzeransicht aktualisieren, aber die Webex-App gibt die Änderungen 72 Stunden nach der Synchronisierung wieder.

Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie folgende Anweisungen ausführen: Windows oder Mac .

Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase.
Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert.
Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.

4

Um Informationen zu Fehlern zu erhalten, klicken Sie auf Ereignisanzeige starten in der Symbolleiste Aktionen , um die Fehlerprotokolle anzuzeigen.

Nächste Schritte

Wenn Sie mehrere Domänen haben, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.

Versehentlich gelöschte Benutzer wiederherstellen

Der Directory Connector verfügt über Kontrollmechanismen, um eine unbeabsichtigte Löschung von Benutzern zu verhindern. Leider kann es passieren, dass es zu Unglücksfällen kommt. Möglicherweise haben Sie einen LDAP -Filter in Active Directory falsch konfiguriert, der bei der Synchronisierung mit der Cloud einige Benutzer löschte. Die Funktion zum sanften Löschen kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.

Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, z. B. aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung vom Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie eine nicht übereinstimmende Objekte bemerken oder feststellen, dass Benutzer gelöscht wurden, können Sie sie wiederherstellen, wenn Sie schnell handeln.

Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer für bis zu 7 Tage bei. Während dieses Zeitraums können Sie den Cisco Directory Connector weiterhin verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so schnell wie möglich wiederherzustellen.

Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nicht nach 7 Tagen gelöscht.

1	Melden Sie sich bei Control Hub an.
2	Navigieren Sie zu Benutzer und bestätigen Sie, dass ein bestimmtes Benutzerkonto inaktiv oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub .
3	Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer mit einem inaktiven Status bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Ziel des Directory Connectors ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu erstellen.
4	Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten in Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und ihrer Dienstzuweisungen.

Nächste Schritte

Zurück zu Control Hub, gehen Sie zu Verwaltung > Benutzer , und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.

Benutzer nach weichem Löschen endgültig löschen

Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung weich gelöscht wurden, dauerhaft löschen.

1	Nachdem ein Probelauf abgeschlossen ist, wählen Sie Weich gelöschte Objekte .
2	Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten.
3	Wählen Sie Fertig aus.

Nächste Schritte

Bei der nächsten Synchronisierung werden die Benutzer, die Sie überprüft haben, dauerhaft gelöscht.

E-Mail-Adresse der Webex-App ändern

Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. In diesem Verfahren wird beschrieben, wie Sie eine Webex-App-E-Mail-Adresse für eine einzelne Domäne und einen Prozess zum Ändern der Domäne ändern.

Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto, und die Bereiche und anderen Daten des Benutzers in der Cloud gehen verloren.

So ändern Sie die E-Mail-Adressen der Benutzer, ohne die Domäne zu ändern:

Öffnen Sie das Benutzerkonto (Beispiel, user1@example.com) in Active Directory und ändern Sie die E-Mail-Adresse (Beispiel, user2@example.com).

Setzen Sie die Synchronisierung auf dem Directory Connector fort.

Nach der nächsten Synchronisierung werden die Änderungen in Ihrer Benutzerliste in Control Hub und für Benutzer in der Webex-App nach der Aktualisierung des Caches angezeigt.

Bei dieser Methode gehen keine Daten oder Bereiche verloren. Die eindeutige Kennung des Benutzers wird nach der ersten Synchronisierung in der Cloud festgelegt. Alle nachfolgenden Synchronisierungen basieren auf dieser Kennung.

In einer Bereitstellung mit mehreren Domänen mit Directory Connector können Sie die E-Mail-Adressen der Benutzer ändern, während Sie die Domäne ändern (siehe example1.com, die alte Domäne, und example2.com, die neue Domäne):

Beachten Sie für das alte Benutzerkonto (user1@example1.com) das Active Directory-Attribut, das dem uid Cloud-Attribut. Sie müssen denselben Active Directory-Wert für das neue Konto verwenden. Für dieses Beispiel verwenden wir user1@example1.com als lokales Attribut für die Zuordnung zu uid in der Cloud.
Halten Sie die Synchronisierung auf dem Directory Connector für example1.com- und example2.com-Domänen an.
Erstellen Sie ein neues Benutzerkonto in example2.com und verwenden Sie das gleiche Attribut von oben. (Beispiel: user1@example1.com).

Setzen Sie die Synchronisierung im Directory Connector für example2.com fort.

Bevor Sie fortfahren, überprüfen Sie, ob das Konto user1@example2.com im Control Hub synchronisiert wird. Wir empfehlen, den Benutzer anzuweisen, die E-Mail-Änderung in der Webex-App zu überprüfen und alle Daten (Bereiche, Nachrichten, Meetings, Dateien usw.) aufzubewahren.

Bei dieser Methode gehen keine Daten oder Bereiche verloren. Im neuen Benutzerkonto müssen Sie jedoch sicherstellen, dass das Active Directory-Attribut, das dem uid-Attribut der Cloud zugeordnet ist, aus dem alten Benutzerkonto beibehalten wird. Wenn Sie den Active Directory-Wert ändern, werden die Daten des alten Kontos für das neue Konto nicht beibehalten.

Nachdem Sie überprüft haben, ob die E-Mail-Adresse geändert wurde und die Daten intakt sind, löschen Sie das alte Benutzerkonto auf example1.com und setzen Sie die Synchronisierung mit Directory Connector für example1.com fort.

Zu diesem Zeitpunkt können Sie die E-Mail-Adresse in der neuen Active Directory-Domäne für user1@example2.com sicher aktualisieren.

Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch erneut mit der Cloud synchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung in „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten .

Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie die E-Mail-Adressen der Webex-App auf der Seite „Kontoeinstellungen“ ändern. Weitere Informationen zum Ändern der E-Mail-Adresse für Ihr Konto finden Sie unter „Ändern der E-Mail-Adresse für Ihr Konto“.

Active Directory-Domäne ändern

Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.

1

Richten Sie eine neue Active Directory (AD)-Domäne ein.

2

Deaktivieren Sie die Synchronisierungen für alle Konnektoren.

3

Deinstallieren Sie alle Konnektoren.

4

Öffnen Sie einen Fall, um die Domäne zu ändern.

Stellen Sie bei der Einreichung des Falls sicher, dass Sie das Entfernen der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern.

Bevor Sie einen Fall öffnen, um die Domäne zu ändern, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall behoben wird.

5

Nachdem der Fall behoben ist:

Installieren Sie den Directory Connector auf demselben Server wie den mit der neuen Active Directory-Domäne.
Konfigurieren Sie den Directory Connector so, dass er auf die neue Active Directory-Domäne verweist.

Wenn in Control Hub ( https://admin.webex.com) Benutzer vorhanden sind, stellen Sie sicher, dass Benutzer mit übereinstimmenden E-Mail-Adressen auch in Active Directory vorhanden sind. Wenn Ihre Organisation den softDelete Umschalten in DirSync, Benutzer-E-Mail-Adressen, die sich in Control Hub, aber nicht in Active Directory Risiko Löschung.

Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen.

Domänenanspruch

Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass jedes Sideboarding-Konto in der kostenpflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können einen Domänenanspruch nur über einen Support-Fall durchführen (siehe Link unten für weitere Informationen).

Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, einen eingeladenen Benutzer zu einem Webex-App-Bereich hinzuzufügen, besteht darin, das Konto zuerst über den Directory Connector in Control Hub bereitzustellen.

Weitere Informationen

Domänen verwalten

Konvertieren von Benutzern der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis

Sie können im Webex-App-Verzeichnis nur eindeutige E-Mail-Adressen verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App angemeldet haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Zum Verwalten der Benutzer in dieser Organisation mithilfe des Directory Connectors migrieren (konvertieren) Sie sie in die Kunden-Organisation, bevor Sie den Directory Connector aktivieren. Anschließend fügen Sie die Benutzer mit der genauen E-Mail-Adresse zu Active Directory hinzu und synchronisieren sie mit der Cloud.

Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.

Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung <email address=""> konnte nicht konvertiert werden. Um das Problem zu vermeiden, können Sie diese Schritte als Problemumgehung verwenden.

Einige beanspruchte Benutzer werden möglicherweise mit dem movedfrom Attribut, wenn Sie einen Probelauf durchführen. Diese Benutzer befinden sich im Deleted Object Liste anstelle von MismatchedObject. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.

Wenn Sie diese Benutzer nicht hinzufügen, werden alle neben Ihnen gelöscht und mit der Cloud synchronisiert.

1

Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector.

2

Befolgen Sie das Verfahren Konvertieren nicht lizenzierter Benutzer in Control Hub , um den Benutzer aus der kostenlosen Verbraucher-Organisation in die Enterprise-Organisation zu konvertieren.

In diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass für alle kürzlich konvertierten Benutzer übereinstimmende Benutzer Active Directory, bevor Sie die Synchronisierung erneut starten. Eine Trockenlaufsynchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind.

3

Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden.

Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und Konten sich nur in Control Hub befinden, wird beim Verzeichniskonnektor die Groß-/Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und user1@example.com).

Wenn konvertierte Benutzer gelöscht werden, verlieren sie alle ihre Webex-App-Bereiche.

4

Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren.

Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht überprüft haben. Wenn Sie beispielsweise die Vorlage für die automatische Lizenzzuweisung aktiviert und dann den Directory Connector ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.

Benutzerkonten der Sideboarding-Webex-App

Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App eingeladen haben und der eingeladene Benutzer kein Webex-App-Konto hat, wird ein Konto für ihn erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.

Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren .

Format des Webex-App-Benutzernamens nach der Verzeichnissynchronisierung ändern

Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.

Nach der Verzeichnissynchronisierung kann es passieren, dass Benutzernamen im Format <lastName, firstName=""> angezeigt werden.

Dieser Benutzername kann angezeigt werden, wenn die displayName-Attribut in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut zugeordnet ist zu displayName in der Cloud werden Namen im Format <lastName, firstName=""> in Control Hub angezeigt.

So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: Active Directory-Attribut zuordnen givenName sn(oder sn givenName) bis displayName in Cisco Cloud-Attributnamen.

Alternativ dazu das Attribut zuordnen sn givenName bis displayName:

Sie können auch die Option Attribut anpassen verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck zuordnen möchten, um displayName.

Geben Sie beispielsweise givenName + "" + sn(Vorname, Leerzeichen, Nachname) als Ausdruck. Dadurch werden die beiden Attribute in Active Directory zugeordnet zu displayName in der Cloud.

Zulassen, dass Benutzer Anzeigenamen in Webex Meetings ändern

Sie können die Zuordnung der displayName Attribut von der Synchronisierung in die Cloud im Directory Connector, wenn Sie zulassen möchten, dass Benutzer ihre bevorzugten Anzeigenamen bearbeiten können. Benutzer können anstelle ihres Vor- und Nachnamens einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattribute-Zuordnung aus.
2	Wählen Sie displayName unter Cisco Cloud-Attributname .
3	Wählen Sie Dieses Attribut nicht synchronisieren .

Nächste Schritte

Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.

Fehlerbehebung beim Directory Connector

Upgrade auf die neueste Softwareversion

Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie nicht auf die neueste verfügbare Version aktualisieren, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische Anforderung TLS 1.2 nicht unterstützt.

Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.

Obwohl Sie Connector-Software-Updates manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades einrichten zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.

1	Klicken Sie entweder in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten.
2	Befolgen Sie die Anweisungen, um das Upgrade durchzuführen.
3	Starten Sie den Connector neu und melden Sie sich mit Ihren Administratoranmeldeinformationen an.
4	Überprüfen Sie die Versionsnummer der Software unter Hilfe > Info .

Nächste Schritte

Für eine Neuinstallation von Directory Connector können Sie die ZIP-Datei herunterladen und die Installationsschritte in diesem Handbuch befolgen.

Konfigurieren von allgemeinen Einstellungen für Directory Connector

Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.

1

Wechseln Sie vom Directory Connector zu Konfiguration und klicken Sie auf Allgemein.

2

Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird.

3

Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen:

Info (Standard) – Zeigt Informationsmeldungen an, die die Funktionsweise der Anwendung auf einer hohen Ebene dokumentieren. Verwenden Sie diese Einstellung, wenn Sie nach allen vollständigen Synchronisierungen Berichte erhalten möchten.
Warnung – Zeigt potenziell problematische Situationen an.
Debug – Zeigt ausführliche Informationsereignisse an, die hauptsächlich für das Debugging einer Anwendung nützlich sind. Wenn Sie ein Problem feststellen, legen Sie diese Protokollebene fest und senden Sie das Ereignisprotokoll an den Support, wenn Sie einen Fall erstellen.
Fehler – Zeigt Fehlerereignisse an, nach denen die Anwendung möglicherweise dennoch fortgesetzt werden kann. Wenn Sie diese Option auswählen, werden Synchronisierungsberichte nur gesendet, wenn Fehler gemeldet werden.

Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail gesendet wird. Wenn Sie die Protokollebene auf „Fehler“ festlegen, werden im Synchronisierungsbericht nur Fehler gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“, dann erhalten Sie Synchronisierungsberichte nach vollständiger Synchronisierung. (Beachten Sie, dass bei inkrementeller Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.)

4

Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen.

Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen.

5

Aktivieren Sie das Kontrollkästchen Automatisches Upgrade auf die neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen.

Es ist immer wichtig, Ihre Cisco Directory Connector-Software auf dem neuesten Stand zu halten. Wir empfehlen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.

6

Überprüfen Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden.

Wenn Sie „LDAP über SSL“ nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll.

LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle, die zwischen einer Anwendung und dem Domänencontroller innerhalb der Infrastruktur verwendet werden. Die LDAPS-Kommunikation ist verschlüsselt und sicher.

Connector-Richtlinie konfigurieren

Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.

Sie haben beispielsweise Folgendes festgelegt: 1 als Schwellenwert zum Löschen. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.

1

Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus.

2

Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten.

Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.

3

Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20.

Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen.

4

Klicken Sie auf Übernehmen.

Zeitplan für Connector festlegen

Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie dann Zeitplan .
2	Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig wird eine inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben.
3	Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden.
4	Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll.
5	Geben Sie einen Wert für Failover-Intervall in Minuten an.
6	Klicken Sie auf Übernehmen.

Mehrere Domänenszenarien

Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.

Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.

Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.

Beispielanwendungen für mehrere Domänen

Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.

Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.

Synchronisierung auf example1.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in angezeigt, user1 und group1 dagegen nicht.https://admin.webex.com

Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.

User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.

Synchronisierung für example1.com und example2.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in angezeigt, user1 und group1 dagegen nicht.https://admin.webex.com

Stellen Sie sich das folgende Szenario vor:

Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in werden nicht geändert.https://admin.webex.com User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in werden nicht geändert.https://admin.webex.com
Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in aufgelistet.https://admin.webex.com

Neue Domäne synchronisieren Und Vorhandene Domäne beibehalten

Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, stellen Sie sicher, dass Sie den Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden, und die Benutzerinformationen unter Domäne (A) bleiben davon unberührt.

Jede Domäne muss über einen eigenen aktiven Connector verfügen. Berücksichtigen Sie zwei Domänen mit der folgenden Einrichtung: Domäne A mit Connectors (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen Domäne A. In diesem Szenario ist ein Connector aktiv und der andere ist Standby (HA). Bei diesem Design wird die Domäne synchronisiert, da immer ein Konnektor aktiv ist. cb1 ist also der aktive Connector für Domäne B, da Domäne A bereits einen aktiven Connector (ca1 oder ca2) hat.

Domänenpriorität festlegen

Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.

Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.

Vorbereitungen

Um Fehler zu vermeiden, installieren Sie die neueste Version des Cisco Directory Connector oder führen Sie ein Upgrade auf diese durch. Sie steht unter zum Download bereit.https://admin.webex.com

1

Klicken Sie im Cisco Directory Connector auf Dashboard .

2

Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen.

3

Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern.

Die Domänen werden in absteigender Reihenfolge sortiert.

Domäne wechseln

Verwenden Sie dieses Verfahren, um den Cisco Directory Connector mit einer anderen Domäne zu verbinden.

Vorbereitungen

Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
Um Fehler zu vermeiden, installieren Sie die neueste Version des Cisco Directory Connector oder führen Sie ein Upgrade auf diese durch. Sie müssen es von Control Hub herunterladen .

1	Klicken Sie im Cisco Directory Connector auf Dashboard .
2	Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln.
3	Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, andere Domänen im Connector werden nicht registriert und die Connector-Informationen auf diesem Computer werden gelöscht.
4	Melden Sie sich erneut beim Cisco Directory Connector an und verbinden Sie die Domäne erneut.

Verzeichnissynchronisation deaktivieren

Wenn Sie die Synchronisierung über Directory Connector beenden müssen, können Sie sie vorübergehend über Control Hub deaktivieren.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Management > Organisationseinstellungen , blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:

Klicken Sie auf mehrund klicken Sie dann auf Deaktivieren neben der Connector-Instanz, die Sie deaktivieren möchten.
Klicken Sie auf Alle Verzeichnissynchronisierungen deaktivieren , um die Synchronisierung aller Connector-Instanzen zu beenden.

2

Nachdem Sie die Eingabeaufforderung gelesen haben, klicken Sie auf Deaktivieren .

Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren.

Benutzerattribute-Zuordnung entfernen

Verwenden Sie Directory Connector, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Gehen Sie zu „Aktionen“ und klicken Sie auf Dienstprogramme > Benutzerattribute-Zuordnung entfernen .
3	Wählen Sie die Zuordnung aus, die aus der Liste Attributname entfernt werden soll.
4	Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus: Nur mit Verzeichniskonnektor synchronisierte Benutzer : die Zuordnung wird nur von Benutzern entfernt, die der Directory Connector zuvor synchronisiert hat. Alle Benutzer : wird die Zuordnung von allen Active Directory-Benutzern entfernt.
5	Klicken Sie auf Übernehmen.

Profilbilder verwalten

Verwenden Sie Directory Connector, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Gehen Sie zu „Aktionen“ und klicken Sie auf Dienstprogramme > Profilbilder verwalten .
3	Wählen Sie unter Aktionen eine der folgenden Optionen aus: Entfernen Sie Profilbilder für leere Avatar-Quellen : Wenn das Active Directory-Profilbild leer ist, stellt diese Option sicher, dass die Benutzerprofilbilder aus der Cloud entfernt werden, selbst wenn der Benutzer zuvor sein eigenes Bild in Webex hochgeladen hat. Laden Sie das Bild aus der synchronisierten Quelle erneut hoch, um zwischengespeicherte Bilder zu überschreiben : Directory Connector verwendet dasselbe Active Directory wie zuvor, um die Profilbilder für alle Benutzer zu aktualisieren. Dadurch wird sichergestellt, dass es keinen Konflikt zwischen den Profilbildern in Active Directory und der Cloud gibt.
4	Klicken Sie auf Übernehmen.

Directory Connector deinstallieren und deaktivieren

Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:

Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
Sie möchten die Domäne ändern und einen anderen Connector installieren.

Vorbereitungen

Möglicherweise sind mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder die Synchronisierung mehrerer Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie Directory Connector deinstallieren.

1	Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen.
2	Klicken Sie in der Programmliste auf Directory Connector , wählen Sie Deinstallieren und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen.
3	Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Management > Organisationseinstellungen , blättern Sie zu Verzeichnissynchronisierung , klicken Sie auf mehrund klicken Sie dann auf Deaktivieren neben der Directory Connector-Instanz, die Sie deinstallieren möchten.
4	Nachdem Sie die Eingabeaufforderung gelesen haben, klicken Sie auf Deaktivieren . Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung.

Das Diagnosetool ausführen

Sie können das integrierte Diagnosetool verwenden, um Fehler bei Ihrer Directory Connector-Bereitstellung zu beheben. Dieses Tool ist ab Directory Connector 3.4 installiert.

Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP , damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.

So führen Sie Tests für Active Directory-Domänendienste aus:
1. Navigieren Sie zum Startmenü, suchen Sie Cisco Directory Connector , klicken Sie auf Cisco Directory - Diagnostic . Klicken Sie auf die Registerkarte AD-DS , geben Sie Ihre Domäne ein und klicken Sie dann auf Domänencontroller laden .
2. Wählen Sie einen Domänencontroller aus der Liste aus.
  
  Ändern Sie den Eintrag nicht später, da die inkrementelle Suche immer auf demselben Domänencontroller ausgeführt werden muss.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie weitere Filter im Abschnitt Active Directory Abfragen , wie z. B. Benutzer und Gruppe Objekte und Suchfilter.
5. Aktivieren Sie Auto Fill Cookie , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Wenn der Test abgeschlossen ist, klicken Sie auf Speichern , um einen Protokolleintrag zu speichern, den Sie dem Support-Team zur Analyse senden können, wenn Sie ein Ticket öffnen.
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
1. Navigieren Sie zum Startmenü, suchen Sie Cisco Directory Connector , klicken Sie auf Cisco Directory - Diagnostic . Klicken Sie auf die Registerkarte AD-LDS , geben Sie Ihre Host und Port ein , und klicken Sie dann auf Partitionen laden .
2. Wählen Sie eine Partition aus der Liste und klicken Sie dann auf Verbinden .
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie weitere Filter im Abschnitt Active Directory Abfragen , wie Benutzer , UserProxy und UserProxyFull und Suchfilter.
5. Aktivieren Sie Auto Fill Cookie , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Wenn der Test abgeschlossen ist, klicken Sie auf Speichern , um einen Protokolleintrag zu speichern, den Sie dem Support-Team zur Analyse senden können, wenn Sie ein Ticket öffnen.
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
1. Navigieren Sie zum Startmenü, suchen Sie Cisco Directory Connector , klicken Sie auf Cisco Directory - Diagnostic . Klicken Sie auf die Registerkarte LDAP RAW , geben Sie Ihren Root Path , Filter ein, und wählen Sie einen Eintrag aus Attribute und klicken Sie dann auf Partitionen laden .
2. Überprüfen Sie nach Bedarf die folgenden Optionen:
  - ObjectSecurity – Wenn diese Option vorhanden ist, benötigt der Anrufer keine Rechte und kann nur Objekte und Attribute sehen, auf die der Anrufer zugreifen kann. Wenn diese Option nicht verfügbar ist, hat der Anrufer das Recht, Änderungen zu replizieren.
  - ParentsFirst —Stellt sicher, dass alle Eltern der Kinder vor ihren Kindern kommen.
3. Wählen Sie einen Wert für ExtendedDN .
  
  Dieser Wert wird bei einer erweiterten LDAP-Suche verwendet, um eine erweiterte Form von Objekt Distinguished Name anzufordern.
4. Wählen Sie einen Wert für ReferralChasing .
  
  Eine Weiterleitungsjagd wird initiiert, wenn ein Domänencontroller eine Weiterleitung von einer Abfrage zurückgibt – z. B. für Details zu einem Abfrageergebnis, das sich außerhalb des Namespaces befinden kann (z. B. Gruppenmitglieder in einer anderen Domäne oder in einem Forst).
5. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
6. Wenn der Test abgeschlossen ist, klicken Sie auf Speichern , um einen Protokolleintrag zu speichern, den Sie dem Support-Team zur Analyse senden können, wenn Sie ein Ticket öffnen.

Beheben von Problemen im Ciso Directory Connector

Fehlerbehebung und Fehlerbehebungen für Directory Connector

Es kann zu einer Fehlermeldung oder einem anderen Problem im Directory Connector kommen. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet Ihnen der Connector möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. In den folgenden Abschnitten finden Sie Informationen zu Problemen, möglichen Ursachen und vorgeschlagenen Lösungen, die Sie versuchen können, bevor Sie sich an den Support wenden.

Installieren

Directory Connector funktioniert nicht mehr

Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber informiert wurden, dass Ihr Directory Connector nicht funktioniert.

Directory Connector ist möglicherweise nicht korrekt installiert.
Directory Connector wird möglicherweise nicht ausgeführt.
Das Netzwerk ist möglicherweise nicht verfügbar.

Gehen Sie wie folgt vor:

Öffnen Systemsteuerung > Programme und Funktionen . Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
Öffnen Sie den Dienst und suchen Sie nach Cisco DirSync Service. Vergewissern Sie sich, dass der Status „Gestartet“ lautet. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, Zugriff auf das Internet hat.

Fehler bei Neuinstallation

Problem : Wenn Sie nach der Deinstallation eines alten Connectors sofort einen neuen Connector installieren, wird möglicherweise eine Fehlermeldung angezeigt.

Mögliche Ursache: In Windows Server 2012 benötigt der Deinstallations-Client Zeit, um das Dienstkonto aus der Dienstliste zu löschen.

Lösung: Versuchen Sie es nach einiger Zeit erneut mit der Installation.

Anmelden

Directory Connector stürzt während der SSO-Anmeldung ab

Problem

Der Verzeichniskonnektor kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite aus eingegeben haben.

Lösung

Gehen Sie wie folgt vor:

Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:

Rufen Sie den Domänencontroller auf und öffnen Sie die Gruppenrichtlinienverwaltung (gpedit.msc).
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie „Bearbeiten“ .

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:

Gehen Sie zu Computerkonfiguration > Voreinstellungen > Windows-Einstellungen, Rechtsklick Registrierung, wählen Neuund dann Registrierungselement.
Für den Schlüsselpfad , geben oder navigieren Sie zu HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main .
Geben Sie Disable Script Debugger für Wert , und geben Sie no für Wertedaten .

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:

Gehen Sie zu Computerkonfiguration > Voreinstellungen > Windows-Einstellungen, Rechtsklick Registrierung, wählen Neuund dann Registrierungselement.
Für den Tastenpfad , geben oder navigieren Sie zu HKEY _ CURRENT _ USER\SOFTWARE\Microsoft\Internet Explorer\Main .
Geben Sie Disable Script Debugger für Wert , und geben Sie no für Wertedaten .

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Die Änderungen werden nach der Ausführung wirksam. gpupdate /force, die Maschine neu gestartet wurde (bei Maschinenänderungen) oder der Benutzer sich erneut anmeldet (bei Benutzeränderungen).

Cisco DirSync Service Connector konnte nicht registriert werden

Problem

Anmeldung fehlgeschlagen und diese Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“

Lösung

Das Windows-System, auf dem Directory Connector installiert ist, muss Active Directory-Mitglied sein.

Keine Anmeldeseite wird angezeigt

Problem

Sie haben den Directory Connector geöffnet, und die Anmeldeseite wurde nicht angezeigt.

Lösung

Gehen Sie wie folgt vor:

Gehen Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie es mit dem Link in anderen Browsern wie Chrome und Firefox.
Wenn Internet Explorer den Link nicht aufrufen kann, aber andere Browser können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS in Internet Explorer aktivieren .)

Aufforderung zur Anmeldung wird angezeigt

Problem

Es wird eine Aufforderung angezeigt, in der Sie aufgefordert werden, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu übergeben.

Mögliche Ursache

Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung unbeaufsichtigt mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.

Lösung

Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Weiterleitung der Sicherheit angeben.

Verbindung zum Remote-Server kann nicht hergestellt werden

Problem

Während des normalen Betriebs wird die Fehlermeldung angezeigt: "Keine Verbindung zum Remote-Server möglich."

Mögliche Ursache

Möglicherweise haben Sie Proxy-Probleme, die behoben werden müssen.

Lösung

Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung des Dienstkontos .

Konnektor kann nicht registriert werden

Problem

Ihnen wird die Fehlermeldung „Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“

Mögliche Ursache

In den meisten Fällen liegt das Problem daran, dass der Directory Connector kein Privileg hat, sich mit dem LDAP-Stammkontext zu verbinden.

Lösung

Gehen Sie wie folgt vor:

Führen Sie eine Eingabeaufforderung (cmd) aus und geben Sie dann ldp.exe ein.
Klicken Sie auf Connection > Bind , wählen Sie Bind als aktuell angemeldeter Benutzer , und klicken Sie dann auf OK .
Klicken Sie auf View > Tree , geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK .
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall mit Support.

Synchronisation

Avatare nicht synchronisiert

Problem

Der Cisco Directory Connector hat Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatardaten erfolgreich synchronisiert.

Mögliche Ursache

Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache sie und vermeidet ein erneutes Resending, um Bandbreite zu sparen.

Lösung

Löschen Sie den lokalen Cache, indem Sie folgende Schritte ausführen:

Gehen Sie zu C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Löschen DirSyncPluginAvatar.dll-cache.bin .
Führen Sie die Avatar-Synchronisierung über den Cisco Directory Connector erneut aus.

Widersprüchliche Benutzer-E-Mail-Konten

Problem

Die Synchronisierungsergebnisse können widersprüchliche Benutzer-E-Mail-Konten anzeigen.

Wenn Benutzer die kostenlose Version der Webex-App ausprobiert haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucher-Organisation.
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.

Lösung

Gehen Sie wie folgt vor:

Befolgen Sie diese Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
1. Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
2. Deaktivieren Sie Cisco Directory Connector vorübergehend.
3. Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucher-Organisation vorhanden sind. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
4. Führen Sie einen Probelauf im Cisco Directory Connector aus, und aktivieren Sie dann die Verzeichnissynchronisierung erneut.
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen doppelt.

Konvertierter Benutzer als inaktiv markiert

Problem

In Ihrer Umgebung mit synchronisiertem Verzeichnis haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, aber der konvertierte Benutzer kann sich nicht bei der Webex-App anmelden.

Mögliche Ursache

Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer 30 Tage lang als Sicherheitskonformitätsmaßnahme als inaktiv markiert. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des 30-tägigen Zeitraums zum Löschen markiert. Diese Situation tritt auf, weil sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.

Lösung

Sie müssen handeln, wenn Sie nicht möchten, dass das Benutzerkonto gelöscht wird. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.

Inkrementelle Synchronisierung fehlgeschlagen

Problem

Eine inkrementelle Synchronisierung schlägt fehl.

Dieses Problem kann unter den folgenden Bedingungen auf Windows Server 2008 R2 auftreten:

Sie unterstützen inkrementelle Wertaktualisierungen.
Der Filter, den Sie verwenden, verweist auf ein verknüpftes Werteattribut.
Die Ergebniswerte dieses Attributs wurden seit der letzten vollständigen Synchronisierung aktualisiert.

Lösung

Windows Server 2008 R2 hat einen Fehler, der mit diesem Problem zusammenhängt. Der Fehler wurde 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihr Windows Server auf mindestens 2012 R2 zu aktualisieren.

Ungültiger Wert für Attribut

Problem

Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].

Mögliche Ursache

Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.

Lösung

Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.

Übereinstimmende zu löschende Benutzer

Problem

Die übereinstimmenden Benutzer werden als zu löschend markiert.

Wenn Sie einen Probelauf zur Synchronisierung durchführen, um die Daten zwischen Active Directory und der Cloud zu überprüfen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Konten angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.

Lösung

Wählen Sie eine geeignete Lösung aus:

Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen anschließend erneut auszuführen, können Sie Directory Connector für die Korrektur verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer von lokalem AD mit der Cloud zu synchronisieren.
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Fall beim Support.

Fehlendes Attribut

Problem

Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.

Mögliche Ursache

Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsmitarbeiter,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.

Lösung

Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.

Verschachtelte Gruppe wird nicht synchronisiert

Problem

Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.

Mögliche Ursache

Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Zum Beispiel: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)

Lösung

Sie müssen den Filter neu konfigurieren, der Gruppen synchronisiert. Zum Beispiel: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)

Konflikt bei Benutzerbenennung

Problem

Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und vom Benutzertyp [user_type].

Mögliche Ursache

Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.

Lösung

Erstellen Sie einen Benutzer in Ihrem Active Directory mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.

Control Hub

Benutzerliste fehlt in Control Hub

Problem

Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird die Benutzerliste in Control Hub möglicherweise nicht angezeigt.

Lösung

Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Navigieren Sie in Control Hub zu Benutzer , klicken Sie auf Suchen und geben Sie dann Suchkriterien ein, um einen bestimmten Benutzer zu suchen.

Gruppen werden nicht mit Control Hub synchronisiert

Problem

Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.

Mögliche Ursache

Die Gruppe ist nicht markiert als isCriticalSystemObject in Active Directory.

Lösung

Stellen Sie sicher, dass das Attribut isCriticalSystemObject ist festgelegt auf TRUE in Active Directory.

Problembehandlung für den Directory Connector aktivieren

Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.

Die Protokolldateien sind: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1

Führen Sie die services.msc Datei aus, um das ausgeführte Konto für den Directory Connector-Dienst des lokalen Systems in ein Domänenkonto zu ändern, das über Zugriffsberechtigungen für Ihre AD DS oder AD LDS verfügt.

2

Starten Sie den Dienst neu.

Weitere Informationen finden Sie unter Starten von Diensten.

3

Klicken Sie im Directory Connector auf Dashboard .

4

Gehen Sie zu „Aktionen“ und klicken Sie auf Dienstprogramme > Fehlerbehebung .

5

Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können.

6

Prüfen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt.

Der Protokollordner speichert nur Dateien der letzten 3 Tage. Der Inhalt in den Protokolldateien stimmt mit der Ereignisprotokollausgabe an das System überein.

7

Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten.

8

Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind.

Weitere Informationen

Support kontaktieren

Starten der Ereignisanzeige

Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.

1	Wechseln Sie vom Directory Connector zu Dashboard und klicken Sie auf Aktion > Ereignisanzeige starten . Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails.
2	Wechseln Sie von der Ereignisanzeige zu Anwendungen und Dienstprotokolle > Cisco Directory Connector .
3	Klicken Sie unter „Aktionen“ auf „Alle Events speichern unter“ , um alle Protokolle als einzelne Ereignisdatei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren.

Nächste Schritte

Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und hängen Sie die Ereignisdatei an Ihren Fall an.

In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Unterstützung bei der Verwaltung des Netzwerkverkehrs zu erhalten.

TLS in Internet Explorer aktivieren

Wenn Sie Anbieter für die einmalige Anmeldung (Single Sign-On, SSO) gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:

Fehler bei der Anmeldung beim Dienst
Im Skript auf dieser Seite ist ein Fehler aufgetreten

Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.

1	Öffnen Sie Internet Explorer, und wählen Sie dann „Extras“ . Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die Sie aktivieren möchten.Klicken Sie auf OK Browser schließen und erneut öffnen
2	Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , blättern Sie zu Sicherheit .
3	Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden und klicken Sie dann auf OK .
4	Starten Sie Ihr System neu, damit die Änderungen wirksam werden.

Anmeldeprobleme für Dienstkonten beheben

Wenn Sie sich nicht beim Cisco Directory Connector anmelden oder keine Synchronisierung durchführen können, versuchen Sie mit diesen Schritten, das Problem zu beheben, bevor Sie sich an den Support wenden.

1

Versuchen Sie, in Ihrem Webbrowser aufzurufen.https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL

2

Wählen Sie je nach den Ergebnissen eine Option:

Wenn Sie den Link nicht über Ihren Browser aufrufen können, überprüfen Sie Ihre Netzwerkeinstellungen. Wenn Sie in Ihrer Umgebung einen Proxy verwenden, überprüfen Sie die Proxy-Einstellungen.
Wenn Sie den Link in Ihrem Browser aufrufen, aber den Cisco Directory Connector nicht öffnen können ( Connector und Popup-Fehlermeldung mit 407 nicht öffnen ), klicken Sie hier , um die neueste Version des Cisco Directory Connector abzurufen.

Wenn Sie den Link in Ihrem Browser aufrufen, aber keine Synchronisierung über den Cisco Directory Connector ausführen können, ändern Sie das Dienstanmeldekonto in Domänenadmin .

Überprüfen Sie, ob das Konto, das Sie für die Anmeldung beim Windows-System verwendet haben, dasselbe Konto ist, das Sie unter „Cisco DirSync-Dienst“ festgelegt haben. Wenn es sich um 2 verschiedene Konten handelt, stellen Sie sicher, dass beide Konten https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL besuchen können. Wenn Ihre Umgebung einen Proxy verwendet, stellen Sie sicher, dass beide Konten für den Proxy in Internet Explorer konfiguriert sind und erfolgreich auf https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL zugreifen können.

3

Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (der in Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar-Daten und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und Authentifizierung für das Windows-Anmeldekonto.

Weitere Informationen

Support kontaktieren

Überprüfen SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für sichere dynamische Links-Bibliotheken (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und platziert das aktuelle Verzeichnis des Benutzers später in der DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt das gleiche wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) in das aktuelle Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, vor der Verwendung dieser Schritte ein Backup Ihrer Registrierung zu erstellen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ „regedit“ ein, und drücken Sie dann die Eingabetaste.

2

Gehen Sie zu HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager .

3

Wählen Sie eine Option:

SafeDllSearchMode wird nicht aufgelistet —Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt – Stellen Sie sicher, dass der Wert auf 1 eingestellt ist .

Weitere Informationen finden Sie unter Dynamic Link Library Search Order .

Übersicht über Cisco Directory Connector

Directory Connector – Übersicht

Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.

Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur zentralen Informationsquelle wird. Wenn Sie eine Änderung lokal vornehmen, wird diese in die Cloud kopiert.

In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:

Funktion	Beschreibung und Vorteil
Benutzerfreundliches Dashboard	Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden.
Probelauf, bevor die Synchronisierung in die Cloud durchgeführt wird	Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor sie in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen.
Vollständige und inkrementelle Synchronisierung	Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen.
Synchronisieren mehrerer Domänen (einzelne Gesamtstruktur oder mehrere Gesamtstrukturen)	Directory Connector unterstützt mehrere Domänen entweder in einer einzelnen Gesamtstruktur oder in mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Der Control Hub spiegelt den Status wider, indem er den Synchronisierungsstatus für mehrere Directory Connectors anzeigt. Damit können Sie die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Directory Connector in einer Hochverfügbarkeitsbereitstellung deaktivieren.
Geplante Synchronisierung	Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest.
LDAP-Filter (Lightweight Directory Access Protocol)	Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit.
Active Directory-Attributzuordnung	Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um die Cloud zuzuordnen. Die Attribute aus dem Standort bilden verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, Enteprise-Telefonnummern in Webex Teams, Raumressourcen-SIP-Adressen und andere Kontaktkartendaten des Benutzers (Stellenbezeichnung, Abteilung, Manager usw.).
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung	Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud-PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte haben, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten auf ihren Cisco Webex Calling (Cloud-PSTN)-Telefonen oder Raumressourcen durchsuchen. Raumressourcen Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugewiesenen SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Cisco Webex Raumgerät oder Cisco Webex Board angezeigt. Wenn Benutzer eine Suche auf einem Cisco Webex Room-Gerät oder Cisco Webex Board durchführen, werden die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde. Anrufe Benutzer können zusätzlich zu den Webex-App-Kontakten Unternehmenskontakte anrufen. Über den Directory Connector werden die Unternehmensbenutzer und ihre Telefonnummern zu Ihrer Webex-Organisation hinzugefügt. Sie müssen nicht für Webex-Dienste lizenziert sein, damit diese Funktion funktioniert. Benutzer, die nicht für Webex lizenziert sind, werden in der Verzeichnissuche angezeigt, die auf dem Telefon eines Cisco Webex Calling-Benutzers durchgeführt wird, solange eine URI oder eine Telefonnummer über den Verzeichniskonnektor mit Webex synchronisiert ist. Die Anrufe funktionieren gleich für beide Benutzertypen. Außerdem bietet dieses Feature eine Bearbeitungsfunktion für Kontakte, die nur eine Telefonnummer enthalten. Für die Kontakte in den Suchergebnissen gilt Folgendes: Wenn Kontakte eine wählbare URI (Webex-SIP-Adresse) und eine Telefonnummer haben, wird die URI angezeigt, die mit dem Kontakt verknüpft ist. Wenn ein Kontakt keine wählbare URI, dafür jedoch eine Telefonnummer hat, wird die Telefonnummer angezeigt. Außerdem wird ein Softkey zum Bearbeiten der gewählten Nummer angezeigt. Kontakte ohne URI oder Telefonnummer werden nicht im Verzeichnis angezeigt.
Ereignisanzeige	Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen.
Diagnose-Tool und Fehlerbehebung	Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können.
Automatisches Upgrade	Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird.
Hohe Verfügbarkeit	Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt.

Directory Connector ist in drei Bereiche unterteilt:

Control Hub ist die zentrale Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und die Einzelanmeldung (SSO) konfigurieren, wenn Ihre Benutzer sich über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App versenden möchten.
Die Directory Connector-Verwaltungsoberfläche ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und die Directory Connector-Dienste zu konfigurieren.
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory ab, um sie mit dem Connector-Dienst und dem Directory Connector zu synchronisieren.

Weitere Informationen zur Directory Connector-Architektur finden Sie in diesem Diagramm:

Vorbereiten Ihrer Umgebung für den Directory Connector

Anforderungen für den Directory Connector

Windows- und Active Directory-Anforderungen

Sie können Directory Connector auf den folgenden unterstützten Windows-Servern installieren:

Windows Server 2022
Windows Server 2019
Windows Server 2016

Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die das Fix enthält – Windows Server 2012 R2 oder 2016.

Directory Connector wird von den folgenden Active Directory-Diensten unterstützt:

Active Directory 2016

(Directory Connector wird bei Verwendung der neuesten Version von Active Directory unter Windows Server 2019 unterstützt)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Beachten Sie die folgenden zusätzlichen Anforderungen:

Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
- .NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, folgen Sie den Anweisungen unter Aktivieren Sie .NET Framework 3.5 mit dem Assistenten zum Hinzufügen von Rollen und Funktionen.)
- .NET Framework v.4.5 (erforderlich für TLS1.2)
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)

Hardware-Anforderungen

Sie müssen Directory Connector auf einem Computer installieren, auf dem die folgenden Mindestanforderungen an die Hardware erfüllt sind:

8 GB RAM
50 GB Speicherplatz
Keine Mindestanforderung für die CPU

Netzwerk-Anforderungen

Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS-Zugriff (Port 443) auf das Internet verfügt.

Anforderungen der Webex-Organisation

Um von Control Hub aus auf die Directory Connector-Software zugreifen zu können, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem bezahlten Abonnement.
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Ihnen, Folgendes zu tun:
- Fügen Sie Domänen hinzu, überprüfen und optional beanspruchen Sie sie , die die E-Mail-Adressen der Benutzer enthalten, die Sie mit der Cloud synchronisieren möchten.
- Integrieren Sie Ihren Identitätsanbieter (IdP) mit Ihrer Webex-Organisation durch die einmalige Anmeldung (Single Sign-On, SSO).
- Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)

Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.

Installationsanforderungen

In einer Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
Für die Anmeldung beim Connector ist kein Administratorkonto in Active Directory erforderlich. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer wie ein Volladministratorkonto in Control Hub ist.

Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computeranmeldekonto sollte ein Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer sein. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Während der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector für den Zugriff auf Active Directory das lokale Systemkonto. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Stellen Sie sicher, dass der Suchmodus für die Windows Safe Dynamic Link Library (DLL) mit diesem Verfahren aktiviert ist: Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung.
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, sollten Sie Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Computern installieren.

Mehrere Domänenanforderungen

Bevor Sie den Aufgaben im Ablauf der Bereitstellungsaufgabe für den Cisco-Verzeichniskonnektor folgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:

Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.)
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , damit Ihre Organisation in eine große Organisationsliste verschoben wird.
Bei Bedarf können Sie Informationen zu Raumressourcen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.)

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.

Active Directory enthält zwei Arten von Gruppen:

Verteilergruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
Sicherheitsgruppen: Wird verwendet, um Berechtigungen für geteilte Ressourcen zuzuweisen.

Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:

Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienstleistung (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex Licensing usw.).
Verwenden Sie organisationsübergreifende Standard-Benennungskonventionen, um die Identifizierung wichtiger Informationen über eine Gruppe zu erleichtern. Gruppennamen können Details zur Gruppe enthalten, z. B. die Zugriffsstufe, die Art der Ressource, die Sicherheitsstufe, den Gruppenumfang, die E-Mail-Funktion usw. Der Gruppenname „GSG_Webex_Licensing_EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
Organisieren Sie Gruppen auf leicht verständliche Weise, z. B. nach Geografie oder Hierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die automatische Lizenzgruppenvorlage in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für die automatische Lizenzzuweisung einrichten .

Informationen zur Größe

Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Alle Beschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.

Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:

Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsjob dauert nicht so lange wie 50000.)
Netzwerkgeschwindigkeit und Bandbreite.
Systemauslastung und Spezifikationen.

Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.

Da bei der Synchronisierung mehrere Faktoren beteiligt sind und jede Bereitstellung abhängig von den oben genannten Faktoren variiert, können wir keine spezifischen Zeitwerte angeben, die angeben, wie lange eine Objektsynchronisierung dauern wird.

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Webproxy-Integration

Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.

Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector stellt eine Verbindung her und synchronisiert die Benutzer.

Sie können einen der folgenden Ansätze verwenden:

Expliziter Webproxy über Internet Explorer (der Connector erbt die Webproxy-Einstellungen)
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert

Webproxy über den Browser verwenden

Sie können den Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.

Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,

1	Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus.
2	Verweisen Sie die Windows-Instanz, auf die der Connector installiert ist, auf Ihren Webproxy. Der Connector erbt diese Webproxy-Einstellungen.
3	Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu: cloudconnector.webex.com für die Synchronisierung. idbroker.webex.com für die Authentifizierung. idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw. Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.
4	Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu: .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

Webproxy über eine PAC-Datei konfigurieren

Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und die Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.

1

Damit der Connector sich erfolgreich mit der Webex Cloud verbinden und die Benutzerinformationen synchronisieren kann, müssen Sie die Proxy-Authentifizierung für cloudconnector.webex.com in der .pac-Dateikonfiguration für den Host deaktivieren, auf dem der Connector installiert ist.

2

Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:

cloudconnector.webex.com für die Synchronisierung.
idbroker.webex.com für die Authentifizierung.
idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw.

Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt.

Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.

3

Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

NTLM-Proxy

Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.

NTLM-Design

In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.

Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus aus Herausforderung und Antwort:

Ein Benutzer meldet sich über ein Windows-Konto und ein Kennwort auf einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines reinen Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hash-Wert mit dem Hash-Wert des eingegebenen Passworts. Wenn beide gleich sind, wird die Authentifizierung erfolgreich ausgeführt.

Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im reinen Textformat.
Wenn der Server die Anforderung erhält, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Herausforderung auf dem Server gespeichert. Anschließend sendet der Server die Aufforderung im reinen Textformat an den Client.
Sobald der Client die vom Server gesendete Challenge erhält, verschlüsselt der Client die Challenge mit dem in Schritt 1 genannten Hash-Wert. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet er ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: der Kontoname, die verschlüsselte Aufforderung, die der Client gesendet hat, und die ursprüngliche einfache Aufforderung.
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.

Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Dadurch müssen Sie keine weitere Konfiguration abschließen.

Transparenten Proxy konfigurieren

In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.

1	Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann.
2	Bestätigen Sie, dass der Proxy erfolgreich ist: Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt.

Proxy-Authentifizierung festlegen

Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.

Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:

1	Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist.
2	Legen Sie eine geschätzte Bandbreite für diese Verbindung fest (ca. 2 MB/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich.
3	Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie `cloudconnector.webex.com` als Ziel an, das Sie zur Zulassungsliste hinzufügen möchten. Beispiel: `access-list 2000 acl-inside extended permit TCP [IP des Connectors] cloudconnector.webex.com eq https`
4	Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt.
5	Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren.

Verzeichniskonnektor bereitstellen

Ablauf der Bereitstellungsaufgabe des Cisco-Verzeichniskonnektors

Vorbereitungen

Vorbereiten Ihrer Umgebung für den Directory Connector

1	Verzeichniskonnektor installieren In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen. Für eine neue Installation von Directory Connector gehen Sie immer zu Control Hub ( https://admin.webex.com), um die neueste Version der Software abzurufen, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
2	Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administrator-Anmeldeinformationen an und führen Sie die Ersteinrichtung durch.
3	Automatische Upgrades festlegen Es ist immer wichtig, dass Ihre Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
4	Active Directory-Objekte zum Synchronisieren auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.
5	Benutzerattribute zuordnen Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist die *uid.
6	Synchronisieren Sie Verzeichnis-Avatare mit einem der folgenden Verfahren: Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass der Avatar jedes Benutzers angezeigt wird, wenn er sich bei der Anwendung anmeldet. Sie können Avatare von einem Active Directory-Attribut oder einem Ressourcenserver synchronisieren.
7	Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Webex Room-Gerät oder Cisco Webex Board angezeigt.
8	Um Benutzer Aus Active Directory In Control Hub Bereitzustellen, führen Sie die folgenden Schritte aus: Durchführen eines Probelaufs für die Active Directory-Benutzer Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Folgen Sie dieser Sequenz, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wald- oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

Verzeichniskonnektor installieren

In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen.

Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf der Synchronisierung mit mehreren Domänen:

***Flow mehrerer Domänen für Directory Connector***

Vorbereitungen

Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen:

Für die Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxy-Konfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Webproxy Im Browser verwenden
Bei Proxy-NTLM wird Ihnen möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser.

1	Wechseln Sie in Control Hub zu Benutzer > Benutzer verwalten > Verzeichnissynchronisierung aktivieren und wählen Sie Weiter aus.
2	Klicken Sie auf den Link Herunterladen und installieren, um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die .zip-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert. Holen Sie sich für eine Neuinstallation die neueste Version der Software, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
3	Entpacken Sie die MSI-Datei auf dem VMware- oder Windows-Server und führen Sie sie im Setup-Ordner aus, um den Setup-Assistenten zu starten.
4	Klicken Sie auf Weiter, aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Weiter, bis der Bildschirm „Kontotyp“ angezeigt wird.
5	Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto durch: Lokales System – Die Standardoption. Sie können diese Option verwenden, wenn Sie über Internet Explorer einen Proxy konfiguriert haben. Domänenkonto – Verwenden Sie diese Option, wenn der Computer Teil der Domäne ist. Der Directory Connector muss mit Netzwerkdiensten interagieren, um auf Domänenressourcen zuzugreifen. Geben Sie die Kontoinformationen ein und klicken Sie auf OK. Geben Sie den Benutzernamen im Format `{Domäne}\{Benutzername} ein.` Für einen mit AD (NTLMv2 oder Kerberos) integrierten Proxy müssen Sie die Option für das Domänenkonto verwenden. Das für die Ausführung des Directory Connector-Diensts verwendete Konto muss über ausreichende Privilegien verfügen, um den Proxy zu passieren und auf AD zuzugreifen. Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind: Der Server ist Teil der Domäne Das Domänenkonto kann auf die lokalen AD-Daten und Avatardaten zugreifen. Das Konto muss auch über die lokale Administratorrolle verfügen, da es auf die Dateien unter `C:\Programme` zugreifen muss. Für die Anmeldung einer virtuellen Maschine muss das Administratorkonto mindestens in der Lage sein, Domäneninformationen zu lesen.
6	Klicken Sie auf Installieren. Geben Sie nach der Ausführung des Netzwerktests Ihre grundlegenden Proxy-Anmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertig stellen.

Nächste Schritte

Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Während des Neustarts der Maschine werden alle Daten aktualisiert, um ein exaktes Ergebnis im Bericht anzuzeigen.

Bei Directory Connector anmelden

Vorbereitungen

Stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen.

Für die Proxy-Basic-Auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
Öffnen Sie für Proxy-NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen, stellen Sie sicher, dass die Informationen zum Proxy-Server hinzugefügt wurden, und klicken Sie auf OK. Siehe Verwenden eines Webproxys über den Browser.

1	Öffnen Sie den Connector und fügen Sie `https://idbroker.webex.com` zur Liste der vertrauenswürdigen Sites hinzu, wenn Sie dazu aufgefordert werden.
2	Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich dann mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter.
3	Bestätigen Sie Ihre Organisation und Ihre Domäne. Wenn Sie AD DS auswählen, aktivieren Sie LDAP over SSL, um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden, wählen Sie die Domäne aus, aus der Sie synchronisieren möchten, und klicken Sie auf Bestätigen. Wenn Sie LDAP über SSL nicht aktivieren, verwendet DirSync weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher. Wenn Sie AD LDS auswählen, geben Sie Host, Domäne und Port ein und klicken Sie auf Aktualisieren, um alle Anwendungspartitionen zu laden. Wählen Sie dann die Partition aus der Dropdown-Liste aus und klicken Sie auf Bestätigen. Weitere Informationen finden Sie im Abschnitt „AD LDS“. Stellen Sie sicher, dass Sie in der Konfigurationsdatei CloudConnectorCommon.dll die Einstellung ADAuthLevel zum Knoten appSetting hinzufügen. Die Werte können 1, 2 oder 3 sein. In diesem Artikel von Microsoft erfahren Sie mehr über Authentifizierungstypen. Hier ein Beispiel für die Einstellung mit dem Wert 1: `<appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	Nachdem der Bildschirm Organisation bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Wenn Sie AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Organisation bestätigen angezeigt.
5	Klicken Sie auf Bestätigen.
6	Wählen Sie eine der folgenden Optionen aus, abhängig von der Anzahl der Active Directory-Domänen, die Sie an den Directory Connector binden möchten: Wenn Sie über eine einzige Domäne verfügen, die AD LDS ist, verbinden Sie sich mit der vorhandenen AD LDS-Quelle und klicken Sie auf Bestätigen. Wenn Sie eine einzige Domäne haben, die AD DS ist, führen Sie die Bindung entweder mit der vorhandenen Domäne oder mit einer neuen Domäne aus. Wenn Sie An eine neue Domäne binden auswählen, klicken Sie auf Weiter. Da der vorhandene Quelltyp AD DS ist, können Sie AD LDS nicht für die neue Bindung auswählen. Wenn Sie mehr als eine Domäne haben, wählen Sie eine vorhandene Domäne aus der Liste aus oder An neue Domäne binden und klicken Sie dann auf Weiter. Da Sie mehr als eine Domäne haben, muss der vorhandene Quelltyp AD DS sein. Wenn Sie An neue Domäne binden auswählen und auf Weiter klicken, können Sie AD LDS nicht für die neue Bindung auswählen.

Nächste Schritte

Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.

Directory Connector-Dashboard

Wenn Sie sich zum ersten Mal beim Directory Connector anmelden, wird das Dashboard angezeigt. Hier können Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken anzeigen, einen Probelauf für die Synchronisierung durchführen, eine vollständige oder inkrementelle Synchronisierung starten und die Event-Ansicht starten, um Fehlerinformationen anzuzeigen.

Melden Sie sich erneut an, falls Ihre Sitzung eine Zeitüberschreitung auftritt.

Sie können diese Aufgaben einfach über die Symbolleiste oder das Menü „Aktionen“ ausführen.

Tabelle 1. Dashboard-Komponenten
Komponente	Beschreibung
Aktuelle Synchronisierung	Zeigt die Statusinformationen zur laufenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige inaktiv.
Nächste Synchronisierung	Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Zeitplan festgelegt ist, wird Nicht angesetzt angezeigt.
Letzte Synchronisation	Zeigt den Status der letzten beiden durchgeführten Synchronisierungen an.
Aktueller Synchronisierungsstatus	Zeigt den Gesamtstatus der Synchronisierung an.
Konnektoren	Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind.
Cloud-Statistik	Zeigt den Gesamtstatus der Synchronisierung an.
Synchronisierungszeitplan	Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung an.
Konfigurationszusammenfassung	Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten: Alle Objekte werden synchronisiert Alle Benutzer werden synchronisiert Gelöschter Schwellenwert ist deaktiviert worden.

Tabelle 2: Aktionen-Symbolleiste
Aktion	Beschreibung
Inkrementelle Synchronisierung starten	Inkrementelle Synchronisierung manuell starten Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn noch keine vollständige Synchronisierung abgeschlossen wurde oder wenn eine Synchronisierung läuft.
Probelauf synchronisieren	Führen Sie einen Probelauf für die Synchronisierung durch.
Ereignisanzeige starten	Starten Sie die Microsoft-Ereignisanzeige.
Aktualisieren	Aktualisieren des Cisco Directory Connector-Dashboards

Tabelle 3: Menüleiste „Aktionen“
Aktion	Beschreibung
Jetzt synchronisieren	Starten Sie sofort eine vollständige Synchronisierung.
Synchronisierungsmodus	Wählen Sie entweder den inkrementellen oder den vollständigen Synchronisierungsmodus aus.
Geheimschlüssel für Konnektor zurücksetzen	Stellen Sie eine Unterhaltung zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Durch Auswahl dieser Aktion wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert.
Probelauf	Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung durchführen.
Fehlerbehebung	Aktivieren/deaktivieren Sie die Fehlerbehebung.
Aktualisieren	Aktualisieren Sie den Cisco Directory Connector-Hauptbildschirm.
Beenden	Beenden Sie den Cisco Directory Connector.

Tabelle 4: Tastenkombinationen
Tastenkombination	Aktion
Alt +A	Das Menü Aktionen anzeigen
`Alt +A + S`	Jetzt synchronisieren
`Alt +A + R`	Geheimschlüssel für Konnektor zurücksetzen
`Alt +A + D`	Probelauf
`Alt +A + S + I`	Inkrementelle Synchronisierung
`Alt +A + S + F`	Vollständige Synchronisierung
`Alt + H`	Menü Hilfe anzeigen
`Alt + H + H`	Hilfe
`Alt + H + A`	Info
`Alt + H + F`	häufig gestellte Fragen

Automatische Upgrades festlegen

1	Wechseln Sie im Directory Connector zu Konfiguration > Allgemein und aktivieren Sie die Option Automatisch auf neue Cisco Directory Connector-Version aktualisieren.
2	Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.

Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion.

Active Directory-Objekte zum Synchronisieren auswählen

Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.

Gruppen für die automatische Lizenzzuweisung

Mit Control Hub können Sie Lizenzzuweisungen auf Gruppenbasis verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Beim Erstellen eines Benutzers überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.

Wir empfehlen, einen LDAP-Filter zu verwenden, um nur relevante Gruppen mit der Cloud zu synchronisieren. Beispielsweise können Sie den Filter auf:

(&(cn=Beispiel)(objectclass=Gruppe))*

Dieser Filter synchronisiert alle Gruppen innerhalb des Basis-DN, bei dem der Name mit „Beispiel“ beginnt. Benutzern, die keinen Gruppen zugewiesen sind, werden Lizenzen über die automatische Standardlizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.

Objektauswahlbildschirm im Directory Connector

Gruppen für Hybrid-Datensicherheitsbereitstellungen

Im Directory Connector müssen Sie Gruppen aktivieren, wenn Sie Hybrid-Datensicherheit zum Konfigurieren einer Testgruppe für Pilotbenutzer verwenden. Anleitungen finden Sie im Bereitstellungsleitfaden für Hybrid-Datensicherheit. Diese Verzeichniskonnektor-Einstellung wirkt sich nicht auf die Synchronisierung anderer Benutzer in der Cloud aus.

Vorbereitungen

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl.
2	Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und erwägen Sie, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die zur Beispiel-Manager-Gruppe gehören, verwenden Sie einen Filter wie diesen: `(&(sAMAccountName=*)(memberOf=cn=Beispiel-Manager,ou=Beispiel,ou=Sicherheitsgruppe,dc=UNTERNEHMEN))`
3	Aktivieren Sie das Kontrollkästchen Raum identifizieren, um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen, wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie lokale Rauminformationen von Active Directory mit der Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.
4	Aktivieren Sie Gruppen, wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie keinen LDAP-Filter für die Benutzersynchronisierung zum Feld „Gruppen“ hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren. Gruppen werden standardmäßig nicht für neue Kunden synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren.
5	Aktivieren Sie Kontakte, wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten. Der Verzeichniskonnektor verwaltet nur Kontakte, die vom Konnektor synchronisiert wurden. Wenn bereits Kontakte in Control Hub vorhanden sind, werden die Kontakte durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsumfang entfernt werden, werden auch die Kontaktinformationen der Benutzer in Control Hub entfernt.
6	Konfigurieren Sie die LDAP-Filter. Sie können erweiterte Filter hinzufügen, indem Sie einen gültigen LDAP-Filter bereitstellen. Weitere Informationen zum Konfigurieren von LDAP-Filtern finden Sie in diesem Artikel.
7	Geben Sie die zu synchronisierenden lokalen Basis-DNs an, indem Sie auf Auswählen klicken, um die Baumstruktur Ihres Active Directory anzuzeigen. Von hier aus können Sie auswählen, welche Container gesucht werden sollen.
8	Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten, und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container zur Synchronisierung auswählen. Wählen Sie einen übergeordneten Container aus, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird im übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container aktiviert wurde. Sie können dann auf Auswählen klicken, um die von Ihnen ausgewählten Active Directory-Container zu akzeptieren. Wenn Ihre Organisation alle Benutzer und Gruppen im Benutzer-Container platziert, müssen Sie keine anderen Container durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, stellen Sie sicher, dass Sie OUs auswählen.
9	Klicken Sie auf Übernehmen. Wählen Sie eine Option: Konfigurationsänderungen anwenden Probelauf Abbrechen Informationen zu Probeläufen finden Sie unter Durchführen einer Probelauf-Synchronisierung für Ihre Active Directory-Benutzer. Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen.

Benutzerattribute zuordnen

Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.

Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll – Sie können beispielsweise firstName lastName in Active Directory oder einen benutzerdefinierten Attributausdruck displayName in der Cloud zuordnen.

Konten in Active Directory müssen über eine E-Mail-Adresse verfügen; die uid wird standardmäßig dem Feld ad der E-Mail zugeordnet (nicht sAMAccountName).

Wenn Sie festlegen, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, ist Active Directory die einzige Informationsquelle: Benutzer können ihre Spracheinstellung in den Webex-Einstellungen nicht ändern, und Administratoren können die Einstellung in Control Hub nicht ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet.
2	Scrollen Sie zum Ende der Active Directory-Attributnamen und wählen Sie dann eines der folgenden Active Directory-Attribute aus, um das Cloud-Attribut uid zuzuordnen: E-Mail – wird in den meisten Bereitstellungen für das E-Mail-Format verwendet. userPrincipalName – Eine alternative Wahl, wenn Ihr E-Mail-Attribut für andere Zwecke in Active Directory verwendet wird. Dieses Attribut muss im E-Mail-Format vorliegen. Sie können beliebige andere Active Directory-Attribute der uid zuordnen. Wir empfehlen jedoch, „mail“ oder „userPrincipalName“ zu verwenden, wie in den obigen Richtlinien beschrieben. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, mit welchen Attributen in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen im Directory Connector. Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen ausgewählte Active Directory-Attribut im E-Mail-Format vorliegt. Der Verzeichniskonnektor zeigt ein Popup-Fenster an, das Sie daran erinnert, wenn Sie eines der empfohlenen Attribute nicht auswählen.
3	Wenn die vordefinierten Active Directory-Attribute in Ihrer Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können. Klicken Sie auf Hilfe, um weitere Informationen zu den Ausdrücken zu erhalten und Beispiele für die Funktionsweise von Ausdrücken anzuzeigen. Weitere Informationen finden Sie auch unter Ausdrücke für angepasste Attribute. Ordnen wir in diesem Beispiel die Active Directory-Attribute `givenName` und `Sn` dem Cloud-Attribut `displayName` zu: Definieren Sie den Attributausdruck givenName + "" + Sn (bei den Anführungszeichen handelt es sich um ein zusätzliches Leerzeichen) und geben Sie dann die E-Mail-Adresse eines vorhandenen Benutzers zur Überprüfung an. Klicken Sie auf Überprüfen, und prüfen Sie, ob das Ergebnis mit dem übereinstimmt, was Sie erwartet haben. Ein erfolgreiches Ergebnis sieht so aus: Wenn die Ergebnisse den erwarteten Ergebnissen entsprechen, klicken Sie auf OK, um das neue angepasste Attribut zu speichern. Wenn Sie später den displayName ändern möchten, können Sie einen neuen Attributausdruck eingeben. Der Directory Connector überprüft den Attributwert von uid im Identitätsdienst und ruft 3 verfügbare Benutzer unter den aktuellen Benutzerfilteroptionen ab. Wenn alle diese 3 Benutzer ein gültiges E-Mail-Format haben, zeigt der Cisco Directory Connector die folgende Meldung an: Wenn das Attribut nicht verifiziert werden kann, wird die folgende Warnung angezeigt und Sie können zu Active Directory zurückkehren, um die Benutzerdaten zu überprüfen und zu korrigieren:
4	(Optional) Wählen Sie Zuordnungen für Mobilgeräte und Telefonnummer aus, wenn Mobil- und Geschäftsnummern angezeigt werden sollen, beispielsweise in der Kontaktkarte des Benutzers in der Webex-App. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt. Weitere Informationen zu Anrufen über die Kontaktkarte eines Benutzers finden Sie im Bereitstellungshandbuch für Anrufe in Webex (Unified CM) (Administratoren).
5	Wählen Sie zusätzliche Zuordnungen aus, um weitere Daten in der Kontaktkarte anzuzeigen: `Abteilungsnummer` `Anzeigename` `Manager` `Titel` Nach der Zuordnung der Attribute werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt: Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren. Nachdem diese Attribute mit den einzelnen Benutzerkonten synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Benutzer der Webex-App mehr Informationen in ihren Profilen teilen und mehr voneinander erfahren. Weitere Informationen zur Funktion und zum Aktivieren finden Sie unter Profile für „People Insights“ für Webex, Jabber, Webex Meetings und Webex Events (Neu) in Control Hub.
6	Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie auf Übernehmen.

Alle in Active Directory enthaltenen Benutzerdaten überschreiben die diesem Benutzer entsprechenden Daten in der Cloud. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Alle Benutzer ohne entsprechende E-Mail-Adresse in Active Directory werden gelöscht.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Active Directory- und Cloud-Attribute

Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattributzuordnung verwenden.

In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Verzeichniskonnektor. Sie können in den Dropdown-Menüs des Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloudattribut synchronisiert wird.

Betrachten Sie die Dropdown-Attribute als Voreinstellungen. Als Alternative zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory angeben (ein Ausdruck mit mehreren Attributen), um ein einzelnes Cloudattribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise haben Sie die Flexibilität, die Anzeigenamen Ihrer Benutzer zu bestimmen. Sie können beispielsweise einen Ausdruck hinzufügen, der basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory ein angepasstes Attribut erstellt.

Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.

Sie können auch alternative E-Mail-Adressen verwenden, z. B. wenn Sie den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall dem Attribut emails;type-work eine andere E-Mail-Adresse zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.

Active Directory-Attributnamen	Webex-Cloud-Attributnamen	Anmerkungen
—	Gebäudename	—
c	c	Dieses Attribut gibt die Länderabkürzung des Benutzers an.
Abteilungsnummer	Abteilungsnummer	Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die auf der Kontaktkarte und People Insights angezeigt wird.
Anzeigename	Anzeigename	Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
BenutzerAccountControl	ds-pwp-konto-deaktiviert	Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist, andernfalls werden die Benutzer nicht ordnungsgemäß synchronisiert.
Mitarbeiternummer	Mitarbeiternummer	—
FaxTelefonnummer	FaxTelefonnummer	—
—	Jabber-ID	Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert ist nicht identisch mit sipAddresses.
l	l	Dieses Attribut gibt die Stadt des Benutzers an.
—	Ländereinstellung	—
Manager	Manager	Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der auf der Kontaktkarte und People Insights angezeigt wird.
Mobil	Mobil	Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen.
o	o	Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird auf der Kontaktkarte angezeigt.
Ou	Ou	Dieses Attribut gibt den Namen der Organisationseinheit an.
physischeLieferungBüroName	physischeLieferungBüroName	Dieses Attribut gibt den Bürostandort des Benutzers an.
Postleitzahl	Postleitzahl	Dieses Attribut gibt die Postleitzahl des Benutzers für die physische Postzustellung an.
bevorzugteSprache	bevorzugteSprache	Dieses Attribut legt die bevorzugte Sprache des Benutzers fest. Es werden die folgenden Formate unterstützt: xx_YY oder xx-YY. Hier einige Beispiele: de_US, de_GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format verwenden, wird die bevorzugte Sprache des Benutzers zur für die Organisation festgelegten Sprache geändert.
MSRTCSIP-PrimäreBenutzeradresse IP-Telefon	SIP-Adressen;type=Unternehmen	Dieses Attribut wird verwendet, um lokale Rauminformationen aus Active Directory mit der Cisco Webex-Cloud zu synchronisieren.
sn	sn	Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
st	st	Dieses Attribut gibt das Bundesland des Benutzers an.
Straßenadresse	Straße	Dieses Attribut gibt die Postanschrift des Benutzers für die physische Postzustellung an.
Telefonnummer	Telefonnummer	Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die zum Anrufen des Benutzers über die Kontaktkarte verwendet wird.
—	Zeitzone	Dieses Cloudattribut gibt die Zeitzone des Benutzers an.
Titel	Titel	Dieses Attribut gibt den Titel des Benutzers an, der auf der Kontaktkarte und People Insights angezeigt wird.
Typ	Unternehmen	—
E-Mail userPrincipalName	UID	Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann sich dann mit einer dieser E-Mail-Adressen anmelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen dazu, wie Sie eine alternative E-Mail-Adresse zuordnen können, finden Sie im Beispiel-Attributzuordnung unten.
userPrincipalName E-Mail <benutzerdefiniertes Attribut>	E-Mails;Arbeit eingeben	Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.
<Neues Attribut für Azure-Benutzer objectId>	externe ID	Erstellen Sie ein neues Active Directory-Attribut, um die Objekt-ID des Azure-Benutzers zu speichern, damit sie nicht mit einem vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen.

Alternative E-Mail-Adresszuordnung

Ausdrücke für angepasste Attribute

Tabelle 5: Ausdrücke für angepasste Attribute
Vermittler	Beschreibung und Beispiel
%	Entfernt alle Zeichen vom Anfang bis zur Position des Zeichens oder des String-Arguments, falls diese übereinstimmen. Beispielausdruck `"abc@example.com" % "@"` Ergebnis `beispiel.com`
-	Entfernt die Rückseite der Eingabezeichenfolge vom Ende der angegebenen Zeichenfolge. Beispielausdruck `„abc@example.com“ – „@“` Ergebnis `ABC`
+	Verkettet Eingabezeichenfolgen oder Ausdrücke. Beispielausdruck `„abc“ + „“ + „def“` Ergebnis `ABC DEF`
\|	Evaluiert die getrennten Ausdrücke anhand einer leeren Zeichenkette und wählt das erste nicht-leere Ergebnis aus. Beispielausdruck `„“ \| „abc“` Ergebnis `ABC`

Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit diesem Verfahren können Sie Avatarrohdaten aus einem Active Directory-Attribut synchronisieren.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie für Avatar abrufen von die Option AD-Attribut und anschließend das Avatar-Attribut aus, das die Avatar-Rohdaten enthält, die Sie mit der Cloud synchronisieren möchten.
3	Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar des Benutzers abrufen. Der Avatar wird rechts angezeigt.
4	Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit dieser Prozedur können Sie Avatare von einem Ressourcenserver synchronisieren.

Vorbereitungen

Das URI-Muster und der Variablenwert in dieser Prozedur sind Beispiele. Sie müssen tatsächliche URLs verwenden, unter denen sich Ihre Verzeichnis-Avatare befinden.
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht öffentlich im Internet zugänglich sein.
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass auf Avatar-Daten über die NTLM-Authentifizierung oder die Basic-Auth zugegriffen werden kann.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie unter Avatar abrufen von die Option Ressourcenserver aus, und geben Sie das Avatar-URI-Muster ein – zum Beispiel *`http://www.example.com/dir/photo/zoom/{mail: .?(?=@.)}.JPG`* Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten: http://www.example.com/dir/photo/zoom/ – Der Pfad zum Speicherort aller Fotos, die synchronisiert werden sollen, befindet sich. Es muss sich um eine URL handeln, auf die der Directory Connector-Dienst auf Ihrem Server zugreifen kann. mail: – Weist den Directory Connector an, den Wert des E-Mail-Attributs aus Active Directory zu erhalten .?(?=@.) – Eine Regex-Syntax, die die folgenden Funktionen ausführt: *`. – Jedes Zeichen, das null- oder mehrmals wiederholt wird.` `? – Weist die vorangestellte Variable an, so wenige Zeichen wie möglich zuzuordnen.` `(?= ... ) – Entspricht einer Gruppe nach dem Hauptausdruck, ohne sie in das Ergebnis einzubeziehen. Der Verzeichniskonnektor sucht nach einer Übereinstimmung und fügt diese nicht in die Ausgabe ein.` `@.* – Das at-Symbol, gefolgt von einem beliebigen Zeichen, das null- oder mehrmals wiederholt wird.` `.jpg – Die Dateierweiterung für die Avatare Ihrer Benutzer. Siehe unterstützte Dateitypen in diesem Dokument und ändern Sie die Erweiterung entsprechend.`**
3	(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen benötigt, aktivieren Sie die Option Benutzeranmeldeinformationen für Avatar festlegen. Wählen Sie anschließend Aktuellen Service-Anmeldebenutzer verwenden oder Diesen Benutzer verwenden aus, und geben Sie das Passwort ein.
4	Geben Sie den Variablenwert ein, zum Beispiel: `abcd@example.com`.
5	Klicken Sie auf Test, um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. Wenn in diesem Beispiel der E-Mail-Wert für einen AD-Eintrag `abcd@example.com` lautet und jpg-Bilder synchronisiert wurden, lautet der endgültige Avatar-URI`http://www.example.com/dir/photo/zoom/abcd.jpg.`
6	Nachdem die URI-Informationen überprüft wurden und korrekt angezeigt wurden, klicken Sie auf Übernehmen. Detaillierte Informationen zur Verwendung regulärer Ausdrücke finden Sie in der Microsoft Regular Expression Language Quick Reference .

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von lokalen Rauminformationen mit der Webex Cloud

Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Webex-Geräten (Room, Desk und Board) angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Objektauswahl.
2	Aktivieren Sie das Kontrollkästchen Rauminformationen mit Cloud synchronisieren, um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf die gleiche Weise behandelt wie synchronisierte Benutzerdaten.
3	Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=enterprise. Um die Wertevalidierung zu verwenden, sollte der Wert der SIP-Adresse Pattern.compile("^([^@])(.)@(.)$") lauten. Wählen Sie MSRTCSIP-PrimaryUserAddress, falls verfügbar. Wenn das oben genannte Attribut nicht in Ihrem Active Directory-Schema vorhanden ist, verwenden Sie ein anderes Feld wie ipPhone.
4	Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann zum Identifizieren von Räumen verwendet.
5	Navigieren Sie von Active Directory-Benutzern und -Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den vollständig qualifizierten SIP-URI mit dem Präfix sip hinzu:
6	Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden Objekte hinzugefügt aufgelistet, und übereinstimmende Raumobjekte werden im Probelauf-Bericht unter Übereinstimmende Objekte angezeigt. Alle Raumobjekte, die zum Löschen markiert sind, finden Sie unter Räume gelöscht. In den Ergebnissen des Probelaufs werden alle abgestimmten Raumressourcen angezeigt. Diese Einstellung trennt die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.

Nächste Schritte

Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Cloud registrierten Webex-Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde.

Über Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.

Der Endpunkt kann einen Rückruf nicht an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte lokal oder an einem anderen Ort als der Webex-App als SIP URI registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, dem Schreibtischgerät oder dem Webex Board für den Kalenderdienst befindet, wird der doppelte Eintrag in den Suchergebnissen nicht angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App angerufen und es wird kein SIP-Anruf getätigt.

E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisation senden

Standardmäßig erhalten die Organisationskontakte oder Administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen mit einer Zusammenfassung der Verzeichnissynchronisierungsberichte erhalten soll.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benachrichtigung aus.
2	Klicken Sie im Directory Connector auf Einstellungen und aktivieren Sie neben E-Mail-Empfänger die Option Synchronisierung des Berichts aktivieren.
3	Aktivieren Sie Benachrichtigung aktivieren, wenn Sie das Standard-Benachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten.
4	Klicken Sie auf Hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
5	Klicken Sie auf E-Mail hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
6	Wenn Sie eingegebene E-Mail-Adressen bearbeiten müssen, doppelklicken Sie auf den E-Mail-Eintrag in der linken Spalte, und nehmen Sie dann die gewünschten Änderungen vor.
7	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Übernehmen.
8	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Speichern.

Nächste Schritte

Wenn Sie festgelegt haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und klicken Sie dann auf Entfernen.

Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.

Bereitstellen von Benutzern Aus Active Directory In Control Hub

Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (entweder mit einer einzelnen Gesamtstruktur oder mit mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

1	Durchführen eines Probelaufs für die Active Directory-Benutzer Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.
2	Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
3	Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen auf verschiedene Weise zuweisen. Wir empfehlen Ihnen, eine Lizenzvorlage für die automatische Zuweisung einzurichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen.

Durchführen eines Probelaufs für die Active Directory-Benutzer

Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.

Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel des Directory Connector ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud herzustellen.

Wenn Sie in einer oder mehreren Gesamtstrukturen mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Vorbereitungen

Möglicherweise befinden sich bereits einige Webex-App-Benutzer in Control Hub, bevor Sie den Verzeichniskonnektor verwendet haben. Einige der Benutzer in der Cloud können mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es können jedoch Testbenutzer sein, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Active Directory und Control Hub erstellen.

1	Eine Option auswählen: Klicken Sie nach der erstmaligen Anmeldung in der Eingabeaufforderung auf Ja, um einen Probelauf durchzuführen. Wenn Sie eine Erinnerung an die Durchführung eines Probelaufs verpassen, klicken Sie jederzeit über den Directory Connector auf Dashboard, wählen Sie Probelauf synchronisieren aus und klicken Sie dann auf OK, um einen Probelauf-Synchronisierung zu starten. Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt: *Nicht übereinstimmende Objekte im Directory Connector erkannt* *Zusammenfassung der Ergebnisse des Probelaufs und der nicht übereinstimmenden Objekte im Directory Connector* Die Zusammenfassung enthält Informationen über die Objektabgleich: Übereinstimmende Objekte – Ein Benutzer, der sich in Webex Common Identity befindet und auch in der Active Directory-Domäne vorhanden ist, d. h. wenn ein Benutzer@cisco.com mit Webex synchronisiert und in Control Hub angezeigt wurde und derselbe Benutzer (ein Benutzer@cisco.com) in Active Directory vorhanden ist. Dies bedeutet, dass der Benutzer zugeordnet wurde. Nicht übereinstimmende Objekte: Ein Benutzer, der sich in Webex befindet, unabhängig davon, wie er in Common Identity hinzugefügt wurde, aber nicht in Active Directory vorhanden ist. Es wird als Nicht übereinstimmendes Objekt bezeichnet. Beispiel: Wenn ein Benutzer@cisco.com in Webex synchronisiert und in Control Hub angezeigt wurde, aber derselbe Benutzer (Benutzer@cisco.com) nicht von Active Directory verwaltet wird, zeigt der Bericht an, dass der Benutzer nicht übereinstimmt. Der Probelauf identifiziert die Benutzer, indem er sie mit Domänenbenutzern vergleicht. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten möchten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory.
2	Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option aus, je nachdem, ob Sie eine einzelne oder mehrere Domänen verwenden: Einzeldomäne – Entscheiden Sie, ob Sie die nicht übereinstimmenden Benutzer beibehalten möchten. Wenn Sie sie behalten möchten, wählen Sie Nein, Objekte behalten aus. Wenn Sie dies nicht tun, wählen Sie Ja, Objekte löschen. Nachdem Sie diese Schritte ausgeführt haben und eine vollständige Synchronisierung manuell durchführen, damit eine exakte Übereinstimmung zwischen dem lokalen Standort und der Cloud vorliegt, aktiviert der Directory Connector automatisch geplante automatische Synchronisierungsaufgaben. Mehrere Domänen: Führen Sie für eine Organisation mit Domäne A und Domäne B zunächst einen Probelauf für Domäne A durch. Wenn Sie nicht übereinstimmende Benutzer behalten möchten, wählen Sie Nein, Objekte behalten aus. (Diese nicht übereinstimmenden Benutzer können Mitglieder von Domäne B sein.) Wenn Sie löschen möchten, wählen Sie Ja, Objekte löschen aus. Wenn Sie die Benutzer beibehalten, führen Sie zuerst eine vollständige Synchronisierung für Domäne A und anschließend einen Probelauf für Domäne B durch. Wenn es immer noch Benutzer gibt, die nicht übereinstimmen, fügen Sie diese Benutzer in Active Directory hinzu, und führen Sie anschließend eine vollständige Synchronisierung für Domäne B durch. Wenn eine exakte Übereinstimmung zwischen lokal und Cloud vorliegt, aktiviert der Verzeichniskonnektor automatisch angesetzte automatische Synchronisierungsaufgaben.
3	Klicken Sie in der Aufforderung Probelauf bestätigen auf Ja, um die Synchronisierung des Probelaufs erneut durchzuführen und das Dashboard anzuzeigen, um die Ergebnisse anzuzeigen. Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter Übereinstimmende Objekte angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Um die Details der synchronisierten Elemente anzuzeigen, klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched. Um die Zusammenfassungsinformationen zu speichern, klicken Sie auf Ergebnisse in Datei speichern.
4	Wenn die Ergebnisse erwartet werden, gehen Sie zu Aktionen > Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt aktivieren, um eine manuelle Synchronisierung durchzuführen und an diesem Punkt in den manuellen Modus zu versetzen. Nachdem Sie eine Synchronisierung mit der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte zwischen der Webex-Cloud und allen lokalen Active Directories vollständig übereinstimmen.

Nächste Schritte

Alle nicht übereinstimmenden Benutzerobjekte, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen lokaler und Cloud-Umgebung besteht.
Wählen Sie einen Synchronisierungstyp:
- Führen Sie eine vollständige Synchronisierung der Active Directory-Benutzer in der Cloud durch, wenn Sie neue Benutzer zum ersten Mal mit der Cloud synchronisieren. Tun Sie dies über Aktionen > Jetzt synchronisieren > Voll. Anschließend werden die Benutzer aus der aktuellen Domäne synchronisiert.
- Legen Sie den Connector-Zeitplan fest und Führen Sie eine inkrementelle Synchronisierung durch, nachdem Sie eine vollständige Synchronisierung durchgeführt haben und wenn Sie die Änderungen nach der ursprünglichen Synchronisierung übernehmen möchten. Diese Art der Synchronisierung wird empfohlen, um kleine Änderungen an der Active Directory-Benutzerquelle zu übernehmen.
  
  Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben.
Wenn Sie über mehrere Domänen verfügen, wiederholen Sie diese Schritte auf einem anderen Directory Connector, den Sie installiert haben.

Zu beachtende Punkte

Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisation dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeberichte überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.

Wenn übereinstimmende Benutzer als gelöscht markiert sind und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und wenden Sie sich an den Support unter Fehlerbehebung und Fehlerbehebungen für Directory Connector.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen

Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.

Wenn Sie über mehrere Domänen verfügen, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Directory Connector synchronisiert den Benutzerkontostatus: In Active Directory werden als deaktiviert gekennzeichnete Benutzer in der Cloud als inaktiv angezeigt.

Vorbereitungen

Wenn sich die Webex-App-Benutzerkonten nach der vollständigen Synchronisierung im Status „Aktiv“ befinden sollen, bevor sich die Benutzer zum ersten Mal anmelden, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:
- Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Siehe Einmalige Anmeldung mit Cisco Webex-Diensten und dem Identitätsanbieter Ihrer Organisation um mehr zu erfahren.
- Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.
- Automatische E-Mail-Einladungen unterdrücken, sodass neue Benutzer die automatische E-Mail-Einladung zur Webex-App nicht erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
  
  Aktivierte Benutzer, die sich nicht angemeldet haben, werden in Control Hub mit dem Status Verifiziert angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub.
Wenn Sie die Synchronisierung aktivieren, werden Sie vom Verzeichniskonnektor zuerst aufgefordert, einen Probelauf durchzuführen. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu ermitteln.
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.

Wenn Sie keine Lizenzvorlagen für die automatische Zuweisung verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie können dieselben kostenlosen Funktionen wie Benutzer mit kostenlosen Konten verwenden.

1	Eine Option auswählen: Wenn nach der erstmaligen Anmeldung der Probelauf abgeschlossen ist und für alle Domänen korrekt aussieht, klicken Sie auf Jetzt aktivieren, um die automatische Synchronisierung zuzulassen. Wechseln Sie vom Directory Connector zum Dashboard, klicken Sie auf Aktionen, wählen Sie Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt synchronisieren > Vollständig, um die Synchronisierung zu starten.
2	Wechseln Sie im Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Vollständige Synchronisierung aus.
3	Bestätigen Sie den Start der Synchronisierung. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch bis zu 72 Stunden nach der Synchronisierung angezeigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung zeigt das Dashboard den Synchronisierungsfortschritt an. Dies kann die Art der Synchronisierung, die Startzeit und die Phase enthalten, in der die Synchronisierung derzeit ausgeführt wird. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Benutzerdaten werden mit der Cloud synchronisiert. Wenn während der Synchronisierung Fehler auftreten, leuchtet die Statusanzeige rot.
4	Klicken Sie auf Aktualisieren, wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik angezeigt.)
5	Wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um weitere Informationen zu Fehlern zu erhalten, um die Fehlerprotokolle anzuzeigen.
6	Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen mit der Cloud finden Sie unter Festlegen des Connector-Zeitplans und Ausführen einer inkrementellen Synchronisierung.

Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung auf der Seite Einstellungen in Control Hub von Deaktiviert zu Betriebsbereit aktualisiert.
Wenn alle Daten zwischen lokaler und Cloud-Umgebung abgeglichen werden, wechselt der Verzeichniskonnektor vom manuellen Modus in den automatischen Synchronisierungsmodus.
Sofern Sie die Einzelanmeldung nicht integrieren, Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben und automatische E-Mails unterdrücken, bleiben die Benutzerkonten der Webex-App im Status „Nicht verifiziert“, bis sich die Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Eine Anleitung zur Synchronisierung der Konten als aktive Benutzer finden Sie im Abschnitt „Vorbereitungen“.
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf einem anderen installierten Directory Connector aus. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
Wenn Sie Single Sign-On in Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
Sie können Benutzer in Control Hub nicht manuell hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung wird die Benutzerverwaltung über den Cisco-Verzeichniskonnektor durchgeführt, und Active Directory ist die zentrale Informationsquelle.
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.

Nächste Schritte

Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung soft gelöscht. Der Benutzer wird inaktiv, aber das Cloud-Identitätsprofil wird sieben Tage lang beibehalten (um eine Wiederherstellung nach einer versehentlichen Löschung zu ermöglichen).

Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer nach der nächsten Synchronisierung inaktiv. Das Cloud-Identitätsprofil wird nach sieben Tagen nicht gelöscht, falls Sie den Benutzer erneut aktivieren möchten.
Beachten Sie diese Ausnahmen bei einer inkrementellen Synchronisierung (befolgen Sie stattdessen die obigen vollständigen Synchronisierungsschritte):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Konfigurationsänderungen bei der Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.

Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen

Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco-Verzeichniskonnektor mit Control Hub abgeschlossen haben, können Sie mit Control Hub allen Ihren Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Nachdem Sie die vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Methoden in Control Hub verwenden, um all Ihren Benutzern – einzelnen Benutzern – über die CSV-Massenvorlage global Webex-Dienstlizenzen zuzuweisen oder neuen Benutzern automatisch zuzuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken, wenn Sie Ihre Benutzer direkt kontaktieren möchten.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Führen Sie einen Probelauf für die Synchronisierung der Active Directory-Benutzer durch.
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung mit Ihren Active Directory-Benutzern durch.

Bei der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und es wird keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine Standard-Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreiches automatisches Abschließen der Zuweisung.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Benutzer, klicken Sie auf Benutzer verwalten, wählen Sie Alle synchronisierten Benutzer ändern und klicken Sie dann auf Weiter.

2

Wählen Sie eine Option:

Nächste Schritte

Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung gesendet, um Webex beizutreten und herunterzuladen.
Wenn Sie für alle Benutzer dieselben Webex-Dienste ausgewählt haben, können Sie anschließend die zugewiesene Lizenz einzeln oder gesammelt ändern.

Verwandte Informationen

Möglichkeiten zum Hinzufügen und Verwalten von Benutzern in Ihrer Organisation

Bekannte Probleme mit dem Directory Connector

Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das sich auf den Directory Connector auswirkt. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.

Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, läutet der Anruf zu diesem Zeitpunkt unbegrenzt.

Benutzer der Webex-App verwalten

Durchführen einer inkrementellen Synchronisierung

Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen die Änderung der Attribution für Benutzer sowie den Zeitpunkt, zu dem ein Benutzer hinzugefügt oder gelöscht wird.

Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie die ursprüngliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen ):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Bei neuen Konfigurationsänderungen für die Attributzuordnung, Basis-DN, Filter und die Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und erfordert eine vollständige Synchronisierung.

1	Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen.
2	Klicken Sie unter Aktionen auf Synchronisierungsmodus > Synchronisierung aktivieren , falls dies noch nicht geschehen ist. Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen anhand des letzten Zeitstempels.
3	Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.
4	Um weitere Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen auf Ereignisanzeige starten , um die Fehlerprotokolle anzuzeigen.

Nächste Schritte

Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.

Versehentlich gelöschte Benutzer wiederherstellen

Der Verzeichniskonnektor verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Die Funktion „Soft-Delete“ kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.

Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, beispielsweise aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung aus dem Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie einen nicht übereinstimmenden Objekthinweis sehen oder festgestellt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.

Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer bis zu 7 Tage lang bei. Während dieser Zeit können Sie weiterhin Cisco Directory Connector verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so bald wie möglich wiederherzustellen.

Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nach 7 Tagen nicht gelöscht.

1	Melden Sie sich bei Control Hub an.
2	Wechseln Sie zu Benutzer und bestätigen Sie, ob sich ein bestimmtes Benutzerkonto im Status „Inaktiv“ befindet oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.
3	Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer im Status „Inaktiv“ bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Das Ziel mit Directory Connector ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu schaffen.
4	Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten mit Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und Dienstzuweisungen.

Nächste Schritte

Kehren Sie zu Control Hub zurück, gehen Sie zu Verwaltung > Benutzer und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.

Benutzer nach dem weichen Löschen dauerhaft löschen

Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung soft gelöscht wurden, dauerhaft löschen.

1	Wählen Sie nach Abschluss eines Probelaufs Weich gelöschte Objekte aus.
2	Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten.
3	Wählen Sie Fertig aus.

Nächste Schritte

Bei der nächsten Synchronisierung werden die von Ihnen geprüften Benutzer dauerhaft gelöscht.

E-Mail-Adresse einer Webex-App ändern

Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren behandelt das Ändern der E-Mail-Adresse der Webex-App für eine einzelne Domäne und einen Prozess zum Ändern der Domäne.

Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto. Dabei gehen die Bereiche des Benutzers und andere Daten in der Cloud verloren.

So ändern Sie die E-Mail-Adressen von Benutzern, ohne die Domäne zu ändern:
1. Öffnen Sie das Benutzerkonto (Beispiel, user1@example.com) in Active Directory und ändern Sie die E-Mail-Adresse (Beispiel, user2@example.com).
2. Setzen Sie die Synchronisierung auf dem Directory Connector fort.
  
  Nach der nächsten Synchronisierung werden die Änderungen in Ihrer Benutzerliste in Control Hub und für Benutzer in der Webex-App angezeigt, nachdem der Cache aktualisiert wurde.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Die eindeutige Kennung des Benutzers wird nach der ersten Synchronisierung in der Cloud festgelegt. Alle nachfolgenden Synchronisierungen basieren auf dieser Kennung.
Ändern Sie in einer Bereitstellung mit mehreren Domänen mit Directory Connector die E-Mail-Adressen der Benutzer beim Ändern der Domäne (betrachten Sie example1.com als alte Domäne und example2.com als neue Domäne):
1. Beachten Sie für das alte Benutzerkonto (user1@example1.com) das Active Directory-Attribut, das dem uid -Cloudattribut zugeordnet ist. Sie müssen denselben Active Directory-Wert für das neue Konto verwenden. In diesem Beispiel verwenden wir user1@example1.com als lokales Attribut, um der uid in der Cloud zuzuordnen.
2. Halten Sie die Synchronisierung auf dem Directory Connector für example1.com und example2.com-Domänen an.
3. Erstellen Sie ein neues Benutzerkonto in example2.com und verwenden Sie das gleiche Attribut von oben. (Beispiel: user1@example1.com).
4. Setzen Sie die Synchronisierung auf dem Directory Connector für example2.com fort.
  
  Bevor Sie fortfahren, überprüfen Sie, ob das Konto user1@example2.com mit Control Hub synchronisiert wird. Wir empfehlen, den Benutzer anzuweisen, die E-Mail-Änderung in der Webex-App zu überprüfen und alle Daten (Bereiche, Nachrichten, Meetings, Dateien usw.) aufzubewahren.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Im neuen Benutzerkonto müssen Sie jedoch sicherstellen, dass das Active Directory-Attribut, das dem UID-Attribut der Cloud zugeordnet ist, aus dem alten Benutzerkonto übernommen wird. Wenn Sie den Active Directory-Wert ändern, werden die Daten des alten Kontos nicht im neuen Konto gespeichert.
5. Nachdem Sie überprüft haben, dass die E-Mail-Adresse geändert wurde und die Daten intakt sind, löschen Sie das alte Benutzerkonto auf example1.com und setzen Sie anschließend den Verzeichniskonnektor ein, um die Synchronisierung für example1.com fortzusetzen.
  
  Zu diesem Zeitpunkt können Sie die E-Mail-Adresse in der neuen Active Directory-Domäne für user1@example2.com sicher aktualisieren.

Der Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch mit der Cloud resynchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung zu „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten.

Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre Webex-App-E-Mail-Adressen über die Seite mit den Kontoeinstellungen ändern. Unter E-Mail-Adresse für Ihr Konto ändern finden Sie Schritte, die Benutzer befolgen können, um ihre E-Mails zu ändern.

Active Directory-Domäne ändern

Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.

1	Richten Sie eine neue Active Directory (AD)-Domäne ein.
2	Deaktivieren Sie die Synchronisierungen für all Ihre Konnektoren.
3	Deinstallieren Sie alle Ihre Konnektoren.
4	Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Fallübermittlung sicher, dass Sie die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall aufgelöst wurde.
5	Nachdem der Fall behoben ist: Installieren Sie den Verzeichniskonnektor auf demselben Server, auf dem sich die neue Active Directory-Domäne befindet. Konfigurieren Sie den Directory Connector so, dass er auf die neue Active Directory-Domäne verweist. Wenn Benutzer in Control Hub vorhanden sind ( https://admin.webex.com), stellen Sie sicher, dass Benutzer mit übereinstimmenden E-Mail-Adressen auch in Active Directory vorhanden sind. Wenn Ihre Organisation den Umschalter `softDelete` in DirSync deaktiviert hat, können E-Mail-Adressen von Benutzern, die sich in Control Hub, aber nicht in Active Directory befinden, gelöscht werden. Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen.

Domänenanspruch

Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass ein Sideboarding-Konto in der zahlungspflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können eine Domäne nur über einen Support-Fall beanspruchen (weitere Informationen finden Sie unter dem folgenden Link).

Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, wie ein eingeladener Benutzer zu einem Webex-App-Bereich hinzugefügt werden kann, besteht darin, das Konto zunächst mithilfe des Directory Connectors in Control Hub bereitzustellen.

Weitere Informationen

Domänen verwalten

Benutzer der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis konvertieren

Sie können nur eindeutige E-Mail-Adressen im Webex-App-Verzeichnis verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App registriert haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Um Benutzer in dieser Organisation mithilfe des Verzeichniskonnektors zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie den Verzeichniskonnektor aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.

Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.

Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung konnte nicht konvertiert werden angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.

Einige beanspruchte Benutzer werden bei einem Probelauf möglicherweise mit dem Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Gelöschte Objekte anstelle von Nicht übereinstimmendes Objekt angezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.

Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle in Ihrer Nähe gelöscht, die mit der Cloud synchronisiert werden.

1	Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector.
2	Befolgen Sie das Verfahren Konvertieren von Benutzern ohne Lizenz in Control Hub , um den Benutzer von der kostenlosen Verbraucher-Organisation zur Enterprise-Organisation zu konvertieren. Bei diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind.
3	Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und sich Konten nur in Control Hub befinden, wird bei Directory Connector die Groß- und Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, gehen alle ihre Webex-App-Bereiche verloren.
4	Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren.

Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die automatische Lizenzvorlage aktiviert und anschließend den Verzeichniskonnektor ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.

Sideboarding-Benutzerkonten für Webex-App

Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.

Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.

Benutzerformat der Webex-App nach der Verzeichnissynchronisierung ändern

Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.

Nach der Verzeichnissynchronisierung werden Benutzernamen möglicherweise im Format angezeigt.

Dieser Benutzername wird möglicherweise angezeigt, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud zu displayName zugeordnet wird, werden Namen in Control Hub im Format angezeigt.

So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) dem displayName in Cisco Cloud-Attributnamen zu.

Alternativ können Sie das Attribut sn givenName dem displayName zuordnen:

Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck displayName zuordnen möchten.

Geben Sie beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) als Ausdruck ein. Dadurch werden die beiden Attribute in Active Directory dem displayName in der Cloud zugeordnet.

Benutzer können Anzeigenamen in Webex Meetings ändern

Sie können die Zuordnung des displayName -Attributs der Synchronisierung mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern die Bearbeitung ihrer bevorzugten Anzeigenamen erlauben möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird, anstatt ihren Vor- und Nachnamen eingeben. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus.
2	Wählen Sie displayName unter Cisco Cloud-Attributname aus.
3	Wählen Sie Dieses Attribut nicht synchronisieren aus.

Nächste Schritte

Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.

Directory Connector – Problembehandlung

Upgrade auf die neueste Softwareversion

Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie kein Upgrade auf die neueste verfügbare Version durchführen, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische TLS 1.2-Anforderung nicht unterstützt.

Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.

Obwohl Sie Connector-Softwareaktualisierungen manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.

1	Klicken Sie in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten.
2	Befolgen Sie die Anweisungen, um das Upgrade durchzuführen.
3	Starten Sie den Connector neu, und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an.
4	Überprüfen Sie die Versionsnummer der Software unter Hilfe > Info über.

Nächste Schritte

Für eine neue Installation von Directory Connector können Sie die ZIP-Datei herunterladen und dann die Installationsschritte in diesem Handbuch befolgen.

Konfigurieren von allgemeinen Einstellungen für Directory Connector

Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Allgemein.
2	Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird.
3	Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen: Info (Standard) – Zeigt Informationsnachrichten an, die den Fortschritt der Anwendung auf einer hohen Ebene hervorheben. Verwenden Sie diese Einstellung, wenn Sie Berichte nach allen vollständigen Synchronisierungen empfangen möchten. Warnung – zeigt potenziell gefährliche Situationen an. Debug – Zeigt detaillierte Informationsereignisse an, die für das Debuggen einer Anwendung am nützlichsten sind. Wenn Sie ein Problem feststellen, legen Sie diese Protokollebene fest und senden Sie das Ereignisprotokoll an den Support, wenn Sie einen Fall erstellen. Fehler – Zeigt Fehlerereignisse an, die die Ausführung der Anwendung möglicherweise trotzdem ermöglichen. Wenn Sie diese Option auswählen, werden Synchronisierungsberichte nur dann gesendet, wenn Fehler gemeldet werden. Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf Fehler festlegen, werden nur Fehler im Synchronisierungsbericht gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“. Nach der vollständigen Synchronisierung erhalten Sie Synchronisierungsberichte. (Beachten Sie, dass für die inkrementelle Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.)
4	Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen.
5	Aktivieren Sie Automatisches Upgrade auf neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, dass Ihre Cisco Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
6	Aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSL nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher.

Connector-Richtlinie konfigurieren

Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.

Sie legen beispielsweise 1 als Schwellenwert für den Löschvorgang fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus.
2	Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
3	Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20. Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen.
4	Klicken Sie auf Übernehmen.

Legen Sie den Connector-Zeitplan fest

Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Zeitplan aus.
2	Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben.
3	Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden.
4	Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll.
5	Geben Sie einen Wert für Failover-Intervall in Minuten an.
6	Klicken Sie auf Übernehmen.

Szenarien mit mehreren Domänen

Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.

Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.

Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.

Beispielanwendungen für mehrere Domänen

Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.

Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.

Synchronisierung auf example1.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.

User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.

Synchronisierung für example1.com und example2.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Stellen Sie sich das folgende Szenario vor:

Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.

Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne

Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.

Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.

Domänenpriorität festlegen

Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.

Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.

Vorbereitungen

Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie steht unter https://admin.webex.com zum Download bereit.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen.
3	Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern. Die Domänen werden in absteigender Reihenfolge sortiert.

Domäne wechseln

Mit diesem Verfahren können Sie den Cisco-Verzeichniskonnektor erneut an eine andere Domäne binden.

Vorbereitungen

Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie müssen sie über Control Hub herunterladen.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln.
3	Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, die Registrierung anderer Domänen im Connector wird aufgehoben, und die Connector-Informationen auf diesem Computer werden gelöscht.
4	Melden Sie sich erneut beim Cisco-Verzeichniskonnektor an, und binden Sie die Domäne erneut.

Verzeichnissynchronisierung deaktivieren

Wenn Sie die Synchronisierung über den Verzeichniskonnektor beenden müssen, können Sie sie über Control Hub vorübergehend deaktivieren.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:

Klicken Sie auf „Mehr“ und anschließend neben der Connector-Instanz, die Sie deaktivieren möchten, auf Deaktivieren .
Klicken Sie auf Alle Verzeichnissynchronisierungen deaktivieren, um die Synchronisierung von allen Connector-Instanzen zu beenden.

2

Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten.

Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren.

Benutzerattributzuordnung entfernen

Verwenden Sie den Verzeichniskonnektor, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Benutzerattributzuordnung entfernen.
3	Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus.
4	Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus: Nur mit Verzeichniskonnektor synchronisierte Benutzer: Die Zuordnung wird nur von Benutzern entfernt, die zuvor mit dem Directory Connector synchronisiert worden sind. Alle Nutzer: Die Zuordnung wird von allen Active Directory-Benutzern entfernt.
5	Klicken Sie auf Übernehmen.

Profilbilder verwalten

Verwenden Sie den Verzeichniskonnektor, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Profilbilder verwalten.
3	Wählen Sie unter Aktionen eine der folgenden Optionen aus: Profilbilder für leere Avatar-Quellen entfernen: Wenn das Active Directory-Profilbild leer ist, stellt diese Option sicher, dass die Benutzerprofilbilder aus der Cloud entfernt werden, auch wenn der Benutzer zuvor sein eigenes Bild in Webex hochgeladen hat. Laden Sie die synchronisierte Quelle erneut hoch, um zwischengespeicherte Bilder zu überschreiben: Der Directory Connector verwendet zum Aktualisieren der Profilbilder für alle Benutzer dasselbe Active Directory wie zuvor. Dadurch wird sichergestellt, dass es keine Diskrepanz zwischen den Profilbildern in Active Directory und der Cloud gibt.
4	Klicken Sie auf Übernehmen.

Directory Connector deinstallieren und deaktivieren

Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:

Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
Sie möchten die Domäne ändern und einen anderen Connector installieren.

Vorbereitungen

Möglicherweise werden mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder Synchronisierung mit mehreren Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie den Directory Connector deinstallieren.

1	Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen.
2	Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallieren aus und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen.
3	Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr und anschließend neben der Directory Connector-Instanz, die Sie deinstallieren möchten, auf Deaktivieren .
4	Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren. Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung.

Ausführen des Diagnosetools

Sie können das integrierte Diagnosetool verwenden, um Fehler bei der Directory Connector-Bereitstellung zu beheben. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.

Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.

So führen Sie Tests für Active Directory-Domänendienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-DS , geben Sie Ihre Domäne ein und klicken Sie dann auf Domänencontroller laden.
2. Wählen Sie einen Domänencontroller aus der Liste aus.
  
  Ändern Sie den Eintrag nicht später, da die inkrementelle Suche immer im selben Domänencontroller ausgeführt werden muss.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie im Abschnitt Active Directory-Abfragen weitere Filter, z. B. entweder Benutzer oder Gruppen -Objekte und Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-LDS , geben Sie Ihren Host und Ihren Port ein und klicken Sie dann auf Partitionen laden.
2. Wählen Sie eine Partition aus der Liste aus, und klicken Sie dann auf Verbinden.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie weitere Filter im Abschnitt Active Directory-Abfragen , z. B. Benutzer, UserProxy und UserProxyFull sowie Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte LDAP RAW , geben Sie Ihren Stammpfad und Filter ein, wählen Sie einen Eintrag unter Attribute aus und klicken Sie dann auf Lade-Partitionen.
2. Überprüfen Sie bei Bedarf die folgenden Optionen:
  - ObjectSecurity: Wenn diese Option vorhanden ist, benötigt der Anrufer keine Rechte und kann nur Objekte und Attribute sehen, auf die der Anrufer zugreifen kann. Wenn diese Option nicht vorhanden ist, hat der Anrufer das Recht, Änderungen zu replizieren.
  - ParentsFirst – Stellt sicher, dass alle Eltern der Kinder vor ihre Kinder kommen.
3. Wählen Sie einen Wert für ExtendedDN aus.
  
  Dieser Wert wird bei einer erweiterten LDAP-Suche verwendet, um eine erweiterte Form von Objekt-Distinguished Name anzufordern.
4. Wählen Sie einen Wert für ReferralChasing aus.
  
  Eine Weiterleitungsverfolgung wird initiiert, wenn ein Domänencontroller eine Weiterleitung von einer Abfrage zurückgibt – beispielsweise für Details zu einem Abfrageergebnis, das außerhalb des Namensraums liegen kann (z. B. Gruppenmitglieder in einer anderen Domäne oder einem Wald).
5. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
6. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.

Beheben von Problemen im Ciso Directory Connector

Fehlerbehebung und Fehlerbehebungen für den Directory Connector

Möglicherweise tritt eine Fehlermeldung oder ein anderes Problem im Directory Connector auf. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet der Connector Ihnen möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. Bevor Sie sich an den Support wenden, lesen Sie die folgenden Abschnitte über mögliche Probleme, mögliche Ursachen und vorgeschlagene Lösungen.

Installieren

Directory Connector funktioniert nicht mehr

Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber benachrichtigt wurden, dass Ihr Directory Connector nicht funktioniert.

Der Directory Connector ist möglicherweise nicht korrekt installiert.
Directory Connector wird möglicherweise nicht ausgeführt.
Das Netzwerk ist möglicherweise nicht verfügbar.

Gehen Sie wie folgt vor:

Öffnen Sie Systemsteuerung > Programme und Funktionen. Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
Öffnen Sie den Dienst und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status Gestartet angezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, über Internetzugang verfügt.

Fehler bei erneuter Installation

Problem: Wenn Sie sofort einen neuen Connector installieren, nachdem Sie einen alten deinstalliert haben, wird möglicherweise eine Fehlermeldung angezeigt.

Mögliche Ursache: In Windows Server 2012 benötigt der Client zur Deinstallation Zeit, um das Dienstkonto aus der Dienstliste zu löschen.

Lösung: Versuchen Sie die Installation nach einiger Zeit erneut.

Anmelden

Directory Connector stürzt bei der SSO-Anmeldung ab

Problem

Der Directory Connector kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.

Lösung

Gehen Sie wie folgt vor:

Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:

Wechseln Sie zum Domänencontroller und öffnen Sie Group Policy Management (gpedit.msc).
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne, und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie Bearbeiten aus.

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter Key Path die Option HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter SchlüsselpfadHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Die Änderungen werden wirksam, nachdem Sie gpupdate /force ausgeführt haben, die Maschine neu gestartet wurde (bei Änderungen am Computer) oder sich der Benutzer erneut anmeldet (bei Änderungen am Benutzer).

Cisco DirSync Service Connector konnte nicht registriert werden

Problem

Anmeldung fehlgeschlagen, und die folgende Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“

Lösung

Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.

Die Seite „Keine Anmeldung“ wird angezeigt

Problem

Sie haben den Verzeichniskonnektor geöffnet und die Anmeldeseite wurde nicht angezeigt.

Lösung

Gehen Sie wie folgt vor:

Navigieren Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie den Link in anderen Browsern wie Chrome und Firefox.
Wenn Internet Explorer den Link nicht aufrufen kann, andere Browser dies jedoch können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren .)

Anmeldeaufforderung wird angezeigt

Problem

Es wird eine Aufforderung angezeigt, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu bestehen.

Mögliche Ursache

Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.

Lösung

Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Übergabe der Sicherheit bereitstellen.

Verbindung zum Remote-Server nicht möglich

Problem

Während des normalen Betriebs wird die Fehlermeldung „Keine Verbindung zum Remote-Server möglich“ angezeigt.

Mögliche Ursache

Möglicherweise gibt es Proxy-Probleme, die behoben werden müssen.

Lösung

Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung mit Dienstkonto beheben .

Konnektor kann nicht registriert werden.

Problem

Es wird die Fehlermeldung „Der Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“

Mögliche Ursache

In den meisten Fällen liegt das Problem darin, dass der Directory Connector keine Berechtigung für eine Verbindung mit dem LDAP-Stammkontext hat.

Lösung

Gehen Sie wie folgt vor:

Führen Sie eine Eingabeaufforderung (cmd) aus, und geben Sie ldp.exe ein.
Klicken Sie auf Verbindung > Binden, wählen Sie Als aktuell angemeldeten Benutzer binden und klicken Sie dann auf OK.
Klicken Sie auf Ansicht > Baum, geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall beim Support.

Synchronisierung

Avatare nicht synchronisiert

Problem

Der Cisco Directory Connector hat die Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatar-Daten erfolgreich synchronisiert.

Mögliche Ursache

Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache diese und vermeidet es, erneut zu senden, um Bandbreite zu sparen.

Lösung

Führen Sie die folgenden Schritte aus, um den lokalen Cache zu löschen:

Gehen Sie zu C:\Programme (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Löschen DirSyncPluginAvatar.dll-cache.bin.
Führen Sie die Avatar-Synchronisierung über den Cisco-Verzeichniskonnektor erneut aus.

In Konflikt stehende Benutzer-E-Mail-Konten

Problem

Die Synchronisierungsergebnisse können in Konflikt stehende Benutzer-E-Mail-Konten anzeigen.

Wenn Benutzer die kostenlose Version der Webex-App versucht haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.

Lösung

Gehen Sie wie folgt vor:

Befolgen Sie die folgenden Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
1. Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
2. Deaktivieren Sie Cisco Directory Connector vorübergehend.
3. Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucherorganisation vorhanden sein könnten. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
4. Probelauf im Cisco Directory Connector durchführen und die Verzeichnissynchronisierung anschließend erneut aktivieren
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen.

Konvertierter Benutzer als inaktiv markiert

Problem

In Ihrer verzeichnissynchronisierten Umgebung haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.

Mögliche Ursache

Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer als 30 Tage lang als inaktiv markiert, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des Zeitraums von 30 Tagen zur Löschung markiert. Diese Situation tritt auf, da sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.

Lösung

Sie müssen entsprechende Maßnahmen ergreifen, wenn das Benutzerkonto nicht gelöscht werden soll. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.

Inkrementelle Synchronisierung schlägt fehl

Problem

Eine inkrementelle Synchronisierung schlägt fehl.

Dieses Problem kann unter folgenden Bedingungen auf Windows Server 2008 R2 auftreten:

Sie unterstützen inkrementelle Wertaktualisierungen.
Der Filter, den Sie verwenden, referenziert ein verknüpftes Werteattribut.
Die Ergebniswerte dieses Attributs wurden seit der letzten Durchführung einer vollständigen Synchronisierung aktualisiert.

Lösung

Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihren Windows Server auf mindestens 2012 R2 zu aktualisieren.

Ungültiger Wert für Merkmal

Problem

Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].

Mögliche Ursache

Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.

Lösung

Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.

Übereinstimmende Benutzer zum Löschen

Problem

Die übereinstimmenden Benutzer werden als gelöscht markiert.

Wenn Sie einen Probelauf zur Überprüfung der Daten zwischen Active Directory und der Cloud durchführen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Systemen angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.

Lösung

Wählen Sie eine geeignete Lösung:

Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen danach zu wiederholen, können Sie den Directory Connector für die Behebung verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Support-Fall.

Attribut fehlt

Problem

Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.

Mögliche Ursache

Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsbenutzer,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert aufweisen.

Lösung

Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.

Verschachtelte Gruppe wird nicht synchronisiert

Problem

Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.

Mögliche Ursache

Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Beispiel: (Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)

Lösung

Sie müssen den Filter, der Gruppen synchronisiert, neu konfigurieren. Beispiel: |(Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)(Mitglied=CN=testSubGroup,CN=Benutzer,DC=rktest2008,DC=org)

Konflikt bei Benutzerbenennung

Problem

Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und des Benutzertyps [user_type].

Mögliche Ursache

Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.

Lösung

Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.

Control Hub

Benutzerliste fehlt in Control Hub

Problem

Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird Ihnen die Benutzerliste in Control Hub möglicherweise nicht angezeigt.

Lösung

Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Wechseln Sie in Control Hub zu Benutzer, klicken Sie auf Suchen und geben Sie dann Suchkriterien ein, um nach einem bestimmten Benutzer zu suchen.

Gruppen werden nicht mit Control Hub synchronisiert

Problem

Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.

Mögliche Ursache

Die Gruppe ist in Active Directory nicht als isCriticalSystemObject markiert.

Lösung

Stellen Sie sicher, dass das Attribut isCriticalSystemObject in Active Directory auf TRUE gesetzt ist.

Problembehandlung für den Directory Connector aktivieren

Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.

Die Protokolldateien, die sind: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Führen Sie die Datei `services.msc` aus, um das ausgeführte Konto für den Directory Connector-Dienst vom lokalen System in ein Domänenkonto zu ändern, das über Zugriffsberechtigungen für Ihr AD DS oder AD LDS verfügt.
2	Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten.
3	Klicken Sie im Directory Connector auf Dashboard.
4	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Fehlerbehebung.
5	Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können.
6	Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt. Der Protokollordner speichert nur Dateien für die letzten 3 Tage. Der Inhalt in den Protokolldateien entspricht der Ausgabe des Ereignisprotokolls für das System.
7	Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten.
8	Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind.

Weitere Informationen

Support kontaktieren

Starten der Ereignisanzeige

Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Dashboard und klicken Sie auf Aktion > Ereignisanzeige starten. Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails.
2	Wechseln Sie in der Ereignisanzeige zu Anwendungs- und Dienstprotokolle > Cisco Directory Connector.
3	Klicken Sie unter Aktionen auf Alle Events speichern unter , um alle Protokolle als einzelne Events-Datei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren.

Nächste Schritte

Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und fügen Sie dann die Events-Datei an Ihren Fall an.

In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Hilfe bei der Verwaltung des Netzwerkdatenverkehrs zu erhalten.

TLS in Internet Explorer aktivieren

Wenn Sie Single Sign-On (SSO)-Anbieter gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:

Bei der Anmeldung am Dienst ist ein Fehler aufgetreten
Im Skript auf dieser Seite ist ein Fehler aufgetreten

Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.

1	Öffnen Sie Internet Explorer und wählen Sie Werkzeuge aus. Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die aktiviert werden soll. Klicken Sie auf OK. Schließen Sie den Browser und öffnen Sie ihn erneut.
2	Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , und scrollen Sie zu Sicherheit.
3	Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden , und klicken Sie auf OK.
4	Starten Sie das System neu, damit die Änderungen übernommen werden.

Anmeldeprobleme für Dienstkonten beheben

Wenn Sie sich nicht beim Cisco Directory Connector anmelden können oder keine Synchronisierung durchführen können, versuchen Sie anhand der folgenden Schritte, das Problem zu beheben, bevor Sie sich an den Support wenden.

1

Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen.

2

Wählen Sie je nach den Ergebnissen eine Option:

Wenn Sie den Link nicht über Ihren Browser aufrufen können, überprüfen Sie Ihre Netzwerkeinstellungen. Wenn Sie in Ihrer Umgebung einen Proxy verwenden, überprüfen Sie die Proxy-Einstellungen.
Wenn Sie den Link über Ihren Browser aufrufen, aber den Cisco Directory Connector nicht öffnen können (Fehler 407 kann nicht geöffnet werden), klicken Sie hier , um die neueste Version des Cisco Directory Connector abzurufen.
Wenn Sie den Link über Ihren Browser aufrufen, aber keine Synchronisierung über den Cisco Directory Connector durchführen können, ändern Sie das Konto für die Dienstanmeldung in Domänenadministrator.

Überprüfen Sie, ob das Konto, mit dem Sie sich beim Windows-System angemeldet haben, dasselbe Konto ist, das Sie unter „Cisco DirSync-Dienst“ festgelegt haben. Wenn es sich um 2 verschiedene Konten handelt, stellen Sie sicher, dass beide Konten https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL besuchen können. Wenn Ihre Umgebung einen Proxy verwendet, stellen Sie sicher, dass beide Konten im Internet Explorer für den Proxy konfiguriert sind und https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL erfolgreich aufrufen können.

3

Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (das unter den Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar- und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung für das Windows-Anmeldekonto.

Weitere Informationen

Support kontaktieren

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Übersicht über Cisco Directory Connector

Directory Connector – Übersicht

Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.

Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur zentralen Informationsquelle wird. Wenn Sie eine Änderung lokal vornehmen, wird diese in die Cloud kopiert.

In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:

Funktion	Beschreibung und Vorteil
Benutzerfreundliches Dashboard	Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden.
Probelauf, bevor die Synchronisierung in die Cloud durchgeführt wird	Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor sie in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen.
Vollständige und inkrementelle Synchronisierung	Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen.
Synchronisieren mehrerer Domänen (einzelne Gesamtstruktur oder mehrere Gesamtstrukturen)	Directory Connector unterstützt mehrere Domänen entweder in einer einzelnen Gesamtstruktur oder in mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Der Control Hub spiegelt den Status wider, indem er den Synchronisierungsstatus für mehrere Directory Connectors anzeigt. Damit können Sie die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Directory Connector in einer Hochverfügbarkeitsbereitstellung deaktivieren.
Geplante Synchronisierung	Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest.
LDAP-Filter (Lightweight Directory Access Protocol)	Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit.
Active Directory-Attributzuordnung	Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um die Cloud zuzuordnen. Die Attribute aus dem Standort bilden verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, Enteprise-Telefonnummern in Webex Teams, Raumressourcen-SIP-Adressen und andere Kontaktkartendaten des Benutzers (Stellenbezeichnung, Abteilung, Manager usw.).
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung	Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud-PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte haben, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten auf ihren Cisco Webex Calling (Cloud-PSTN)-Telefonen oder Raumressourcen durchsuchen. Raumressourcen Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugewiesenen SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Cisco Webex Raumgerät oder Cisco Webex Board angezeigt. Wenn Benutzer eine Suche auf einem Cisco Webex Room-Gerät oder Cisco Webex Board durchführen, werden die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde. Anrufe Benutzer können zusätzlich zu den Webex-App-Kontakten Unternehmenskontakte anrufen. Über den Directory Connector werden die Unternehmensbenutzer und ihre Telefonnummern zu Ihrer Webex-Organisation hinzugefügt. Sie müssen nicht für Webex-Dienste lizenziert sein, damit diese Funktion funktioniert. Benutzer, die nicht für Webex lizenziert sind, werden in der Verzeichnissuche angezeigt, die auf dem Telefon eines Cisco Webex Calling-Benutzers durchgeführt wird, solange eine URI oder eine Telefonnummer über den Verzeichniskonnektor mit Webex synchronisiert ist. Die Anrufe funktionieren gleich für beide Benutzertypen. Außerdem bietet dieses Feature eine Bearbeitungsfunktion für Kontakte, die nur eine Telefonnummer enthalten. Für die Kontakte in den Suchergebnissen gilt Folgendes: Wenn Kontakte eine wählbare URI (Webex-SIP-Adresse) und eine Telefonnummer haben, wird die URI angezeigt, die mit dem Kontakt verknüpft ist. Wenn ein Kontakt keine wählbare URI, dafür jedoch eine Telefonnummer hat, wird die Telefonnummer angezeigt. Außerdem wird ein Softkey zum Bearbeiten der gewählten Nummer angezeigt. Kontakte ohne URI oder Telefonnummer werden nicht im Verzeichnis angezeigt.
Ereignisanzeige	Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen.
Diagnose-Tool und Fehlerbehebung	Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können.
Automatisches Upgrade	Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird.
Hohe Verfügbarkeit	Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt.

Directory Connector ist in drei Bereiche unterteilt:

Control Hub ist die zentrale Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und die Einzelanmeldung (SSO) konfigurieren, wenn Ihre Benutzer sich über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App versenden möchten.
Die Directory Connector-Verwaltungsoberfläche ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und die Directory Connector-Dienste zu konfigurieren.
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory ab, um sie mit dem Connector-Dienst und dem Directory Connector zu synchronisieren.

Weitere Informationen zur Directory Connector-Architektur finden Sie in diesem Diagramm:

Vorbereiten Ihrer Umgebung für den Directory Connector

Anforderungen für den Directory Connector

Windows- und Active Directory-Anforderungen

Sie können Directory Connector auf den folgenden unterstützten Windows-Servern installieren:

Windows Server 2022
Windows Server 2019
Windows Server 2016

Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die das Fix enthält – Windows Server 2012 R2 oder 2016.

Directory Connector wird von den folgenden Active Directory-Diensten unterstützt:

Active Directory 2016

(Directory Connector wird bei Verwendung der neuesten Version von Active Directory unter Windows Server 2019 unterstützt)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Beachten Sie die folgenden zusätzlichen Anforderungen:

Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
- .NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, folgen Sie den Anweisungen unter Aktivieren Sie .NET Framework 3.5 mit dem Assistenten zum Hinzufügen von Rollen und Funktionen.)
- .NET Framework v.4.5 (erforderlich für TLS1.2)
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)

Hardware-Anforderungen

Sie müssen Directory Connector auf einem Computer installieren, auf dem die folgenden Mindestanforderungen an die Hardware erfüllt sind:

8 GB RAM
50 GB Speicherplatz
Keine Mindestanforderung für die CPU

Netzwerk-Anforderungen

Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS-Zugriff (Port 443) auf das Internet verfügt.

Anforderungen der Webex-Organisation

Um von Control Hub aus auf die Directory Connector-Software zugreifen zu können, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem bezahlten Abonnement.
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Ihnen, Folgendes zu tun:
- Fügen Sie Domänen hinzu, überprüfen und optional beanspruchen Sie sie , die die E-Mail-Adressen der Benutzer enthalten, die Sie mit der Cloud synchronisieren möchten.
- Integrieren Sie Ihren Identitätsanbieter (IdP) mit Ihrer Webex-Organisation durch die einmalige Anmeldung (Single Sign-On, SSO).
- Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)

Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.

Installationsanforderungen

In einer Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
Für die Anmeldung beim Connector ist kein Administratorkonto in Active Directory erforderlich. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer wie ein Volladministratorkonto in Control Hub ist.

Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computeranmeldekonto sollte ein Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer sein. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Während der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector für den Zugriff auf Active Directory das lokale Systemkonto. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Stellen Sie sicher, dass der Suchmodus für die Windows Safe Dynamic Link Library (DLL) mit diesem Verfahren aktiviert ist: Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung.
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, sollten Sie Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Computern installieren.

Mehrere Domänenanforderungen

Bevor Sie den Aufgaben im Ablauf der Bereitstellungsaufgabe für den Cisco-Verzeichniskonnektor folgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:

Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.)
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , damit Ihre Organisation in eine große Organisationsliste verschoben wird.
Bei Bedarf können Sie Informationen zu Raumressourcen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.)

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.

Active Directory enthält zwei Arten von Gruppen:

Verteilergruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
Sicherheitsgruppen: Wird verwendet, um Berechtigungen für geteilte Ressourcen zuzuweisen.

Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:

Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienstleistung (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex Licensing usw.).
Verwenden Sie organisationsübergreifende Standard-Benennungskonventionen, um die Identifizierung wichtiger Informationen über eine Gruppe zu erleichtern. Gruppennamen können Details zur Gruppe enthalten, z. B. die Zugriffsstufe, die Art der Ressource, die Sicherheitsstufe, den Gruppenumfang, die E-Mail-Funktion usw. Der Gruppenname „GSG_Webex_Licensing_EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
Organisieren Sie Gruppen auf leicht verständliche Weise, z. B. nach Geografie oder Hierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die automatische Lizenzgruppenvorlage in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für die automatische Lizenzzuweisung einrichten .

Informationen zur Größe

Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Alle Beschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.

Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:

Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsjob dauert nicht so lange wie 50000.)
Netzwerkgeschwindigkeit und Bandbreite.
Systemauslastung und Spezifikationen.

Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.

Da bei der Synchronisierung mehrere Faktoren beteiligt sind und jede Bereitstellung abhängig von den oben genannten Faktoren variiert, können wir keine spezifischen Zeitwerte angeben, die angeben, wie lange eine Objektsynchronisierung dauern wird.

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Webproxy-Integration

Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.

Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector stellt eine Verbindung her und synchronisiert die Benutzer.

Sie können einen der folgenden Ansätze verwenden:

Expliziter Webproxy über Internet Explorer (der Connector erbt die Webproxy-Einstellungen)
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert

Webproxy über den Browser verwenden

Sie können den Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.

Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,

1	Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus.
2	Verweisen Sie die Windows-Instanz, auf die der Connector installiert ist, auf Ihren Webproxy. Der Connector erbt diese Webproxy-Einstellungen.
3	Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu: cloudconnector.webex.com für die Synchronisierung. idbroker.webex.com für die Authentifizierung. idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw. Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.
4	Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu: .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

Webproxy über eine PAC-Datei konfigurieren

Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und die Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.

1

Damit der Connector sich erfolgreich mit der Webex Cloud verbinden und die Benutzerinformationen synchronisieren kann, müssen Sie die Proxy-Authentifizierung für cloudconnector.webex.com in der .pac-Dateikonfiguration für den Host deaktivieren, auf dem der Connector installiert ist.

2

Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:

cloudconnector.webex.com für die Synchronisierung.
idbroker.webex.com für die Authentifizierung.
idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw.

Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt.

Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.

3

Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

NTLM-Proxy

Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.

NTLM-Design

In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.

Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus aus Herausforderung und Antwort:

Ein Benutzer meldet sich über ein Windows-Konto und ein Kennwort auf einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines reinen Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hash-Wert mit dem Hash-Wert des eingegebenen Passworts. Wenn beide gleich sind, wird die Authentifizierung erfolgreich ausgeführt.

Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im reinen Textformat.
Wenn der Server die Anforderung erhält, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Herausforderung auf dem Server gespeichert. Anschließend sendet der Server die Aufforderung im reinen Textformat an den Client.
Sobald der Client die vom Server gesendete Challenge erhält, verschlüsselt der Client die Challenge mit dem in Schritt 1 genannten Hash-Wert. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet er ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: der Kontoname, die verschlüsselte Aufforderung, die der Client gesendet hat, und die ursprüngliche einfache Aufforderung.
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.

Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Dadurch müssen Sie keine weitere Konfiguration abschließen.

Transparenten Proxy konfigurieren

In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.

1	Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann.
2	Bestätigen Sie, dass der Proxy erfolgreich ist: Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt.

Proxy-Authentifizierung festlegen

Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.

Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:

1	Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist.
2	Legen Sie eine geschätzte Bandbreite für diese Verbindung fest (ca. 2 MB/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich.
3	Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie `cloudconnector.webex.com` als Ziel an, das Sie zur Zulassungsliste hinzufügen möchten. Beispiel: `access-list 2000 acl-inside extended permit TCP [IP des Connectors] cloudconnector.webex.com eq https`
4	Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt.
5	Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren.

Verzeichniskonnektor bereitstellen

Ablauf der Bereitstellungsaufgabe des Cisco-Verzeichniskonnektors

Vorbereitungen

Vorbereiten Ihrer Umgebung für den Directory Connector

1	Verzeichniskonnektor installieren In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen. Für eine neue Installation von Directory Connector gehen Sie immer zu Control Hub ( https://admin.webex.com), um die neueste Version der Software abzurufen, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
2	Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administrator-Anmeldeinformationen an und führen Sie die Ersteinrichtung durch.
3	Automatische Upgrades festlegen Es ist immer wichtig, dass Ihre Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
4	Active Directory-Objekte zum Synchronisieren auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.
5	Benutzerattribute zuordnen Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist die *uid.
6	Synchronisieren Sie Verzeichnis-Avatare mit einem der folgenden Verfahren: Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass der Avatar jedes Benutzers angezeigt wird, wenn er sich bei der Anwendung anmeldet. Sie können Avatare von einem Active Directory-Attribut oder einem Ressourcenserver synchronisieren.
7	Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Webex Room-Gerät oder Cisco Webex Board angezeigt.
8	Um Benutzer Aus Active Directory In Control Hub Bereitzustellen, führen Sie die folgenden Schritte aus: Durchführen eines Probelaufs für die Active Directory-Benutzer Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Folgen Sie dieser Sequenz, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wald- oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

Verzeichniskonnektor installieren

In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen.

Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf der Synchronisierung mit mehreren Domänen:

Vorbereitungen

Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen:

Für die Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxy-Konfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Webproxy Im Browser verwenden
Bei Proxy-NTLM wird Ihnen möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser.

1	Wechseln Sie in Control Hub zu Benutzer > Benutzer verwalten > Verzeichnissynchronisierung aktivieren und wählen Sie Weiter aus.
2	Klicken Sie auf den Link Herunterladen und installieren, um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die .zip-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert. Holen Sie sich für eine Neuinstallation die neueste Version der Software, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
3	Entpacken Sie die MSI-Datei auf dem VMware- oder Windows-Server und führen Sie sie im Setup-Ordner aus, um den Setup-Assistenten zu starten.
4	Klicken Sie auf Weiter, aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Weiter, bis der Bildschirm „Kontotyp“ angezeigt wird.
5	Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto durch: Lokales System – Die Standardoption. Sie können diese Option verwenden, wenn Sie über Internet Explorer einen Proxy konfiguriert haben. Domänenkonto – Verwenden Sie diese Option, wenn der Computer Teil der Domäne ist. Der Directory Connector muss mit Netzwerkdiensten interagieren, um auf Domänenressourcen zuzugreifen. Geben Sie die Kontoinformationen ein und klicken Sie auf OK. Geben Sie den Benutzernamen im Format `{Domäne}\{Benutzername} ein.` Für einen mit AD (NTLMv2 oder Kerberos) integrierten Proxy müssen Sie die Option für das Domänenkonto verwenden. Das für die Ausführung des Directory Connector-Diensts verwendete Konto muss über ausreichende Privilegien verfügen, um den Proxy zu passieren und auf AD zuzugreifen. Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind: Der Server ist Teil der Domäne Das Domänenkonto kann auf die lokalen AD-Daten und Avatardaten zugreifen. Das Konto muss auch über die lokale Administratorrolle verfügen, da es auf die Dateien unter `C:\Programme` zugreifen muss. Für die Anmeldung einer virtuellen Maschine muss das Administratorkonto mindestens in der Lage sein, Domäneninformationen zu lesen.
6	Klicken Sie auf Installieren. Geben Sie nach der Ausführung des Netzwerktests Ihre grundlegenden Proxy-Anmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertig stellen.

Nächste Schritte

Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Während des Neustarts der Maschine werden alle Daten aktualisiert, um ein exaktes Ergebnis im Bericht anzuzeigen.

Bei Directory Connector anmelden

Vorbereitungen

Stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen.

Für die Proxy-Basic-Auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
Öffnen Sie für Proxy-NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen, stellen Sie sicher, dass die Informationen zum Proxy-Server hinzugefügt wurden, und klicken Sie auf OK. Siehe Verwenden eines Webproxys über den Browser.

1	Öffnen Sie den Connector und fügen Sie `https://idbroker.webex.com` zur Liste der vertrauenswürdigen Sites hinzu, wenn Sie dazu aufgefordert werden.
2	Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich dann mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter.
3	Bestätigen Sie Ihre Organisation und Ihre Domäne. Wenn Sie AD DS auswählen, aktivieren Sie LDAP over SSL, um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden, wählen Sie die Domäne aus, aus der Sie synchronisieren möchten, und klicken Sie auf Bestätigen. Wenn Sie LDAP über SSL nicht aktivieren, verwendet DirSync weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher. Wenn Sie AD LDS auswählen, geben Sie Host, Domäne und Port ein und klicken Sie auf Aktualisieren, um alle Anwendungspartitionen zu laden. Wählen Sie dann die Partition aus der Dropdown-Liste aus und klicken Sie auf Bestätigen. Weitere Informationen finden Sie im Abschnitt „AD LDS“. Stellen Sie sicher, dass Sie in der Konfigurationsdatei CloudConnectorCommon.dll die Einstellung ADAuthLevel zum Knoten appSetting hinzufügen. Die Werte können 1, 2 oder 3 sein. In diesem Artikel von Microsoft erfahren Sie mehr über Authentifizierungstypen. Hier ein Beispiel für die Einstellung mit dem Wert 1: `<appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	Nachdem der Bildschirm Organisation bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Wenn Sie AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Organisation bestätigen angezeigt.
5	Klicken Sie auf Bestätigen.
6	Wählen Sie eine der folgenden Optionen aus, abhängig von der Anzahl der Active Directory-Domänen, die Sie an den Directory Connector binden möchten: Wenn Sie über eine einzige Domäne verfügen, die AD LDS ist, verbinden Sie sich mit der vorhandenen AD LDS-Quelle und klicken Sie auf Bestätigen. Wenn Sie eine einzige Domäne haben, die AD DS ist, führen Sie die Bindung entweder mit der vorhandenen Domäne oder mit einer neuen Domäne aus. Wenn Sie An eine neue Domäne binden auswählen, klicken Sie auf Weiter. Da der vorhandene Quelltyp AD DS ist, können Sie AD LDS nicht für die neue Bindung auswählen. Wenn Sie mehr als eine Domäne haben, wählen Sie eine vorhandene Domäne aus der Liste aus oder An neue Domäne binden und klicken Sie dann auf Weiter. Da Sie mehr als eine Domäne haben, muss der vorhandene Quelltyp AD DS sein. Wenn Sie An neue Domäne binden auswählen und auf Weiter klicken, können Sie AD LDS nicht für die neue Bindung auswählen.

Nächste Schritte

Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.

Directory Connector-Dashboard

Wenn Sie sich zum ersten Mal beim Directory Connector anmelden, wird das Dashboard angezeigt. Hier können Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken anzeigen, einen Probelauf für die Synchronisierung durchführen, eine vollständige oder inkrementelle Synchronisierung starten und die Event-Ansicht starten, um Fehlerinformationen anzuzeigen.

Melden Sie sich erneut an, falls Ihre Sitzung eine Zeitüberschreitung auftritt.

Sie können diese Aufgaben einfach über die Symbolleiste oder das Menü „Aktionen“ ausführen.

Tabelle 1. Dashboard-Komponenten
Komponente	Beschreibung
Aktuelle Synchronisierung	Zeigt die Statusinformationen zur laufenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige inaktiv.
Nächste Synchronisierung	Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Zeitplan festgelegt ist, wird Nicht angesetzt angezeigt.
Letzte Synchronisation	Zeigt den Status der letzten beiden durchgeführten Synchronisierungen an.
Aktueller Synchronisierungsstatus	Zeigt den Gesamtstatus der Synchronisierung an.
Konnektoren	Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind.
Cloud-Statistik	Zeigt den Gesamtstatus der Synchronisierung an.
Synchronisierungszeitplan	Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung an.
Konfigurationszusammenfassung	Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten: Alle Objekte werden synchronisiert Alle Benutzer werden synchronisiert Gelöschter Schwellenwert ist deaktiviert worden.

Tabelle 2: Aktionen-Symbolleiste
Aktion	Beschreibung
Inkrementelle Synchronisierung starten	Inkrementelle Synchronisierung manuell starten Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn noch keine vollständige Synchronisierung abgeschlossen wurde oder wenn eine Synchronisierung läuft.
Probelauf synchronisieren	Führen Sie einen Probelauf für die Synchronisierung durch.
Ereignisanzeige starten	Starten Sie die Microsoft-Ereignisanzeige.
Aktualisieren	Aktualisieren des Cisco Directory Connector-Dashboards

Tabelle 3: Menüleiste „Aktionen“
Aktion	Beschreibung
Jetzt synchronisieren	Starten Sie sofort eine vollständige Synchronisierung.
Synchronisierungsmodus	Wählen Sie entweder den inkrementellen oder den vollständigen Synchronisierungsmodus aus.
Geheimschlüssel für Konnektor zurücksetzen	Stellen Sie eine Unterhaltung zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Durch Auswahl dieser Aktion wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert.
Probelauf	Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung durchführen.
Fehlerbehebung	Aktivieren/deaktivieren Sie die Fehlerbehebung.
Aktualisieren	Aktualisieren Sie den Cisco Directory Connector-Hauptbildschirm.
Beenden	Beenden Sie den Cisco Directory Connector.

Tabelle 4: Tastenkombinationen
Tastenkombination	Aktion
Alt +A	Das Menü Aktionen anzeigen
`Alt +A + S`	Jetzt synchronisieren
`Alt +A + R`	Geheimschlüssel für Konnektor zurücksetzen
`Alt +A + D`	Probelauf
`Alt +A + S + I`	Inkrementelle Synchronisierung
`Alt +A + S + F`	Vollständige Synchronisierung
`Alt + H`	Menü Hilfe anzeigen
`Alt + H + H`	Hilfe
`Alt + H + A`	Info
`Alt + H + F`	häufig gestellte Fragen

Automatische Upgrades festlegen

1	Wechseln Sie im Directory Connector zu Konfiguration > Allgemein und aktivieren Sie die Option Automatisch auf neue Cisco Directory Connector-Version aktualisieren.
2	Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.

Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion.

Active Directory-Objekte zum Synchronisieren auswählen

Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.

Gruppen für die automatische Lizenzzuweisung

Mit Control Hub können Sie Lizenzzuweisungen auf Gruppenbasis verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Beim Erstellen eines Benutzers überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.

Wir empfehlen, einen LDAP-Filter zu verwenden, um nur relevante Gruppen mit der Cloud zu synchronisieren. Beispielsweise können Sie den Filter auf:

(&(cn=Beispiel)(objectclass=Gruppe))*

Dieser Filter synchronisiert alle Gruppen innerhalb des Basis-DN, bei dem der Name mit „Beispiel“ beginnt. Benutzern, die keinen Gruppen zugewiesen sind, werden Lizenzen über die automatische Standardlizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.

Objektauswahlbildschirm im Directory Connector

Gruppen für Hybrid-Datensicherheitsbereitstellungen

Im Directory Connector müssen Sie Gruppen aktivieren, wenn Sie Hybrid-Datensicherheit zum Konfigurieren einer Testgruppe für Pilotbenutzer verwenden. Anleitungen finden Sie im Bereitstellungsleitfaden für Hybrid-Datensicherheit. Diese Verzeichniskonnektor-Einstellung wirkt sich nicht auf die Synchronisierung anderer Benutzer in der Cloud aus.

Vorbereitungen

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl.
2	Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und erwägen Sie, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die zur Beispiel-Manager-Gruppe gehören, verwenden Sie einen Filter wie diesen: `(&(sAMAccountName=*)(memberOf=cn=Beispiel-Manager,ou=Beispiel,ou=Sicherheitsgruppe,dc=UNTERNEHMEN))`
3	Aktivieren Sie das Kontrollkästchen Raum identifizieren, um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen, wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie lokale Rauminformationen von Active Directory mit der Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.
4	Aktivieren Sie Gruppen, wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie keinen LDAP-Filter für die Benutzersynchronisierung zum Feld „Gruppen“ hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren. Gruppen werden standardmäßig nicht für neue Kunden synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren.
5	Aktivieren Sie Kontakte, wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten. Der Verzeichniskonnektor verwaltet nur Kontakte, die vom Konnektor synchronisiert wurden. Wenn bereits Kontakte in Control Hub vorhanden sind, werden die Kontakte durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsumfang entfernt werden, werden auch die Kontaktinformationen der Benutzer in Control Hub entfernt.
6	Konfigurieren Sie die LDAP-Filter. Sie können erweiterte Filter hinzufügen, indem Sie einen gültigen LDAP-Filter bereitstellen. Weitere Informationen zum Konfigurieren von LDAP-Filtern finden Sie in diesem Artikel.
7	Geben Sie die zu synchronisierenden lokalen Basis-DNs an, indem Sie auf Auswählen klicken, um die Baumstruktur Ihres Active Directory anzuzeigen. Von hier aus können Sie auswählen, welche Container gesucht werden sollen.
8	Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten, und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container zur Synchronisierung auswählen. Wählen Sie einen übergeordneten Container aus, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird im übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container aktiviert wurde. Sie können dann auf Auswählen klicken, um die von Ihnen ausgewählten Active Directory-Container zu akzeptieren. Wenn Ihre Organisation alle Benutzer und Gruppen im Benutzer-Container platziert, müssen Sie keine anderen Container durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, stellen Sie sicher, dass Sie OUs auswählen.
9	Klicken Sie auf Übernehmen. Wählen Sie eine Option: Konfigurationsänderungen anwenden Probelauf Abbrechen Informationen zu Probeläufen finden Sie unter Durchführen einer Probelauf-Synchronisierung für Ihre Active Directory-Benutzer. Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen.

Benutzerattribute zuordnen

Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.

Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll – Sie können beispielsweise firstName lastName in Active Directory oder einen benutzerdefinierten Attributausdruck displayName in der Cloud zuordnen.

Konten in Active Directory müssen über eine E-Mail-Adresse verfügen; die uid wird standardmäßig dem Feld ad der E-Mail zugeordnet (nicht sAMAccountName).

Wenn Sie festlegen, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, ist Active Directory die einzige Informationsquelle: Benutzer können ihre Spracheinstellung in den Webex-Einstellungen nicht ändern, und Administratoren können die Einstellung in Control Hub nicht ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet.
2	Scrollen Sie zum Ende der Active Directory-Attributnamen und wählen Sie dann eines der folgenden Active Directory-Attribute aus, um das Cloud-Attribut uid zuzuordnen: E-Mail – wird in den meisten Bereitstellungen für das E-Mail-Format verwendet. userPrincipalName – Eine alternative Wahl, wenn Ihr E-Mail-Attribut für andere Zwecke in Active Directory verwendet wird. Dieses Attribut muss im E-Mail-Format vorliegen. Sie können beliebige andere Active Directory-Attribute der uid zuordnen. Wir empfehlen jedoch, „mail“ oder „userPrincipalName“ zu verwenden, wie in den obigen Richtlinien beschrieben. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, mit welchen Attributen in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen im Directory Connector. Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen ausgewählte Active Directory-Attribut im E-Mail-Format vorliegt. Der Verzeichniskonnektor zeigt ein Popup-Fenster an, das Sie daran erinnert, wenn Sie eines der empfohlenen Attribute nicht auswählen.
3	Wenn die vordefinierten Active Directory-Attribute in Ihrer Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können. Klicken Sie auf Hilfe, um weitere Informationen zu den Ausdrücken zu erhalten und Beispiele für die Funktionsweise von Ausdrücken anzuzeigen. Weitere Informationen finden Sie auch unter Ausdrücke für angepasste Attribute. Ordnen wir in diesem Beispiel die Active Directory-Attribute `givenName` und `Sn` dem Cloud-Attribut `displayName` zu: Definieren Sie den Attributausdruck givenName + "" + Sn (bei den Anführungszeichen handelt es sich um ein zusätzliches Leerzeichen) und geben Sie dann die E-Mail-Adresse eines vorhandenen Benutzers zur Überprüfung an. Klicken Sie auf Überprüfen, und prüfen Sie, ob das Ergebnis mit dem übereinstimmt, was Sie erwartet haben. Ein erfolgreiches Ergebnis sieht so aus: Wenn die Ergebnisse den erwarteten Ergebnissen entsprechen, klicken Sie auf OK, um das neue angepasste Attribut zu speichern. Wenn Sie später den displayName ändern möchten, können Sie einen neuen Attributausdruck eingeben. Der Directory Connector überprüft den Attributwert von uid im Identitätsdienst und ruft 3 verfügbare Benutzer unter den aktuellen Benutzerfilteroptionen ab. Wenn alle diese 3 Benutzer ein gültiges E-Mail-Format haben, zeigt der Cisco Directory Connector die folgende Meldung an: Wenn das Attribut nicht verifiziert werden kann, wird die folgende Warnung angezeigt und Sie können zu Active Directory zurückkehren, um die Benutzerdaten zu überprüfen und zu korrigieren:
4	(Optional) Wählen Sie Zuordnungen für Mobilgeräte und Telefonnummer aus, wenn Mobil- und Geschäftsnummern angezeigt werden sollen, beispielsweise in der Kontaktkarte des Benutzers in der Webex-App. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt. Weitere Informationen zu Anrufen über die Kontaktkarte eines Benutzers finden Sie im Bereitstellungshandbuch für Anrufe in Webex (Unified CM) (Administratoren).
5	Wählen Sie zusätzliche Zuordnungen aus, um weitere Daten in der Kontaktkarte anzuzeigen: `Abteilungsnummer` `Anzeigename` `Manager` `Titel` Nach der Zuordnung der Attribute werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt: Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren. Nachdem diese Attribute mit den einzelnen Benutzerkonten synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Benutzer der Webex-App mehr Informationen in ihren Profilen teilen und mehr voneinander erfahren. Weitere Informationen zur Funktion und zum Aktivieren finden Sie unter Profile für „People Insights“ für Webex, Jabber, Webex Meetings und Webex Events (Neu) in Control Hub.
6	Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie auf Übernehmen.

Alle in Active Directory enthaltenen Benutzerdaten überschreiben die diesem Benutzer entsprechenden Daten in der Cloud. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Alle Benutzer ohne entsprechende E-Mail-Adresse in Active Directory werden gelöscht.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Active Directory- und Cloud-Attribute

Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattributzuordnung verwenden.

In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Verzeichniskonnektor. Sie können in den Dropdown-Menüs des Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloudattribut synchronisiert wird.

Betrachten Sie die Dropdown-Attribute als Voreinstellungen. Als Alternative zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory angeben (ein Ausdruck mit mehreren Attributen), um ein einzelnes Cloudattribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise haben Sie die Flexibilität, die Anzeigenamen Ihrer Benutzer zu bestimmen. Sie können beispielsweise einen Ausdruck hinzufügen, der basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory ein angepasstes Attribut erstellt.

Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.

Sie können auch alternative E-Mail-Adressen verwenden, z. B. wenn Sie den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall dem Attribut emails;type-work eine andere E-Mail-Adresse zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.

Active Directory-Attributnamen	Webex-Cloud-Attributnamen	Anmerkungen
—	Gebäudename	—
c	c	Dieses Attribut gibt die Länderabkürzung des Benutzers an.
Abteilungsnummer	Abteilungsnummer	Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die auf der Kontaktkarte und People Insights angezeigt wird.
Anzeigename	Anzeigename	Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
BenutzerAccountControl	ds-pwp-konto-deaktiviert	Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist, andernfalls werden die Benutzer nicht ordnungsgemäß synchronisiert.
Mitarbeiternummer	Mitarbeiternummer	—
FaxTelefonnummer	FaxTelefonnummer	—
—	Jabber-ID	Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert ist nicht identisch mit sipAddresses.
l	l	Dieses Attribut gibt die Stadt des Benutzers an.
—	Ländereinstellung	—
Manager	Manager	Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der auf der Kontaktkarte und People Insights angezeigt wird.
Mobil	Mobil	Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen.
o	o	Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird auf der Kontaktkarte angezeigt.
Ou	Ou	Dieses Attribut gibt den Namen der Organisationseinheit an.
physischeLieferungBüroName	physischeLieferungBüroName	Dieses Attribut gibt den Bürostandort des Benutzers an.
Postleitzahl	Postleitzahl	Dieses Attribut gibt die Postleitzahl des Benutzers für die physische Postzustellung an.
bevorzugteSprache	bevorzugteSprache	Dieses Attribut legt die bevorzugte Sprache des Benutzers fest. Es werden die folgenden Formate unterstützt: xx_YY oder xx-YY. Hier einige Beispiele: de_US, de_GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format verwenden, wird die bevorzugte Sprache des Benutzers zur für die Organisation festgelegten Sprache geändert.
MSRTCSIP-PrimäreBenutzeradresse IP-Telefon	SIP-Adressen;type=Unternehmen	Dieses Attribut wird verwendet, um lokale Rauminformationen aus Active Directory mit der Cisco Webex-Cloud zu synchronisieren.
sn	sn	Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
st	st	Dieses Attribut gibt das Bundesland des Benutzers an.
Straßenadresse	Straße	Dieses Attribut gibt die Postanschrift des Benutzers für die physische Postzustellung an.
Telefonnummer	Telefonnummer	Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die zum Anrufen des Benutzers über die Kontaktkarte verwendet wird.
—	Zeitzone	Dieses Cloudattribut gibt die Zeitzone des Benutzers an.
Titel	Titel	Dieses Attribut gibt den Titel des Benutzers an, der auf der Kontaktkarte und People Insights angezeigt wird.
Typ	Unternehmen	—
E-Mail userPrincipalName	UID	Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann sich dann mit einer dieser E-Mail-Adressen anmelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen dazu, wie Sie eine alternative E-Mail-Adresse zuordnen können, finden Sie im Beispiel-Attributzuordnung unten.
userPrincipalName E-Mail <benutzerdefiniertes Attribut>	E-Mails;Arbeit eingeben	Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.
<Neues Attribut für Azure-Benutzer objectId>	externe ID	Erstellen Sie ein neues Active Directory-Attribut, um die Objekt-ID des Azure-Benutzers zu speichern, damit sie nicht mit einem vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen.

Alternative E-Mail-Adresszuordnung

Ausdrücke für angepasste Attribute

Tabelle 5: Ausdrücke für angepasste Attribute
Vermittler	Beschreibung und Beispiel
%	Entfernt alle Zeichen vom Anfang bis zur Position des Zeichens oder des String-Arguments, falls diese übereinstimmen. Beispielausdruck `"abc@example.com" % "@"` Ergebnis `beispiel.com`
-	Entfernt die Rückseite der Eingabezeichenfolge vom Ende der angegebenen Zeichenfolge. Beispielausdruck `„abc@example.com“ – „@“` Ergebnis `ABC`
+	Verkettet Eingabezeichenfolgen oder Ausdrücke. Beispielausdruck `„abc“ + „“ + „def“` Ergebnis `ABC DEF`
\|	Evaluiert die getrennten Ausdrücke anhand einer leeren Zeichenkette und wählt das erste nicht-leere Ergebnis aus. Beispielausdruck `„“ \| „abc“` Ergebnis `ABC`

Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit diesem Verfahren können Sie Avatarrohdaten aus einem Active Directory-Attribut synchronisieren.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie für Avatar abrufen von die Option AD-Attribut und anschließend das Avatar-Attribut aus, das die Avatar-Rohdaten enthält, die Sie mit der Cloud synchronisieren möchten.
3	Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar des Benutzers abrufen. Der Avatar wird rechts angezeigt.
4	Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit dieser Prozedur können Sie Avatare von einem Ressourcenserver synchronisieren.

Vorbereitungen

Das URI-Muster und der Variablenwert in dieser Prozedur sind Beispiele. Sie müssen tatsächliche URLs verwenden, unter denen sich Ihre Verzeichnis-Avatare befinden.
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht öffentlich im Internet zugänglich sein.
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass auf Avatar-Daten über die NTLM-Authentifizierung oder die Basic-Auth zugegriffen werden kann.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie unter Avatar abrufen von die Option Ressourcenserver aus, und geben Sie das Avatar-URI-Muster ein – zum Beispiel *`http://www.example.com/dir/photo/zoom/{mail: .?(?=@.)}.JPG`* Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten: http://www.example.com/dir/photo/zoom/ – Der Pfad zum Speicherort aller Fotos, die synchronisiert werden sollen, befindet sich. Es muss sich um eine URL handeln, auf die der Directory Connector-Dienst auf Ihrem Server zugreifen kann. mail: – Weist den Directory Connector an, den Wert des E-Mail-Attributs aus Active Directory zu erhalten .?(?=@.) – Eine Regex-Syntax, die die folgenden Funktionen ausführt: *`. – Jedes Zeichen, das null- oder mehrmals wiederholt wird.` `? – Weist die vorangestellte Variable an, so wenige Zeichen wie möglich zuzuordnen.` `(?= ... ) – Entspricht einer Gruppe nach dem Hauptausdruck, ohne sie in das Ergebnis einzubeziehen. Der Verzeichniskonnektor sucht nach einer Übereinstimmung und fügt diese nicht in die Ausgabe ein.` `@.* – Das at-Symbol, gefolgt von einem beliebigen Zeichen, das null- oder mehrmals wiederholt wird.` `.jpg – Die Dateierweiterung für die Avatare Ihrer Benutzer. Siehe unterstützte Dateitypen in diesem Dokument und ändern Sie die Erweiterung entsprechend.`**
3	(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen benötigt, aktivieren Sie die Option Benutzeranmeldeinformationen für Avatar festlegen. Wählen Sie anschließend Aktuellen Service-Anmeldebenutzer verwenden oder Diesen Benutzer verwenden aus, und geben Sie das Passwort ein.
4	Geben Sie den Variablenwert ein, zum Beispiel: `abcd@example.com`.
5	Klicken Sie auf Test, um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. Wenn in diesem Beispiel der E-Mail-Wert für einen AD-Eintrag `abcd@example.com` lautet und jpg-Bilder synchronisiert wurden, lautet der endgültige Avatar-URI`http://www.example.com/dir/photo/zoom/abcd.jpg.`
6	Nachdem die URI-Informationen überprüft wurden und korrekt angezeigt wurden, klicken Sie auf Übernehmen. Detaillierte Informationen zur Verwendung regulärer Ausdrücke finden Sie in der Microsoft Regular Expression Language Quick Reference .

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von lokalen Rauminformationen mit der Webex Cloud

Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Webex-Geräten (Room, Desk und Board) angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Objektauswahl.
2	Aktivieren Sie das Kontrollkästchen Rauminformationen mit Cloud synchronisieren, um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf die gleiche Weise behandelt wie synchronisierte Benutzerdaten.
3	Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=enterprise. Um die Wertevalidierung zu verwenden, sollte der Wert der SIP-Adresse Pattern.compile("^([^@])(.)@(.)$") lauten. Wählen Sie MSRTCSIP-PrimaryUserAddress, falls verfügbar. Wenn das oben genannte Attribut nicht in Ihrem Active Directory-Schema vorhanden ist, verwenden Sie ein anderes Feld wie ipPhone.
4	Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann zum Identifizieren von Räumen verwendet.
5	Navigieren Sie von Active Directory-Benutzern und -Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den vollständig qualifizierten SIP-URI mit dem Präfix sip hinzu:
6	Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden Objekte hinzugefügt aufgelistet, und übereinstimmende Raumobjekte werden im Probelauf-Bericht unter Übereinstimmende Objekte angezeigt. Alle Raumobjekte, die zum Löschen markiert sind, finden Sie unter Räume gelöscht. In den Ergebnissen des Probelaufs werden alle abgestimmten Raumressourcen angezeigt. Diese Einstellung trennt die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.

Nächste Schritte

Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Cloud registrierten Webex-Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde.

Über Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.

Der Endpunkt kann einen Rückruf nicht an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte lokal oder an einem anderen Ort als der Webex-App als SIP URI registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, dem Schreibtischgerät oder dem Webex Board für den Kalenderdienst befindet, wird der doppelte Eintrag in den Suchergebnissen nicht angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App angerufen und es wird kein SIP-Anruf getätigt.

E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisation senden

Standardmäßig erhalten die Organisationskontakte oder Administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen mit einer Zusammenfassung der Verzeichnissynchronisierungsberichte erhalten soll.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benachrichtigung aus.
2	Klicken Sie im Directory Connector auf Einstellungen und aktivieren Sie neben E-Mail-Empfänger die Option Synchronisierung des Berichts aktivieren.
3	Aktivieren Sie Benachrichtigung aktivieren, wenn Sie das Standard-Benachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten.
4	Klicken Sie auf Hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
5	Klicken Sie auf E-Mail hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
6	Wenn Sie eingegebene E-Mail-Adressen bearbeiten müssen, doppelklicken Sie auf den E-Mail-Eintrag in der linken Spalte, und nehmen Sie dann die gewünschten Änderungen vor.
7	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Übernehmen.
8	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Speichern.

Nächste Schritte

Wenn Sie festgelegt haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und klicken Sie dann auf Entfernen.

Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.

Bereitstellen von Benutzern Aus Active Directory In Control Hub

Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (entweder mit einer einzelnen Gesamtstruktur oder mit mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

1	Durchführen eines Probelaufs für die Active Directory-Benutzer Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.
2	Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
3	Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen auf verschiedene Weise zuweisen. Wir empfehlen Ihnen, eine Lizenzvorlage für die automatische Zuweisung einzurichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen.

Durchführen eines Probelaufs für die Active Directory-Benutzer

Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.

Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel des Directory Connector ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud herzustellen.

Wenn Sie in einer oder mehreren Gesamtstrukturen mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Vorbereitungen

Möglicherweise befinden sich bereits einige Webex-App-Benutzer in Control Hub, bevor Sie den Verzeichniskonnektor verwendet haben. Einige der Benutzer in der Cloud können mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es können jedoch Testbenutzer sein, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Active Directory und Control Hub erstellen.

1	Eine Option auswählen: Klicken Sie nach der erstmaligen Anmeldung in der Eingabeaufforderung auf Ja, um einen Probelauf durchzuführen. Wenn Sie eine Erinnerung an die Durchführung eines Probelaufs verpassen, klicken Sie jederzeit über den Directory Connector auf Dashboard, wählen Sie Probelauf synchronisieren aus und klicken Sie dann auf OK, um einen Probelauf-Synchronisierung zu starten. Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt: *Nicht übereinstimmende Objekte im Directory Connector erkannt* *Zusammenfassung der Ergebnisse des Probelaufs und der nicht übereinstimmenden Objekte im Directory Connector* Die Zusammenfassung enthält Informationen über die Objektabgleich: Übereinstimmende Objekte – Ein Benutzer, der sich in Webex Common Identity befindet und auch in der Active Directory-Domäne vorhanden ist, d. h. wenn ein Benutzer@cisco.com mit Webex synchronisiert und in Control Hub angezeigt wurde und derselbe Benutzer (ein Benutzer@cisco.com) in Active Directory vorhanden ist. Dies bedeutet, dass der Benutzer zugeordnet wurde. Nicht übereinstimmende Objekte: Ein Benutzer, der sich in Webex befindet, unabhängig davon, wie er in Common Identity hinzugefügt wurde, aber nicht in Active Directory vorhanden ist. Es wird als Nicht übereinstimmendes Objekt bezeichnet. Beispiel: Wenn ein Benutzer@cisco.com in Webex synchronisiert und in Control Hub angezeigt wurde, aber derselbe Benutzer (Benutzer@cisco.com) nicht von Active Directory verwaltet wird, zeigt der Bericht an, dass der Benutzer nicht übereinstimmt. Der Probelauf identifiziert die Benutzer, indem er sie mit Domänenbenutzern vergleicht. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten möchten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory.
2	Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option aus, je nachdem, ob Sie eine einzelne oder mehrere Domänen verwenden: Einzeldomäne – Entscheiden Sie, ob Sie die nicht übereinstimmenden Benutzer beibehalten möchten. Wenn Sie sie behalten möchten, wählen Sie Nein, Objekte behalten aus. Wenn Sie dies nicht tun, wählen Sie Ja, Objekte löschen. Nachdem Sie diese Schritte ausgeführt haben und eine vollständige Synchronisierung manuell durchführen, damit eine exakte Übereinstimmung zwischen dem lokalen Standort und der Cloud vorliegt, aktiviert der Directory Connector automatisch geplante automatische Synchronisierungsaufgaben. Mehrere Domänen: Führen Sie für eine Organisation mit Domäne A und Domäne B zunächst einen Probelauf für Domäne A durch. Wenn Sie nicht übereinstimmende Benutzer behalten möchten, wählen Sie Nein, Objekte behalten aus. (Diese nicht übereinstimmenden Benutzer können Mitglieder von Domäne B sein.) Wenn Sie löschen möchten, wählen Sie Ja, Objekte löschen aus. Wenn Sie die Benutzer beibehalten, führen Sie zuerst eine vollständige Synchronisierung für Domäne A und anschließend einen Probelauf für Domäne B durch. Wenn es immer noch Benutzer gibt, die nicht übereinstimmen, fügen Sie diese Benutzer in Active Directory hinzu, und führen Sie anschließend eine vollständige Synchronisierung für Domäne B durch. Wenn eine exakte Übereinstimmung zwischen lokal und Cloud vorliegt, aktiviert der Verzeichniskonnektor automatisch angesetzte automatische Synchronisierungsaufgaben.
3	Klicken Sie in der Aufforderung Probelauf bestätigen auf Ja, um die Synchronisierung des Probelaufs erneut durchzuführen und das Dashboard anzuzeigen, um die Ergebnisse anzuzeigen. Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter Übereinstimmende Objekte angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Um die Details der synchronisierten Elemente anzuzeigen, klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched. Um die Zusammenfassungsinformationen zu speichern, klicken Sie auf Ergebnisse in Datei speichern.
4	Wenn die Ergebnisse erwartet werden, gehen Sie zu Aktionen > Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt aktivieren, um eine manuelle Synchronisierung durchzuführen und an diesem Punkt in den manuellen Modus zu versetzen. Nachdem Sie eine Synchronisierung mit der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte zwischen der Webex-Cloud und allen lokalen Active Directories vollständig übereinstimmen.

Nächste Schritte

Alle nicht übereinstimmenden Benutzerobjekte, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen lokaler und Cloud-Umgebung besteht.
Wählen Sie einen Synchronisierungstyp:
- Führen Sie eine vollständige Synchronisierung der Active Directory-Benutzer in der Cloud durch, wenn Sie neue Benutzer zum ersten Mal mit der Cloud synchronisieren. Tun Sie dies über Aktionen > Jetzt synchronisieren > Voll. Anschließend werden die Benutzer aus der aktuellen Domäne synchronisiert.
- Legen Sie den Connector-Zeitplan fest und Führen Sie eine inkrementelle Synchronisierung durch, nachdem Sie eine vollständige Synchronisierung durchgeführt haben und wenn Sie die Änderungen nach der ursprünglichen Synchronisierung übernehmen möchten. Diese Art der Synchronisierung wird empfohlen, um kleine Änderungen an der Active Directory-Benutzerquelle zu übernehmen.
  
  Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben.
Wenn Sie über mehrere Domänen verfügen, wiederholen Sie diese Schritte auf einem anderen Directory Connector, den Sie installiert haben.

Zu beachtende Punkte

Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisation dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeberichte überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.

Wenn übereinstimmende Benutzer als gelöscht markiert sind und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und wenden Sie sich an den Support unter Fehlerbehebung und Fehlerbehebungen für Directory Connector.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen

Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.

Wenn Sie über mehrere Domänen verfügen, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Directory Connector synchronisiert den Benutzerkontostatus: In Active Directory werden als deaktiviert gekennzeichnete Benutzer in der Cloud als inaktiv angezeigt.

Vorbereitungen

Wenn sich die Webex-App-Benutzerkonten nach der vollständigen Synchronisierung im Status „Aktiv“ befinden sollen, bevor sich die Benutzer zum ersten Mal anmelden, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:
- Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Siehe Einmalige Anmeldung mit Cisco Webex-Diensten und dem Identitätsanbieter Ihrer Organisation um mehr zu erfahren.
- Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.
- Automatische E-Mail-Einladungen unterdrücken, sodass neue Benutzer die automatische E-Mail-Einladung zur Webex-App nicht erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
  
  Aktivierte Benutzer, die sich nicht angemeldet haben, werden in Control Hub mit dem Status Verifiziert angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub.
Wenn Sie die Synchronisierung aktivieren, werden Sie vom Verzeichniskonnektor zuerst aufgefordert, einen Probelauf durchzuführen. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu ermitteln.
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.

Wenn Sie keine Lizenzvorlagen für die automatische Zuweisung verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie können dieselben kostenlosen Funktionen wie Benutzer mit kostenlosen Konten verwenden.

1	Eine Option auswählen: Wenn nach der erstmaligen Anmeldung der Probelauf abgeschlossen ist und für alle Domänen korrekt aussieht, klicken Sie auf Jetzt aktivieren, um die automatische Synchronisierung zuzulassen. Wechseln Sie vom Directory Connector zum Dashboard, klicken Sie auf Aktionen, wählen Sie Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt synchronisieren > Vollständig, um die Synchronisierung zu starten.
2	Wechseln Sie im Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Vollständige Synchronisierung aus.
3	Bestätigen Sie den Start der Synchronisierung. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch bis zu 72 Stunden nach der Synchronisierung angezeigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung zeigt das Dashboard den Synchronisierungsfortschritt an. Dies kann die Art der Synchronisierung, die Startzeit und die Phase enthalten, in der die Synchronisierung derzeit ausgeführt wird. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Benutzerdaten werden mit der Cloud synchronisiert. Wenn während der Synchronisierung Fehler auftreten, leuchtet die Statusanzeige rot.
4	Klicken Sie auf Aktualisieren, wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik angezeigt.)
5	Wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um weitere Informationen zu Fehlern zu erhalten, um die Fehlerprotokolle anzuzeigen.
6	Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen mit der Cloud finden Sie unter Festlegen des Connector-Zeitplans und Ausführen einer inkrementellen Synchronisierung.

Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung auf der Seite Einstellungen in Control Hub von Deaktiviert zu Betriebsbereit aktualisiert.
Wenn alle Daten zwischen lokaler und Cloud-Umgebung abgeglichen werden, wechselt der Verzeichniskonnektor vom manuellen Modus in den automatischen Synchronisierungsmodus.
Sofern Sie die Einzelanmeldung nicht integrieren, Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben und automatische E-Mails unterdrücken, bleiben die Benutzerkonten der Webex-App im Status „Nicht verifiziert“, bis sich die Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Eine Anleitung zur Synchronisierung der Konten als aktive Benutzer finden Sie im Abschnitt „Vorbereitungen“.
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf einem anderen installierten Directory Connector aus. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
Wenn Sie Single Sign-On in Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
Sie können Benutzer in Control Hub nicht manuell hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung wird die Benutzerverwaltung über den Cisco-Verzeichniskonnektor durchgeführt, und Active Directory ist die zentrale Informationsquelle.
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.

Nächste Schritte

Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung soft gelöscht. Der Benutzer wird inaktiv, aber das Cloud-Identitätsprofil wird sieben Tage lang beibehalten (um eine Wiederherstellung nach einer versehentlichen Löschung zu ermöglichen).

Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer nach der nächsten Synchronisierung inaktiv. Das Cloud-Identitätsprofil wird nach sieben Tagen nicht gelöscht, falls Sie den Benutzer erneut aktivieren möchten.
Beachten Sie diese Ausnahmen bei einer inkrementellen Synchronisierung (befolgen Sie stattdessen die obigen vollständigen Synchronisierungsschritte):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Konfigurationsänderungen bei der Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.

Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen

Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco-Verzeichniskonnektor mit Control Hub abgeschlossen haben, können Sie mit Control Hub allen Ihren Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Nachdem Sie die vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Methoden in Control Hub verwenden, um all Ihren Benutzern – einzelnen Benutzern – über die CSV-Massenvorlage global Webex-Dienstlizenzen zuzuweisen oder neuen Benutzern automatisch zuzuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken, wenn Sie Ihre Benutzer direkt kontaktieren möchten.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Führen Sie einen Probelauf für die Synchronisierung der Active Directory-Benutzer durch.
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung mit Ihren Active Directory-Benutzern durch.

Bei der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und es wird keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine Standard-Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreiches automatisches Abschließen der Zuweisung.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Benutzer, klicken Sie auf Benutzer verwalten, wählen Sie Alle synchronisierten Benutzer ändern und klicken Sie dann auf Weiter.

2

Wählen Sie eine Option:

Nächste Schritte

Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung gesendet, um Webex beizutreten und herunterzuladen.
Wenn Sie für alle Benutzer dieselben Webex-Dienste ausgewählt haben, können Sie anschließend die zugewiesene Lizenz einzeln oder gesammelt ändern.

Verwandte Informationen

Möglichkeiten zum Hinzufügen und Verwalten von Benutzern in Ihrer Organisation

Bekannte Probleme mit dem Directory Connector

Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das sich auf den Directory Connector auswirkt. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.

Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, läutet der Anruf zu diesem Zeitpunkt unbegrenzt.

Benutzer der Webex-App verwalten

Durchführen einer inkrementellen Synchronisierung

Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen die Änderung der Attribution für Benutzer sowie den Zeitpunkt, zu dem ein Benutzer hinzugefügt oder gelöscht wird.

Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie die ursprüngliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen ):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Bei neuen Konfigurationsänderungen für die Attributzuordnung, Basis-DN, Filter und die Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und erfordert eine vollständige Synchronisierung.

1	Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen.
2	Klicken Sie unter Aktionen auf Synchronisierungsmodus > Synchronisierung aktivieren , falls dies noch nicht geschehen ist. Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen anhand des letzten Zeitstempels.
3	Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.
4	Um weitere Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen auf Ereignisanzeige starten , um die Fehlerprotokolle anzuzeigen.

Nächste Schritte

Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.

Versehentlich gelöschte Benutzer wiederherstellen

Der Verzeichniskonnektor verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Die Funktion „Soft-Delete“ kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.

Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, beispielsweise aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung aus dem Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie einen nicht übereinstimmenden Objekthinweis sehen oder festgestellt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.

Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer bis zu 7 Tage lang bei. Während dieser Zeit können Sie weiterhin Cisco Directory Connector verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so bald wie möglich wiederherzustellen.

Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nach 7 Tagen nicht gelöscht.

1	Melden Sie sich bei Control Hub an.
2	Wechseln Sie zu Benutzer und bestätigen Sie, ob sich ein bestimmtes Benutzerkonto im Status „Inaktiv“ befindet oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.
3	Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer im Status „Inaktiv“ bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Das Ziel mit Directory Connector ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu schaffen.
4	Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten mit Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und Dienstzuweisungen.

Nächste Schritte

Kehren Sie zu Control Hub zurück, gehen Sie zu Verwaltung > Benutzer und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.

Benutzer nach dem weichen Löschen dauerhaft löschen

Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung soft gelöscht wurden, dauerhaft löschen.

1	Wählen Sie nach Abschluss eines Probelaufs Weich gelöschte Objekte aus.
2	Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten.
3	Wählen Sie Fertig aus.

Nächste Schritte

Bei der nächsten Synchronisierung werden die von Ihnen geprüften Benutzer dauerhaft gelöscht.

E-Mail-Adresse einer Webex-App ändern

Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren behandelt das Ändern der E-Mail-Adresse der Webex-App für eine einzelne Domäne und einen Prozess zum Ändern der Domäne.

Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto. Dabei gehen die Bereiche des Benutzers und andere Daten in der Cloud verloren.

So ändern Sie die E-Mail-Adressen von Benutzern, ohne die Domäne zu ändern:
1. Öffnen Sie das Benutzerkonto (Beispiel, user1@example.com) in Active Directory und ändern Sie die E-Mail-Adresse (Beispiel, user2@example.com).
2. Setzen Sie die Synchronisierung auf dem Directory Connector fort.
  
  Nach der nächsten Synchronisierung werden die Änderungen in Ihrer Benutzerliste in Control Hub und für Benutzer in der Webex-App angezeigt, nachdem der Cache aktualisiert wurde.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Die eindeutige Kennung des Benutzers wird nach der ersten Synchronisierung in der Cloud festgelegt. Alle nachfolgenden Synchronisierungen basieren auf dieser Kennung.
Ändern Sie in einer Bereitstellung mit mehreren Domänen mit Directory Connector die E-Mail-Adressen der Benutzer beim Ändern der Domäne (betrachten Sie example1.com als alte Domäne und example2.com als neue Domäne):
1. Beachten Sie für das alte Benutzerkonto (user1@example1.com) das Active Directory-Attribut, das dem uid -Cloudattribut zugeordnet ist. Sie müssen denselben Active Directory-Wert für das neue Konto verwenden. In diesem Beispiel verwenden wir user1@example1.com als lokales Attribut, um der uid in der Cloud zuzuordnen.
2. Halten Sie die Synchronisierung auf dem Directory Connector für example1.com und example2.com-Domänen an.
3. Erstellen Sie ein neues Benutzerkonto in example2.com und verwenden Sie das gleiche Attribut von oben. (Beispiel: user1@example1.com).
4. Setzen Sie die Synchronisierung auf dem Directory Connector für example2.com fort.
  
  Bevor Sie fortfahren, überprüfen Sie, ob das Konto user1@example2.com mit Control Hub synchronisiert wird. Wir empfehlen, den Benutzer anzuweisen, die E-Mail-Änderung in der Webex-App zu überprüfen und alle Daten (Bereiche, Nachrichten, Meetings, Dateien usw.) aufzubewahren.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Im neuen Benutzerkonto müssen Sie jedoch sicherstellen, dass das Active Directory-Attribut, das dem UID-Attribut der Cloud zugeordnet ist, aus dem alten Benutzerkonto übernommen wird. Wenn Sie den Active Directory-Wert ändern, werden die Daten des alten Kontos nicht im neuen Konto gespeichert.
5. Nachdem Sie überprüft haben, dass die E-Mail-Adresse geändert wurde und die Daten intakt sind, löschen Sie das alte Benutzerkonto auf example1.com und setzen Sie anschließend den Verzeichniskonnektor ein, um die Synchronisierung für example1.com fortzusetzen.
  
  Zu diesem Zeitpunkt können Sie die E-Mail-Adresse in der neuen Active Directory-Domäne für user1@example2.com sicher aktualisieren.

Der Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch mit der Cloud resynchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung zu „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten.

Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre Webex-App-E-Mail-Adressen über die Seite mit den Kontoeinstellungen ändern. Unter E-Mail-Adresse für Ihr Konto ändern finden Sie Schritte, die Benutzer befolgen können, um ihre E-Mails zu ändern.

Active Directory-Domäne ändern

Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.

1	Richten Sie eine neue Active Directory (AD)-Domäne ein.
2	Deaktivieren Sie die Synchronisierungen für all Ihre Konnektoren.
3	Deinstallieren Sie alle Ihre Konnektoren.
4	Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Fallübermittlung sicher, dass Sie die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall aufgelöst wurde.
5	Nachdem der Fall behoben ist: Installieren Sie den Verzeichniskonnektor auf demselben Server, auf dem sich die neue Active Directory-Domäne befindet. Konfigurieren Sie den Directory Connector so, dass er auf die neue Active Directory-Domäne verweist. Wenn Benutzer in Control Hub vorhanden sind ( https://admin.webex.com), stellen Sie sicher, dass Benutzer mit übereinstimmenden E-Mail-Adressen auch in Active Directory vorhanden sind. Wenn Ihre Organisation den Umschalter `softDelete` in DirSync deaktiviert hat, können E-Mail-Adressen von Benutzern, die sich in Control Hub, aber nicht in Active Directory befinden, gelöscht werden. Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen.

Domänenanspruch

Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass ein Sideboarding-Konto in der zahlungspflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können eine Domäne nur über einen Support-Fall beanspruchen (weitere Informationen finden Sie unter dem folgenden Link).

Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, wie ein eingeladener Benutzer zu einem Webex-App-Bereich hinzugefügt werden kann, besteht darin, das Konto zunächst mithilfe des Directory Connectors in Control Hub bereitzustellen.

Weitere Informationen

Domänen verwalten

Benutzer der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis konvertieren

Sie können nur eindeutige E-Mail-Adressen im Webex-App-Verzeichnis verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App registriert haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Um Benutzer in dieser Organisation mithilfe des Verzeichniskonnektors zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie den Verzeichniskonnektor aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.

Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.

Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung konnte nicht konvertiert werden angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.

Einige beanspruchte Benutzer werden bei einem Probelauf möglicherweise mit dem Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Gelöschte Objekte anstelle von Nicht übereinstimmendes Objekt angezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.

Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle in Ihrer Nähe gelöscht, die mit der Cloud synchronisiert werden.

1	Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector.
2	Befolgen Sie das Verfahren Konvertieren von Benutzern ohne Lizenz in Control Hub , um den Benutzer von der kostenlosen Verbraucher-Organisation zur Enterprise-Organisation zu konvertieren. Bei diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind.
3	Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und sich Konten nur in Control Hub befinden, wird bei Directory Connector die Groß- und Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, gehen alle ihre Webex-App-Bereiche verloren.
4	Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren.

Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die automatische Lizenzvorlage aktiviert und anschließend den Verzeichniskonnektor ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.

Sideboarding-Benutzerkonten für Webex-App

Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.

Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.

Benutzerformat der Webex-App nach der Verzeichnissynchronisierung ändern

Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.

Nach der Verzeichnissynchronisierung werden Benutzernamen möglicherweise im Format angezeigt.

Dieser Benutzername wird möglicherweise angezeigt, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud zu displayName zugeordnet wird, werden Namen in Control Hub im Format angezeigt.

So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) dem displayName in Cisco Cloud-Attributnamen zu.

Alternativ können Sie das Attribut sn givenName dem displayName zuordnen:

Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck displayName zuordnen möchten.

Geben Sie beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) als Ausdruck ein. Dadurch werden die beiden Attribute in Active Directory dem displayName in der Cloud zugeordnet.

Benutzer können Anzeigenamen in Webex Meetings ändern

Sie können die Zuordnung des displayName -Attributs der Synchronisierung mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern die Bearbeitung ihrer bevorzugten Anzeigenamen erlauben möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird, anstatt ihren Vor- und Nachnamen eingeben. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus.
2	Wählen Sie displayName unter Cisco Cloud-Attributname aus.
3	Wählen Sie Dieses Attribut nicht synchronisieren aus.

Nächste Schritte

Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.

Directory Connector – Problembehandlung

Upgrade auf die neueste Softwareversion

Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie kein Upgrade auf die neueste verfügbare Version durchführen, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische TLS 1.2-Anforderung nicht unterstützt.

Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.

Obwohl Sie Connector-Softwareaktualisierungen manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.

1	Klicken Sie in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten.
2	Befolgen Sie die Anweisungen, um das Upgrade durchzuführen.
3	Starten Sie den Connector neu, und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an.
4	Überprüfen Sie die Versionsnummer der Software unter Hilfe > Info über.

Nächste Schritte

Für eine neue Installation von Directory Connector können Sie die ZIP-Datei herunterladen und dann die Installationsschritte in diesem Handbuch befolgen.

Konfigurieren von allgemeinen Einstellungen für Directory Connector

Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Allgemein.
2	Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird.
3	Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen: Info (Standard) – Zeigt Informationsnachrichten an, die den Fortschritt der Anwendung auf einer hohen Ebene hervorheben. Verwenden Sie diese Einstellung, wenn Sie Berichte nach allen vollständigen Synchronisierungen empfangen möchten. Warnung – zeigt potenziell gefährliche Situationen an. Debug – Zeigt detaillierte Informationsereignisse an, die für das Debuggen einer Anwendung am nützlichsten sind. Wenn Sie ein Problem feststellen, legen Sie diese Protokollebene fest und senden Sie das Ereignisprotokoll an den Support, wenn Sie einen Fall erstellen. Fehler – Zeigt Fehlerereignisse an, die die Ausführung der Anwendung möglicherweise trotzdem ermöglichen. Wenn Sie diese Option auswählen, werden Synchronisierungsberichte nur dann gesendet, wenn Fehler gemeldet werden. Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf Fehler festlegen, werden nur Fehler im Synchronisierungsbericht gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“. Nach der vollständigen Synchronisierung erhalten Sie Synchronisierungsberichte. (Beachten Sie, dass für die inkrementelle Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.)
4	Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen.
5	Aktivieren Sie Automatisches Upgrade auf neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, dass Ihre Cisco Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
6	Aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSL nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher.

Connector-Richtlinie konfigurieren

Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.

Sie legen beispielsweise 1 als Schwellenwert für den Löschvorgang fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus.
2	Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
3	Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20. Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen.
4	Klicken Sie auf Übernehmen.

Legen Sie den Connector-Zeitplan fest

Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Zeitplan aus.
2	Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben.
3	Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden.
4	Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll.
5	Geben Sie einen Wert für Failover-Intervall in Minuten an.
6	Klicken Sie auf Übernehmen.

Szenarien mit mehreren Domänen

Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.

Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.

Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.

Beispielanwendungen für mehrere Domänen

Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.

Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.

Synchronisierung auf example1.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.

User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.

Synchronisierung für example1.com und example2.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Stellen Sie sich das folgende Szenario vor:

Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.

Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne

Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.

Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.

Domänenpriorität festlegen

Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.

Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.

Vorbereitungen

Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie steht unter https://admin.webex.com zum Download bereit.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen.
3	Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern. Die Domänen werden in absteigender Reihenfolge sortiert.

Domäne wechseln

Mit diesem Verfahren können Sie den Cisco-Verzeichniskonnektor erneut an eine andere Domäne binden.

Vorbereitungen

Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie müssen sie über Control Hub herunterladen.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln.
3	Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, die Registrierung anderer Domänen im Connector wird aufgehoben, und die Connector-Informationen auf diesem Computer werden gelöscht.
4	Melden Sie sich erneut beim Cisco-Verzeichniskonnektor an, und binden Sie die Domäne erneut.

Verzeichnissynchronisierung deaktivieren

Wenn Sie die Synchronisierung über den Verzeichniskonnektor beenden müssen, können Sie sie über Control Hub vorübergehend deaktivieren.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:

Klicken Sie auf „Mehr“ und anschließend neben der Connector-Instanz, die Sie deaktivieren möchten, auf Deaktivieren .
Klicken Sie auf Alle Verzeichnissynchronisierungen deaktivieren, um die Synchronisierung von allen Connector-Instanzen zu beenden.

2

Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten.

Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren.

Benutzerattributzuordnung entfernen

Verwenden Sie den Verzeichniskonnektor, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Benutzerattributzuordnung entfernen.
3	Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus.
4	Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus: Nur mit Verzeichniskonnektor synchronisierte Benutzer: Die Zuordnung wird nur von Benutzern entfernt, die zuvor mit dem Directory Connector synchronisiert worden sind. Alle Nutzer: Die Zuordnung wird von allen Active Directory-Benutzern entfernt.
5	Klicken Sie auf Übernehmen.

Profilbilder verwalten

Verwenden Sie den Verzeichniskonnektor, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Profilbilder verwalten.
3	Wählen Sie unter Aktionen eine der folgenden Optionen aus: Profilbilder für leere Avatar-Quellen entfernen: Wenn das Active Directory-Profilbild leer ist, stellt diese Option sicher, dass die Benutzerprofilbilder aus der Cloud entfernt werden, auch wenn der Benutzer zuvor sein eigenes Bild in Webex hochgeladen hat. Laden Sie die synchronisierte Quelle erneut hoch, um zwischengespeicherte Bilder zu überschreiben: Der Directory Connector verwendet zum Aktualisieren der Profilbilder für alle Benutzer dasselbe Active Directory wie zuvor. Dadurch wird sichergestellt, dass es keine Diskrepanz zwischen den Profilbildern in Active Directory und der Cloud gibt.
4	Klicken Sie auf Übernehmen.

Directory Connector deinstallieren und deaktivieren

Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:

Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
Sie möchten die Domäne ändern und einen anderen Connector installieren.

Vorbereitungen

Möglicherweise werden mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder Synchronisierung mit mehreren Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie den Directory Connector deinstallieren.

1	Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen.
2	Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallieren aus und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen.
3	Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr und anschließend neben der Directory Connector-Instanz, die Sie deinstallieren möchten, auf Deaktivieren .
4	Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren. Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung.

Ausführen des Diagnosetools

Sie können das integrierte Diagnosetool verwenden, um Fehler bei der Directory Connector-Bereitstellung zu beheben. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.

Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.

So führen Sie Tests für Active Directory-Domänendienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-DS , geben Sie Ihre Domäne ein und klicken Sie dann auf Domänencontroller laden.
2. Wählen Sie einen Domänencontroller aus der Liste aus.
  
  Ändern Sie den Eintrag nicht später, da die inkrementelle Suche immer im selben Domänencontroller ausgeführt werden muss.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie im Abschnitt Active Directory-Abfragen weitere Filter, z. B. entweder Benutzer oder Gruppen -Objekte und Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-LDS , geben Sie Ihren Host und Ihren Port ein und klicken Sie dann auf Partitionen laden.
2. Wählen Sie eine Partition aus der Liste aus, und klicken Sie dann auf Verbinden.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie weitere Filter im Abschnitt Active Directory-Abfragen , z. B. Benutzer, UserProxy und UserProxyFull sowie Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte LDAP RAW , geben Sie Ihren Stammpfad und Filter ein, wählen Sie einen Eintrag unter Attribute aus und klicken Sie dann auf Lade-Partitionen.
2. Überprüfen Sie bei Bedarf die folgenden Optionen:
  - ObjectSecurity: Wenn diese Option vorhanden ist, benötigt der Anrufer keine Rechte und kann nur Objekte und Attribute sehen, auf die der Anrufer zugreifen kann. Wenn diese Option nicht vorhanden ist, hat der Anrufer das Recht, Änderungen zu replizieren.
  - ParentsFirst – Stellt sicher, dass alle Eltern der Kinder vor ihre Kinder kommen.
3. Wählen Sie einen Wert für ExtendedDN aus.
  
  Dieser Wert wird bei einer erweiterten LDAP-Suche verwendet, um eine erweiterte Form von Objekt-Distinguished Name anzufordern.
4. Wählen Sie einen Wert für ReferralChasing aus.
  
  Eine Weiterleitungsverfolgung wird initiiert, wenn ein Domänencontroller eine Weiterleitung von einer Abfrage zurückgibt – beispielsweise für Details zu einem Abfrageergebnis, das außerhalb des Namensraums liegen kann (z. B. Gruppenmitglieder in einer anderen Domäne oder einem Wald).
5. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
6. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.

Beheben von Problemen im Ciso Directory Connector

Fehlerbehebung und Fehlerbehebungen für den Directory Connector

Möglicherweise tritt eine Fehlermeldung oder ein anderes Problem im Directory Connector auf. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet der Connector Ihnen möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. Bevor Sie sich an den Support wenden, lesen Sie die folgenden Abschnitte über mögliche Probleme, mögliche Ursachen und vorgeschlagene Lösungen.

Installieren

Directory Connector funktioniert nicht mehr

Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber benachrichtigt wurden, dass Ihr Directory Connector nicht funktioniert.

Der Directory Connector ist möglicherweise nicht korrekt installiert.
Directory Connector wird möglicherweise nicht ausgeführt.
Das Netzwerk ist möglicherweise nicht verfügbar.

Gehen Sie wie folgt vor:

Öffnen Sie Systemsteuerung > Programme und Funktionen. Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
Öffnen Sie den Dienst und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status Gestartet angezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, über Internetzugang verfügt.

Fehler bei erneuter Installation

Problem: Wenn Sie sofort einen neuen Connector installieren, nachdem Sie einen alten deinstalliert haben, wird möglicherweise eine Fehlermeldung angezeigt.

Mögliche Ursache: In Windows Server 2012 benötigt der Client zur Deinstallation Zeit, um das Dienstkonto aus der Dienstliste zu löschen.

Lösung: Versuchen Sie die Installation nach einiger Zeit erneut.

Anmelden

Directory Connector stürzt bei der SSO-Anmeldung ab

Problem

Der Directory Connector kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.

Lösung

Gehen Sie wie folgt vor:

Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:

Wechseln Sie zum Domänencontroller und öffnen Sie Group Policy Management (gpedit.msc).
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne, und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie Bearbeiten aus.

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter Key Path die Option HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter SchlüsselpfadHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Die Änderungen werden wirksam, nachdem Sie gpupdate /force ausgeführt haben, die Maschine neu gestartet wurde (bei Änderungen am Computer) oder sich der Benutzer erneut anmeldet (bei Änderungen am Benutzer).

Cisco DirSync Service Connector konnte nicht registriert werden

Problem

Anmeldung fehlgeschlagen, und die folgende Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“

Lösung

Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.

Die Seite „Keine Anmeldung“ wird angezeigt

Problem

Sie haben den Verzeichniskonnektor geöffnet und die Anmeldeseite wurde nicht angezeigt.

Lösung

Gehen Sie wie folgt vor:

Navigieren Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie den Link in anderen Browsern wie Chrome und Firefox.
Wenn Internet Explorer den Link nicht aufrufen kann, andere Browser dies jedoch können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren .)

Anmeldeaufforderung wird angezeigt

Problem

Es wird eine Aufforderung angezeigt, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu bestehen.

Mögliche Ursache

Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.

Lösung

Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Übergabe der Sicherheit bereitstellen.

Verbindung zum Remote-Server nicht möglich

Problem

Während des normalen Betriebs wird die Fehlermeldung „Keine Verbindung zum Remote-Server möglich“ angezeigt.

Mögliche Ursache

Möglicherweise gibt es Proxy-Probleme, die behoben werden müssen.

Lösung

Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung mit Dienstkonto beheben .

Konnektor kann nicht registriert werden.

Problem

Es wird die Fehlermeldung „Der Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“

Mögliche Ursache

In den meisten Fällen liegt das Problem darin, dass der Directory Connector keine Berechtigung für eine Verbindung mit dem LDAP-Stammkontext hat.

Lösung

Gehen Sie wie folgt vor:

Führen Sie eine Eingabeaufforderung (cmd) aus, und geben Sie ldp.exe ein.
Klicken Sie auf Verbindung > Binden, wählen Sie Als aktuell angemeldeten Benutzer binden und klicken Sie dann auf OK.
Klicken Sie auf Ansicht > Baum, geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall beim Support.

Synchronisierung

Avatare nicht synchronisiert

Problem

Der Cisco Directory Connector hat die Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatar-Daten erfolgreich synchronisiert.

Mögliche Ursache

Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache diese und vermeidet es, erneut zu senden, um Bandbreite zu sparen.

Lösung

Führen Sie die folgenden Schritte aus, um den lokalen Cache zu löschen:

Gehen Sie zu C:\Programme (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Löschen DirSyncPluginAvatar.dll-cache.bin.
Führen Sie die Avatar-Synchronisierung über den Cisco-Verzeichniskonnektor erneut aus.

In Konflikt stehende Benutzer-E-Mail-Konten

Problem

Die Synchronisierungsergebnisse können in Konflikt stehende Benutzer-E-Mail-Konten anzeigen.

Wenn Benutzer die kostenlose Version der Webex-App versucht haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.

Lösung

Gehen Sie wie folgt vor:

Befolgen Sie die folgenden Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
1. Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
2. Deaktivieren Sie Cisco Directory Connector vorübergehend.
3. Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucherorganisation vorhanden sein könnten. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
4. Probelauf im Cisco Directory Connector durchführen und die Verzeichnissynchronisierung anschließend erneut aktivieren
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen.

Konvertierter Benutzer als inaktiv markiert

Problem

In Ihrer verzeichnissynchronisierten Umgebung haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.

Mögliche Ursache

Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer als 30 Tage lang als inaktiv markiert, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des Zeitraums von 30 Tagen zur Löschung markiert. Diese Situation tritt auf, da sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.

Lösung

Sie müssen entsprechende Maßnahmen ergreifen, wenn das Benutzerkonto nicht gelöscht werden soll. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.

Inkrementelle Synchronisierung schlägt fehl

Problem

Eine inkrementelle Synchronisierung schlägt fehl.

Dieses Problem kann unter folgenden Bedingungen auf Windows Server 2008 R2 auftreten:

Sie unterstützen inkrementelle Wertaktualisierungen.
Der Filter, den Sie verwenden, referenziert ein verknüpftes Werteattribut.
Die Ergebniswerte dieses Attributs wurden seit der letzten Durchführung einer vollständigen Synchronisierung aktualisiert.

Lösung

Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihren Windows Server auf mindestens 2012 R2 zu aktualisieren.

Ungültiger Wert für Merkmal

Problem

Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].

Mögliche Ursache

Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.

Lösung

Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.

Übereinstimmende Benutzer zum Löschen

Problem

Die übereinstimmenden Benutzer werden als gelöscht markiert.

Wenn Sie einen Probelauf zur Überprüfung der Daten zwischen Active Directory und der Cloud durchführen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Systemen angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.

Lösung

Wählen Sie eine geeignete Lösung:

Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen danach zu wiederholen, können Sie den Directory Connector für die Behebung verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Support-Fall.

Attribut fehlt

Problem

Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.

Mögliche Ursache

Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsbenutzer,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert aufweisen.

Lösung

Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.

Verschachtelte Gruppe wird nicht synchronisiert

Problem

Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.

Mögliche Ursache

Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Beispiel: (Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)

Lösung

Sie müssen den Filter, der Gruppen synchronisiert, neu konfigurieren. Beispiel: |(Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)(Mitglied=CN=testSubGroup,CN=Benutzer,DC=rktest2008,DC=org)

Konflikt bei Benutzerbenennung

Problem

Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und des Benutzertyps [user_type].

Mögliche Ursache

Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.

Lösung

Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.

Control Hub

Benutzerliste fehlt in Control Hub

Problem

Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird Ihnen die Benutzerliste in Control Hub möglicherweise nicht angezeigt.

Lösung

Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Wechseln Sie in Control Hub zu Benutzer, klicken Sie auf Suchen und geben Sie dann Suchkriterien ein, um nach einem bestimmten Benutzer zu suchen.

Gruppen werden nicht mit Control Hub synchronisiert

Problem

Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.

Mögliche Ursache

Die Gruppe ist in Active Directory nicht als isCriticalSystemObject markiert.

Lösung

Stellen Sie sicher, dass das Attribut isCriticalSystemObject in Active Directory auf TRUE gesetzt ist.

Problembehandlung für den Directory Connector aktivieren

Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.

Die Protokolldateien, die sind: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Führen Sie die Datei `services.msc` aus, um das ausgeführte Konto für den Directory Connector-Dienst vom lokalen System in ein Domänenkonto zu ändern, das über Zugriffsberechtigungen für Ihr AD DS oder AD LDS verfügt.
2	Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten.
3	Klicken Sie im Directory Connector auf Dashboard.
4	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Fehlerbehebung.
5	Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können.
6	Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt. Der Protokollordner speichert nur Dateien für die letzten 3 Tage. Der Inhalt in den Protokolldateien entspricht der Ausgabe des Ereignisprotokolls für das System.
7	Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten.
8	Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind.

Weitere Informationen

Support kontaktieren

Starten der Ereignisanzeige

Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Dashboard und klicken Sie auf Aktion > Ereignisanzeige starten. Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails.
2	Wechseln Sie in der Ereignisanzeige zu Anwendungs- und Dienstprotokolle > Cisco Directory Connector.
3	Klicken Sie unter Aktionen auf Alle Events speichern unter , um alle Protokolle als einzelne Events-Datei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren.

Nächste Schritte

Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und fügen Sie dann die Events-Datei an Ihren Fall an.

In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Hilfe bei der Verwaltung des Netzwerkdatenverkehrs zu erhalten.

TLS in Internet Explorer aktivieren

Wenn Sie Single Sign-On (SSO)-Anbieter gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:

Bei der Anmeldung am Dienst ist ein Fehler aufgetreten
Im Skript auf dieser Seite ist ein Fehler aufgetreten

Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.

1	Öffnen Sie Internet Explorer und wählen Sie Werkzeuge aus. Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die aktiviert werden soll. Klicken Sie auf OK. Schließen Sie den Browser und öffnen Sie ihn erneut.
2	Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , und scrollen Sie zu Sicherheit.
3	Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden , und klicken Sie auf OK.
4	Starten Sie das System neu, damit die Änderungen übernommen werden.

Anmeldeprobleme für Dienstkonten beheben

Wenn Sie sich nicht beim Cisco Directory Connector anmelden können oder keine Synchronisierung durchführen können, versuchen Sie anhand der folgenden Schritte, das Problem zu beheben, bevor Sie sich an den Support wenden.

1

Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen.

2

Wählen Sie je nach den Ergebnissen eine Option:

Wenn Sie den Link nicht über Ihren Browser aufrufen können, überprüfen Sie Ihre Netzwerkeinstellungen. Wenn Sie in Ihrer Umgebung einen Proxy verwenden, überprüfen Sie die Proxy-Einstellungen.
Wenn Sie den Link über Ihren Browser aufrufen, aber den Cisco Directory Connector nicht öffnen können (Fehler 407 kann nicht geöffnet werden), klicken Sie hier , um die neueste Version des Cisco Directory Connector abzurufen.
Wenn Sie den Link über Ihren Browser aufrufen, aber keine Synchronisierung über den Cisco Directory Connector durchführen können, ändern Sie das Konto für die Dienstanmeldung in Domänenadministrator.

Überprüfen Sie, ob das Konto, mit dem Sie sich beim Windows-System angemeldet haben, dasselbe Konto ist, das Sie unter „Cisco DirSync-Dienst“ festgelegt haben. Wenn es sich um 2 verschiedene Konten handelt, stellen Sie sicher, dass beide Konten https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL besuchen können. Wenn Ihre Umgebung einen Proxy verwendet, stellen Sie sicher, dass beide Konten im Internet Explorer für den Proxy konfiguriert sind und https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL erfolgreich aufrufen können.

3

Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (das unter den Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar- und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung für das Windows-Anmeldekonto.

Weitere Informationen

Support kontaktieren

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Übersicht über Cisco Directory Connector

Directory Connector – Übersicht

Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.

Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur zentralen Informationsquelle wird. Wenn Sie eine Änderung lokal vornehmen, wird diese in die Cloud kopiert.

In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:

Funktion	Beschreibung und Vorteil
Benutzerfreundliches Dashboard	Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden.
Probelauf, bevor die Synchronisierung in die Cloud durchgeführt wird	Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor sie in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen.
Vollständige und inkrementelle Synchronisierung	Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen.
Synchronisieren mehrerer Domänen (einzelne Gesamtstruktur oder mehrere Gesamtstrukturen)	Directory Connector unterstützt mehrere Domänen entweder in einer einzelnen Gesamtstruktur oder in mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Der Control Hub spiegelt den Status wider, indem er den Synchronisierungsstatus für mehrere Directory Connectors anzeigt. Damit können Sie die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Directory Connector in einer Hochverfügbarkeitsbereitstellung deaktivieren.
Geplante Synchronisierung	Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest.
LDAP-Filter (Lightweight Directory Access Protocol)	Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit.
Active Directory-Attributzuordnung	Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um die Cloud zuzuordnen. Die Attribute aus dem Standort bilden verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, Enteprise-Telefonnummern in Webex Teams, Raumressourcen-SIP-Adressen und andere Kontaktkartendaten des Benutzers (Stellenbezeichnung, Abteilung, Manager usw.).
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung	Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud-PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte haben, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten auf ihren Cisco Webex Calling (Cloud-PSTN)-Telefonen oder Raumressourcen durchsuchen. Raumressourcen Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugewiesenen SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Cisco Webex Raumgerät oder Cisco Webex Board angezeigt. Wenn Benutzer eine Suche auf einem Cisco Webex Room-Gerät oder Cisco Webex Board durchführen, werden die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde. Anrufe Benutzer können zusätzlich zu den Webex-App-Kontakten Unternehmenskontakte anrufen. Über den Directory Connector werden die Unternehmensbenutzer und ihre Telefonnummern zu Ihrer Webex-Organisation hinzugefügt. Sie müssen nicht für Webex-Dienste lizenziert sein, damit diese Funktion funktioniert. Benutzer, die nicht für Webex lizenziert sind, werden in der Verzeichnissuche angezeigt, die auf dem Telefon eines Cisco Webex Calling-Benutzers durchgeführt wird, solange eine URI oder eine Telefonnummer über den Verzeichniskonnektor mit Webex synchronisiert ist. Die Anrufe funktionieren gleich für beide Benutzertypen. Außerdem bietet dieses Feature eine Bearbeitungsfunktion für Kontakte, die nur eine Telefonnummer enthalten. Für die Kontakte in den Suchergebnissen gilt Folgendes: Wenn Kontakte eine wählbare URI (Webex-SIP-Adresse) und eine Telefonnummer haben, wird die URI angezeigt, die mit dem Kontakt verknüpft ist. Wenn ein Kontakt keine wählbare URI, dafür jedoch eine Telefonnummer hat, wird die Telefonnummer angezeigt. Außerdem wird ein Softkey zum Bearbeiten der gewählten Nummer angezeigt. Kontakte ohne URI oder Telefonnummer werden nicht im Verzeichnis angezeigt.
Ereignisanzeige	Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen.
Diagnose-Tool und Fehlerbehebung	Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können.
Automatisches Upgrade	Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird.
Hohe Verfügbarkeit	Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt.

Directory Connector ist in drei Bereiche unterteilt:

Control Hub ist die zentrale Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und die Einzelanmeldung (SSO) konfigurieren, wenn Ihre Benutzer sich über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App versenden möchten.
Die Directory Connector-Verwaltungsoberfläche ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und die Directory Connector-Dienste zu konfigurieren.
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory ab, um sie mit dem Connector-Dienst und dem Directory Connector zu synchronisieren.

Weitere Informationen zur Directory Connector-Architektur finden Sie in diesem Diagramm:

Vorbereiten Ihrer Umgebung für den Directory Connector

Anforderungen für den Directory Connector

Windows- und Active Directory-Anforderungen

Sie können Directory Connector auf den folgenden unterstützten Windows-Servern installieren:

Windows Server 2022
Windows Server 2019
Windows Server 2016

Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die das Fix enthält – Windows Server 2012 R2 oder 2016.

Directory Connector wird von den folgenden Active Directory-Diensten unterstützt:

Active Directory 2016

(Directory Connector wird bei Verwendung der neuesten Version von Active Directory unter Windows Server 2019 unterstützt)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Beachten Sie die folgenden zusätzlichen Anforderungen:

Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
- .NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, folgen Sie den Anweisungen unter Aktivieren Sie .NET Framework 3.5 mit dem Assistenten zum Hinzufügen von Rollen und Funktionen.)
- .NET Framework v.4.5 (erforderlich für TLS1.2)
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)

Hardware-Anforderungen

Sie müssen Directory Connector auf einem Computer installieren, auf dem die folgenden Mindestanforderungen an die Hardware erfüllt sind:

8 GB RAM
50 GB Speicherplatz
Keine Mindestanforderung für die CPU

Netzwerk-Anforderungen

Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS-Zugriff (Port 443) auf das Internet verfügt.

Anforderungen der Webex-Organisation

Um von Control Hub aus auf die Directory Connector-Software zugreifen zu können, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem bezahlten Abonnement.
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Ihnen, Folgendes zu tun:
- Fügen Sie Domänen hinzu, überprüfen und optional beanspruchen Sie sie , die die E-Mail-Adressen der Benutzer enthalten, die Sie mit der Cloud synchronisieren möchten.
- Integrieren Sie Ihren Identitätsanbieter (IdP) mit Ihrer Webex-Organisation durch die einmalige Anmeldung (Single Sign-On, SSO).
- Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)

Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.

Installationsanforderungen

In einer Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
Für die Anmeldung beim Connector ist kein Administratorkonto in Active Directory erforderlich. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer wie ein Volladministratorkonto in Control Hub ist.

Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computeranmeldekonto sollte ein Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer sein. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Während der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector für den Zugriff auf Active Directory das lokale Systemkonto. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Stellen Sie sicher, dass der Suchmodus für die Windows Safe Dynamic Link Library (DLL) mit diesem Verfahren aktiviert ist: Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung.
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, sollten Sie Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Computern installieren.

Mehrere Domänenanforderungen

Bevor Sie den Aufgaben im Ablauf der Bereitstellungsaufgabe für den Cisco-Verzeichniskonnektor folgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:

Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.)
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , damit Ihre Organisation in eine große Organisationsliste verschoben wird.
Bei Bedarf können Sie Informationen zu Raumressourcen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.)

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.

Active Directory enthält zwei Arten von Gruppen:

Verteilergruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
Sicherheitsgruppen: Wird verwendet, um Berechtigungen für geteilte Ressourcen zuzuweisen.

Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:

Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienstleistung (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex Licensing usw.).
Verwenden Sie organisationsübergreifende Standard-Benennungskonventionen, um die Identifizierung wichtiger Informationen über eine Gruppe zu erleichtern. Gruppennamen können Details zur Gruppe enthalten, z. B. die Zugriffsstufe, die Art der Ressource, die Sicherheitsstufe, den Gruppenumfang, die E-Mail-Funktion usw. Der Gruppenname „GSG_Webex_Licensing_EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
Organisieren Sie Gruppen auf leicht verständliche Weise, z. B. nach Geografie oder Hierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die automatische Lizenzgruppenvorlage in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für die automatische Lizenzzuweisung einrichten .

Informationen zur Größe

Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Alle Beschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.

Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:

Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsjob dauert nicht so lange wie 50000.)
Netzwerkgeschwindigkeit und Bandbreite.
Systemauslastung und Spezifikationen.

Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.

Da bei der Synchronisierung mehrere Faktoren beteiligt sind und jede Bereitstellung abhängig von den oben genannten Faktoren variiert, können wir keine spezifischen Zeitwerte angeben, die angeben, wie lange eine Objektsynchronisierung dauern wird.

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Webproxy-Integration

Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.

Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector stellt eine Verbindung her und synchronisiert die Benutzer.

Sie können einen der folgenden Ansätze verwenden:

Expliziter Webproxy über Internet Explorer (der Connector erbt die Webproxy-Einstellungen)
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert

Webproxy über den Browser verwenden

Sie können den Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.

Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,

1	Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus.
2	Verweisen Sie die Windows-Instanz, auf die der Connector installiert ist, auf Ihren Webproxy. Der Connector erbt diese Webproxy-Einstellungen.
3	Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu: cloudconnector.webex.com für die Synchronisierung. idbroker.webex.com für die Authentifizierung. idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw. Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.
4	Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu: .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

Webproxy über eine PAC-Datei konfigurieren

Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und die Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.

1

Damit der Connector sich erfolgreich mit der Webex Cloud verbinden und die Benutzerinformationen synchronisieren kann, müssen Sie die Proxy-Authentifizierung für cloudconnector.webex.com in der .pac-Dateikonfiguration für den Host deaktivieren, auf dem der Connector installiert ist.

2

Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:

cloudconnector.webex.com für die Synchronisierung.
idbroker.webex.com für die Authentifizierung.
idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw.

Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt.

Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.

3

Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

NTLM-Proxy

Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.

NTLM-Design

In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.

Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus aus Herausforderung und Antwort:

Ein Benutzer meldet sich über ein Windows-Konto und ein Kennwort auf einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines reinen Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hash-Wert mit dem Hash-Wert des eingegebenen Passworts. Wenn beide gleich sind, wird die Authentifizierung erfolgreich ausgeführt.

Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im reinen Textformat.
Wenn der Server die Anforderung erhält, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Herausforderung auf dem Server gespeichert. Anschließend sendet der Server die Aufforderung im reinen Textformat an den Client.
Sobald der Client die vom Server gesendete Challenge erhält, verschlüsselt der Client die Challenge mit dem in Schritt 1 genannten Hash-Wert. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet er ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: der Kontoname, die verschlüsselte Aufforderung, die der Client gesendet hat, und die ursprüngliche einfache Aufforderung.
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.

Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Dadurch müssen Sie keine weitere Konfiguration abschließen.

Transparenten Proxy konfigurieren

In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.

1	Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann.
2	Bestätigen Sie, dass der Proxy erfolgreich ist: Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt.

Proxy-Authentifizierung festlegen

Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.

Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:

1	Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist.
2	Legen Sie eine geschätzte Bandbreite für diese Verbindung fest (ca. 2 MB/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich.
3	Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie `cloudconnector.webex.com` als Ziel an, das Sie zur Zulassungsliste hinzufügen möchten. Beispiel: `access-list 2000 acl-inside extended permit TCP [IP des Connectors] cloudconnector.webex.com eq https`
4	Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt.
5	Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren.

Verzeichniskonnektor bereitstellen

Ablauf der Bereitstellungsaufgabe des Cisco-Verzeichniskonnektors

Vorbereitungen

Vorbereiten Ihrer Umgebung für den Directory Connector

1	Verzeichniskonnektor installieren In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen. Für eine neue Installation von Directory Connector gehen Sie immer zu Control Hub ( https://admin.webex.com), um die neueste Version der Software abzurufen, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
2	Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administrator-Anmeldeinformationen an und führen Sie die Ersteinrichtung durch.
3	Automatische Upgrades festlegen Es ist immer wichtig, dass Ihre Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
4	Active Directory-Objekte zum Synchronisieren auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.
5	Benutzerattribute zuordnen Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist die *uid.
6	Synchronisieren Sie Verzeichnis-Avatare mit einem der folgenden Verfahren: Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass der Avatar jedes Benutzers angezeigt wird, wenn er sich bei der Anwendung anmeldet. Sie können Avatare von einem Active Directory-Attribut oder einem Ressourcenserver synchronisieren.
7	Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Webex Room-Gerät oder Cisco Webex Board angezeigt.
8	Um Benutzer Aus Active Directory In Control Hub Bereitzustellen, führen Sie die folgenden Schritte aus: Durchführen eines Probelaufs für die Active Directory-Benutzer Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Folgen Sie dieser Sequenz, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wald- oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

Verzeichniskonnektor installieren

In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen.

Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf der Synchronisierung mit mehreren Domänen:

Vorbereitungen

Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen:

Für die Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxy-Konfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Webproxy Im Browser verwenden
Bei Proxy-NTLM wird Ihnen möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser.

1	Wechseln Sie in Control Hub zu Benutzer > Benutzer verwalten > Verzeichnissynchronisierung aktivieren und wählen Sie Weiter aus.
2	Klicken Sie auf den Link Herunterladen und installieren, um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die .zip-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert. Holen Sie sich für eine Neuinstallation die neueste Version der Software, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
3	Entpacken Sie die MSI-Datei auf dem VMware- oder Windows-Server und führen Sie sie im Setup-Ordner aus, um den Setup-Assistenten zu starten.
4	Klicken Sie auf Weiter, aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Weiter, bis der Bildschirm „Kontotyp“ angezeigt wird.
5	Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto durch: Lokales System – Die Standardoption. Sie können diese Option verwenden, wenn Sie über Internet Explorer einen Proxy konfiguriert haben. Domänenkonto – Verwenden Sie diese Option, wenn der Computer Teil der Domäne ist. Der Directory Connector muss mit Netzwerkdiensten interagieren, um auf Domänenressourcen zuzugreifen. Geben Sie die Kontoinformationen ein und klicken Sie auf OK. Geben Sie den Benutzernamen im Format `{Domäne}\{Benutzername} ein.` Für einen mit AD (NTLMv2 oder Kerberos) integrierten Proxy müssen Sie die Option für das Domänenkonto verwenden. Das für die Ausführung des Directory Connector-Diensts verwendete Konto muss über ausreichende Privilegien verfügen, um den Proxy zu passieren und auf AD zuzugreifen. Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind: Der Server ist Teil der Domäne Das Domänenkonto kann auf die lokalen AD-Daten und Avatardaten zugreifen. Das Konto muss auch über die lokale Administratorrolle verfügen, da es auf die Dateien unter `C:\Programme` zugreifen muss. Für die Anmeldung einer virtuellen Maschine muss das Administratorkonto mindestens in der Lage sein, Domäneninformationen zu lesen.
6	Klicken Sie auf Installieren. Geben Sie nach der Ausführung des Netzwerktests Ihre grundlegenden Proxy-Anmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertig stellen.

Nächste Schritte

Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Während des Neustarts der Maschine werden alle Daten aktualisiert, um ein exaktes Ergebnis im Bericht anzuzeigen.

Bei Directory Connector anmelden

Vorbereitungen

Stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen.

Für die Proxy-Basic-Auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
Öffnen Sie für Proxy-NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen, stellen Sie sicher, dass die Informationen zum Proxy-Server hinzugefügt wurden, und klicken Sie auf OK. Siehe Verwenden eines Webproxys über den Browser.

1	Öffnen Sie den Connector und fügen Sie `https://idbroker.webex.com` zur Liste der vertrauenswürdigen Sites hinzu, wenn Sie dazu aufgefordert werden.
2	Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich dann mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter.
3	Bestätigen Sie Ihre Organisation und Ihre Domäne. Wenn Sie AD DS auswählen, aktivieren Sie LDAP over SSL, um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden, wählen Sie die Domäne aus, aus der Sie synchronisieren möchten, und klicken Sie auf Bestätigen. Wenn Sie LDAP über SSL nicht aktivieren, verwendet DirSync weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher. Wenn Sie AD LDS auswählen, geben Sie Host, Domäne und Port ein und klicken Sie auf Aktualisieren, um alle Anwendungspartitionen zu laden. Wählen Sie dann die Partition aus der Dropdown-Liste aus und klicken Sie auf Bestätigen. Weitere Informationen finden Sie im Abschnitt „AD LDS“. Stellen Sie sicher, dass Sie in der Konfigurationsdatei CloudConnectorCommon.dll die Einstellung ADAuthLevel zum Knoten appSetting hinzufügen. Die Werte können 1, 2 oder 3 sein. In diesem Artikel von Microsoft erfahren Sie mehr über Authentifizierungstypen. Hier ein Beispiel für die Einstellung mit dem Wert 1: `<appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	Nachdem der Bildschirm Organisation bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Wenn Sie AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Organisation bestätigen angezeigt.
5	Klicken Sie auf Bestätigen.
6	Wählen Sie eine der folgenden Optionen aus, abhängig von der Anzahl der Active Directory-Domänen, die Sie an den Directory Connector binden möchten: Wenn Sie über eine einzige Domäne verfügen, die AD LDS ist, verbinden Sie sich mit der vorhandenen AD LDS-Quelle und klicken Sie auf Bestätigen. Wenn Sie eine einzige Domäne haben, die AD DS ist, führen Sie die Bindung entweder mit der vorhandenen Domäne oder mit einer neuen Domäne aus. Wenn Sie An eine neue Domäne binden auswählen, klicken Sie auf Weiter. Da der vorhandene Quelltyp AD DS ist, können Sie AD LDS nicht für die neue Bindung auswählen. Wenn Sie mehr als eine Domäne haben, wählen Sie eine vorhandene Domäne aus der Liste aus oder An neue Domäne binden und klicken Sie dann auf Weiter. Da Sie mehr als eine Domäne haben, muss der vorhandene Quelltyp AD DS sein. Wenn Sie An neue Domäne binden auswählen und auf Weiter klicken, können Sie AD LDS nicht für die neue Bindung auswählen.

Nächste Schritte

Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.

Directory Connector-Dashboard

Wenn Sie sich zum ersten Mal beim Directory Connector anmelden, wird das Dashboard angezeigt. Hier können Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken anzeigen, einen Probelauf für die Synchronisierung durchführen, eine vollständige oder inkrementelle Synchronisierung starten und die Event-Ansicht starten, um Fehlerinformationen anzuzeigen.

Melden Sie sich erneut an, falls Ihre Sitzung eine Zeitüberschreitung auftritt.

Sie können diese Aufgaben einfach über die Symbolleiste oder das Menü „Aktionen“ ausführen.

Tabelle 1. Dashboard-Komponenten
Komponente	Beschreibung
Aktuelle Synchronisierung	Zeigt die Statusinformationen zur laufenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige inaktiv.
Nächste Synchronisierung	Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Zeitplan festgelegt ist, wird Nicht angesetzt angezeigt.
Letzte Synchronisation	Zeigt den Status der letzten beiden durchgeführten Synchronisierungen an.
Aktueller Synchronisierungsstatus	Zeigt den Gesamtstatus der Synchronisierung an.
Konnektoren	Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind.
Cloud-Statistik	Zeigt den Gesamtstatus der Synchronisierung an.
Synchronisierungszeitplan	Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung an.
Konfigurationszusammenfassung	Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten: Alle Objekte werden synchronisiert Alle Benutzer werden synchronisiert Gelöschter Schwellenwert ist deaktiviert worden.

Tabelle 2: Aktionen-Symbolleiste
Aktion	Beschreibung
Inkrementelle Synchronisierung starten	Inkrementelle Synchronisierung manuell starten Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn noch keine vollständige Synchronisierung abgeschlossen wurde oder wenn eine Synchronisierung läuft.
Probelauf synchronisieren	Führen Sie einen Probelauf für die Synchronisierung durch.
Ereignisanzeige starten	Starten Sie die Microsoft-Ereignisanzeige.
Aktualisieren	Aktualisieren des Cisco Directory Connector-Dashboards

Tabelle 3: Menüleiste „Aktionen“
Aktion	Beschreibung
Jetzt synchronisieren	Starten Sie sofort eine vollständige Synchronisierung.
Synchronisierungsmodus	Wählen Sie entweder den inkrementellen oder den vollständigen Synchronisierungsmodus aus.
Geheimschlüssel für Konnektor zurücksetzen	Stellen Sie eine Unterhaltung zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Durch Auswahl dieser Aktion wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert.
Probelauf	Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung durchführen.
Fehlerbehebung	Aktivieren/deaktivieren Sie die Fehlerbehebung.
Aktualisieren	Aktualisieren Sie den Cisco Directory Connector-Hauptbildschirm.
Beenden	Beenden Sie den Cisco Directory Connector.

Tabelle 4: Tastenkombinationen
Tastenkombination	Aktion
Alt +A	Das Menü Aktionen anzeigen
`Alt +A + S`	Jetzt synchronisieren
`Alt +A + R`	Geheimschlüssel für Konnektor zurücksetzen
`Alt +A + D`	Probelauf
`Alt +A + S + I`	Inkrementelle Synchronisierung
`Alt +A + S + F`	Vollständige Synchronisierung
`Alt + H`	Menü Hilfe anzeigen
`Alt + H + H`	Hilfe
`Alt + H + A`	Info
`Alt + H + F`	häufig gestellte Fragen

Automatische Upgrades festlegen

1	Wechseln Sie im Directory Connector zu Konfiguration > Allgemein und aktivieren Sie die Option Automatisch auf neue Cisco Directory Connector-Version aktualisieren.
2	Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.

Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion.

Active Directory-Objekte zum Synchronisieren auswählen

Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.

Gruppen für die automatische Lizenzzuweisung

Mit Control Hub können Sie Lizenzzuweisungen auf Gruppenbasis verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Beim Erstellen eines Benutzers überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.

Wir empfehlen, einen LDAP-Filter zu verwenden, um nur relevante Gruppen mit der Cloud zu synchronisieren. Beispielsweise können Sie den Filter auf:

(&(cn=Beispiel)(objectclass=Gruppe))*

Dieser Filter synchronisiert alle Gruppen innerhalb des Basis-DN, bei dem der Name mit „Beispiel“ beginnt. Benutzern, die keinen Gruppen zugewiesen sind, werden Lizenzen über die automatische Standardlizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.

Objektauswahlbildschirm im Directory Connector

Gruppen für Hybrid-Datensicherheitsbereitstellungen

Im Directory Connector müssen Sie Gruppen aktivieren, wenn Sie Hybrid-Datensicherheit zum Konfigurieren einer Testgruppe für Pilotbenutzer verwenden. Anleitungen finden Sie im Bereitstellungsleitfaden für Hybrid-Datensicherheit. Diese Verzeichniskonnektor-Einstellung wirkt sich nicht auf die Synchronisierung anderer Benutzer in der Cloud aus.

Vorbereitungen

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl.
2	Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und erwägen Sie, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die zur Beispiel-Manager-Gruppe gehören, verwenden Sie einen Filter wie diesen: `(&(sAMAccountName=*)(memberOf=cn=Beispiel-Manager,ou=Beispiel,ou=Sicherheitsgruppe,dc=UNTERNEHMEN))`
3	Aktivieren Sie das Kontrollkästchen Raum identifizieren, um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen, wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie lokale Rauminformationen von Active Directory mit der Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.
4	Aktivieren Sie Gruppen, wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie keinen LDAP-Filter für die Benutzersynchronisierung zum Feld „Gruppen“ hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren. Gruppen werden standardmäßig nicht für neue Kunden synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren.
5	Aktivieren Sie Kontakte, wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten. Der Verzeichniskonnektor verwaltet nur Kontakte, die vom Konnektor synchronisiert wurden. Wenn bereits Kontakte in Control Hub vorhanden sind, werden die Kontakte durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsumfang entfernt werden, werden auch die Kontaktinformationen der Benutzer in Control Hub entfernt.
6	Konfigurieren Sie die LDAP-Filter. Sie können erweiterte Filter hinzufügen, indem Sie einen gültigen LDAP-Filter bereitstellen. Weitere Informationen zum Konfigurieren von LDAP-Filtern finden Sie in diesem Artikel.
7	Geben Sie die zu synchronisierenden lokalen Basis-DNs an, indem Sie auf Auswählen klicken, um die Baumstruktur Ihres Active Directory anzuzeigen. Von hier aus können Sie auswählen, welche Container gesucht werden sollen.
8	Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten, und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container zur Synchronisierung auswählen. Wählen Sie einen übergeordneten Container aus, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird im übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container aktiviert wurde. Sie können dann auf Auswählen klicken, um die von Ihnen ausgewählten Active Directory-Container zu akzeptieren. Wenn Ihre Organisation alle Benutzer und Gruppen im Benutzer-Container platziert, müssen Sie keine anderen Container durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, stellen Sie sicher, dass Sie OUs auswählen.
9	Klicken Sie auf Übernehmen. Wählen Sie eine Option: Konfigurationsänderungen anwenden Probelauf Abbrechen Informationen zu Probeläufen finden Sie unter Durchführen einer Probelauf-Synchronisierung für Ihre Active Directory-Benutzer. Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen.

Benutzerattribute zuordnen

Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.

Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll – Sie können beispielsweise firstName lastName in Active Directory oder einen benutzerdefinierten Attributausdruck displayName in der Cloud zuordnen.

Konten in Active Directory müssen über eine E-Mail-Adresse verfügen; die uid wird standardmäßig dem Feld ad der E-Mail zugeordnet (nicht sAMAccountName).

Wenn Sie festlegen, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, ist Active Directory die einzige Informationsquelle: Benutzer können ihre Spracheinstellung in den Webex-Einstellungen nicht ändern, und Administratoren können die Einstellung in Control Hub nicht ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet.
2	Scrollen Sie zum Ende der Active Directory-Attributnamen und wählen Sie dann eines der folgenden Active Directory-Attribute aus, um das Cloud-Attribut uid zuzuordnen: E-Mail – wird in den meisten Bereitstellungen für das E-Mail-Format verwendet. userPrincipalName – Eine alternative Wahl, wenn Ihr E-Mail-Attribut für andere Zwecke in Active Directory verwendet wird. Dieses Attribut muss im E-Mail-Format vorliegen. Sie können beliebige andere Active Directory-Attribute der uid zuordnen. Wir empfehlen jedoch, „mail“ oder „userPrincipalName“ zu verwenden, wie in den obigen Richtlinien beschrieben. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, mit welchen Attributen in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen im Directory Connector. Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen ausgewählte Active Directory-Attribut im E-Mail-Format vorliegt. Der Verzeichniskonnektor zeigt ein Popup-Fenster an, das Sie daran erinnert, wenn Sie eines der empfohlenen Attribute nicht auswählen.
3	Wenn die vordefinierten Active Directory-Attribute in Ihrer Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können. Klicken Sie auf Hilfe, um weitere Informationen zu den Ausdrücken zu erhalten und Beispiele für die Funktionsweise von Ausdrücken anzuzeigen. Weitere Informationen finden Sie auch unter Ausdrücke für angepasste Attribute. Ordnen wir in diesem Beispiel die Active Directory-Attribute `givenName` und `Sn` dem Cloud-Attribut `displayName` zu: Definieren Sie den Attributausdruck givenName + "" + Sn (bei den Anführungszeichen handelt es sich um ein zusätzliches Leerzeichen) und geben Sie dann die E-Mail-Adresse eines vorhandenen Benutzers zur Überprüfung an. Klicken Sie auf Überprüfen, und prüfen Sie, ob das Ergebnis mit dem übereinstimmt, was Sie erwartet haben. Ein erfolgreiches Ergebnis sieht so aus: Wenn die Ergebnisse den erwarteten Ergebnissen entsprechen, klicken Sie auf OK, um das neue angepasste Attribut zu speichern. Wenn Sie später den displayName ändern möchten, können Sie einen neuen Attributausdruck eingeben. Der Directory Connector überprüft den Attributwert von uid im Identitätsdienst und ruft 3 verfügbare Benutzer unter den aktuellen Benutzerfilteroptionen ab. Wenn alle diese 3 Benutzer ein gültiges E-Mail-Format haben, zeigt der Cisco Directory Connector die folgende Meldung an: Wenn das Attribut nicht verifiziert werden kann, wird die folgende Warnung angezeigt und Sie können zu Active Directory zurückkehren, um die Benutzerdaten zu überprüfen und zu korrigieren:
4	(Optional) Wählen Sie Zuordnungen für Mobilgeräte und Telefonnummer aus, wenn Mobil- und Geschäftsnummern angezeigt werden sollen, beispielsweise in der Kontaktkarte des Benutzers in der Webex-App. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt. Weitere Informationen zu Anrufen über die Kontaktkarte eines Benutzers finden Sie im Bereitstellungshandbuch für Anrufe in Webex (Unified CM) (Administratoren).
5	Wählen Sie zusätzliche Zuordnungen aus, um weitere Daten in der Kontaktkarte anzuzeigen: `Abteilungsnummer` `Anzeigename` `Manager` `Titel` Nach der Zuordnung der Attribute werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt: Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren. Nachdem diese Attribute mit den einzelnen Benutzerkonten synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Benutzer der Webex-App mehr Informationen in ihren Profilen teilen und mehr voneinander erfahren. Weitere Informationen zur Funktion und zum Aktivieren finden Sie unter Profile für „People Insights“ für Webex, Jabber, Webex Meetings und Webex Events (Neu) in Control Hub.
6	Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie auf Übernehmen.

Alle in Active Directory enthaltenen Benutzerdaten überschreiben die diesem Benutzer entsprechenden Daten in der Cloud. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Alle Benutzer ohne entsprechende E-Mail-Adresse in Active Directory werden gelöscht.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Active Directory- und Cloud-Attribute

Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattributzuordnung verwenden.

In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Verzeichniskonnektor. Sie können in den Dropdown-Menüs des Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloudattribut synchronisiert wird.

Betrachten Sie die Dropdown-Attribute als Voreinstellungen. Als Alternative zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory angeben (ein Ausdruck mit mehreren Attributen), um ein einzelnes Cloudattribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise haben Sie die Flexibilität, die Anzeigenamen Ihrer Benutzer zu bestimmen. Sie können beispielsweise einen Ausdruck hinzufügen, der basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory ein angepasstes Attribut erstellt.

Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.

Sie können auch alternative E-Mail-Adressen verwenden, z. B. wenn Sie den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall dem Attribut emails;type-work eine andere E-Mail-Adresse zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.

Active Directory-Attributnamen	Webex-Cloud-Attributnamen	Anmerkungen
—	Gebäudename	—
c	c	Dieses Attribut gibt die Länderabkürzung des Benutzers an.
Abteilungsnummer	Abteilungsnummer	Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die auf der Kontaktkarte und People Insights angezeigt wird.
Anzeigename	Anzeigename	Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
BenutzerAccountControl	ds-pwp-konto-deaktiviert	Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist, andernfalls werden die Benutzer nicht ordnungsgemäß synchronisiert.
Mitarbeiternummer	Mitarbeiternummer	—
FaxTelefonnummer	FaxTelefonnummer	—
—	Jabber-ID	Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert ist nicht identisch mit sipAddresses.
l	l	Dieses Attribut gibt die Stadt des Benutzers an.
—	Ländereinstellung	—
Manager	Manager	Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der auf der Kontaktkarte und People Insights angezeigt wird.
Mobil	Mobil	Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen.
o	o	Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird auf der Kontaktkarte angezeigt.
Ou	Ou	Dieses Attribut gibt den Namen der Organisationseinheit an.
physischeLieferungBüroName	physischeLieferungBüroName	Dieses Attribut gibt den Bürostandort des Benutzers an.
Postleitzahl	Postleitzahl	Dieses Attribut gibt die Postleitzahl des Benutzers für die physische Postzustellung an.
bevorzugteSprache	bevorzugteSprache	Dieses Attribut legt die bevorzugte Sprache des Benutzers fest. Es werden die folgenden Formate unterstützt: xx_YY oder xx-YY. Hier einige Beispiele: de_US, de_GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format verwenden, wird die bevorzugte Sprache des Benutzers zur für die Organisation festgelegten Sprache geändert.
MSRTCSIP-PrimäreBenutzeradresse IP-Telefon	SIP-Adressen;type=Unternehmen	Dieses Attribut wird verwendet, um lokale Rauminformationen aus Active Directory mit der Cisco Webex-Cloud zu synchronisieren.
sn	sn	Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
st	st	Dieses Attribut gibt das Bundesland des Benutzers an.
Straßenadresse	Straße	Dieses Attribut gibt die Postanschrift des Benutzers für die physische Postzustellung an.
Telefonnummer	Telefonnummer	Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die zum Anrufen des Benutzers über die Kontaktkarte verwendet wird.
—	Zeitzone	Dieses Cloudattribut gibt die Zeitzone des Benutzers an.
Titel	Titel	Dieses Attribut gibt den Titel des Benutzers an, der auf der Kontaktkarte und People Insights angezeigt wird.
Typ	Unternehmen	—
E-Mail userPrincipalName	UID	Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann sich dann mit einer dieser E-Mail-Adressen anmelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen dazu, wie Sie eine alternative E-Mail-Adresse zuordnen können, finden Sie im Beispiel-Attributzuordnung unten.
userPrincipalName E-Mail <benutzerdefiniertes Attribut>	E-Mails;Arbeit eingeben	Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.
<Neues Attribut für Azure-Benutzer objectId>	externe ID	Erstellen Sie ein neues Active Directory-Attribut, um die Objekt-ID des Azure-Benutzers zu speichern, damit sie nicht mit einem vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen.

Alternative E-Mail-Adresszuordnung

Ausdrücke für angepasste Attribute

Tabelle 5: Ausdrücke für angepasste Attribute
Vermittler	Beschreibung und Beispiel
%	Entfernt alle Zeichen vom Anfang bis zur Position des Zeichens oder des String-Arguments, falls diese übereinstimmen. Beispielausdruck `"abc@example.com" % "@"` Ergebnis `beispiel.com`
-	Entfernt die Rückseite der Eingabezeichenfolge vom Ende der angegebenen Zeichenfolge. Beispielausdruck `„abc@example.com“ – „@“` Ergebnis `ABC`
+	Verkettet Eingabezeichenfolgen oder Ausdrücke. Beispielausdruck `„abc“ + „“ + „def“` Ergebnis `ABC DEF`
\|	Evaluiert die getrennten Ausdrücke anhand einer leeren Zeichenkette und wählt das erste nicht-leere Ergebnis aus. Beispielausdruck `„“ \| „abc“` Ergebnis `ABC`

Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit diesem Verfahren können Sie Avatarrohdaten aus einem Active Directory-Attribut synchronisieren.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie für Avatar abrufen von die Option AD-Attribut und anschließend das Avatar-Attribut aus, das die Avatar-Rohdaten enthält, die Sie mit der Cloud synchronisieren möchten.
3	Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar des Benutzers abrufen. Der Avatar wird rechts angezeigt.
4	Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit dieser Prozedur können Sie Avatare von einem Ressourcenserver synchronisieren.

Vorbereitungen

Das URI-Muster und der Variablenwert in dieser Prozedur sind Beispiele. Sie müssen tatsächliche URLs verwenden, unter denen sich Ihre Verzeichnis-Avatare befinden.
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht öffentlich im Internet zugänglich sein.
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass auf Avatar-Daten über die NTLM-Authentifizierung oder die Basic-Auth zugegriffen werden kann.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie unter Avatar abrufen von die Option Ressourcenserver aus, und geben Sie das Avatar-URI-Muster ein – zum Beispiel *`http://www.example.com/dir/photo/zoom/{mail: .?(?=@.)}.JPG`* Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten: http://www.example.com/dir/photo/zoom/ – Der Pfad zum Speicherort aller Fotos, die synchronisiert werden sollen, befindet sich. Es muss sich um eine URL handeln, auf die der Directory Connector-Dienst auf Ihrem Server zugreifen kann. mail: – Weist den Directory Connector an, den Wert des E-Mail-Attributs aus Active Directory zu erhalten .?(?=@.) – Eine Regex-Syntax, die die folgenden Funktionen ausführt: *`. – Jedes Zeichen, das null- oder mehrmals wiederholt wird.` `? – Weist die vorangestellte Variable an, so wenige Zeichen wie möglich zuzuordnen.` `(?= ... ) – Entspricht einer Gruppe nach dem Hauptausdruck, ohne sie in das Ergebnis einzubeziehen. Der Verzeichniskonnektor sucht nach einer Übereinstimmung und fügt diese nicht in die Ausgabe ein.` `@.* – Das at-Symbol, gefolgt von einem beliebigen Zeichen, das null- oder mehrmals wiederholt wird.` `.jpg – Die Dateierweiterung für die Avatare Ihrer Benutzer. Siehe unterstützte Dateitypen in diesem Dokument und ändern Sie die Erweiterung entsprechend.`**
3	(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen benötigt, aktivieren Sie die Option Benutzeranmeldeinformationen für Avatar festlegen. Wählen Sie anschließend Aktuellen Service-Anmeldebenutzer verwenden oder Diesen Benutzer verwenden aus, und geben Sie das Passwort ein.
4	Geben Sie den Variablenwert ein, zum Beispiel: `abcd@example.com`.
5	Klicken Sie auf Test, um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. Wenn in diesem Beispiel der E-Mail-Wert für einen AD-Eintrag `abcd@example.com` lautet und jpg-Bilder synchronisiert wurden, lautet der endgültige Avatar-URI`http://www.example.com/dir/photo/zoom/abcd.jpg.`
6	Nachdem die URI-Informationen überprüft wurden und korrekt angezeigt wurden, klicken Sie auf Übernehmen. Detaillierte Informationen zur Verwendung regulärer Ausdrücke finden Sie in der Microsoft Regular Expression Language Quick Reference .

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von lokalen Rauminformationen mit der Webex Cloud

Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Webex-Geräten (Room, Desk und Board) angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Objektauswahl.
2	Aktivieren Sie das Kontrollkästchen Rauminformationen mit Cloud synchronisieren, um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf die gleiche Weise behandelt wie synchronisierte Benutzerdaten.
3	Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=enterprise. Um die Wertevalidierung zu verwenden, sollte der Wert der SIP-Adresse Pattern.compile("^([^@])(.)@(.)$") lauten. Wählen Sie MSRTCSIP-PrimaryUserAddress, falls verfügbar. Wenn das oben genannte Attribut nicht in Ihrem Active Directory-Schema vorhanden ist, verwenden Sie ein anderes Feld wie ipPhone.
4	Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann zum Identifizieren von Räumen verwendet.
5	Navigieren Sie von Active Directory-Benutzern und -Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den vollständig qualifizierten SIP-URI mit dem Präfix sip hinzu:
6	Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden Objekte hinzugefügt aufgelistet, und übereinstimmende Raumobjekte werden im Probelauf-Bericht unter Übereinstimmende Objekte angezeigt. Alle Raumobjekte, die zum Löschen markiert sind, finden Sie unter Räume gelöscht. In den Ergebnissen des Probelaufs werden alle abgestimmten Raumressourcen angezeigt. Diese Einstellung trennt die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.

Nächste Schritte

Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Cloud registrierten Webex-Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde.

Über Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.

Der Endpunkt kann einen Rückruf nicht an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte lokal oder an einem anderen Ort als der Webex-App als SIP URI registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, dem Schreibtischgerät oder dem Webex Board für den Kalenderdienst befindet, wird der doppelte Eintrag in den Suchergebnissen nicht angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App angerufen und es wird kein SIP-Anruf getätigt.

E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisation senden

Standardmäßig erhalten die Organisationskontakte oder Administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen mit einer Zusammenfassung der Verzeichnissynchronisierungsberichte erhalten soll.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benachrichtigung aus.
2	Klicken Sie im Directory Connector auf Einstellungen und aktivieren Sie neben E-Mail-Empfänger die Option Synchronisierung des Berichts aktivieren.
3	Aktivieren Sie Benachrichtigung aktivieren, wenn Sie das Standard-Benachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten.
4	Klicken Sie auf Hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
5	Klicken Sie auf E-Mail hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
6	Wenn Sie eingegebene E-Mail-Adressen bearbeiten müssen, doppelklicken Sie auf den E-Mail-Eintrag in der linken Spalte, und nehmen Sie dann die gewünschten Änderungen vor.
7	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Übernehmen.
8	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Speichern.

Nächste Schritte

Wenn Sie festgelegt haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und klicken Sie dann auf Entfernen.

Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.

Bereitstellen von Benutzern Aus Active Directory In Control Hub

Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (entweder mit einer einzelnen Gesamtstruktur oder mit mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

1	Durchführen eines Probelaufs für die Active Directory-Benutzer Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.
2	Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
3	Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen auf verschiedene Weise zuweisen. Wir empfehlen Ihnen, eine Lizenzvorlage für die automatische Zuweisung einzurichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen.

Durchführen eines Probelaufs für die Active Directory-Benutzer

Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.

Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel des Directory Connector ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud herzustellen.

Wenn Sie in einer oder mehreren Gesamtstrukturen mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Vorbereitungen

Möglicherweise befinden sich bereits einige Webex-App-Benutzer in Control Hub, bevor Sie den Verzeichniskonnektor verwendet haben. Einige der Benutzer in der Cloud können mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es können jedoch Testbenutzer sein, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Active Directory und Control Hub erstellen.

1	Eine Option auswählen: Klicken Sie nach der erstmaligen Anmeldung in der Eingabeaufforderung auf Ja, um einen Probelauf durchzuführen. Wenn Sie eine Erinnerung an die Durchführung eines Probelaufs verpassen, klicken Sie jederzeit über den Directory Connector auf Dashboard, wählen Sie Probelauf synchronisieren aus und klicken Sie dann auf OK, um einen Probelauf-Synchronisierung zu starten. Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt: *Nicht übereinstimmende Objekte im Directory Connector erkannt* *Zusammenfassung der Ergebnisse des Probelaufs und der nicht übereinstimmenden Objekte im Directory Connector* Die Zusammenfassung enthält Informationen über die Objektabgleich: Übereinstimmende Objekte – Ein Benutzer, der sich in Webex Common Identity befindet und auch in der Active Directory-Domäne vorhanden ist, d. h. wenn ein Benutzer@cisco.com mit Webex synchronisiert und in Control Hub angezeigt wurde und derselbe Benutzer (ein Benutzer@cisco.com) in Active Directory vorhanden ist. Dies bedeutet, dass der Benutzer zugeordnet wurde. Nicht übereinstimmende Objekte: Ein Benutzer, der sich in Webex befindet, unabhängig davon, wie er in Common Identity hinzugefügt wurde, aber nicht in Active Directory vorhanden ist. Es wird als Nicht übereinstimmendes Objekt bezeichnet. Beispiel: Wenn ein Benutzer@cisco.com in Webex synchronisiert und in Control Hub angezeigt wurde, aber derselbe Benutzer (Benutzer@cisco.com) nicht von Active Directory verwaltet wird, zeigt der Bericht an, dass der Benutzer nicht übereinstimmt. Der Probelauf identifiziert die Benutzer, indem er sie mit Domänenbenutzern vergleicht. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten möchten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory.
2	Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option aus, je nachdem, ob Sie eine einzelne oder mehrere Domänen verwenden: Einzeldomäne – Entscheiden Sie, ob Sie die nicht übereinstimmenden Benutzer beibehalten möchten. Wenn Sie sie behalten möchten, wählen Sie Nein, Objekte behalten aus. Wenn Sie dies nicht tun, wählen Sie Ja, Objekte löschen. Nachdem Sie diese Schritte ausgeführt haben und eine vollständige Synchronisierung manuell durchführen, damit eine exakte Übereinstimmung zwischen dem lokalen Standort und der Cloud vorliegt, aktiviert der Directory Connector automatisch geplante automatische Synchronisierungsaufgaben. Mehrere Domänen: Führen Sie für eine Organisation mit Domäne A und Domäne B zunächst einen Probelauf für Domäne A durch. Wenn Sie nicht übereinstimmende Benutzer behalten möchten, wählen Sie Nein, Objekte behalten aus. (Diese nicht übereinstimmenden Benutzer können Mitglieder von Domäne B sein.) Wenn Sie löschen möchten, wählen Sie Ja, Objekte löschen aus. Wenn Sie die Benutzer beibehalten, führen Sie zuerst eine vollständige Synchronisierung für Domäne A und anschließend einen Probelauf für Domäne B durch. Wenn es immer noch Benutzer gibt, die nicht übereinstimmen, fügen Sie diese Benutzer in Active Directory hinzu, und führen Sie anschließend eine vollständige Synchronisierung für Domäne B durch. Wenn eine exakte Übereinstimmung zwischen lokal und Cloud vorliegt, aktiviert der Verzeichniskonnektor automatisch angesetzte automatische Synchronisierungsaufgaben.
3	Klicken Sie in der Aufforderung Probelauf bestätigen auf Ja, um die Synchronisierung des Probelaufs erneut durchzuführen und das Dashboard anzuzeigen, um die Ergebnisse anzuzeigen. Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter Übereinstimmende Objekte angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Um die Details der synchronisierten Elemente anzuzeigen, klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched. Um die Zusammenfassungsinformationen zu speichern, klicken Sie auf Ergebnisse in Datei speichern.
4	Wenn die Ergebnisse erwartet werden, gehen Sie zu Aktionen > Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt aktivieren, um eine manuelle Synchronisierung durchzuführen und an diesem Punkt in den manuellen Modus zu versetzen. Nachdem Sie eine Synchronisierung mit der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte zwischen der Webex-Cloud und allen lokalen Active Directories vollständig übereinstimmen.

Nächste Schritte

Alle nicht übereinstimmenden Benutzerobjekte, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen lokaler und Cloud-Umgebung besteht.
Wählen Sie einen Synchronisierungstyp:
- Führen Sie eine vollständige Synchronisierung der Active Directory-Benutzer in der Cloud durch, wenn Sie neue Benutzer zum ersten Mal mit der Cloud synchronisieren. Tun Sie dies über Aktionen > Jetzt synchronisieren > Voll. Anschließend werden die Benutzer aus der aktuellen Domäne synchronisiert.
- Legen Sie den Connector-Zeitplan fest und Führen Sie eine inkrementelle Synchronisierung durch, nachdem Sie eine vollständige Synchronisierung durchgeführt haben und wenn Sie die Änderungen nach der ursprünglichen Synchronisierung übernehmen möchten. Diese Art der Synchronisierung wird empfohlen, um kleine Änderungen an der Active Directory-Benutzerquelle zu übernehmen.
  
  Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben.
Wenn Sie über mehrere Domänen verfügen, wiederholen Sie diese Schritte auf einem anderen Directory Connector, den Sie installiert haben.

Zu beachtende Punkte

Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisation dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeberichte überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.

Wenn übereinstimmende Benutzer als gelöscht markiert sind und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und wenden Sie sich an den Support unter Fehlerbehebung und Fehlerbehebungen für Directory Connector.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen

Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.

Wenn Sie über mehrere Domänen verfügen, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Directory Connector synchronisiert den Benutzerkontostatus: In Active Directory werden als deaktiviert gekennzeichnete Benutzer in der Cloud als inaktiv angezeigt.

Vorbereitungen

Wenn sich die Webex-App-Benutzerkonten nach der vollständigen Synchronisierung im Status „Aktiv“ befinden sollen, bevor sich die Benutzer zum ersten Mal anmelden, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:
- Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Siehe Einmalige Anmeldung mit Cisco Webex-Diensten und dem Identitätsanbieter Ihrer Organisation um mehr zu erfahren.
- Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.
- Automatische E-Mail-Einladungen unterdrücken, sodass neue Benutzer die automatische E-Mail-Einladung zur Webex-App nicht erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
  
  Aktivierte Benutzer, die sich nicht angemeldet haben, werden in Control Hub mit dem Status Verifiziert angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub.
Wenn Sie die Synchronisierung aktivieren, werden Sie vom Verzeichniskonnektor zuerst aufgefordert, einen Probelauf durchzuführen. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu ermitteln.
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.

Wenn Sie keine Lizenzvorlagen für die automatische Zuweisung verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie können dieselben kostenlosen Funktionen wie Benutzer mit kostenlosen Konten verwenden.

1	Eine Option auswählen: Wenn nach der erstmaligen Anmeldung der Probelauf abgeschlossen ist und für alle Domänen korrekt aussieht, klicken Sie auf Jetzt aktivieren, um die automatische Synchronisierung zuzulassen. Wechseln Sie vom Directory Connector zum Dashboard, klicken Sie auf Aktionen, wählen Sie Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt synchronisieren > Vollständig, um die Synchronisierung zu starten.
2	Wechseln Sie im Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Vollständige Synchronisierung aus.
3	Bestätigen Sie den Start der Synchronisierung. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch bis zu 72 Stunden nach der Synchronisierung angezeigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung zeigt das Dashboard den Synchronisierungsfortschritt an. Dies kann die Art der Synchronisierung, die Startzeit und die Phase enthalten, in der die Synchronisierung derzeit ausgeführt wird. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Benutzerdaten werden mit der Cloud synchronisiert. Wenn während der Synchronisierung Fehler auftreten, leuchtet die Statusanzeige rot.
4	Klicken Sie auf Aktualisieren, wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik angezeigt.)
5	Wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um weitere Informationen zu Fehlern zu erhalten, um die Fehlerprotokolle anzuzeigen.
6	Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen mit der Cloud finden Sie unter Festlegen des Connector-Zeitplans und Ausführen einer inkrementellen Synchronisierung.

Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung auf der Seite Einstellungen in Control Hub von Deaktiviert zu Betriebsbereit aktualisiert.
Wenn alle Daten zwischen lokaler und Cloud-Umgebung abgeglichen werden, wechselt der Verzeichniskonnektor vom manuellen Modus in den automatischen Synchronisierungsmodus.
Sofern Sie die Einzelanmeldung nicht integrieren, Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben und automatische E-Mails unterdrücken, bleiben die Benutzerkonten der Webex-App im Status „Nicht verifiziert“, bis sich die Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Eine Anleitung zur Synchronisierung der Konten als aktive Benutzer finden Sie im Abschnitt „Vorbereitungen“.
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf einem anderen installierten Directory Connector aus. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
Wenn Sie Single Sign-On in Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
Sie können Benutzer in Control Hub nicht manuell hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung wird die Benutzerverwaltung über den Cisco-Verzeichniskonnektor durchgeführt, und Active Directory ist die zentrale Informationsquelle.
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.

Nächste Schritte

Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung soft gelöscht. Der Benutzer wird inaktiv, aber das Cloud-Identitätsprofil wird sieben Tage lang beibehalten (um eine Wiederherstellung nach einer versehentlichen Löschung zu ermöglichen).

Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer nach der nächsten Synchronisierung inaktiv. Das Cloud-Identitätsprofil wird nach sieben Tagen nicht gelöscht, falls Sie den Benutzer erneut aktivieren möchten.
Beachten Sie diese Ausnahmen bei einer inkrementellen Synchronisierung (befolgen Sie stattdessen die obigen vollständigen Synchronisierungsschritte):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Konfigurationsänderungen bei der Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.

Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen

Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco-Verzeichniskonnektor mit Control Hub abgeschlossen haben, können Sie mit Control Hub allen Ihren Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Nachdem Sie die vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Methoden in Control Hub verwenden, um all Ihren Benutzern – einzelnen Benutzern – über die CSV-Massenvorlage global Webex-Dienstlizenzen zuzuweisen oder neuen Benutzern automatisch zuzuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken, wenn Sie Ihre Benutzer direkt kontaktieren möchten.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Führen Sie einen Probelauf für die Synchronisierung der Active Directory-Benutzer durch.
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung mit Ihren Active Directory-Benutzern durch.

Bei der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und es wird keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine Standard-Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreiches automatisches Abschließen der Zuweisung.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Benutzer, klicken Sie auf Benutzer verwalten, wählen Sie Alle synchronisierten Benutzer ändern und klicken Sie dann auf Weiter.

2

Wählen Sie eine Option:

Nächste Schritte

Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung gesendet, um Webex beizutreten und herunterzuladen.
Wenn Sie für alle Benutzer dieselben Webex-Dienste ausgewählt haben, können Sie anschließend die zugewiesene Lizenz einzeln oder gesammelt ändern.

Verwandte Informationen

Möglichkeiten zum Hinzufügen und Verwalten von Benutzern in Ihrer Organisation

Bekannte Probleme mit dem Directory Connector

Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das sich auf den Directory Connector auswirkt. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.

Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, läutet der Anruf zu diesem Zeitpunkt unbegrenzt.

Benutzer der Webex-App verwalten

Durchführen einer inkrementellen Synchronisierung

Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen die Änderung der Attribution für Benutzer sowie den Zeitpunkt, zu dem ein Benutzer hinzugefügt oder gelöscht wird.

Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie die ursprüngliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen ):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Bei neuen Konfigurationsänderungen für die Attributzuordnung, Basis-DN, Filter und die Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und erfordert eine vollständige Synchronisierung.

1	Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen.
2	Klicken Sie unter Aktionen auf Synchronisierungsmodus > Synchronisierung aktivieren , falls dies noch nicht geschehen ist. Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen anhand des letzten Zeitstempels.
3	Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.
4	Um weitere Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen auf Ereignisanzeige starten , um die Fehlerprotokolle anzuzeigen.

Nächste Schritte

Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.

Versehentlich gelöschte Benutzer wiederherstellen

Der Verzeichniskonnektor verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Die Funktion „Soft-Delete“ kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.

Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, beispielsweise aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung aus dem Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie einen nicht übereinstimmenden Objekthinweis sehen oder festgestellt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.

Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer bis zu 7 Tage lang bei. Während dieser Zeit können Sie weiterhin Cisco Directory Connector verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so bald wie möglich wiederherzustellen.

Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nach 7 Tagen nicht gelöscht.

1	Melden Sie sich bei Control Hub an.
2	Wechseln Sie zu Benutzer und bestätigen Sie, ob sich ein bestimmtes Benutzerkonto im Status „Inaktiv“ befindet oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.
3	Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer im Status „Inaktiv“ bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Das Ziel mit Directory Connector ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu schaffen.
4	Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten mit Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und Dienstzuweisungen.

Nächste Schritte

Kehren Sie zu Control Hub zurück, gehen Sie zu Verwaltung > Benutzer und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.

Benutzer nach dem weichen Löschen dauerhaft löschen

Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung soft gelöscht wurden, dauerhaft löschen.

1	Wählen Sie nach Abschluss eines Probelaufs Weich gelöschte Objekte aus.
2	Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten.
3	Wählen Sie Fertig aus.

Nächste Schritte

Bei der nächsten Synchronisierung werden die von Ihnen geprüften Benutzer dauerhaft gelöscht.

E-Mail-Adresse einer Webex-App ändern

Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren behandelt das Ändern der E-Mail-Adresse der Webex-App für eine einzelne Domäne und einen Prozess zum Ändern der Domäne.

Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto. Dabei gehen die Bereiche des Benutzers und andere Daten in der Cloud verloren.

So ändern Sie die E-Mail-Adressen von Benutzern, ohne die Domäne zu ändern:
1. Öffnen Sie das Benutzerkonto (Beispiel, user1@example.com) in Active Directory und ändern Sie die E-Mail-Adresse (Beispiel, user2@example.com).
2. Setzen Sie die Synchronisierung auf dem Directory Connector fort.
  
  Nach der nächsten Synchronisierung werden die Änderungen in Ihrer Benutzerliste in Control Hub und für Benutzer in der Webex-App angezeigt, nachdem der Cache aktualisiert wurde.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Die eindeutige Kennung des Benutzers wird nach der ersten Synchronisierung in der Cloud festgelegt. Alle nachfolgenden Synchronisierungen basieren auf dieser Kennung.
Ändern Sie in einer Bereitstellung mit mehreren Domänen mit Directory Connector die E-Mail-Adressen der Benutzer beim Ändern der Domäne (betrachten Sie example1.com als alte Domäne und example2.com als neue Domäne):
1. Beachten Sie für das alte Benutzerkonto (user1@example1.com) das Active Directory-Attribut, das dem uid -Cloudattribut zugeordnet ist. Sie müssen denselben Active Directory-Wert für das neue Konto verwenden. In diesem Beispiel verwenden wir user1@example1.com als lokales Attribut, um der uid in der Cloud zuzuordnen.
2. Halten Sie die Synchronisierung auf dem Directory Connector für example1.com und example2.com-Domänen an.
3. Erstellen Sie ein neues Benutzerkonto in example2.com und verwenden Sie das gleiche Attribut von oben. (Beispiel: user1@example1.com).
4. Setzen Sie die Synchronisierung auf dem Directory Connector für example2.com fort.
  
  Bevor Sie fortfahren, überprüfen Sie, ob das Konto user1@example2.com mit Control Hub synchronisiert wird. Wir empfehlen, den Benutzer anzuweisen, die E-Mail-Änderung in der Webex-App zu überprüfen und alle Daten (Bereiche, Nachrichten, Meetings, Dateien usw.) aufzubewahren.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Im neuen Benutzerkonto müssen Sie jedoch sicherstellen, dass das Active Directory-Attribut, das dem UID-Attribut der Cloud zugeordnet ist, aus dem alten Benutzerkonto übernommen wird. Wenn Sie den Active Directory-Wert ändern, werden die Daten des alten Kontos nicht im neuen Konto gespeichert.
5. Nachdem Sie überprüft haben, dass die E-Mail-Adresse geändert wurde und die Daten intakt sind, löschen Sie das alte Benutzerkonto auf example1.com und setzen Sie anschließend den Verzeichniskonnektor ein, um die Synchronisierung für example1.com fortzusetzen.
  
  Zu diesem Zeitpunkt können Sie die E-Mail-Adresse in der neuen Active Directory-Domäne für user1@example2.com sicher aktualisieren.

Der Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch mit der Cloud resynchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung zu „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten.

Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre Webex-App-E-Mail-Adressen über die Seite mit den Kontoeinstellungen ändern. Unter E-Mail-Adresse für Ihr Konto ändern finden Sie Schritte, die Benutzer befolgen können, um ihre E-Mails zu ändern.

Active Directory-Domäne ändern

Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.

1	Richten Sie eine neue Active Directory (AD)-Domäne ein.
2	Deaktivieren Sie die Synchronisierungen für all Ihre Konnektoren.
3	Deinstallieren Sie alle Ihre Konnektoren.
4	Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Fallübermittlung sicher, dass Sie die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall aufgelöst wurde.
5	Nachdem der Fall behoben ist: Installieren Sie den Verzeichniskonnektor auf demselben Server, auf dem sich die neue Active Directory-Domäne befindet. Konfigurieren Sie den Directory Connector so, dass er auf die neue Active Directory-Domäne verweist. Wenn Benutzer in Control Hub vorhanden sind ( https://admin.webex.com), stellen Sie sicher, dass Benutzer mit übereinstimmenden E-Mail-Adressen auch in Active Directory vorhanden sind. Wenn Ihre Organisation den Umschalter `softDelete` in DirSync deaktiviert hat, können E-Mail-Adressen von Benutzern, die sich in Control Hub, aber nicht in Active Directory befinden, gelöscht werden. Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen.

Domänenanspruch

Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass ein Sideboarding-Konto in der zahlungspflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können eine Domäne nur über einen Support-Fall beanspruchen (weitere Informationen finden Sie unter dem folgenden Link).

Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, wie ein eingeladener Benutzer zu einem Webex-App-Bereich hinzugefügt werden kann, besteht darin, das Konto zunächst mithilfe des Directory Connectors in Control Hub bereitzustellen.

Weitere Informationen

Domänen verwalten

Benutzer der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis konvertieren

Sie können nur eindeutige E-Mail-Adressen im Webex-App-Verzeichnis verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App registriert haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Um Benutzer in dieser Organisation mithilfe des Verzeichniskonnektors zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie den Verzeichniskonnektor aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.

Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.

Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung konnte nicht konvertiert werden angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.

Einige beanspruchte Benutzer werden bei einem Probelauf möglicherweise mit dem Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Gelöschte Objekte anstelle von Nicht übereinstimmendes Objekt angezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.

Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle in Ihrer Nähe gelöscht, die mit der Cloud synchronisiert werden.

1	Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector.
2	Befolgen Sie das Verfahren Konvertieren von Benutzern ohne Lizenz in Control Hub , um den Benutzer von der kostenlosen Verbraucher-Organisation zur Enterprise-Organisation zu konvertieren. Bei diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind.
3	Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und sich Konten nur in Control Hub befinden, wird bei Directory Connector die Groß- und Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, gehen alle ihre Webex-App-Bereiche verloren.
4	Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren.

Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die automatische Lizenzvorlage aktiviert und anschließend den Verzeichniskonnektor ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.

Sideboarding-Benutzerkonten für Webex-App

Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.

Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.

Benutzerformat der Webex-App nach der Verzeichnissynchronisierung ändern

Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.

Nach der Verzeichnissynchronisierung werden Benutzernamen möglicherweise im Format angezeigt.

Dieser Benutzername wird möglicherweise angezeigt, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud zu displayName zugeordnet wird, werden Namen in Control Hub im Format angezeigt.

So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) dem displayName in Cisco Cloud-Attributnamen zu.

Alternativ können Sie das Attribut sn givenName dem displayName zuordnen:

Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck displayName zuordnen möchten.

Geben Sie beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) als Ausdruck ein. Dadurch werden die beiden Attribute in Active Directory dem displayName in der Cloud zugeordnet.

Benutzer können Anzeigenamen in Webex Meetings ändern

Sie können die Zuordnung des displayName -Attributs der Synchronisierung mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern die Bearbeitung ihrer bevorzugten Anzeigenamen erlauben möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird, anstatt ihren Vor- und Nachnamen eingeben. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus.
2	Wählen Sie displayName unter Cisco Cloud-Attributname aus.
3	Wählen Sie Dieses Attribut nicht synchronisieren aus.

Nächste Schritte

Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.

Directory Connector – Problembehandlung

Upgrade auf die neueste Softwareversion

Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie kein Upgrade auf die neueste verfügbare Version durchführen, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische TLS 1.2-Anforderung nicht unterstützt.

Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.

Obwohl Sie Connector-Softwareaktualisierungen manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.

1	Klicken Sie in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten.
2	Befolgen Sie die Anweisungen, um das Upgrade durchzuführen.
3	Starten Sie den Connector neu, und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an.
4	Überprüfen Sie die Versionsnummer der Software unter Hilfe > Info über.

Nächste Schritte

Für eine neue Installation von Directory Connector können Sie die ZIP-Datei herunterladen und dann die Installationsschritte in diesem Handbuch befolgen.

Konfigurieren von allgemeinen Einstellungen für Directory Connector

Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Allgemein.
2	Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird.
3	Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen: Info (Standard) – Zeigt Informationsnachrichten an, die den Fortschritt der Anwendung auf einer hohen Ebene hervorheben. Verwenden Sie diese Einstellung, wenn Sie Berichte nach allen vollständigen Synchronisierungen empfangen möchten. Warnung – zeigt potenziell gefährliche Situationen an. Debug – Zeigt detaillierte Informationsereignisse an, die für das Debuggen einer Anwendung am nützlichsten sind. Wenn Sie ein Problem feststellen, legen Sie diese Protokollebene fest und senden Sie das Ereignisprotokoll an den Support, wenn Sie einen Fall erstellen. Fehler – Zeigt Fehlerereignisse an, die die Ausführung der Anwendung möglicherweise trotzdem ermöglichen. Wenn Sie diese Option auswählen, werden Synchronisierungsberichte nur dann gesendet, wenn Fehler gemeldet werden. Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf Fehler festlegen, werden nur Fehler im Synchronisierungsbericht gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“. Nach der vollständigen Synchronisierung erhalten Sie Synchronisierungsberichte. (Beachten Sie, dass für die inkrementelle Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.)
4	Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen.
5	Aktivieren Sie Automatisches Upgrade auf neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, dass Ihre Cisco Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
6	Aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSL nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher.

Connector-Richtlinie konfigurieren

Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.

Sie legen beispielsweise 1 als Schwellenwert für den Löschvorgang fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus.
2	Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
3	Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20. Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen.
4	Klicken Sie auf Übernehmen.

Legen Sie den Connector-Zeitplan fest

Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Zeitplan aus.
2	Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben.
3	Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden.
4	Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll.
5	Geben Sie einen Wert für Failover-Intervall in Minuten an.
6	Klicken Sie auf Übernehmen.

Szenarien mit mehreren Domänen

Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.

Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.

Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.

Beispielanwendungen für mehrere Domänen

Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.

Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.

Synchronisierung auf example1.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.

User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.

Synchronisierung für example1.com und example2.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Stellen Sie sich das folgende Szenario vor:

Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.

Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne

Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.

Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.

Domänenpriorität festlegen

Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.

Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.

Vorbereitungen

Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie steht unter https://admin.webex.com zum Download bereit.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen.
3	Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern. Die Domänen werden in absteigender Reihenfolge sortiert.

Domäne wechseln

Mit diesem Verfahren können Sie den Cisco-Verzeichniskonnektor erneut an eine andere Domäne binden.

Vorbereitungen

Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie müssen sie über Control Hub herunterladen.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln.
3	Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, die Registrierung anderer Domänen im Connector wird aufgehoben, und die Connector-Informationen auf diesem Computer werden gelöscht.
4	Melden Sie sich erneut beim Cisco-Verzeichniskonnektor an, und binden Sie die Domäne erneut.

Verzeichnissynchronisierung deaktivieren

Wenn Sie die Synchronisierung über den Verzeichniskonnektor beenden müssen, können Sie sie über Control Hub vorübergehend deaktivieren.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:

Klicken Sie auf „Mehr“ und anschließend neben der Connector-Instanz, die Sie deaktivieren möchten, auf Deaktivieren .
Klicken Sie auf Alle Verzeichnissynchronisierungen deaktivieren, um die Synchronisierung von allen Connector-Instanzen zu beenden.

2

Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten.

Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren.

Benutzerattributzuordnung entfernen

Verwenden Sie den Verzeichniskonnektor, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Benutzerattributzuordnung entfernen.
3	Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus.
4	Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus: Nur mit Verzeichniskonnektor synchronisierte Benutzer: Die Zuordnung wird nur von Benutzern entfernt, die zuvor mit dem Directory Connector synchronisiert worden sind. Alle Nutzer: Die Zuordnung wird von allen Active Directory-Benutzern entfernt.
5	Klicken Sie auf Übernehmen.

Profilbilder verwalten

Verwenden Sie den Verzeichniskonnektor, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Profilbilder verwalten.
3	Wählen Sie unter Aktionen eine der folgenden Optionen aus: Profilbilder für leere Avatar-Quellen entfernen: Wenn das Active Directory-Profilbild leer ist, stellt diese Option sicher, dass die Benutzerprofilbilder aus der Cloud entfernt werden, auch wenn der Benutzer zuvor sein eigenes Bild in Webex hochgeladen hat. Laden Sie die synchronisierte Quelle erneut hoch, um zwischengespeicherte Bilder zu überschreiben: Der Directory Connector verwendet zum Aktualisieren der Profilbilder für alle Benutzer dasselbe Active Directory wie zuvor. Dadurch wird sichergestellt, dass es keine Diskrepanz zwischen den Profilbildern in Active Directory und der Cloud gibt.
4	Klicken Sie auf Übernehmen.

Directory Connector deinstallieren und deaktivieren

Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:

Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
Sie möchten die Domäne ändern und einen anderen Connector installieren.

Vorbereitungen

Möglicherweise werden mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder Synchronisierung mit mehreren Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie den Directory Connector deinstallieren.

1	Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen.
2	Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallieren aus und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen.
3	Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr und anschließend neben der Directory Connector-Instanz, die Sie deinstallieren möchten, auf Deaktivieren .
4	Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren. Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung.

Ausführen des Diagnosetools

Sie können das integrierte Diagnosetool verwenden, um Fehler bei der Directory Connector-Bereitstellung zu beheben. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.

Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.

So führen Sie Tests für Active Directory-Domänendienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-DS , geben Sie Ihre Domäne ein und klicken Sie dann auf Domänencontroller laden.
2. Wählen Sie einen Domänencontroller aus der Liste aus.
  
  Ändern Sie den Eintrag nicht später, da die inkrementelle Suche immer im selben Domänencontroller ausgeführt werden muss.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie im Abschnitt Active Directory-Abfragen weitere Filter, z. B. entweder Benutzer oder Gruppen -Objekte und Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-LDS , geben Sie Ihren Host und Ihren Port ein und klicken Sie dann auf Partitionen laden.
2. Wählen Sie eine Partition aus der Liste aus, und klicken Sie dann auf Verbinden.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie weitere Filter im Abschnitt Active Directory-Abfragen , z. B. Benutzer, UserProxy und UserProxyFull sowie Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte LDAP RAW , geben Sie Ihren Stammpfad und Filter ein, wählen Sie einen Eintrag unter Attribute aus und klicken Sie dann auf Lade-Partitionen.
2. Überprüfen Sie bei Bedarf die folgenden Optionen:
  - ObjectSecurity: Wenn diese Option vorhanden ist, benötigt der Anrufer keine Rechte und kann nur Objekte und Attribute sehen, auf die der Anrufer zugreifen kann. Wenn diese Option nicht vorhanden ist, hat der Anrufer das Recht, Änderungen zu replizieren.
  - ParentsFirst – Stellt sicher, dass alle Eltern der Kinder vor ihre Kinder kommen.
3. Wählen Sie einen Wert für ExtendedDN aus.
  
  Dieser Wert wird bei einer erweiterten LDAP-Suche verwendet, um eine erweiterte Form von Objekt-Distinguished Name anzufordern.
4. Wählen Sie einen Wert für ReferralChasing aus.
  
  Eine Weiterleitungsverfolgung wird initiiert, wenn ein Domänencontroller eine Weiterleitung von einer Abfrage zurückgibt – beispielsweise für Details zu einem Abfrageergebnis, das außerhalb des Namensraums liegen kann (z. B. Gruppenmitglieder in einer anderen Domäne oder einem Wald).
5. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
6. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.

Beheben von Problemen im Ciso Directory Connector

Fehlerbehebung und Fehlerbehebungen für den Directory Connector

Möglicherweise tritt eine Fehlermeldung oder ein anderes Problem im Directory Connector auf. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet der Connector Ihnen möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. Bevor Sie sich an den Support wenden, lesen Sie die folgenden Abschnitte über mögliche Probleme, mögliche Ursachen und vorgeschlagene Lösungen.

Installieren

Directory Connector funktioniert nicht mehr

Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber benachrichtigt wurden, dass Ihr Directory Connector nicht funktioniert.

Der Directory Connector ist möglicherweise nicht korrekt installiert.
Directory Connector wird möglicherweise nicht ausgeführt.
Das Netzwerk ist möglicherweise nicht verfügbar.

Gehen Sie wie folgt vor:

Öffnen Sie Systemsteuerung > Programme und Funktionen. Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
Öffnen Sie den Dienst und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status Gestartet angezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, über Internetzugang verfügt.

Fehler bei erneuter Installation

Problem: Wenn Sie sofort einen neuen Connector installieren, nachdem Sie einen alten deinstalliert haben, wird möglicherweise eine Fehlermeldung angezeigt.

Mögliche Ursache: In Windows Server 2012 benötigt der Client zur Deinstallation Zeit, um das Dienstkonto aus der Dienstliste zu löschen.

Lösung: Versuchen Sie die Installation nach einiger Zeit erneut.

Anmelden

Directory Connector stürzt bei der SSO-Anmeldung ab

Problem

Der Directory Connector kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.

Lösung

Gehen Sie wie folgt vor:

Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:

Wechseln Sie zum Domänencontroller und öffnen Sie Group Policy Management (gpedit.msc).
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne, und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie Bearbeiten aus.

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter Key Path die Option HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter SchlüsselpfadHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Die Änderungen werden wirksam, nachdem Sie gpupdate /force ausgeführt haben, die Maschine neu gestartet wurde (bei Änderungen am Computer) oder sich der Benutzer erneut anmeldet (bei Änderungen am Benutzer).

Cisco DirSync Service Connector konnte nicht registriert werden

Problem

Anmeldung fehlgeschlagen, und die folgende Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“

Lösung

Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.

Die Seite „Keine Anmeldung“ wird angezeigt

Problem

Sie haben den Verzeichniskonnektor geöffnet und die Anmeldeseite wurde nicht angezeigt.

Lösung

Gehen Sie wie folgt vor:

Navigieren Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie den Link in anderen Browsern wie Chrome und Firefox.
Wenn Internet Explorer den Link nicht aufrufen kann, andere Browser dies jedoch können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren .)

Anmeldeaufforderung wird angezeigt

Problem

Es wird eine Aufforderung angezeigt, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu bestehen.

Mögliche Ursache

Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.

Lösung

Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Übergabe der Sicherheit bereitstellen.

Verbindung zum Remote-Server nicht möglich

Problem

Während des normalen Betriebs wird die Fehlermeldung „Keine Verbindung zum Remote-Server möglich“ angezeigt.

Mögliche Ursache

Möglicherweise gibt es Proxy-Probleme, die behoben werden müssen.

Lösung

Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung mit Dienstkonto beheben .

Konnektor kann nicht registriert werden.

Problem

Es wird die Fehlermeldung „Der Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“

Mögliche Ursache

In den meisten Fällen liegt das Problem darin, dass der Directory Connector keine Berechtigung für eine Verbindung mit dem LDAP-Stammkontext hat.

Lösung

Gehen Sie wie folgt vor:

Führen Sie eine Eingabeaufforderung (cmd) aus, und geben Sie ldp.exe ein.
Klicken Sie auf Verbindung > Binden, wählen Sie Als aktuell angemeldeten Benutzer binden und klicken Sie dann auf OK.
Klicken Sie auf Ansicht > Baum, geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall beim Support.

Synchronisierung

Avatare nicht synchronisiert

Problem

Der Cisco Directory Connector hat die Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatar-Daten erfolgreich synchronisiert.

Mögliche Ursache

Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache diese und vermeidet es, erneut zu senden, um Bandbreite zu sparen.

Lösung

Führen Sie die folgenden Schritte aus, um den lokalen Cache zu löschen:

Gehen Sie zu C:\Programme (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Löschen DirSyncPluginAvatar.dll-cache.bin.
Führen Sie die Avatar-Synchronisierung über den Cisco-Verzeichniskonnektor erneut aus.

In Konflikt stehende Benutzer-E-Mail-Konten

Problem

Die Synchronisierungsergebnisse können in Konflikt stehende Benutzer-E-Mail-Konten anzeigen.

Wenn Benutzer die kostenlose Version der Webex-App versucht haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.

Lösung

Gehen Sie wie folgt vor:

Befolgen Sie die folgenden Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
1. Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
2. Deaktivieren Sie Cisco Directory Connector vorübergehend.
3. Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucherorganisation vorhanden sein könnten. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
4. Probelauf im Cisco Directory Connector durchführen und die Verzeichnissynchronisierung anschließend erneut aktivieren
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen.

Konvertierter Benutzer als inaktiv markiert

Problem

In Ihrer verzeichnissynchronisierten Umgebung haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.

Mögliche Ursache

Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer als 30 Tage lang als inaktiv markiert, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des Zeitraums von 30 Tagen zur Löschung markiert. Diese Situation tritt auf, da sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.

Lösung

Sie müssen entsprechende Maßnahmen ergreifen, wenn das Benutzerkonto nicht gelöscht werden soll. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.

Inkrementelle Synchronisierung schlägt fehl

Problem

Eine inkrementelle Synchronisierung schlägt fehl.

Dieses Problem kann unter folgenden Bedingungen auf Windows Server 2008 R2 auftreten:

Sie unterstützen inkrementelle Wertaktualisierungen.
Der Filter, den Sie verwenden, referenziert ein verknüpftes Werteattribut.
Die Ergebniswerte dieses Attributs wurden seit der letzten Durchführung einer vollständigen Synchronisierung aktualisiert.

Lösung

Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihren Windows Server auf mindestens 2012 R2 zu aktualisieren.

Ungültiger Wert für Merkmal

Problem

Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].

Mögliche Ursache

Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.

Lösung

Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.

Übereinstimmende Benutzer zum Löschen

Problem

Die übereinstimmenden Benutzer werden als gelöscht markiert.

Wenn Sie einen Probelauf zur Überprüfung der Daten zwischen Active Directory und der Cloud durchführen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Systemen angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.

Lösung

Wählen Sie eine geeignete Lösung:

Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen danach zu wiederholen, können Sie den Directory Connector für die Behebung verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Support-Fall.

Attribut fehlt

Problem

Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.

Mögliche Ursache

Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsbenutzer,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert aufweisen.

Lösung

Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.

Verschachtelte Gruppe wird nicht synchronisiert

Problem

Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.

Mögliche Ursache

Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Beispiel: (Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)

Lösung

Sie müssen den Filter, der Gruppen synchronisiert, neu konfigurieren. Beispiel: |(Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)(Mitglied=CN=testSubGroup,CN=Benutzer,DC=rktest2008,DC=org)

Konflikt bei Benutzerbenennung

Problem

Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und des Benutzertyps [user_type].

Mögliche Ursache

Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.

Lösung

Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.

Control Hub

Benutzerliste fehlt in Control Hub

Problem

Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird Ihnen die Benutzerliste in Control Hub möglicherweise nicht angezeigt.

Lösung

Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Wechseln Sie in Control Hub zu Benutzer, klicken Sie auf Suchen und geben Sie dann Suchkriterien ein, um nach einem bestimmten Benutzer zu suchen.

Gruppen werden nicht mit Control Hub synchronisiert

Problem

Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.

Mögliche Ursache

Die Gruppe ist in Active Directory nicht als isCriticalSystemObject markiert.

Lösung

Stellen Sie sicher, dass das Attribut isCriticalSystemObject in Active Directory auf TRUE gesetzt ist.

Problembehandlung für den Directory Connector aktivieren

Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.

Die Protokolldateien, die sind: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Führen Sie die Datei `services.msc` aus, um das ausgeführte Konto für den Directory Connector-Dienst vom lokalen System in ein Domänenkonto zu ändern, das über Zugriffsberechtigungen für Ihr AD DS oder AD LDS verfügt.
2	Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten.
3	Klicken Sie im Directory Connector auf Dashboard.
4	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Fehlerbehebung.
5	Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können.
6	Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt. Der Protokollordner speichert nur Dateien für die letzten 3 Tage. Der Inhalt in den Protokolldateien entspricht der Ausgabe des Ereignisprotokolls für das System.
7	Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten.
8	Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind.

Weitere Informationen

Support kontaktieren

Starten der Ereignisanzeige

Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Dashboard und klicken Sie auf Aktion > Ereignisanzeige starten. Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails.
2	Wechseln Sie in der Ereignisanzeige zu Anwendungs- und Dienstprotokolle > Cisco Directory Connector.
3	Klicken Sie unter Aktionen auf Alle Events speichern unter , um alle Protokolle als einzelne Events-Datei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren.

Nächste Schritte

Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und fügen Sie dann die Events-Datei an Ihren Fall an.

In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Hilfe bei der Verwaltung des Netzwerkdatenverkehrs zu erhalten.

TLS in Internet Explorer aktivieren

Wenn Sie Single Sign-On (SSO)-Anbieter gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:

Bei der Anmeldung am Dienst ist ein Fehler aufgetreten
Im Skript auf dieser Seite ist ein Fehler aufgetreten

Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.

1	Öffnen Sie Internet Explorer und wählen Sie Werkzeuge aus. Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die aktiviert werden soll. Klicken Sie auf OK. Schließen Sie den Browser und öffnen Sie ihn erneut.
2	Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , und scrollen Sie zu Sicherheit.
3	Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden , und klicken Sie auf OK.
4	Starten Sie das System neu, damit die Änderungen übernommen werden.

Anmeldeprobleme für Dienstkonten beheben

Wenn Sie sich nicht beim Cisco Directory Connector anmelden können oder keine Synchronisierung durchführen können, versuchen Sie anhand der folgenden Schritte, das Problem zu beheben, bevor Sie sich an den Support wenden.

1

Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen.

2

Wählen Sie je nach den Ergebnissen eine Option:

Wenn Sie den Link nicht über Ihren Browser aufrufen können, überprüfen Sie Ihre Netzwerkeinstellungen. Wenn Sie in Ihrer Umgebung einen Proxy verwenden, überprüfen Sie die Proxy-Einstellungen.
Wenn Sie den Link über Ihren Browser aufrufen, aber den Cisco Directory Connector nicht öffnen können (Fehler 407 kann nicht geöffnet werden), klicken Sie hier , um die neueste Version des Cisco Directory Connector abzurufen.
Wenn Sie den Link über Ihren Browser aufrufen, aber keine Synchronisierung über den Cisco Directory Connector durchführen können, ändern Sie das Konto für die Dienstanmeldung in Domänenadministrator.

Überprüfen Sie, ob das Konto, mit dem Sie sich beim Windows-System angemeldet haben, dasselbe Konto ist, das Sie unter „Cisco DirSync-Dienst“ festgelegt haben. Wenn es sich um 2 verschiedene Konten handelt, stellen Sie sicher, dass beide Konten https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL besuchen können. Wenn Ihre Umgebung einen Proxy verwendet, stellen Sie sicher, dass beide Konten im Internet Explorer für den Proxy konfiguriert sind und https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL erfolgreich aufrufen können.

3

Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (das unter den Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar- und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung für das Windows-Anmeldekonto.

Weitere Informationen

Support kontaktieren

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Übersicht über Cisco Directory Connector

Directory Connector – Übersicht

Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.

Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur zentralen Informationsquelle wird. Wenn Sie eine Änderung lokal vornehmen, wird diese in die Cloud kopiert.

In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:

Funktion	Beschreibung und Vorteil
Benutzerfreundliches Dashboard	Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden.
Probelauf, bevor die Synchronisierung in die Cloud durchgeführt wird	Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor sie in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen.
Vollständige und inkrementelle Synchronisierung	Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen.
Synchronisieren mehrerer Domänen (einzelne Gesamtstruktur oder mehrere Gesamtstrukturen)	Directory Connector unterstützt mehrere Domänen entweder in einer einzelnen Gesamtstruktur oder in mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Der Control Hub spiegelt den Status wider, indem er den Synchronisierungsstatus für mehrere Directory Connectors anzeigt. Damit können Sie die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Directory Connector in einer Hochverfügbarkeitsbereitstellung deaktivieren.
Geplante Synchronisierung	Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest.
LDAP-Filter (Lightweight Directory Access Protocol)	Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit.
Active Directory-Attributzuordnung	Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um die Cloud zuzuordnen. Die Attribute aus dem Standort bilden verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, Enteprise-Telefonnummern in Webex Teams, Raumressourcen-SIP-Adressen und andere Kontaktkartendaten des Benutzers (Stellenbezeichnung, Abteilung, Manager usw.).
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung	Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud-PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte haben, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten auf ihren Cisco Webex Calling (Cloud-PSTN)-Telefonen oder Raumressourcen durchsuchen. Raumressourcen Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugewiesenen SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Cisco Webex Raumgerät oder Cisco Webex Board angezeigt. Wenn Benutzer eine Suche auf einem Cisco Webex Room-Gerät oder Cisco Webex Board durchführen, werden die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde. Anrufe Benutzer können zusätzlich zu den Webex-App-Kontakten Unternehmenskontakte anrufen. Über den Directory Connector werden die Unternehmensbenutzer und ihre Telefonnummern zu Ihrer Webex-Organisation hinzugefügt. Sie müssen nicht für Webex-Dienste lizenziert sein, damit diese Funktion funktioniert. Benutzer, die nicht für Webex lizenziert sind, werden in der Verzeichnissuche angezeigt, die auf dem Telefon eines Cisco Webex Calling-Benutzers durchgeführt wird, solange eine URI oder eine Telefonnummer über den Verzeichniskonnektor mit Webex synchronisiert ist. Die Anrufe funktionieren gleich für beide Benutzertypen. Außerdem bietet dieses Feature eine Bearbeitungsfunktion für Kontakte, die nur eine Telefonnummer enthalten. Für die Kontakte in den Suchergebnissen gilt Folgendes: Wenn Kontakte eine wählbare URI (Webex-SIP-Adresse) und eine Telefonnummer haben, wird die URI angezeigt, die mit dem Kontakt verknüpft ist. Wenn ein Kontakt keine wählbare URI, dafür jedoch eine Telefonnummer hat, wird die Telefonnummer angezeigt. Außerdem wird ein Softkey zum Bearbeiten der gewählten Nummer angezeigt. Kontakte ohne URI oder Telefonnummer werden nicht im Verzeichnis angezeigt.
Ereignisanzeige	Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen.
Diagnose-Tool und Fehlerbehebung	Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können.
Automatisches Upgrade	Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird.
Hohe Verfügbarkeit	Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt.

Directory Connector ist in drei Bereiche unterteilt:

Control Hub ist die zentrale Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und die Einzelanmeldung (SSO) konfigurieren, wenn Ihre Benutzer sich über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App versenden möchten.
Die Directory Connector-Verwaltungsoberfläche ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und die Directory Connector-Dienste zu konfigurieren.
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory ab, um sie mit dem Connector-Dienst und dem Directory Connector zu synchronisieren.

Weitere Informationen zur Directory Connector-Architektur finden Sie in diesem Diagramm:

Vorbereiten Ihrer Umgebung für den Directory Connector

Anforderungen für den Directory Connector

Windows- und Active Directory-Anforderungen

Sie können Directory Connector auf den folgenden unterstützten Windows-Servern installieren:

Windows Server 2022
Windows Server 2019
Windows Server 2016

Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die das Fix enthält – Windows Server 2012 R2 oder 2016.

Directory Connector wird von den folgenden Active Directory-Diensten unterstützt:

Active Directory 2016

(Directory Connector wird bei Verwendung der neuesten Version von Active Directory unter Windows Server 2019 unterstützt)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Beachten Sie die folgenden zusätzlichen Anforderungen:

Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
- .NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, folgen Sie den Anweisungen unter Aktivieren Sie .NET Framework 3.5 mit dem Assistenten zum Hinzufügen von Rollen und Funktionen.)
- .NET Framework v.4.5 (erforderlich für TLS1.2)
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)

Hardware-Anforderungen

Sie müssen Directory Connector auf einem Computer installieren, auf dem die folgenden Mindestanforderungen an die Hardware erfüllt sind:

8 GB RAM
50 GB Speicherplatz
Keine Mindestanforderung für die CPU

Netzwerk-Anforderungen

Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS-Zugriff (Port 443) auf das Internet verfügt.

Anforderungen der Webex-Organisation

Um von Control Hub aus auf die Directory Connector-Software zugreifen zu können, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem bezahlten Abonnement.
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Ihnen, Folgendes zu tun:
- Fügen Sie Domänen hinzu, überprüfen und optional beanspruchen Sie sie , die die E-Mail-Adressen der Benutzer enthalten, die Sie mit der Cloud synchronisieren möchten.
- Integrieren Sie Ihren Identitätsanbieter (IdP) mit Ihrer Webex-Organisation durch die einmalige Anmeldung (Single Sign-On, SSO).
- Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)

Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.

Installationsanforderungen

In einer Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
Für die Anmeldung beim Connector ist kein Administratorkonto in Active Directory erforderlich. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer wie ein Volladministratorkonto in Control Hub ist.

Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computeranmeldekonto sollte ein Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer sein. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Während der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector für den Zugriff auf Active Directory das lokale Systemkonto. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Stellen Sie sicher, dass der Suchmodus für die Windows Safe Dynamic Link Library (DLL) mit diesem Verfahren aktiviert ist: Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung.
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, sollten Sie Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Computern installieren.

Mehrere Domänenanforderungen

Bevor Sie den Aufgaben im Ablauf der Bereitstellungsaufgabe für den Cisco-Verzeichniskonnektor folgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:

Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.)
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , damit Ihre Organisation in eine große Organisationsliste verschoben wird.
Bei Bedarf können Sie Informationen zu Raumressourcen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.)

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.

Active Directory enthält zwei Arten von Gruppen:

Verteilergruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
Sicherheitsgruppen: Wird verwendet, um Berechtigungen für geteilte Ressourcen zuzuweisen.

Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:

Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienstleistung (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex Licensing usw.).
Verwenden Sie organisationsübergreifende Standard-Benennungskonventionen, um die Identifizierung wichtiger Informationen über eine Gruppe zu erleichtern. Gruppennamen können Details zur Gruppe enthalten, z. B. die Zugriffsstufe, die Art der Ressource, die Sicherheitsstufe, den Gruppenumfang, die E-Mail-Funktion usw. Der Gruppenname „GSG_Webex_Licensing_EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
Organisieren Sie Gruppen auf leicht verständliche Weise, z. B. nach Geografie oder Hierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die automatische Lizenzgruppenvorlage in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für die automatische Lizenzzuweisung einrichten .

Informationen zur Größe

Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Alle Beschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.

Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:

Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsjob dauert nicht so lange wie 50000.)
Netzwerkgeschwindigkeit und Bandbreite.
Systemauslastung und Spezifikationen.

Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.

Da bei der Synchronisierung mehrere Faktoren beteiligt sind und jede Bereitstellung abhängig von den oben genannten Faktoren variiert, können wir keine spezifischen Zeitwerte angeben, die angeben, wie lange eine Objektsynchronisierung dauern wird.

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Webproxy-Integration

Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.

Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector stellt eine Verbindung her und synchronisiert die Benutzer.

Sie können einen der folgenden Ansätze verwenden:

Expliziter Webproxy über Internet Explorer (der Connector erbt die Webproxy-Einstellungen)
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert

Webproxy über den Browser verwenden

Sie können den Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.

Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,

1	Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus.
2	Verweisen Sie die Windows-Instanz, auf die der Connector installiert ist, auf Ihren Webproxy. Der Connector erbt diese Webproxy-Einstellungen.
3	Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu: cloudconnector.webex.com für die Synchronisierung. idbroker.webex.com für die Authentifizierung. idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw. Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.
4	Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu: .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

Webproxy über eine PAC-Datei konfigurieren

Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und die Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.

1

Damit der Connector sich erfolgreich mit der Webex Cloud verbinden und die Benutzerinformationen synchronisieren kann, müssen Sie die Proxy-Authentifizierung für cloudconnector.webex.com in der .pac-Dateikonfiguration für den Host deaktivieren, auf dem der Connector installiert ist.

2

Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:

cloudconnector.webex.com für die Synchronisierung.
idbroker.webex.com für die Authentifizierung.
idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw.

Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt.

Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.

3

Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

NTLM-Proxy

Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.

NTLM-Design

In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.

Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus aus Herausforderung und Antwort:

Ein Benutzer meldet sich über ein Windows-Konto und ein Kennwort auf einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines reinen Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hash-Wert mit dem Hash-Wert des eingegebenen Passworts. Wenn beide gleich sind, wird die Authentifizierung erfolgreich ausgeführt.

Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im reinen Textformat.
Wenn der Server die Anforderung erhält, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Herausforderung auf dem Server gespeichert. Anschließend sendet der Server die Aufforderung im reinen Textformat an den Client.
Sobald der Client die vom Server gesendete Challenge erhält, verschlüsselt der Client die Challenge mit dem in Schritt 1 genannten Hash-Wert. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet er ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: der Kontoname, die verschlüsselte Aufforderung, die der Client gesendet hat, und die ursprüngliche einfache Aufforderung.
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.

Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Dadurch müssen Sie keine weitere Konfiguration abschließen.

Transparenten Proxy konfigurieren

In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.

1	Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann.
2	Bestätigen Sie, dass der Proxy erfolgreich ist: Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt.

Proxy-Authentifizierung festlegen

Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.

Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:

1	Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist.
2	Legen Sie eine geschätzte Bandbreite für diese Verbindung fest (ca. 2 MB/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich.
3	Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie `cloudconnector.webex.com` als Ziel an, das Sie zur Zulassungsliste hinzufügen möchten. Beispiel: `access-list 2000 acl-inside extended permit TCP [IP des Connectors] cloudconnector.webex.com eq https`
4	Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt.
5	Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren.

Verzeichniskonnektor bereitstellen

Ablauf der Bereitstellungsaufgabe des Cisco-Verzeichniskonnektors

Vorbereitungen

Vorbereiten Ihrer Umgebung für den Directory Connector

1	Verzeichniskonnektor installieren In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen. Für eine neue Installation von Directory Connector gehen Sie immer zu Control Hub ( https://admin.webex.com), um die neueste Version der Software abzurufen, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
2	Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administrator-Anmeldeinformationen an und führen Sie die Ersteinrichtung durch.
3	Automatische Upgrades festlegen Es ist immer wichtig, dass Ihre Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
4	Active Directory-Objekte zum Synchronisieren auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.
5	Benutzerattribute zuordnen Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist die *uid.
6	Synchronisieren Sie Verzeichnis-Avatare mit einem der folgenden Verfahren: Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass der Avatar jedes Benutzers angezeigt wird, wenn er sich bei der Anwendung anmeldet. Sie können Avatare von einem Active Directory-Attribut oder einem Ressourcenserver synchronisieren.
7	Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Webex Room-Gerät oder Cisco Webex Board angezeigt.
8	Um Benutzer Aus Active Directory In Control Hub Bereitzustellen, führen Sie die folgenden Schritte aus: Durchführen eines Probelaufs für die Active Directory-Benutzer Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Folgen Sie dieser Sequenz, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wald- oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

Verzeichniskonnektor installieren

In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen.

Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf der Synchronisierung mit mehreren Domänen:

Vorbereitungen

Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen:

Für die Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxy-Konfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Webproxy Im Browser verwenden
Bei Proxy-NTLM wird Ihnen möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser.

1	Wechseln Sie in Control Hub zu Benutzer > Benutzer verwalten > Verzeichnissynchronisierung aktivieren und wählen Sie Weiter aus.
2	Klicken Sie auf den Link Herunterladen und installieren, um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die .zip-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert. Holen Sie sich für eine Neuinstallation die neueste Version der Software, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
3	Entpacken Sie die MSI-Datei auf dem VMware- oder Windows-Server und führen Sie sie im Setup-Ordner aus, um den Setup-Assistenten zu starten.
4	Klicken Sie auf Weiter, aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Weiter, bis der Bildschirm „Kontotyp“ angezeigt wird.
5	Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto durch: Lokales System – Die Standardoption. Sie können diese Option verwenden, wenn Sie über Internet Explorer einen Proxy konfiguriert haben. Domänenkonto – Verwenden Sie diese Option, wenn der Computer Teil der Domäne ist. Der Directory Connector muss mit Netzwerkdiensten interagieren, um auf Domänenressourcen zuzugreifen. Geben Sie die Kontoinformationen ein und klicken Sie auf OK. Geben Sie den Benutzernamen im Format `{Domäne}\{Benutzername} ein.` Für einen mit AD (NTLMv2 oder Kerberos) integrierten Proxy müssen Sie die Option für das Domänenkonto verwenden. Das für die Ausführung des Directory Connector-Diensts verwendete Konto muss über ausreichende Privilegien verfügen, um den Proxy zu passieren und auf AD zuzugreifen. Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind: Der Server ist Teil der Domäne Das Domänenkonto kann auf die lokalen AD-Daten und Avatardaten zugreifen. Das Konto muss auch über die lokale Administratorrolle verfügen, da es auf die Dateien unter `C:\Programme` zugreifen muss. Für die Anmeldung einer virtuellen Maschine muss das Administratorkonto mindestens in der Lage sein, Domäneninformationen zu lesen.
6	Klicken Sie auf Installieren. Geben Sie nach der Ausführung des Netzwerktests Ihre grundlegenden Proxy-Anmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertig stellen.

Nächste Schritte

Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Während des Neustarts der Maschine werden alle Daten aktualisiert, um ein exaktes Ergebnis im Bericht anzuzeigen.

Bei Directory Connector anmelden

Vorbereitungen

Stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen.

Für die Proxy-Basic-Auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
Öffnen Sie für Proxy-NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen, stellen Sie sicher, dass die Informationen zum Proxy-Server hinzugefügt wurden, und klicken Sie auf OK. Siehe Verwenden eines Webproxys über den Browser.

1	Öffnen Sie den Connector und fügen Sie `https://idbroker.webex.com` zur Liste der vertrauenswürdigen Sites hinzu, wenn Sie dazu aufgefordert werden.
2	Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich dann mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter.
3	Bestätigen Sie Ihre Organisation und Ihre Domäne. Wenn Sie AD DS auswählen, aktivieren Sie LDAP over SSL, um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden, wählen Sie die Domäne aus, aus der Sie synchronisieren möchten, und klicken Sie auf Bestätigen. Wenn Sie LDAP über SSL nicht aktivieren, verwendet DirSync weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher. Wenn Sie AD LDS auswählen, geben Sie Host, Domäne und Port ein und klicken Sie auf Aktualisieren, um alle Anwendungspartitionen zu laden. Wählen Sie dann die Partition aus der Dropdown-Liste aus und klicken Sie auf Bestätigen. Weitere Informationen finden Sie im Abschnitt „AD LDS“. Stellen Sie sicher, dass Sie in der Konfigurationsdatei CloudConnectorCommon.dll die Einstellung ADAuthLevel zum Knoten appSetting hinzufügen. Die Werte können 1, 2 oder 3 sein. In diesem Artikel von Microsoft erfahren Sie mehr über Authentifizierungstypen. Hier ein Beispiel für die Einstellung mit dem Wert 1: `<appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	Nachdem der Bildschirm Organisation bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Wenn Sie AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Organisation bestätigen angezeigt.
5	Klicken Sie auf Bestätigen.
6	Wählen Sie eine der folgenden Optionen aus, abhängig von der Anzahl der Active Directory-Domänen, die Sie an den Directory Connector binden möchten: Wenn Sie über eine einzige Domäne verfügen, die AD LDS ist, verbinden Sie sich mit der vorhandenen AD LDS-Quelle und klicken Sie auf Bestätigen. Wenn Sie eine einzige Domäne haben, die AD DS ist, führen Sie die Bindung entweder mit der vorhandenen Domäne oder mit einer neuen Domäne aus. Wenn Sie An eine neue Domäne binden auswählen, klicken Sie auf Weiter. Da der vorhandene Quelltyp AD DS ist, können Sie AD LDS nicht für die neue Bindung auswählen. Wenn Sie mehr als eine Domäne haben, wählen Sie eine vorhandene Domäne aus der Liste aus oder An neue Domäne binden und klicken Sie dann auf Weiter. Da Sie mehr als eine Domäne haben, muss der vorhandene Quelltyp AD DS sein. Wenn Sie An neue Domäne binden auswählen und auf Weiter klicken, können Sie AD LDS nicht für die neue Bindung auswählen.

Nächste Schritte

Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.

Directory Connector-Dashboard

Wenn Sie sich zum ersten Mal beim Directory Connector anmelden, wird das Dashboard angezeigt. Hier können Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken anzeigen, einen Probelauf für die Synchronisierung durchführen, eine vollständige oder inkrementelle Synchronisierung starten und die Event-Ansicht starten, um Fehlerinformationen anzuzeigen.

Melden Sie sich erneut an, falls Ihre Sitzung eine Zeitüberschreitung auftritt.

Sie können diese Aufgaben einfach über die Symbolleiste oder das Menü „Aktionen“ ausführen.

Tabelle 1. Dashboard-Komponenten
Komponente	Beschreibung
Aktuelle Synchronisierung	Zeigt die Statusinformationen zur laufenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige inaktiv.
Nächste Synchronisierung	Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Zeitplan festgelegt ist, wird Nicht angesetzt angezeigt.
Letzte Synchronisation	Zeigt den Status der letzten beiden durchgeführten Synchronisierungen an.
Aktueller Synchronisierungsstatus	Zeigt den Gesamtstatus der Synchronisierung an.
Konnektoren	Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind.
Cloud-Statistik	Zeigt den Gesamtstatus der Synchronisierung an.
Synchronisierungszeitplan	Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung an.
Konfigurationszusammenfassung	Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten: Alle Objekte werden synchronisiert Alle Benutzer werden synchronisiert Gelöschter Schwellenwert ist deaktiviert worden.

Tabelle 2: Aktionen-Symbolleiste
Aktion	Beschreibung
Inkrementelle Synchronisierung starten	Inkrementelle Synchronisierung manuell starten Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn noch keine vollständige Synchronisierung abgeschlossen wurde oder wenn eine Synchronisierung läuft.
Probelauf synchronisieren	Führen Sie einen Probelauf für die Synchronisierung durch.
Ereignisanzeige starten	Starten Sie die Microsoft-Ereignisanzeige.
Aktualisieren	Aktualisieren des Cisco Directory Connector-Dashboards

Tabelle 3: Menüleiste „Aktionen“
Aktion	Beschreibung
Jetzt synchronisieren	Starten Sie sofort eine vollständige Synchronisierung.
Synchronisierungsmodus	Wählen Sie entweder den inkrementellen oder den vollständigen Synchronisierungsmodus aus.
Geheimschlüssel für Konnektor zurücksetzen	Stellen Sie eine Unterhaltung zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Durch Auswahl dieser Aktion wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert.
Probelauf	Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung durchführen.
Fehlerbehebung	Aktivieren/deaktivieren Sie die Fehlerbehebung.
Aktualisieren	Aktualisieren Sie den Cisco Directory Connector-Hauptbildschirm.
Beenden	Beenden Sie den Cisco Directory Connector.

Tabelle 4: Tastenkombinationen
Tastenkombination	Aktion
Alt +A	Das Menü Aktionen anzeigen
`Alt +A + S`	Jetzt synchronisieren
`Alt +A + R`	Geheimschlüssel für Konnektor zurücksetzen
`Alt +A + D`	Probelauf
`Alt +A + S + I`	Inkrementelle Synchronisierung
`Alt +A + S + F`	Vollständige Synchronisierung
`Alt + H`	Menü Hilfe anzeigen
`Alt + H + H`	Hilfe
`Alt + H + A`	Info
`Alt + H + F`	häufig gestellte Fragen

Automatische Upgrades festlegen

1	Wechseln Sie im Directory Connector zu Konfiguration > Allgemein und aktivieren Sie die Option Automatisch auf neue Cisco Directory Connector-Version aktualisieren.
2	Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.

Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion.

Active Directory-Objekte zum Synchronisieren auswählen

Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.

Gruppen für die automatische Lizenzzuweisung

Mit Control Hub können Sie Lizenzzuweisungen auf Gruppenbasis verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Beim Erstellen eines Benutzers überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.

Wir empfehlen, einen LDAP-Filter zu verwenden, um nur relevante Gruppen mit der Cloud zu synchronisieren. Beispielsweise können Sie den Filter auf:

(&(cn=Beispiel)(objectclass=Gruppe))*

Dieser Filter synchronisiert alle Gruppen innerhalb des Basis-DN, bei dem der Name mit „Beispiel“ beginnt. Benutzern, die keinen Gruppen zugewiesen sind, werden Lizenzen über die automatische Standardlizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.

Objektauswahlbildschirm im Directory Connector

Gruppen für Hybrid-Datensicherheitsbereitstellungen

Im Directory Connector müssen Sie Gruppen aktivieren, wenn Sie Hybrid-Datensicherheit zum Konfigurieren einer Testgruppe für Pilotbenutzer verwenden. Anleitungen finden Sie im Bereitstellungsleitfaden für Hybrid-Datensicherheit. Diese Verzeichniskonnektor-Einstellung wirkt sich nicht auf die Synchronisierung anderer Benutzer in der Cloud aus.

Vorbereitungen

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl.
2	Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und erwägen Sie, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die zur Beispiel-Manager-Gruppe gehören, verwenden Sie einen Filter wie diesen: `(&(sAMAccountName=*)(memberOf=cn=Beispiel-Manager,ou=Beispiel,ou=Sicherheitsgruppe,dc=UNTERNEHMEN))`
3	Aktivieren Sie das Kontrollkästchen Raum identifizieren, um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen, wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie lokale Rauminformationen von Active Directory mit der Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.
4	Aktivieren Sie Gruppen, wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie keinen LDAP-Filter für die Benutzersynchronisierung zum Feld „Gruppen“ hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren. Gruppen werden standardmäßig nicht für neue Kunden synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren.
5	Aktivieren Sie Kontakte, wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten. Der Verzeichniskonnektor verwaltet nur Kontakte, die vom Konnektor synchronisiert wurden. Wenn bereits Kontakte in Control Hub vorhanden sind, werden die Kontakte durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsumfang entfernt werden, werden auch die Kontaktinformationen der Benutzer in Control Hub entfernt.
6	Konfigurieren Sie die LDAP-Filter. Sie können erweiterte Filter hinzufügen, indem Sie einen gültigen LDAP-Filter bereitstellen. Weitere Informationen zum Konfigurieren von LDAP-Filtern finden Sie in diesem Artikel.
7	Geben Sie die zu synchronisierenden lokalen Basis-DNs an, indem Sie auf Auswählen klicken, um die Baumstruktur Ihres Active Directory anzuzeigen. Von hier aus können Sie auswählen, welche Container gesucht werden sollen.
8	Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten, und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container zur Synchronisierung auswählen. Wählen Sie einen übergeordneten Container aus, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird im übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container aktiviert wurde. Sie können dann auf Auswählen klicken, um die von Ihnen ausgewählten Active Directory-Container zu akzeptieren. Wenn Ihre Organisation alle Benutzer und Gruppen im Benutzer-Container platziert, müssen Sie keine anderen Container durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, stellen Sie sicher, dass Sie OUs auswählen.
9	Klicken Sie auf Übernehmen. Wählen Sie eine Option: Konfigurationsänderungen anwenden Probelauf Abbrechen Informationen zu Probeläufen finden Sie unter Durchführen einer Probelauf-Synchronisierung für Ihre Active Directory-Benutzer. Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen.

Benutzerattribute zuordnen

Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.

Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll – Sie können beispielsweise firstName lastName in Active Directory oder einen benutzerdefinierten Attributausdruck displayName in der Cloud zuordnen.

Konten in Active Directory müssen über eine E-Mail-Adresse verfügen; die uid wird standardmäßig dem Feld ad der E-Mail zugeordnet (nicht sAMAccountName).

Wenn Sie festlegen, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, ist Active Directory die einzige Informationsquelle: Benutzer können ihre Spracheinstellung in den Webex-Einstellungen nicht ändern, und Administratoren können die Einstellung in Control Hub nicht ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet.
2	Scrollen Sie zum Ende der Active Directory-Attributnamen und wählen Sie dann eines der folgenden Active Directory-Attribute aus, um das Cloud-Attribut uid zuzuordnen: E-Mail – wird in den meisten Bereitstellungen für das E-Mail-Format verwendet. userPrincipalName – Eine alternative Wahl, wenn Ihr E-Mail-Attribut für andere Zwecke in Active Directory verwendet wird. Dieses Attribut muss im E-Mail-Format vorliegen. Sie können beliebige andere Active Directory-Attribute der uid zuordnen. Wir empfehlen jedoch, „mail“ oder „userPrincipalName“ zu verwenden, wie in den obigen Richtlinien beschrieben. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, mit welchen Attributen in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen im Directory Connector. Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen ausgewählte Active Directory-Attribut im E-Mail-Format vorliegt. Der Verzeichniskonnektor zeigt ein Popup-Fenster an, das Sie daran erinnert, wenn Sie eines der empfohlenen Attribute nicht auswählen.
3	Wenn die vordefinierten Active Directory-Attribute in Ihrer Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können. Klicken Sie auf Hilfe, um weitere Informationen zu den Ausdrücken zu erhalten und Beispiele für die Funktionsweise von Ausdrücken anzuzeigen. Weitere Informationen finden Sie auch unter Ausdrücke für angepasste Attribute. Ordnen wir in diesem Beispiel die Active Directory-Attribute `givenName` und `Sn` dem Cloud-Attribut `displayName` zu: Definieren Sie den Attributausdruck givenName + "" + Sn (bei den Anführungszeichen handelt es sich um ein zusätzliches Leerzeichen) und geben Sie dann die E-Mail-Adresse eines vorhandenen Benutzers zur Überprüfung an. Klicken Sie auf Überprüfen, und prüfen Sie, ob das Ergebnis mit dem übereinstimmt, was Sie erwartet haben. Ein erfolgreiches Ergebnis sieht so aus: Wenn die Ergebnisse den erwarteten Ergebnissen entsprechen, klicken Sie auf OK, um das neue angepasste Attribut zu speichern. Wenn Sie später den displayName ändern möchten, können Sie einen neuen Attributausdruck eingeben. Der Directory Connector überprüft den Attributwert von uid im Identitätsdienst und ruft 3 verfügbare Benutzer unter den aktuellen Benutzerfilteroptionen ab. Wenn alle diese 3 Benutzer ein gültiges E-Mail-Format haben, zeigt der Cisco Directory Connector die folgende Meldung an: Wenn das Attribut nicht verifiziert werden kann, wird die folgende Warnung angezeigt und Sie können zu Active Directory zurückkehren, um die Benutzerdaten zu überprüfen und zu korrigieren:
4	(Optional) Wählen Sie Zuordnungen für Mobilgeräte und Telefonnummer aus, wenn Mobil- und Geschäftsnummern angezeigt werden sollen, beispielsweise in der Kontaktkarte des Benutzers in der Webex-App. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt. Weitere Informationen zu Anrufen über die Kontaktkarte eines Benutzers finden Sie im Bereitstellungshandbuch für Anrufe in Webex (Unified CM) (Administratoren).
5	Wählen Sie zusätzliche Zuordnungen aus, um weitere Daten in der Kontaktkarte anzuzeigen: `Abteilungsnummer` `Anzeigename` `Manager` `Titel` Nach der Zuordnung der Attribute werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt: Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren. Nachdem diese Attribute mit den einzelnen Benutzerkonten synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Benutzer der Webex-App mehr Informationen in ihren Profilen teilen und mehr voneinander erfahren. Weitere Informationen zur Funktion und zum Aktivieren finden Sie unter Profile für „People Insights“ für Webex, Jabber, Webex Meetings und Webex Events (Neu) in Control Hub.
6	Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie auf Übernehmen.

Alle in Active Directory enthaltenen Benutzerdaten überschreiben die diesem Benutzer entsprechenden Daten in der Cloud. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Alle Benutzer ohne entsprechende E-Mail-Adresse in Active Directory werden gelöscht.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Active Directory- und Cloud-Attribute

Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattributzuordnung verwenden.

In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Verzeichniskonnektor. Sie können in den Dropdown-Menüs des Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloudattribut synchronisiert wird.

Betrachten Sie die Dropdown-Attribute als Voreinstellungen. Als Alternative zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory angeben (ein Ausdruck mit mehreren Attributen), um ein einzelnes Cloudattribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise haben Sie die Flexibilität, die Anzeigenamen Ihrer Benutzer zu bestimmen. Sie können beispielsweise einen Ausdruck hinzufügen, der basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory ein angepasstes Attribut erstellt.

Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.

Sie können auch alternative E-Mail-Adressen verwenden, z. B. wenn Sie den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall dem Attribut emails;type-work eine andere E-Mail-Adresse zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.

Active Directory-Attributnamen	Webex-Cloud-Attributnamen	Anmerkungen
—	Gebäudename	—
c	c	Dieses Attribut gibt die Länderabkürzung des Benutzers an.
Abteilungsnummer	Abteilungsnummer	Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die auf der Kontaktkarte und People Insights angezeigt wird.
Anzeigename	Anzeigename	Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
BenutzerAccountControl	ds-pwp-konto-deaktiviert	Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist, andernfalls werden die Benutzer nicht ordnungsgemäß synchronisiert.
Mitarbeiternummer	Mitarbeiternummer	—
FaxTelefonnummer	FaxTelefonnummer	—
—	Jabber-ID	Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert ist nicht identisch mit sipAddresses.
l	l	Dieses Attribut gibt die Stadt des Benutzers an.
—	Ländereinstellung	—
Manager	Manager	Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der auf der Kontaktkarte und People Insights angezeigt wird.
Mobil	Mobil	Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen.
o	o	Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird auf der Kontaktkarte angezeigt.
Ou	Ou	Dieses Attribut gibt den Namen der Organisationseinheit an.
physischeLieferungBüroName	physischeLieferungBüroName	Dieses Attribut gibt den Bürostandort des Benutzers an.
Postleitzahl	Postleitzahl	Dieses Attribut gibt die Postleitzahl des Benutzers für die physische Postzustellung an.
bevorzugteSprache	bevorzugteSprache	Dieses Attribut legt die bevorzugte Sprache des Benutzers fest. Es werden die folgenden Formate unterstützt: xx_YY oder xx-YY. Hier einige Beispiele: de_US, de_GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format verwenden, wird die bevorzugte Sprache des Benutzers zur für die Organisation festgelegten Sprache geändert.
MSRTCSIP-PrimäreBenutzeradresse IP-Telefon	SIP-Adressen;type=Unternehmen	Dieses Attribut wird verwendet, um lokale Rauminformationen aus Active Directory mit der Cisco Webex-Cloud zu synchronisieren.
sn	sn	Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
st	st	Dieses Attribut gibt das Bundesland des Benutzers an.
Straßenadresse	Straße	Dieses Attribut gibt die Postanschrift des Benutzers für die physische Postzustellung an.
Telefonnummer	Telefonnummer	Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die zum Anrufen des Benutzers über die Kontaktkarte verwendet wird.
—	Zeitzone	Dieses Cloudattribut gibt die Zeitzone des Benutzers an.
Titel	Titel	Dieses Attribut gibt den Titel des Benutzers an, der auf der Kontaktkarte und People Insights angezeigt wird.
Typ	Unternehmen	—
E-Mail userPrincipalName	UID	Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann sich dann mit einer dieser E-Mail-Adressen anmelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen dazu, wie Sie eine alternative E-Mail-Adresse zuordnen können, finden Sie im Beispiel-Attributzuordnung unten.
userPrincipalName E-Mail <benutzerdefiniertes Attribut>	E-Mails;Arbeit eingeben	Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.
<Neues Attribut für Azure-Benutzer objectId>	externe ID	Erstellen Sie ein neues Active Directory-Attribut, um die Objekt-ID des Azure-Benutzers zu speichern, damit sie nicht mit einem vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen.

Alternative E-Mail-Adresszuordnung

Ausdrücke für angepasste Attribute

Tabelle 5: Ausdrücke für angepasste Attribute
Vermittler	Beschreibung und Beispiel
%	Entfernt alle Zeichen vom Anfang bis zur Position des Zeichens oder des String-Arguments, falls diese übereinstimmen. Beispielausdruck `"abc@example.com" % "@"` Ergebnis `beispiel.com`
-	Entfernt die Rückseite der Eingabezeichenfolge vom Ende der angegebenen Zeichenfolge. Beispielausdruck `„abc@example.com“ – „@“` Ergebnis `ABC`
+	Verkettet Eingabezeichenfolgen oder Ausdrücke. Beispielausdruck `„abc“ + „“ + „def“` Ergebnis `ABC DEF`
\|	Evaluiert die getrennten Ausdrücke anhand einer leeren Zeichenkette und wählt das erste nicht-leere Ergebnis aus. Beispielausdruck `„“ \| „abc“` Ergebnis `ABC`

Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit diesem Verfahren können Sie Avatarrohdaten aus einem Active Directory-Attribut synchronisieren.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie für Avatar abrufen von die Option AD-Attribut und anschließend das Avatar-Attribut aus, das die Avatar-Rohdaten enthält, die Sie mit der Cloud synchronisieren möchten.
3	Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar des Benutzers abrufen. Der Avatar wird rechts angezeigt.
4	Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit dieser Prozedur können Sie Avatare von einem Ressourcenserver synchronisieren.

Vorbereitungen

Das URI-Muster und der Variablenwert in dieser Prozedur sind Beispiele. Sie müssen tatsächliche URLs verwenden, unter denen sich Ihre Verzeichnis-Avatare befinden.
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht öffentlich im Internet zugänglich sein.
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass auf Avatar-Daten über die NTLM-Authentifizierung oder die Basic-Auth zugegriffen werden kann.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie unter Avatar abrufen von die Option Ressourcenserver aus, und geben Sie das Avatar-URI-Muster ein – zum Beispiel *`http://www.example.com/dir/photo/zoom/{mail: .?(?=@.)}.JPG`* Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten: http://www.example.com/dir/photo/zoom/ – Der Pfad zum Speicherort aller Fotos, die synchronisiert werden sollen, befindet sich. Es muss sich um eine URL handeln, auf die der Directory Connector-Dienst auf Ihrem Server zugreifen kann. mail: – Weist den Directory Connector an, den Wert des E-Mail-Attributs aus Active Directory zu erhalten .?(?=@.) – Eine Regex-Syntax, die die folgenden Funktionen ausführt: *`. – Jedes Zeichen, das null- oder mehrmals wiederholt wird.` `? – Weist die vorangestellte Variable an, so wenige Zeichen wie möglich zuzuordnen.` `(?= ... ) – Entspricht einer Gruppe nach dem Hauptausdruck, ohne sie in das Ergebnis einzubeziehen. Der Verzeichniskonnektor sucht nach einer Übereinstimmung und fügt diese nicht in die Ausgabe ein.` `@.* – Das at-Symbol, gefolgt von einem beliebigen Zeichen, das null- oder mehrmals wiederholt wird.` `.jpg – Die Dateierweiterung für die Avatare Ihrer Benutzer. Siehe unterstützte Dateitypen in diesem Dokument und ändern Sie die Erweiterung entsprechend.`**
3	(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen benötigt, aktivieren Sie die Option Benutzeranmeldeinformationen für Avatar festlegen. Wählen Sie anschließend Aktuellen Service-Anmeldebenutzer verwenden oder Diesen Benutzer verwenden aus, und geben Sie das Passwort ein.
4	Geben Sie den Variablenwert ein, zum Beispiel: `abcd@example.com`.
5	Klicken Sie auf Test, um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. Wenn in diesem Beispiel der E-Mail-Wert für einen AD-Eintrag `abcd@example.com` lautet und jpg-Bilder synchronisiert wurden, lautet der endgültige Avatar-URI`http://www.example.com/dir/photo/zoom/abcd.jpg.`
6	Nachdem die URI-Informationen überprüft wurden und korrekt angezeigt wurden, klicken Sie auf Übernehmen. Detaillierte Informationen zur Verwendung regulärer Ausdrücke finden Sie in der Microsoft Regular Expression Language Quick Reference .

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von lokalen Rauminformationen mit der Webex Cloud

Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Webex-Geräten (Room, Desk und Board) angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Objektauswahl.
2	Aktivieren Sie das Kontrollkästchen Rauminformationen mit Cloud synchronisieren, um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf die gleiche Weise behandelt wie synchronisierte Benutzerdaten.
3	Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=enterprise. Um die Wertevalidierung zu verwenden, sollte der Wert der SIP-Adresse Pattern.compile("^([^@])(.)@(.)$") lauten. Wählen Sie MSRTCSIP-PrimaryUserAddress, falls verfügbar. Wenn das oben genannte Attribut nicht in Ihrem Active Directory-Schema vorhanden ist, verwenden Sie ein anderes Feld wie ipPhone.
4	Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann zum Identifizieren von Räumen verwendet.
5	Navigieren Sie von Active Directory-Benutzern und -Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den vollständig qualifizierten SIP-URI mit dem Präfix sip hinzu:
6	Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden Objekte hinzugefügt aufgelistet, und übereinstimmende Raumobjekte werden im Probelauf-Bericht unter Übereinstimmende Objekte angezeigt. Alle Raumobjekte, die zum Löschen markiert sind, finden Sie unter Räume gelöscht. In den Ergebnissen des Probelaufs werden alle abgestimmten Raumressourcen angezeigt. Diese Einstellung trennt die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.

Nächste Schritte

Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Cloud registrierten Webex-Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde.

Über Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.

Der Endpunkt kann einen Rückruf nicht an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte lokal oder an einem anderen Ort als der Webex-App als SIP URI registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, dem Schreibtischgerät oder dem Webex Board für den Kalenderdienst befindet, wird der doppelte Eintrag in den Suchergebnissen nicht angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App angerufen und es wird kein SIP-Anruf getätigt.

E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisation senden

Standardmäßig erhalten die Organisationskontakte oder Administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen mit einer Zusammenfassung der Verzeichnissynchronisierungsberichte erhalten soll.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benachrichtigung aus.
2	Klicken Sie im Directory Connector auf Einstellungen und aktivieren Sie neben E-Mail-Empfänger die Option Synchronisierung des Berichts aktivieren.
3	Aktivieren Sie Benachrichtigung aktivieren, wenn Sie das Standard-Benachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten.
4	Klicken Sie auf Hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
5	Klicken Sie auf E-Mail hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
6	Wenn Sie eingegebene E-Mail-Adressen bearbeiten müssen, doppelklicken Sie auf den E-Mail-Eintrag in der linken Spalte, und nehmen Sie dann die gewünschten Änderungen vor.
7	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Übernehmen.
8	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Speichern.

Nächste Schritte

Wenn Sie festgelegt haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und klicken Sie dann auf Entfernen.

Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.

Bereitstellen von Benutzern Aus Active Directory In Control Hub

Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (entweder mit einer einzelnen Gesamtstruktur oder mit mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

1	Durchführen eines Probelaufs für die Active Directory-Benutzer Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.
2	Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
3	Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen auf verschiedene Weise zuweisen. Wir empfehlen Ihnen, eine Lizenzvorlage für die automatische Zuweisung einzurichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen.

Durchführen eines Probelaufs für die Active Directory-Benutzer

Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.

Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel des Directory Connector ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud herzustellen.

Wenn Sie in einer oder mehreren Gesamtstrukturen mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Vorbereitungen

Möglicherweise befinden sich bereits einige Webex-App-Benutzer in Control Hub, bevor Sie den Verzeichniskonnektor verwendet haben. Einige der Benutzer in der Cloud können mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es können jedoch Testbenutzer sein, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Active Directory und Control Hub erstellen.

1	Eine Option auswählen: Klicken Sie nach der erstmaligen Anmeldung in der Eingabeaufforderung auf Ja, um einen Probelauf durchzuführen. Wenn Sie eine Erinnerung an die Durchführung eines Probelaufs verpassen, klicken Sie jederzeit über den Directory Connector auf Dashboard, wählen Sie Probelauf synchronisieren aus und klicken Sie dann auf OK, um einen Probelauf-Synchronisierung zu starten. Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt: *Nicht übereinstimmende Objekte im Directory Connector erkannt* *Zusammenfassung der Ergebnisse des Probelaufs und der nicht übereinstimmenden Objekte im Directory Connector* Die Zusammenfassung enthält Informationen über die Objektabgleich: Übereinstimmende Objekte – Ein Benutzer, der sich in Webex Common Identity befindet und auch in der Active Directory-Domäne vorhanden ist, d. h. wenn ein Benutzer@cisco.com mit Webex synchronisiert und in Control Hub angezeigt wurde und derselbe Benutzer (ein Benutzer@cisco.com) in Active Directory vorhanden ist. Dies bedeutet, dass der Benutzer zugeordnet wurde. Nicht übereinstimmende Objekte: Ein Benutzer, der sich in Webex befindet, unabhängig davon, wie er in Common Identity hinzugefügt wurde, aber nicht in Active Directory vorhanden ist. Es wird als Nicht übereinstimmendes Objekt bezeichnet. Beispiel: Wenn ein Benutzer@cisco.com in Webex synchronisiert und in Control Hub angezeigt wurde, aber derselbe Benutzer (Benutzer@cisco.com) nicht von Active Directory verwaltet wird, zeigt der Bericht an, dass der Benutzer nicht übereinstimmt. Der Probelauf identifiziert die Benutzer, indem er sie mit Domänenbenutzern vergleicht. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten möchten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory.
2	Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option aus, je nachdem, ob Sie eine einzelne oder mehrere Domänen verwenden: Einzeldomäne – Entscheiden Sie, ob Sie die nicht übereinstimmenden Benutzer beibehalten möchten. Wenn Sie sie behalten möchten, wählen Sie Nein, Objekte behalten aus. Wenn Sie dies nicht tun, wählen Sie Ja, Objekte löschen. Nachdem Sie diese Schritte ausgeführt haben und eine vollständige Synchronisierung manuell durchführen, damit eine exakte Übereinstimmung zwischen dem lokalen Standort und der Cloud vorliegt, aktiviert der Directory Connector automatisch geplante automatische Synchronisierungsaufgaben. Mehrere Domänen: Führen Sie für eine Organisation mit Domäne A und Domäne B zunächst einen Probelauf für Domäne A durch. Wenn Sie nicht übereinstimmende Benutzer behalten möchten, wählen Sie Nein, Objekte behalten aus. (Diese nicht übereinstimmenden Benutzer können Mitglieder von Domäne B sein.) Wenn Sie löschen möchten, wählen Sie Ja, Objekte löschen aus. Wenn Sie die Benutzer beibehalten, führen Sie zuerst eine vollständige Synchronisierung für Domäne A und anschließend einen Probelauf für Domäne B durch. Wenn es immer noch Benutzer gibt, die nicht übereinstimmen, fügen Sie diese Benutzer in Active Directory hinzu, und führen Sie anschließend eine vollständige Synchronisierung für Domäne B durch. Wenn eine exakte Übereinstimmung zwischen lokal und Cloud vorliegt, aktiviert der Verzeichniskonnektor automatisch angesetzte automatische Synchronisierungsaufgaben.
3	Klicken Sie in der Aufforderung Probelauf bestätigen auf Ja, um die Synchronisierung des Probelaufs erneut durchzuführen und das Dashboard anzuzeigen, um die Ergebnisse anzuzeigen. Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter Übereinstimmende Objekte angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Um die Details der synchronisierten Elemente anzuzeigen, klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched. Um die Zusammenfassungsinformationen zu speichern, klicken Sie auf Ergebnisse in Datei speichern.
4	Wenn die Ergebnisse erwartet werden, gehen Sie zu Aktionen > Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt aktivieren, um eine manuelle Synchronisierung durchzuführen und an diesem Punkt in den manuellen Modus zu versetzen. Nachdem Sie eine Synchronisierung mit der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte zwischen der Webex-Cloud und allen lokalen Active Directories vollständig übereinstimmen.

Nächste Schritte

Alle nicht übereinstimmenden Benutzerobjekte, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen lokaler und Cloud-Umgebung besteht.
Wählen Sie einen Synchronisierungstyp:
- Führen Sie eine vollständige Synchronisierung der Active Directory-Benutzer in der Cloud durch, wenn Sie neue Benutzer zum ersten Mal mit der Cloud synchronisieren. Tun Sie dies über Aktionen > Jetzt synchronisieren > Voll. Anschließend werden die Benutzer aus der aktuellen Domäne synchronisiert.
- Legen Sie den Connector-Zeitplan fest und Führen Sie eine inkrementelle Synchronisierung durch, nachdem Sie eine vollständige Synchronisierung durchgeführt haben und wenn Sie die Änderungen nach der ursprünglichen Synchronisierung übernehmen möchten. Diese Art der Synchronisierung wird empfohlen, um kleine Änderungen an der Active Directory-Benutzerquelle zu übernehmen.
  
  Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben.
Wenn Sie über mehrere Domänen verfügen, wiederholen Sie diese Schritte auf einem anderen Directory Connector, den Sie installiert haben.

Zu beachtende Punkte

Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisation dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeberichte überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.

Wenn übereinstimmende Benutzer als gelöscht markiert sind und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und wenden Sie sich an den Support unter Fehlerbehebung und Fehlerbehebungen für Directory Connector.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen

Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.

Wenn Sie über mehrere Domänen verfügen, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Directory Connector synchronisiert den Benutzerkontostatus: In Active Directory werden als deaktiviert gekennzeichnete Benutzer in der Cloud als inaktiv angezeigt.

Vorbereitungen

Wenn sich die Webex-App-Benutzerkonten nach der vollständigen Synchronisierung im Status „Aktiv“ befinden sollen, bevor sich die Benutzer zum ersten Mal anmelden, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:
- Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Siehe Einmalige Anmeldung mit Cisco Webex-Diensten und dem Identitätsanbieter Ihrer Organisation um mehr zu erfahren.
- Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.
- Automatische E-Mail-Einladungen unterdrücken, sodass neue Benutzer die automatische E-Mail-Einladung zur Webex-App nicht erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
  
  Aktivierte Benutzer, die sich nicht angemeldet haben, werden in Control Hub mit dem Status Verifiziert angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub.
Wenn Sie die Synchronisierung aktivieren, werden Sie vom Verzeichniskonnektor zuerst aufgefordert, einen Probelauf durchzuführen. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu ermitteln.
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.

Wenn Sie keine Lizenzvorlagen für die automatische Zuweisung verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie können dieselben kostenlosen Funktionen wie Benutzer mit kostenlosen Konten verwenden.

1	Eine Option auswählen: Wenn nach der erstmaligen Anmeldung der Probelauf abgeschlossen ist und für alle Domänen korrekt aussieht, klicken Sie auf Jetzt aktivieren, um die automatische Synchronisierung zuzulassen. Wechseln Sie vom Directory Connector zum Dashboard, klicken Sie auf Aktionen, wählen Sie Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt synchronisieren > Vollständig, um die Synchronisierung zu starten.
2	Wechseln Sie im Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Vollständige Synchronisierung aus.
3	Bestätigen Sie den Start der Synchronisierung. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch bis zu 72 Stunden nach der Synchronisierung angezeigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung zeigt das Dashboard den Synchronisierungsfortschritt an. Dies kann die Art der Synchronisierung, die Startzeit und die Phase enthalten, in der die Synchronisierung derzeit ausgeführt wird. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Benutzerdaten werden mit der Cloud synchronisiert. Wenn während der Synchronisierung Fehler auftreten, leuchtet die Statusanzeige rot.
4	Klicken Sie auf Aktualisieren, wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik angezeigt.)
5	Wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um weitere Informationen zu Fehlern zu erhalten, um die Fehlerprotokolle anzuzeigen.
6	Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen mit der Cloud finden Sie unter Festlegen des Connector-Zeitplans und Ausführen einer inkrementellen Synchronisierung.

Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung auf der Seite Einstellungen in Control Hub von Deaktiviert zu Betriebsbereit aktualisiert.
Wenn alle Daten zwischen lokaler und Cloud-Umgebung abgeglichen werden, wechselt der Verzeichniskonnektor vom manuellen Modus in den automatischen Synchronisierungsmodus.
Sofern Sie die Einzelanmeldung nicht integrieren, Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben und automatische E-Mails unterdrücken, bleiben die Benutzerkonten der Webex-App im Status „Nicht verifiziert“, bis sich die Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Eine Anleitung zur Synchronisierung der Konten als aktive Benutzer finden Sie im Abschnitt „Vorbereitungen“.
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf einem anderen installierten Directory Connector aus. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
Wenn Sie Single Sign-On in Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
Sie können Benutzer in Control Hub nicht manuell hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung wird die Benutzerverwaltung über den Cisco-Verzeichniskonnektor durchgeführt, und Active Directory ist die zentrale Informationsquelle.
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.

Nächste Schritte

Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung soft gelöscht. Der Benutzer wird inaktiv, aber das Cloud-Identitätsprofil wird sieben Tage lang beibehalten (um eine Wiederherstellung nach einer versehentlichen Löschung zu ermöglichen).

Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer nach der nächsten Synchronisierung inaktiv. Das Cloud-Identitätsprofil wird nach sieben Tagen nicht gelöscht, falls Sie den Benutzer erneut aktivieren möchten.
Beachten Sie diese Ausnahmen bei einer inkrementellen Synchronisierung (befolgen Sie stattdessen die obigen vollständigen Synchronisierungsschritte):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Konfigurationsänderungen bei der Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.

Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen

Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco-Verzeichniskonnektor mit Control Hub abgeschlossen haben, können Sie mit Control Hub allen Ihren Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Nachdem Sie die vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Methoden in Control Hub verwenden, um all Ihren Benutzern – einzelnen Benutzern – über die CSV-Massenvorlage global Webex-Dienstlizenzen zuzuweisen oder neuen Benutzern automatisch zuzuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken, wenn Sie Ihre Benutzer direkt kontaktieren möchten.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Führen Sie einen Probelauf für die Synchronisierung der Active Directory-Benutzer durch.
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung mit Ihren Active Directory-Benutzern durch.

Bei der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und es wird keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine Standard-Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreiches automatisches Abschließen der Zuweisung.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Benutzer, klicken Sie auf Benutzer verwalten, wählen Sie Alle synchronisierten Benutzer ändern und klicken Sie dann auf Weiter.

2

Wählen Sie eine Option:

Nächste Schritte

Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung gesendet, um Webex beizutreten und herunterzuladen.
Wenn Sie für alle Benutzer dieselben Webex-Dienste ausgewählt haben, können Sie anschließend die zugewiesene Lizenz einzeln oder gesammelt ändern.

Verwandte Informationen

Möglichkeiten zum Hinzufügen und Verwalten von Benutzern in Ihrer Organisation

Bekannte Probleme mit dem Directory Connector

Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das sich auf den Directory Connector auswirkt. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.

Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, läutet der Anruf zu diesem Zeitpunkt unbegrenzt.

Benutzer der Webex-App verwalten

Durchführen einer inkrementellen Synchronisierung

Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen die Änderung der Attribution für Benutzer sowie den Zeitpunkt, zu dem ein Benutzer hinzugefügt oder gelöscht wird.

Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie die ursprüngliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen ):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Bei neuen Konfigurationsänderungen für die Attributzuordnung, Basis-DN, Filter und die Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und erfordert eine vollständige Synchronisierung.

1	Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen.
2	Klicken Sie unter Aktionen auf Synchronisierungsmodus > Synchronisierung aktivieren , falls dies noch nicht geschehen ist. Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen anhand des letzten Zeitstempels.
3	Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.
4	Um weitere Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen auf Ereignisanzeige starten , um die Fehlerprotokolle anzuzeigen.

Nächste Schritte

Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.

Versehentlich gelöschte Benutzer wiederherstellen

Der Verzeichniskonnektor verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Die Funktion „Soft-Delete“ kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.

Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, beispielsweise aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung aus dem Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie einen nicht übereinstimmenden Objekthinweis sehen oder festgestellt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.

Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer bis zu 7 Tage lang bei. Während dieser Zeit können Sie weiterhin Cisco Directory Connector verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so bald wie möglich wiederherzustellen.

Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nach 7 Tagen nicht gelöscht.

1	Melden Sie sich bei Control Hub an.
2	Wechseln Sie zu Benutzer und bestätigen Sie, ob sich ein bestimmtes Benutzerkonto im Status „Inaktiv“ befindet oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.
3	Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer im Status „Inaktiv“ bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Das Ziel mit Directory Connector ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu schaffen.
4	Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten mit Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und Dienstzuweisungen.

Nächste Schritte

Kehren Sie zu Control Hub zurück, gehen Sie zu Verwaltung > Benutzer und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.

Benutzer nach dem weichen Löschen dauerhaft löschen

Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung soft gelöscht wurden, dauerhaft löschen.

1	Wählen Sie nach Abschluss eines Probelaufs Weich gelöschte Objekte aus.
2	Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten.
3	Wählen Sie Fertig aus.

Nächste Schritte

Bei der nächsten Synchronisierung werden die von Ihnen geprüften Benutzer dauerhaft gelöscht.

E-Mail-Adresse einer Webex-App ändern

Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren behandelt das Ändern der E-Mail-Adresse der Webex-App für eine einzelne Domäne und einen Prozess zum Ändern der Domäne.

Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto. Dabei gehen die Bereiche des Benutzers und andere Daten in der Cloud verloren.

So ändern Sie die E-Mail-Adressen von Benutzern, ohne die Domäne zu ändern:
1. Öffnen Sie das Benutzerkonto (Beispiel, user1@example.com) in Active Directory und ändern Sie die E-Mail-Adresse (Beispiel, user2@example.com).
2. Setzen Sie die Synchronisierung auf dem Directory Connector fort.
  
  Nach der nächsten Synchronisierung werden die Änderungen in Ihrer Benutzerliste in Control Hub und für Benutzer in der Webex-App angezeigt, nachdem der Cache aktualisiert wurde.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Die eindeutige Kennung des Benutzers wird nach der ersten Synchronisierung in der Cloud festgelegt. Alle nachfolgenden Synchronisierungen basieren auf dieser Kennung.
Ändern Sie in einer Bereitstellung mit mehreren Domänen mit Directory Connector die E-Mail-Adressen der Benutzer beim Ändern der Domäne (betrachten Sie example1.com als alte Domäne und example2.com als neue Domäne):
1. Beachten Sie für das alte Benutzerkonto (user1@example1.com) das Active Directory-Attribut, das dem uid -Cloudattribut zugeordnet ist. Sie müssen denselben Active Directory-Wert für das neue Konto verwenden. In diesem Beispiel verwenden wir user1@example1.com als lokales Attribut, um der uid in der Cloud zuzuordnen.
2. Halten Sie die Synchronisierung auf dem Directory Connector für example1.com und example2.com-Domänen an.
3. Erstellen Sie ein neues Benutzerkonto in example2.com und verwenden Sie das gleiche Attribut von oben. (Beispiel: user1@example1.com).
4. Setzen Sie die Synchronisierung auf dem Directory Connector für example2.com fort.
  
  Bevor Sie fortfahren, überprüfen Sie, ob das Konto user1@example2.com mit Control Hub synchronisiert wird. Wir empfehlen, den Benutzer anzuweisen, die E-Mail-Änderung in der Webex-App zu überprüfen und alle Daten (Bereiche, Nachrichten, Meetings, Dateien usw.) aufzubewahren.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Im neuen Benutzerkonto müssen Sie jedoch sicherstellen, dass das Active Directory-Attribut, das dem UID-Attribut der Cloud zugeordnet ist, aus dem alten Benutzerkonto übernommen wird. Wenn Sie den Active Directory-Wert ändern, werden die Daten des alten Kontos nicht im neuen Konto gespeichert.
5. Nachdem Sie überprüft haben, dass die E-Mail-Adresse geändert wurde und die Daten intakt sind, löschen Sie das alte Benutzerkonto auf example1.com und setzen Sie anschließend den Verzeichniskonnektor ein, um die Synchronisierung für example1.com fortzusetzen.
  
  Zu diesem Zeitpunkt können Sie die E-Mail-Adresse in der neuen Active Directory-Domäne für user1@example2.com sicher aktualisieren.

Der Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch mit der Cloud resynchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung zu „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten.

Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre Webex-App-E-Mail-Adressen über die Seite mit den Kontoeinstellungen ändern. Unter E-Mail-Adresse für Ihr Konto ändern finden Sie Schritte, die Benutzer befolgen können, um ihre E-Mails zu ändern.

Active Directory-Domäne ändern

Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.

1	Richten Sie eine neue Active Directory (AD)-Domäne ein.
2	Deaktivieren Sie die Synchronisierungen für all Ihre Konnektoren.
3	Deinstallieren Sie alle Ihre Konnektoren.
4	Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Fallübermittlung sicher, dass Sie die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall aufgelöst wurde.
5	Nachdem der Fall behoben ist: Installieren Sie den Verzeichniskonnektor auf demselben Server, auf dem sich die neue Active Directory-Domäne befindet. Konfigurieren Sie den Directory Connector so, dass er auf die neue Active Directory-Domäne verweist. Wenn Benutzer in Control Hub vorhanden sind ( https://admin.webex.com), stellen Sie sicher, dass Benutzer mit übereinstimmenden E-Mail-Adressen auch in Active Directory vorhanden sind. Wenn Ihre Organisation den Umschalter `softDelete` in DirSync deaktiviert hat, können E-Mail-Adressen von Benutzern, die sich in Control Hub, aber nicht in Active Directory befinden, gelöscht werden. Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen.

Domänenanspruch

Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass ein Sideboarding-Konto in der zahlungspflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können eine Domäne nur über einen Support-Fall beanspruchen (weitere Informationen finden Sie unter dem folgenden Link).

Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, wie ein eingeladener Benutzer zu einem Webex-App-Bereich hinzugefügt werden kann, besteht darin, das Konto zunächst mithilfe des Directory Connectors in Control Hub bereitzustellen.

Weitere Informationen

Domänen verwalten

Benutzer der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis konvertieren

Sie können nur eindeutige E-Mail-Adressen im Webex-App-Verzeichnis verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App registriert haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Um Benutzer in dieser Organisation mithilfe des Verzeichniskonnektors zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie den Verzeichniskonnektor aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.

Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.

Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung konnte nicht konvertiert werden angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.

Einige beanspruchte Benutzer werden bei einem Probelauf möglicherweise mit dem Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Gelöschte Objekte anstelle von Nicht übereinstimmendes Objekt angezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.

Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle in Ihrer Nähe gelöscht, die mit der Cloud synchronisiert werden.

1	Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector.
2	Befolgen Sie das Verfahren Konvertieren von Benutzern ohne Lizenz in Control Hub , um den Benutzer von der kostenlosen Verbraucher-Organisation zur Enterprise-Organisation zu konvertieren. Bei diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind.
3	Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und sich Konten nur in Control Hub befinden, wird bei Directory Connector die Groß- und Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, gehen alle ihre Webex-App-Bereiche verloren.
4	Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren.

Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die automatische Lizenzvorlage aktiviert und anschließend den Verzeichniskonnektor ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.

Sideboarding-Benutzerkonten für Webex-App

Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.

Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.

Benutzerformat der Webex-App nach der Verzeichnissynchronisierung ändern

Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.

Nach der Verzeichnissynchronisierung werden Benutzernamen möglicherweise im Format angezeigt.

Dieser Benutzername wird möglicherweise angezeigt, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud zu displayName zugeordnet wird, werden Namen in Control Hub im Format angezeigt.

So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) dem displayName in Cisco Cloud-Attributnamen zu.

Alternativ können Sie das Attribut sn givenName dem displayName zuordnen:

Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck displayName zuordnen möchten.

Geben Sie beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) als Ausdruck ein. Dadurch werden die beiden Attribute in Active Directory dem displayName in der Cloud zugeordnet.

Benutzer können Anzeigenamen in Webex Meetings ändern

Sie können die Zuordnung des displayName -Attributs der Synchronisierung mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern die Bearbeitung ihrer bevorzugten Anzeigenamen erlauben möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird, anstatt ihren Vor- und Nachnamen eingeben. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus.
2	Wählen Sie displayName unter Cisco Cloud-Attributname aus.
3	Wählen Sie Dieses Attribut nicht synchronisieren aus.

Nächste Schritte

Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.

Directory Connector – Problembehandlung

Upgrade auf die neueste Softwareversion

Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie kein Upgrade auf die neueste verfügbare Version durchführen, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische TLS 1.2-Anforderung nicht unterstützt.

Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.

Obwohl Sie Connector-Softwareaktualisierungen manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.

1	Klicken Sie in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten.
2	Befolgen Sie die Anweisungen, um das Upgrade durchzuführen.
3	Starten Sie den Connector neu, und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an.
4	Überprüfen Sie die Versionsnummer der Software unter Hilfe > Info über.

Nächste Schritte

Für eine neue Installation von Directory Connector können Sie die ZIP-Datei herunterladen und dann die Installationsschritte in diesem Handbuch befolgen.

Konfigurieren von allgemeinen Einstellungen für Directory Connector

Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Allgemein.
2	Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird.
3	Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen: Info (Standard) – Zeigt Informationsnachrichten an, die den Fortschritt der Anwendung auf einer hohen Ebene hervorheben. Verwenden Sie diese Einstellung, wenn Sie Berichte nach allen vollständigen Synchronisierungen empfangen möchten. Warnung – zeigt potenziell gefährliche Situationen an. Debug – Zeigt detaillierte Informationsereignisse an, die für das Debuggen einer Anwendung am nützlichsten sind. Wenn Sie ein Problem feststellen, legen Sie diese Protokollebene fest und senden Sie das Ereignisprotokoll an den Support, wenn Sie einen Fall erstellen. Fehler – Zeigt Fehlerereignisse an, die die Ausführung der Anwendung möglicherweise trotzdem ermöglichen. Wenn Sie diese Option auswählen, werden Synchronisierungsberichte nur dann gesendet, wenn Fehler gemeldet werden. Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf Fehler festlegen, werden nur Fehler im Synchronisierungsbericht gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“. Nach der vollständigen Synchronisierung erhalten Sie Synchronisierungsberichte. (Beachten Sie, dass für die inkrementelle Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.)
4	Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen.
5	Aktivieren Sie Automatisches Upgrade auf neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, dass Ihre Cisco Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
6	Aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSL nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher.

Connector-Richtlinie konfigurieren

Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.

Sie legen beispielsweise 1 als Schwellenwert für den Löschvorgang fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus.
2	Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
3	Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20. Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen.
4	Klicken Sie auf Übernehmen.

Legen Sie den Connector-Zeitplan fest

Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Zeitplan aus.
2	Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben.
3	Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden.
4	Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll.
5	Geben Sie einen Wert für Failover-Intervall in Minuten an.
6	Klicken Sie auf Übernehmen.

Szenarien mit mehreren Domänen

Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.

Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.

Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.

Beispielanwendungen für mehrere Domänen

Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.

Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.

Synchronisierung auf example1.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.

User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.

Synchronisierung für example1.com und example2.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Stellen Sie sich das folgende Szenario vor:

Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.

Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne

Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.

Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.

Domänenpriorität festlegen

Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.

Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.

Vorbereitungen

Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie steht unter https://admin.webex.com zum Download bereit.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen.
3	Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern. Die Domänen werden in absteigender Reihenfolge sortiert.

Domäne wechseln

Mit diesem Verfahren können Sie den Cisco-Verzeichniskonnektor erneut an eine andere Domäne binden.

Vorbereitungen

Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie müssen sie über Control Hub herunterladen.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln.
3	Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, die Registrierung anderer Domänen im Connector wird aufgehoben, und die Connector-Informationen auf diesem Computer werden gelöscht.
4	Melden Sie sich erneut beim Cisco-Verzeichniskonnektor an, und binden Sie die Domäne erneut.

Verzeichnissynchronisierung deaktivieren

Wenn Sie die Synchronisierung über den Verzeichniskonnektor beenden müssen, können Sie sie über Control Hub vorübergehend deaktivieren.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:

Klicken Sie auf „Mehr“ und anschließend neben der Connector-Instanz, die Sie deaktivieren möchten, auf Deaktivieren .
Klicken Sie auf Alle Verzeichnissynchronisierungen deaktivieren, um die Synchronisierung von allen Connector-Instanzen zu beenden.

2

Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten.

Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren.

Benutzerattributzuordnung entfernen

Verwenden Sie den Verzeichniskonnektor, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Benutzerattributzuordnung entfernen.
3	Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus.
4	Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus: Nur mit Verzeichniskonnektor synchronisierte Benutzer: Die Zuordnung wird nur von Benutzern entfernt, die zuvor mit dem Directory Connector synchronisiert worden sind. Alle Nutzer: Die Zuordnung wird von allen Active Directory-Benutzern entfernt.
5	Klicken Sie auf Übernehmen.

Profilbilder verwalten

Verwenden Sie den Verzeichniskonnektor, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Profilbilder verwalten.
3	Wählen Sie unter Aktionen eine der folgenden Optionen aus: Profilbilder für leere Avatar-Quellen entfernen: Wenn das Active Directory-Profilbild leer ist, stellt diese Option sicher, dass die Benutzerprofilbilder aus der Cloud entfernt werden, auch wenn der Benutzer zuvor sein eigenes Bild in Webex hochgeladen hat. Laden Sie die synchronisierte Quelle erneut hoch, um zwischengespeicherte Bilder zu überschreiben: Der Directory Connector verwendet zum Aktualisieren der Profilbilder für alle Benutzer dasselbe Active Directory wie zuvor. Dadurch wird sichergestellt, dass es keine Diskrepanz zwischen den Profilbildern in Active Directory und der Cloud gibt.
4	Klicken Sie auf Übernehmen.

Directory Connector deinstallieren und deaktivieren

Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:

Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
Sie möchten die Domäne ändern und einen anderen Connector installieren.

Vorbereitungen

Möglicherweise werden mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder Synchronisierung mit mehreren Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie den Directory Connector deinstallieren.

1	Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen.
2	Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallieren aus und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen.
3	Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr und anschließend neben der Directory Connector-Instanz, die Sie deinstallieren möchten, auf Deaktivieren .
4	Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren. Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung.

Ausführen des Diagnosetools

Sie können das integrierte Diagnosetool verwenden, um Fehler bei der Directory Connector-Bereitstellung zu beheben. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.

Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.

So führen Sie Tests für Active Directory-Domänendienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-DS , geben Sie Ihre Domäne ein und klicken Sie dann auf Domänencontroller laden.
2. Wählen Sie einen Domänencontroller aus der Liste aus.
  
  Ändern Sie den Eintrag nicht später, da die inkrementelle Suche immer im selben Domänencontroller ausgeführt werden muss.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie im Abschnitt Active Directory-Abfragen weitere Filter, z. B. entweder Benutzer oder Gruppen -Objekte und Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-LDS , geben Sie Ihren Host und Ihren Port ein und klicken Sie dann auf Partitionen laden.
2. Wählen Sie eine Partition aus der Liste aus, und klicken Sie dann auf Verbinden.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie weitere Filter im Abschnitt Active Directory-Abfragen , z. B. Benutzer, UserProxy und UserProxyFull sowie Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte LDAP RAW , geben Sie Ihren Stammpfad und Filter ein, wählen Sie einen Eintrag unter Attribute aus und klicken Sie dann auf Lade-Partitionen.
2. Überprüfen Sie bei Bedarf die folgenden Optionen:
  - ObjectSecurity: Wenn diese Option vorhanden ist, benötigt der Anrufer keine Rechte und kann nur Objekte und Attribute sehen, auf die der Anrufer zugreifen kann. Wenn diese Option nicht vorhanden ist, hat der Anrufer das Recht, Änderungen zu replizieren.
  - ParentsFirst – Stellt sicher, dass alle Eltern der Kinder vor ihre Kinder kommen.
3. Wählen Sie einen Wert für ExtendedDN aus.
  
  Dieser Wert wird bei einer erweiterten LDAP-Suche verwendet, um eine erweiterte Form von Objekt-Distinguished Name anzufordern.
4. Wählen Sie einen Wert für ReferralChasing aus.
  
  Eine Weiterleitungsverfolgung wird initiiert, wenn ein Domänencontroller eine Weiterleitung von einer Abfrage zurückgibt – beispielsweise für Details zu einem Abfrageergebnis, das außerhalb des Namensraums liegen kann (z. B. Gruppenmitglieder in einer anderen Domäne oder einem Wald).
5. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
6. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.

Beheben von Problemen im Ciso Directory Connector

Fehlerbehebung und Fehlerbehebungen für den Directory Connector

Möglicherweise tritt eine Fehlermeldung oder ein anderes Problem im Directory Connector auf. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet der Connector Ihnen möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. Bevor Sie sich an den Support wenden, lesen Sie die folgenden Abschnitte über mögliche Probleme, mögliche Ursachen und vorgeschlagene Lösungen.

Installieren

Directory Connector funktioniert nicht mehr

Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber benachrichtigt wurden, dass Ihr Directory Connector nicht funktioniert.

Der Directory Connector ist möglicherweise nicht korrekt installiert.
Directory Connector wird möglicherweise nicht ausgeführt.
Das Netzwerk ist möglicherweise nicht verfügbar.

Gehen Sie wie folgt vor:

Öffnen Sie Systemsteuerung > Programme und Funktionen. Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
Öffnen Sie den Dienst und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status Gestartet angezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, über Internetzugang verfügt.

Fehler bei erneuter Installation

Problem: Wenn Sie sofort einen neuen Connector installieren, nachdem Sie einen alten deinstalliert haben, wird möglicherweise eine Fehlermeldung angezeigt.

Mögliche Ursache: In Windows Server 2012 benötigt der Client zur Deinstallation Zeit, um das Dienstkonto aus der Dienstliste zu löschen.

Lösung: Versuchen Sie die Installation nach einiger Zeit erneut.

Anmelden

Directory Connector stürzt bei der SSO-Anmeldung ab

Problem

Der Directory Connector kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.

Lösung

Gehen Sie wie folgt vor:

Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:

Wechseln Sie zum Domänencontroller und öffnen Sie Group Policy Management (gpedit.msc).
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne, und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie Bearbeiten aus.

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter Key Path die Option HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter SchlüsselpfadHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Die Änderungen werden wirksam, nachdem Sie gpupdate /force ausgeführt haben, die Maschine neu gestartet wurde (bei Änderungen am Computer) oder sich der Benutzer erneut anmeldet (bei Änderungen am Benutzer).

Cisco DirSync Service Connector konnte nicht registriert werden

Problem

Anmeldung fehlgeschlagen, und die folgende Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“

Lösung

Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.

Die Seite „Keine Anmeldung“ wird angezeigt

Problem

Sie haben den Verzeichniskonnektor geöffnet und die Anmeldeseite wurde nicht angezeigt.

Lösung

Gehen Sie wie folgt vor:

Navigieren Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie den Link in anderen Browsern wie Chrome und Firefox.
Wenn Internet Explorer den Link nicht aufrufen kann, andere Browser dies jedoch können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren .)

Anmeldeaufforderung wird angezeigt

Problem

Es wird eine Aufforderung angezeigt, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu bestehen.

Mögliche Ursache

Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.

Lösung

Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Übergabe der Sicherheit bereitstellen.

Verbindung zum Remote-Server nicht möglich

Problem

Während des normalen Betriebs wird die Fehlermeldung „Keine Verbindung zum Remote-Server möglich“ angezeigt.

Mögliche Ursache

Möglicherweise gibt es Proxy-Probleme, die behoben werden müssen.

Lösung

Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung mit Dienstkonto beheben .

Konnektor kann nicht registriert werden.

Problem

Es wird die Fehlermeldung „Der Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“

Mögliche Ursache

In den meisten Fällen liegt das Problem darin, dass der Directory Connector keine Berechtigung für eine Verbindung mit dem LDAP-Stammkontext hat.

Lösung

Gehen Sie wie folgt vor:

Führen Sie eine Eingabeaufforderung (cmd) aus, und geben Sie ldp.exe ein.
Klicken Sie auf Verbindung > Binden, wählen Sie Als aktuell angemeldeten Benutzer binden und klicken Sie dann auf OK.
Klicken Sie auf Ansicht > Baum, geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall beim Support.

Synchronisierung

Avatare nicht synchronisiert

Problem

Der Cisco Directory Connector hat die Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatar-Daten erfolgreich synchronisiert.

Mögliche Ursache

Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache diese und vermeidet es, erneut zu senden, um Bandbreite zu sparen.

Lösung

Führen Sie die folgenden Schritte aus, um den lokalen Cache zu löschen:

Gehen Sie zu C:\Programme (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Löschen DirSyncPluginAvatar.dll-cache.bin.
Führen Sie die Avatar-Synchronisierung über den Cisco-Verzeichniskonnektor erneut aus.

In Konflikt stehende Benutzer-E-Mail-Konten

Problem

Die Synchronisierungsergebnisse können in Konflikt stehende Benutzer-E-Mail-Konten anzeigen.

Wenn Benutzer die kostenlose Version der Webex-App versucht haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.

Lösung

Gehen Sie wie folgt vor:

Befolgen Sie die folgenden Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
1. Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
2. Deaktivieren Sie Cisco Directory Connector vorübergehend.
3. Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucherorganisation vorhanden sein könnten. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
4. Probelauf im Cisco Directory Connector durchführen und die Verzeichnissynchronisierung anschließend erneut aktivieren
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen.

Konvertierter Benutzer als inaktiv markiert

Problem

In Ihrer verzeichnissynchronisierten Umgebung haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.

Mögliche Ursache

Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer als 30 Tage lang als inaktiv markiert, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des Zeitraums von 30 Tagen zur Löschung markiert. Diese Situation tritt auf, da sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.

Lösung

Sie müssen entsprechende Maßnahmen ergreifen, wenn das Benutzerkonto nicht gelöscht werden soll. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.

Inkrementelle Synchronisierung schlägt fehl

Problem

Eine inkrementelle Synchronisierung schlägt fehl.

Dieses Problem kann unter folgenden Bedingungen auf Windows Server 2008 R2 auftreten:

Sie unterstützen inkrementelle Wertaktualisierungen.
Der Filter, den Sie verwenden, referenziert ein verknüpftes Werteattribut.
Die Ergebniswerte dieses Attributs wurden seit der letzten Durchführung einer vollständigen Synchronisierung aktualisiert.

Lösung

Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihren Windows Server auf mindestens 2012 R2 zu aktualisieren.

Ungültiger Wert für Merkmal

Problem

Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].

Mögliche Ursache

Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.

Lösung

Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.

Übereinstimmende Benutzer zum Löschen

Problem

Die übereinstimmenden Benutzer werden als gelöscht markiert.

Wenn Sie einen Probelauf zur Überprüfung der Daten zwischen Active Directory und der Cloud durchführen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Systemen angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.

Lösung

Wählen Sie eine geeignete Lösung:

Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen danach zu wiederholen, können Sie den Directory Connector für die Behebung verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Support-Fall.

Attribut fehlt

Problem

Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.

Mögliche Ursache

Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsbenutzer,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert aufweisen.

Lösung

Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.

Verschachtelte Gruppe wird nicht synchronisiert

Problem

Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.

Mögliche Ursache

Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Beispiel: (Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)

Lösung

Sie müssen den Filter, der Gruppen synchronisiert, neu konfigurieren. Beispiel: |(Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)(Mitglied=CN=testSubGroup,CN=Benutzer,DC=rktest2008,DC=org)

Konflikt bei Benutzerbenennung

Problem

Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und des Benutzertyps [user_type].

Mögliche Ursache

Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.

Lösung

Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.

Control Hub

Benutzerliste fehlt in Control Hub

Problem

Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird Ihnen die Benutzerliste in Control Hub möglicherweise nicht angezeigt.

Lösung

Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Wechseln Sie in Control Hub zu Benutzer, klicken Sie auf Suchen und geben Sie dann Suchkriterien ein, um nach einem bestimmten Benutzer zu suchen.

Gruppen werden nicht mit Control Hub synchronisiert

Problem

Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.

Mögliche Ursache

Die Gruppe ist in Active Directory nicht als isCriticalSystemObject markiert.

Lösung

Stellen Sie sicher, dass das Attribut isCriticalSystemObject in Active Directory auf TRUE gesetzt ist.

Problembehandlung für den Directory Connector aktivieren

Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.

Die Protokolldateien, die sind: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Führen Sie die Datei `services.msc` aus, um das ausgeführte Konto für den Directory Connector-Dienst vom lokalen System in ein Domänenkonto zu ändern, das über Zugriffsberechtigungen für Ihr AD DS oder AD LDS verfügt.
2	Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten.
3	Klicken Sie im Directory Connector auf Dashboard.
4	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Fehlerbehebung.
5	Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können.
6	Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt. Der Protokollordner speichert nur Dateien für die letzten 3 Tage. Der Inhalt in den Protokolldateien entspricht der Ausgabe des Ereignisprotokolls für das System.
7	Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten.
8	Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind.

Weitere Informationen

Support kontaktieren

Starten der Ereignisanzeige

Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Dashboard und klicken Sie auf Aktion > Ereignisanzeige starten. Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails.
2	Wechseln Sie in der Ereignisanzeige zu Anwendungs- und Dienstprotokolle > Cisco Directory Connector.
3	Klicken Sie unter Aktionen auf Alle Events speichern unter , um alle Protokolle als einzelne Events-Datei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren.

Nächste Schritte

Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und fügen Sie dann die Events-Datei an Ihren Fall an.

In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Hilfe bei der Verwaltung des Netzwerkdatenverkehrs zu erhalten.

TLS in Internet Explorer aktivieren

Wenn Sie Single Sign-On (SSO)-Anbieter gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:

Bei der Anmeldung am Dienst ist ein Fehler aufgetreten
Im Skript auf dieser Seite ist ein Fehler aufgetreten

Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.

1	Öffnen Sie Internet Explorer und wählen Sie Werkzeuge aus. Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die aktiviert werden soll. Klicken Sie auf OK. Schließen Sie den Browser und öffnen Sie ihn erneut.
2	Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , und scrollen Sie zu Sicherheit.
3	Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden , und klicken Sie auf OK.
4	Starten Sie das System neu, damit die Änderungen übernommen werden.

Anmeldeprobleme für Dienstkonten beheben

Wenn Sie sich nicht beim Cisco Directory Connector anmelden können oder keine Synchronisierung durchführen können, versuchen Sie anhand der folgenden Schritte, das Problem zu beheben, bevor Sie sich an den Support wenden.

1

Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen.

2

Wählen Sie je nach den Ergebnissen eine Option:

Wenn Sie den Link nicht über Ihren Browser aufrufen können, überprüfen Sie Ihre Netzwerkeinstellungen. Wenn Sie in Ihrer Umgebung einen Proxy verwenden, überprüfen Sie die Proxy-Einstellungen.
Wenn Sie den Link über Ihren Browser aufrufen, aber den Cisco Directory Connector nicht öffnen können (Fehler 407 kann nicht geöffnet werden), klicken Sie hier , um die neueste Version des Cisco Directory Connector abzurufen.
Wenn Sie den Link über Ihren Browser aufrufen, aber keine Synchronisierung über den Cisco Directory Connector durchführen können, ändern Sie das Konto für die Dienstanmeldung in Domänenadministrator.

Überprüfen Sie, ob das Konto, mit dem Sie sich beim Windows-System angemeldet haben, dasselbe Konto ist, das Sie unter „Cisco DirSync-Dienst“ festgelegt haben. Wenn es sich um 2 verschiedene Konten handelt, stellen Sie sicher, dass beide Konten https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL besuchen können. Wenn Ihre Umgebung einen Proxy verwendet, stellen Sie sicher, dass beide Konten im Internet Explorer für den Proxy konfiguriert sind und https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL erfolgreich aufrufen können.

3

Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (das unter den Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar- und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung für das Windows-Anmeldekonto.

Weitere Informationen

Support kontaktieren

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Übersicht über Cisco Directory Connector

Directory Connector – Übersicht

Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.

Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur zentralen Informationsquelle wird. Wenn Sie eine Änderung lokal vornehmen, wird diese in die Cloud kopiert.

In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:

Funktion	Beschreibung und Vorteil
Benutzerfreundliches Dashboard	Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden.
Probelauf, bevor die Synchronisierung in die Cloud durchgeführt wird	Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor sie in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen.
Vollständige und inkrementelle Synchronisierung	Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen.
Synchronisieren mehrerer Domänen (einzelne Gesamtstruktur oder mehrere Gesamtstrukturen)	Directory Connector unterstützt mehrere Domänen entweder in einer einzelnen Gesamtstruktur oder in mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Der Control Hub spiegelt den Status wider, indem er den Synchronisierungsstatus für mehrere Directory Connectors anzeigt. Damit können Sie die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Directory Connector in einer Hochverfügbarkeitsbereitstellung deaktivieren.
Geplante Synchronisierung	Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest.
LDAP-Filter (Lightweight Directory Access Protocol)	Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit.
Active Directory-Attributzuordnung	Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um die Cloud zuzuordnen. Die Attribute aus dem Standort bilden verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, Enteprise-Telefonnummern in Webex Teams, Raumressourcen-SIP-Adressen und andere Kontaktkartendaten des Benutzers (Stellenbezeichnung, Abteilung, Manager usw.).
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung	Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud-PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte haben, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten auf ihren Cisco Webex Calling (Cloud-PSTN)-Telefonen oder Raumressourcen durchsuchen. Raumressourcen Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugewiesenen SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Cisco Webex Raumgerät oder Cisco Webex Board angezeigt. Wenn Benutzer eine Suche auf einem Cisco Webex Room-Gerät oder Cisco Webex Board durchführen, werden die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde. Anrufe Benutzer können zusätzlich zu den Webex-App-Kontakten Unternehmenskontakte anrufen. Über den Directory Connector werden die Unternehmensbenutzer und ihre Telefonnummern zu Ihrer Webex-Organisation hinzugefügt. Sie müssen nicht für Webex-Dienste lizenziert sein, damit diese Funktion funktioniert. Benutzer, die nicht für Webex lizenziert sind, werden in der Verzeichnissuche angezeigt, die auf dem Telefon eines Cisco Webex Calling-Benutzers durchgeführt wird, solange eine URI oder eine Telefonnummer über den Verzeichniskonnektor mit Webex synchronisiert ist. Die Anrufe funktionieren gleich für beide Benutzertypen. Außerdem bietet dieses Feature eine Bearbeitungsfunktion für Kontakte, die nur eine Telefonnummer enthalten. Für die Kontakte in den Suchergebnissen gilt Folgendes: Wenn Kontakte eine wählbare URI (Webex-SIP-Adresse) und eine Telefonnummer haben, wird die URI angezeigt, die mit dem Kontakt verknüpft ist. Wenn ein Kontakt keine wählbare URI, dafür jedoch eine Telefonnummer hat, wird die Telefonnummer angezeigt. Außerdem wird ein Softkey zum Bearbeiten der gewählten Nummer angezeigt. Kontakte ohne URI oder Telefonnummer werden nicht im Verzeichnis angezeigt.
Ereignisanzeige	Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen.
Diagnose-Tool und Fehlerbehebung	Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können.
Automatisches Upgrade	Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird.
Hohe Verfügbarkeit	Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt.

Directory Connector ist in drei Bereiche unterteilt:

Control Hub ist die zentrale Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und die Einzelanmeldung (SSO) konfigurieren, wenn Ihre Benutzer sich über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App versenden möchten.
Die Directory Connector-Verwaltungsoberfläche ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und die Directory Connector-Dienste zu konfigurieren.
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory ab, um sie mit dem Connector-Dienst und dem Directory Connector zu synchronisieren.

Weitere Informationen zur Directory Connector-Architektur finden Sie in diesem Diagramm:

Vorbereiten Ihrer Umgebung für den Directory Connector

Anforderungen für den Directory Connector

Windows- und Active Directory-Anforderungen

Sie können Directory Connector auf den folgenden unterstützten Windows-Servern installieren:

Windows Server 2022
Windows Server 2019
Windows Server 2016

Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die das Fix enthält – Windows Server 2012 R2 oder 2016.

Directory Connector wird von den folgenden Active Directory-Diensten unterstützt:

Active Directory 2016

(Directory Connector wird bei Verwendung der neuesten Version von Active Directory unter Windows Server 2019 unterstützt)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Beachten Sie die folgenden zusätzlichen Anforderungen:

Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
- .NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, folgen Sie den Anweisungen unter Aktivieren Sie .NET Framework 3.5 mit dem Assistenten zum Hinzufügen von Rollen und Funktionen.)
- .NET Framework v.4.5 (erforderlich für TLS1.2)
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)

Hardware-Anforderungen

Sie müssen Directory Connector auf einem Computer installieren, auf dem die folgenden Mindestanforderungen an die Hardware erfüllt sind:

8 GB RAM
50 GB Speicherplatz
Keine Mindestanforderung für die CPU

Netzwerk-Anforderungen

Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS-Zugriff (Port 443) auf das Internet verfügt.

Anforderungen der Webex-Organisation

Um von Control Hub aus auf die Directory Connector-Software zugreifen zu können, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem bezahlten Abonnement.
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Ihnen, Folgendes zu tun:
- Fügen Sie Domänen hinzu, überprüfen und optional beanspruchen Sie sie , die die E-Mail-Adressen der Benutzer enthalten, die Sie mit der Cloud synchronisieren möchten.
- Integrieren Sie Ihren Identitätsanbieter (IdP) mit Ihrer Webex-Organisation durch die einmalige Anmeldung (Single Sign-On, SSO).
- Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)

Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.

Installationsanforderungen

In einer Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
Für die Anmeldung beim Connector ist kein Administratorkonto in Active Directory erforderlich. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer wie ein Volladministratorkonto in Control Hub ist.

Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computeranmeldekonto sollte ein Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer sein. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Während der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector für den Zugriff auf Active Directory das lokale Systemkonto. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Stellen Sie sicher, dass der Suchmodus für die Windows Safe Dynamic Link Library (DLL) mit diesem Verfahren aktiviert ist: Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung.
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, sollten Sie Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Computern installieren.

Mehrere Domänenanforderungen

Bevor Sie den Aufgaben im Ablauf der Bereitstellungsaufgabe für den Cisco-Verzeichniskonnektor folgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:

Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.)
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , damit Ihre Organisation in eine große Organisationsliste verschoben wird.
Bei Bedarf können Sie Informationen zu Raumressourcen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.)

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.

Active Directory enthält zwei Arten von Gruppen:

Verteilergruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
Sicherheitsgruppen: Wird verwendet, um Berechtigungen für geteilte Ressourcen zuzuweisen.

Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:

Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienstleistung (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex Licensing usw.).
Verwenden Sie organisationsübergreifende Standard-Benennungskonventionen, um die Identifizierung wichtiger Informationen über eine Gruppe zu erleichtern. Gruppennamen können Details zur Gruppe enthalten, z. B. die Zugriffsstufe, die Art der Ressource, die Sicherheitsstufe, den Gruppenumfang, die E-Mail-Funktion usw. Der Gruppenname „GSG_Webex_Licensing_EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
Organisieren Sie Gruppen auf leicht verständliche Weise, z. B. nach Geografie oder Hierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die automatische Lizenzgruppenvorlage in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für die automatische Lizenzzuweisung einrichten .

Informationen zur Größe

Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Alle Beschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.

Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:

Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsjob dauert nicht so lange wie 50000.)
Netzwerkgeschwindigkeit und Bandbreite.
Systemauslastung und Spezifikationen.

Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.

Da bei der Synchronisierung mehrere Faktoren beteiligt sind und jede Bereitstellung abhängig von den oben genannten Faktoren variiert, können wir keine spezifischen Zeitwerte angeben, die angeben, wie lange eine Objektsynchronisierung dauern wird.

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Webproxy-Integration

Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.

Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector stellt eine Verbindung her und synchronisiert die Benutzer.

Sie können einen der folgenden Ansätze verwenden:

Expliziter Webproxy über Internet Explorer (der Connector erbt die Webproxy-Einstellungen)
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert

Webproxy über den Browser verwenden

Sie können den Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.

Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,

1	Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus.
2	Verweisen Sie die Windows-Instanz, auf die der Connector installiert ist, auf Ihren Webproxy. Der Connector erbt diese Webproxy-Einstellungen.
3	Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu: cloudconnector.webex.com für die Synchronisierung. idbroker.webex.com für die Authentifizierung. idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw. Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.
4	Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu: .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

Webproxy über eine PAC-Datei konfigurieren

Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und die Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.

1

Damit der Connector sich erfolgreich mit der Webex Cloud verbinden und die Benutzerinformationen synchronisieren kann, müssen Sie die Proxy-Authentifizierung für cloudconnector.webex.com in der .pac-Dateikonfiguration für den Host deaktivieren, auf dem der Connector installiert ist.

2

Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:

cloudconnector.webex.com für die Synchronisierung.
idbroker.webex.com für die Authentifizierung.
idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw.

Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt.

Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.

3

Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

NTLM-Proxy

Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.

NTLM-Design

In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.

Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus aus Herausforderung und Antwort:

Ein Benutzer meldet sich über ein Windows-Konto und ein Kennwort auf einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines reinen Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hash-Wert mit dem Hash-Wert des eingegebenen Passworts. Wenn beide gleich sind, wird die Authentifizierung erfolgreich ausgeführt.

Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im reinen Textformat.
Wenn der Server die Anforderung erhält, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Herausforderung auf dem Server gespeichert. Anschließend sendet der Server die Aufforderung im reinen Textformat an den Client.
Sobald der Client die vom Server gesendete Challenge erhält, verschlüsselt der Client die Challenge mit dem in Schritt 1 genannten Hash-Wert. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet er ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: der Kontoname, die verschlüsselte Aufforderung, die der Client gesendet hat, und die ursprüngliche einfache Aufforderung.
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.

Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Dadurch müssen Sie keine weitere Konfiguration abschließen.

Transparenten Proxy konfigurieren

In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.

1	Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann.
2	Bestätigen Sie, dass der Proxy erfolgreich ist: Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt.

Proxy-Authentifizierung festlegen

Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.

Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:

1	Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist.
2	Legen Sie eine geschätzte Bandbreite für diese Verbindung fest (ca. 2 MB/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich.
3	Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie `cloudconnector.webex.com` als Ziel an, das Sie zur Zulassungsliste hinzufügen möchten. Beispiel: `access-list 2000 acl-inside extended permit TCP [IP des Connectors] cloudconnector.webex.com eq https`
4	Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt.
5	Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren.

Verzeichniskonnektor bereitstellen

Ablauf der Bereitstellungsaufgabe des Cisco-Verzeichniskonnektors

Vorbereitungen

Vorbereiten Ihrer Umgebung für den Directory Connector

1	Verzeichniskonnektor installieren In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen. Für eine neue Installation von Directory Connector gehen Sie immer zu Control Hub ( https://admin.webex.com), um die neueste Version der Software abzurufen, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
2	Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administrator-Anmeldeinformationen an und führen Sie die Ersteinrichtung durch.
3	Automatische Upgrades festlegen Es ist immer wichtig, dass Ihre Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
4	Active Directory-Objekte zum Synchronisieren auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.
5	Benutzerattribute zuordnen Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist die *uid.
6	Synchronisieren Sie Verzeichnis-Avatare mit einem der folgenden Verfahren: Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass der Avatar jedes Benutzers angezeigt wird, wenn er sich bei der Anwendung anmeldet. Sie können Avatare von einem Active Directory-Attribut oder einem Ressourcenserver synchronisieren.
7	Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Webex Room-Gerät oder Cisco Webex Board angezeigt.
8	Um Benutzer Aus Active Directory In Control Hub Bereitzustellen, führen Sie die folgenden Schritte aus: Durchführen eines Probelaufs für die Active Directory-Benutzer Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Folgen Sie dieser Sequenz, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wald- oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

Verzeichniskonnektor installieren

In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen.

Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf der Synchronisierung mit mehreren Domänen:

Vorbereitungen

Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen:

Für die Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxy-Konfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Webproxy Im Browser verwenden
Bei Proxy-NTLM wird Ihnen möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser.

1	Wechseln Sie in Control Hub zu Benutzer > Benutzer verwalten > Verzeichnissynchronisierung aktivieren und wählen Sie Weiter aus.
2	Klicken Sie auf den Link Herunterladen und installieren, um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die .zip-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert. Holen Sie sich für eine Neuinstallation die neueste Version der Software, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
3	Entpacken Sie die MSI-Datei auf dem VMware- oder Windows-Server und führen Sie sie im Setup-Ordner aus, um den Setup-Assistenten zu starten.
4	Klicken Sie auf Weiter, aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Weiter, bis der Bildschirm „Kontotyp“ angezeigt wird.
5	Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto durch: Lokales System – Die Standardoption. Sie können diese Option verwenden, wenn Sie über Internet Explorer einen Proxy konfiguriert haben. Domänenkonto – Verwenden Sie diese Option, wenn der Computer Teil der Domäne ist. Der Directory Connector muss mit Netzwerkdiensten interagieren, um auf Domänenressourcen zuzugreifen. Geben Sie die Kontoinformationen ein und klicken Sie auf OK. Geben Sie den Benutzernamen im Format `{Domäne}\{Benutzername} ein.` Für einen mit AD (NTLMv2 oder Kerberos) integrierten Proxy müssen Sie die Option für das Domänenkonto verwenden. Das für die Ausführung des Directory Connector-Diensts verwendete Konto muss über ausreichende Privilegien verfügen, um den Proxy zu passieren und auf AD zuzugreifen. Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind: Der Server ist Teil der Domäne Das Domänenkonto kann auf die lokalen AD-Daten und Avatardaten zugreifen. Das Konto muss auch über die lokale Administratorrolle verfügen, da es auf die Dateien unter `C:\Programme` zugreifen muss. Für die Anmeldung einer virtuellen Maschine muss das Administratorkonto mindestens in der Lage sein, Domäneninformationen zu lesen.
6	Klicken Sie auf Installieren. Geben Sie nach der Ausführung des Netzwerktests Ihre grundlegenden Proxy-Anmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertig stellen.

Nächste Schritte

Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Während des Neustarts der Maschine werden alle Daten aktualisiert, um ein exaktes Ergebnis im Bericht anzuzeigen.

Bei Directory Connector anmelden

Vorbereitungen

Stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen.

Für die Proxy-Basic-Auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
Öffnen Sie für Proxy-NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen, stellen Sie sicher, dass die Informationen zum Proxy-Server hinzugefügt wurden, und klicken Sie auf OK. Siehe Verwenden eines Webproxys über den Browser.

1	Öffnen Sie den Connector und fügen Sie `https://idbroker.webex.com` zur Liste der vertrauenswürdigen Sites hinzu, wenn Sie dazu aufgefordert werden.
2	Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich dann mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter.
3	Bestätigen Sie Ihre Organisation und Ihre Domäne. Wenn Sie AD DS auswählen, aktivieren Sie LDAP over SSL, um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden, wählen Sie die Domäne aus, aus der Sie synchronisieren möchten, und klicken Sie auf Bestätigen. Wenn Sie LDAP über SSL nicht aktivieren, verwendet DirSync weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher. Wenn Sie AD LDS auswählen, geben Sie Host, Domäne und Port ein und klicken Sie auf Aktualisieren, um alle Anwendungspartitionen zu laden. Wählen Sie dann die Partition aus der Dropdown-Liste aus und klicken Sie auf Bestätigen. Weitere Informationen finden Sie im Abschnitt „AD LDS“. Stellen Sie sicher, dass Sie in der Konfigurationsdatei CloudConnectorCommon.dll die Einstellung ADAuthLevel zum Knoten appSetting hinzufügen. Die Werte können 1, 2 oder 3 sein. In diesem Artikel von Microsoft erfahren Sie mehr über Authentifizierungstypen. Hier ein Beispiel für die Einstellung mit dem Wert 1: `<appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	Nachdem der Bildschirm Organisation bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Wenn Sie AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Organisation bestätigen angezeigt.
5	Klicken Sie auf Bestätigen.
6	Wählen Sie eine der folgenden Optionen aus, abhängig von der Anzahl der Active Directory-Domänen, die Sie an den Directory Connector binden möchten: Wenn Sie über eine einzige Domäne verfügen, die AD LDS ist, verbinden Sie sich mit der vorhandenen AD LDS-Quelle und klicken Sie auf Bestätigen. Wenn Sie eine einzige Domäne haben, die AD DS ist, führen Sie die Bindung entweder mit der vorhandenen Domäne oder mit einer neuen Domäne aus. Wenn Sie An eine neue Domäne binden auswählen, klicken Sie auf Weiter. Da der vorhandene Quelltyp AD DS ist, können Sie AD LDS nicht für die neue Bindung auswählen. Wenn Sie mehr als eine Domäne haben, wählen Sie eine vorhandene Domäne aus der Liste aus oder An neue Domäne binden und klicken Sie dann auf Weiter. Da Sie mehr als eine Domäne haben, muss der vorhandene Quelltyp AD DS sein. Wenn Sie An neue Domäne binden auswählen und auf Weiter klicken, können Sie AD LDS nicht für die neue Bindung auswählen.

Nächste Schritte

Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.

Directory Connector-Dashboard

Wenn Sie sich zum ersten Mal beim Directory Connector anmelden, wird das Dashboard angezeigt. Hier können Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken anzeigen, einen Probelauf für die Synchronisierung durchführen, eine vollständige oder inkrementelle Synchronisierung starten und die Event-Ansicht starten, um Fehlerinformationen anzuzeigen.

Melden Sie sich erneut an, falls Ihre Sitzung eine Zeitüberschreitung auftritt.

Sie können diese Aufgaben einfach über die Symbolleiste oder das Menü „Aktionen“ ausführen.

Tabelle 1. Dashboard-Komponenten
Komponente	Beschreibung
Aktuelle Synchronisierung	Zeigt die Statusinformationen zur laufenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige inaktiv.
Nächste Synchronisierung	Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Zeitplan festgelegt ist, wird Nicht angesetzt angezeigt.
Letzte Synchronisation	Zeigt den Status der letzten beiden durchgeführten Synchronisierungen an.
Aktueller Synchronisierungsstatus	Zeigt den Gesamtstatus der Synchronisierung an.
Konnektoren	Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind.
Cloud-Statistik	Zeigt den Gesamtstatus der Synchronisierung an.
Synchronisierungszeitplan	Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung an.
Konfigurationszusammenfassung	Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten: Alle Objekte werden synchronisiert Alle Benutzer werden synchronisiert Gelöschter Schwellenwert ist deaktiviert worden.

Tabelle 2: Aktionen-Symbolleiste
Aktion	Beschreibung
Inkrementelle Synchronisierung starten	Inkrementelle Synchronisierung manuell starten Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn noch keine vollständige Synchronisierung abgeschlossen wurde oder wenn eine Synchronisierung läuft.
Probelauf synchronisieren	Führen Sie einen Probelauf für die Synchronisierung durch.
Ereignisanzeige starten	Starten Sie die Microsoft-Ereignisanzeige.
Aktualisieren	Aktualisieren des Cisco Directory Connector-Dashboards

Tabelle 3: Menüleiste „Aktionen“
Aktion	Beschreibung
Jetzt synchronisieren	Starten Sie sofort eine vollständige Synchronisierung.
Synchronisierungsmodus	Wählen Sie entweder den inkrementellen oder den vollständigen Synchronisierungsmodus aus.
Geheimschlüssel für Konnektor zurücksetzen	Stellen Sie eine Unterhaltung zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Durch Auswahl dieser Aktion wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert.
Probelauf	Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung durchführen.
Fehlerbehebung	Aktivieren/deaktivieren Sie die Fehlerbehebung.
Aktualisieren	Aktualisieren Sie den Cisco Directory Connector-Hauptbildschirm.
Beenden	Beenden Sie den Cisco Directory Connector.

Tabelle 4: Tastenkombinationen
Tastenkombination	Aktion
Alt +A	Das Menü Aktionen anzeigen
`Alt +A + S`	Jetzt synchronisieren
`Alt +A + R`	Geheimschlüssel für Konnektor zurücksetzen
`Alt +A + D`	Probelauf
`Alt +A + S + I`	Inkrementelle Synchronisierung
`Alt +A + S + F`	Vollständige Synchronisierung
`Alt + H`	Menü Hilfe anzeigen
`Alt + H + H`	Hilfe
`Alt + H + A`	Info
`Alt + H + F`	häufig gestellte Fragen

Automatische Upgrades festlegen

1	Wechseln Sie im Directory Connector zu Konfiguration > Allgemein und aktivieren Sie die Option Automatisch auf neue Cisco Directory Connector-Version aktualisieren.
2	Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.

Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion.

Active Directory-Objekte zum Synchronisieren auswählen

Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.

Gruppen für die automatische Lizenzzuweisung

Mit Control Hub können Sie Lizenzzuweisungen auf Gruppenbasis verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Beim Erstellen eines Benutzers überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.

Wir empfehlen, einen LDAP-Filter zu verwenden, um nur relevante Gruppen mit der Cloud zu synchronisieren. Beispielsweise können Sie den Filter auf:

(&(cn=Beispiel)(objectclass=Gruppe))*

Dieser Filter synchronisiert alle Gruppen innerhalb des Basis-DN, bei dem der Name mit „Beispiel“ beginnt. Benutzern, die keinen Gruppen zugewiesen sind, werden Lizenzen über die automatische Standardlizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.

Objektauswahlbildschirm im Directory Connector

Gruppen für Hybrid-Datensicherheitsbereitstellungen

Im Directory Connector müssen Sie Gruppen aktivieren, wenn Sie Hybrid-Datensicherheit zum Konfigurieren einer Testgruppe für Pilotbenutzer verwenden. Anleitungen finden Sie im Bereitstellungsleitfaden für Hybrid-Datensicherheit. Diese Verzeichniskonnektor-Einstellung wirkt sich nicht auf die Synchronisierung anderer Benutzer in der Cloud aus.

Vorbereitungen

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl.
2	Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und erwägen Sie, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die zur Beispiel-Manager-Gruppe gehören, verwenden Sie einen Filter wie diesen: `(&(sAMAccountName=*)(memberOf=cn=Beispiel-Manager,ou=Beispiel,ou=Sicherheitsgruppe,dc=UNTERNEHMEN))`
3	Aktivieren Sie das Kontrollkästchen Raum identifizieren, um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen, wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie lokale Rauminformationen von Active Directory mit der Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.
4	Aktivieren Sie Gruppen, wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie keinen LDAP-Filter für die Benutzersynchronisierung zum Feld „Gruppen“ hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren. Gruppen werden standardmäßig nicht für neue Kunden synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren.
5	Aktivieren Sie Kontakte, wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten. Der Verzeichniskonnektor verwaltet nur Kontakte, die vom Konnektor synchronisiert wurden. Wenn bereits Kontakte in Control Hub vorhanden sind, werden die Kontakte durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsumfang entfernt werden, werden auch die Kontaktinformationen der Benutzer in Control Hub entfernt.
6	Konfigurieren Sie die LDAP-Filter. Sie können erweiterte Filter hinzufügen, indem Sie einen gültigen LDAP-Filter bereitstellen. Weitere Informationen zum Konfigurieren von LDAP-Filtern finden Sie in diesem Artikel.
7	Geben Sie die zu synchronisierenden lokalen Basis-DNs an, indem Sie auf Auswählen klicken, um die Baumstruktur Ihres Active Directory anzuzeigen. Von hier aus können Sie auswählen, welche Container gesucht werden sollen.
8	Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten, und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container zur Synchronisierung auswählen. Wählen Sie einen übergeordneten Container aus, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird im übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container aktiviert wurde. Sie können dann auf Auswählen klicken, um die von Ihnen ausgewählten Active Directory-Container zu akzeptieren. Wenn Ihre Organisation alle Benutzer und Gruppen im Benutzer-Container platziert, müssen Sie keine anderen Container durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, stellen Sie sicher, dass Sie OUs auswählen.
9	Klicken Sie auf Übernehmen. Wählen Sie eine Option: Konfigurationsänderungen anwenden Probelauf Abbrechen Informationen zu Probeläufen finden Sie unter Durchführen einer Probelauf-Synchronisierung für Ihre Active Directory-Benutzer. Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen.

Benutzerattribute zuordnen

Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.

Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll – Sie können beispielsweise firstName lastName in Active Directory oder einen benutzerdefinierten Attributausdruck displayName in der Cloud zuordnen.

Konten in Active Directory müssen über eine E-Mail-Adresse verfügen; die uid wird standardmäßig dem Feld ad der E-Mail zugeordnet (nicht sAMAccountName).

Wenn Sie festlegen, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, ist Active Directory die einzige Informationsquelle: Benutzer können ihre Spracheinstellung in den Webex-Einstellungen nicht ändern, und Administratoren können die Einstellung in Control Hub nicht ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet.
2	Scrollen Sie zum Ende der Active Directory-Attributnamen und wählen Sie dann eines der folgenden Active Directory-Attribute aus, um das Cloud-Attribut uid zuzuordnen: E-Mail – wird in den meisten Bereitstellungen für das E-Mail-Format verwendet. userPrincipalName – Eine alternative Wahl, wenn Ihr E-Mail-Attribut für andere Zwecke in Active Directory verwendet wird. Dieses Attribut muss im E-Mail-Format vorliegen. Sie können beliebige andere Active Directory-Attribute der uid zuordnen. Wir empfehlen jedoch, „mail“ oder „userPrincipalName“ zu verwenden, wie in den obigen Richtlinien beschrieben. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, mit welchen Attributen in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen im Directory Connector. Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen ausgewählte Active Directory-Attribut im E-Mail-Format vorliegt. Der Verzeichniskonnektor zeigt ein Popup-Fenster an, das Sie daran erinnert, wenn Sie eines der empfohlenen Attribute nicht auswählen.
3	Wenn die vordefinierten Active Directory-Attribute in Ihrer Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können. Klicken Sie auf Hilfe, um weitere Informationen zu den Ausdrücken zu erhalten und Beispiele für die Funktionsweise von Ausdrücken anzuzeigen. Weitere Informationen finden Sie auch unter Ausdrücke für angepasste Attribute. Ordnen wir in diesem Beispiel die Active Directory-Attribute `givenName` und `Sn` dem Cloud-Attribut `displayName` zu: Definieren Sie den Attributausdruck givenName + "" + Sn (bei den Anführungszeichen handelt es sich um ein zusätzliches Leerzeichen) und geben Sie dann die E-Mail-Adresse eines vorhandenen Benutzers zur Überprüfung an. Klicken Sie auf Überprüfen, und prüfen Sie, ob das Ergebnis mit dem übereinstimmt, was Sie erwartet haben. Ein erfolgreiches Ergebnis sieht so aus: Wenn die Ergebnisse den erwarteten Ergebnissen entsprechen, klicken Sie auf OK, um das neue angepasste Attribut zu speichern. Wenn Sie später den displayName ändern möchten, können Sie einen neuen Attributausdruck eingeben. Der Directory Connector überprüft den Attributwert von uid im Identitätsdienst und ruft 3 verfügbare Benutzer unter den aktuellen Benutzerfilteroptionen ab. Wenn alle diese 3 Benutzer ein gültiges E-Mail-Format haben, zeigt der Cisco Directory Connector die folgende Meldung an: Wenn das Attribut nicht verifiziert werden kann, wird die folgende Warnung angezeigt und Sie können zu Active Directory zurückkehren, um die Benutzerdaten zu überprüfen und zu korrigieren:
4	(Optional) Wählen Sie Zuordnungen für Mobilgeräte und Telefonnummer aus, wenn Mobil- und Geschäftsnummern angezeigt werden sollen, beispielsweise in der Kontaktkarte des Benutzers in der Webex-App. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt. Weitere Informationen zu Anrufen über die Kontaktkarte eines Benutzers finden Sie im Bereitstellungshandbuch für Anrufe in Webex (Unified CM) (Administratoren).
5	Wählen Sie zusätzliche Zuordnungen aus, um weitere Daten in der Kontaktkarte anzuzeigen: `Abteilungsnummer` `Anzeigename` `Manager` `Titel` Nach der Zuordnung der Attribute werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt: Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren. Nachdem diese Attribute mit den einzelnen Benutzerkonten synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Benutzer der Webex-App mehr Informationen in ihren Profilen teilen und mehr voneinander erfahren. Weitere Informationen zur Funktion und zum Aktivieren finden Sie unter Profile für „People Insights“ für Webex, Jabber, Webex Meetings und Webex Events (Neu) in Control Hub.
6	Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie auf Übernehmen.

Alle in Active Directory enthaltenen Benutzerdaten überschreiben die diesem Benutzer entsprechenden Daten in der Cloud. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Alle Benutzer ohne entsprechende E-Mail-Adresse in Active Directory werden gelöscht.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Active Directory- und Cloud-Attribute

Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattributzuordnung verwenden.

In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Verzeichniskonnektor. Sie können in den Dropdown-Menüs des Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloudattribut synchronisiert wird.

Betrachten Sie die Dropdown-Attribute als Voreinstellungen. Als Alternative zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory angeben (ein Ausdruck mit mehreren Attributen), um ein einzelnes Cloudattribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise haben Sie die Flexibilität, die Anzeigenamen Ihrer Benutzer zu bestimmen. Sie können beispielsweise einen Ausdruck hinzufügen, der basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory ein angepasstes Attribut erstellt.

Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.

Sie können auch alternative E-Mail-Adressen verwenden, z. B. wenn Sie den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall dem Attribut emails;type-work eine andere E-Mail-Adresse zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.

Active Directory-Attributnamen	Webex-Cloud-Attributnamen	Anmerkungen
—	Gebäudename	—
c	c	Dieses Attribut gibt die Länderabkürzung des Benutzers an.
Abteilungsnummer	Abteilungsnummer	Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die auf der Kontaktkarte und People Insights angezeigt wird.
Anzeigename	Anzeigename	Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
BenutzerAccountControl	ds-pwp-konto-deaktiviert	Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist, andernfalls werden die Benutzer nicht ordnungsgemäß synchronisiert.
Mitarbeiternummer	Mitarbeiternummer	—
FaxTelefonnummer	FaxTelefonnummer	—
—	Jabber-ID	Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert ist nicht identisch mit sipAddresses.
l	l	Dieses Attribut gibt die Stadt des Benutzers an.
—	Ländereinstellung	—
Manager	Manager	Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der auf der Kontaktkarte und People Insights angezeigt wird.
Mobil	Mobil	Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen.
o	o	Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird auf der Kontaktkarte angezeigt.
Ou	Ou	Dieses Attribut gibt den Namen der Organisationseinheit an.
physischeLieferungBüroName	physischeLieferungBüroName	Dieses Attribut gibt den Bürostandort des Benutzers an.
Postleitzahl	Postleitzahl	Dieses Attribut gibt die Postleitzahl des Benutzers für die physische Postzustellung an.
bevorzugteSprache	bevorzugteSprache	Dieses Attribut legt die bevorzugte Sprache des Benutzers fest. Es werden die folgenden Formate unterstützt: xx_YY oder xx-YY. Hier einige Beispiele: de_US, de_GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format verwenden, wird die bevorzugte Sprache des Benutzers zur für die Organisation festgelegten Sprache geändert.
MSRTCSIP-PrimäreBenutzeradresse IP-Telefon	SIP-Adressen;type=Unternehmen	Dieses Attribut wird verwendet, um lokale Rauminformationen aus Active Directory mit der Cisco Webex-Cloud zu synchronisieren.
sn	sn	Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
st	st	Dieses Attribut gibt das Bundesland des Benutzers an.
Straßenadresse	Straße	Dieses Attribut gibt die Postanschrift des Benutzers für die physische Postzustellung an.
Telefonnummer	Telefonnummer	Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die zum Anrufen des Benutzers über die Kontaktkarte verwendet wird.
—	Zeitzone	Dieses Cloudattribut gibt die Zeitzone des Benutzers an.
Titel	Titel	Dieses Attribut gibt den Titel des Benutzers an, der auf der Kontaktkarte und People Insights angezeigt wird.
Typ	Unternehmen	—
E-Mail userPrincipalName	UID	Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann sich dann mit einer dieser E-Mail-Adressen anmelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen dazu, wie Sie eine alternative E-Mail-Adresse zuordnen können, finden Sie im Beispiel-Attributzuordnung unten.
userPrincipalName E-Mail <benutzerdefiniertes Attribut>	E-Mails;Arbeit eingeben	Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.
<Neues Attribut für Azure-Benutzer objectId>	externe ID	Erstellen Sie ein neues Active Directory-Attribut, um die Objekt-ID des Azure-Benutzers zu speichern, damit sie nicht mit einem vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen.

Alternative E-Mail-Adresszuordnung

Ausdrücke für angepasste Attribute

Tabelle 5: Ausdrücke für angepasste Attribute
Vermittler	Beschreibung und Beispiel
%	Entfernt alle Zeichen vom Anfang bis zur Position des Zeichens oder des String-Arguments, falls diese übereinstimmen. Beispielausdruck `"abc@example.com" % "@"` Ergebnis `beispiel.com`
-	Entfernt die Rückseite der Eingabezeichenfolge vom Ende der angegebenen Zeichenfolge. Beispielausdruck `„abc@example.com“ – „@“` Ergebnis `ABC`
+	Verkettet Eingabezeichenfolgen oder Ausdrücke. Beispielausdruck `„abc“ + „“ + „def“` Ergebnis `ABC DEF`
\|	Evaluiert die getrennten Ausdrücke anhand einer leeren Zeichenkette und wählt das erste nicht-leere Ergebnis aus. Beispielausdruck `„“ \| „abc“` Ergebnis `ABC`

Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit diesem Verfahren können Sie Avatarrohdaten aus einem Active Directory-Attribut synchronisieren.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie für Avatar abrufen von die Option AD-Attribut und anschließend das Avatar-Attribut aus, das die Avatar-Rohdaten enthält, die Sie mit der Cloud synchronisieren möchten.
3	Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar des Benutzers abrufen. Der Avatar wird rechts angezeigt.
4	Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit dieser Prozedur können Sie Avatare von einem Ressourcenserver synchronisieren.

Vorbereitungen

Das URI-Muster und der Variablenwert in dieser Prozedur sind Beispiele. Sie müssen tatsächliche URLs verwenden, unter denen sich Ihre Verzeichnis-Avatare befinden.
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht öffentlich im Internet zugänglich sein.
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass auf Avatar-Daten über die NTLM-Authentifizierung oder die Basic-Auth zugegriffen werden kann.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie unter Avatar abrufen von die Option Ressourcenserver aus, und geben Sie das Avatar-URI-Muster ein – zum Beispiel *`http://www.example.com/dir/photo/zoom/{mail: .?(?=@.)}.JPG`* Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten: http://www.example.com/dir/photo/zoom/ – Der Pfad zum Speicherort aller Fotos, die synchronisiert werden sollen, befindet sich. Es muss sich um eine URL handeln, auf die der Directory Connector-Dienst auf Ihrem Server zugreifen kann. mail: – Weist den Directory Connector an, den Wert des E-Mail-Attributs aus Active Directory zu erhalten .?(?=@.) – Eine Regex-Syntax, die die folgenden Funktionen ausführt: *`. – Jedes Zeichen, das null- oder mehrmals wiederholt wird.` `? – Weist die vorangestellte Variable an, so wenige Zeichen wie möglich zuzuordnen.` `(?= ... ) – Entspricht einer Gruppe nach dem Hauptausdruck, ohne sie in das Ergebnis einzubeziehen. Der Verzeichniskonnektor sucht nach einer Übereinstimmung und fügt diese nicht in die Ausgabe ein.` `@.* – Das at-Symbol, gefolgt von einem beliebigen Zeichen, das null- oder mehrmals wiederholt wird.` `.jpg – Die Dateierweiterung für die Avatare Ihrer Benutzer. Siehe unterstützte Dateitypen in diesem Dokument und ändern Sie die Erweiterung entsprechend.`**
3	(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen benötigt, aktivieren Sie die Option Benutzeranmeldeinformationen für Avatar festlegen. Wählen Sie anschließend Aktuellen Service-Anmeldebenutzer verwenden oder Diesen Benutzer verwenden aus, und geben Sie das Passwort ein.
4	Geben Sie den Variablenwert ein, zum Beispiel: `abcd@example.com`.
5	Klicken Sie auf Test, um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. Wenn in diesem Beispiel der E-Mail-Wert für einen AD-Eintrag `abcd@example.com` lautet und jpg-Bilder synchronisiert wurden, lautet der endgültige Avatar-URI`http://www.example.com/dir/photo/zoom/abcd.jpg.`
6	Nachdem die URI-Informationen überprüft wurden und korrekt angezeigt wurden, klicken Sie auf Übernehmen. Detaillierte Informationen zur Verwendung regulärer Ausdrücke finden Sie in der Microsoft Regular Expression Language Quick Reference .

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von lokalen Rauminformationen mit der Webex Cloud

Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Webex-Geräten (Room, Desk und Board) angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Objektauswahl.
2	Aktivieren Sie das Kontrollkästchen Rauminformationen mit Cloud synchronisieren, um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf die gleiche Weise behandelt wie synchronisierte Benutzerdaten.
3	Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=enterprise. Um die Wertevalidierung zu verwenden, sollte der Wert der SIP-Adresse Pattern.compile("^([^@])(.)@(.)$") lauten. Wählen Sie MSRTCSIP-PrimaryUserAddress, falls verfügbar. Wenn das oben genannte Attribut nicht in Ihrem Active Directory-Schema vorhanden ist, verwenden Sie ein anderes Feld wie ipPhone.
4	Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann zum Identifizieren von Räumen verwendet.
5	Navigieren Sie von Active Directory-Benutzern und -Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den vollständig qualifizierten SIP-URI mit dem Präfix sip hinzu:
6	Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden Objekte hinzugefügt aufgelistet, und übereinstimmende Raumobjekte werden im Probelauf-Bericht unter Übereinstimmende Objekte angezeigt. Alle Raumobjekte, die zum Löschen markiert sind, finden Sie unter Räume gelöscht. In den Ergebnissen des Probelaufs werden alle abgestimmten Raumressourcen angezeigt. Diese Einstellung trennt die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.

Nächste Schritte

Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Cloud registrierten Webex-Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde.

Über Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.

Der Endpunkt kann einen Rückruf nicht an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte lokal oder an einem anderen Ort als der Webex-App als SIP URI registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, dem Schreibtischgerät oder dem Webex Board für den Kalenderdienst befindet, wird der doppelte Eintrag in den Suchergebnissen nicht angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App angerufen und es wird kein SIP-Anruf getätigt.

E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisation senden

Standardmäßig erhalten die Organisationskontakte oder Administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen mit einer Zusammenfassung der Verzeichnissynchronisierungsberichte erhalten soll.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benachrichtigung aus.
2	Klicken Sie im Directory Connector auf Einstellungen und aktivieren Sie neben E-Mail-Empfänger die Option Synchronisierung des Berichts aktivieren.
3	Aktivieren Sie Benachrichtigung aktivieren, wenn Sie das Standard-Benachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten.
4	Klicken Sie auf Hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
5	Klicken Sie auf E-Mail hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
6	Wenn Sie eingegebene E-Mail-Adressen bearbeiten müssen, doppelklicken Sie auf den E-Mail-Eintrag in der linken Spalte, und nehmen Sie dann die gewünschten Änderungen vor.
7	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Übernehmen.
8	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Speichern.

Nächste Schritte

Wenn Sie festgelegt haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und klicken Sie dann auf Entfernen.

Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.

Bereitstellen von Benutzern Aus Active Directory In Control Hub

Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (entweder mit einer einzelnen Gesamtstruktur oder mit mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

1	Durchführen eines Probelaufs für die Active Directory-Benutzer Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.
2	Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
3	Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen auf verschiedene Weise zuweisen. Wir empfehlen Ihnen, eine Lizenzvorlage für die automatische Zuweisung einzurichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen.

Durchführen eines Probelaufs für die Active Directory-Benutzer

Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.

Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel des Directory Connector ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud herzustellen.

Wenn Sie in einer oder mehreren Gesamtstrukturen mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Vorbereitungen

Möglicherweise befinden sich bereits einige Webex-App-Benutzer in Control Hub, bevor Sie den Verzeichniskonnektor verwendet haben. Einige der Benutzer in der Cloud können mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es können jedoch Testbenutzer sein, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Active Directory und Control Hub erstellen.

1	Eine Option auswählen: Klicken Sie nach der erstmaligen Anmeldung in der Eingabeaufforderung auf Ja, um einen Probelauf durchzuführen. Wenn Sie eine Erinnerung an die Durchführung eines Probelaufs verpassen, klicken Sie jederzeit über den Directory Connector auf Dashboard, wählen Sie Probelauf synchronisieren aus und klicken Sie dann auf OK, um einen Probelauf-Synchronisierung zu starten. Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt: *Nicht übereinstimmende Objekte im Directory Connector erkannt* *Zusammenfassung der Ergebnisse des Probelaufs und der nicht übereinstimmenden Objekte im Directory Connector* Die Zusammenfassung enthält Informationen über die Objektabgleich: Übereinstimmende Objekte – Ein Benutzer, der sich in Webex Common Identity befindet und auch in der Active Directory-Domäne vorhanden ist, d. h. wenn ein Benutzer@cisco.com mit Webex synchronisiert und in Control Hub angezeigt wurde und derselbe Benutzer (ein Benutzer@cisco.com) in Active Directory vorhanden ist. Dies bedeutet, dass der Benutzer zugeordnet wurde. Nicht übereinstimmende Objekte: Ein Benutzer, der sich in Webex befindet, unabhängig davon, wie er in Common Identity hinzugefügt wurde, aber nicht in Active Directory vorhanden ist. Es wird als Nicht übereinstimmendes Objekt bezeichnet. Beispiel: Wenn ein Benutzer@cisco.com in Webex synchronisiert und in Control Hub angezeigt wurde, aber derselbe Benutzer (Benutzer@cisco.com) nicht von Active Directory verwaltet wird, zeigt der Bericht an, dass der Benutzer nicht übereinstimmt. Der Probelauf identifiziert die Benutzer, indem er sie mit Domänenbenutzern vergleicht. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten möchten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory.
2	Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option aus, je nachdem, ob Sie eine einzelne oder mehrere Domänen verwenden: Einzeldomäne – Entscheiden Sie, ob Sie die nicht übereinstimmenden Benutzer beibehalten möchten. Wenn Sie sie behalten möchten, wählen Sie Nein, Objekte behalten aus. Wenn Sie dies nicht tun, wählen Sie Ja, Objekte löschen. Nachdem Sie diese Schritte ausgeführt haben und eine vollständige Synchronisierung manuell durchführen, damit eine exakte Übereinstimmung zwischen dem lokalen Standort und der Cloud vorliegt, aktiviert der Directory Connector automatisch geplante automatische Synchronisierungsaufgaben. Mehrere Domänen: Führen Sie für eine Organisation mit Domäne A und Domäne B zunächst einen Probelauf für Domäne A durch. Wenn Sie nicht übereinstimmende Benutzer behalten möchten, wählen Sie Nein, Objekte behalten aus. (Diese nicht übereinstimmenden Benutzer können Mitglieder von Domäne B sein.) Wenn Sie löschen möchten, wählen Sie Ja, Objekte löschen aus. Wenn Sie die Benutzer beibehalten, führen Sie zuerst eine vollständige Synchronisierung für Domäne A und anschließend einen Probelauf für Domäne B durch. Wenn es immer noch Benutzer gibt, die nicht übereinstimmen, fügen Sie diese Benutzer in Active Directory hinzu, und führen Sie anschließend eine vollständige Synchronisierung für Domäne B durch. Wenn eine exakte Übereinstimmung zwischen lokal und Cloud vorliegt, aktiviert der Verzeichniskonnektor automatisch angesetzte automatische Synchronisierungsaufgaben.
3	Klicken Sie in der Aufforderung Probelauf bestätigen auf Ja, um die Synchronisierung des Probelaufs erneut durchzuführen und das Dashboard anzuzeigen, um die Ergebnisse anzuzeigen. Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter Übereinstimmende Objekte angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Um die Details der synchronisierten Elemente anzuzeigen, klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched. Um die Zusammenfassungsinformationen zu speichern, klicken Sie auf Ergebnisse in Datei speichern.
4	Wenn die Ergebnisse erwartet werden, gehen Sie zu Aktionen > Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt aktivieren, um eine manuelle Synchronisierung durchzuführen und an diesem Punkt in den manuellen Modus zu versetzen. Nachdem Sie eine Synchronisierung mit der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte zwischen der Webex-Cloud und allen lokalen Active Directories vollständig übereinstimmen.

Nächste Schritte

Alle nicht übereinstimmenden Benutzerobjekte, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen lokaler und Cloud-Umgebung besteht.
Wählen Sie einen Synchronisierungstyp:
- Führen Sie eine vollständige Synchronisierung der Active Directory-Benutzer in der Cloud durch, wenn Sie neue Benutzer zum ersten Mal mit der Cloud synchronisieren. Tun Sie dies über Aktionen > Jetzt synchronisieren > Voll. Anschließend werden die Benutzer aus der aktuellen Domäne synchronisiert.
- Legen Sie den Connector-Zeitplan fest und Führen Sie eine inkrementelle Synchronisierung durch, nachdem Sie eine vollständige Synchronisierung durchgeführt haben und wenn Sie die Änderungen nach der ursprünglichen Synchronisierung übernehmen möchten. Diese Art der Synchronisierung wird empfohlen, um kleine Änderungen an der Active Directory-Benutzerquelle zu übernehmen.
  
  Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben.
Wenn Sie über mehrere Domänen verfügen, wiederholen Sie diese Schritte auf einem anderen Directory Connector, den Sie installiert haben.

Zu beachtende Punkte

Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisation dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeberichte überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.

Wenn übereinstimmende Benutzer als gelöscht markiert sind und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und wenden Sie sich an den Support unter Fehlerbehebung und Fehlerbehebungen für Directory Connector.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen

Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.

Wenn Sie über mehrere Domänen verfügen, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Directory Connector synchronisiert den Benutzerkontostatus: In Active Directory werden als deaktiviert gekennzeichnete Benutzer in der Cloud als inaktiv angezeigt.

Vorbereitungen

Wenn sich die Webex-App-Benutzerkonten nach der vollständigen Synchronisierung im Status „Aktiv“ befinden sollen, bevor sich die Benutzer zum ersten Mal anmelden, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:
- Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Siehe Einmalige Anmeldung mit Cisco Webex-Diensten und dem Identitätsanbieter Ihrer Organisation um mehr zu erfahren.
- Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.
- Automatische E-Mail-Einladungen unterdrücken, sodass neue Benutzer die automatische E-Mail-Einladung zur Webex-App nicht erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
  
  Aktivierte Benutzer, die sich nicht angemeldet haben, werden in Control Hub mit dem Status Verifiziert angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub.
Wenn Sie die Synchronisierung aktivieren, werden Sie vom Verzeichniskonnektor zuerst aufgefordert, einen Probelauf durchzuführen. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu ermitteln.
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.

Wenn Sie keine Lizenzvorlagen für die automatische Zuweisung verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie können dieselben kostenlosen Funktionen wie Benutzer mit kostenlosen Konten verwenden.

1	Eine Option auswählen: Wenn nach der erstmaligen Anmeldung der Probelauf abgeschlossen ist und für alle Domänen korrekt aussieht, klicken Sie auf Jetzt aktivieren, um die automatische Synchronisierung zuzulassen. Wechseln Sie vom Directory Connector zum Dashboard, klicken Sie auf Aktionen, wählen Sie Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt synchronisieren > Vollständig, um die Synchronisierung zu starten.
2	Wechseln Sie im Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Vollständige Synchronisierung aus.
3	Bestätigen Sie den Start der Synchronisierung. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch bis zu 72 Stunden nach der Synchronisierung angezeigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung zeigt das Dashboard den Synchronisierungsfortschritt an. Dies kann die Art der Synchronisierung, die Startzeit und die Phase enthalten, in der die Synchronisierung derzeit ausgeführt wird. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Benutzerdaten werden mit der Cloud synchronisiert. Wenn während der Synchronisierung Fehler auftreten, leuchtet die Statusanzeige rot.
4	Klicken Sie auf Aktualisieren, wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik angezeigt.)
5	Wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um weitere Informationen zu Fehlern zu erhalten, um die Fehlerprotokolle anzuzeigen.
6	Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen mit der Cloud finden Sie unter Festlegen des Connector-Zeitplans und Ausführen einer inkrementellen Synchronisierung.

Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung auf der Seite Einstellungen in Control Hub von Deaktiviert zu Betriebsbereit aktualisiert.
Wenn alle Daten zwischen lokaler und Cloud-Umgebung abgeglichen werden, wechselt der Verzeichniskonnektor vom manuellen Modus in den automatischen Synchronisierungsmodus.
Sofern Sie die Einzelanmeldung nicht integrieren, Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben und automatische E-Mails unterdrücken, bleiben die Benutzerkonten der Webex-App im Status „Nicht verifiziert“, bis sich die Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Eine Anleitung zur Synchronisierung der Konten als aktive Benutzer finden Sie im Abschnitt „Vorbereitungen“.
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf einem anderen installierten Directory Connector aus. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
Wenn Sie Single Sign-On in Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
Sie können Benutzer in Control Hub nicht manuell hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung wird die Benutzerverwaltung über den Cisco-Verzeichniskonnektor durchgeführt, und Active Directory ist die zentrale Informationsquelle.
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.

Nächste Schritte

Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung soft gelöscht. Der Benutzer wird inaktiv, aber das Cloud-Identitätsprofil wird sieben Tage lang beibehalten (um eine Wiederherstellung nach einer versehentlichen Löschung zu ermöglichen).

Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer nach der nächsten Synchronisierung inaktiv. Das Cloud-Identitätsprofil wird nach sieben Tagen nicht gelöscht, falls Sie den Benutzer erneut aktivieren möchten.
Beachten Sie diese Ausnahmen bei einer inkrementellen Synchronisierung (befolgen Sie stattdessen die obigen vollständigen Synchronisierungsschritte):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Konfigurationsänderungen bei der Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.

Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen

Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco-Verzeichniskonnektor mit Control Hub abgeschlossen haben, können Sie mit Control Hub allen Ihren Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Nachdem Sie die vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Methoden in Control Hub verwenden, um all Ihren Benutzern – einzelnen Benutzern – über die CSV-Massenvorlage global Webex-Dienstlizenzen zuzuweisen oder neuen Benutzern automatisch zuzuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken, wenn Sie Ihre Benutzer direkt kontaktieren möchten.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Führen Sie einen Probelauf für die Synchronisierung der Active Directory-Benutzer durch.
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung mit Ihren Active Directory-Benutzern durch.

Bei der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und es wird keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine Standard-Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreiches automatisches Abschließen der Zuweisung.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Benutzer, klicken Sie auf Benutzer verwalten, wählen Sie Alle synchronisierten Benutzer ändern und klicken Sie dann auf Weiter.

2

Wählen Sie eine Option:

Nächste Schritte

Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung gesendet, um Webex beizutreten und herunterzuladen.
Wenn Sie für alle Benutzer dieselben Webex-Dienste ausgewählt haben, können Sie anschließend die zugewiesene Lizenz einzeln oder gesammelt ändern.

Verwandte Informationen

Möglichkeiten zum Hinzufügen und Verwalten von Benutzern in Ihrer Organisation

Bekannte Probleme mit dem Directory Connector

Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das sich auf den Directory Connector auswirkt. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.

Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, läutet der Anruf zu diesem Zeitpunkt unbegrenzt.

Benutzer der Webex-App verwalten

Durchführen einer inkrementellen Synchronisierung

Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen die Änderung der Attribution für Benutzer sowie den Zeitpunkt, zu dem ein Benutzer hinzugefügt oder gelöscht wird.

Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie die ursprüngliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen ):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Bei neuen Konfigurationsänderungen für die Attributzuordnung, Basis-DN, Filter und die Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und erfordert eine vollständige Synchronisierung.

1	Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen.
2	Klicken Sie unter Aktionen auf Synchronisierungsmodus > Synchronisierung aktivieren , falls dies noch nicht geschehen ist. Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen anhand des letzten Zeitstempels.
3	Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.
4	Um weitere Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen auf Ereignisanzeige starten , um die Fehlerprotokolle anzuzeigen.

Nächste Schritte

Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.

Versehentlich gelöschte Benutzer wiederherstellen

Der Verzeichniskonnektor verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Die Funktion „Soft-Delete“ kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.

Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, beispielsweise aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung aus dem Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie einen nicht übereinstimmenden Objekthinweis sehen oder festgestellt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.

Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer bis zu 7 Tage lang bei. Während dieser Zeit können Sie weiterhin Cisco Directory Connector verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so bald wie möglich wiederherzustellen.

Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nach 7 Tagen nicht gelöscht.

1	Melden Sie sich bei Control Hub an.
2	Wechseln Sie zu Benutzer und bestätigen Sie, ob sich ein bestimmtes Benutzerkonto im Status „Inaktiv“ befindet oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.
3	Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer im Status „Inaktiv“ bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Das Ziel mit Directory Connector ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu schaffen.
4	Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten mit Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und Dienstzuweisungen.

Nächste Schritte

Kehren Sie zu Control Hub zurück, gehen Sie zu Verwaltung > Benutzer und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.

Benutzer nach dem weichen Löschen dauerhaft löschen

Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung soft gelöscht wurden, dauerhaft löschen.

1	Wählen Sie nach Abschluss eines Probelaufs Weich gelöschte Objekte aus.
2	Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten.
3	Wählen Sie Fertig aus.

Nächste Schritte

Bei der nächsten Synchronisierung werden die von Ihnen geprüften Benutzer dauerhaft gelöscht.

E-Mail-Adresse einer Webex-App ändern

Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren behandelt das Ändern der E-Mail-Adresse der Webex-App für eine einzelne Domäne und einen Prozess zum Ändern der Domäne.

Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto. Dabei gehen die Bereiche des Benutzers und andere Daten in der Cloud verloren.

So ändern Sie die E-Mail-Adressen von Benutzern, ohne die Domäne zu ändern:
1. Öffnen Sie das Benutzerkonto (Beispiel, user1@example.com) in Active Directory und ändern Sie die E-Mail-Adresse (Beispiel, user2@example.com).
2. Setzen Sie die Synchronisierung auf dem Directory Connector fort.
  
  Nach der nächsten Synchronisierung werden die Änderungen in Ihrer Benutzerliste in Control Hub und für Benutzer in der Webex-App angezeigt, nachdem der Cache aktualisiert wurde.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Die eindeutige Kennung des Benutzers wird nach der ersten Synchronisierung in der Cloud festgelegt. Alle nachfolgenden Synchronisierungen basieren auf dieser Kennung.
Ändern Sie in einer Bereitstellung mit mehreren Domänen mit Directory Connector die E-Mail-Adressen der Benutzer beim Ändern der Domäne (betrachten Sie example1.com als alte Domäne und example2.com als neue Domäne):
1. Beachten Sie für das alte Benutzerkonto (user1@example1.com) das Active Directory-Attribut, das dem uid -Cloudattribut zugeordnet ist. Sie müssen denselben Active Directory-Wert für das neue Konto verwenden. In diesem Beispiel verwenden wir user1@example1.com als lokales Attribut, um der uid in der Cloud zuzuordnen.
2. Halten Sie die Synchronisierung auf dem Directory Connector für example1.com und example2.com-Domänen an.
3. Erstellen Sie ein neues Benutzerkonto in example2.com und verwenden Sie das gleiche Attribut von oben. (Beispiel: user1@example1.com).
4. Setzen Sie die Synchronisierung auf dem Directory Connector für example2.com fort.
  
  Bevor Sie fortfahren, überprüfen Sie, ob das Konto user1@example2.com mit Control Hub synchronisiert wird. Wir empfehlen, den Benutzer anzuweisen, die E-Mail-Änderung in der Webex-App zu überprüfen und alle Daten (Bereiche, Nachrichten, Meetings, Dateien usw.) aufzubewahren.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Im neuen Benutzerkonto müssen Sie jedoch sicherstellen, dass das Active Directory-Attribut, das dem UID-Attribut der Cloud zugeordnet ist, aus dem alten Benutzerkonto übernommen wird. Wenn Sie den Active Directory-Wert ändern, werden die Daten des alten Kontos nicht im neuen Konto gespeichert.
5. Nachdem Sie überprüft haben, dass die E-Mail-Adresse geändert wurde und die Daten intakt sind, löschen Sie das alte Benutzerkonto auf example1.com und setzen Sie anschließend den Verzeichniskonnektor ein, um die Synchronisierung für example1.com fortzusetzen.
  
  Zu diesem Zeitpunkt können Sie die E-Mail-Adresse in der neuen Active Directory-Domäne für user1@example2.com sicher aktualisieren.

Der Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch mit der Cloud resynchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung zu „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten.

Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre Webex-App-E-Mail-Adressen über die Seite mit den Kontoeinstellungen ändern. Unter E-Mail-Adresse für Ihr Konto ändern finden Sie Schritte, die Benutzer befolgen können, um ihre E-Mails zu ändern.

Active Directory-Domäne ändern

Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.

1	Richten Sie eine neue Active Directory (AD)-Domäne ein.
2	Deaktivieren Sie die Synchronisierungen für all Ihre Konnektoren.
3	Deinstallieren Sie alle Ihre Konnektoren.
4	Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Fallübermittlung sicher, dass Sie die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall aufgelöst wurde.
5	Nachdem der Fall behoben ist: Installieren Sie den Verzeichniskonnektor auf demselben Server, auf dem sich die neue Active Directory-Domäne befindet. Konfigurieren Sie den Directory Connector so, dass er auf die neue Active Directory-Domäne verweist. Wenn Benutzer in Control Hub vorhanden sind ( https://admin.webex.com), stellen Sie sicher, dass Benutzer mit übereinstimmenden E-Mail-Adressen auch in Active Directory vorhanden sind. Wenn Ihre Organisation den Umschalter `softDelete` in DirSync deaktiviert hat, können E-Mail-Adressen von Benutzern, die sich in Control Hub, aber nicht in Active Directory befinden, gelöscht werden. Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen.

Domänenanspruch

Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass ein Sideboarding-Konto in der zahlungspflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können eine Domäne nur über einen Support-Fall beanspruchen (weitere Informationen finden Sie unter dem folgenden Link).

Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, wie ein eingeladener Benutzer zu einem Webex-App-Bereich hinzugefügt werden kann, besteht darin, das Konto zunächst mithilfe des Directory Connectors in Control Hub bereitzustellen.

Weitere Informationen

Domänen verwalten

Benutzer der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis konvertieren

Sie können nur eindeutige E-Mail-Adressen im Webex-App-Verzeichnis verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App registriert haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Um Benutzer in dieser Organisation mithilfe des Verzeichniskonnektors zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie den Verzeichniskonnektor aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.

Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.

Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung konnte nicht konvertiert werden angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.

Einige beanspruchte Benutzer werden bei einem Probelauf möglicherweise mit dem Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Gelöschte Objekte anstelle von Nicht übereinstimmendes Objekt angezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.

Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle in Ihrer Nähe gelöscht, die mit der Cloud synchronisiert werden.

1	Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector.
2	Befolgen Sie das Verfahren Konvertieren von Benutzern ohne Lizenz in Control Hub , um den Benutzer von der kostenlosen Verbraucher-Organisation zur Enterprise-Organisation zu konvertieren. Bei diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind.
3	Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und sich Konten nur in Control Hub befinden, wird bei Directory Connector die Groß- und Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, gehen alle ihre Webex-App-Bereiche verloren.
4	Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren.

Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die automatische Lizenzvorlage aktiviert und anschließend den Verzeichniskonnektor ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.

Sideboarding-Benutzerkonten für Webex-App

Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.

Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.

Benutzerformat der Webex-App nach der Verzeichnissynchronisierung ändern

Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.

Nach der Verzeichnissynchronisierung werden Benutzernamen möglicherweise im Format angezeigt.

Dieser Benutzername wird möglicherweise angezeigt, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud zu displayName zugeordnet wird, werden Namen in Control Hub im Format angezeigt.

So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) dem displayName in Cisco Cloud-Attributnamen zu.

Alternativ können Sie das Attribut sn givenName dem displayName zuordnen:

Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck displayName zuordnen möchten.

Geben Sie beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) als Ausdruck ein. Dadurch werden die beiden Attribute in Active Directory dem displayName in der Cloud zugeordnet.

Benutzer können Anzeigenamen in Webex Meetings ändern

Sie können die Zuordnung des displayName -Attributs der Synchronisierung mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern die Bearbeitung ihrer bevorzugten Anzeigenamen erlauben möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird, anstatt ihren Vor- und Nachnamen eingeben. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus.
2	Wählen Sie displayName unter Cisco Cloud-Attributname aus.
3	Wählen Sie Dieses Attribut nicht synchronisieren aus.

Nächste Schritte

Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.

Directory Connector – Problembehandlung

Upgrade auf die neueste Softwareversion

Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie kein Upgrade auf die neueste verfügbare Version durchführen, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische TLS 1.2-Anforderung nicht unterstützt.

Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.

Obwohl Sie Connector-Softwareaktualisierungen manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.

1	Klicken Sie in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten.
2	Befolgen Sie die Anweisungen, um das Upgrade durchzuführen.
3	Starten Sie den Connector neu, und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an.
4	Überprüfen Sie die Versionsnummer der Software unter Hilfe > Info über.

Nächste Schritte

Für eine neue Installation von Directory Connector können Sie die ZIP-Datei herunterladen und dann die Installationsschritte in diesem Handbuch befolgen.

Konfigurieren von allgemeinen Einstellungen für Directory Connector

Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Allgemein.
2	Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird.
3	Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen: Info (Standard) – Zeigt Informationsnachrichten an, die den Fortschritt der Anwendung auf einer hohen Ebene hervorheben. Verwenden Sie diese Einstellung, wenn Sie Berichte nach allen vollständigen Synchronisierungen empfangen möchten. Warnung – zeigt potenziell gefährliche Situationen an. Debug – Zeigt detaillierte Informationsereignisse an, die für das Debuggen einer Anwendung am nützlichsten sind. Wenn Sie ein Problem feststellen, legen Sie diese Protokollebene fest und senden Sie das Ereignisprotokoll an den Support, wenn Sie einen Fall erstellen. Fehler – Zeigt Fehlerereignisse an, die die Ausführung der Anwendung möglicherweise trotzdem ermöglichen. Wenn Sie diese Option auswählen, werden Synchronisierungsberichte nur dann gesendet, wenn Fehler gemeldet werden. Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf Fehler festlegen, werden nur Fehler im Synchronisierungsbericht gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“. Nach der vollständigen Synchronisierung erhalten Sie Synchronisierungsberichte. (Beachten Sie, dass für die inkrementelle Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.)
4	Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen.
5	Aktivieren Sie Automatisches Upgrade auf neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, dass Ihre Cisco Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
6	Aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSL nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher.

Connector-Richtlinie konfigurieren

Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.

Sie legen beispielsweise 1 als Schwellenwert für den Löschvorgang fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus.
2	Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
3	Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20. Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen.
4	Klicken Sie auf Übernehmen.

Legen Sie den Connector-Zeitplan fest

Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Zeitplan aus.
2	Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben.
3	Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden.
4	Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll.
5	Geben Sie einen Wert für Failover-Intervall in Minuten an.
6	Klicken Sie auf Übernehmen.

Szenarien mit mehreren Domänen

Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.

Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.

Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.

Beispielanwendungen für mehrere Domänen

Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.

Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.

Synchronisierung auf example1.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.

User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.

Synchronisierung für example1.com und example2.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Stellen Sie sich das folgende Szenario vor:

Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.

Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne

Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.

Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.

Domänenpriorität festlegen

Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.

Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.

Vorbereitungen

Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie steht unter https://admin.webex.com zum Download bereit.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen.
3	Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern. Die Domänen werden in absteigender Reihenfolge sortiert.

Domäne wechseln

Mit diesem Verfahren können Sie den Cisco-Verzeichniskonnektor erneut an eine andere Domäne binden.

Vorbereitungen

Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie müssen sie über Control Hub herunterladen.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln.
3	Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, die Registrierung anderer Domänen im Connector wird aufgehoben, und die Connector-Informationen auf diesem Computer werden gelöscht.
4	Melden Sie sich erneut beim Cisco-Verzeichniskonnektor an, und binden Sie die Domäne erneut.

Verzeichnissynchronisierung deaktivieren

Wenn Sie die Synchronisierung über den Verzeichniskonnektor beenden müssen, können Sie sie über Control Hub vorübergehend deaktivieren.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:

Klicken Sie auf „Mehr“ und anschließend neben der Connector-Instanz, die Sie deaktivieren möchten, auf Deaktivieren .
Klicken Sie auf Alle Verzeichnissynchronisierungen deaktivieren, um die Synchronisierung von allen Connector-Instanzen zu beenden.

2

Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten.

Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren.

Benutzerattributzuordnung entfernen

Verwenden Sie den Verzeichniskonnektor, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Benutzerattributzuordnung entfernen.
3	Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus.
4	Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus: Nur mit Verzeichniskonnektor synchronisierte Benutzer: Die Zuordnung wird nur von Benutzern entfernt, die zuvor mit dem Directory Connector synchronisiert worden sind. Alle Nutzer: Die Zuordnung wird von allen Active Directory-Benutzern entfernt.
5	Klicken Sie auf Übernehmen.

Profilbilder verwalten

Verwenden Sie den Verzeichniskonnektor, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Profilbilder verwalten.
3	Wählen Sie unter Aktionen eine der folgenden Optionen aus: Profilbilder für leere Avatar-Quellen entfernen: Wenn das Active Directory-Profilbild leer ist, stellt diese Option sicher, dass die Benutzerprofilbilder aus der Cloud entfernt werden, auch wenn der Benutzer zuvor sein eigenes Bild in Webex hochgeladen hat. Laden Sie die synchronisierte Quelle erneut hoch, um zwischengespeicherte Bilder zu überschreiben: Der Directory Connector verwendet zum Aktualisieren der Profilbilder für alle Benutzer dasselbe Active Directory wie zuvor. Dadurch wird sichergestellt, dass es keine Diskrepanz zwischen den Profilbildern in Active Directory und der Cloud gibt.
4	Klicken Sie auf Übernehmen.

Directory Connector deinstallieren und deaktivieren

Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:

Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
Sie möchten die Domäne ändern und einen anderen Connector installieren.

Vorbereitungen

Möglicherweise werden mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder Synchronisierung mit mehreren Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie den Directory Connector deinstallieren.

1	Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen.
2	Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallieren aus und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen.
3	Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr und anschließend neben der Directory Connector-Instanz, die Sie deinstallieren möchten, auf Deaktivieren .
4	Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren. Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung.

Ausführen des Diagnosetools

Sie können das integrierte Diagnosetool verwenden, um Fehler bei der Directory Connector-Bereitstellung zu beheben. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.

Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.

So führen Sie Tests für Active Directory-Domänendienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-DS , geben Sie Ihre Domäne ein und klicken Sie dann auf Domänencontroller laden.
2. Wählen Sie einen Domänencontroller aus der Liste aus.
  
  Ändern Sie den Eintrag nicht später, da die inkrementelle Suche immer im selben Domänencontroller ausgeführt werden muss.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie im Abschnitt Active Directory-Abfragen weitere Filter, z. B. entweder Benutzer oder Gruppen -Objekte und Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-LDS , geben Sie Ihren Host und Ihren Port ein und klicken Sie dann auf Partitionen laden.
2. Wählen Sie eine Partition aus der Liste aus, und klicken Sie dann auf Verbinden.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie weitere Filter im Abschnitt Active Directory-Abfragen , z. B. Benutzer, UserProxy und UserProxyFull sowie Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte LDAP RAW , geben Sie Ihren Stammpfad und Filter ein, wählen Sie einen Eintrag unter Attribute aus und klicken Sie dann auf Lade-Partitionen.
2. Überprüfen Sie bei Bedarf die folgenden Optionen:
  - ObjectSecurity: Wenn diese Option vorhanden ist, benötigt der Anrufer keine Rechte und kann nur Objekte und Attribute sehen, auf die der Anrufer zugreifen kann. Wenn diese Option nicht vorhanden ist, hat der Anrufer das Recht, Änderungen zu replizieren.
  - ParentsFirst – Stellt sicher, dass alle Eltern der Kinder vor ihre Kinder kommen.
3. Wählen Sie einen Wert für ExtendedDN aus.
  
  Dieser Wert wird bei einer erweiterten LDAP-Suche verwendet, um eine erweiterte Form von Objekt-Distinguished Name anzufordern.
4. Wählen Sie einen Wert für ReferralChasing aus.
  
  Eine Weiterleitungsverfolgung wird initiiert, wenn ein Domänencontroller eine Weiterleitung von einer Abfrage zurückgibt – beispielsweise für Details zu einem Abfrageergebnis, das außerhalb des Namensraums liegen kann (z. B. Gruppenmitglieder in einer anderen Domäne oder einem Wald).
5. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
6. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.

Beheben von Problemen im Ciso Directory Connector

Fehlerbehebung und Fehlerbehebungen für den Directory Connector

Möglicherweise tritt eine Fehlermeldung oder ein anderes Problem im Directory Connector auf. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet der Connector Ihnen möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. Bevor Sie sich an den Support wenden, lesen Sie die folgenden Abschnitte über mögliche Probleme, mögliche Ursachen und vorgeschlagene Lösungen.

Installieren

Directory Connector funktioniert nicht mehr

Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber benachrichtigt wurden, dass Ihr Directory Connector nicht funktioniert.

Der Directory Connector ist möglicherweise nicht korrekt installiert.
Directory Connector wird möglicherweise nicht ausgeführt.
Das Netzwerk ist möglicherweise nicht verfügbar.

Gehen Sie wie folgt vor:

Öffnen Sie Systemsteuerung > Programme und Funktionen. Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
Öffnen Sie den Dienst und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status Gestartet angezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, über Internetzugang verfügt.

Fehler bei erneuter Installation

Problem: Wenn Sie sofort einen neuen Connector installieren, nachdem Sie einen alten deinstalliert haben, wird möglicherweise eine Fehlermeldung angezeigt.

Mögliche Ursache: In Windows Server 2012 benötigt der Client zur Deinstallation Zeit, um das Dienstkonto aus der Dienstliste zu löschen.

Lösung: Versuchen Sie die Installation nach einiger Zeit erneut.

Anmelden

Directory Connector stürzt bei der SSO-Anmeldung ab

Problem

Der Directory Connector kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.

Lösung

Gehen Sie wie folgt vor:

Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:

Wechseln Sie zum Domänencontroller und öffnen Sie Group Policy Management (gpedit.msc).
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne, und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie Bearbeiten aus.

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter Key Path die Option HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter SchlüsselpfadHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Die Änderungen werden wirksam, nachdem Sie gpupdate /force ausgeführt haben, die Maschine neu gestartet wurde (bei Änderungen am Computer) oder sich der Benutzer erneut anmeldet (bei Änderungen am Benutzer).

Cisco DirSync Service Connector konnte nicht registriert werden

Problem

Anmeldung fehlgeschlagen, und die folgende Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“

Lösung

Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.

Die Seite „Keine Anmeldung“ wird angezeigt

Problem

Sie haben den Verzeichniskonnektor geöffnet und die Anmeldeseite wurde nicht angezeigt.

Lösung

Gehen Sie wie folgt vor:

Navigieren Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie den Link in anderen Browsern wie Chrome und Firefox.
Wenn Internet Explorer den Link nicht aufrufen kann, andere Browser dies jedoch können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren .)

Anmeldeaufforderung wird angezeigt

Problem

Es wird eine Aufforderung angezeigt, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu bestehen.

Mögliche Ursache

Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.

Lösung

Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Übergabe der Sicherheit bereitstellen.

Verbindung zum Remote-Server nicht möglich

Problem

Während des normalen Betriebs wird die Fehlermeldung „Keine Verbindung zum Remote-Server möglich“ angezeigt.

Mögliche Ursache

Möglicherweise gibt es Proxy-Probleme, die behoben werden müssen.

Lösung

Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung mit Dienstkonto beheben .

Konnektor kann nicht registriert werden.

Problem

Es wird die Fehlermeldung „Der Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“

Mögliche Ursache

In den meisten Fällen liegt das Problem darin, dass der Directory Connector keine Berechtigung für eine Verbindung mit dem LDAP-Stammkontext hat.

Lösung

Gehen Sie wie folgt vor:

Führen Sie eine Eingabeaufforderung (cmd) aus, und geben Sie ldp.exe ein.
Klicken Sie auf Verbindung > Binden, wählen Sie Als aktuell angemeldeten Benutzer binden und klicken Sie dann auf OK.
Klicken Sie auf Ansicht > Baum, geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall beim Support.

Synchronisierung

Avatare nicht synchronisiert

Problem

Der Cisco Directory Connector hat die Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatar-Daten erfolgreich synchronisiert.

Mögliche Ursache

Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache diese und vermeidet es, erneut zu senden, um Bandbreite zu sparen.

Lösung

Führen Sie die folgenden Schritte aus, um den lokalen Cache zu löschen:

Gehen Sie zu C:\Programme (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Löschen DirSyncPluginAvatar.dll-cache.bin.
Führen Sie die Avatar-Synchronisierung über den Cisco-Verzeichniskonnektor erneut aus.

In Konflikt stehende Benutzer-E-Mail-Konten

Problem

Die Synchronisierungsergebnisse können in Konflikt stehende Benutzer-E-Mail-Konten anzeigen.

Wenn Benutzer die kostenlose Version der Webex-App versucht haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.

Lösung

Gehen Sie wie folgt vor:

Befolgen Sie die folgenden Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
1. Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
2. Deaktivieren Sie Cisco Directory Connector vorübergehend.
3. Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucherorganisation vorhanden sein könnten. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
4. Probelauf im Cisco Directory Connector durchführen und die Verzeichnissynchronisierung anschließend erneut aktivieren
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen.

Konvertierter Benutzer als inaktiv markiert

Problem

In Ihrer verzeichnissynchronisierten Umgebung haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.

Mögliche Ursache

Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer als 30 Tage lang als inaktiv markiert, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des Zeitraums von 30 Tagen zur Löschung markiert. Diese Situation tritt auf, da sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.

Lösung

Sie müssen entsprechende Maßnahmen ergreifen, wenn das Benutzerkonto nicht gelöscht werden soll. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.

Inkrementelle Synchronisierung schlägt fehl

Problem

Eine inkrementelle Synchronisierung schlägt fehl.

Dieses Problem kann unter folgenden Bedingungen auf Windows Server 2008 R2 auftreten:

Sie unterstützen inkrementelle Wertaktualisierungen.
Der Filter, den Sie verwenden, referenziert ein verknüpftes Werteattribut.
Die Ergebniswerte dieses Attributs wurden seit der letzten Durchführung einer vollständigen Synchronisierung aktualisiert.

Lösung

Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihren Windows Server auf mindestens 2012 R2 zu aktualisieren.

Ungültiger Wert für Merkmal

Problem

Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].

Mögliche Ursache

Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.

Lösung

Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.

Übereinstimmende Benutzer zum Löschen

Problem

Die übereinstimmenden Benutzer werden als gelöscht markiert.

Wenn Sie einen Probelauf zur Überprüfung der Daten zwischen Active Directory und der Cloud durchführen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Systemen angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.

Lösung

Wählen Sie eine geeignete Lösung:

Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen danach zu wiederholen, können Sie den Directory Connector für die Behebung verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Support-Fall.

Attribut fehlt

Problem

Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.

Mögliche Ursache

Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsbenutzer,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert aufweisen.

Lösung

Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.

Verschachtelte Gruppe wird nicht synchronisiert

Problem

Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.

Mögliche Ursache

Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Beispiel: (Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)

Lösung

Sie müssen den Filter, der Gruppen synchronisiert, neu konfigurieren. Beispiel: |(Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)(Mitglied=CN=testSubGroup,CN=Benutzer,DC=rktest2008,DC=org)

Konflikt bei Benutzerbenennung

Problem

Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und des Benutzertyps [user_type].

Mögliche Ursache

Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.

Lösung

Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.

Control Hub

Benutzerliste fehlt in Control Hub

Problem

Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird Ihnen die Benutzerliste in Control Hub möglicherweise nicht angezeigt.

Lösung

Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Wechseln Sie in Control Hub zu Benutzer, klicken Sie auf Suchen und geben Sie dann Suchkriterien ein, um nach einem bestimmten Benutzer zu suchen.

Gruppen werden nicht mit Control Hub synchronisiert

Problem

Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.

Mögliche Ursache

Die Gruppe ist in Active Directory nicht als isCriticalSystemObject markiert.

Lösung

Stellen Sie sicher, dass das Attribut isCriticalSystemObject in Active Directory auf TRUE gesetzt ist.

Problembehandlung für den Directory Connector aktivieren

Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.

Die Protokolldateien, die sind: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Führen Sie die Datei `services.msc` aus, um das ausgeführte Konto für den Directory Connector-Dienst vom lokalen System in ein Domänenkonto zu ändern, das über Zugriffsberechtigungen für Ihr AD DS oder AD LDS verfügt.
2	Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten.
3	Klicken Sie im Directory Connector auf Dashboard.
4	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Fehlerbehebung.
5	Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können.
6	Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt. Der Protokollordner speichert nur Dateien für die letzten 3 Tage. Der Inhalt in den Protokolldateien entspricht der Ausgabe des Ereignisprotokolls für das System.
7	Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten.
8	Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind.

Weitere Informationen

Support kontaktieren

Starten der Ereignisanzeige

Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Dashboard und klicken Sie auf Aktion > Ereignisanzeige starten. Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails.
2	Wechseln Sie in der Ereignisanzeige zu Anwendungs- und Dienstprotokolle > Cisco Directory Connector.
3	Klicken Sie unter Aktionen auf Alle Events speichern unter , um alle Protokolle als einzelne Events-Datei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren.

Nächste Schritte

Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und fügen Sie dann die Events-Datei an Ihren Fall an.

In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Hilfe bei der Verwaltung des Netzwerkdatenverkehrs zu erhalten.

TLS in Internet Explorer aktivieren

Wenn Sie Single Sign-On (SSO)-Anbieter gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:

Bei der Anmeldung am Dienst ist ein Fehler aufgetreten
Im Skript auf dieser Seite ist ein Fehler aufgetreten

Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.

1	Öffnen Sie Internet Explorer und wählen Sie Werkzeuge aus. Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die aktiviert werden soll. Klicken Sie auf OK. Schließen Sie den Browser und öffnen Sie ihn erneut.
2	Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , und scrollen Sie zu Sicherheit.
3	Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden , und klicken Sie auf OK.
4	Starten Sie das System neu, damit die Änderungen übernommen werden.

Anmeldeprobleme für Dienstkonten beheben

Wenn Sie sich nicht beim Cisco Directory Connector anmelden können oder keine Synchronisierung durchführen können, versuchen Sie anhand der folgenden Schritte, das Problem zu beheben, bevor Sie sich an den Support wenden.

1

Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen.

2

Wählen Sie je nach den Ergebnissen eine Option:

Wenn Sie den Link nicht über Ihren Browser aufrufen können, überprüfen Sie Ihre Netzwerkeinstellungen. Wenn Sie in Ihrer Umgebung einen Proxy verwenden, überprüfen Sie die Proxy-Einstellungen.
Wenn Sie den Link über Ihren Browser aufrufen, aber den Cisco Directory Connector nicht öffnen können (Fehler 407 kann nicht geöffnet werden), klicken Sie hier , um die neueste Version des Cisco Directory Connector abzurufen.
Wenn Sie den Link über Ihren Browser aufrufen, aber keine Synchronisierung über den Cisco Directory Connector durchführen können, ändern Sie das Konto für die Dienstanmeldung in Domänenadministrator.

Überprüfen Sie, ob das Konto, mit dem Sie sich beim Windows-System angemeldet haben, dasselbe Konto ist, das Sie unter „Cisco DirSync-Dienst“ festgelegt haben. Wenn es sich um 2 verschiedene Konten handelt, stellen Sie sicher, dass beide Konten https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL besuchen können. Wenn Ihre Umgebung einen Proxy verwendet, stellen Sie sicher, dass beide Konten im Internet Explorer für den Proxy konfiguriert sind und https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL erfolgreich aufrufen können.

3

Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (das unter den Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar- und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung für das Windows-Anmeldekonto.

Weitere Informationen

Support kontaktieren

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Übersicht über Cisco Directory Connector

Directory Connector – Übersicht

Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.

Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur zentralen Informationsquelle wird. Wenn Sie eine Änderung lokal vornehmen, wird diese in die Cloud kopiert.

In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:

Funktion	Beschreibung und Vorteil
Benutzerfreundliches Dashboard	Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden.
Probelauf, bevor die Synchronisierung in die Cloud durchgeführt wird	Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor sie in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen.
Vollständige und inkrementelle Synchronisierung	Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen.
Synchronisieren mehrerer Domänen (einzelne Gesamtstruktur oder mehrere Gesamtstrukturen)	Directory Connector unterstützt mehrere Domänen entweder in einer einzelnen Gesamtstruktur oder in mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Der Control Hub spiegelt den Status wider, indem er den Synchronisierungsstatus für mehrere Directory Connectors anzeigt. Damit können Sie die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Directory Connector in einer Hochverfügbarkeitsbereitstellung deaktivieren.
Geplante Synchronisierung	Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest.
LDAP-Filter (Lightweight Directory Access Protocol)	Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit.
Active Directory-Attributzuordnung	Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um die Cloud zuzuordnen. Die Attribute aus dem Standort bilden verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, Enteprise-Telefonnummern in Webex Teams, Raumressourcen-SIP-Adressen und andere Kontaktkartendaten des Benutzers (Stellenbezeichnung, Abteilung, Manager usw.).
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung	Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud-PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte haben, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten auf ihren Cisco Webex Calling (Cloud-PSTN)-Telefonen oder Raumressourcen durchsuchen. Raumressourcen Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugewiesenen SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Cisco Webex Raumgerät oder Cisco Webex Board angezeigt. Wenn Benutzer eine Suche auf einem Cisco Webex Room-Gerät oder Cisco Webex Board durchführen, werden die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde. Anrufe Benutzer können zusätzlich zu den Webex-App-Kontakten Unternehmenskontakte anrufen. Über den Directory Connector werden die Unternehmensbenutzer und ihre Telefonnummern zu Ihrer Webex-Organisation hinzugefügt. Sie müssen nicht für Webex-Dienste lizenziert sein, damit diese Funktion funktioniert. Benutzer, die nicht für Webex lizenziert sind, werden in der Verzeichnissuche angezeigt, die auf dem Telefon eines Cisco Webex Calling-Benutzers durchgeführt wird, solange eine URI oder eine Telefonnummer über den Verzeichniskonnektor mit Webex synchronisiert ist. Die Anrufe funktionieren gleich für beide Benutzertypen. Außerdem bietet dieses Feature eine Bearbeitungsfunktion für Kontakte, die nur eine Telefonnummer enthalten. Für die Kontakte in den Suchergebnissen gilt Folgendes: Wenn Kontakte eine wählbare URI (Webex-SIP-Adresse) und eine Telefonnummer haben, wird die URI angezeigt, die mit dem Kontakt verknüpft ist. Wenn ein Kontakt keine wählbare URI, dafür jedoch eine Telefonnummer hat, wird die Telefonnummer angezeigt. Außerdem wird ein Softkey zum Bearbeiten der gewählten Nummer angezeigt. Kontakte ohne URI oder Telefonnummer werden nicht im Verzeichnis angezeigt.
Ereignisanzeige	Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen.
Diagnose-Tool und Fehlerbehebung	Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können.
Automatisches Upgrade	Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird.
Hohe Verfügbarkeit	Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt.

Directory Connector ist in drei Bereiche unterteilt:

Control Hub ist die zentrale Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und die Einzelanmeldung (SSO) konfigurieren, wenn Ihre Benutzer sich über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App versenden möchten.
Die Directory Connector-Verwaltungsoberfläche ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und die Directory Connector-Dienste zu konfigurieren.
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory ab, um sie mit dem Connector-Dienst und dem Directory Connector zu synchronisieren.

Weitere Informationen zur Directory Connector-Architektur finden Sie in diesem Diagramm:

Vorbereiten Ihrer Umgebung für den Directory Connector

Anforderungen für den Directory Connector

Windows- und Active Directory-Anforderungen

Sie können Directory Connector auf den folgenden unterstützten Windows-Servern installieren:

Windows Server 2022
Windows Server 2019
Windows Server 2016

Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die das Fix enthält – Windows Server 2012 R2 oder 2016.

Directory Connector wird von den folgenden Active Directory-Diensten unterstützt:

Active Directory 2016

(Directory Connector wird bei Verwendung der neuesten Version von Active Directory unter Windows Server 2019 unterstützt)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Beachten Sie die folgenden zusätzlichen Anforderungen:

Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
- .NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, folgen Sie den Anweisungen unter Aktivieren Sie .NET Framework 3.5 mit dem Assistenten zum Hinzufügen von Rollen und Funktionen.)
- .NET Framework v.4.5 (erforderlich für TLS1.2)
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)

Hardware-Anforderungen

Sie müssen Directory Connector auf einem Computer installieren, auf dem die folgenden Mindestanforderungen an die Hardware erfüllt sind:

8 GB RAM
50 GB Speicherplatz
Keine Mindestanforderung für die CPU

Netzwerk-Anforderungen

Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS-Zugriff (Port 443) auf das Internet verfügt.

Anforderungen der Webex-Organisation

Um von Control Hub aus auf die Directory Connector-Software zugreifen zu können, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem bezahlten Abonnement.
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Ihnen, Folgendes zu tun:
- Fügen Sie Domänen hinzu, überprüfen und optional beanspruchen Sie sie , die die E-Mail-Adressen der Benutzer enthalten, die Sie mit der Cloud synchronisieren möchten.
- Integrieren Sie Ihren Identitätsanbieter (IdP) mit Ihrer Webex-Organisation durch die einmalige Anmeldung (Single Sign-On, SSO).
- Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)

Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.

Installationsanforderungen

In einer Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
Für die Anmeldung beim Connector ist kein Administratorkonto in Active Directory erforderlich. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer wie ein Volladministratorkonto in Control Hub ist.

Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computeranmeldekonto sollte ein Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer sein. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Während der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector für den Zugriff auf Active Directory das lokale Systemkonto. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Stellen Sie sicher, dass der Suchmodus für die Windows Safe Dynamic Link Library (DLL) mit diesem Verfahren aktiviert ist: Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung.
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, sollten Sie Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Computern installieren.

Mehrere Domänenanforderungen

Bevor Sie den Aufgaben im Ablauf der Bereitstellungsaufgabe für den Cisco-Verzeichniskonnektor folgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:

Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.)
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , damit Ihre Organisation in eine große Organisationsliste verschoben wird.
Bei Bedarf können Sie Informationen zu Raumressourcen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.)

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.

Active Directory enthält zwei Arten von Gruppen:

Verteilergruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
Sicherheitsgruppen: Wird verwendet, um Berechtigungen für geteilte Ressourcen zuzuweisen.

Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:

Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienstleistung (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex Licensing usw.).
Verwenden Sie organisationsübergreifende Standard-Benennungskonventionen, um die Identifizierung wichtiger Informationen über eine Gruppe zu erleichtern. Gruppennamen können Details zur Gruppe enthalten, z. B. die Zugriffsstufe, die Art der Ressource, die Sicherheitsstufe, den Gruppenumfang, die E-Mail-Funktion usw. Der Gruppenname „GSG_Webex_Licensing_EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
Organisieren Sie Gruppen auf leicht verständliche Weise, z. B. nach Geografie oder Hierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die automatische Lizenzgruppenvorlage in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für die automatische Lizenzzuweisung einrichten .

Informationen zur Größe

Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Alle Beschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.

Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:

Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsjob dauert nicht so lange wie 50000.)
Netzwerkgeschwindigkeit und Bandbreite.
Systemauslastung und Spezifikationen.

Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.

Da bei der Synchronisierung mehrere Faktoren beteiligt sind und jede Bereitstellung abhängig von den oben genannten Faktoren variiert, können wir keine spezifischen Zeitwerte angeben, die angeben, wie lange eine Objektsynchronisierung dauern wird.

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Webproxy-Integration

Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.

Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector stellt eine Verbindung her und synchronisiert die Benutzer.

Sie können einen der folgenden Ansätze verwenden:

Expliziter Webproxy über Internet Explorer (der Connector erbt die Webproxy-Einstellungen)
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert

Webproxy über den Browser verwenden

Sie können den Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.

Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,

1	Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus.
2	Verweisen Sie die Windows-Instanz, auf die der Connector installiert ist, auf Ihren Webproxy. Der Connector erbt diese Webproxy-Einstellungen.
3	Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu: cloudconnector.webex.com für die Synchronisierung. idbroker.webex.com für die Authentifizierung. idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw. Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.
4	Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu: .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

Webproxy über eine PAC-Datei konfigurieren

Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und die Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.

1

Damit der Connector sich erfolgreich mit der Webex Cloud verbinden und die Benutzerinformationen synchronisieren kann, müssen Sie die Proxy-Authentifizierung für cloudconnector.webex.com in der .pac-Dateikonfiguration für den Host deaktivieren, auf dem der Connector installiert ist.

2

Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:

cloudconnector.webex.com für die Synchronisierung.
idbroker.webex.com für die Authentifizierung.
idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw.

Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt.

Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.

3

Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

NTLM-Proxy

Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.

NTLM-Design

In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.

Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus aus Herausforderung und Antwort:

Ein Benutzer meldet sich über ein Windows-Konto und ein Kennwort auf einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines reinen Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hash-Wert mit dem Hash-Wert des eingegebenen Passworts. Wenn beide gleich sind, wird die Authentifizierung erfolgreich ausgeführt.

Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im reinen Textformat.
Wenn der Server die Anforderung erhält, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Herausforderung auf dem Server gespeichert. Anschließend sendet der Server die Aufforderung im reinen Textformat an den Client.
Sobald der Client die vom Server gesendete Challenge erhält, verschlüsselt der Client die Challenge mit dem in Schritt 1 genannten Hash-Wert. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet er ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: der Kontoname, die verschlüsselte Aufforderung, die der Client gesendet hat, und die ursprüngliche einfache Aufforderung.
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.

Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Dadurch müssen Sie keine weitere Konfiguration abschließen.

Transparenten Proxy konfigurieren

In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.

1	Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann.
2	Bestätigen Sie, dass der Proxy erfolgreich ist: Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt.

Proxy-Authentifizierung festlegen

Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.

Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:

1	Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist.
2	Legen Sie eine geschätzte Bandbreite für diese Verbindung fest (ca. 2 MB/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich.
3	Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie `cloudconnector.webex.com` als Ziel an, das Sie zur Zulassungsliste hinzufügen möchten. Beispiel: `access-list 2000 acl-inside extended permit TCP [IP des Connectors] cloudconnector.webex.com eq https`
4	Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt.
5	Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren.

Verzeichniskonnektor bereitstellen

Ablauf der Bereitstellungsaufgabe des Cisco-Verzeichniskonnektors

Vorbereitungen

Vorbereiten Ihrer Umgebung für den Directory Connector

1	Verzeichniskonnektor installieren In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen. Für eine neue Installation von Directory Connector gehen Sie immer zu Control Hub ( https://admin.webex.com), um die neueste Version der Software abzurufen, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
2	Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administrator-Anmeldeinformationen an und führen Sie die Ersteinrichtung durch.
3	Automatische Upgrades festlegen Es ist immer wichtig, dass Ihre Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
4	Active Directory-Objekte zum Synchronisieren auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.
5	Benutzerattribute zuordnen Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist die *uid.
6	Synchronisieren Sie Verzeichnis-Avatare mit einem der folgenden Verfahren: Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass der Avatar jedes Benutzers angezeigt wird, wenn er sich bei der Anwendung anmeldet. Sie können Avatare von einem Active Directory-Attribut oder einem Ressourcenserver synchronisieren.
7	Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Webex Room-Gerät oder Cisco Webex Board angezeigt.
8	Um Benutzer Aus Active Directory In Control Hub Bereitzustellen, führen Sie die folgenden Schritte aus: Durchführen eines Probelaufs für die Active Directory-Benutzer Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Folgen Sie dieser Sequenz, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wald- oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

Verzeichniskonnektor installieren

In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen.

Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf der Synchronisierung mit mehreren Domänen:

Vorbereitungen

Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen:

Für die Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxy-Konfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Webproxy Im Browser verwenden
Bei Proxy-NTLM wird Ihnen möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser.

1	Wechseln Sie in Control Hub zu Benutzer > Benutzer verwalten > Verzeichnissynchronisierung aktivieren und wählen Sie Weiter aus.
2	Klicken Sie auf den Link Herunterladen und installieren, um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die .zip-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert. Holen Sie sich für eine Neuinstallation die neueste Version der Software, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
3	Entpacken Sie die MSI-Datei auf dem VMware- oder Windows-Server und führen Sie sie im Setup-Ordner aus, um den Setup-Assistenten zu starten.
4	Klicken Sie auf Weiter, aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Weiter, bis der Bildschirm „Kontotyp“ angezeigt wird.
5	Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto durch: Lokales System – Die Standardoption. Sie können diese Option verwenden, wenn Sie über Internet Explorer einen Proxy konfiguriert haben. Domänenkonto – Verwenden Sie diese Option, wenn der Computer Teil der Domäne ist. Der Directory Connector muss mit Netzwerkdiensten interagieren, um auf Domänenressourcen zuzugreifen. Geben Sie die Kontoinformationen ein und klicken Sie auf OK. Geben Sie den Benutzernamen im Format `{Domäne}\{Benutzername} ein.` Für einen mit AD (NTLMv2 oder Kerberos) integrierten Proxy müssen Sie die Option für das Domänenkonto verwenden. Das für die Ausführung des Directory Connector-Diensts verwendete Konto muss über ausreichende Privilegien verfügen, um den Proxy zu passieren und auf AD zuzugreifen. Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind: Der Server ist Teil der Domäne Das Domänenkonto kann auf die lokalen AD-Daten und Avatardaten zugreifen. Das Konto muss auch über die lokale Administratorrolle verfügen, da es auf die Dateien unter `C:\Programme` zugreifen muss. Für die Anmeldung einer virtuellen Maschine muss das Administratorkonto mindestens in der Lage sein, Domäneninformationen zu lesen.
6	Klicken Sie auf Installieren. Geben Sie nach der Ausführung des Netzwerktests Ihre grundlegenden Proxy-Anmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertig stellen.

Nächste Schritte

Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Während des Neustarts der Maschine werden alle Daten aktualisiert, um ein exaktes Ergebnis im Bericht anzuzeigen.

Bei Directory Connector anmelden

Vorbereitungen

Stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen.

Für die Proxy-Basic-Auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
Öffnen Sie für Proxy-NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen, stellen Sie sicher, dass die Informationen zum Proxy-Server hinzugefügt wurden, und klicken Sie auf OK. Siehe Verwenden eines Webproxys über den Browser.

1	Öffnen Sie den Connector und fügen Sie `https://idbroker.webex.com` zur Liste der vertrauenswürdigen Sites hinzu, wenn Sie dazu aufgefordert werden.
2	Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich dann mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter.
3	Bestätigen Sie Ihre Organisation und Ihre Domäne. Wenn Sie AD DS auswählen, aktivieren Sie LDAP over SSL, um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden, wählen Sie die Domäne aus, aus der Sie synchronisieren möchten, und klicken Sie auf Bestätigen. Wenn Sie LDAP über SSL nicht aktivieren, verwendet DirSync weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher. Wenn Sie AD LDS auswählen, geben Sie Host, Domäne und Port ein und klicken Sie auf Aktualisieren, um alle Anwendungspartitionen zu laden. Wählen Sie dann die Partition aus der Dropdown-Liste aus und klicken Sie auf Bestätigen. Weitere Informationen finden Sie im Abschnitt „AD LDS“. Stellen Sie sicher, dass Sie in der Konfigurationsdatei CloudConnectorCommon.dll die Einstellung ADAuthLevel zum Knoten appSetting hinzufügen. Die Werte können 1, 2 oder 3 sein. In diesem Artikel von Microsoft erfahren Sie mehr über Authentifizierungstypen. Hier ein Beispiel für die Einstellung mit dem Wert 1: `<appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	Nachdem der Bildschirm Organisation bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Wenn Sie AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Organisation bestätigen angezeigt.
5	Klicken Sie auf Bestätigen.
6	Wählen Sie eine der folgenden Optionen aus, abhängig von der Anzahl der Active Directory-Domänen, die Sie an den Directory Connector binden möchten: Wenn Sie über eine einzige Domäne verfügen, die AD LDS ist, verbinden Sie sich mit der vorhandenen AD LDS-Quelle und klicken Sie auf Bestätigen. Wenn Sie eine einzige Domäne haben, die AD DS ist, führen Sie die Bindung entweder mit der vorhandenen Domäne oder mit einer neuen Domäne aus. Wenn Sie An eine neue Domäne binden auswählen, klicken Sie auf Weiter. Da der vorhandene Quelltyp AD DS ist, können Sie AD LDS nicht für die neue Bindung auswählen. Wenn Sie mehr als eine Domäne haben, wählen Sie eine vorhandene Domäne aus der Liste aus oder An neue Domäne binden und klicken Sie dann auf Weiter. Da Sie mehr als eine Domäne haben, muss der vorhandene Quelltyp AD DS sein. Wenn Sie An neue Domäne binden auswählen und auf Weiter klicken, können Sie AD LDS nicht für die neue Bindung auswählen.

Nächste Schritte

Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.

Directory Connector-Dashboard

Wenn Sie sich zum ersten Mal beim Directory Connector anmelden, wird das Dashboard angezeigt. Hier können Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken anzeigen, einen Probelauf für die Synchronisierung durchführen, eine vollständige oder inkrementelle Synchronisierung starten und die Event-Ansicht starten, um Fehlerinformationen anzuzeigen.

Melden Sie sich erneut an, falls Ihre Sitzung eine Zeitüberschreitung auftritt.

Sie können diese Aufgaben einfach über die Symbolleiste oder das Menü „Aktionen“ ausführen.

Tabelle 1. Dashboard-Komponenten
Komponente	Beschreibung
Aktuelle Synchronisierung	Zeigt die Statusinformationen zur laufenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige inaktiv.
Nächste Synchronisierung	Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Zeitplan festgelegt ist, wird Nicht angesetzt angezeigt.
Letzte Synchronisation	Zeigt den Status der letzten beiden durchgeführten Synchronisierungen an.
Aktueller Synchronisierungsstatus	Zeigt den Gesamtstatus der Synchronisierung an.
Konnektoren	Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind.
Cloud-Statistik	Zeigt den Gesamtstatus der Synchronisierung an.
Synchronisierungszeitplan	Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung an.
Konfigurationszusammenfassung	Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten: Alle Objekte werden synchronisiert Alle Benutzer werden synchronisiert Gelöschter Schwellenwert ist deaktiviert worden.

Tabelle 2: Aktionen-Symbolleiste
Aktion	Beschreibung
Inkrementelle Synchronisierung starten	Inkrementelle Synchronisierung manuell starten Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn noch keine vollständige Synchronisierung abgeschlossen wurde oder wenn eine Synchronisierung läuft.
Probelauf synchronisieren	Führen Sie einen Probelauf für die Synchronisierung durch.
Ereignisanzeige starten	Starten Sie die Microsoft-Ereignisanzeige.
Aktualisieren	Aktualisieren des Cisco Directory Connector-Dashboards

Tabelle 3: Menüleiste „Aktionen“
Aktion	Beschreibung
Jetzt synchronisieren	Starten Sie sofort eine vollständige Synchronisierung.
Synchronisierungsmodus	Wählen Sie entweder den inkrementellen oder den vollständigen Synchronisierungsmodus aus.
Geheimschlüssel für Konnektor zurücksetzen	Stellen Sie eine Unterhaltung zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Durch Auswahl dieser Aktion wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert.
Probelauf	Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung durchführen.
Fehlerbehebung	Aktivieren/deaktivieren Sie die Fehlerbehebung.
Aktualisieren	Aktualisieren Sie den Cisco Directory Connector-Hauptbildschirm.
Beenden	Beenden Sie den Cisco Directory Connector.

Tabelle 4: Tastenkombinationen
Tastenkombination	Aktion
Alt +A	Das Menü Aktionen anzeigen
`Alt +A + S`	Jetzt synchronisieren
`Alt +A + R`	Geheimschlüssel für Konnektor zurücksetzen
`Alt +A + D`	Probelauf
`Alt +A + S + I`	Inkrementelle Synchronisierung
`Alt +A + S + F`	Vollständige Synchronisierung
`Alt + H`	Menü Hilfe anzeigen
`Alt + H + H`	Hilfe
`Alt + H + A`	Info
`Alt + H + F`	häufig gestellte Fragen

Automatische Upgrades festlegen

1	Wechseln Sie im Directory Connector zu Konfiguration > Allgemein und aktivieren Sie die Option Automatisch auf neue Cisco Directory Connector-Version aktualisieren.
2	Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.

Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion.

Active Directory-Objekte zum Synchronisieren auswählen

Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.

Gruppen für die automatische Lizenzzuweisung

Mit Control Hub können Sie Lizenzzuweisungen auf Gruppenbasis verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Beim Erstellen eines Benutzers überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.

Wir empfehlen, einen LDAP-Filter zu verwenden, um nur relevante Gruppen mit der Cloud zu synchronisieren. Beispielsweise können Sie den Filter auf:

(&(cn=Beispiel)(objectclass=Gruppe))*

Dieser Filter synchronisiert alle Gruppen innerhalb des Basis-DN, bei dem der Name mit „Beispiel“ beginnt. Benutzern, die keinen Gruppen zugewiesen sind, werden Lizenzen über die automatische Standardlizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.

Objektauswahlbildschirm im Directory Connector

Gruppen für Hybrid-Datensicherheitsbereitstellungen

Im Directory Connector müssen Sie Gruppen aktivieren, wenn Sie Hybrid-Datensicherheit zum Konfigurieren einer Testgruppe für Pilotbenutzer verwenden. Anleitungen finden Sie im Bereitstellungsleitfaden für Hybrid-Datensicherheit. Diese Verzeichniskonnektor-Einstellung wirkt sich nicht auf die Synchronisierung anderer Benutzer in der Cloud aus.

Vorbereitungen

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl.
2	Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und erwägen Sie, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die zur Beispiel-Manager-Gruppe gehören, verwenden Sie einen Filter wie diesen: `(&(sAMAccountName=*)(memberOf=cn=Beispiel-Manager,ou=Beispiel,ou=Sicherheitsgruppe,dc=UNTERNEHMEN))`
3	Aktivieren Sie das Kontrollkästchen Raum identifizieren, um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen, wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie lokale Rauminformationen von Active Directory mit der Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.
4	Aktivieren Sie Gruppen, wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie keinen LDAP-Filter für die Benutzersynchronisierung zum Feld „Gruppen“ hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren. Gruppen werden standardmäßig nicht für neue Kunden synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren.
5	Aktivieren Sie Kontakte, wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten. Der Verzeichniskonnektor verwaltet nur Kontakte, die vom Konnektor synchronisiert wurden. Wenn bereits Kontakte in Control Hub vorhanden sind, werden die Kontakte durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsumfang entfernt werden, werden auch die Kontaktinformationen der Benutzer in Control Hub entfernt.
6	Konfigurieren Sie die LDAP-Filter. Sie können erweiterte Filter hinzufügen, indem Sie einen gültigen LDAP-Filter bereitstellen. Weitere Informationen zum Konfigurieren von LDAP-Filtern finden Sie in diesem Artikel.
7	Geben Sie die zu synchronisierenden lokalen Basis-DNs an, indem Sie auf Auswählen klicken, um die Baumstruktur Ihres Active Directory anzuzeigen. Von hier aus können Sie auswählen, welche Container gesucht werden sollen.
8	Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten, und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container zur Synchronisierung auswählen. Wählen Sie einen übergeordneten Container aus, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird im übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container aktiviert wurde. Sie können dann auf Auswählen klicken, um die von Ihnen ausgewählten Active Directory-Container zu akzeptieren. Wenn Ihre Organisation alle Benutzer und Gruppen im Benutzer-Container platziert, müssen Sie keine anderen Container durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, stellen Sie sicher, dass Sie OUs auswählen.
9	Klicken Sie auf Übernehmen. Wählen Sie eine Option: Konfigurationsänderungen anwenden Probelauf Abbrechen Informationen zu Probeläufen finden Sie unter Durchführen einer Probelauf-Synchronisierung für Ihre Active Directory-Benutzer. Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen.

Benutzerattribute zuordnen

Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.

Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll – Sie können beispielsweise firstName lastName in Active Directory oder einen benutzerdefinierten Attributausdruck displayName in der Cloud zuordnen.

Konten in Active Directory müssen über eine E-Mail-Adresse verfügen; die uid wird standardmäßig dem Feld ad der E-Mail zugeordnet (nicht sAMAccountName).

Wenn Sie festlegen, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, ist Active Directory die einzige Informationsquelle: Benutzer können ihre Spracheinstellung in den Webex-Einstellungen nicht ändern, und Administratoren können die Einstellung in Control Hub nicht ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet.
2	Scrollen Sie zum Ende der Active Directory-Attributnamen und wählen Sie dann eines der folgenden Active Directory-Attribute aus, um das Cloud-Attribut uid zuzuordnen: E-Mail – wird in den meisten Bereitstellungen für das E-Mail-Format verwendet. userPrincipalName – Eine alternative Wahl, wenn Ihr E-Mail-Attribut für andere Zwecke in Active Directory verwendet wird. Dieses Attribut muss im E-Mail-Format vorliegen. Sie können beliebige andere Active Directory-Attribute der uid zuordnen. Wir empfehlen jedoch, „mail“ oder „userPrincipalName“ zu verwenden, wie in den obigen Richtlinien beschrieben. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, mit welchen Attributen in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen im Directory Connector. Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen ausgewählte Active Directory-Attribut im E-Mail-Format vorliegt. Der Verzeichniskonnektor zeigt ein Popup-Fenster an, das Sie daran erinnert, wenn Sie eines der empfohlenen Attribute nicht auswählen.
3	Wenn die vordefinierten Active Directory-Attribute in Ihrer Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können. Klicken Sie auf Hilfe, um weitere Informationen zu den Ausdrücken zu erhalten und Beispiele für die Funktionsweise von Ausdrücken anzuzeigen. Weitere Informationen finden Sie auch unter Ausdrücke für angepasste Attribute. Ordnen wir in diesem Beispiel die Active Directory-Attribute `givenName` und `Sn` dem Cloud-Attribut `displayName` zu: Definieren Sie den Attributausdruck givenName + "" + Sn (bei den Anführungszeichen handelt es sich um ein zusätzliches Leerzeichen) und geben Sie dann die E-Mail-Adresse eines vorhandenen Benutzers zur Überprüfung an. Klicken Sie auf Überprüfen, und prüfen Sie, ob das Ergebnis mit dem übereinstimmt, was Sie erwartet haben. Ein erfolgreiches Ergebnis sieht so aus: Wenn die Ergebnisse den erwarteten Ergebnissen entsprechen, klicken Sie auf OK, um das neue angepasste Attribut zu speichern. Wenn Sie später den displayName ändern möchten, können Sie einen neuen Attributausdruck eingeben. Der Directory Connector überprüft den Attributwert von uid im Identitätsdienst und ruft 3 verfügbare Benutzer unter den aktuellen Benutzerfilteroptionen ab. Wenn alle diese 3 Benutzer ein gültiges E-Mail-Format haben, zeigt der Cisco Directory Connector die folgende Meldung an: Wenn das Attribut nicht verifiziert werden kann, wird die folgende Warnung angezeigt und Sie können zu Active Directory zurückkehren, um die Benutzerdaten zu überprüfen und zu korrigieren:
4	(Optional) Wählen Sie Zuordnungen für Mobilgeräte und Telefonnummer aus, wenn Mobil- und Geschäftsnummern angezeigt werden sollen, beispielsweise in der Kontaktkarte des Benutzers in der Webex-App. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt. Weitere Informationen zu Anrufen über die Kontaktkarte eines Benutzers finden Sie im Bereitstellungshandbuch für Anrufe in Webex (Unified CM) (Administratoren).
5	Wählen Sie zusätzliche Zuordnungen aus, um weitere Daten in der Kontaktkarte anzuzeigen: `Abteilungsnummer` `Anzeigename` `Manager` `Titel` Nach der Zuordnung der Attribute werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt: Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren. Nachdem diese Attribute mit den einzelnen Benutzerkonten synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Benutzer der Webex-App mehr Informationen in ihren Profilen teilen und mehr voneinander erfahren. Weitere Informationen zur Funktion und zum Aktivieren finden Sie unter Profile für „People Insights“ für Webex, Jabber, Webex Meetings und Webex Events (Neu) in Control Hub.
6	Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie auf Übernehmen.

Alle in Active Directory enthaltenen Benutzerdaten überschreiben die diesem Benutzer entsprechenden Daten in der Cloud. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Alle Benutzer ohne entsprechende E-Mail-Adresse in Active Directory werden gelöscht.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Active Directory- und Cloud-Attribute

Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattributzuordnung verwenden.

In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Verzeichniskonnektor. Sie können in den Dropdown-Menüs des Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloudattribut synchronisiert wird.

Betrachten Sie die Dropdown-Attribute als Voreinstellungen. Als Alternative zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory angeben (ein Ausdruck mit mehreren Attributen), um ein einzelnes Cloudattribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise haben Sie die Flexibilität, die Anzeigenamen Ihrer Benutzer zu bestimmen. Sie können beispielsweise einen Ausdruck hinzufügen, der basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory ein angepasstes Attribut erstellt.

Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.

Sie können auch alternative E-Mail-Adressen verwenden, z. B. wenn Sie den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall dem Attribut emails;type-work eine andere E-Mail-Adresse zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.

Active Directory-Attributnamen	Webex-Cloud-Attributnamen	Anmerkungen
—	Gebäudename	—
c	c	Dieses Attribut gibt die Länderabkürzung des Benutzers an.
Abteilungsnummer	Abteilungsnummer	Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die auf der Kontaktkarte und People Insights angezeigt wird.
Anzeigename	Anzeigename	Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
BenutzerAccountControl	ds-pwp-konto-deaktiviert	Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist, andernfalls werden die Benutzer nicht ordnungsgemäß synchronisiert.
Mitarbeiternummer	Mitarbeiternummer	—
FaxTelefonnummer	FaxTelefonnummer	—
—	Jabber-ID	Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert ist nicht identisch mit sipAddresses.
l	l	Dieses Attribut gibt die Stadt des Benutzers an.
—	Ländereinstellung	—
Manager	Manager	Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der auf der Kontaktkarte und People Insights angezeigt wird.
Mobil	Mobil	Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen.
o	o	Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird auf der Kontaktkarte angezeigt.
Ou	Ou	Dieses Attribut gibt den Namen der Organisationseinheit an.
physischeLieferungBüroName	physischeLieferungBüroName	Dieses Attribut gibt den Bürostandort des Benutzers an.
Postleitzahl	Postleitzahl	Dieses Attribut gibt die Postleitzahl des Benutzers für die physische Postzustellung an.
bevorzugteSprache	bevorzugteSprache	Dieses Attribut legt die bevorzugte Sprache des Benutzers fest. Es werden die folgenden Formate unterstützt: xx_YY oder xx-YY. Hier einige Beispiele: de_US, de_GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format verwenden, wird die bevorzugte Sprache des Benutzers zur für die Organisation festgelegten Sprache geändert.
MSRTCSIP-PrimäreBenutzeradresse IP-Telefon	SIP-Adressen;type=Unternehmen	Dieses Attribut wird verwendet, um lokale Rauminformationen aus Active Directory mit der Cisco Webex-Cloud zu synchronisieren.
sn	sn	Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
st	st	Dieses Attribut gibt das Bundesland des Benutzers an.
Straßenadresse	Straße	Dieses Attribut gibt die Postanschrift des Benutzers für die physische Postzustellung an.
Telefonnummer	Telefonnummer	Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die zum Anrufen des Benutzers über die Kontaktkarte verwendet wird.
—	Zeitzone	Dieses Cloudattribut gibt die Zeitzone des Benutzers an.
Titel	Titel	Dieses Attribut gibt den Titel des Benutzers an, der auf der Kontaktkarte und People Insights angezeigt wird.
Typ	Unternehmen	—
E-Mail userPrincipalName	UID	Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann sich dann mit einer dieser E-Mail-Adressen anmelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen dazu, wie Sie eine alternative E-Mail-Adresse zuordnen können, finden Sie im Beispiel-Attributzuordnung unten.
userPrincipalName E-Mail <benutzerdefiniertes Attribut>	E-Mails;Arbeit eingeben	Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.
<Neues Attribut für Azure-Benutzer objectId>	externe ID	Erstellen Sie ein neues Active Directory-Attribut, um die Objekt-ID des Azure-Benutzers zu speichern, damit sie nicht mit einem vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen.

Alternative E-Mail-Adresszuordnung

Ausdrücke für angepasste Attribute

Tabelle 5: Ausdrücke für angepasste Attribute
Vermittler	Beschreibung und Beispiel
%	Entfernt alle Zeichen vom Anfang bis zur Position des Zeichens oder des String-Arguments, falls diese übereinstimmen. Beispielausdruck `"abc@example.com" % "@"` Ergebnis `beispiel.com`
-	Entfernt die Rückseite der Eingabezeichenfolge vom Ende der angegebenen Zeichenfolge. Beispielausdruck `„abc@example.com“ – „@“` Ergebnis `ABC`
+	Verkettet Eingabezeichenfolgen oder Ausdrücke. Beispielausdruck `„abc“ + „“ + „def“` Ergebnis `ABC DEF`
\|	Evaluiert die getrennten Ausdrücke anhand einer leeren Zeichenkette und wählt das erste nicht-leere Ergebnis aus. Beispielausdruck `„“ \| „abc“` Ergebnis `ABC`

Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit diesem Verfahren können Sie Avatarrohdaten aus einem Active Directory-Attribut synchronisieren.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie für Avatar abrufen von die Option AD-Attribut und anschließend das Avatar-Attribut aus, das die Avatar-Rohdaten enthält, die Sie mit der Cloud synchronisieren möchten.
3	Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar des Benutzers abrufen. Der Avatar wird rechts angezeigt.
4	Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit dieser Prozedur können Sie Avatare von einem Ressourcenserver synchronisieren.

Vorbereitungen

Das URI-Muster und der Variablenwert in dieser Prozedur sind Beispiele. Sie müssen tatsächliche URLs verwenden, unter denen sich Ihre Verzeichnis-Avatare befinden.
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht öffentlich im Internet zugänglich sein.
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass auf Avatar-Daten über die NTLM-Authentifizierung oder die Basic-Auth zugegriffen werden kann.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie unter Avatar abrufen von die Option Ressourcenserver aus, und geben Sie das Avatar-URI-Muster ein – zum Beispiel *`http://www.example.com/dir/photo/zoom/{mail: .?(?=@.)}.JPG`* Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten: http://www.example.com/dir/photo/zoom/ – Der Pfad zum Speicherort aller Fotos, die synchronisiert werden sollen, befindet sich. Es muss sich um eine URL handeln, auf die der Directory Connector-Dienst auf Ihrem Server zugreifen kann. mail: – Weist den Directory Connector an, den Wert des E-Mail-Attributs aus Active Directory zu erhalten .?(?=@.) – Eine Regex-Syntax, die die folgenden Funktionen ausführt: *`. – Jedes Zeichen, das null- oder mehrmals wiederholt wird.` `? – Weist die vorangestellte Variable an, so wenige Zeichen wie möglich zuzuordnen.` `(?= ... ) – Entspricht einer Gruppe nach dem Hauptausdruck, ohne sie in das Ergebnis einzubeziehen. Der Verzeichniskonnektor sucht nach einer Übereinstimmung und fügt diese nicht in die Ausgabe ein.` `@.* – Das at-Symbol, gefolgt von einem beliebigen Zeichen, das null- oder mehrmals wiederholt wird.` `.jpg – Die Dateierweiterung für die Avatare Ihrer Benutzer. Siehe unterstützte Dateitypen in diesem Dokument und ändern Sie die Erweiterung entsprechend.`**
3	(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen benötigt, aktivieren Sie die Option Benutzeranmeldeinformationen für Avatar festlegen. Wählen Sie anschließend Aktuellen Service-Anmeldebenutzer verwenden oder Diesen Benutzer verwenden aus, und geben Sie das Passwort ein.
4	Geben Sie den Variablenwert ein, zum Beispiel: `abcd@example.com`.
5	Klicken Sie auf Test, um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. Wenn in diesem Beispiel der E-Mail-Wert für einen AD-Eintrag `abcd@example.com` lautet und jpg-Bilder synchronisiert wurden, lautet der endgültige Avatar-URI`http://www.example.com/dir/photo/zoom/abcd.jpg.`
6	Nachdem die URI-Informationen überprüft wurden und korrekt angezeigt wurden, klicken Sie auf Übernehmen. Detaillierte Informationen zur Verwendung regulärer Ausdrücke finden Sie in der Microsoft Regular Expression Language Quick Reference .

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von lokalen Rauminformationen mit der Webex Cloud

Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Webex-Geräten (Room, Desk und Board) angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Objektauswahl.
2	Aktivieren Sie das Kontrollkästchen Rauminformationen mit Cloud synchronisieren, um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf die gleiche Weise behandelt wie synchronisierte Benutzerdaten.
3	Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=enterprise. Um die Wertevalidierung zu verwenden, sollte der Wert der SIP-Adresse Pattern.compile("^([^@])(.)@(.)$") lauten. Wählen Sie MSRTCSIP-PrimaryUserAddress, falls verfügbar. Wenn das oben genannte Attribut nicht in Ihrem Active Directory-Schema vorhanden ist, verwenden Sie ein anderes Feld wie ipPhone.
4	Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann zum Identifizieren von Räumen verwendet.
5	Navigieren Sie von Active Directory-Benutzern und -Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den vollständig qualifizierten SIP-URI mit dem Präfix sip hinzu:
6	Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden Objekte hinzugefügt aufgelistet, und übereinstimmende Raumobjekte werden im Probelauf-Bericht unter Übereinstimmende Objekte angezeigt. Alle Raumobjekte, die zum Löschen markiert sind, finden Sie unter Räume gelöscht. In den Ergebnissen des Probelaufs werden alle abgestimmten Raumressourcen angezeigt. Diese Einstellung trennt die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.

Nächste Schritte

Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Cloud registrierten Webex-Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde.

Über Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.

Der Endpunkt kann einen Rückruf nicht an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte lokal oder an einem anderen Ort als der Webex-App als SIP URI registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, dem Schreibtischgerät oder dem Webex Board für den Kalenderdienst befindet, wird der doppelte Eintrag in den Suchergebnissen nicht angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App angerufen und es wird kein SIP-Anruf getätigt.

E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisation senden

Standardmäßig erhalten die Organisationskontakte oder Administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen mit einer Zusammenfassung der Verzeichnissynchronisierungsberichte erhalten soll.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benachrichtigung aus.
2	Klicken Sie im Directory Connector auf Einstellungen und aktivieren Sie neben E-Mail-Empfänger die Option Synchronisierung des Berichts aktivieren.
3	Aktivieren Sie Benachrichtigung aktivieren, wenn Sie das Standard-Benachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten.
4	Klicken Sie auf Hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
5	Klicken Sie auf E-Mail hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
6	Wenn Sie eingegebene E-Mail-Adressen bearbeiten müssen, doppelklicken Sie auf den E-Mail-Eintrag in der linken Spalte, und nehmen Sie dann die gewünschten Änderungen vor.
7	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Übernehmen.
8	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Speichern.

Nächste Schritte

Wenn Sie festgelegt haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und klicken Sie dann auf Entfernen.

Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.

Bereitstellen von Benutzern Aus Active Directory In Control Hub

Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (entweder mit einer einzelnen Gesamtstruktur oder mit mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

1	Durchführen eines Probelaufs für die Active Directory-Benutzer Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.
2	Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
3	Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen auf verschiedene Weise zuweisen. Wir empfehlen Ihnen, eine Lizenzvorlage für die automatische Zuweisung einzurichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen.

Durchführen eines Probelaufs für die Active Directory-Benutzer

Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.

Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel des Directory Connector ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud herzustellen.

Wenn Sie in einer oder mehreren Gesamtstrukturen mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Vorbereitungen

Möglicherweise befinden sich bereits einige Webex-App-Benutzer in Control Hub, bevor Sie den Verzeichniskonnektor verwendet haben. Einige der Benutzer in der Cloud können mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es können jedoch Testbenutzer sein, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Active Directory und Control Hub erstellen.

1	Eine Option auswählen: Klicken Sie nach der erstmaligen Anmeldung in der Eingabeaufforderung auf Ja, um einen Probelauf durchzuführen. Wenn Sie eine Erinnerung an die Durchführung eines Probelaufs verpassen, klicken Sie jederzeit über den Directory Connector auf Dashboard, wählen Sie Probelauf synchronisieren aus und klicken Sie dann auf OK, um einen Probelauf-Synchronisierung zu starten. Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt: *Nicht übereinstimmende Objekte im Directory Connector erkannt* *Zusammenfassung der Ergebnisse des Probelaufs und der nicht übereinstimmenden Objekte im Directory Connector* Die Zusammenfassung enthält Informationen über die Objektabgleich: Übereinstimmende Objekte – Ein Benutzer, der sich in Webex Common Identity befindet und auch in der Active Directory-Domäne vorhanden ist, d. h. wenn ein Benutzer@cisco.com mit Webex synchronisiert und in Control Hub angezeigt wurde und derselbe Benutzer (ein Benutzer@cisco.com) in Active Directory vorhanden ist. Dies bedeutet, dass der Benutzer zugeordnet wurde. Nicht übereinstimmende Objekte: Ein Benutzer, der sich in Webex befindet, unabhängig davon, wie er in Common Identity hinzugefügt wurde, aber nicht in Active Directory vorhanden ist. Es wird als Nicht übereinstimmendes Objekt bezeichnet. Beispiel: Wenn ein Benutzer@cisco.com in Webex synchronisiert und in Control Hub angezeigt wurde, aber derselbe Benutzer (Benutzer@cisco.com) nicht von Active Directory verwaltet wird, zeigt der Bericht an, dass der Benutzer nicht übereinstimmt. Der Probelauf identifiziert die Benutzer, indem er sie mit Domänenbenutzern vergleicht. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten möchten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory.
2	Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option aus, je nachdem, ob Sie eine einzelne oder mehrere Domänen verwenden: Einzeldomäne – Entscheiden Sie, ob Sie die nicht übereinstimmenden Benutzer beibehalten möchten. Wenn Sie sie behalten möchten, wählen Sie Nein, Objekte behalten aus. Wenn Sie dies nicht tun, wählen Sie Ja, Objekte löschen. Nachdem Sie diese Schritte ausgeführt haben und eine vollständige Synchronisierung manuell durchführen, damit eine exakte Übereinstimmung zwischen dem lokalen Standort und der Cloud vorliegt, aktiviert der Directory Connector automatisch geplante automatische Synchronisierungsaufgaben. Mehrere Domänen: Führen Sie für eine Organisation mit Domäne A und Domäne B zunächst einen Probelauf für Domäne A durch. Wenn Sie nicht übereinstimmende Benutzer behalten möchten, wählen Sie Nein, Objekte behalten aus. (Diese nicht übereinstimmenden Benutzer können Mitglieder von Domäne B sein.) Wenn Sie löschen möchten, wählen Sie Ja, Objekte löschen aus. Wenn Sie die Benutzer beibehalten, führen Sie zuerst eine vollständige Synchronisierung für Domäne A und anschließend einen Probelauf für Domäne B durch. Wenn es immer noch Benutzer gibt, die nicht übereinstimmen, fügen Sie diese Benutzer in Active Directory hinzu, und führen Sie anschließend eine vollständige Synchronisierung für Domäne B durch. Wenn eine exakte Übereinstimmung zwischen lokal und Cloud vorliegt, aktiviert der Verzeichniskonnektor automatisch angesetzte automatische Synchronisierungsaufgaben.
3	Klicken Sie in der Aufforderung Probelauf bestätigen auf Ja, um die Synchronisierung des Probelaufs erneut durchzuführen und das Dashboard anzuzeigen, um die Ergebnisse anzuzeigen. Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter Übereinstimmende Objekte angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Um die Details der synchronisierten Elemente anzuzeigen, klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched. Um die Zusammenfassungsinformationen zu speichern, klicken Sie auf Ergebnisse in Datei speichern.
4	Wenn die Ergebnisse erwartet werden, gehen Sie zu Aktionen > Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt aktivieren, um eine manuelle Synchronisierung durchzuführen und an diesem Punkt in den manuellen Modus zu versetzen. Nachdem Sie eine Synchronisierung mit der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte zwischen der Webex-Cloud und allen lokalen Active Directories vollständig übereinstimmen.

Nächste Schritte

Alle nicht übereinstimmenden Benutzerobjekte, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen lokaler und Cloud-Umgebung besteht.
Wählen Sie einen Synchronisierungstyp:
- Führen Sie eine vollständige Synchronisierung der Active Directory-Benutzer in der Cloud durch, wenn Sie neue Benutzer zum ersten Mal mit der Cloud synchronisieren. Tun Sie dies über Aktionen > Jetzt synchronisieren > Voll. Anschließend werden die Benutzer aus der aktuellen Domäne synchronisiert.
- Legen Sie den Connector-Zeitplan fest und Führen Sie eine inkrementelle Synchronisierung durch, nachdem Sie eine vollständige Synchronisierung durchgeführt haben und wenn Sie die Änderungen nach der ursprünglichen Synchronisierung übernehmen möchten. Diese Art der Synchronisierung wird empfohlen, um kleine Änderungen an der Active Directory-Benutzerquelle zu übernehmen.
  
  Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben.
Wenn Sie über mehrere Domänen verfügen, wiederholen Sie diese Schritte auf einem anderen Directory Connector, den Sie installiert haben.

Zu beachtende Punkte

Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisation dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeberichte überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.

Wenn übereinstimmende Benutzer als gelöscht markiert sind und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und wenden Sie sich an den Support unter Fehlerbehebung und Fehlerbehebungen für Directory Connector.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen

Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.

Wenn Sie über mehrere Domänen verfügen, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Directory Connector synchronisiert den Benutzerkontostatus: In Active Directory werden als deaktiviert gekennzeichnete Benutzer in der Cloud als inaktiv angezeigt.

Vorbereitungen

Wenn sich die Webex-App-Benutzerkonten nach der vollständigen Synchronisierung im Status „Aktiv“ befinden sollen, bevor sich die Benutzer zum ersten Mal anmelden, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:
- Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Siehe Einmalige Anmeldung mit Cisco Webex-Diensten und dem Identitätsanbieter Ihrer Organisation um mehr zu erfahren.
- Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.
- Automatische E-Mail-Einladungen unterdrücken, sodass neue Benutzer die automatische E-Mail-Einladung zur Webex-App nicht erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
  
  Aktivierte Benutzer, die sich nicht angemeldet haben, werden in Control Hub mit dem Status Verifiziert angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub.
Wenn Sie die Synchronisierung aktivieren, werden Sie vom Verzeichniskonnektor zuerst aufgefordert, einen Probelauf durchzuführen. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu ermitteln.
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.

Wenn Sie keine Lizenzvorlagen für die automatische Zuweisung verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie können dieselben kostenlosen Funktionen wie Benutzer mit kostenlosen Konten verwenden.

1	Eine Option auswählen: Wenn nach der erstmaligen Anmeldung der Probelauf abgeschlossen ist und für alle Domänen korrekt aussieht, klicken Sie auf Jetzt aktivieren, um die automatische Synchronisierung zuzulassen. Wechseln Sie vom Directory Connector zum Dashboard, klicken Sie auf Aktionen, wählen Sie Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt synchronisieren > Vollständig, um die Synchronisierung zu starten.
2	Wechseln Sie im Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Vollständige Synchronisierung aus.
3	Bestätigen Sie den Start der Synchronisierung. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch bis zu 72 Stunden nach der Synchronisierung angezeigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung zeigt das Dashboard den Synchronisierungsfortschritt an. Dies kann die Art der Synchronisierung, die Startzeit und die Phase enthalten, in der die Synchronisierung derzeit ausgeführt wird. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Benutzerdaten werden mit der Cloud synchronisiert. Wenn während der Synchronisierung Fehler auftreten, leuchtet die Statusanzeige rot.
4	Klicken Sie auf Aktualisieren, wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik angezeigt.)
5	Wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um weitere Informationen zu Fehlern zu erhalten, um die Fehlerprotokolle anzuzeigen.
6	Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen mit der Cloud finden Sie unter Festlegen des Connector-Zeitplans und Ausführen einer inkrementellen Synchronisierung.

Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung auf der Seite Einstellungen in Control Hub von Deaktiviert zu Betriebsbereit aktualisiert.
Wenn alle Daten zwischen lokaler und Cloud-Umgebung abgeglichen werden, wechselt der Verzeichniskonnektor vom manuellen Modus in den automatischen Synchronisierungsmodus.
Sofern Sie die Einzelanmeldung nicht integrieren, Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben und automatische E-Mails unterdrücken, bleiben die Benutzerkonten der Webex-App im Status „Nicht verifiziert“, bis sich die Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Eine Anleitung zur Synchronisierung der Konten als aktive Benutzer finden Sie im Abschnitt „Vorbereitungen“.
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf einem anderen installierten Directory Connector aus. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
Wenn Sie Single Sign-On in Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
Sie können Benutzer in Control Hub nicht manuell hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung wird die Benutzerverwaltung über den Cisco-Verzeichniskonnektor durchgeführt, und Active Directory ist die zentrale Informationsquelle.
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.

Nächste Schritte

Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung soft gelöscht. Der Benutzer wird inaktiv, aber das Cloud-Identitätsprofil wird sieben Tage lang beibehalten (um eine Wiederherstellung nach einer versehentlichen Löschung zu ermöglichen).

Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer nach der nächsten Synchronisierung inaktiv. Das Cloud-Identitätsprofil wird nach sieben Tagen nicht gelöscht, falls Sie den Benutzer erneut aktivieren möchten.
Beachten Sie diese Ausnahmen bei einer inkrementellen Synchronisierung (befolgen Sie stattdessen die obigen vollständigen Synchronisierungsschritte):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Konfigurationsänderungen bei der Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.

Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen

Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco-Verzeichniskonnektor mit Control Hub abgeschlossen haben, können Sie mit Control Hub allen Ihren Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Nachdem Sie die vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Methoden in Control Hub verwenden, um all Ihren Benutzern – einzelnen Benutzern – über die CSV-Massenvorlage global Webex-Dienstlizenzen zuzuweisen oder neuen Benutzern automatisch zuzuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken, wenn Sie Ihre Benutzer direkt kontaktieren möchten.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Führen Sie einen Probelauf für die Synchronisierung der Active Directory-Benutzer durch.
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung mit Ihren Active Directory-Benutzern durch.

Bei der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und es wird keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine Standard-Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreiches automatisches Abschließen der Zuweisung.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Benutzer, klicken Sie auf Benutzer verwalten, wählen Sie Alle synchronisierten Benutzer ändern und klicken Sie dann auf Weiter.

2

Wählen Sie eine Option:

Nächste Schritte

Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung gesendet, um Webex beizutreten und herunterzuladen.
Wenn Sie für alle Benutzer dieselben Webex-Dienste ausgewählt haben, können Sie anschließend die zugewiesene Lizenz einzeln oder gesammelt ändern.

Verwandte Informationen

Möglichkeiten zum Hinzufügen und Verwalten von Benutzern in Ihrer Organisation

Bekannte Probleme mit dem Directory Connector

Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das sich auf den Directory Connector auswirkt. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.

Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, läutet der Anruf zu diesem Zeitpunkt unbegrenzt.

Benutzer der Webex-App verwalten

Durchführen einer inkrementellen Synchronisierung

Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen die Änderung der Attribution für Benutzer sowie den Zeitpunkt, zu dem ein Benutzer hinzugefügt oder gelöscht wird.

Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie die ursprüngliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen ):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Bei neuen Konfigurationsänderungen für die Attributzuordnung, Basis-DN, Filter und die Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und erfordert eine vollständige Synchronisierung.

1	Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen.
2	Klicken Sie unter Aktionen auf Synchronisierungsmodus > Synchronisierung aktivieren , falls dies noch nicht geschehen ist. Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen anhand des letzten Zeitstempels.
3	Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.
4	Um weitere Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen auf Ereignisanzeige starten , um die Fehlerprotokolle anzuzeigen.

Nächste Schritte

Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.

Versehentlich gelöschte Benutzer wiederherstellen

Der Verzeichniskonnektor verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Die Funktion „Soft-Delete“ kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.

Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, beispielsweise aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung aus dem Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie einen nicht übereinstimmenden Objekthinweis sehen oder festgestellt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.

Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer bis zu 7 Tage lang bei. Während dieser Zeit können Sie weiterhin Cisco Directory Connector verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so bald wie möglich wiederherzustellen.

Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nach 7 Tagen nicht gelöscht.

1	Melden Sie sich bei Control Hub an.
2	Wechseln Sie zu Benutzer und bestätigen Sie, ob sich ein bestimmtes Benutzerkonto im Status „Inaktiv“ befindet oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.
3	Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer im Status „Inaktiv“ bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Das Ziel mit Directory Connector ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu schaffen.
4	Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten mit Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und Dienstzuweisungen.

Nächste Schritte

Kehren Sie zu Control Hub zurück, gehen Sie zu Verwaltung > Benutzer und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.

Benutzer nach dem weichen Löschen dauerhaft löschen

Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung soft gelöscht wurden, dauerhaft löschen.

1	Wählen Sie nach Abschluss eines Probelaufs Weich gelöschte Objekte aus.
2	Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten.
3	Wählen Sie Fertig aus.

Nächste Schritte

Bei der nächsten Synchronisierung werden die von Ihnen geprüften Benutzer dauerhaft gelöscht.

E-Mail-Adresse einer Webex-App ändern

Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren behandelt das Ändern der E-Mail-Adresse der Webex-App für eine einzelne Domäne und einen Prozess zum Ändern der Domäne.

Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto. Dabei gehen die Bereiche des Benutzers und andere Daten in der Cloud verloren.

So ändern Sie die E-Mail-Adressen von Benutzern, ohne die Domäne zu ändern:
1. Öffnen Sie das Benutzerkonto (Beispiel, user1@example.com) in Active Directory und ändern Sie die E-Mail-Adresse (Beispiel, user2@example.com).
2. Setzen Sie die Synchronisierung auf dem Directory Connector fort.
  
  Nach der nächsten Synchronisierung werden die Änderungen in Ihrer Benutzerliste in Control Hub und für Benutzer in der Webex-App angezeigt, nachdem der Cache aktualisiert wurde.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Die eindeutige Kennung des Benutzers wird nach der ersten Synchronisierung in der Cloud festgelegt. Alle nachfolgenden Synchronisierungen basieren auf dieser Kennung.
Ändern Sie in einer Bereitstellung mit mehreren Domänen mit Directory Connector die E-Mail-Adressen der Benutzer beim Ändern der Domäne (betrachten Sie example1.com als alte Domäne und example2.com als neue Domäne):
1. Beachten Sie für das alte Benutzerkonto (user1@example1.com) das Active Directory-Attribut, das dem uid -Cloudattribut zugeordnet ist. Sie müssen denselben Active Directory-Wert für das neue Konto verwenden. In diesem Beispiel verwenden wir user1@example1.com als lokales Attribut, um der uid in der Cloud zuzuordnen.
2. Halten Sie die Synchronisierung auf dem Directory Connector für example1.com und example2.com-Domänen an.
3. Erstellen Sie ein neues Benutzerkonto in example2.com und verwenden Sie das gleiche Attribut von oben. (Beispiel: user1@example1.com).
4. Setzen Sie die Synchronisierung auf dem Directory Connector für example2.com fort.
  
  Bevor Sie fortfahren, überprüfen Sie, ob das Konto user1@example2.com mit Control Hub synchronisiert wird. Wir empfehlen, den Benutzer anzuweisen, die E-Mail-Änderung in der Webex-App zu überprüfen und alle Daten (Bereiche, Nachrichten, Meetings, Dateien usw.) aufzubewahren.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Im neuen Benutzerkonto müssen Sie jedoch sicherstellen, dass das Active Directory-Attribut, das dem UID-Attribut der Cloud zugeordnet ist, aus dem alten Benutzerkonto übernommen wird. Wenn Sie den Active Directory-Wert ändern, werden die Daten des alten Kontos nicht im neuen Konto gespeichert.
5. Nachdem Sie überprüft haben, dass die E-Mail-Adresse geändert wurde und die Daten intakt sind, löschen Sie das alte Benutzerkonto auf example1.com und setzen Sie anschließend den Verzeichniskonnektor ein, um die Synchronisierung für example1.com fortzusetzen.
  
  Zu diesem Zeitpunkt können Sie die E-Mail-Adresse in der neuen Active Directory-Domäne für user1@example2.com sicher aktualisieren.

Der Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch mit der Cloud resynchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung zu „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten.

Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre Webex-App-E-Mail-Adressen über die Seite mit den Kontoeinstellungen ändern. Unter E-Mail-Adresse für Ihr Konto ändern finden Sie Schritte, die Benutzer befolgen können, um ihre E-Mails zu ändern.

Active Directory-Domäne ändern

Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.

1	Richten Sie eine neue Active Directory (AD)-Domäne ein.
2	Deaktivieren Sie die Synchronisierungen für all Ihre Konnektoren.
3	Deinstallieren Sie alle Ihre Konnektoren.
4	Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Fallübermittlung sicher, dass Sie die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall aufgelöst wurde.
5	Nachdem der Fall behoben ist: Installieren Sie den Verzeichniskonnektor auf demselben Server, auf dem sich die neue Active Directory-Domäne befindet. Konfigurieren Sie den Directory Connector so, dass er auf die neue Active Directory-Domäne verweist. Wenn Benutzer in Control Hub vorhanden sind ( https://admin.webex.com), stellen Sie sicher, dass Benutzer mit übereinstimmenden E-Mail-Adressen auch in Active Directory vorhanden sind. Wenn Ihre Organisation den Umschalter `softDelete` in DirSync deaktiviert hat, können E-Mail-Adressen von Benutzern, die sich in Control Hub, aber nicht in Active Directory befinden, gelöscht werden. Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen.

Domänenanspruch

Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass ein Sideboarding-Konto in der zahlungspflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können eine Domäne nur über einen Support-Fall beanspruchen (weitere Informationen finden Sie unter dem folgenden Link).

Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, wie ein eingeladener Benutzer zu einem Webex-App-Bereich hinzugefügt werden kann, besteht darin, das Konto zunächst mithilfe des Directory Connectors in Control Hub bereitzustellen.

Weitere Informationen

Domänen verwalten

Benutzer der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis konvertieren

Sie können nur eindeutige E-Mail-Adressen im Webex-App-Verzeichnis verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App registriert haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Um Benutzer in dieser Organisation mithilfe des Verzeichniskonnektors zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie den Verzeichniskonnektor aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.

Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.

Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung konnte nicht konvertiert werden angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.

Einige beanspruchte Benutzer werden bei einem Probelauf möglicherweise mit dem Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Gelöschte Objekte anstelle von Nicht übereinstimmendes Objekt angezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.

Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle in Ihrer Nähe gelöscht, die mit der Cloud synchronisiert werden.

1	Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector.
2	Befolgen Sie das Verfahren Konvertieren von Benutzern ohne Lizenz in Control Hub , um den Benutzer von der kostenlosen Verbraucher-Organisation zur Enterprise-Organisation zu konvertieren. Bei diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind.
3	Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und sich Konten nur in Control Hub befinden, wird bei Directory Connector die Groß- und Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, gehen alle ihre Webex-App-Bereiche verloren.
4	Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren.

Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die automatische Lizenzvorlage aktiviert und anschließend den Verzeichniskonnektor ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.

Sideboarding-Benutzerkonten für Webex-App

Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.

Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.

Benutzerformat der Webex-App nach der Verzeichnissynchronisierung ändern

Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.

Nach der Verzeichnissynchronisierung werden Benutzernamen möglicherweise im Format angezeigt.

Dieser Benutzername wird möglicherweise angezeigt, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud zu displayName zugeordnet wird, werden Namen in Control Hub im Format angezeigt.

So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) dem displayName in Cisco Cloud-Attributnamen zu.

Alternativ können Sie das Attribut sn givenName dem displayName zuordnen:

Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck displayName zuordnen möchten.

Geben Sie beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) als Ausdruck ein. Dadurch werden die beiden Attribute in Active Directory dem displayName in der Cloud zugeordnet.

Benutzer können Anzeigenamen in Webex Meetings ändern

Sie können die Zuordnung des displayName -Attributs der Synchronisierung mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern die Bearbeitung ihrer bevorzugten Anzeigenamen erlauben möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird, anstatt ihren Vor- und Nachnamen eingeben. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus.
2	Wählen Sie displayName unter Cisco Cloud-Attributname aus.
3	Wählen Sie Dieses Attribut nicht synchronisieren aus.

Nächste Schritte

Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.

Directory Connector – Problembehandlung

Upgrade auf die neueste Softwareversion

Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie kein Upgrade auf die neueste verfügbare Version durchführen, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische TLS 1.2-Anforderung nicht unterstützt.

Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.

Obwohl Sie Connector-Softwareaktualisierungen manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.

1	Klicken Sie in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten.
2	Befolgen Sie die Anweisungen, um das Upgrade durchzuführen.
3	Starten Sie den Connector neu, und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an.
4	Überprüfen Sie die Versionsnummer der Software unter Hilfe > Info über.

Nächste Schritte

Für eine neue Installation von Directory Connector können Sie die ZIP-Datei herunterladen und dann die Installationsschritte in diesem Handbuch befolgen.

Konfigurieren von allgemeinen Einstellungen für Directory Connector

Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Allgemein.
2	Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird.
3	Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen: Info (Standard) – Zeigt Informationsnachrichten an, die den Fortschritt der Anwendung auf einer hohen Ebene hervorheben. Verwenden Sie diese Einstellung, wenn Sie Berichte nach allen vollständigen Synchronisierungen empfangen möchten. Warnung – zeigt potenziell gefährliche Situationen an. Debug – Zeigt detaillierte Informationsereignisse an, die für das Debuggen einer Anwendung am nützlichsten sind. Wenn Sie ein Problem feststellen, legen Sie diese Protokollebene fest und senden Sie das Ereignisprotokoll an den Support, wenn Sie einen Fall erstellen. Fehler – Zeigt Fehlerereignisse an, die die Ausführung der Anwendung möglicherweise trotzdem ermöglichen. Wenn Sie diese Option auswählen, werden Synchronisierungsberichte nur dann gesendet, wenn Fehler gemeldet werden. Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf Fehler festlegen, werden nur Fehler im Synchronisierungsbericht gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“. Nach der vollständigen Synchronisierung erhalten Sie Synchronisierungsberichte. (Beachten Sie, dass für die inkrementelle Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.)
4	Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen.
5	Aktivieren Sie Automatisches Upgrade auf neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, dass Ihre Cisco Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
6	Aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSL nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher.

Connector-Richtlinie konfigurieren

Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.

Sie legen beispielsweise 1 als Schwellenwert für den Löschvorgang fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus.
2	Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
3	Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20. Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen.
4	Klicken Sie auf Übernehmen.

Legen Sie den Connector-Zeitplan fest

Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Zeitplan aus.
2	Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben.
3	Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden.
4	Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll.
5	Geben Sie einen Wert für Failover-Intervall in Minuten an.
6	Klicken Sie auf Übernehmen.

Szenarien mit mehreren Domänen

Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.

Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.

Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.

Beispielanwendungen für mehrere Domänen

Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.

Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.

Synchronisierung auf example1.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.

User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.

Synchronisierung für example1.com und example2.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Stellen Sie sich das folgende Szenario vor:

Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.

Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne

Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.

Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.

Domänenpriorität festlegen

Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.

Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.

Vorbereitungen

Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie steht unter https://admin.webex.com zum Download bereit.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen.
3	Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern. Die Domänen werden in absteigender Reihenfolge sortiert.

Domäne wechseln

Mit diesem Verfahren können Sie den Cisco-Verzeichniskonnektor erneut an eine andere Domäne binden.

Vorbereitungen

Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie müssen sie über Control Hub herunterladen.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln.
3	Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, die Registrierung anderer Domänen im Connector wird aufgehoben, und die Connector-Informationen auf diesem Computer werden gelöscht.
4	Melden Sie sich erneut beim Cisco-Verzeichniskonnektor an, und binden Sie die Domäne erneut.

Verzeichnissynchronisierung deaktivieren

Wenn Sie die Synchronisierung über den Verzeichniskonnektor beenden müssen, können Sie sie über Control Hub vorübergehend deaktivieren.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:

Klicken Sie auf „Mehr“ und anschließend neben der Connector-Instanz, die Sie deaktivieren möchten, auf Deaktivieren .
Klicken Sie auf Alle Verzeichnissynchronisierungen deaktivieren, um die Synchronisierung von allen Connector-Instanzen zu beenden.

2

Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten.

Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren.

Benutzerattributzuordnung entfernen

Verwenden Sie den Verzeichniskonnektor, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Benutzerattributzuordnung entfernen.
3	Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus.
4	Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus: Nur mit Verzeichniskonnektor synchronisierte Benutzer: Die Zuordnung wird nur von Benutzern entfernt, die zuvor mit dem Directory Connector synchronisiert worden sind. Alle Nutzer: Die Zuordnung wird von allen Active Directory-Benutzern entfernt.
5	Klicken Sie auf Übernehmen.

Profilbilder verwalten

Verwenden Sie den Verzeichniskonnektor, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Profilbilder verwalten.
3	Wählen Sie unter Aktionen eine der folgenden Optionen aus: Profilbilder für leere Avatar-Quellen entfernen: Wenn das Active Directory-Profilbild leer ist, stellt diese Option sicher, dass die Benutzerprofilbilder aus der Cloud entfernt werden, auch wenn der Benutzer zuvor sein eigenes Bild in Webex hochgeladen hat. Laden Sie die synchronisierte Quelle erneut hoch, um zwischengespeicherte Bilder zu überschreiben: Der Directory Connector verwendet zum Aktualisieren der Profilbilder für alle Benutzer dasselbe Active Directory wie zuvor. Dadurch wird sichergestellt, dass es keine Diskrepanz zwischen den Profilbildern in Active Directory und der Cloud gibt.
4	Klicken Sie auf Übernehmen.

Directory Connector deinstallieren und deaktivieren

Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:

Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
Sie möchten die Domäne ändern und einen anderen Connector installieren.

Vorbereitungen

Möglicherweise werden mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder Synchronisierung mit mehreren Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie den Directory Connector deinstallieren.

1	Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen.
2	Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallieren aus und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen.
3	Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr und anschließend neben der Directory Connector-Instanz, die Sie deinstallieren möchten, auf Deaktivieren .
4	Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren. Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung.

Ausführen des Diagnosetools

Sie können das integrierte Diagnosetool verwenden, um Fehler bei der Directory Connector-Bereitstellung zu beheben. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.

Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.

So führen Sie Tests für Active Directory-Domänendienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-DS , geben Sie Ihre Domäne ein und klicken Sie dann auf Domänencontroller laden.
2. Wählen Sie einen Domänencontroller aus der Liste aus.
  
  Ändern Sie den Eintrag nicht später, da die inkrementelle Suche immer im selben Domänencontroller ausgeführt werden muss.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie im Abschnitt Active Directory-Abfragen weitere Filter, z. B. entweder Benutzer oder Gruppen -Objekte und Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-LDS , geben Sie Ihren Host und Ihren Port ein und klicken Sie dann auf Partitionen laden.
2. Wählen Sie eine Partition aus der Liste aus, und klicken Sie dann auf Verbinden.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie weitere Filter im Abschnitt Active Directory-Abfragen , z. B. Benutzer, UserProxy und UserProxyFull sowie Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte LDAP RAW , geben Sie Ihren Stammpfad und Filter ein, wählen Sie einen Eintrag unter Attribute aus und klicken Sie dann auf Lade-Partitionen.
2. Überprüfen Sie bei Bedarf die folgenden Optionen:
  - ObjectSecurity: Wenn diese Option vorhanden ist, benötigt der Anrufer keine Rechte und kann nur Objekte und Attribute sehen, auf die der Anrufer zugreifen kann. Wenn diese Option nicht vorhanden ist, hat der Anrufer das Recht, Änderungen zu replizieren.
  - ParentsFirst – Stellt sicher, dass alle Eltern der Kinder vor ihre Kinder kommen.
3. Wählen Sie einen Wert für ExtendedDN aus.
  
  Dieser Wert wird bei einer erweiterten LDAP-Suche verwendet, um eine erweiterte Form von Objekt-Distinguished Name anzufordern.
4. Wählen Sie einen Wert für ReferralChasing aus.
  
  Eine Weiterleitungsverfolgung wird initiiert, wenn ein Domänencontroller eine Weiterleitung von einer Abfrage zurückgibt – beispielsweise für Details zu einem Abfrageergebnis, das außerhalb des Namensraums liegen kann (z. B. Gruppenmitglieder in einer anderen Domäne oder einem Wald).
5. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
6. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.

Beheben von Problemen im Ciso Directory Connector

Fehlerbehebung und Fehlerbehebungen für den Directory Connector

Möglicherweise tritt eine Fehlermeldung oder ein anderes Problem im Directory Connector auf. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet der Connector Ihnen möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. Bevor Sie sich an den Support wenden, lesen Sie die folgenden Abschnitte über mögliche Probleme, mögliche Ursachen und vorgeschlagene Lösungen.

Installieren

Directory Connector funktioniert nicht mehr

Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber benachrichtigt wurden, dass Ihr Directory Connector nicht funktioniert.

Der Directory Connector ist möglicherweise nicht korrekt installiert.
Directory Connector wird möglicherweise nicht ausgeführt.
Das Netzwerk ist möglicherweise nicht verfügbar.

Gehen Sie wie folgt vor:

Öffnen Sie Systemsteuerung > Programme und Funktionen. Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
Öffnen Sie den Dienst und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status Gestartet angezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, über Internetzugang verfügt.

Fehler bei erneuter Installation

Problem: Wenn Sie sofort einen neuen Connector installieren, nachdem Sie einen alten deinstalliert haben, wird möglicherweise eine Fehlermeldung angezeigt.

Mögliche Ursache: In Windows Server 2012 benötigt der Client zur Deinstallation Zeit, um das Dienstkonto aus der Dienstliste zu löschen.

Lösung: Versuchen Sie die Installation nach einiger Zeit erneut.

Anmelden

Directory Connector stürzt bei der SSO-Anmeldung ab

Problem

Der Directory Connector kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.

Lösung

Gehen Sie wie folgt vor:

Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:

Wechseln Sie zum Domänencontroller und öffnen Sie Group Policy Management (gpedit.msc).
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne, und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie Bearbeiten aus.

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter Key Path die Option HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter SchlüsselpfadHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Die Änderungen werden wirksam, nachdem Sie gpupdate /force ausgeführt haben, die Maschine neu gestartet wurde (bei Änderungen am Computer) oder sich der Benutzer erneut anmeldet (bei Änderungen am Benutzer).

Cisco DirSync Service Connector konnte nicht registriert werden

Problem

Anmeldung fehlgeschlagen, und die folgende Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“

Lösung

Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.

Die Seite „Keine Anmeldung“ wird angezeigt

Problem

Sie haben den Verzeichniskonnektor geöffnet und die Anmeldeseite wurde nicht angezeigt.

Lösung

Gehen Sie wie folgt vor:

Navigieren Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie den Link in anderen Browsern wie Chrome und Firefox.
Wenn Internet Explorer den Link nicht aufrufen kann, andere Browser dies jedoch können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren .)

Anmeldeaufforderung wird angezeigt

Problem

Es wird eine Aufforderung angezeigt, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu bestehen.

Mögliche Ursache

Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.

Lösung

Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Übergabe der Sicherheit bereitstellen.

Verbindung zum Remote-Server nicht möglich

Problem

Während des normalen Betriebs wird die Fehlermeldung „Keine Verbindung zum Remote-Server möglich“ angezeigt.

Mögliche Ursache

Möglicherweise gibt es Proxy-Probleme, die behoben werden müssen.

Lösung

Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung mit Dienstkonto beheben .

Konnektor kann nicht registriert werden.

Problem

Es wird die Fehlermeldung „Der Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“

Mögliche Ursache

In den meisten Fällen liegt das Problem darin, dass der Directory Connector keine Berechtigung für eine Verbindung mit dem LDAP-Stammkontext hat.

Lösung

Gehen Sie wie folgt vor:

Führen Sie eine Eingabeaufforderung (cmd) aus, und geben Sie ldp.exe ein.
Klicken Sie auf Verbindung > Binden, wählen Sie Als aktuell angemeldeten Benutzer binden und klicken Sie dann auf OK.
Klicken Sie auf Ansicht > Baum, geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall beim Support.

Synchronisierung

Avatare nicht synchronisiert

Problem

Der Cisco Directory Connector hat die Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatar-Daten erfolgreich synchronisiert.

Mögliche Ursache

Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache diese und vermeidet es, erneut zu senden, um Bandbreite zu sparen.

Lösung

Führen Sie die folgenden Schritte aus, um den lokalen Cache zu löschen:

Gehen Sie zu C:\Programme (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Löschen DirSyncPluginAvatar.dll-cache.bin.
Führen Sie die Avatar-Synchronisierung über den Cisco-Verzeichniskonnektor erneut aus.

In Konflikt stehende Benutzer-E-Mail-Konten

Problem

Die Synchronisierungsergebnisse können in Konflikt stehende Benutzer-E-Mail-Konten anzeigen.

Wenn Benutzer die kostenlose Version der Webex-App versucht haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.

Lösung

Gehen Sie wie folgt vor:

Befolgen Sie die folgenden Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
1. Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
2. Deaktivieren Sie Cisco Directory Connector vorübergehend.
3. Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucherorganisation vorhanden sein könnten. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
4. Probelauf im Cisco Directory Connector durchführen und die Verzeichnissynchronisierung anschließend erneut aktivieren
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen.

Konvertierter Benutzer als inaktiv markiert

Problem

In Ihrer verzeichnissynchronisierten Umgebung haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.

Mögliche Ursache

Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer als 30 Tage lang als inaktiv markiert, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des Zeitraums von 30 Tagen zur Löschung markiert. Diese Situation tritt auf, da sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.

Lösung

Sie müssen entsprechende Maßnahmen ergreifen, wenn das Benutzerkonto nicht gelöscht werden soll. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.

Inkrementelle Synchronisierung schlägt fehl

Problem

Eine inkrementelle Synchronisierung schlägt fehl.

Dieses Problem kann unter folgenden Bedingungen auf Windows Server 2008 R2 auftreten:

Sie unterstützen inkrementelle Wertaktualisierungen.
Der Filter, den Sie verwenden, referenziert ein verknüpftes Werteattribut.
Die Ergebniswerte dieses Attributs wurden seit der letzten Durchführung einer vollständigen Synchronisierung aktualisiert.

Lösung

Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihren Windows Server auf mindestens 2012 R2 zu aktualisieren.

Ungültiger Wert für Merkmal

Problem

Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].

Mögliche Ursache

Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.

Lösung

Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.

Übereinstimmende Benutzer zum Löschen

Problem

Die übereinstimmenden Benutzer werden als gelöscht markiert.

Wenn Sie einen Probelauf zur Überprüfung der Daten zwischen Active Directory und der Cloud durchführen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Systemen angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.

Lösung

Wählen Sie eine geeignete Lösung:

Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen danach zu wiederholen, können Sie den Directory Connector für die Behebung verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Support-Fall.

Attribut fehlt

Problem

Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.

Mögliche Ursache

Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsbenutzer,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert aufweisen.

Lösung

Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.

Verschachtelte Gruppe wird nicht synchronisiert

Problem

Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.

Mögliche Ursache

Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Beispiel: (Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)

Lösung

Sie müssen den Filter, der Gruppen synchronisiert, neu konfigurieren. Beispiel: |(Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)(Mitglied=CN=testSubGroup,CN=Benutzer,DC=rktest2008,DC=org)

Konflikt bei Benutzerbenennung

Problem

Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und des Benutzertyps [user_type].

Mögliche Ursache

Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.

Lösung

Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.

Control Hub

Benutzerliste fehlt in Control Hub

Problem

Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird Ihnen die Benutzerliste in Control Hub möglicherweise nicht angezeigt.

Lösung

Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Wechseln Sie in Control Hub zu Benutzer, klicken Sie auf Suchen und geben Sie dann Suchkriterien ein, um nach einem bestimmten Benutzer zu suchen.

Gruppen werden nicht mit Control Hub synchronisiert

Problem

Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.

Mögliche Ursache

Die Gruppe ist in Active Directory nicht als isCriticalSystemObject markiert.

Lösung

Stellen Sie sicher, dass das Attribut isCriticalSystemObject in Active Directory auf TRUE gesetzt ist.

Problembehandlung für den Directory Connector aktivieren

Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.

Die Protokolldateien, die sind: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Führen Sie die Datei `services.msc` aus, um das ausgeführte Konto für den Directory Connector-Dienst vom lokalen System in ein Domänenkonto zu ändern, das über Zugriffsberechtigungen für Ihr AD DS oder AD LDS verfügt.
2	Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten.
3	Klicken Sie im Directory Connector auf Dashboard.
4	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Fehlerbehebung.
5	Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können.
6	Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt. Der Protokollordner speichert nur Dateien für die letzten 3 Tage. Der Inhalt in den Protokolldateien entspricht der Ausgabe des Ereignisprotokolls für das System.
7	Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten.
8	Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind.

Weitere Informationen

Support kontaktieren

Starten der Ereignisanzeige

Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Dashboard und klicken Sie auf Aktion > Ereignisanzeige starten. Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails.
2	Wechseln Sie in der Ereignisanzeige zu Anwendungs- und Dienstprotokolle > Cisco Directory Connector.
3	Klicken Sie unter Aktionen auf Alle Events speichern unter , um alle Protokolle als einzelne Events-Datei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren.

Nächste Schritte

Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und fügen Sie dann die Events-Datei an Ihren Fall an.

In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Hilfe bei der Verwaltung des Netzwerkdatenverkehrs zu erhalten.

TLS in Internet Explorer aktivieren

Wenn Sie Single Sign-On (SSO)-Anbieter gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:

Bei der Anmeldung am Dienst ist ein Fehler aufgetreten
Im Skript auf dieser Seite ist ein Fehler aufgetreten

Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.

1	Öffnen Sie Internet Explorer und wählen Sie Werkzeuge aus. Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die aktiviert werden soll. Klicken Sie auf OK. Schließen Sie den Browser und öffnen Sie ihn erneut.
2	Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , und scrollen Sie zu Sicherheit.
3	Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden , und klicken Sie auf OK.
4	Starten Sie das System neu, damit die Änderungen übernommen werden.

Anmeldeprobleme für Dienstkonten beheben

Wenn Sie sich nicht beim Cisco Directory Connector anmelden können oder keine Synchronisierung durchführen können, versuchen Sie anhand der folgenden Schritte, das Problem zu beheben, bevor Sie sich an den Support wenden.

1

Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen.

2

Wählen Sie je nach den Ergebnissen eine Option:

Wenn Sie den Link nicht über Ihren Browser aufrufen können, überprüfen Sie Ihre Netzwerkeinstellungen. Wenn Sie in Ihrer Umgebung einen Proxy verwenden, überprüfen Sie die Proxy-Einstellungen.
Wenn Sie den Link über Ihren Browser aufrufen, aber den Cisco Directory Connector nicht öffnen können (Fehler 407 kann nicht geöffnet werden), klicken Sie hier , um die neueste Version des Cisco Directory Connector abzurufen.
Wenn Sie den Link über Ihren Browser aufrufen, aber keine Synchronisierung über den Cisco Directory Connector durchführen können, ändern Sie das Konto für die Dienstanmeldung in Domänenadministrator.

Überprüfen Sie, ob das Konto, mit dem Sie sich beim Windows-System angemeldet haben, dasselbe Konto ist, das Sie unter „Cisco DirSync-Dienst“ festgelegt haben. Wenn es sich um 2 verschiedene Konten handelt, stellen Sie sicher, dass beide Konten https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL besuchen können. Wenn Ihre Umgebung einen Proxy verwendet, stellen Sie sicher, dass beide Konten im Internet Explorer für den Proxy konfiguriert sind und https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL erfolgreich aufrufen können.

3

Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (das unter den Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar- und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung für das Windows-Anmeldekonto.

Weitere Informationen

Support kontaktieren

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Übersicht über Cisco Directory Connector

Directory Connector – Übersicht

Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.

Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur zentralen Informationsquelle wird. Wenn Sie eine Änderung lokal vornehmen, wird diese in die Cloud kopiert.

In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:

Funktion	Beschreibung und Vorteil
Benutzerfreundliches Dashboard	Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden.
Probelauf, bevor die Synchronisierung in die Cloud durchgeführt wird	Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor sie in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen.
Vollständige und inkrementelle Synchronisierung	Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen.
Synchronisieren mehrerer Domänen (einzelne Gesamtstruktur oder mehrere Gesamtstrukturen)	Directory Connector unterstützt mehrere Domänen entweder in einer einzelnen Gesamtstruktur oder in mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Der Control Hub spiegelt den Status wider, indem er den Synchronisierungsstatus für mehrere Directory Connectors anzeigt. Damit können Sie die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Directory Connector in einer Hochverfügbarkeitsbereitstellung deaktivieren.
Geplante Synchronisierung	Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest.
LDAP-Filter (Lightweight Directory Access Protocol)	Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit.
Active Directory-Attributzuordnung	Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um die Cloud zuzuordnen. Die Attribute aus dem Standort bilden verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, Enteprise-Telefonnummern in Webex Teams, Raumressourcen-SIP-Adressen und andere Kontaktkartendaten des Benutzers (Stellenbezeichnung, Abteilung, Manager usw.).
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung	Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud-PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte haben, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten auf ihren Cisco Webex Calling (Cloud-PSTN)-Telefonen oder Raumressourcen durchsuchen. Raumressourcen Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugewiesenen SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Cisco Webex Raumgerät oder Cisco Webex Board angezeigt. Wenn Benutzer eine Suche auf einem Cisco Webex Room-Gerät oder Cisco Webex Board durchführen, werden die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde. Anrufe Benutzer können zusätzlich zu den Webex-App-Kontakten Unternehmenskontakte anrufen. Über den Directory Connector werden die Unternehmensbenutzer und ihre Telefonnummern zu Ihrer Webex-Organisation hinzugefügt. Sie müssen nicht für Webex-Dienste lizenziert sein, damit diese Funktion funktioniert. Benutzer, die nicht für Webex lizenziert sind, werden in der Verzeichnissuche angezeigt, die auf dem Telefon eines Cisco Webex Calling-Benutzers durchgeführt wird, solange eine URI oder eine Telefonnummer über den Verzeichniskonnektor mit Webex synchronisiert ist. Die Anrufe funktionieren gleich für beide Benutzertypen. Außerdem bietet dieses Feature eine Bearbeitungsfunktion für Kontakte, die nur eine Telefonnummer enthalten. Für die Kontakte in den Suchergebnissen gilt Folgendes: Wenn Kontakte eine wählbare URI (Webex-SIP-Adresse) und eine Telefonnummer haben, wird die URI angezeigt, die mit dem Kontakt verknüpft ist. Wenn ein Kontakt keine wählbare URI, dafür jedoch eine Telefonnummer hat, wird die Telefonnummer angezeigt. Außerdem wird ein Softkey zum Bearbeiten der gewählten Nummer angezeigt. Kontakte ohne URI oder Telefonnummer werden nicht im Verzeichnis angezeigt.
Ereignisanzeige	Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen.
Diagnose-Tool und Fehlerbehebung	Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können.
Automatisches Upgrade	Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird.
Hohe Verfügbarkeit	Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt.

Directory Connector ist in drei Bereiche unterteilt:

Control Hub ist die zentrale Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und die Einzelanmeldung (SSO) konfigurieren, wenn Ihre Benutzer sich über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App versenden möchten.
Die Directory Connector-Verwaltungsoberfläche ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und die Directory Connector-Dienste zu konfigurieren.
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory ab, um sie mit dem Connector-Dienst und dem Directory Connector zu synchronisieren.

Weitere Informationen zur Directory Connector-Architektur finden Sie in diesem Diagramm:

Vorbereiten Ihrer Umgebung für den Directory Connector

Anforderungen für den Directory Connector

Windows- und Active Directory-Anforderungen

Sie können Directory Connector auf den folgenden unterstützten Windows-Servern installieren:

Windows Server 2022
Windows Server 2019
Windows Server 2016

Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die das Fix enthält – Windows Server 2012 R2 oder 2016.

Directory Connector wird von den folgenden Active Directory-Diensten unterstützt:

Active Directory 2016

(Directory Connector wird bei Verwendung der neuesten Version von Active Directory unter Windows Server 2019 unterstützt)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Beachten Sie die folgenden zusätzlichen Anforderungen:

Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
- .NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, folgen Sie den Anweisungen unter Aktivieren Sie .NET Framework 3.5 mit dem Assistenten zum Hinzufügen von Rollen und Funktionen.)
- .NET Framework v.4.5 (erforderlich für TLS1.2)
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)

Hardware-Anforderungen

Sie müssen Directory Connector auf einem Computer installieren, auf dem die folgenden Mindestanforderungen an die Hardware erfüllt sind:

8 GB RAM
50 GB Speicherplatz
Keine Mindestanforderung für die CPU

Netzwerk-Anforderungen

Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS-Zugriff (Port 443) auf das Internet verfügt.

Anforderungen der Webex-Organisation

Um von Control Hub aus auf die Directory Connector-Software zugreifen zu können, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem bezahlten Abonnement.
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Ihnen, Folgendes zu tun:
- Fügen Sie Domänen hinzu, überprüfen und optional beanspruchen Sie sie , die die E-Mail-Adressen der Benutzer enthalten, die Sie mit der Cloud synchronisieren möchten.
- Integrieren Sie Ihren Identitätsanbieter (IdP) mit Ihrer Webex-Organisation durch die einmalige Anmeldung (Single Sign-On, SSO).
- Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)

Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.

Installationsanforderungen

In einer Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
Für die Anmeldung beim Connector ist kein Administratorkonto in Active Directory erforderlich. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer wie ein Volladministratorkonto in Control Hub ist.

Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computeranmeldekonto sollte ein Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer sein. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Während der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector für den Zugriff auf Active Directory das lokale Systemkonto. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Stellen Sie sicher, dass der Suchmodus für die Windows Safe Dynamic Link Library (DLL) mit diesem Verfahren aktiviert ist: Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung.
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, sollten Sie Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Computern installieren.

Mehrere Domänenanforderungen

Bevor Sie den Aufgaben im Ablauf der Bereitstellungsaufgabe für den Cisco-Verzeichniskonnektor folgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:

Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.)
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , damit Ihre Organisation in eine große Organisationsliste verschoben wird.
Bei Bedarf können Sie Informationen zu Raumressourcen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.)

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.

Active Directory enthält zwei Arten von Gruppen:

Verteilergruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
Sicherheitsgruppen: Wird verwendet, um Berechtigungen für geteilte Ressourcen zuzuweisen.

Active Directory-Gruppentypen

Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:

Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienstleistung (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex Licensing usw.).
Verwenden Sie organisationsübergreifende Standard-Benennungskonventionen, um die Identifizierung wichtiger Informationen über eine Gruppe zu erleichtern. Gruppennamen können Details zur Gruppe enthalten, z. B. die Zugriffsstufe, die Art der Ressource, die Sicherheitsstufe, den Gruppenumfang, die E-Mail-Funktion usw. Der Gruppenname „GSG_Webex_Licensing_EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
Organisieren Sie Gruppen auf leicht verständliche Weise, z. B. nach Geografie oder Hierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die automatische Lizenzgruppenvorlage in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für die automatische Lizenzzuweisung einrichten .

Informationen zur Größe

Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Jegliche Beschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.

Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:

Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsjob dauert nicht so lange wie 50000.)
Netzwerkgeschwindigkeit und Bandbreite.
Systemauslastung und Spezifikationen.

Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.

Da bei der Synchronisierung mehrere Faktoren beteiligt sind und jede Bereitstellung abhängig von den oben genannten Faktoren variiert, können wir keine spezifischen Zeitwerte angeben, die angeben, wie lange eine Objektsynchronisierung dauern wird.

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Webproxy-Integration

Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.

Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector stellt eine Verbindung her und synchronisiert die Benutzer.

Sie können einen der folgenden Ansätze verwenden:

Expliziter Webproxy über Internet Explorer (der Connector erbt die Webproxy-Einstellungen)
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert

Webproxy über den Browser verwenden

Sie können den Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.

Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,

1	Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus.
2	Verweisen Sie die Windows-Instanz, auf die der Connector installiert ist, auf Ihren Webproxy. Der Connector erbt diese Webproxy-Einstellungen.
3	Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu: cloudconnector.webex.com für die Synchronisierung. idbroker.webex.com für die Authentifizierung. idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw. Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.
4	Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu: .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

Webproxy über eine PAC-Datei konfigurieren

Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und die Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.

1

Damit der Connector sich erfolgreich mit der Webex Cloud verbinden und die Benutzerinformationen synchronisieren kann, müssen Sie die Proxy-Authentifizierung für cloudconnector.webex.com in der .pac-Dateikonfiguration für den Host deaktivieren, auf dem der Connector installiert ist.

2

Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:

cloudconnector.webex.com für die Synchronisierung.
idbroker.webex.com für die Authentifizierung.
idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw.

Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt.

Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.

3

Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

NTLM-Proxy

Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.

NTLM-Design

In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.

Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus aus Herausforderung und Antwort:

Ein Benutzer meldet sich über ein Windows-Konto und ein Kennwort auf einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines reinen Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hash-Wert mit dem Hash-Wert des eingegebenen Passworts. Wenn beide gleich sind, wird die Authentifizierung erfolgreich ausgeführt.

Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im reinen Textformat.
Wenn der Server die Anforderung erhält, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Herausforderung auf dem Server gespeichert. Anschließend sendet der Server die Aufforderung im reinen Textformat an den Client.
Sobald der Client die vom Server gesendete Challenge erhält, verschlüsselt der Client die Challenge mit dem in Schritt 1 genannten Hash-Wert. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet er ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: der Kontoname, die verschlüsselte Aufforderung, die der Client gesendet hat, und die ursprüngliche einfache Aufforderung.
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.

Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Dadurch müssen Sie keine weitere Konfiguration abschließen.

Transparenten Proxy konfigurieren

In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.

1	Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann.
2	Bestätigen Sie, dass der Proxy erfolgreich ist: Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt.

Proxy-Authentifizierung festlegen

Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.

Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:

1	Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist.
2	Legen Sie eine geschätzte Bandbreite für diese Verbindung fest (ca. 2 MB/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich.
3	Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie `cloudconnector.webex.com` als Ziel an, das Sie zur Zulassungsliste hinzufügen möchten. Beispiel: `access-list 2000 acl-inside extended permit TCP [IP des Connectors] cloudconnector.webex.com eq https`
4	Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt.
5	Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren.

Verzeichniskonnektor bereitstellen

Ablauf der Bereitstellungsaufgabe des Cisco-Verzeichniskonnektors

Vorbereitungen

Vorbereiten Ihrer Umgebung für den Directory Connector

1	Directory Connector installieren In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen. Für eine neue Installation von Directory Connector gehen Sie immer zu Control Hub ( https://admin.webex.com), um die neueste Version der Software abzurufen, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
2	Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administrator-Anmeldeinformationen an und führen Sie die Ersteinrichtung durch.
3	Automatische Upgrades festlegen Es ist immer wichtig, dass Ihre Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
4	Active Directory-Objekte zum Synchronisieren auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Verzeichniskonnektor bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.
5	Benutzerattribute zuordnen Sie können die Attribute aus Ihrem lokalen Active Directory zu den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld lautet *uid.
6	Synchronisieren Sie Verzeichnis-Avatare mit einem der folgenden Verfahren: Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass die Benutzer-Avatare nach der Anmeldung in der Anwendung angezeigt werden. Sie können Avatare von einem Active Directory-Attribut oder einem Ressourcenserver synchronisieren.
7	Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Webex Room-Gerät oder Cisco Webex Board angezeigt.
8	Um Benutzer Aus Active Directory In Control Hub Bereitzustellen, führen Sie die folgenden Schritte aus: Durchführen eines Probelaufs für die Active Directory-Benutzer Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Folgen Sie dieser Sequenz, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wald- oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

Directory Connector installieren

In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen.

Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf der Synchronisierung mit mehreren Domänen:

Multiple Domain Flow for Directory Connector — ***Flow mehrerer Domänen für Directory Connector***

Vorbereitungen

Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen:

Für die Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxy-Konfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Webproxy Im Browser verwenden
Bei Proxy-NTLM wird Ihnen möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser.

1	Wechseln Sie in Control Hub zu Benutzer > Benutzer verwalten > Verzeichnissynchronisierung aktivieren und wählen Sie Weiter aus.
2	Klicken Sie auf den Link Herunterladen und installieren, um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die .zip-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert. Holen Sie sich für eine Neuinstallation die neueste Version der Software, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
3	Entpacken Sie die MSI-Datei auf dem VMware- oder Windows-Server und führen Sie sie im Setup-Ordner aus, um den Setup-Assistenten zu starten.
4	Klicken Sie auf Weiter, aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Weiter, bis der Bildschirm „Kontotyp“ angezeigt wird.
5	Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto aus: Lokales System – Die Standardoption. Verwenden Sie diese Option, wenn Sie einen Proxy in Internet Explorer konfiguriert haben. Domänenkonto – Verwenden Sie diese Option, wenn der Computer Teil einer Domäne ist. Der Directory Connector muss mit den Netzwerkdiensten interagieren, um auf Domänenressourcen zuzugreifen. Geben Sie anschließend die Kontoinformationen ein und klicken Sie auf OK. Geben Sie den Benutzernamen im Format `{Domäne}\{Benutzername} ein.` Für einen mit AD (NTLMv2 oder Kerberos) integrierten Proxy müssen Sie die Option Domänenkonto verwenden. Das für die Ausführung des Directory Connector-Diensts verwendete Konto benötigt ausreichende Privilegien, um den Proxy zu durchlaufen und auf AD zuzugreifen. Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind: Der Server ist Teil der Domäne Das Domänenkonto kann auf die lokalen AD-Daten und Avatardaten zugreifen. Außerdem benötigt das Konto die lokale Administratorrolle, da es auf Dateien unter `C:\Programme` zugreifen muss. Für die Anmeldung einer virtuellen Maschine muss das Administratorkonto mindestens in der Lage sein, Domäneninformationen zu lesen.
6	Klicken Sie auf Installieren. Geben Sie nach der Ausführung des Netzwerktests Ihre grundlegenden Proxy-Anmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertig stellen.

Nächste Schritte

Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Während des Neustarts der Maschine werden alle Daten aktualisiert, um ein exaktes Ergebnis im Bericht anzuzeigen.

Bei Directory Connector anmelden

Vorbereitungen

Stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen.

Für die Proxy-Basic-Auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
Öffnen Sie für Proxy-NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen, stellen Sie sicher, dass die Informationen zum Proxy-Server hinzugefügt wurden, und klicken Sie auf OK. Siehe Verwenden eines Webproxys über den Browser.

1	Öffnen Sie den Connector und fügen Sie `https://idbroker.webex.com` zur Liste der vertrauenswürdigen Sites hinzu, wenn Sie dazu aufgefordert werden.
2	Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich dann mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter.
3	Bestätigen Sie Ihr Unternehmen und Ihre Domäne. Wenn Sie AD DS auswählen, aktivieren Sie LDAP over SSL, um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden, wählen Sie die Domäne aus, aus der Sie synchronisieren möchten, und klicken Sie auf Bestätigen. Wenn Sie LDAP über SSL nicht aktivieren, verwendet DirSync weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher. Wenn Sie AD LDS ausgewählt haben, geben Sie Host, Domäne und Port ein, und klicken Sie auf Aktualisieren, um alle Anwendungspartitionen zu laden. Wählen Sie anschließend die Partition in der Dropdown-Liste aus, und klicken Sie auf Bestätigen. Weitere Informationen finden Sie im Abschnitt AD LDS. Stellen Sie sicher, dass Sie in der Konfigurationsdatei CloudConnectorCommon.dll die Einstellung ADAuthLevel zum Knoten appSetting hinzufügen. Die Werte können 1, 2 oder 3 sein. In diesem Artikel von Microsoft erfahren Sie mehr über Authentifizierungstypen. Hier ein Beispiel für die Einstellung mit dem Wert 1: `<appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	Nachdem der Bildschirm Unternehmen bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Falls Sie Ihr AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Unternehmen bestätigen angezeigt.
5	Klicken Sie auf Bestätigen.
6	Wählen Sie eine der folgenden Optionen aus, je nach der Anzahl der Active Directory-Domänen, die Sie an Directory Connector binden möchten: Wenn Sie eine einzige AD LDS-Domäne verwenden, führen Sie die Bindung mit der vorhandenen AD LDS-Quelle aus und klicken Sie auf Bestätigen. Wenn Sie eine einzige AD LDS-Domäne verwenden, führen Sie die Bindung entweder mit der vorhandenen oder mit einer neuen Domäne aus. Wenn Sie An eine neue Domäne binden auswählen, klicken Sie auf Weiter. AD LDS kann nicht für die neue Bindung ausgewählt werden, da die vorhandene Quelle vom Typ AD DS ist. Wenn Sie mehr als eine Domäne verwenden, wählen Sie eine vorhandene Domäne aus der Liste aus oder wählen Sie An neue Domäne binden aus und klicken Sie auf Weiter. Die vorhandene Quelle muss vom Typ AD DS sein, da Sie mehr als eine Domäne verwenden. Wenn Sie An neue Domäne binden auswählen und auf Weiter klicken, können Sie AD LDS nicht für die neue Bindung auswählen.

Nächste Schritte

Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.

Directory Connector-Dashboard

Nach Ihrer ersten Anmeldung bei Directory Connector wird das Dashboard angezeigt. Hier sehen Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken, können einen Probelauf für die Synchronisierung durchführen, eine komplette oder inkrementelle Synchronisierung starten und die Eventanzeige starten, um Fehlerinformationen anzuzeigen.

Melden Sie sich erneut an, falls Ihre Sitzung abläuft.

Sie können diese Aufgaben problemlos über die Symbolleiste oder das Menü „Aktionen“ ausführen.

Tabelle 1: Dashboard-Komponenten
Komponente	Beschreibung
Aktuelle Synchronisierung	Zeigt Statusinformationen zur gegenwärtig stattfindenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige leer.
Nächste Synchronisierung	Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Plan festgelegt ist, wird Nicht geplant angezeigt.
Letzte Synchronisierung	Zeigt den Status der letzten beiden Synchronisierungen an.
Aktueller Synchronisierungsstatus	Zeigt den Gesamtstatus der Synchronisierung.
Konnektoren	Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind.
Cloud-Statistiken	Zeigt den Gesamtstatus der Synchronisierung.
Synchronisierungszeitplan	Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung.
Konfigurationszusammenfassung	Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten: Alle Objekte werden synchronisiert Alle Benutzer werden synchronisiert Gelöschte Schwelle wurde deaktiviert.

Tabelle 2: Aktionen-Symbolleiste
Aktion	Beschreibung
Inkrementelle Synchronisierung starten	Inkrementelle Synchronisierung manuell starten Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn noch keine vollständige Synchronisierung abgeschlossen wurde oder wenn eine Synchronisierung läuft.
Probelauf Synchronisierung	Führen Sie einen Probelauf für die Synchronisierung durch.
Starten der Ereignisanzeige	Starten Sie die Microsoft-Ereignisanzeige.
Aktualisieren	Aktualisieren des Cisco Directory Connector-Dashboards

Tabelle 3. Menüleiste „Aktionen“
Aktion	Beschreibung
Jetzt synchronisieren	Starten Sie eine vollständige Sofortsynchronisierung.
Synchronisierungsmodus	Wählen Sie zwischen inkrementellem und vollständigem Synchronisierungsmodus aus.
Geheimen Connector-Schlüssel zurücksetzen	Stellen Sie eine Unterhaltung zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Wenn Sie diese Aktion auswählen, wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert.
Probelauf	Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung vornehmen.
Fehlerbehebung	Aktivieren/Deaktivieren Sie die Fehlerbehebung.
Aktualisieren	Aktualisieren Sie den Cisco Directory Connector-Hauptbildschirm.
Beenden	Beenden Sie den Cisco Directory Connector.

Tabelle 4. Tastenkombinationen
Tastenkombination	Aktion
Alt +A	Öffnet das Menü Aktionen
`Alt + A + S`	Jetzt synchronisieren
`Alt + A + R`	Geheimen Connector-Schlüssel zurücksetzen
`Alt + A + D`	Probelauf
`Alt + A + S + I`	Inkrementelle Synchronisierung
`Alt + A + S + F`	Vollständige Synchronisierung
`Alt + H`	Menü Hilfe anzeigen
`Alt + H + H`	Hilfe
`Alt + H + A`	Info
`Alt + H + F`	Häufig gestellte Fragen

Automatische Upgrades festlegen

1	Wechseln Sie im Directory Connector zu Konfiguration > Allgemein und aktivieren Sie die Option Automatisch auf neue Cisco Directory Connector-Version aktualisieren.
2	Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.

Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion.

Active Directory-Objekte zum Synchronisieren auswählen

Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Verzeichniskonnektor bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.

Gruppen für die automatische Lizenzzuweisung

Mit Control Hub können Sie Lizenzzuweisungen auf Gruppenbasis verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Beim Erstellen eines Benutzers überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.

Wir empfehlen, einen LDAP-Filter zu verwenden, um nur relevante Gruppen mit der Cloud zu synchronisieren. Beispielsweise können Sie den Filter auf:

(&(cn=Beispiel)(objectclass=Gruppe))*

Dieser Filter synchronisiert alle Gruppen innerhalb des Basis-DN, bei dem der Name mit „Beispiel“ beginnt. Benutzern, die keinen Gruppen zugewiesen sind, werden Lizenzen über die automatische Standardlizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.

Objektauswahlbildschirm im Directory Connector

Gruppen für Hybrid-Datensicherheitsbereitstellungen

Im Directory Connector müssen Sie Gruppen aktivieren, wenn Sie Hybrid-Datensicherheit zum Konfigurieren einer Testgruppe für Pilotbenutzer verwenden. Anleitungen finden Sie im Bereitstellungsleitfaden für Hybrid-Datensicherheit. Diese Verzeichniskonnektor-Einstellung wirkt sich nicht auf die Synchronisierung anderer Benutzer in der Cloud aus.

Vorbereitungen

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl.
2	Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und erwägen Sie, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die zur Beispiel-Manager-Gruppe gehören, verwenden Sie einen Filter wie diesen: `(&(sAMAccountName=*)(memberOf=cn=Beispiel-Manager,ou=Beispiel,ou=Sicherheitsgruppe,dc=UNTERNEHMEN))`
3	Aktivieren Sie das Kontrollkästchen Raum identifizieren, um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen, wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie lokale Rauminformationen von Active Directory mit der Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.
4	Aktivieren Sie Gruppen, wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie keinen LDAP-Filter für die Benutzersynchronisierung zum Feld „Gruppen“ hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren. Gruppen werden standardmäßig nicht für neue Kunden synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren.
5	Aktivieren Sie Kontakte, wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten. Der Verzeichniskonnektor verwaltet nur Kontakte, die vom Konnektor synchronisiert wurden. Wenn bereits Kontakte in Control Hub vorhanden sind, werden die Kontakte durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsumfang entfernt werden, werden auch die Kontaktinformationen der Benutzer in Control Hub entfernt.
6	Konfigurieren Sie die LDAP-Filter. Durch die Angabe eines gültigen LDAP-Filters können Sie erweiterte Filter hinzufügen. Weitere Informationen zum Konfigurieren von LDAP-Filtern finden Sie in diesem Artikel.
7	Geben Sie die zu synchronisierenden lokalen Basis-DNs an, indem Sie auf Auswählen klicken, um die Baumstruktur Ihres Active Directory anzuzeigen. Hier können Sie auswählen, welche Container durchsucht werden sollen.
8	Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container für die Synchronisierung auswählen. Wählen Sie einen übergeordneten Container, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird neben dem übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container ausgewählt wurde. Sie können auf Auswählen klicken, um die ausgewählten Active Directory-Container zu übernehmen. Wenn in Ihrer Organisation alle Benutzer und Gruppen im Benutzer-Container abgelegt sind, müssen Sie die anderen Container nicht durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, müssen Sie sicherstellen, dass Sie OUs auswählen.
9	Klicken Sie auf Übernehmen. Wählen Sie eine Option: Konfig-Änderungen übernehmen Probelauf Abbrechen Informationen zu Probeläufen finden Sie unter Durchführen einer Probelauf-Synchronisierung für Ihre Active Directory-Benutzer. Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen.

Benutzerattribute zuordnen

Sie können die Attribute aus Ihrem lokalen Active Directory zu den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.

Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll – Sie können beispielsweise firstName lastName in Active Directory oder einen benutzerdefinierten Attributausdruck displayName in der Cloud zuordnen.

Konten in Active Directory benötigen eine E-Mail-Adresse, und die uid wird standardmäßig zum Feld ad der E-Mail zugeordnet (nicht zu sAMAccountName).

Wenn Sie festlegen, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, ist Active Directory die einzige Informationsquelle: Benutzer können ihre Spracheinstellung in den Webex-Einstellungen nicht ändern, und Administratoren können die Einstellung in Control Hub nicht ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattribute-Zuordnung aus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet.
2	Scrollen Sie zum Ende der Active Directory-Attributnamen und wählen Sie dann eines der folgenden Active Directory-Attribute aus, um das Cloud-Attribut uid zuzuordnen: E-Mail – wird in den meisten Bereitstellungen für das E-Mail-Format verwendet. userPrincipalName – Eine alternative Wahl, wenn Ihr E-Mail-Attribut für andere Zwecke in Active Directory verwendet wird. Dieses Attribut muss im E-Mail-Format vorliegen. Sie können beliebige andere Active Directory-Attribute der uid zuordnen. Wir empfehlen jedoch, „mail“ oder „userPrincipalName“ zu verwenden, wie in den obigen Richtlinien beschrieben. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, mit welchen Attributen in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen im Directory Connector. Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen ausgewählte Active Directory-Attribut im E-Mail-Format vorliegt. Der Verzeichniskonnektor zeigt ein Popup-Fenster an, das Sie daran erinnert, wenn Sie eines der empfohlenen Attribute nicht auswählen.
3	Wenn die vordefinierten Active Directory-Attribute in Ihrer Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können. Klicken Sie auf Hilfe, um weitere Informationen zu den Ausdrücken zu erhalten und Beispiele für die Funktionsweise von Ausdrücken anzuzeigen. Weitere Informationen finden Sie auch unter Ausdrücke für angepasste Attribute. Ordnen wir in diesem Beispiel die Active Directory-Attribute `givenName` und `Sn` dem Cloud-Attribut `displayName` zu: Definieren Sie den Attributausdruck givenName + "" + Sn (bei den Anführungszeichen handelt es sich um ein zusätzliches Leerzeichen) und geben Sie dann die E-Mail-Adresse eines vorhandenen Benutzers zur Überprüfung an. Klicken Sie auf Überprüfen, und prüfen Sie, ob das Ergebnis mit dem übereinstimmt, was Sie erwartet haben. Ein erfolgreiches Ergebnis sieht so aus: Wenn die Ergebnisse den erwarteten Ergebnissen entsprechen, klicken Sie auf OK, um das neue angepasste Attribut zu speichern. Wenn Sie später den displayName ändern möchten, können Sie einen neuen Attributausdruck eingeben. Der Directory Connector überprüft den Attributwert von uid im Identitätsdienst und ruft 3 verfügbare Benutzer unter den aktuellen Benutzerfilteroptionen ab. Wenn alle diese 3 Benutzer ein gültiges E-Mail-Format haben, zeigt der Cisco Directory Connector die folgende Meldung an: Wenn das Attribut nicht verifiziert werden kann, wird die folgende Warnung angezeigt und Sie können zu Active Directory zurückkehren, um die Benutzerdaten zu überprüfen und zu korrigieren:
4	(Optional) Wählen Sie Zuordnungen für Mobilgeräte und Telefonnummer aus, wenn Mobil- und Geschäftsnummern angezeigt werden sollen, beispielsweise in der Kontaktkarte des Benutzers in der Webex-App. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt. Weitere Informationen zu Anrufen über die Kontaktkarte eines Benutzers finden Sie im Bereitstellungshandbuch für Anrufe in Webex (Unified CM) (Administratoren).
5	Wählen Sie zusätzliche Zuordnungen aus, um weitere Daten in der Kontaktkarte anzuzeigen: `departmentNumber` `displayName` `Manager` `title` Nach der Zuordnung der Attribute werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt: Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren. Nachdem diese Attribute mit den einzelnen Benutzerkonten synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Benutzer der Webex-App mehr Informationen in ihren Profilen teilen und mehr voneinander erfahren. Weitere Informationen zur Funktion und zum Aktivieren finden Sie unter Profile für „People Insights“ für Webex, Jabber, Webex Meetings und Webex Events (Neu) in Control Hub.
6	Treffen Sie Ihre Auswahl und klicken Sie auf Übernehmen.

Die in Active Directory enthaltenen Benutzerdaten überschreiben die entsprechenden Daten in der Cloud für den jeweiligen Benutzer. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Alle Benutzer ohne entsprechende E-Mail-Adresse in Active Directory werden gelöscht.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Active Directory- und Cloud-Attribute

Sie können die Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattribute-Zuordnung verwenden.

In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Verzeichniskonnektor. Sie können in den Dropdown-Menüs des Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloudattribut synchronisiert wird.

Betrachten Sie die Dropdown-Attribute als Voreinstellungen. Als Alternative zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory angeben (ein Ausdruck mit mehreren Attributen), um ein einzelnes Cloudattribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise haben Sie die Flexibilität, die Anzeigenamen Ihrer Benutzer zu bestimmen. Sie können beispielsweise einen Ausdruck hinzufügen, der basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory ein angepasstes Attribut erstellt.

Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.

Sie können auch alternative E-Mail-Adressen verwenden, z. B. wenn Sie den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall dem Attribut emails;type-work eine andere E-Mail-Adresse zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.

Active Directory-Attributnamen	Webex-Cloud-Attributnamen	Hinweise
—	buildingName	—
c	c	Dieses Attribut gibt die Länderabkürzung des Benutzers an.
departmentNumber	departmentNumber	Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die auf der Kontaktkarte und People Insights angezeigt wird.
displayName	displayName	Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
userAccountControl	ds-pwp-account-disabled	Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist, andernfalls werden die Benutzer nicht ordnungsgemäß synchronisiert.
employeeNumber	employeeNumber	—
facsimileTelephoneNumber	facsimileTelephoneNumber	—
—	jabberID	Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert ist nicht identisch mit sipAddresses.
l	l	Dieses Attribut gibt die Stadt des Benutzers an.
—	locale	—
Manager	Manager	Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der auf der Kontaktkarte und People Insights angezeigt wird.
mobile	mobile	Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen.
o	o	Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird auf der Kontaktkarte angezeigt.
ou	ou	Dieses Attribut gibt den Namen der Organisationseinheit an.
physicalDeliveryOfficeName	physicalDeliveryOfficeName	Dieses Attribut gibt den Bürostandort des Benutzers an.
postalCode	postalCode	Dieses Attribut gibt die Postleitzahl des Benutzers für die physische Postzustellung an.
preferredLanguage	preferredLanguage	Dieses Attribut legt die bevorzugte Sprache des Benutzers fest. Es werden die folgenden Formate unterstützt: xx_YY oder xx-YY. Hier sind einige Beispiele: en_US, en_GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format angeben, wird die Sprache der Organisation als bevorzugte Sprache für den Benutzer verwendet.
MSRTCSIP-PrimäreBenutzeradresse IP-Telefon	SIP-Adressen;type=Unternehmen	Dieses Attribut wird verwendet, um lokale Rauminformationen aus Active Directory mit der Cisco Webex-Cloud zu synchronisieren.
sn	sn	Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
st	st	Dieses Attribut gibt das Bundesland des Benutzers an.
streetAddress	street	Dieses Attribut gibt die Postanschrift des Benutzers für die physische Postzustellung an.
telephoneNumber	telephoneNumber	Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die zum Anrufen des Benutzers über die Kontaktkarte verwendet wird.
—	timezone	Dieses Cloudattribut gibt die Zeitzone des Benutzers an.
title	title	Dieses Attribut gibt den Titel des Benutzers an, der auf der Kontaktkarte und People Insights angezeigt wird.
typ	enterprise	—
mail userPrincipalName	Uid	Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann sich dann mit einer dieser E-Mail-Adressen anmelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen dazu, wie Sie eine alternative E-Mail-Adresse zuordnen können, finden Sie im Beispiel-Attributzuordnung unten.
userPrincipalName mail <benutzerdefiniertes Attribut>	E-Mails;Arbeit eingeben	Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.
<Neues Attribut für Azure-Benutzer objectId>	externe ID	Erstellen Sie ein neues Active Directory-Attribut, um die Objekt-ID des Azure-Benutzers zu speichern, damit sie nicht mit einem vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen.

Alternative E-Mail-Adresszuordnung

Ausdrücke für angepasste Attribute

Tabelle 5: Ausdrücke für angepasste Attribute
Vermittler	Beschreibung und Beispiel
%	Entfernt alle Zeichen vom Anfang bis zur Position des Zeichens oder des String-Arguments, falls diese übereinstimmen. Beispielausdruck `"abc@example.com" % "@"` Ergebnis `example.com`
-	Entfernt die Rückseite der Eingabezeichenfolge vom Ende der angegebenen Zeichenfolge. Beispielausdruck `„abc@example.com“ – „@“` Ergebnis `ABC`
+	Verkettet Eingabezeichenfolgen oder Ausdrücke. Beispielausdruck `„abc“ + „“ + „def“` Ergebnis `ABC DEF`
\|	Evaluiert die getrennten Ausdrücke anhand einer leeren Zeichenkette und wählt das erste nicht-leere Ergebnis aus. Beispielausdruck `„“ \| „abc“` Ergebnis `ABC`

Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit diesem Verfahren können Sie Avatarrohdaten aus einem Active Directory-Attribut synchronisieren.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie für Avatar abrufen von die Option AD-Attribut und anschließend das Avatar-Attribut aus, das die Avatar-Rohdaten enthält, die Sie mit der Cloud synchronisieren möchten.
3	Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar des Benutzers abrufen. Der Avatar wird rechts angezeigt.
4	Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit dieser Prozedur können Sie Avatare von einem Ressourcenserver synchronisieren.

Vorbereitungen

Das URI-Muster und der Variablenwert in dieser Prozedur sind lediglich Beispiele. Verwenden Sie stattdessen die tatsächlichen URLs, unter denen sich Ihre Verzeichnis-Avatare befinden.
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht öffentlich im Internet zugänglich sein.
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass auf Avatar-Daten über die NTLM-Authentifizierung oder die Basic-Auth zugegriffen werden kann.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie unter Avatar abrufen von die Option Ressourcenserver aus, und geben Sie das Avatar-URI-Muster ein – zum Beispiel *`http://www.example.com/dir/photo/zoom/{mail: .?(?=@.)}.jpg`* Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten: http://www.example.com/dir/photo/zoom/ – Der Pfad zum Speicherort aller Fotos, die synchronisiert werden sollen, befindet sich. Es muss sich um eine URL handeln, auf die der Directory Connector-Dienst auf Ihrem Server zugreifen kann. mail: – Weist den Directory Connector an, den Wert des E-Mail-Attributs aus Active Directory zu erhalten .?(?=@.) – Eine Regex-Syntax, die die folgenden Funktionen ausführt: *`. – Jedes Zeichen, das null- oder mehrmals wiederholt wird.` `? – Weist die vorangestellte Variable an, so wenige Zeichen wie möglich zuzuordnen.` `(?= ... ) – Entspricht einer Gruppe nach dem Hauptausdruck, ohne sie in das Ergebnis einzubeziehen. Der Verzeichniskonnektor sucht nach einer Übereinstimmung und fügt diese nicht in die Ausgabe ein.` `@.* – Das at-Symbol, gefolgt von einem beliebigen Zeichen, das null- oder mehrmals wiederholt wird.` `.jpg – Die Dateierweiterung für die Avatare Ihrer Benutzer. Siehe unterstützte Dateitypen in diesem Dokument und ändern Sie die Erweiterung entsprechend.`**
3	(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen benötigt, aktivieren Sie die Option Benutzeranmeldeinformationen für Avatar festlegen. Wählen Sie anschließend Aktuellen Service-Anmeldebenutzer verwenden oder Diesen Benutzer verwenden aus, und geben Sie das Passwort ein.
4	Geben Sie den Variablenwert ein – Zum Beispiel: `name@unternehmen.com.`
5	Klicken Sie auf Test, um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. Wenn in diesem Beispiel der E-Mail-Wert für einen AD-Eintrag `abcd@example.com` lautet und jpg-Bilder synchronisiert wurden, lautet der endgültige Avatar-URI`http://www.example.com/dir/photo/zoom/abcd.jpg.`
6	Nachdem die URI-Informationen überprüft wurden und korrekt angezeigt wurden, klicken Sie auf Übernehmen. Detaillierte Informationen zum Verwenden regulärer Ausdrücke finden Sie in der Microsoft Reguläre Ausdrucksprache – Schnellreferenz .

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von lokalen Rauminformationen mit der Webex Cloud

Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Webex-Geräten (Room, Desk und Board) angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Objektauswahl.
2	Aktivieren Sie das Kontrollkästchen Rauminformationen mit Cloud synchronisieren, um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf die gleiche Weise behandelt wie synchronisierte Benutzerdaten.
3	Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=enterprise. Um die Wertevalidierung zu verwenden, sollte der Wert der SIP-Adresse Pattern.compile("^([^@])(.)@(.)$") lauten. Wählen Sie MSRTCSIP-PrimaryUserAddress, falls verfügbar. Wenn das oben genannte Attribut nicht in Ihrem Active Directory-Schema vorhanden ist, verwenden Sie ein anderes Feld wie ipPhone.
4	Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann zum Identifizieren von Räumen verwendet.
5	Navigieren Sie von Active Directory-Benutzern und -Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den vollständig qualifizierten SIP-URI mit dem Präfix sip hinzu:
6	Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden Objekte hinzugefügt aufgelistet, und übereinstimmende Raumobjekte werden im Probelauf-Bericht unter Übereinstimmende Objekte angezeigt. Alle Raumobjekte, die zum Löschen markiert sind, finden Sie unter Räume gelöscht. In den Ergebnissen des Probelaufs werden alle abgestimmten Raumressourcen angezeigt. Diese Einstellung trennt die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.

Nächste Schritte

Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Cloud registrierten Webex-Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde.

Über Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.

Der Endpunkt kann einen Rückruf nicht an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte lokal oder an einem anderen Ort als der Webex-App als SIP URI registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, dem Schreibtischgerät oder dem Webex Board für den Kalenderdienst befindet, wird der doppelte Eintrag in den Suchergebnissen nicht angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App angerufen und es wird kein SIP-Anruf getätigt.

E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisation senden

Standardmäßig erhalten die Organisationskontakte oder Administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen mit einer Zusammenfassung der Verzeichnissynchronisierungsberichte erhalten soll.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benachrichtigung aus.
2	Klicken Sie im Directory Connector auf Einstellungen und aktivieren Sie neben E-Mail-Empfänger die Option Synchronisierung des Berichts aktivieren.
3	Aktivieren Sie Benachrichtigung aktivieren, wenn Sie das Standard-Benachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten.
4	Klicken Sie auf Hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
5	Klicken Sie auf E-Mail hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
6	Wenn Sie eingegebene E-Mail-Adressen bearbeiten müssen, doppelklicken Sie auf den E-Mail-Eintrag in der linken Spalte, und nehmen Sie dann die gewünschten Änderungen vor.
7	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Übernehmen.
8	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Speichern.

Nächste Schritte

Wenn Sie festgelegt haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und klicken Sie dann auf Entfernen.

Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.

Bereitstellen von Benutzern Aus Active Directory In Control Hub

Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (entweder mit einer einzelnen Gesamtstruktur oder mit mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

1	Durchführen eines Probelaufs für die Active Directory-Benutzer Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.
2	Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihren Active Directory (AD) in die Cloud. Anschließend aktualisiert der Connector-Dienst den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
3	Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen auf verschiedene Weise zuweisen. Wir empfehlen Ihnen, eine Lizenzvorlage für die automatische Zuweisung einzurichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen.

Durchführen eines Probelaufs für die Active Directory-Benutzer

Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.

Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel des Directory Connector ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud herzustellen.

Wenn Sie in einer oder mehreren Gesamtstrukturen mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Vorbereitungen

Möglicherweise befinden sich bereits einige Webex-App-Benutzer in Control Hub, bevor Sie den Verzeichniskonnektor verwendet haben. Einige der Benutzer in der Cloud können mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es können jedoch Testbenutzer sein, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Active Directory und Control Hub erstellen.

1	Wählen Sie eine Option: Klicken Sie nach der erstmaligen Anmeldung in der Eingabeaufforderung auf Ja, um einen Probelauf durchzuführen. Wenn Sie eine Erinnerung an die Durchführung eines Probelaufs verpassen, klicken Sie jederzeit über den Directory Connector auf Dashboard, wählen Sie Probelauf synchronisieren aus und klicken Sie dann auf OK, um einen Probelauf-Synchronisierung zu starten. Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt: *Nicht übereinstimmende Objekte im Directory Connector erkannt* *Zusammenfassung der Ergebnisse des Probelaufs und der nicht übereinstimmenden Objekte im Directory Connector* Die Zusammenfassung enthält Informationen über die Objektabgleich: Übereinstimmende Objekte – Ein Benutzer, der sich in Webex Common Identity befindet und auch in der Active Directory-Domäne vorhanden ist, d. h. wenn ein Benutzer@cisco.com mit Webex synchronisiert und in Control Hub angezeigt wurde und derselbe Benutzer (ein Benutzer@cisco.com) in Active Directory vorhanden ist. Dies bedeutet, dass der Benutzer zugeordnet wurde. Nicht übereinstimmende Objekte: Ein Benutzer, der sich in Webex befindet, unabhängig davon, wie er in Common Identity hinzugefügt wurde, aber nicht in Active Directory vorhanden ist. Es wird als Nicht übereinstimmendes Objekt bezeichnet. Beispiel: Wenn ein Benutzer@cisco.com in Webex synchronisiert und in Control Hub angezeigt wurde, aber derselbe Benutzer (Benutzer@cisco.com) nicht von Active Directory verwaltet wird, zeigt der Bericht an, dass der Benutzer nicht übereinstimmt. Der Probelauf identifiziert die Benutzer, indem er sie mit Domänenbenutzern vergleicht. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten möchten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory.
2	Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option aus, je nachdem, ob Sie eine einzelne oder mehrere Domänen verwenden: Einzeldomäne – Entscheiden Sie, ob Sie die nicht übereinstimmenden Benutzer beibehalten möchten. Wenn Sie sie behalten möchten, wählen Sie Nein, Objekte behalten aus. Wenn Sie dies nicht tun, wählen Sie Ja, Objekte löschen. Nachdem Sie diese Schritte ausgeführt haben und eine vollständige Synchronisierung manuell durchführen, damit eine exakte Übereinstimmung zwischen dem lokalen Standort und der Cloud vorliegt, aktiviert der Directory Connector automatisch geplante automatische Synchronisierungsaufgaben. Mehrere Domänen: Führen Sie für eine Organisation mit Domäne A und Domäne B zunächst einen Probelauf für Domäne A durch. Wenn Sie nicht übereinstimmende Benutzer behalten möchten, wählen Sie Nein, Objekte behalten aus. (Diese nicht übereinstimmenden Benutzer können Mitglieder von Domäne B sein.) Wenn Sie löschen möchten, wählen Sie Ja, Objekte löschen aus. Wenn Sie die Benutzer beibehalten, führen Sie zuerst eine vollständige Synchronisierung für Domäne A und anschließend einen Probelauf für Domäne B durch. Wenn es immer noch Benutzer gibt, die nicht übereinstimmen, fügen Sie diese Benutzer in Active Directory hinzu, und führen Sie anschließend eine vollständige Synchronisierung für Domäne B durch. Wenn eine exakte Übereinstimmung zwischen lokal und Cloud vorliegt, aktiviert der Verzeichniskonnektor automatisch angesetzte automatische Synchronisierungsaufgaben.
3	Klicken Sie in der Aufforderung Probelauf bestätigen auf Ja, um die Synchronisierung des Probelaufs erneut durchzuführen und das Dashboard anzuzeigen, um die Ergebnisse anzuzeigen. Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter Übereinstimmende Objekte angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschungsmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched, um Details der synchronisierten Elemente anzuzeigen. Klicken Sie auf Ergebnisse in Datei speichern, um die Zusammenfassung zu speichern.
4	Wenn die Ergebnisse erwartet werden, gehen Sie zu Aktionen > Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt aktivieren, um eine manuelle Synchronisierung durchzuführen und an diesem Punkt in den manuellen Modus zu versetzen. Nachdem Sie eine Synchronisierung mit der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte zwischen der Webex-Cloud und allen lokalen Active Directories vollständig übereinstimmen.

Nächste Schritte

Alle nicht übereinstimmenden Benutzerobjekte, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen lokaler und Cloud-Umgebung besteht.
Wählen Sie einen Synchronisierungstyp:
- Führen Sie eine vollständige Synchronisierung der Active Directory-Benutzer in der Cloud durch, wenn Sie neue Benutzer zum ersten Mal mit der Cloud synchronisieren. Tun Sie dies über Aktionen > Jetzt synchronisieren > Voll. Anschließend werden die Benutzer aus der aktuellen Domäne synchronisiert.
- Legen Sie den Connector-Zeitplan fest und Führen Sie eine inkrementelle Synchronisierung durch, nachdem Sie eine vollständige Synchronisierung durchgeführt haben und wenn Sie die Änderungen nach der ursprünglichen Synchronisierung übernehmen möchten. Diese Art der Synchronisierung wird empfohlen, um kleine Änderungen an der Active Directory-Benutzerquelle zu übernehmen.
  
  Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben.
Wenn Sie über mehrere Domänen verfügen, wiederholen Sie diese Schritte auf einem anderen Directory Connector, den Sie installiert haben.

Wichtige Hinweise

Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisation dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeberichte überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.

Wenn übereinstimmende Benutzer als gelöscht markiert werden und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und wenden Sie sich unter Fehlerbehebung und Fehlerbehebungen für Directory Connector an den Support.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen

Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihren Active Directory (AD) in die Cloud. Anschließend aktualisiert der Connector-Dienst den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.

Wenn Sie über mehrere Domänen verfügen, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Directory Connector synchronisiert den Benutzerkontostatus: In Active Directory werden als deaktiviert gekennzeichnete Benutzer in der Cloud als inaktiv angezeigt.

Vorbereitungen

Wenn sich die Webex-App-Benutzerkonten nach der vollständigen Synchronisierung im Status „Aktiv“ befinden sollen, bevor sich die Benutzer zum ersten Mal anmelden, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:
- Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Siehe Einmalige Anmeldung mit Cisco Webex-Diensten und dem Identitätsanbieter Ihrer Organisation um mehr zu erfahren.
- Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe Domänen hinzufügen, verifizieren und beanspruchen.
- Automatische E-Mail-Einladungen unterdrücken, sodass neue Benutzer die automatische E-Mail-Einladung zur Webex-App nicht erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
  
  Aktivierte Benutzer, die sich nicht angemeldet haben, werden in Control Hub mit dem Status Verifiziert angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub.
Wenn Sie die Synchronisierung aktivieren, werden Sie vom Verzeichniskonnektor zuerst aufgefordert, einen Probelauf durchzuführen. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu ermitteln.
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.

Wenn Sie keine Lizenzvorlagen für die automatische Zuweisung verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie können dieselben kostenlosen Funktionen wie Benutzer mit kostenlosen Konten verwenden.

1	Wählen Sie eine Option: Wenn nach der erstmaligen Anmeldung der Probelauf abgeschlossen ist und für alle Domänen korrekt aussieht, klicken Sie auf Jetzt aktivieren, um die automatische Synchronisierung zuzulassen. Wechseln Sie vom Directory Connector zum Dashboard, klicken Sie auf Aktionen, wählen Sie Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt synchronisieren > Vollständig, um die Synchronisierung zu starten.
2	Wechseln Sie im Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Vollständige Synchronisierung aus.
3	Bestätigen Sie den Start der Synchronisierung. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch bis zu 72 Stunden nach der Synchronisierung angezeigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Benutzerdaten werden mit der Cloud synchronisiert. Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.
4	Klicken Sie auf Aktualisieren, wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik angezeigt.)
5	Wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um weitere Informationen zu Fehlern zu erhalten, um die Fehlerprotokolle anzuzeigen.
6	Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen mit der Cloud finden Sie unter Festlegen des Connector-Zeitplans und Ausführen einer inkrementellen Synchronisierung.

Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung auf der Seite Einstellungen in Control Hub von Deaktiviert zu Betriebsbereit aktualisiert.
Wenn alle Daten zwischen lokaler und Cloud-Umgebung abgeglichen werden, wechselt der Verzeichniskonnektor vom manuellen Modus in den automatischen Synchronisierungsmodus.
Sofern Sie die Einzelanmeldung nicht integrieren, Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben und automatische E-Mails unterdrücken, bleiben die Benutzerkonten der Webex-App im Status „Nicht verifiziert“, bis sich die Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Eine Anleitung zur Synchronisierung der Konten als aktive Benutzer finden Sie im Abschnitt „Vorbereitungen“.
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf einem anderen installierten Directory Connector aus. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
Wenn Sie Single Sign-On in Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
Sie können Benutzer in Control Hub nicht manuell hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung wird die Benutzerverwaltung über den Cisco-Verzeichniskonnektor durchgeführt, und Active Directory ist die zentrale Informationsquelle.
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.

Nächste Schritte

Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung soft gelöscht. Der Benutzer wird inaktiv, aber das Cloud-Identitätsprofil wird sieben Tage lang beibehalten (um eine Wiederherstellung nach einer versehentlichen Löschung zu ermöglichen).

Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer nach der nächsten Synchronisierung inaktiv. Das Cloud-Identitätsprofil wird nach sieben Tagen nicht gelöscht, falls Sie den Benutzer erneut aktivieren möchten.
Beachten Sie diese Ausnahmen bei einer inkrementellen Synchronisierung (befolgen Sie stattdessen die obigen vollständigen Synchronisierungsschritte):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Konfigurationsänderungen bei der Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.

Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen

Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco-Verzeichniskonnektor mit Control Hub abgeschlossen haben, können Sie mit Control Hub allen Ihren Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Nachdem Sie die vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Methoden in Control Hub verwenden, um all Ihren Benutzern – einzelnen Benutzern – über die CSV-Massenvorlage global Webex-Dienstlizenzen zuzuweisen oder neuen Benutzern automatisch zuzuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken, wenn Sie Ihre Benutzer direkt kontaktieren möchten.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Führen Sie einen Probelauf für die Synchronisierung der Active Directory-Benutzer durch.
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung mit Ihren Active Directory-Benutzern durch.

Bei der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und es wird keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine Standard-Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreiches automatisches Abschließen der Zuweisung.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Benutzer, klicken Sie auf Benutzer verwalten, wählen Sie Alle synchronisierten Benutzer ändern und klicken Sie dann auf Weiter.

2

Wählen Sie eine Option:

Nächste Schritte

Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung gesendet, um Webex beizutreten und herunterzuladen.
Wenn Sie für alle Benutzer dieselben Webex-Dienste ausgewählt haben, können Sie anschließend die zugewiesene Lizenz einzeln oder gesammelt ändern.

Verwandte Informationen

Möglichkeiten zum Hinzufügen und Verwalten von Benutzern in Ihrer Organisation

Bekannte Probleme mit dem Directory Connector

Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das sich auf den Directory Connector auswirkt. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.

Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, läutet der Anruf zu diesem Zeitpunkt unbegrenzt.

Benutzer der Webex-App verwalten

Durchführen einer inkrementellen Synchronisierung

Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen die Änderung der Attribution für Benutzer sowie den Zeitpunkt, zu dem ein Benutzer hinzugefügt oder gelöscht wird.

Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie die ursprüngliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen ):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Bei neuen Konfigurationsänderungen für die Attributzuordnung, Basis-DN, Filter und die Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und erfordert eine vollständige Synchronisierung.

1	Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen.
2	Klicken Sie unter Aktionen auf Synchronisierungsmodus > Synchronisierung aktivieren , falls dies noch nicht geschehen ist. Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen anhand des letzten Zeitstempels.
3	Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.
4	Um weitere Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen auf Ereignisanzeige starten , um die Fehlerprotokolle anzuzeigen.

Nächste Schritte

Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.

Versehentlich gelöschte Benutzer wiederherstellen

Der Verzeichniskonnektor verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Die Funktion „Soft-Delete“ kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.

Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, beispielsweise aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung aus dem Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie einen nicht übereinstimmenden Objekthinweis sehen oder festgestellt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.

Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer bis zu 7 Tage lang bei. Während dieser Zeit können Sie weiterhin Cisco Directory Connector verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so bald wie möglich wiederherzustellen.

Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nach 7 Tagen nicht gelöscht.

1	Melden Sie sich bei Control Hub an.
2	Wechseln Sie zu Benutzer und bestätigen Sie, ob sich ein bestimmtes Benutzerkonto im Status „Inaktiv“ befindet oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.
3	Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer im Status „Inaktiv“ bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Das Ziel mit Directory Connector ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu schaffen.
4	Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten mit Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und Dienstzuweisungen.

Nächste Schritte

Kehren Sie zu Control Hub zurück, gehen Sie zu Verwaltung > Benutzer und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.

Benutzer nach dem weichen Löschen dauerhaft löschen

Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung soft gelöscht wurden, dauerhaft löschen.

1	Wählen Sie nach Abschluss eines Probelaufs Weich gelöschte Objekte aus.
2	Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten.
3	Wählen Sie Fertig aus.

Nächste Schritte

Bei der nächsten Synchronisierung werden die von Ihnen geprüften Benutzer dauerhaft gelöscht.

E-Mail-Adresse einer Webex-App ändern

Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren behandelt das Ändern der E-Mail-Adresse der Webex-App für eine einzelne Domäne und einen Prozess zum Ändern der Domäne.

Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto. Dabei gehen die Bereiche des Benutzers und andere Daten in der Cloud verloren.

So ändern Sie die E-Mail-Adressen von Benutzern, ohne die Domäne zu ändern:
1. Öffnen Sie das Benutzerkonto (Beispiel, user1@example.com) in Active Directory und ändern Sie die E-Mail-Adresse (Beispiel, user2@example.com).
2. Setzen Sie die Synchronisierung auf dem Directory Connector fort.
  
  Nach der nächsten Synchronisierung werden die Änderungen in Ihrer Benutzerliste in Control Hub und für Benutzer in der Webex-App angezeigt, nachdem der Cache aktualisiert wurde.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Die eindeutige Kennung des Benutzers wird nach der ersten Synchronisierung in der Cloud festgelegt. Alle nachfolgenden Synchronisierungen basieren auf dieser Kennung.
Ändern Sie in einer Bereitstellung mit mehreren Domänen mit Directory Connector die E-Mail-Adressen der Benutzer beim Ändern der Domäne (betrachten Sie example1.com als alte Domäne und example2.com als neue Domäne):
1. Beachten Sie für das alte Benutzerkonto (user1@example1.com) das Active Directory-Attribut, das dem uid -Cloudattribut zugeordnet ist. Sie müssen denselben Active Directory-Wert für das neue Konto verwenden. In diesem Beispiel verwenden wir user1@example1.com als lokales Attribut, um der uid in der Cloud zuzuordnen.
2. Halten Sie die Synchronisierung auf dem Directory Connector für example1.com und example2.com-Domänen an.
3. Erstellen Sie ein neues Benutzerkonto in example2.com und verwenden Sie das gleiche Attribut von oben. (Beispiel: user1@example1.com).
4. Setzen Sie die Synchronisierung auf dem Directory Connector für example2.com fort.
  
  Bevor Sie fortfahren, überprüfen Sie, ob das Konto user1@example2.com mit Control Hub synchronisiert wird. Wir empfehlen, den Benutzer anzuweisen, die E-Mail-Änderung in der Webex-App zu überprüfen und alle Daten (Bereiche, Nachrichten, Meetings, Dateien usw.) aufzubewahren.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Im neuen Benutzerkonto müssen Sie jedoch sicherstellen, dass das Active Directory-Attribut, das dem UID-Attribut der Cloud zugeordnet ist, aus dem alten Benutzerkonto übernommen wird. Wenn Sie den Active Directory-Wert ändern, werden die Daten des alten Kontos nicht im neuen Konto gespeichert.
5. Nachdem Sie überprüft haben, dass die E-Mail-Adresse geändert wurde und die Daten intakt sind, löschen Sie das alte Benutzerkonto auf example1.com und setzen Sie anschließend den Verzeichniskonnektor ein, um die Synchronisierung für example1.com fortzusetzen.
  
  Zu diesem Zeitpunkt können Sie die E-Mail-Adresse in der neuen Active Directory-Domäne für user1@example2.com sicher aktualisieren.

Der Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch mit der Cloud resynchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung zu „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten.

Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre Webex-App-E-Mail-Adressen über die Seite mit den Kontoeinstellungen ändern. Unter E-Mail-Adresse für Ihr Konto ändern finden Sie Schritte, die Benutzer befolgen können, um ihre E-Mails zu ändern.

Active Directory-Domäne ändern

Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.

1	Richten Sie eine neue Active Directory (AD)-Domäne ein.
2	Deaktivieren Sie die Synchronisierungen für all Ihre Konnektoren.
3	Deinstallieren Sie alle Ihre Konnektoren.
4	Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Fallübermittlung sicher, dass Sie die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall aufgelöst wurde.
5	Nachdem der Fall behoben ist: Installieren Sie den Verzeichniskonnektor auf demselben Server, auf dem sich die neue Active Directory-Domäne befindet. Konfigurieren Sie den Directory Connector so, dass er auf die neue Active Directory-Domäne verweist. Wenn Benutzer in Control Hub vorhanden sind ( https://admin.webex.com), stellen Sie sicher, dass Benutzer mit übereinstimmenden E-Mail-Adressen auch in Active Directory vorhanden sind. Wenn Ihre Organisation den Umschalter `softDelete` in DirSync deaktiviert hat, können E-Mail-Adressen von Benutzern, die sich in Control Hub, aber nicht in Active Directory befinden, gelöscht werden. Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen.

Domänenanspruch

Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass ein Sideboarding-Konto in der zahlungspflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können eine Domäne nur über einen Support-Fall beanspruchen (weitere Informationen finden Sie unter dem folgenden Link).

Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, wie ein eingeladener Benutzer zu einem Webex-App-Bereich hinzugefügt werden kann, besteht darin, das Konto zunächst mithilfe des Directory Connectors in Control Hub bereitzustellen.

Weitere Informationen

Domänen verwalten

Benutzer der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis konvertieren

Sie können nur eindeutige E-Mail-Adressen im Webex-App-Verzeichnis verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App registriert haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Um Benutzer in dieser Organisation mithilfe des Verzeichniskonnektors zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie den Verzeichniskonnektor aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.

Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.

Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung konnte nicht konvertiert werden angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.

Einige beanspruchte Benutzer werden bei einem Probelauf möglicherweise mit dem Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Gelöschte Objekte anstelle von Nicht übereinstimmendes Objekt angezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.

Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle in Ihrer Nähe gelöscht, die mit der Cloud synchronisiert werden.

1	Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector.
2	Befolgen Sie das Verfahren Konvertieren von Benutzern ohne Lizenz in Control Hub , um den Benutzer von der kostenlosen Verbraucher-Organisation zur Enterprise-Organisation zu konvertieren. Bei diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind.
3	Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und sich Konten nur in Control Hub befinden, wird bei Directory Connector die Groß- und Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, gehen alle ihre Webex-App-Bereiche verloren.
4	Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren.

Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die automatische Lizenzvorlage aktiviert und anschließend den Verzeichniskonnektor ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.

Sideboarding-Benutzerkonten für Webex-App

Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.

Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.

Benutzerformat der Webex-App nach der Verzeichnissynchronisierung ändern

Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.

Nach der Verzeichnissynchronisierung werden Benutzernamen möglicherweise im Format angezeigt.

Dieser Benutzername wird möglicherweise angezeigt, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud zu displayName zugeordnet wird, werden Namen in Control Hub im Format angezeigt.

So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) dem displayName in Cisco Cloud-Attributnamen zu.

Ändern des Cisco Cloud-Attributnamensformats

Alternativ können Sie das Attribut sn givenName dem displayName zuordnen:

Ändern des Cisco Cloud-Attributnamensformats

Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck displayName zuordnen möchten.

Format des Cisco Cloud-Attributnamens anpassen

Geben Sie beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) als Ausdruck ein. Dadurch werden die beiden Attribute in Active Directory dem displayName in der Cloud zugeordnet.

Attribute aus Ihrem lokalen Active Directory zuordnen

Benutzer können Anzeigenamen in Webex Meetings ändern

Sie können die Zuordnung des displayName -Attributs der Synchronisierung mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern die Bearbeitung ihrer bevorzugten Anzeigenamen erlauben möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird, anstatt ihren Vor- und Nachnamen eingeben. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus.
2	Wählen Sie displayName unter Cisco Cloud-Attributname aus.
3	Wählen Sie Dieses Attribut nicht synchronisieren aus.

Nächste Schritte

Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.

Directory Connector – Problembehandlung

Upgrade auf die neueste Softwareversion

Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie kein Upgrade auf die neueste verfügbare Version durchführen, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische TLS 1.2-Anforderung nicht unterstützt.

Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.

Obwohl Sie Connector-Softwareaktualisierungen manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.

1	Klicken Sie in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten.
2	Befolgen Sie die Anweisungen, um das Upgrade durchzuführen.
3	Starten Sie den Connector neu, und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an.
4	Überprüfen Sie die Versionsnummer der Software unter Hilfe > Info über.

Nächste Schritte

Für eine neue Installation von Directory Connector können Sie die ZIP-Datei herunterladen und dann die Installationsschritte in diesem Handbuch befolgen.

Konfigurieren von allgemeinen Einstellungen für Directory Connector

Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Allgemein.
2	Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird.
3	Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen: Info (Standard) – Zeigt Informationsnachrichten an, die den Fortschritt der Anwendung auf einer hohen Ebene hervorheben. Verwenden Sie diese Einstellung, wenn Sie Berichte nach allen vollständigen Synchronisierungen empfangen möchten. Warnung – zeigt potenziell gefährliche Situationen an. Debug – Zeigt detaillierte Informationsereignisse an, die für das Debuggen einer Anwendung am nützlichsten sind. Wenn Sie ein Problem feststellen, legen Sie diese Protokollebene fest und senden Sie das Ereignisprotokoll an den Support, wenn Sie einen Fall erstellen. Fehler – Zeigt Fehlerereignisse an, die die Ausführung der Anwendung möglicherweise trotzdem ermöglichen. Wenn Sie diese Option auswählen, werden Synchronisierungsberichte nur dann gesendet, wenn Fehler gemeldet werden. Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf Fehler festlegen, werden nur Fehler im Synchronisierungsbericht gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“. Nach der vollständigen Synchronisierung erhalten Sie Synchronisierungsberichte. (Beachten Sie, dass für die inkrementelle Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.)
4	Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen.
5	Aktivieren Sie Automatisches Upgrade auf neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, dass Ihre Cisco Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
6	Aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSL nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher.

Connector-Richtlinie konfigurieren

Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.

Sie legen beispielsweise 1 als Schwellenwert für den Löschvorgang fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus.
2	Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
3	Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20. Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen.
4	Klicken Sie auf Übernehmen.

Legen Sie den Connector-Zeitplan fest

Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Zeitplan aus.
2	Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben.
3	Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden.
4	Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll.
5	Geben Sie einen Wert für Failover-Intervall in Minuten an.
6	Klicken Sie auf Übernehmen.

Szenarien mit mehreren Domänen

Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.

Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.

Szenarien mit mehreren Domänen

Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.

Beispielanwendungen für mehrere Domänen

Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.

Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.

Synchronisierung auf example1.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.

User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.

Synchronisierung für example1.com und example2.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Stellen Sie sich das folgende Szenario vor:

Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.

Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne

Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.

Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.

Domänenpriorität festlegen

Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.

Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.

Vorbereitungen

Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie steht unter https://admin.webex.com zum Download bereit.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen.
3	Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern. Die Domänen werden in absteigender Reihenfolge sortiert.

Domäne wechseln

Mit diesem Verfahren können Sie den Cisco-Verzeichniskonnektor erneut an eine andere Domäne binden.

Vorbereitungen

Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie müssen sie über Control Hub herunterladen.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln.
3	Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, die Registrierung anderer Domänen im Connector wird aufgehoben, und die Connector-Informationen auf diesem Computer werden gelöscht.
4	Melden Sie sich erneut beim Cisco-Verzeichniskonnektor an, und binden Sie die Domäne erneut.

Verzeichnissynchronisierung deaktivieren

Wenn Sie die Synchronisierung über den Verzeichniskonnektor beenden müssen, können Sie sie über Control Hub vorübergehend deaktivieren.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:

Klicken Sie auf „Mehr“ und anschließend neben der Connector-Instanz, die Sie deaktivieren möchten, auf Deaktivieren .
Klicken Sie auf Alle Verzeichnissynchronisierungen deaktivieren, um die Synchronisierung von allen Connector-Instanzen zu beenden.

2

Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten.

Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren.

Benutzerattributzuordnung entfernen

Verwenden Sie den Verzeichniskonnektor, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Benutzerattributzuordnung entfernen.
3	Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus.
4	Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus: Nur mit Verzeichniskonnektor synchronisierte Benutzer: Die Zuordnung wird nur von Benutzern entfernt, die zuvor mit dem Directory Connector synchronisiert worden sind. Alle Nutzer: Die Zuordnung wird von allen Active Directory-Benutzern entfernt.
5	Klicken Sie auf Übernehmen.

Profilbilder verwalten

Verwenden Sie den Verzeichniskonnektor, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Profilbilder verwalten.
3	Wählen Sie unter Aktionen eine der folgenden Optionen aus: Profilbilder für leere Avatar-Quellen entfernen: Wenn das Active Directory-Profilbild leer ist, stellt diese Option sicher, dass die Benutzerprofilbilder aus der Cloud entfernt werden, auch wenn der Benutzer zuvor sein eigenes Bild in Webex hochgeladen hat. Laden Sie die synchronisierte Quelle erneut hoch, um zwischengespeicherte Bilder zu überschreiben: Der Directory Connector verwendet zum Aktualisieren der Profilbilder für alle Benutzer dasselbe Active Directory wie zuvor. Dadurch wird sichergestellt, dass es keine Diskrepanz zwischen den Profilbildern in Active Directory und der Cloud gibt.
4	Klicken Sie auf Übernehmen.

Directory Connector deinstallieren und deaktivieren

Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:

Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
Sie möchten die Domäne ändern und einen anderen Connector installieren.

Vorbereitungen

Möglicherweise werden mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder Synchronisierung mit mehreren Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie den Directory Connector deinstallieren.

1	Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen.
2	Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallieren aus und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen.
3	Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr und anschließend neben der Directory Connector-Instanz, die Sie deinstallieren möchten, auf Deaktivieren .
4	Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren. Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung.

Ausführen des Diagnosetools

Sie können das integrierte Diagnosetool verwenden, um Fehler bei der Directory Connector-Bereitstellung zu beheben. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.

Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.

So führen Sie Tests für Active Directory-Domänendienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-DS , geben Sie Ihre Domäne ein und klicken Sie dann auf Domänencontroller laden.
2. Wählen Sie einen Domänencontroller aus der Liste aus.
  
  Ändern Sie den Eintrag nicht später, da die inkrementelle Suche immer im selben Domänencontroller ausgeführt werden muss.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie im Abschnitt Active Directory-Abfragen weitere Filter, z. B. entweder Benutzer oder Gruppen -Objekte und Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-LDS , geben Sie Ihren Host und Ihren Port ein und klicken Sie dann auf Partitionen laden.
2. Wählen Sie eine Partition aus der Liste aus, und klicken Sie dann auf Verbinden.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie weitere Filter im Abschnitt Active Directory-Abfragen , z. B. Benutzer, UserProxy und UserProxyFull sowie Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte LDAP RAW , geben Sie Ihren Stammpfad und Filter ein, wählen Sie einen Eintrag unter Attribute aus und klicken Sie dann auf Lade-Partitionen.
2. Überprüfen Sie bei Bedarf die folgenden Optionen:
  - ObjectSecurity: Wenn diese Option vorhanden ist, benötigt der Anrufer keine Rechte und kann nur Objekte und Attribute sehen, auf die der Anrufer zugreifen kann. Wenn diese Option nicht vorhanden ist, hat der Anrufer das Recht, Änderungen zu replizieren.
  - ParentsFirst – Stellt sicher, dass alle Eltern der Kinder vor ihre Kinder kommen.
3. Wählen Sie einen Wert für ExtendedDN aus.
  
  Dieser Wert wird bei einer erweiterten LDAP-Suche verwendet, um eine erweiterte Form von Objekt-Distinguished Name anzufordern.
4. Wählen Sie einen Wert für ReferralChasing aus.
  
  Eine Weiterleitungsverfolgung wird initiiert, wenn ein Domänencontroller eine Weiterleitung von einer Abfrage zurückgibt – beispielsweise für Details zu einem Abfrageergebnis, das außerhalb des Namensraums liegen kann (z. B. Gruppenmitglieder in einer anderen Domäne oder einem Wald).
5. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
6. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.

Beheben von Problemen im Ciso Directory Connector

Fehlerbehebung und Fehlerbehebungen für den Directory Connector

Möglicherweise tritt eine Fehlermeldung oder ein anderes Problem im Directory Connector auf. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet der Connector Ihnen möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. Bevor Sie sich an den Support wenden, lesen Sie die folgenden Abschnitte über mögliche Probleme, mögliche Ursachen und vorgeschlagene Lösungen.

Installieren

Directory Connector funktioniert nicht mehr

Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber benachrichtigt wurden, dass Ihr Directory Connector nicht funktioniert.

Der Directory Connector ist möglicherweise nicht korrekt installiert.
Directory Connector wird möglicherweise nicht ausgeführt.
Das Netzwerk ist möglicherweise nicht verfügbar.

Gehen Sie wie folgt vor:

Öffnen Sie Systemsteuerung > Programme und Funktionen. Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
Öffnen Sie den Dienst und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status Gestartet angezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, über Internetzugang verfügt.

Fehler bei erneuter Installation

Problem: Wenn Sie sofort einen neuen Connector installieren, nachdem Sie einen alten deinstalliert haben, wird möglicherweise eine Fehlermeldung angezeigt.

Mögliche Ursache: In Windows Server 2012 benötigt der Client zur Deinstallation Zeit, um das Dienstkonto aus der Dienstliste zu löschen.

Lösung: Versuchen Sie die Installation nach einiger Zeit erneut.

Anmelden

Directory Connector stürzt bei der SSO-Anmeldung ab

Problem

Der Directory Connector kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.

Lösung

Gehen Sie wie folgt vor:

Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:

Wechseln Sie zum Domänencontroller und öffnen Sie Group Policy Management (gpedit.msc).
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne, und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie Bearbeiten aus.

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter Key Path die Option HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter SchlüsselpfadHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Die Änderungen werden wirksam, nachdem Sie gpupdate /force ausgeführt haben, die Maschine neu gestartet wurde (bei Änderungen am Computer) oder sich der Benutzer erneut anmeldet (bei Änderungen am Benutzer).

Cisco DirSync Service Connector konnte nicht registriert werden

Problem

Anmeldung fehlgeschlagen, und die folgende Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“

Lösung

Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.

Die Seite „Keine Anmeldung“ wird angezeigt

Problem

Sie haben den Verzeichniskonnektor geöffnet und die Anmeldeseite wurde nicht angezeigt.

Fehlerbehebung: Die Seite „Keine Anmeldung“ wird angezeigt

Lösung

Gehen Sie wie folgt vor:

Navigieren Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie den Link in anderen Browsern wie Chrome und Firefox.
Wenn Internet Explorer den Link nicht aufrufen kann, andere Browser dies jedoch können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren .)

Anmeldeaufforderung wird angezeigt

Problem

Es wird eine Aufforderung angezeigt, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu bestehen.

Mögliche Ursache

Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.

Lösung

Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Übergabe der Sicherheit bereitstellen.

Verbindung zum Remote-Server nicht möglich

Problem

Während des normalen Betriebs wird die Fehlermeldung „Keine Verbindung zum Remote-Server möglich“ angezeigt.

Mögliche Ursache

Möglicherweise gibt es Proxy-Probleme, die behoben werden müssen.

Lösung

Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung mit Dienstkonto beheben .

Konnektor kann nicht registriert werden.

Problem

Es wird die Fehlermeldung „Der Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“

Mögliche Ursache

In den meisten Fällen liegt das Problem darin, dass der Directory Connector keine Berechtigung für eine Verbindung mit dem LDAP-Stammkontext hat.

Lösung

Gehen Sie wie folgt vor:

Führen Sie eine Eingabeaufforderung (cmd) aus, und geben Sie ldp.exe ein.
Klicken Sie auf Verbindung > Binden, wählen Sie Als aktuell angemeldeten Benutzer binden und klicken Sie dann auf OK.
Klicken Sie auf Ansicht > Baum, geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall beim Support.

Synchronisierung

Avatare nicht synchronisiert

Problem

Der Cisco Directory Connector hat die Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatar-Daten erfolgreich synchronisiert.

Mögliche Ursache

Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache diese und vermeidet es, erneut zu senden, um Bandbreite zu sparen.

Lösung

Führen Sie die folgenden Schritte aus, um den lokalen Cache zu löschen:

Gehen Sie zu C:\Programme (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Löschen DirSyncPluginAvatar.dll-cache.bin.
Führen Sie die Avatar-Synchronisierung über den Cisco-Verzeichniskonnektor erneut aus.

In Konflikt stehende Benutzer-E-Mail-Konten

Problem

Die Synchronisierungsergebnisse können in Konflikt stehende Benutzer-E-Mail-Konten anzeigen.

Wenn Benutzer die kostenlose Version der Webex-App versucht haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.

Lösung

Gehen Sie wie folgt vor:

Befolgen Sie die folgenden Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
1. Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
2. Deaktivieren Sie Cisco Directory Connector vorübergehend.
3. Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucherorganisation vorhanden sein könnten. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
4. Probelauf im Cisco Directory Connector durchführen und die Verzeichnissynchronisierung anschließend erneut aktivieren
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen.

Konvertierter Benutzer als inaktiv markiert

Problem

In Ihrer verzeichnissynchronisierten Umgebung haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.

Mögliche Ursache

Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer als 30 Tage lang als inaktiv markiert, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des Zeitraums von 30 Tagen zur Löschung markiert. Diese Situation tritt auf, da sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.

Lösung

Sie müssen entsprechende Maßnahmen ergreifen, wenn das Benutzerkonto nicht gelöscht werden soll. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.

Inkrementelle Synchronisierung schlägt fehl

Problem

Eine inkrementelle Synchronisierung schlägt fehl.

Dieses Problem kann unter folgenden Bedingungen auf Windows Server 2008 R2 auftreten:

Sie unterstützen inkrementelle Wertaktualisierungen.
Der Filter, den Sie verwenden, referenziert ein verknüpftes Werteattribut.
Die Ergebniswerte dieses Attributs wurden seit der letzten Durchführung einer vollständigen Synchronisierung aktualisiert.

Lösung

Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihren Windows Server auf mindestens 2012 R2 zu aktualisieren.

Ungültiger Wert für Merkmal

Problem

Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].

Mögliche Ursache

Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.

Lösung

Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.

Übereinstimmende Benutzer zum Löschen

Problem

Die übereinstimmenden Benutzer werden als gelöscht markiert.

Wenn Sie einen Probelauf zur Überprüfung der Daten zwischen Active Directory und der Cloud durchführen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Systemen angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.

Lösung

Wählen Sie eine geeignete Lösung:

Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen danach zu wiederholen, können Sie den Directory Connector für die Behebung verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Support-Fall.

Attribut fehlt

Problem

Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.

Mögliche Ursache

Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsbenutzer,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert aufweisen.

Lösung

Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.

Verschachtelte Gruppe wird nicht synchronisiert

Problem

Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.

Mögliche Ursache

Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Beispiel: (Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)

Lösung

Sie müssen den Filter, der Gruppen synchronisiert, neu konfigurieren. Beispiel: |(Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)(Mitglied=CN=testSubGroup,CN=Benutzer,DC=rktest2008,DC=org)

Konflikt bei Benutzerbenennung

Problem

Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und des Benutzertyps [user_type].

Mögliche Ursache

Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.

Lösung

Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.

Control Hub

Benutzerliste fehlt in Control Hub

Problem

Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird Ihnen die Benutzerliste in Control Hub möglicherweise nicht angezeigt.

Lösung

Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Wechseln Sie in Control Hub zu Benutzer, klicken Sie auf Suchen Schaltfläche „Suchen“ und geben Sie dann Suchkriterien ein, um nach einem bestimmten Benutzer zu suchen.

Gruppen werden nicht mit Control Hub synchronisiert

Problem

Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.

Mögliche Ursache

Die Gruppe ist in Active Directory nicht als isCriticalSystemObject markiert.

Lösung

Stellen Sie sicher, dass das Attribut isCriticalSystemObject in Active Directory auf TRUE gesetzt ist.

Problembehandlung für den Directory Connector aktivieren

Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.

Die Protokolldateien, die sind: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Führen Sie die Datei `services.msc` aus, um das ausgeführte Konto für den Directory Connector-Dienst vom lokalen System in ein Domänenkonto zu ändern, das über Zugriffsberechtigungen für Ihr AD DS oder AD LDS verfügt.
2	Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten.
3	Klicken Sie im Directory Connector auf Dashboard.
4	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Fehlerbehebung.
5	Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können.
6	Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt. Der Protokollordner speichert nur Dateien für die letzten 3 Tage. Der Inhalt in den Protokolldateien entspricht der Ausgabe des Ereignisprotokolls für das System.
7	Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten.
8	Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind.

Weitere Informationen

Support kontaktieren

Starten der Ereignisanzeige

Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Dashboard und klicken Sie auf Aktion > Ereignisanzeige starten. Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails.
2	Wechseln Sie in der Ereignisanzeige zu Anwendungs- und Dienstprotokolle > Cisco Directory Connector.
3	Klicken Sie unter Aktionen auf Alle Events speichern unter , um alle Protokolle als einzelne Events-Datei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren.

Nächste Schritte

Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und fügen Sie dann die Events-Datei an Ihren Fall an.

In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Hilfe bei der Verwaltung des Netzwerkdatenverkehrs zu erhalten.

TLS in Internet Explorer aktivieren

Wenn Sie Single Sign-On (SSO)-Anbieter gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:

Bei der Anmeldung am Dienst ist ein Fehler aufgetreten
Im Skript auf dieser Seite ist ein Fehler aufgetreten

Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.

1	Öffnen Sie Internet Explorer und wählen Sie Werkzeuge aus. Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die aktiviert werden soll. Klicken Sie auf OK. Schließen Sie den Browser und öffnen Sie ihn erneut.
2	Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , und scrollen Sie zu Sicherheit.
3	Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden , und klicken Sie auf OK.
4	Starten Sie das System neu, damit die Änderungen übernommen werden.

Anmeldeprobleme für Dienstkonten beheben

Wenn Sie sich nicht beim Cisco Directory Connector anmelden können oder keine Synchronisierung durchführen können, versuchen Sie anhand der folgenden Schritte, das Problem zu beheben, bevor Sie sich an den Support wenden.

1

Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen.

2

Wählen Sie je nach den Ergebnissen eine Option:

Wenn Sie den Link nicht über Ihren Browser aufrufen können, überprüfen Sie Ihre Netzwerkeinstellungen. Wenn Sie in Ihrer Umgebung einen Proxy verwenden, überprüfen Sie die Proxy-Einstellungen.
Wenn Sie den Link über Ihren Browser aufrufen, aber den Cisco Directory Connector nicht öffnen können (Fehler 407 kann nicht geöffnet werden), klicken Sie hier , um die neueste Version des Cisco Directory Connector abzurufen.
Wenn Sie den Link über Ihren Browser aufrufen, aber keine Synchronisierung über den Cisco Directory Connector durchführen können, ändern Sie das Konto für die Dienstanmeldung in Domänenadministrator.

Überprüfen Sie, ob das Konto, mit dem Sie sich beim Windows-System angemeldet haben, dasselbe Konto ist, das Sie unter „Cisco DirSync-Dienst“ festgelegt haben. Wenn es sich um 2 verschiedene Konten handelt, stellen Sie sicher, dass beide Konten https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL besuchen können. Wenn Ihre Umgebung einen Proxy verwendet, stellen Sie sicher, dass beide Konten im Internet Explorer für den Proxy konfiguriert sind und https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL erfolgreich aufrufen können.

3

Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (das unter den Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar- und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung für das Windows-Anmeldekonto.

Weitere Informationen

Support kontaktieren

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Benutzer der Webex-App verwalten

Durchführen einer inkrementellen Synchronisierung

Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen die Änderung der Attribution für Benutzer sowie den Zeitpunkt, zu dem ein Benutzer hinzugefügt oder gelöscht wird.

Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie die ursprüngliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen ):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Bei neuen Konfigurationsänderungen für die Attributzuordnung, Basis-DN, Filter und die Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und erfordert eine vollständige Synchronisierung.

1	Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen.
2	Klicken Sie unter Aktionen auf Synchronisierungsmodus > Synchronisierung aktivieren , falls dies noch nicht geschehen ist. Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen anhand des letzten Zeitstempels.
3	Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.
4	Um weitere Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen auf Ereignisanzeige starten , um die Fehlerprotokolle anzuzeigen.

Nächste Schritte

Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.

Versehentlich gelöschte Benutzer wiederherstellen

Der Verzeichniskonnektor verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Die Funktion „Soft-Delete“ kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.

Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, beispielsweise aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung aus dem Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie einen nicht übereinstimmenden Objekthinweis sehen oder festgestellt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.

Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer bis zu 7 Tage lang bei. Während dieser Zeit können Sie weiterhin Cisco Directory Connector verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so bald wie möglich wiederherzustellen.

Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nach 7 Tagen nicht gelöscht.

1	Melden Sie sich bei Control Hub an.
2	Wechseln Sie zu Benutzer und bestätigen Sie, ob sich ein bestimmtes Benutzerkonto im Status „Inaktiv“ befindet oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.
3	Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer im Status „Inaktiv“ bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Das Ziel mit Directory Connector ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu schaffen.
4	Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten mit Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und Dienstzuweisungen.

Nächste Schritte

Kehren Sie zu Control Hub zurück, gehen Sie zu Verwaltung > Benutzer und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.

Benutzer nach dem weichen Löschen dauerhaft löschen

Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung soft gelöscht wurden, dauerhaft löschen.

1	Wählen Sie nach Abschluss eines Probelaufs Weich gelöschte Objekte aus.
2	Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten.
3	Wählen Sie Fertig aus.

Nächste Schritte

Bei der nächsten Synchronisierung werden die von Ihnen geprüften Benutzer dauerhaft gelöscht.

E-Mail-Adresse einer Webex-App ändern

Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren behandelt das Ändern der E-Mail-Adresse der Webex-App für eine einzelne Domäne und einen Prozess zum Ändern der Domäne.

Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto. Dabei gehen die Bereiche des Benutzers und andere Daten in der Cloud verloren.

So ändern Sie die E-Mail-Adressen von Benutzern, ohne die Domäne zu ändern:
1. Öffnen Sie das Benutzerkonto (Beispiel, user1@example.com) in Active Directory und ändern Sie die E-Mail-Adresse (Beispiel, user2@example.com).
2. Setzen Sie die Synchronisierung auf dem Directory Connector fort.
  
  Nach der nächsten Synchronisierung werden die Änderungen in Ihrer Benutzerliste in Control Hub und für Benutzer in der Webex-App angezeigt, nachdem der Cache aktualisiert wurde.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Die eindeutige Kennung des Benutzers wird nach der ersten Synchronisierung in der Cloud festgelegt. Alle nachfolgenden Synchronisierungen basieren auf dieser Kennung.
Ändern Sie in einer Bereitstellung mit mehreren Domänen mit Directory Connector die E-Mail-Adressen der Benutzer beim Ändern der Domäne (betrachten Sie example1.com als alte Domäne und example2.com als neue Domäne):
1. Beachten Sie für das alte Benutzerkonto (user1@example1.com) das Active Directory-Attribut, das dem uid -Cloudattribut zugeordnet ist. Sie müssen denselben Active Directory-Wert für das neue Konto verwenden. In diesem Beispiel verwenden wir user1@example1.com als lokales Attribut, um der uid in der Cloud zuzuordnen.
2. Halten Sie die Synchronisierung auf dem Directory Connector für example1.com und example2.com-Domänen an.
3. Erstellen Sie ein neues Benutzerkonto in example2.com und verwenden Sie das gleiche Attribut von oben. (Beispiel: user1@example1.com).
4. Setzen Sie die Synchronisierung auf dem Directory Connector für example2.com fort.
  
  Bevor Sie fortfahren, überprüfen Sie, ob das Konto user1@example2.com mit Control Hub synchronisiert wird. Wir empfehlen, den Benutzer anzuweisen, die E-Mail-Änderung in der Webex-App zu überprüfen und alle Daten (Bereiche, Nachrichten, Meetings, Dateien usw.) aufzubewahren.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Im neuen Benutzerkonto müssen Sie jedoch sicherstellen, dass das Active Directory-Attribut, das dem UID-Attribut der Cloud zugeordnet ist, aus dem alten Benutzerkonto übernommen wird. Wenn Sie den Active Directory-Wert ändern, werden die Daten des alten Kontos nicht im neuen Konto gespeichert.
5. Nachdem Sie überprüft haben, dass die E-Mail-Adresse geändert wurde und die Daten intakt sind, löschen Sie das alte Benutzerkonto auf example1.com und setzen Sie anschließend den Verzeichniskonnektor ein, um die Synchronisierung für example1.com fortzusetzen.
  
  Zu diesem Zeitpunkt können Sie die E-Mail-Adresse in der neuen Active Directory-Domäne für user1@example2.com sicher aktualisieren.

Der Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch mit der Cloud resynchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung zu „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten.

Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre Webex-App-E-Mail-Adressen über die Seite mit den Kontoeinstellungen ändern. Unter E-Mail-Adresse für Ihr Konto ändern finden Sie Schritte, die Benutzer befolgen können, um ihre E-Mails zu ändern.

Active Directory-Domäne ändern

Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.

1	Richten Sie eine neue Active Directory (AD)-Domäne ein.
2	Deaktivieren Sie die Synchronisierungen für all Ihre Konnektoren.
3	Deinstallieren Sie alle Ihre Konnektoren.
4	Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Fallübermittlung sicher, dass Sie die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall aufgelöst wurde.
5	Nachdem der Fall behoben ist: Installieren Sie den Verzeichniskonnektor auf demselben Server, auf dem sich die neue Active Directory-Domäne befindet. Konfigurieren Sie den Directory Connector so, dass er auf die neue Active Directory-Domäne verweist. Wenn Benutzer in Control Hub vorhanden sind ( https://admin.webex.com), stellen Sie sicher, dass Benutzer mit übereinstimmenden E-Mail-Adressen auch in Active Directory vorhanden sind. Wenn Ihre Organisation den Umschalter `softDelete` in DirSync deaktiviert hat, können E-Mail-Adressen von Benutzern, die sich in Control Hub, aber nicht in Active Directory befinden, gelöscht werden. Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen.

Domänenanspruch

Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass ein Sideboarding-Konto in der zahlungspflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können eine Domäne nur über einen Support-Fall beanspruchen (weitere Informationen finden Sie unter dem folgenden Link).

Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, wie ein eingeladener Benutzer zu einem Webex-App-Bereich hinzugefügt werden kann, besteht darin, das Konto zunächst mithilfe des Directory Connectors in Control Hub bereitzustellen.

Weitere Informationen

Domänen verwalten

Benutzer der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis konvertieren

Sie können nur eindeutige E-Mail-Adressen im Webex-App-Verzeichnis verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App registriert haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Um Benutzer in dieser Organisation mithilfe des Verzeichniskonnektors zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie den Verzeichniskonnektor aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.

Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.

Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung konnte nicht konvertiert werden angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.

Einige beanspruchte Benutzer werden bei einem Probelauf möglicherweise mit dem Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Gelöschte Objekte anstelle von Nicht übereinstimmendes Objekt angezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.

Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle in Ihrer Nähe gelöscht, die mit der Cloud synchronisiert werden.

1	Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector.
2	Befolgen Sie das Verfahren Konvertieren von Benutzern ohne Lizenz in Control Hub , um den Benutzer von der kostenlosen Verbraucher-Organisation zur Enterprise-Organisation zu konvertieren. Bei diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind.
3	Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und sich Konten nur in Control Hub befinden, wird bei Directory Connector die Groß- und Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, gehen alle ihre Webex-App-Bereiche verloren.
4	Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren.

Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die automatische Lizenzvorlage aktiviert und anschließend den Verzeichniskonnektor ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.

Sideboarding-Benutzerkonten für Webex-App

Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.

Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.

Benutzerformat der Webex-App nach der Verzeichnissynchronisierung ändern

Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.

Nach der Verzeichnissynchronisierung werden Benutzernamen möglicherweise im Format angezeigt.

Dieser Benutzername wird möglicherweise angezeigt, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud zu displayName zugeordnet wird, werden Namen in Control Hub im Format angezeigt.

So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) dem displayName in Cisco Cloud-Attributnamen zu.

Ändern des Cisco Cloud-Attributnamensformats

Alternativ können Sie das Attribut sn givenName dem displayName zuordnen:

Ändern des Cisco Cloud-Attributnamensformats

Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck displayName zuordnen möchten.

Format des Cisco Cloud-Attributnamens anpassen

Geben Sie beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) als Ausdruck ein. Dadurch werden die beiden Attribute in Active Directory dem displayName in der Cloud zugeordnet.

Attribute aus Ihrem lokalen Active Directory zuordnen

Benutzer können Anzeigenamen in Webex Meetings ändern

Sie können die Zuordnung des displayName -Attributs der Synchronisierung mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern die Bearbeitung ihrer bevorzugten Anzeigenamen erlauben möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird, anstatt ihren Vor- und Nachnamen eingeben. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus.
2	Wählen Sie displayName unter Cisco Cloud-Attributname aus.
3	Wählen Sie Dieses Attribut nicht synchronisieren aus.

Nächste Schritte

Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.

Übersicht über Cisco Directory Connector

Directory Connector – Übersicht

Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.

Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur zentralen Informationsquelle wird. Wenn Sie eine Änderung lokal vornehmen, wird diese in die Cloud kopiert.

In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:

Funktion	Beschreibung und Vorteil
Benutzerfreundliches Dashboard	Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden.
Probelauf, bevor die Synchronisierung in die Cloud durchgeführt wird	Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor sie in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen.
Vollständige und inkrementelle Synchronisierung	Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen.
Synchronisieren mehrerer Domänen (einzelne Gesamtstruktur oder mehrere Gesamtstrukturen)	Directory Connector unterstützt mehrere Domänen entweder in einer einzelnen Gesamtstruktur oder in mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Der Control Hub spiegelt den Status wider, indem er den Synchronisierungsstatus für mehrere Directory Connectors anzeigt. Damit können Sie die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Directory Connector in einer Hochverfügbarkeitsbereitstellung deaktivieren.
Geplante Synchronisierung	Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest.
LDAP-Filter (Lightweight Directory Access Protocol)	Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit.
Active Directory-Attributzuordnung	Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um die Cloud zuzuordnen. Die Attribute aus dem Standort bilden verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, Enteprise-Telefonnummern in Webex Teams, Raumressourcen-SIP-Adressen und andere Kontaktkartendaten des Benutzers (Stellenbezeichnung, Abteilung, Manager usw.).
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung	Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud-PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte haben, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten auf ihren Cisco Webex Calling (Cloud-PSTN)-Telefonen oder Raumressourcen durchsuchen. Raumressourcen Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugewiesenen SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Cisco Webex Raumgerät oder Cisco Webex Board angezeigt. Wenn Benutzer eine Suche auf einem Cisco Webex Room-Gerät oder Cisco Webex Board durchführen, werden die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde. Anrufe Benutzer können zusätzlich zu den Webex-App-Kontakten Unternehmenskontakte anrufen. Über den Directory Connector werden die Unternehmensbenutzer und ihre Telefonnummern zu Ihrer Webex-Organisation hinzugefügt. Sie müssen nicht für Webex-Dienste lizenziert sein, damit diese Funktion funktioniert. Benutzer, die nicht für Webex lizenziert sind, werden in der Verzeichnissuche angezeigt, die auf dem Telefon eines Cisco Webex Calling-Benutzers durchgeführt wird, solange eine URI oder eine Telefonnummer über den Verzeichniskonnektor mit Webex synchronisiert ist. Die Anrufe funktionieren gleich für beide Benutzertypen. Außerdem bietet dieses Feature eine Bearbeitungsfunktion für Kontakte, die nur eine Telefonnummer enthalten. Für die Kontakte in den Suchergebnissen gilt Folgendes: Wenn Kontakte eine wählbare URI (Webex-SIP-Adresse) und eine Telefonnummer haben, wird die URI angezeigt, die mit dem Kontakt verknüpft ist. Wenn ein Kontakt keine wählbare URI, dafür jedoch eine Telefonnummer hat, wird die Telefonnummer angezeigt. Außerdem wird ein Softkey zum Bearbeiten der gewählten Nummer angezeigt. Kontakte ohne URI oder Telefonnummer werden nicht im Verzeichnis angezeigt.
Ereignisanzeige	Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen.
Diagnose-Tool und Fehlerbehebung	Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können.
Automatisches Upgrade	Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird.
Hohe Verfügbarkeit	Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt.

Directory Connector ist in drei Bereiche unterteilt:

Control Hub ist die zentrale Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und die Einzelanmeldung (SSO) konfigurieren, wenn Ihre Benutzer sich über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App versenden möchten.
Die Directory Connector-Verwaltungsoberfläche ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und die Directory Connector-Dienste zu konfigurieren.
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory ab, um sie mit dem Connector-Dienst und dem Directory Connector zu synchronisieren.

Weitere Informationen zur Directory Connector-Architektur finden Sie in diesem Diagramm:

Vorbereiten Ihrer Umgebung für den Directory Connector

Anforderungen für den Directory Connector

Windows- und Active Directory-Anforderungen

Sie können Directory Connector auf den folgenden unterstützten Windows-Servern installieren:

Windows Server 2022
Windows Server 2019
Windows Server 2016

Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die das Fix enthält – Windows Server 2012 R2 oder 2016.

Directory Connector wird von den folgenden Active Directory-Diensten unterstützt:

Active Directory 2016

(Directory Connector wird bei Verwendung der neuesten Version von Active Directory unter Windows Server 2019 unterstützt)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Beachten Sie die folgenden zusätzlichen Anforderungen:

Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
- .NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, folgen Sie den Anweisungen unter Aktivieren Sie .NET Framework 3.5 mit dem Assistenten zum Hinzufügen von Rollen und Funktionen.)
- .NET Framework v.4.5 (erforderlich für TLS1.2)
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)

Hardware-Anforderungen

Sie müssen Directory Connector auf einem Computer installieren, auf dem die folgenden Mindestanforderungen an die Hardware erfüllt sind:

8 GB RAM
50 GB Speicherplatz
Keine Mindestanforderung für die CPU

Netzwerk-Anforderungen

Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS-Zugriff (Port 443) auf das Internet verfügt.

Anforderungen der Webex-Organisation

Um von Control Hub aus auf die Directory Connector-Software zugreifen zu können, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem bezahlten Abonnement.
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Ihnen, Folgendes zu tun:
- Fügen Sie Domänen hinzu, überprüfen und optional beanspruchen Sie sie , die die E-Mail-Adressen der Benutzer enthalten, die Sie mit der Cloud synchronisieren möchten.
- Integrieren Sie Ihren Identitätsanbieter (IdP) mit Ihrer Webex-Organisation durch die einmalige Anmeldung (Single Sign-On, SSO).
- Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)

Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.

Installationsanforderungen

In einer Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
Für die Anmeldung beim Connector ist kein Administratorkonto in Active Directory erforderlich. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer wie ein Volladministratorkonto in Control Hub ist.

Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computeranmeldekonto sollte ein Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer sein. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Während der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector für den Zugriff auf Active Directory das lokale Systemkonto. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Stellen Sie sicher, dass der Suchmodus für die Windows Safe Dynamic Link Library (DLL) mit diesem Verfahren aktiviert ist: Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung.
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, sollten Sie Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Computern installieren.

Mehrere Domänenanforderungen

Bevor Sie den Aufgaben im Ablauf der Bereitstellungsaufgabe für den Cisco-Verzeichniskonnektor folgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:

Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.)
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , damit Ihre Organisation in eine große Organisationsliste verschoben wird.
Bei Bedarf können Sie Informationen zu Raumressourcen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.)

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.

Active Directory enthält zwei Arten von Gruppen:

Verteilergruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
Sicherheitsgruppen: Wird verwendet, um Berechtigungen für geteilte Ressourcen zuzuweisen.

Active Directory-Gruppentypen

Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:

Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienstleistung (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex Licensing usw.).
Verwenden Sie organisationsübergreifende Standard-Benennungskonventionen, um die Identifizierung wichtiger Informationen über eine Gruppe zu erleichtern. Gruppennamen können Details zur Gruppe enthalten, z. B. die Zugriffsstufe, die Art der Ressource, die Sicherheitsstufe, den Gruppenumfang, die E-Mail-Funktion usw. Der Gruppenname „GSG_Webex_Licensing_EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
Organisieren Sie Gruppen auf leicht verständliche Weise, z. B. nach Geografie oder Hierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die automatische Lizenzgruppenvorlage in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für die automatische Lizenzzuweisung einrichten .

Informationen zur Größe

Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Jegliche Beschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.

Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:

Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsjob dauert nicht so lange wie 50000.)
Netzwerkgeschwindigkeit und Bandbreite.
Systemauslastung und Spezifikationen.

Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.

Da bei der Synchronisierung mehrere Faktoren beteiligt sind und jede Bereitstellung abhängig von den oben genannten Faktoren variiert, können wir keine spezifischen Zeitwerte angeben, die angeben, wie lange eine Objektsynchronisierung dauern wird.

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Webproxy-Integration

Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.

Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector stellt eine Verbindung her und synchronisiert die Benutzer.

Sie können einen der folgenden Ansätze verwenden:

Expliziter Webproxy über Internet Explorer (der Connector erbt die Webproxy-Einstellungen)
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert

Webproxy über den Browser verwenden

Sie können den Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.

Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,

1	Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus.
2	Verweisen Sie die Windows-Instanz, auf die der Connector installiert ist, auf Ihren Webproxy. Der Connector erbt diese Webproxy-Einstellungen.
3	Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu: cloudconnector.webex.com für die Synchronisierung. idbroker.webex.com für die Authentifizierung. idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw. Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.
4	Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu: .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

Webproxy über eine PAC-Datei konfigurieren

Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und die Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.

1

Damit der Connector sich erfolgreich mit der Webex Cloud verbinden und die Benutzerinformationen synchronisieren kann, müssen Sie die Proxy-Authentifizierung für cloudconnector.webex.com in der .pac-Dateikonfiguration für den Host deaktivieren, auf dem der Connector installiert ist.

2

Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:

cloudconnector.webex.com für die Synchronisierung.
idbroker.webex.com für die Authentifizierung.
idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw.

Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt.

Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.

3

Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

NTLM-Proxy

Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.

NTLM-Design

In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.

Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus aus Herausforderung und Antwort:

Ein Benutzer meldet sich über ein Windows-Konto und ein Kennwort auf einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines reinen Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hash-Wert mit dem Hash-Wert des eingegebenen Passworts. Wenn beide gleich sind, wird die Authentifizierung erfolgreich ausgeführt.

Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im reinen Textformat.
Wenn der Server die Anforderung erhält, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Herausforderung auf dem Server gespeichert. Anschließend sendet der Server die Aufforderung im reinen Textformat an den Client.
Sobald der Client die vom Server gesendete Challenge erhält, verschlüsselt der Client die Challenge mit dem in Schritt 1 genannten Hash-Wert. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet er ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: der Kontoname, die verschlüsselte Aufforderung, die der Client gesendet hat, und die ursprüngliche einfache Aufforderung.
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.

Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Dadurch müssen Sie keine weitere Konfiguration abschließen.

Transparenten Proxy konfigurieren

In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.

1	Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann.
2	Bestätigen Sie, dass der Proxy erfolgreich ist: Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt.

Proxy-Authentifizierung festlegen

Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.

Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:

1	Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist.
2	Legen Sie eine geschätzte Bandbreite für diese Verbindung fest (ca. 2 MB/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich.
3	Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie `cloudconnector.webex.com` als Ziel an, das Sie zur Zulassungsliste hinzufügen möchten. Beispiel: `access-list 2000 acl-inside extended permit TCP [IP des Connectors] cloudconnector.webex.com eq https`
4	Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt.
5	Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren.

Verzeichniskonnektor bereitstellen

Ablauf der Bereitstellungsaufgabe des Cisco-Verzeichniskonnektors

Vorbereitungen

Vorbereiten Ihrer Umgebung für den Directory Connector

1	Directory Connector installieren In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen. Für eine neue Installation von Directory Connector gehen Sie immer zu Control Hub ( https://admin.webex.com), um die neueste Version der Software abzurufen, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
2	Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administrator-Anmeldeinformationen an und führen Sie die Ersteinrichtung durch.
3	Automatische Upgrades festlegen Es ist immer wichtig, dass Ihre Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
4	Active Directory-Objekte zum Synchronisieren auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Verzeichniskonnektor bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.
5	Benutzerattribute zuordnen Sie können die Attribute aus Ihrem lokalen Active Directory zu den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld lautet *uid.
6	Synchronisieren Sie Verzeichnis-Avatare mit einem der folgenden Verfahren: Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass die Benutzer-Avatare nach der Anmeldung in der Anwendung angezeigt werden. Sie können Avatare von einem Active Directory-Attribut oder einem Ressourcenserver synchronisieren.
7	Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Webex Room-Gerät oder Cisco Webex Board angezeigt.
8	Um Benutzer Aus Active Directory In Control Hub Bereitzustellen, führen Sie die folgenden Schritte aus: Durchführen eines Probelaufs für die Active Directory-Benutzer Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Folgen Sie dieser Sequenz, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wald- oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

Directory Connector installieren

In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen.

Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf der Synchronisierung mit mehreren Domänen:

Vorbereitungen

Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen:

Für die Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxy-Konfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Webproxy Im Browser verwenden
Bei Proxy-NTLM wird Ihnen möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser.

1	Wechseln Sie in Control Hub zu Benutzer > Benutzer verwalten > Verzeichnissynchronisierung aktivieren und wählen Sie Weiter aus.
2	Klicken Sie auf den Link Herunterladen und installieren, um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die .zip-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert. Holen Sie sich für eine Neuinstallation die neueste Version der Software, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
3	Entpacken Sie die MSI-Datei auf dem VMware- oder Windows-Server und führen Sie sie im Setup-Ordner aus, um den Setup-Assistenten zu starten.
4	Klicken Sie auf Weiter, aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Weiter, bis der Bildschirm „Kontotyp“ angezeigt wird.
5	Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto aus: Lokales System – Die Standardoption. Verwenden Sie diese Option, wenn Sie einen Proxy in Internet Explorer konfiguriert haben. Domänenkonto – Verwenden Sie diese Option, wenn der Computer Teil einer Domäne ist. Der Directory Connector muss mit den Netzwerkdiensten interagieren, um auf Domänenressourcen zuzugreifen. Geben Sie anschließend die Kontoinformationen ein und klicken Sie auf OK. Geben Sie den Benutzernamen im Format `{Domäne}\{Benutzername} ein.` Für einen mit AD (NTLMv2 oder Kerberos) integrierten Proxy müssen Sie die Option Domänenkonto verwenden. Das für die Ausführung des Directory Connector-Diensts verwendete Konto benötigt ausreichende Privilegien, um den Proxy zu durchlaufen und auf AD zuzugreifen. Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind: Der Server ist Teil der Domäne Das Domänenkonto kann auf die lokalen AD-Daten und Avatardaten zugreifen. Außerdem benötigt das Konto die lokale Administratorrolle, da es auf Dateien unter `C:\Programme` zugreifen muss. Für die Anmeldung einer virtuellen Maschine muss das Administratorkonto mindestens in der Lage sein, Domäneninformationen zu lesen.
6	Klicken Sie auf Installieren. Geben Sie nach der Ausführung des Netzwerktests Ihre grundlegenden Proxy-Anmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertig stellen.

Nächste Schritte

Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Während des Neustarts der Maschine werden alle Daten aktualisiert, um ein exaktes Ergebnis im Bericht anzuzeigen.

Bei Directory Connector anmelden

Vorbereitungen

Stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen.

Für die Proxy-Basic-Auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
Öffnen Sie für Proxy-NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen, stellen Sie sicher, dass die Informationen zum Proxy-Server hinzugefügt wurden, und klicken Sie auf OK. Siehe Verwenden eines Webproxys über den Browser.

1	Öffnen Sie den Connector und fügen Sie `https://idbroker.webex.com` zur Liste der vertrauenswürdigen Sites hinzu, wenn Sie dazu aufgefordert werden.
2	Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich dann mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter.
3	Bestätigen Sie Ihr Unternehmen und Ihre Domäne. Wenn Sie AD DS auswählen, aktivieren Sie LDAP over SSL, um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden, wählen Sie die Domäne aus, aus der Sie synchronisieren möchten, und klicken Sie auf Bestätigen. Wenn Sie LDAP über SSL nicht aktivieren, verwendet DirSync weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher. Wenn Sie AD LDS ausgewählt haben, geben Sie Host, Domäne und Port ein, und klicken Sie auf Aktualisieren, um alle Anwendungspartitionen zu laden. Wählen Sie anschließend die Partition in der Dropdown-Liste aus, und klicken Sie auf Bestätigen. Weitere Informationen finden Sie im Abschnitt AD LDS. Stellen Sie sicher, dass Sie in der Konfigurationsdatei CloudConnectorCommon.dll die Einstellung ADAuthLevel zum Knoten appSetting hinzufügen. Die Werte können 1, 2 oder 3 sein. In diesem Artikel von Microsoft erfahren Sie mehr über Authentifizierungstypen. Hier ein Beispiel für die Einstellung mit dem Wert 1: `<appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	Nachdem der Bildschirm Unternehmen bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Falls Sie Ihr AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Unternehmen bestätigen angezeigt.
5	Klicken Sie auf Bestätigen.
6	Wählen Sie eine der folgenden Optionen aus, je nach der Anzahl der Active Directory-Domänen, die Sie an Directory Connector binden möchten: Wenn Sie eine einzige AD LDS-Domäne verwenden, führen Sie die Bindung mit der vorhandenen AD LDS-Quelle aus und klicken Sie auf Bestätigen. Wenn Sie eine einzige AD LDS-Domäne verwenden, führen Sie die Bindung entweder mit der vorhandenen oder mit einer neuen Domäne aus. Wenn Sie An eine neue Domäne binden auswählen, klicken Sie auf Weiter. AD LDS kann nicht für die neue Bindung ausgewählt werden, da die vorhandene Quelle vom Typ AD DS ist. Wenn Sie mehr als eine Domäne verwenden, wählen Sie eine vorhandene Domäne aus der Liste aus oder wählen Sie An neue Domäne binden aus und klicken Sie auf Weiter. Die vorhandene Quelle muss vom Typ AD DS sein, da Sie mehr als eine Domäne verwenden. Wenn Sie An neue Domäne binden auswählen und auf Weiter klicken, können Sie AD LDS nicht für die neue Bindung auswählen.

Nächste Schritte

Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.

Directory Connector-Dashboard

Nach Ihrer ersten Anmeldung bei Directory Connector wird das Dashboard angezeigt. Hier sehen Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken, können einen Probelauf für die Synchronisierung durchführen, eine komplette oder inkrementelle Synchronisierung starten und die Eventanzeige starten, um Fehlerinformationen anzuzeigen.

Melden Sie sich erneut an, falls Ihre Sitzung abläuft.

Sie können diese Aufgaben problemlos über die Symbolleiste oder das Menü „Aktionen“ ausführen.

Tabelle 1: Dashboard-Komponenten
Komponente	Beschreibung
Aktuelle Synchronisierung	Zeigt Statusinformationen zur gegenwärtig stattfindenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige leer.
Nächste Synchronisierung	Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Plan festgelegt ist, wird Nicht geplant angezeigt.
Letzte Synchronisierung	Zeigt den Status der letzten beiden Synchronisierungen an.
Aktueller Synchronisierungsstatus	Zeigt den Gesamtstatus der Synchronisierung.
Konnektoren	Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind.
Cloud-Statistiken	Zeigt den Gesamtstatus der Synchronisierung.
Synchronisierungszeitplan	Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung.
Konfigurationszusammenfassung	Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten: Alle Objekte werden synchronisiert Alle Benutzer werden synchronisiert Gelöschte Schwelle wurde deaktiviert.

Tabelle 2: Aktionen-Symbolleiste
Aktion	Beschreibung
Inkrementelle Synchronisierung starten	Inkrementelle Synchronisierung manuell starten Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn noch keine vollständige Synchronisierung abgeschlossen wurde oder wenn eine Synchronisierung läuft.
Probelauf Synchronisierung	Führen Sie einen Probelauf für die Synchronisierung durch.
Starten der Ereignisanzeige	Starten Sie die Microsoft-Ereignisanzeige.
Aktualisieren	Aktualisieren des Cisco Directory Connector-Dashboards

Tabelle 3. Menüleiste „Aktionen“
Aktion	Beschreibung
Jetzt synchronisieren	Starten Sie eine vollständige Sofortsynchronisierung.
Synchronisierungsmodus	Wählen Sie zwischen inkrementellem und vollständigem Synchronisierungsmodus aus.
Geheimen Connector-Schlüssel zurücksetzen	Stellen Sie eine Unterhaltung zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Wenn Sie diese Aktion auswählen, wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert.
Probelauf	Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung vornehmen.
Fehlerbehebung	Aktivieren/Deaktivieren Sie die Fehlerbehebung.
Aktualisieren	Aktualisieren Sie den Cisco Directory Connector-Hauptbildschirm.
Beenden	Beenden Sie den Cisco Directory Connector.

Tabelle 4. Tastenkombinationen
Tastenkombination	Aktion
Alt +A	Öffnet das Menü Aktionen
`Alt + A + S`	Jetzt synchronisieren
`Alt + A + R`	Geheimen Connector-Schlüssel zurücksetzen
`Alt + A + D`	Probelauf
`Alt + A + S + I`	Inkrementelle Synchronisierung
`Alt + A + S + F`	Vollständige Synchronisierung
`Alt + H`	Menü Hilfe anzeigen
`Alt + H + H`	Hilfe
`Alt + H + A`	Info
`Alt + H + F`	Häufig gestellte Fragen

Automatische Upgrades festlegen

1	Wechseln Sie im Directory Connector zu Konfiguration > Allgemein und aktivieren Sie die Option Automatisch auf neue Cisco Directory Connector-Version aktualisieren.
2	Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.

Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion.

Active Directory-Objekte zum Synchronisieren auswählen

Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Verzeichniskonnektor bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.

Gruppen für die automatische Lizenzzuweisung

Mit Control Hub können Sie Lizenzzuweisungen auf Gruppenbasis verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Beim Erstellen eines Benutzers überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.

Wir empfehlen, einen LDAP-Filter zu verwenden, um nur relevante Gruppen mit der Cloud zu synchronisieren. Beispielsweise können Sie den Filter auf:

(&(cn=Beispiel)(objectclass=Gruppe))*

Dieser Filter synchronisiert alle Gruppen innerhalb des Basis-DN, bei dem der Name mit „Beispiel“ beginnt. Benutzern, die keinen Gruppen zugewiesen sind, werden Lizenzen über die automatische Standardlizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.

Objektauswahlbildschirm im Directory Connector

Gruppen für Hybrid-Datensicherheitsbereitstellungen

Im Directory Connector müssen Sie Gruppen aktivieren, wenn Sie Hybrid-Datensicherheit zum Konfigurieren einer Testgruppe für Pilotbenutzer verwenden. Anleitungen finden Sie im Bereitstellungsleitfaden für Hybrid-Datensicherheit. Diese Verzeichniskonnektor-Einstellung wirkt sich nicht auf die Synchronisierung anderer Benutzer in der Cloud aus.

Vorbereitungen

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl.
2	Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und erwägen Sie, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die zur Beispiel-Manager-Gruppe gehören, verwenden Sie einen Filter wie diesen: `(&(sAMAccountName=*)(memberOf=cn=Beispiel-Manager,ou=Beispiel,ou=Sicherheitsgruppe,dc=UNTERNEHMEN))`
3	Aktivieren Sie das Kontrollkästchen Raum identifizieren, um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen, wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie lokale Rauminformationen von Active Directory mit der Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.
4	Aktivieren Sie Gruppen, wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie keinen LDAP-Filter für die Benutzersynchronisierung zum Feld „Gruppen“ hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren. Gruppen werden standardmäßig nicht für neue Kunden synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren.
5	Aktivieren Sie Kontakte, wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten. Der Verzeichniskonnektor verwaltet nur Kontakte, die vom Konnektor synchronisiert wurden. Wenn bereits Kontakte in Control Hub vorhanden sind, werden die Kontakte durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsumfang entfernt werden, werden auch die Kontaktinformationen der Benutzer in Control Hub entfernt.
6	Konfigurieren Sie die LDAP-Filter. Durch die Angabe eines gültigen LDAP-Filters können Sie erweiterte Filter hinzufügen. Weitere Informationen zum Konfigurieren von LDAP-Filtern finden Sie in diesem Artikel.
7	Geben Sie die zu synchronisierenden lokalen Basis-DNs an, indem Sie auf Auswählen klicken, um die Baumstruktur Ihres Active Directory anzuzeigen. Hier können Sie auswählen, welche Container durchsucht werden sollen.
8	Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container für die Synchronisierung auswählen. Wählen Sie einen übergeordneten Container, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird neben dem übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container ausgewählt wurde. Sie können auf Auswählen klicken, um die ausgewählten Active Directory-Container zu übernehmen. Wenn in Ihrer Organisation alle Benutzer und Gruppen im Benutzer-Container abgelegt sind, müssen Sie die anderen Container nicht durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, müssen Sie sicherstellen, dass Sie OUs auswählen.
9	Klicken Sie auf Übernehmen. Wählen Sie eine Option: Konfig-Änderungen übernehmen Probelauf Abbrechen Informationen zu Probeläufen finden Sie unter Durchführen einer Probelauf-Synchronisierung für Ihre Active Directory-Benutzer. Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen.

Benutzerattribute zuordnen

Sie können die Attribute aus Ihrem lokalen Active Directory zu den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.

Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll – Sie können beispielsweise firstName lastName in Active Directory oder einen benutzerdefinierten Attributausdruck displayName in der Cloud zuordnen.

Konten in Active Directory benötigen eine E-Mail-Adresse, und die uid wird standardmäßig zum Feld ad der E-Mail zugeordnet (nicht zu sAMAccountName).

Wenn Sie festlegen, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, ist Active Directory die einzige Informationsquelle: Benutzer können ihre Spracheinstellung in den Webex-Einstellungen nicht ändern, und Administratoren können die Einstellung in Control Hub nicht ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattribute-Zuordnung aus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet.
2	Scrollen Sie zum Ende der Active Directory-Attributnamen und wählen Sie dann eines der folgenden Active Directory-Attribute aus, um das Cloud-Attribut uid zuzuordnen: E-Mail – wird in den meisten Bereitstellungen für das E-Mail-Format verwendet. userPrincipalName – Eine alternative Wahl, wenn Ihr E-Mail-Attribut für andere Zwecke in Active Directory verwendet wird. Dieses Attribut muss im E-Mail-Format vorliegen. Sie können beliebige andere Active Directory-Attribute der uid zuordnen. Wir empfehlen jedoch, „mail“ oder „userPrincipalName“ zu verwenden, wie in den obigen Richtlinien beschrieben. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, mit welchen Attributen in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen im Directory Connector. Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen ausgewählte Active Directory-Attribut im E-Mail-Format vorliegt. Der Verzeichniskonnektor zeigt ein Popup-Fenster an, das Sie daran erinnert, wenn Sie eines der empfohlenen Attribute nicht auswählen.
3	Wenn die vordefinierten Active Directory-Attribute in Ihrer Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können. Klicken Sie auf Hilfe, um weitere Informationen zu den Ausdrücken zu erhalten und Beispiele für die Funktionsweise von Ausdrücken anzuzeigen. Weitere Informationen finden Sie auch unter Ausdrücke für angepasste Attribute. Ordnen wir in diesem Beispiel die Active Directory-Attribute `givenName` und `Sn` dem Cloud-Attribut `displayName` zu: Definieren Sie den Attributausdruck givenName + "" + Sn (bei den Anführungszeichen handelt es sich um ein zusätzliches Leerzeichen) und geben Sie dann die E-Mail-Adresse eines vorhandenen Benutzers zur Überprüfung an. Klicken Sie auf Überprüfen, und prüfen Sie, ob das Ergebnis mit dem übereinstimmt, was Sie erwartet haben. Ein erfolgreiches Ergebnis sieht so aus: Wenn die Ergebnisse den erwarteten Ergebnissen entsprechen, klicken Sie auf OK, um das neue angepasste Attribut zu speichern. Wenn Sie später den displayName ändern möchten, können Sie einen neuen Attributausdruck eingeben. Der Directory Connector überprüft den Attributwert von uid im Identitätsdienst und ruft 3 verfügbare Benutzer unter den aktuellen Benutzerfilteroptionen ab. Wenn alle diese 3 Benutzer ein gültiges E-Mail-Format haben, zeigt der Cisco Directory Connector die folgende Meldung an: Wenn das Attribut nicht verifiziert werden kann, wird die folgende Warnung angezeigt und Sie können zu Active Directory zurückkehren, um die Benutzerdaten zu überprüfen und zu korrigieren:
4	(Optional) Wählen Sie Zuordnungen für Mobilgeräte und Telefonnummer aus, wenn Mobil- und Geschäftsnummern angezeigt werden sollen, beispielsweise in der Kontaktkarte des Benutzers in der Webex-App. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt. Weitere Informationen zu Anrufen über die Kontaktkarte eines Benutzers finden Sie im Bereitstellungshandbuch für Anrufe in Webex (Unified CM) (Administratoren).
5	Wählen Sie zusätzliche Zuordnungen aus, um weitere Daten in der Kontaktkarte anzuzeigen: `departmentNumber` `displayName` `Manager` `title` Nach der Zuordnung der Attribute werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt: Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren. Nachdem diese Attribute mit den einzelnen Benutzerkonten synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Benutzer der Webex-App mehr Informationen in ihren Profilen teilen und mehr voneinander erfahren. Weitere Informationen zur Funktion und zum Aktivieren finden Sie unter Profile für „People Insights“ für Webex, Jabber, Webex Meetings und Webex Events (Neu) in Control Hub.
6	Treffen Sie Ihre Auswahl und klicken Sie auf Übernehmen.

Die in Active Directory enthaltenen Benutzerdaten überschreiben die entsprechenden Daten in der Cloud für den jeweiligen Benutzer. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Alle Benutzer ohne entsprechende E-Mail-Adresse in Active Directory werden gelöscht.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Active Directory- und Cloud-Attribute

Sie können die Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattribute-Zuordnung verwenden.

In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Verzeichniskonnektor. Sie können in den Dropdown-Menüs des Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloudattribut synchronisiert wird.

Betrachten Sie die Dropdown-Attribute als Voreinstellungen. Als Alternative zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory angeben (ein Ausdruck mit mehreren Attributen), um ein einzelnes Cloudattribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise haben Sie die Flexibilität, die Anzeigenamen Ihrer Benutzer zu bestimmen. Sie können beispielsweise einen Ausdruck hinzufügen, der basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory ein angepasstes Attribut erstellt.

Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.

Sie können auch alternative E-Mail-Adressen verwenden, z. B. wenn Sie den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall dem Attribut emails;type-work eine andere E-Mail-Adresse zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.

Active Directory-Attributnamen	Webex-Cloud-Attributnamen	Hinweise
—	buildingName	—
c	c	Dieses Attribut gibt die Länderabkürzung des Benutzers an.
departmentNumber	departmentNumber	Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die auf der Kontaktkarte und People Insights angezeigt wird.
displayName	displayName	Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
userAccountControl	ds-pwp-account-disabled	Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist, andernfalls werden die Benutzer nicht ordnungsgemäß synchronisiert.
employeeNumber	employeeNumber	—
facsimileTelephoneNumber	facsimileTelephoneNumber	—
—	jabberID	Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert ist nicht identisch mit sipAddresses.
l	l	Dieses Attribut gibt die Stadt des Benutzers an.
—	locale	—
Manager	Manager	Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der auf der Kontaktkarte und People Insights angezeigt wird.
mobile	mobile	Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen.
o	o	Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird auf der Kontaktkarte angezeigt.
ou	ou	Dieses Attribut gibt den Namen der Organisationseinheit an.
physicalDeliveryOfficeName	physicalDeliveryOfficeName	Dieses Attribut gibt den Bürostandort des Benutzers an.
postalCode	postalCode	Dieses Attribut gibt die Postleitzahl des Benutzers für die physische Postzustellung an.
preferredLanguage	preferredLanguage	Dieses Attribut legt die bevorzugte Sprache des Benutzers fest. Es werden die folgenden Formate unterstützt: xx_YY oder xx-YY. Hier sind einige Beispiele: en_US, en_GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format angeben, wird die Sprache der Organisation als bevorzugte Sprache für den Benutzer verwendet.
MSRTCSIP-PrimäreBenutzeradresse IP-Telefon	SIP-Adressen;type=Unternehmen	Dieses Attribut wird verwendet, um lokale Rauminformationen aus Active Directory mit der Cisco Webex-Cloud zu synchronisieren.
sn	sn	Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
st	st	Dieses Attribut gibt das Bundesland des Benutzers an.
streetAddress	street	Dieses Attribut gibt die Postanschrift des Benutzers für die physische Postzustellung an.
telephoneNumber	telephoneNumber	Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die zum Anrufen des Benutzers über die Kontaktkarte verwendet wird.
—	timezone	Dieses Cloudattribut gibt die Zeitzone des Benutzers an.
title	title	Dieses Attribut gibt den Titel des Benutzers an, der auf der Kontaktkarte und People Insights angezeigt wird.
typ	enterprise	—
mail userPrincipalName	Uid	Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann sich dann mit einer dieser E-Mail-Adressen anmelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen dazu, wie Sie eine alternative E-Mail-Adresse zuordnen können, finden Sie im Beispiel-Attributzuordnung unten.
userPrincipalName mail <benutzerdefiniertes Attribut>	E-Mails;Arbeit eingeben	Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.
<Neues Attribut für Azure-Benutzer objectId>	externe ID	Erstellen Sie ein neues Active Directory-Attribut, um die Objekt-ID des Azure-Benutzers zu speichern, damit sie nicht mit einem vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen.

Alternative E-Mail-Adresszuordnung

Ausdrücke für angepasste Attribute

Tabelle 5: Ausdrücke für angepasste Attribute
Vermittler	Beschreibung und Beispiel
%	Entfernt alle Zeichen vom Anfang bis zur Position des Zeichens oder des String-Arguments, falls diese übereinstimmen. Beispielausdruck `"abc@example.com" % "@"` Ergebnis `example.com`
-	Entfernt die Rückseite der Eingabezeichenfolge vom Ende der angegebenen Zeichenfolge. Beispielausdruck `„abc@example.com“ – „@“` Ergebnis `ABC`
+	Verkettet Eingabezeichenfolgen oder Ausdrücke. Beispielausdruck `„abc“ + „“ + „def“` Ergebnis `ABC DEF`
\|	Evaluiert die getrennten Ausdrücke anhand einer leeren Zeichenkette und wählt das erste nicht-leere Ergebnis aus. Beispielausdruck `„“ \| „abc“` Ergebnis `ABC`

Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit diesem Verfahren können Sie Avatarrohdaten aus einem Active Directory-Attribut synchronisieren.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie für Avatar abrufen von die Option AD-Attribut und anschließend das Avatar-Attribut aus, das die Avatar-Rohdaten enthält, die Sie mit der Cloud synchronisieren möchten.
3	Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar des Benutzers abrufen. Der Avatar wird rechts angezeigt.
4	Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit dieser Prozedur können Sie Avatare von einem Ressourcenserver synchronisieren.

Vorbereitungen

Das URI-Muster und der Variablenwert in dieser Prozedur sind lediglich Beispiele. Verwenden Sie stattdessen die tatsächlichen URLs, unter denen sich Ihre Verzeichnis-Avatare befinden.
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht öffentlich im Internet zugänglich sein.
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass auf Avatar-Daten über die NTLM-Authentifizierung oder die Basic-Auth zugegriffen werden kann.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie unter Avatar abrufen von die Option Ressourcenserver aus, und geben Sie das Avatar-URI-Muster ein – zum Beispiel *`http://www.example.com/dir/photo/zoom/{mail: .?(?=@.)}.jpg`* Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten: http://www.example.com/dir/photo/zoom/ – Der Pfad zum Speicherort aller Fotos, die synchronisiert werden sollen, befindet sich. Es muss sich um eine URL handeln, auf die der Directory Connector-Dienst auf Ihrem Server zugreifen kann. mail: – Weist den Directory Connector an, den Wert des E-Mail-Attributs aus Active Directory zu erhalten .?(?=@.) – Eine Regex-Syntax, die die folgenden Funktionen ausführt: *`. – Jedes Zeichen, das null- oder mehrmals wiederholt wird.` `? – Weist die vorangestellte Variable an, so wenige Zeichen wie möglich zuzuordnen.` `(?= ... ) – Entspricht einer Gruppe nach dem Hauptausdruck, ohne sie in das Ergebnis einzubeziehen. Der Verzeichniskonnektor sucht nach einer Übereinstimmung und fügt diese nicht in die Ausgabe ein.` `@.* – Das at-Symbol, gefolgt von einem beliebigen Zeichen, das null- oder mehrmals wiederholt wird.` `.jpg – Die Dateierweiterung für die Avatare Ihrer Benutzer. Siehe unterstützte Dateitypen in diesem Dokument und ändern Sie die Erweiterung entsprechend.`**
3	(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen benötigt, aktivieren Sie die Option Benutzeranmeldeinformationen für Avatar festlegen. Wählen Sie anschließend Aktuellen Service-Anmeldebenutzer verwenden oder Diesen Benutzer verwenden aus, und geben Sie das Passwort ein.
4	Geben Sie den Variablenwert ein – Zum Beispiel: `name@unternehmen.com.`
5	Klicken Sie auf Test, um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. Wenn in diesem Beispiel der E-Mail-Wert für einen AD-Eintrag `abcd@example.com` lautet und jpg-Bilder synchronisiert wurden, lautet der endgültige Avatar-URI`http://www.example.com/dir/photo/zoom/abcd.jpg.`
6	Nachdem die URI-Informationen überprüft wurden und korrekt angezeigt wurden, klicken Sie auf Übernehmen. Detaillierte Informationen zum Verwenden regulärer Ausdrücke finden Sie in der Microsoft Reguläre Ausdrucksprache – Schnellreferenz .

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von lokalen Rauminformationen mit der Webex Cloud

Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Webex-Geräten (Room, Desk und Board) angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Objektauswahl.
2	Aktivieren Sie das Kontrollkästchen Rauminformationen mit Cloud synchronisieren, um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf die gleiche Weise behandelt wie synchronisierte Benutzerdaten.
3	Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=enterprise. Um die Wertevalidierung zu verwenden, sollte der Wert der SIP-Adresse Pattern.compile("^([^@])(.)@(.)$") lauten. Wählen Sie MSRTCSIP-PrimaryUserAddress, falls verfügbar. Wenn das oben genannte Attribut nicht in Ihrem Active Directory-Schema vorhanden ist, verwenden Sie ein anderes Feld wie ipPhone.
4	Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann zum Identifizieren von Räumen verwendet.
5	Navigieren Sie von Active Directory-Benutzern und -Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den vollständig qualifizierten SIP-URI mit dem Präfix sip hinzu:
6	Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden Objekte hinzugefügt aufgelistet, und übereinstimmende Raumobjekte werden im Probelauf-Bericht unter Übereinstimmende Objekte angezeigt. Alle Raumobjekte, die zum Löschen markiert sind, finden Sie unter Räume gelöscht. In den Ergebnissen des Probelaufs werden alle abgestimmten Raumressourcen angezeigt. Diese Einstellung trennt die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.

Nächste Schritte

Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Cloud registrierten Webex-Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde.

Über Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.

Der Endpunkt kann einen Rückruf nicht an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte lokal oder an einem anderen Ort als der Webex-App als SIP URI registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, dem Schreibtischgerät oder dem Webex Board für den Kalenderdienst befindet, wird der doppelte Eintrag in den Suchergebnissen nicht angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App angerufen und es wird kein SIP-Anruf getätigt.

E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisation senden

Standardmäßig erhalten die Organisationskontakte oder Administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen mit einer Zusammenfassung der Verzeichnissynchronisierungsberichte erhalten soll.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benachrichtigung aus.
2	Klicken Sie im Directory Connector auf Einstellungen und aktivieren Sie neben E-Mail-Empfänger die Option Synchronisierung des Berichts aktivieren.
3	Aktivieren Sie Benachrichtigung aktivieren, wenn Sie das Standard-Benachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten.
4	Klicken Sie auf Hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
5	Klicken Sie auf E-Mail hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
6	Wenn Sie eingegebene E-Mail-Adressen bearbeiten müssen, doppelklicken Sie auf den E-Mail-Eintrag in der linken Spalte, und nehmen Sie dann die gewünschten Änderungen vor.
7	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Übernehmen.
8	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Speichern.

Nächste Schritte

Wenn Sie festgelegt haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und klicken Sie dann auf Entfernen.

Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.

Bereitstellen von Benutzern Aus Active Directory In Control Hub

Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (entweder mit einer einzelnen Gesamtstruktur oder mit mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

1	Durchführen eines Probelaufs für die Active Directory-Benutzer Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.
2	Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihren Active Directory (AD) in die Cloud. Anschließend aktualisiert der Connector-Dienst den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
3	Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen auf verschiedene Weise zuweisen. Wir empfehlen Ihnen, eine Lizenzvorlage für die automatische Zuweisung einzurichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen.

Durchführen eines Probelaufs für die Active Directory-Benutzer

Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.

Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel des Directory Connector ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud herzustellen.

Wenn Sie in einer oder mehreren Gesamtstrukturen mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Vorbereitungen

Möglicherweise befinden sich bereits einige Webex-App-Benutzer in Control Hub, bevor Sie den Verzeichniskonnektor verwendet haben. Einige der Benutzer in der Cloud können mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es können jedoch Testbenutzer sein, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Active Directory und Control Hub erstellen.

1	Wählen Sie eine Option: Klicken Sie nach der erstmaligen Anmeldung in der Eingabeaufforderung auf Ja, um einen Probelauf durchzuführen. Wenn Sie eine Erinnerung an die Durchführung eines Probelaufs verpassen, klicken Sie jederzeit über den Directory Connector auf Dashboard, wählen Sie Probelauf synchronisieren aus und klicken Sie dann auf OK, um einen Probelauf-Synchronisierung zu starten. Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt: *Nicht übereinstimmende Objekte im Directory Connector erkannt* *Zusammenfassung der Ergebnisse des Probelaufs und der nicht übereinstimmenden Objekte im Directory Connector* Die Zusammenfassung enthält Informationen über die Objektabgleich: Übereinstimmende Objekte – Ein Benutzer, der sich in Webex Common Identity befindet und auch in der Active Directory-Domäne vorhanden ist, d. h. wenn ein Benutzer@cisco.com mit Webex synchronisiert und in Control Hub angezeigt wurde und derselbe Benutzer (ein Benutzer@cisco.com) in Active Directory vorhanden ist. Dies bedeutet, dass der Benutzer zugeordnet wurde. Nicht übereinstimmende Objekte: Ein Benutzer, der sich in Webex befindet, unabhängig davon, wie er in Common Identity hinzugefügt wurde, aber nicht in Active Directory vorhanden ist. Es wird als Nicht übereinstimmendes Objekt bezeichnet. Beispiel: Wenn ein Benutzer@cisco.com in Webex synchronisiert und in Control Hub angezeigt wurde, aber derselbe Benutzer (Benutzer@cisco.com) nicht von Active Directory verwaltet wird, zeigt der Bericht an, dass der Benutzer nicht übereinstimmt. Der Probelauf identifiziert die Benutzer, indem er sie mit Domänenbenutzern vergleicht. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten möchten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory.
2	Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option aus, je nachdem, ob Sie eine einzelne oder mehrere Domänen verwenden: Einzeldomäne – Entscheiden Sie, ob Sie die nicht übereinstimmenden Benutzer beibehalten möchten. Wenn Sie sie behalten möchten, wählen Sie Nein, Objekte behalten aus. Wenn Sie dies nicht tun, wählen Sie Ja, Objekte löschen. Nachdem Sie diese Schritte ausgeführt haben und eine vollständige Synchronisierung manuell durchführen, damit eine exakte Übereinstimmung zwischen dem lokalen Standort und der Cloud vorliegt, aktiviert der Directory Connector automatisch geplante automatische Synchronisierungsaufgaben. Mehrere Domänen: Führen Sie für eine Organisation mit Domäne A und Domäne B zunächst einen Probelauf für Domäne A durch. Wenn Sie nicht übereinstimmende Benutzer behalten möchten, wählen Sie Nein, Objekte behalten aus. (Diese nicht übereinstimmenden Benutzer können Mitglieder von Domäne B sein.) Wenn Sie löschen möchten, wählen Sie Ja, Objekte löschen aus. Wenn Sie die Benutzer beibehalten, führen Sie zuerst eine vollständige Synchronisierung für Domäne A und anschließend einen Probelauf für Domäne B durch. Wenn es immer noch Benutzer gibt, die nicht übereinstimmen, fügen Sie diese Benutzer in Active Directory hinzu, und führen Sie anschließend eine vollständige Synchronisierung für Domäne B durch. Wenn eine exakte Übereinstimmung zwischen lokal und Cloud vorliegt, aktiviert der Verzeichniskonnektor automatisch angesetzte automatische Synchronisierungsaufgaben.
3	Klicken Sie in der Aufforderung Probelauf bestätigen auf Ja, um die Synchronisierung des Probelaufs erneut durchzuführen und das Dashboard anzuzeigen, um die Ergebnisse anzuzeigen. Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter Übereinstimmende Objekte angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschungsmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched, um Details der synchronisierten Elemente anzuzeigen. Klicken Sie auf Ergebnisse in Datei speichern, um die Zusammenfassung zu speichern.
4	Wenn die Ergebnisse erwartet werden, gehen Sie zu Aktionen > Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt aktivieren, um eine manuelle Synchronisierung durchzuführen und an diesem Punkt in den manuellen Modus zu versetzen. Nachdem Sie eine Synchronisierung mit der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte zwischen der Webex-Cloud und allen lokalen Active Directories vollständig übereinstimmen.

Nächste Schritte

Alle nicht übereinstimmenden Benutzerobjekte, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen lokaler und Cloud-Umgebung besteht.
Wählen Sie einen Synchronisierungstyp:
- Führen Sie eine vollständige Synchronisierung der Active Directory-Benutzer in der Cloud durch, wenn Sie neue Benutzer zum ersten Mal mit der Cloud synchronisieren. Tun Sie dies über Aktionen > Jetzt synchronisieren > Voll. Anschließend werden die Benutzer aus der aktuellen Domäne synchronisiert.
- Legen Sie den Connector-Zeitplan fest und Führen Sie eine inkrementelle Synchronisierung durch, nachdem Sie eine vollständige Synchronisierung durchgeführt haben und wenn Sie die Änderungen nach der ursprünglichen Synchronisierung übernehmen möchten. Diese Art der Synchronisierung wird empfohlen, um kleine Änderungen an der Active Directory-Benutzerquelle zu übernehmen.
  
  Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben.
Wenn Sie über mehrere Domänen verfügen, wiederholen Sie diese Schritte auf einem anderen Directory Connector, den Sie installiert haben.

Wichtige Hinweise

Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisation dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeberichte überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.

Wenn übereinstimmende Benutzer als gelöscht markiert werden und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und wenden Sie sich unter Fehlerbehebung und Fehlerbehebungen für Directory Connector an den Support.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen

Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihren Active Directory (AD) in die Cloud. Anschließend aktualisiert der Connector-Dienst den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.

Wenn Sie über mehrere Domänen verfügen, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Directory Connector synchronisiert den Benutzerkontostatus: In Active Directory werden als deaktiviert gekennzeichnete Benutzer in der Cloud als inaktiv angezeigt.

Vorbereitungen

Wenn sich die Webex-App-Benutzerkonten nach der vollständigen Synchronisierung im Status „Aktiv“ befinden sollen, bevor sich die Benutzer zum ersten Mal anmelden, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:
- Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Siehe Einmalige Anmeldung mit Cisco Webex-Diensten und dem Identitätsanbieter Ihrer Organisation um mehr zu erfahren.
- Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe Domänen hinzufügen, verifizieren und beanspruchen.
- Automatische E-Mail-Einladungen unterdrücken, sodass neue Benutzer die automatische E-Mail-Einladung zur Webex-App nicht erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
  
  Aktivierte Benutzer, die sich nicht angemeldet haben, werden in Control Hub mit dem Status Verifiziert angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub.
Wenn Sie die Synchronisierung aktivieren, werden Sie vom Verzeichniskonnektor zuerst aufgefordert, einen Probelauf durchzuführen. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu ermitteln.
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.

Wenn Sie keine Lizenzvorlagen für die automatische Zuweisung verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie können dieselben kostenlosen Funktionen wie Benutzer mit kostenlosen Konten verwenden.

1	Wählen Sie eine Option: Wenn nach der erstmaligen Anmeldung der Probelauf abgeschlossen ist und für alle Domänen korrekt aussieht, klicken Sie auf Jetzt aktivieren, um die automatische Synchronisierung zuzulassen. Wechseln Sie vom Directory Connector zum Dashboard, klicken Sie auf Aktionen, wählen Sie Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt synchronisieren > Vollständig, um die Synchronisierung zu starten.
2	Wechseln Sie im Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Vollständige Synchronisierung aus.
3	Bestätigen Sie den Start der Synchronisierung. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch bis zu 72 Stunden nach der Synchronisierung angezeigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Benutzerdaten werden mit der Cloud synchronisiert. Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.
4	Klicken Sie auf Aktualisieren, wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik angezeigt.)
5	Wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um weitere Informationen zu Fehlern zu erhalten, um die Fehlerprotokolle anzuzeigen.
6	Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen mit der Cloud finden Sie unter Festlegen des Connector-Zeitplans und Ausführen einer inkrementellen Synchronisierung.

Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung auf der Seite Einstellungen in Control Hub von Deaktiviert zu Betriebsbereit aktualisiert.
Wenn alle Daten zwischen lokaler und Cloud-Umgebung abgeglichen werden, wechselt der Verzeichniskonnektor vom manuellen Modus in den automatischen Synchronisierungsmodus.
Sofern Sie die Einzelanmeldung nicht integrieren, Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben und automatische E-Mails unterdrücken, bleiben die Benutzerkonten der Webex-App im Status „Nicht verifiziert“, bis sich die Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Eine Anleitung zur Synchronisierung der Konten als aktive Benutzer finden Sie im Abschnitt „Vorbereitungen“.
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf einem anderen installierten Directory Connector aus. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
Wenn Sie Single Sign-On in Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
Sie können Benutzer in Control Hub nicht manuell hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung wird die Benutzerverwaltung über den Cisco-Verzeichniskonnektor durchgeführt, und Active Directory ist die zentrale Informationsquelle.
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.

Nächste Schritte

Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung soft gelöscht. Der Benutzer wird inaktiv, aber das Cloud-Identitätsprofil wird sieben Tage lang beibehalten (um eine Wiederherstellung nach einer versehentlichen Löschung zu ermöglichen).

Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer nach der nächsten Synchronisierung inaktiv. Das Cloud-Identitätsprofil wird nach sieben Tagen nicht gelöscht, falls Sie den Benutzer erneut aktivieren möchten.
Beachten Sie diese Ausnahmen bei einer inkrementellen Synchronisierung (befolgen Sie stattdessen die obigen vollständigen Synchronisierungsschritte):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Konfigurationsänderungen bei der Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.

Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen

Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco-Verzeichniskonnektor mit Control Hub abgeschlossen haben, können Sie mit Control Hub allen Ihren Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Nachdem Sie die vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Methoden in Control Hub verwenden, um all Ihren Benutzern – einzelnen Benutzern – über die CSV-Massenvorlage global Webex-Dienstlizenzen zuzuweisen oder neuen Benutzern automatisch zuzuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken, wenn Sie Ihre Benutzer direkt kontaktieren möchten.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Führen Sie einen Probelauf für die Synchronisierung der Active Directory-Benutzer durch.
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung mit Ihren Active Directory-Benutzern durch.

Bei der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und es wird keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine Standard-Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreiches automatisches Abschließen der Zuweisung.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Benutzer, klicken Sie auf Benutzer verwalten, wählen Sie Alle synchronisierten Benutzer ändern und klicken Sie dann auf Weiter.

2

Wählen Sie eine Option:

Nächste Schritte

Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung gesendet, um Webex beizutreten und herunterzuladen.
Wenn Sie für alle Benutzer dieselben Webex-Dienste ausgewählt haben, können Sie anschließend die zugewiesene Lizenz einzeln oder gesammelt ändern.

Verwandte Informationen

Möglichkeiten zum Hinzufügen und Verwalten von Benutzern in Ihrer Organisation

Bekannte Probleme mit dem Directory Connector

Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das sich auf den Directory Connector auswirkt. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.

Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, läutet der Anruf zu diesem Zeitpunkt unbegrenzt.

Directory Connector – Problembehandlung

Upgrade auf die neueste Softwareversion

Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie kein Upgrade auf die neueste verfügbare Version durchführen, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische TLS 1.2-Anforderung nicht unterstützt.

Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.

Obwohl Sie Connector-Softwareaktualisierungen manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.

1	Klicken Sie in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten.
2	Befolgen Sie die Anweisungen, um das Upgrade durchzuführen.
3	Starten Sie den Connector neu, und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an.
4	Überprüfen Sie die Versionsnummer der Software unter Hilfe > Info über.

Nächste Schritte

Für eine neue Installation von Directory Connector können Sie die ZIP-Datei herunterladen und dann die Installationsschritte in diesem Handbuch befolgen.

Konfigurieren von allgemeinen Einstellungen für Directory Connector

Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Allgemein.
2	Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird.
3	Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen: Info (Standard) – Zeigt Informationsnachrichten an, die den Fortschritt der Anwendung auf einer hohen Ebene hervorheben. Verwenden Sie diese Einstellung, wenn Sie Berichte nach allen vollständigen Synchronisierungen empfangen möchten. Warnung – zeigt potenziell gefährliche Situationen an. Debug – Zeigt detaillierte Informationsereignisse an, die für das Debuggen einer Anwendung am nützlichsten sind. Wenn Sie ein Problem feststellen, legen Sie diese Protokollebene fest und senden Sie das Ereignisprotokoll an den Support, wenn Sie einen Fall erstellen. Fehler – Zeigt Fehlerereignisse an, die die Ausführung der Anwendung möglicherweise trotzdem ermöglichen. Wenn Sie diese Option auswählen, werden Synchronisierungsberichte nur dann gesendet, wenn Fehler gemeldet werden. Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf Fehler festlegen, werden nur Fehler im Synchronisierungsbericht gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“. Nach der vollständigen Synchronisierung erhalten Sie Synchronisierungsberichte. (Beachten Sie, dass für die inkrementelle Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.)
4	Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen.
5	Aktivieren Sie Automatisches Upgrade auf neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, dass Ihre Cisco Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
6	Aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSL nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher.

Connector-Richtlinie konfigurieren

Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.

Sie legen beispielsweise 1 als Schwellenwert für den Löschvorgang fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus.
2	Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
3	Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20. Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen.
4	Klicken Sie auf Übernehmen.

Legen Sie den Connector-Zeitplan fest

Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Zeitplan aus.
2	Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben.
3	Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden.
4	Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll.
5	Geben Sie einen Wert für Failover-Intervall in Minuten an.
6	Klicken Sie auf Übernehmen.

Szenarien mit mehreren Domänen

Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.

Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.

Szenarien mit mehreren Domänen

Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.

Beispielanwendungen für mehrere Domänen

Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.

Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.

Synchronisierung auf example1.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.

User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.

Synchronisierung für example1.com und example2.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Stellen Sie sich das folgende Szenario vor:

Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.

Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne

Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.

Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.

Domänenpriorität festlegen

Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.

Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.

Vorbereitungen

Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie steht unter https://admin.webex.com zum Download bereit.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen.
3	Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern. Die Domänen werden in absteigender Reihenfolge sortiert.

Domäne wechseln

Mit diesem Verfahren können Sie den Cisco-Verzeichniskonnektor erneut an eine andere Domäne binden.

Vorbereitungen

Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie müssen sie über Control Hub herunterladen.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln.
3	Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, die Registrierung anderer Domänen im Connector wird aufgehoben, und die Connector-Informationen auf diesem Computer werden gelöscht.
4	Melden Sie sich erneut beim Cisco-Verzeichniskonnektor an, und binden Sie die Domäne erneut.

Verzeichnissynchronisierung deaktivieren

Wenn Sie die Synchronisierung über den Verzeichniskonnektor beenden müssen, können Sie sie über Control Hub vorübergehend deaktivieren.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:

Klicken Sie auf „Mehr“ und anschließend neben der Connector-Instanz, die Sie deaktivieren möchten, auf Deaktivieren .
Klicken Sie auf Alle Verzeichnissynchronisierungen deaktivieren, um die Synchronisierung von allen Connector-Instanzen zu beenden.

2

Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten.

Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren.

Benutzerattributzuordnung entfernen

Verwenden Sie den Verzeichniskonnektor, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Benutzerattributzuordnung entfernen.
3	Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus.
4	Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus: Nur mit Verzeichniskonnektor synchronisierte Benutzer: Die Zuordnung wird nur von Benutzern entfernt, die zuvor mit dem Directory Connector synchronisiert worden sind. Alle Nutzer: Die Zuordnung wird von allen Active Directory-Benutzern entfernt.
5	Klicken Sie auf Übernehmen.

Profilbilder verwalten

Verwenden Sie den Verzeichniskonnektor, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Profilbilder verwalten.
3	Wählen Sie unter Aktionen eine der folgenden Optionen aus: Profilbilder für leere Avatar-Quellen entfernen: Wenn das Active Directory-Profilbild leer ist, stellt diese Option sicher, dass die Benutzerprofilbilder aus der Cloud entfernt werden, auch wenn der Benutzer zuvor sein eigenes Bild in Webex hochgeladen hat. Laden Sie die synchronisierte Quelle erneut hoch, um zwischengespeicherte Bilder zu überschreiben: Der Directory Connector verwendet zum Aktualisieren der Profilbilder für alle Benutzer dasselbe Active Directory wie zuvor. Dadurch wird sichergestellt, dass es keine Diskrepanz zwischen den Profilbildern in Active Directory und der Cloud gibt.
4	Klicken Sie auf Übernehmen.

Directory Connector deinstallieren und deaktivieren

Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:

Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
Sie möchten die Domäne ändern und einen anderen Connector installieren.

Vorbereitungen

Möglicherweise werden mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder Synchronisierung mit mehreren Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie den Directory Connector deinstallieren.

1	Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen.
2	Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallieren aus und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen.
3	Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr und anschließend neben der Directory Connector-Instanz, die Sie deinstallieren möchten, auf Deaktivieren .
4	Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren. Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung.

Ausführen des Diagnosetools

Sie können das integrierte Diagnosetool verwenden, um Fehler bei der Directory Connector-Bereitstellung zu beheben. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.

Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.

So führen Sie Tests für Active Directory-Domänendienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-DS , geben Sie Ihre Domäne ein und klicken Sie dann auf Domänencontroller laden.
2. Wählen Sie einen Domänencontroller aus der Liste aus.
  
  Ändern Sie den Eintrag nicht später, da die inkrementelle Suche immer im selben Domänencontroller ausgeführt werden muss.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie im Abschnitt Active Directory-Abfragen weitere Filter, z. B. entweder Benutzer oder Gruppen -Objekte und Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-LDS , geben Sie Ihren Host und Ihren Port ein und klicken Sie dann auf Partitionen laden.
2. Wählen Sie eine Partition aus der Liste aus, und klicken Sie dann auf Verbinden.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie weitere Filter im Abschnitt Active Directory-Abfragen , z. B. Benutzer, UserProxy und UserProxyFull sowie Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte LDAP RAW , geben Sie Ihren Stammpfad und Filter ein, wählen Sie einen Eintrag unter Attribute aus und klicken Sie dann auf Lade-Partitionen.
2. Überprüfen Sie bei Bedarf die folgenden Optionen:
  - ObjectSecurity: Wenn diese Option vorhanden ist, benötigt der Anrufer keine Rechte und kann nur Objekte und Attribute sehen, auf die der Anrufer zugreifen kann. Wenn diese Option nicht vorhanden ist, hat der Anrufer das Recht, Änderungen zu replizieren.
  - ParentsFirst – Stellt sicher, dass alle Eltern der Kinder vor ihre Kinder kommen.
3. Wählen Sie einen Wert für ExtendedDN aus.
  
  Dieser Wert wird bei einer erweiterten LDAP-Suche verwendet, um eine erweiterte Form von Objekt-Distinguished Name anzufordern.
4. Wählen Sie einen Wert für ReferralChasing aus.
  
  Eine Weiterleitungsverfolgung wird initiiert, wenn ein Domänencontroller eine Weiterleitung von einer Abfrage zurückgibt – beispielsweise für Details zu einem Abfrageergebnis, das außerhalb des Namensraums liegen kann (z. B. Gruppenmitglieder in einer anderen Domäne oder einem Wald).
5. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
6. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.

Beheben von Problemen im Ciso Directory Connector

Fehlerbehebung und Fehlerbehebungen für den Directory Connector

Möglicherweise tritt eine Fehlermeldung oder ein anderes Problem im Directory Connector auf. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet der Connector Ihnen möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. Bevor Sie sich an den Support wenden, lesen Sie die folgenden Abschnitte über mögliche Probleme, mögliche Ursachen und vorgeschlagene Lösungen.

Installieren

Directory Connector funktioniert nicht mehr

Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber benachrichtigt wurden, dass Ihr Directory Connector nicht funktioniert.

Der Directory Connector ist möglicherweise nicht korrekt installiert.
Directory Connector wird möglicherweise nicht ausgeführt.
Das Netzwerk ist möglicherweise nicht verfügbar.

Gehen Sie wie folgt vor:

Öffnen Sie Systemsteuerung > Programme und Funktionen. Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
Öffnen Sie den Dienst und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status Gestartet angezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, über Internetzugang verfügt.

Fehler bei erneuter Installation

Problem: Wenn Sie sofort einen neuen Connector installieren, nachdem Sie einen alten deinstalliert haben, wird möglicherweise eine Fehlermeldung angezeigt.

Mögliche Ursache: In Windows Server 2012 benötigt der Client zur Deinstallation Zeit, um das Dienstkonto aus der Dienstliste zu löschen.

Lösung: Versuchen Sie die Installation nach einiger Zeit erneut.

Anmelden

Directory Connector stürzt bei der SSO-Anmeldung ab

Problem

Der Directory Connector kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.

Lösung

Gehen Sie wie folgt vor:

Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:

Wechseln Sie zum Domänencontroller und öffnen Sie Group Policy Management (gpedit.msc).
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne, und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie Bearbeiten aus.

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter Key Path die Option HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter SchlüsselpfadHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Die Änderungen werden wirksam, nachdem Sie gpupdate /force ausgeführt haben, die Maschine neu gestartet wurde (bei Änderungen am Computer) oder sich der Benutzer erneut anmeldet (bei Änderungen am Benutzer).

Cisco DirSync Service Connector konnte nicht registriert werden

Problem

Anmeldung fehlgeschlagen, und die folgende Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“

Lösung

Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.

Die Seite „Keine Anmeldung“ wird angezeigt

Problem

Sie haben den Verzeichniskonnektor geöffnet und die Anmeldeseite wurde nicht angezeigt.

Fehlerbehebung: Die Seite „Keine Anmeldung“ wird angezeigt

Lösung

Gehen Sie wie folgt vor:

Navigieren Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie den Link in anderen Browsern wie Chrome und Firefox.
Wenn Internet Explorer den Link nicht aufrufen kann, andere Browser dies jedoch können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren .)

Anmeldeaufforderung wird angezeigt

Problem

Es wird eine Aufforderung angezeigt, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu bestehen.

Mögliche Ursache

Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.

Lösung

Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Übergabe der Sicherheit bereitstellen.

Verbindung zum Remote-Server nicht möglich

Problem

Während des normalen Betriebs wird die Fehlermeldung „Keine Verbindung zum Remote-Server möglich“ angezeigt.

Mögliche Ursache

Möglicherweise gibt es Proxy-Probleme, die behoben werden müssen.

Lösung

Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung mit Dienstkonto beheben .

Konnektor kann nicht registriert werden.

Problem

Es wird die Fehlermeldung „Der Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“

Mögliche Ursache

In den meisten Fällen liegt das Problem darin, dass der Directory Connector keine Berechtigung für eine Verbindung mit dem LDAP-Stammkontext hat.

Lösung

Gehen Sie wie folgt vor:

Führen Sie eine Eingabeaufforderung (cmd) aus, und geben Sie ldp.exe ein.
Klicken Sie auf Verbindung > Binden, wählen Sie Als aktuell angemeldeten Benutzer binden und klicken Sie dann auf OK.
Klicken Sie auf Ansicht > Baum, geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall beim Support.

Synchronisierung

Avatare nicht synchronisiert

Problem

Der Cisco Directory Connector hat die Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatar-Daten erfolgreich synchronisiert.

Mögliche Ursache

Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache diese und vermeidet es, erneut zu senden, um Bandbreite zu sparen.

Lösung

Führen Sie die folgenden Schritte aus, um den lokalen Cache zu löschen:

Gehen Sie zu C:\Programme (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Löschen DirSyncPluginAvatar.dll-cache.bin.
Führen Sie die Avatar-Synchronisierung über den Cisco-Verzeichniskonnektor erneut aus.

In Konflikt stehende Benutzer-E-Mail-Konten

Problem

Die Synchronisierungsergebnisse können in Konflikt stehende Benutzer-E-Mail-Konten anzeigen.

Wenn Benutzer die kostenlose Version der Webex-App versucht haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.

Lösung

Gehen Sie wie folgt vor:

Befolgen Sie die folgenden Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
1. Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
2. Deaktivieren Sie Cisco Directory Connector vorübergehend.
3. Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucherorganisation vorhanden sein könnten. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
4. Probelauf im Cisco Directory Connector durchführen und die Verzeichnissynchronisierung anschließend erneut aktivieren
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen.

Konvertierter Benutzer als inaktiv markiert

Problem

In Ihrer verzeichnissynchronisierten Umgebung haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.

Mögliche Ursache

Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer als 30 Tage lang als inaktiv markiert, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des Zeitraums von 30 Tagen zur Löschung markiert. Diese Situation tritt auf, da sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.

Lösung

Sie müssen entsprechende Maßnahmen ergreifen, wenn das Benutzerkonto nicht gelöscht werden soll. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.

Inkrementelle Synchronisierung schlägt fehl

Problem

Eine inkrementelle Synchronisierung schlägt fehl.

Dieses Problem kann unter folgenden Bedingungen auf Windows Server 2008 R2 auftreten:

Sie unterstützen inkrementelle Wertaktualisierungen.
Der Filter, den Sie verwenden, referenziert ein verknüpftes Werteattribut.
Die Ergebniswerte dieses Attributs wurden seit der letzten Durchführung einer vollständigen Synchronisierung aktualisiert.

Lösung

Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihren Windows Server auf mindestens 2012 R2 zu aktualisieren.

Ungültiger Wert für Merkmal

Problem

Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].

Mögliche Ursache

Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.

Lösung

Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.

Übereinstimmende Benutzer zum Löschen

Problem

Die übereinstimmenden Benutzer werden als gelöscht markiert.

Wenn Sie einen Probelauf zur Überprüfung der Daten zwischen Active Directory und der Cloud durchführen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Systemen angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.

Lösung

Wählen Sie eine geeignete Lösung:

Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen danach zu wiederholen, können Sie den Directory Connector für die Behebung verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Support-Fall.

Attribut fehlt

Problem

Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.

Mögliche Ursache

Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsbenutzer,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert aufweisen.

Lösung

Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.

Verschachtelte Gruppe wird nicht synchronisiert

Problem

Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.

Mögliche Ursache

Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Beispiel: (Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)

Lösung

Sie müssen den Filter, der Gruppen synchronisiert, neu konfigurieren. Beispiel: |(Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)(Mitglied=CN=testSubGroup,CN=Benutzer,DC=rktest2008,DC=org)

Konflikt bei Benutzerbenennung

Problem

Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und des Benutzertyps [user_type].

Mögliche Ursache

Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.

Lösung

Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.

Control Hub

Benutzerliste fehlt in Control Hub

Problem

Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird Ihnen die Benutzerliste in Control Hub möglicherweise nicht angezeigt.

Lösung

Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Wechseln Sie in Control Hub zu Benutzer, klicken Sie auf Suchen Schaltfläche „Suchen“ und geben Sie dann Suchkriterien ein, um nach einem bestimmten Benutzer zu suchen.

Gruppen werden nicht mit Control Hub synchronisiert

Problem

Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.

Mögliche Ursache

Die Gruppe ist in Active Directory nicht als isCriticalSystemObject markiert.

Lösung

Stellen Sie sicher, dass das Attribut isCriticalSystemObject in Active Directory auf TRUE gesetzt ist.

Problembehandlung für den Directory Connector aktivieren

Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.

Die Protokolldateien, die sind: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Führen Sie die Datei `services.msc` aus, um das ausgeführte Konto für den Directory Connector-Dienst vom lokalen System in ein Domänenkonto zu ändern, das über Zugriffsberechtigungen für Ihr AD DS oder AD LDS verfügt.
2	Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten.
3	Klicken Sie im Directory Connector auf Dashboard.
4	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Fehlerbehebung.
5	Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können.
6	Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt. Der Protokollordner speichert nur Dateien für die letzten 3 Tage. Der Inhalt in den Protokolldateien entspricht der Ausgabe des Ereignisprotokolls für das System.
7	Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten.
8	Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind.

Weitere Informationen

Support kontaktieren

Starten der Ereignisanzeige

Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Dashboard und klicken Sie auf Aktion > Ereignisanzeige starten. Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails.
2	Wechseln Sie in der Ereignisanzeige zu Anwendungs- und Dienstprotokolle > Cisco Directory Connector.
3	Klicken Sie unter Aktionen auf Alle Events speichern unter , um alle Protokolle als einzelne Events-Datei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren.

Nächste Schritte

Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und fügen Sie dann die Events-Datei an Ihren Fall an.

In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Hilfe bei der Verwaltung des Netzwerkdatenverkehrs zu erhalten.

TLS in Internet Explorer aktivieren

Wenn Sie Single Sign-On (SSO)-Anbieter gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:

Bei der Anmeldung am Dienst ist ein Fehler aufgetreten
Im Skript auf dieser Seite ist ein Fehler aufgetreten

Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.

1	Öffnen Sie Internet Explorer und wählen Sie Werkzeuge aus. Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die aktiviert werden soll. Klicken Sie auf OK. Schließen Sie den Browser und öffnen Sie ihn erneut.
2	Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , und scrollen Sie zu Sicherheit.
3	Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden , und klicken Sie auf OK.
4	Starten Sie das System neu, damit die Änderungen übernommen werden.

Anmeldeprobleme für Dienstkonten beheben

Wenn Sie sich nicht beim Cisco Directory Connector anmelden können oder keine Synchronisierung durchführen können, versuchen Sie anhand der folgenden Schritte, das Problem zu beheben, bevor Sie sich an den Support wenden.

1

Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen.

2

Wählen Sie je nach den Ergebnissen eine Option:

Wenn Sie den Link nicht über Ihren Browser aufrufen können, überprüfen Sie Ihre Netzwerkeinstellungen. Wenn Sie in Ihrer Umgebung einen Proxy verwenden, überprüfen Sie die Proxy-Einstellungen.
Wenn Sie den Link über Ihren Browser aufrufen, aber den Cisco Directory Connector nicht öffnen können (Fehler 407 kann nicht geöffnet werden), klicken Sie hier , um die neueste Version des Cisco Directory Connector abzurufen.
Wenn Sie den Link über Ihren Browser aufrufen, aber keine Synchronisierung über den Cisco Directory Connector durchführen können, ändern Sie das Konto für die Dienstanmeldung in Domänenadministrator.

Überprüfen Sie, ob das Konto, mit dem Sie sich beim Windows-System angemeldet haben, dasselbe Konto ist, das Sie unter „Cisco DirSync-Dienst“ festgelegt haben. Wenn es sich um 2 verschiedene Konten handelt, stellen Sie sicher, dass beide Konten https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL besuchen können. Wenn Ihre Umgebung einen Proxy verwendet, stellen Sie sicher, dass beide Konten im Internet Explorer für den Proxy konfiguriert sind und https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL erfolgreich aufrufen können.

3

Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (das unter den Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar- und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung für das Windows-Anmeldekonto.

Weitere Informationen

Support kontaktieren

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Übersicht über Cisco Directory Connector

Directory Connector – Übersicht

Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.

Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur zentralen Informationsquelle wird. Wenn Sie eine Änderung lokal vornehmen, wird diese in die Cloud kopiert.

In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:

Funktion	Beschreibung und Vorteil
Benutzerfreundliches Dashboard	Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden.
Probelauf, bevor die Synchronisierung in die Cloud durchgeführt wird	Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor sie in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen.
Vollständige und inkrementelle Synchronisierung	Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen.
Synchronisieren mehrerer Domänen (einzelne Gesamtstruktur oder mehrere Gesamtstrukturen)	Directory Connector unterstützt mehrere Domänen entweder in einer einzelnen Gesamtstruktur oder in mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Der Control Hub spiegelt den Status wider, indem er den Synchronisierungsstatus für mehrere Directory Connectors anzeigt. Damit können Sie die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Directory Connector in einer Hochverfügbarkeitsbereitstellung deaktivieren.
Geplante Synchronisierung	Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest.
LDAP-Filter (Lightweight Directory Access Protocol)	Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit.
Active Directory-Attributzuordnung	Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um die Cloud zuzuordnen. Die Attribute aus dem Standort bilden verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, Enteprise-Telefonnummern in Webex Teams, Raumressourcen-SIP-Adressen und andere Kontaktkartendaten des Benutzers (Stellenbezeichnung, Abteilung, Manager usw.).
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung	Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud-PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte haben, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten auf ihren Cisco Webex Calling (Cloud-PSTN)-Telefonen oder Raumressourcen durchsuchen. Raumressourcen Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugewiesenen SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Cisco Webex Raumgerät oder Cisco Webex Board angezeigt. Wenn Benutzer eine Suche auf einem Cisco Webex Room-Gerät oder Cisco Webex Board durchführen, werden die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde. Anrufe Benutzer können zusätzlich zu den Webex-App-Kontakten Unternehmenskontakte anrufen. Über den Directory Connector werden die Unternehmensbenutzer und ihre Telefonnummern zu Ihrer Webex-Organisation hinzugefügt. Sie müssen nicht für Webex-Dienste lizenziert sein, damit diese Funktion funktioniert. Benutzer, die nicht für Webex lizenziert sind, werden in der Verzeichnissuche angezeigt, die auf dem Telefon eines Cisco Webex Calling-Benutzers durchgeführt wird, solange eine URI oder eine Telefonnummer über den Verzeichniskonnektor mit Webex synchronisiert ist. Die Anrufe funktionieren gleich für beide Benutzertypen. Außerdem bietet dieses Feature eine Bearbeitungsfunktion für Kontakte, die nur eine Telefonnummer enthalten. Für die Kontakte in den Suchergebnissen gilt Folgendes: Wenn Kontakte eine wählbare URI (Webex-SIP-Adresse) und eine Telefonnummer haben, wird die URI angezeigt, die mit dem Kontakt verknüpft ist. Wenn ein Kontakt keine wählbare URI, dafür jedoch eine Telefonnummer hat, wird die Telefonnummer angezeigt. Außerdem wird ein Softkey zum Bearbeiten der gewählten Nummer angezeigt. Kontakte ohne URI oder Telefonnummer werden nicht im Verzeichnis angezeigt.
Ereignisanzeige	Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen.
Diagnose-Tool und Fehlerbehebung	Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können.
Automatisches Upgrade	Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird.
Hohe Verfügbarkeit	Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt.

Directory Connector ist in drei Bereiche unterteilt:

Control Hub ist die zentrale Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und die Einzelanmeldung (SSO) konfigurieren, wenn Ihre Benutzer sich über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App versenden möchten.
Die Directory Connector-Verwaltungsoberfläche ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und die Directory Connector-Dienste zu konfigurieren.
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory ab, um sie mit dem Connector-Dienst und dem Directory Connector zu synchronisieren.

Weitere Informationen zur Directory Connector-Architektur finden Sie in diesem Diagramm:

Vorbereiten Ihrer Umgebung für den Directory Connector

Anforderungen für den Directory Connector

Windows- und Active Directory-Anforderungen

Sie können Directory Connector auf den folgenden unterstützten Windows-Servern installieren:

Windows Server 2022
Windows Server 2019
Windows Server 2016

Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die das Fix enthält – Windows Server 2012 R2 oder 2016.

Directory Connector wird von den folgenden Active Directory-Diensten unterstützt:

Active Directory 2016

(Directory Connector wird bei Verwendung der neuesten Version von Active Directory unter Windows Server 2019 unterstützt)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Beachten Sie die folgenden zusätzlichen Anforderungen:

Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
- .NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, folgen Sie den Anweisungen unter Aktivieren Sie .NET Framework 3.5 mit dem Assistenten zum Hinzufügen von Rollen und Funktionen.)
- .NET Framework v.4.5 (erforderlich für TLS1.2)
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)

Hardware-Anforderungen

Sie müssen Directory Connector auf einem Computer installieren, auf dem die folgenden Mindestanforderungen an die Hardware erfüllt sind:

8 GB RAM
50 GB Speicherplatz
Keine Mindestanforderung für die CPU

Netzwerk-Anforderungen

Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS-Zugriff (Port 443) auf das Internet verfügt.

Anforderungen der Webex-Organisation

Um von Control Hub aus auf die Directory Connector-Software zugreifen zu können, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem bezahlten Abonnement.
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Ihnen, Folgendes zu tun:
- Fügen Sie Domänen hinzu, überprüfen und optional beanspruchen Sie sie , die die E-Mail-Adressen der Benutzer enthalten, die Sie mit der Cloud synchronisieren möchten.
- Integrieren Sie Ihren Identitätsanbieter (IdP) mit Ihrer Webex-Organisation durch die einmalige Anmeldung (Single Sign-On, SSO).
- Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)

Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.

Installationsanforderungen

In einer Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
Für die Anmeldung beim Connector ist kein Administratorkonto in Active Directory erforderlich. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer wie ein Volladministratorkonto in Control Hub ist.

Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computeranmeldekonto sollte ein Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer sein. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Während der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector für den Zugriff auf Active Directory das lokale Systemkonto. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Stellen Sie sicher, dass der Suchmodus für die Windows Safe Dynamic Link Library (DLL) mit diesem Verfahren aktiviert ist: Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung.
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, sollten Sie Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Computern installieren.

Mehrere Domänenanforderungen

Bevor Sie den Aufgaben im Ablauf der Bereitstellungsaufgabe für den Cisco-Verzeichniskonnektor folgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:

Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.)
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , damit Ihre Organisation in eine große Organisationsliste verschoben wird.
Bei Bedarf können Sie Informationen zu Raumressourcen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.)

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.

Active Directory enthält zwei Arten von Gruppen:

Verteilergruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
Sicherheitsgruppen: Wird verwendet, um Berechtigungen für geteilte Ressourcen zuzuweisen.

Active Directory-Gruppentypen

Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:

Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienstleistung (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex Licensing usw.).
Verwenden Sie organisationsübergreifende Standard-Benennungskonventionen, um die Identifizierung wichtiger Informationen über eine Gruppe zu erleichtern. Gruppennamen können Details zur Gruppe enthalten, z. B. die Zugriffsstufe, die Art der Ressource, die Sicherheitsstufe, den Gruppenumfang, die E-Mail-Funktion usw. Der Gruppenname „GSG_Webex_Licensing_EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
Organisieren Sie Gruppen auf leicht verständliche Weise, z. B. nach Geografie oder Hierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die automatische Lizenzgruppenvorlage in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für die automatische Lizenzzuweisung einrichten .

Informationen zur Größe

Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Jegliche Beschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.

Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:

Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsjob dauert nicht so lange wie 50000.)
Netzwerkgeschwindigkeit und Bandbreite.
Systemauslastung und Spezifikationen.

Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.

Da bei der Synchronisierung mehrere Faktoren beteiligt sind und jede Bereitstellung abhängig von den oben genannten Faktoren variiert, können wir keine spezifischen Zeitwerte angeben, die angeben, wie lange eine Objektsynchronisierung dauern wird.

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Webproxy-Integration

Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.

Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector stellt eine Verbindung her und synchronisiert die Benutzer.

Sie können einen der folgenden Ansätze verwenden:

Expliziter Webproxy über Internet Explorer (der Connector erbt die Webproxy-Einstellungen)
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert

Webproxy über den Browser verwenden

Sie können den Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.

Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,

1	Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus.
2	Verweisen Sie die Windows-Instanz, auf die der Connector installiert ist, auf Ihren Webproxy. Der Connector erbt diese Webproxy-Einstellungen.
3	Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu: cloudconnector.webex.com für die Synchronisierung. idbroker.webex.com für die Authentifizierung. idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw. Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.
4	Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu: .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

Webproxy über eine PAC-Datei konfigurieren

Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und die Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.

1

Damit der Connector sich erfolgreich mit der Webex Cloud verbinden und die Benutzerinformationen synchronisieren kann, müssen Sie die Proxy-Authentifizierung für cloudconnector.webex.com in der .pac-Dateikonfiguration für den Host deaktivieren, auf dem der Connector installiert ist.

2

Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:

cloudconnector.webex.com für die Synchronisierung.
idbroker.webex.com für die Authentifizierung.
idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw.

Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt.

Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.

3

Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

NTLM-Proxy

Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.

NTLM-Design

In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.

Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus aus Herausforderung und Antwort:

Ein Benutzer meldet sich über ein Windows-Konto und ein Kennwort auf einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines reinen Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hash-Wert mit dem Hash-Wert des eingegebenen Passworts. Wenn beide gleich sind, wird die Authentifizierung erfolgreich ausgeführt.

Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im reinen Textformat.
Wenn der Server die Anforderung erhält, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Herausforderung auf dem Server gespeichert. Anschließend sendet der Server die Aufforderung im reinen Textformat an den Client.
Sobald der Client die vom Server gesendete Challenge erhält, verschlüsselt der Client die Challenge mit dem in Schritt 1 genannten Hash-Wert. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet er ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: der Kontoname, die verschlüsselte Aufforderung, die der Client gesendet hat, und die ursprüngliche einfache Aufforderung.
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.

Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Dadurch müssen Sie keine weitere Konfiguration abschließen.

Transparenten Proxy konfigurieren

In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.

1	Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann.
2	Bestätigen Sie, dass der Proxy erfolgreich ist: Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt.

Proxy-Authentifizierung festlegen

Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.

Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:

1	Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist.
2	Legen Sie eine geschätzte Bandbreite für diese Verbindung fest (ca. 2 MB/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich.
3	Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie `cloudconnector.webex.com` als Ziel an, das Sie zur Zulassungsliste hinzufügen möchten. Beispiel: `access-list 2000 acl-inside extended permit TCP [IP des Connectors] cloudconnector.webex.com eq https`
4	Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt.
5	Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren.

Verzeichniskonnektor bereitstellen

Ablauf der Bereitstellungsaufgabe des Cisco-Verzeichniskonnektors

Vorbereitungen

Vorbereiten Ihrer Umgebung für den Directory Connector

1	Directory Connector installieren In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen. Für eine neue Installation von Directory Connector gehen Sie immer zu Control Hub ( https://admin.webex.com), um die neueste Version der Software abzurufen, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
2	Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administrator-Anmeldeinformationen an und führen Sie die Ersteinrichtung durch.
3	Automatische Upgrades festlegen Es ist immer wichtig, dass Ihre Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
4	Active Directory-Objekte zum Synchronisieren auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Verzeichniskonnektor bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.
5	Benutzerattribute zuordnen Sie können die Attribute aus Ihrem lokalen Active Directory zu den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld lautet *uid.
6	Synchronisieren Sie Verzeichnis-Avatare mit einem der folgenden Verfahren: Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass die Benutzer-Avatare nach der Anmeldung in der Anwendung angezeigt werden. Sie können Avatare von einem Active Directory-Attribut oder einem Ressourcenserver synchronisieren.
7	Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Webex Room-Gerät oder Cisco Webex Board angezeigt.
8	Um Benutzer Aus Active Directory In Control Hub Bereitzustellen, führen Sie die folgenden Schritte aus: Durchführen eines Probelaufs für die Active Directory-Benutzer Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Folgen Sie dieser Sequenz, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wald- oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

Directory Connector installieren

In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen.

Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf der Synchronisierung mit mehreren Domänen:

Vorbereitungen

Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen:

Für die Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxy-Konfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Webproxy Im Browser verwenden
Bei Proxy-NTLM wird Ihnen möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser.

1	Wechseln Sie in Control Hub zu Benutzer > Benutzer verwalten > Verzeichnissynchronisierung aktivieren und wählen Sie Weiter aus.
2	Klicken Sie auf den Link Herunterladen und installieren, um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die .zip-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert. Holen Sie sich für eine Neuinstallation die neueste Version der Software, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar.
3	Entpacken Sie die MSI-Datei auf dem VMware- oder Windows-Server und führen Sie sie im Setup-Ordner aus, um den Setup-Assistenten zu starten.
4	Klicken Sie auf Weiter, aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Weiter, bis der Bildschirm „Kontotyp“ angezeigt wird.
5	Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto aus: Lokales System – Die Standardoption. Verwenden Sie diese Option, wenn Sie einen Proxy in Internet Explorer konfiguriert haben. Domänenkonto – Verwenden Sie diese Option, wenn der Computer Teil einer Domäne ist. Der Directory Connector muss mit den Netzwerkdiensten interagieren, um auf Domänenressourcen zuzugreifen. Geben Sie anschließend die Kontoinformationen ein und klicken Sie auf OK. Geben Sie den Benutzernamen im Format `{Domäne}\{Benutzername} ein.` Für einen mit AD (NTLMv2 oder Kerberos) integrierten Proxy müssen Sie die Option Domänenkonto verwenden. Das für die Ausführung des Directory Connector-Diensts verwendete Konto benötigt ausreichende Privilegien, um den Proxy zu durchlaufen und auf AD zuzugreifen. Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind: Der Server ist Teil der Domäne Das Domänenkonto kann auf die lokalen AD-Daten und Avatardaten zugreifen. Außerdem benötigt das Konto die lokale Administratorrolle, da es auf Dateien unter `C:\Programme` zugreifen muss. Für die Anmeldung einer virtuellen Maschine muss das Administratorkonto mindestens in der Lage sein, Domäneninformationen zu lesen.
6	Klicken Sie auf Installieren. Geben Sie nach der Ausführung des Netzwerktests Ihre grundlegenden Proxy-Anmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertig stellen.

Nächste Schritte

Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Während des Neustarts der Maschine werden alle Daten aktualisiert, um ein exaktes Ergebnis im Bericht anzuzeigen.

Bei Directory Connector anmelden

Vorbereitungen

Stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen.

Für die Proxy-Basic-Auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
Öffnen Sie für Proxy-NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen, stellen Sie sicher, dass die Informationen zum Proxy-Server hinzugefügt wurden, und klicken Sie auf OK. Siehe Verwenden eines Webproxys über den Browser.

1	Öffnen Sie den Connector und fügen Sie `https://idbroker.webex.com` zur Liste der vertrauenswürdigen Sites hinzu, wenn Sie dazu aufgefordert werden.
2	Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich dann mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter.
3	Bestätigen Sie Ihr Unternehmen und Ihre Domäne. Wenn Sie AD DS auswählen, aktivieren Sie LDAP over SSL, um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden, wählen Sie die Domäne aus, aus der Sie synchronisieren möchten, und klicken Sie auf Bestätigen. Wenn Sie LDAP über SSL nicht aktivieren, verwendet DirSync weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher. Wenn Sie AD LDS ausgewählt haben, geben Sie Host, Domäne und Port ein, und klicken Sie auf Aktualisieren, um alle Anwendungspartitionen zu laden. Wählen Sie anschließend die Partition in der Dropdown-Liste aus, und klicken Sie auf Bestätigen. Weitere Informationen finden Sie im Abschnitt AD LDS. Stellen Sie sicher, dass Sie in der Konfigurationsdatei CloudConnectorCommon.dll die Einstellung ADAuthLevel zum Knoten appSetting hinzufügen. Die Werte können 1, 2 oder 3 sein. In diesem Artikel von Microsoft erfahren Sie mehr über Authentifizierungstypen. Hier ein Beispiel für die Einstellung mit dem Wert 1: `<appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	Nachdem der Bildschirm Unternehmen bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Falls Sie Ihr AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Unternehmen bestätigen angezeigt.
5	Klicken Sie auf Bestätigen.
6	Wählen Sie eine der folgenden Optionen aus, je nach der Anzahl der Active Directory-Domänen, die Sie an Directory Connector binden möchten: Wenn Sie eine einzige AD LDS-Domäne verwenden, führen Sie die Bindung mit der vorhandenen AD LDS-Quelle aus und klicken Sie auf Bestätigen. Wenn Sie eine einzige AD LDS-Domäne verwenden, führen Sie die Bindung entweder mit der vorhandenen oder mit einer neuen Domäne aus. Wenn Sie An eine neue Domäne binden auswählen, klicken Sie auf Weiter. AD LDS kann nicht für die neue Bindung ausgewählt werden, da die vorhandene Quelle vom Typ AD DS ist. Wenn Sie mehr als eine Domäne verwenden, wählen Sie eine vorhandene Domäne aus der Liste aus oder wählen Sie An neue Domäne binden aus und klicken Sie auf Weiter. Die vorhandene Quelle muss vom Typ AD DS sein, da Sie mehr als eine Domäne verwenden. Wenn Sie An neue Domäne binden auswählen und auf Weiter klicken, können Sie AD LDS nicht für die neue Bindung auswählen.

Nächste Schritte

Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.

Directory Connector-Dashboard

Nach Ihrer ersten Anmeldung bei Directory Connector wird das Dashboard angezeigt. Hier sehen Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken, können einen Probelauf für die Synchronisierung durchführen, eine komplette oder inkrementelle Synchronisierung starten und die Eventanzeige starten, um Fehlerinformationen anzuzeigen.

Melden Sie sich erneut an, falls Ihre Sitzung abläuft.

Sie können diese Aufgaben problemlos über die Symbolleiste oder das Menü „Aktionen“ ausführen.

Tabelle 1: Dashboard-Komponenten
Komponente	Beschreibung
Aktuelle Synchronisierung	Zeigt Statusinformationen zur gegenwärtig stattfindenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige leer.
Nächste Synchronisierung	Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Plan festgelegt ist, wird Nicht geplant angezeigt.
Letzte Synchronisierung	Zeigt den Status der letzten beiden Synchronisierungen an.
Aktueller Synchronisierungsstatus	Zeigt den Gesamtstatus der Synchronisierung.
Konnektoren	Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind.
Cloud-Statistiken	Zeigt den Gesamtstatus der Synchronisierung.
Synchronisierungszeitplan	Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung.
Konfigurationszusammenfassung	Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten: Alle Objekte werden synchronisiert Alle Benutzer werden synchronisiert Gelöschte Schwelle wurde deaktiviert.

Tabelle 2: Aktionen-Symbolleiste
Aktion	Beschreibung
Inkrementelle Synchronisierung starten	Inkrementelle Synchronisierung manuell starten Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn noch keine vollständige Synchronisierung abgeschlossen wurde oder wenn eine Synchronisierung läuft.
Probelauf Synchronisierung	Führen Sie einen Probelauf für die Synchronisierung durch.
Starten der Ereignisanzeige	Starten Sie die Microsoft-Ereignisanzeige.
Aktualisieren	Aktualisieren des Cisco Directory Connector-Dashboards

Tabelle 3. Menüleiste „Aktionen“
Aktion	Beschreibung
Jetzt synchronisieren	Starten Sie eine vollständige Sofortsynchronisierung.
Synchronisierungsmodus	Wählen Sie zwischen inkrementellem und vollständigem Synchronisierungsmodus aus.
Geheimen Connector-Schlüssel zurücksetzen	Stellen Sie eine Unterhaltung zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Wenn Sie diese Aktion auswählen, wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert.
Probelauf	Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung vornehmen.
Fehlerbehebung	Aktivieren/Deaktivieren Sie die Fehlerbehebung.
Aktualisieren	Aktualisieren Sie den Cisco Directory Connector-Hauptbildschirm.
Beenden	Beenden Sie den Cisco Directory Connector.

Tabelle 4. Tastenkombinationen
Tastenkombination	Aktion
Alt +A	Öffnet das Menü Aktionen
`Alt + A + S`	Jetzt synchronisieren
`Alt + A + R`	Geheimen Connector-Schlüssel zurücksetzen
`Alt + A + D`	Probelauf
`Alt + A + S + I`	Inkrementelle Synchronisierung
`Alt + A + S + F`	Vollständige Synchronisierung
`Alt + H`	Menü Hilfe anzeigen
`Alt + H + H`	Hilfe
`Alt + H + A`	Info
`Alt + H + F`	Häufig gestellte Fragen

Automatische Upgrades festlegen

1	Wechseln Sie im Directory Connector zu Konfiguration > Allgemein und aktivieren Sie die Option Automatisch auf neue Cisco Directory Connector-Version aktualisieren.
2	Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.

Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion.

Active Directory-Objekte zum Synchronisieren auswählen

Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Verzeichniskonnektor bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.

Gruppen für die automatische Lizenzzuweisung

Mit Control Hub können Sie Lizenzzuweisungen auf Gruppenbasis verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Beim Erstellen eines Benutzers überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.

Wir empfehlen, einen LDAP-Filter zu verwenden, um nur relevante Gruppen mit der Cloud zu synchronisieren. Beispielsweise können Sie den Filter auf:

(&(cn=Beispiel)(objectclass=Gruppe))*

Dieser Filter synchronisiert alle Gruppen innerhalb des Basis-DN, bei dem der Name mit „Beispiel“ beginnt. Benutzern, die keinen Gruppen zugewiesen sind, werden Lizenzen über die automatische Standardlizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.

Objektauswahlbildschirm im Directory Connector

Gruppen für Hybrid-Datensicherheitsbereitstellungen

Im Directory Connector müssen Sie Gruppen aktivieren, wenn Sie Hybrid-Datensicherheit zum Konfigurieren einer Testgruppe für Pilotbenutzer verwenden. Anleitungen finden Sie im Bereitstellungsleitfaden für Hybrid-Datensicherheit. Diese Verzeichniskonnektor-Einstellung wirkt sich nicht auf die Synchronisierung anderer Benutzer in der Cloud aus.

Vorbereitungen

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl.
2	Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und erwägen Sie, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die zur Beispiel-Manager-Gruppe gehören, verwenden Sie einen Filter wie diesen: `(&(sAMAccountName=*)(memberOf=cn=Beispiel-Manager,ou=Beispiel,ou=Sicherheitsgruppe,dc=UNTERNEHMEN))`
3	Aktivieren Sie das Kontrollkästchen Raum identifizieren, um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen, wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie lokale Rauminformationen von Active Directory mit der Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.
4	Aktivieren Sie Gruppen, wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie keinen LDAP-Filter für die Benutzersynchronisierung zum Feld „Gruppen“ hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren. Gruppen werden standardmäßig nicht für neue Kunden synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren.
5	Aktivieren Sie Kontakte, wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten. Der Verzeichniskonnektor verwaltet nur Kontakte, die vom Konnektor synchronisiert wurden. Wenn bereits Kontakte in Control Hub vorhanden sind, werden die Kontakte durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsumfang entfernt werden, werden auch die Kontaktinformationen der Benutzer in Control Hub entfernt.
6	Konfigurieren Sie die LDAP-Filter. Durch die Angabe eines gültigen LDAP-Filters können Sie erweiterte Filter hinzufügen. Weitere Informationen zum Konfigurieren von LDAP-Filtern finden Sie in diesem Artikel.
7	Geben Sie die zu synchronisierenden lokalen Basis-DNs an, indem Sie auf Auswählen klicken, um die Baumstruktur Ihres Active Directory anzuzeigen. Hier können Sie auswählen, welche Container durchsucht werden sollen.
8	Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container für die Synchronisierung auswählen. Wählen Sie einen übergeordneten Container, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird neben dem übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container ausgewählt wurde. Sie können auf Auswählen klicken, um die ausgewählten Active Directory-Container zu übernehmen. Wenn in Ihrer Organisation alle Benutzer und Gruppen im Benutzer-Container abgelegt sind, müssen Sie die anderen Container nicht durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, müssen Sie sicherstellen, dass Sie OUs auswählen.
9	Klicken Sie auf Übernehmen. Wählen Sie eine Option: Konfig-Änderungen übernehmen Probelauf Abbrechen Informationen zu Probeläufen finden Sie unter Durchführen einer Probelauf-Synchronisierung für Ihre Active Directory-Benutzer. Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen.

Benutzerattribute zuordnen

Sie können die Attribute aus Ihrem lokalen Active Directory zu den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.

Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll – Sie können beispielsweise firstName lastName in Active Directory oder einen benutzerdefinierten Attributausdruck displayName in der Cloud zuordnen.

Konten in Active Directory benötigen eine E-Mail-Adresse, und die uid wird standardmäßig zum Feld ad der E-Mail zugeordnet (nicht zu sAMAccountName).

Wenn Sie festlegen, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, ist Active Directory die einzige Informationsquelle: Benutzer können ihre Spracheinstellung in den Webex-Einstellungen nicht ändern, und Administratoren können die Einstellung in Control Hub nicht ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattribute-Zuordnung aus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet.
2	Scrollen Sie zum Ende der Active Directory-Attributnamen und wählen Sie dann eines der folgenden Active Directory-Attribute aus, um das Cloud-Attribut uid zuzuordnen: E-Mail – wird in den meisten Bereitstellungen für das E-Mail-Format verwendet. userPrincipalName – Eine alternative Wahl, wenn Ihr E-Mail-Attribut für andere Zwecke in Active Directory verwendet wird. Dieses Attribut muss im E-Mail-Format vorliegen. Sie können beliebige andere Active Directory-Attribute der uid zuordnen. Wir empfehlen jedoch, „mail“ oder „userPrincipalName“ zu verwenden, wie in den obigen Richtlinien beschrieben. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, mit welchen Attributen in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen im Directory Connector. Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen ausgewählte Active Directory-Attribut im E-Mail-Format vorliegt. Der Verzeichniskonnektor zeigt ein Popup-Fenster an, das Sie daran erinnert, wenn Sie eines der empfohlenen Attribute nicht auswählen.
3	Wenn die vordefinierten Active Directory-Attribute in Ihrer Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können. Klicken Sie auf Hilfe, um weitere Informationen zu den Ausdrücken zu erhalten und Beispiele für die Funktionsweise von Ausdrücken anzuzeigen. Weitere Informationen finden Sie auch unter Ausdrücke für angepasste Attribute. Ordnen wir in diesem Beispiel die Active Directory-Attribute `givenName` und `Sn` dem Cloud-Attribut `displayName` zu: Definieren Sie den Attributausdruck givenName + "" + Sn (bei den Anführungszeichen handelt es sich um ein zusätzliches Leerzeichen) und geben Sie dann die E-Mail-Adresse eines vorhandenen Benutzers zur Überprüfung an. Klicken Sie auf Überprüfen, und prüfen Sie, ob das Ergebnis mit dem übereinstimmt, was Sie erwartet haben. Ein erfolgreiches Ergebnis sieht so aus: Wenn die Ergebnisse den erwarteten Ergebnissen entsprechen, klicken Sie auf OK, um das neue angepasste Attribut zu speichern. Wenn Sie später den displayName ändern möchten, können Sie einen neuen Attributausdruck eingeben. Der Directory Connector überprüft den Attributwert von uid im Identitätsdienst und ruft 3 verfügbare Benutzer unter den aktuellen Benutzerfilteroptionen ab. Wenn alle diese 3 Benutzer ein gültiges E-Mail-Format haben, zeigt der Cisco Directory Connector die folgende Meldung an: Wenn das Attribut nicht verifiziert werden kann, wird die folgende Warnung angezeigt und Sie können zu Active Directory zurückkehren, um die Benutzerdaten zu überprüfen und zu korrigieren:
4	(Optional) Wählen Sie Zuordnungen für Mobilgeräte und Telefonnummer aus, wenn Mobil- und Geschäftsnummern angezeigt werden sollen, beispielsweise in der Kontaktkarte des Benutzers in der Webex-App. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt. Weitere Informationen zu Anrufen über die Kontaktkarte eines Benutzers finden Sie im Bereitstellungshandbuch für Anrufe in Webex (Unified CM) (Administratoren).
5	Wählen Sie zusätzliche Zuordnungen aus, um weitere Daten in der Kontaktkarte anzuzeigen: `departmentNumber` `displayName` `Manager` `title` Nach der Zuordnung der Attribute werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt: Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren. Nachdem diese Attribute mit den einzelnen Benutzerkonten synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Benutzer der Webex-App mehr Informationen in ihren Profilen teilen und mehr voneinander erfahren. Weitere Informationen zur Funktion und zum Aktivieren finden Sie unter Profile für „People Insights“ für Webex, Jabber, Webex Meetings und Webex Events (Neu) in Control Hub.
6	Treffen Sie Ihre Auswahl und klicken Sie auf Übernehmen.

Die in Active Directory enthaltenen Benutzerdaten überschreiben die entsprechenden Daten in der Cloud für den jeweiligen Benutzer. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Alle Benutzer ohne entsprechende E-Mail-Adresse in Active Directory werden gelöscht.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Active Directory- und Cloud-Attribute

Sie können die Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattribute-Zuordnung verwenden.

In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Verzeichniskonnektor. Sie können in den Dropdown-Menüs des Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloudattribut synchronisiert wird.

Betrachten Sie die Dropdown-Attribute als Voreinstellungen. Als Alternative zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory angeben (ein Ausdruck mit mehreren Attributen), um ein einzelnes Cloudattribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise haben Sie die Flexibilität, die Anzeigenamen Ihrer Benutzer zu bestimmen. Sie können beispielsweise einen Ausdruck hinzufügen, der basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory ein angepasstes Attribut erstellt.

Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.

Sie können auch alternative E-Mail-Adressen verwenden, z. B. wenn Sie den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall dem Attribut emails;type-work eine andere E-Mail-Adresse zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.

Active Directory-Attributnamen	Webex-Cloud-Attributnamen	Hinweise
—	buildingName	—
c	c	Dieses Attribut gibt die Länderabkürzung des Benutzers an.
departmentNumber	departmentNumber	Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die auf der Kontaktkarte und People Insights angezeigt wird.
displayName	displayName	Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
userAccountControl	ds-pwp-account-disabled	Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist, andernfalls werden die Benutzer nicht ordnungsgemäß synchronisiert.
employeeNumber	employeeNumber	—
facsimileTelephoneNumber	facsimileTelephoneNumber	—
—	jabberID	Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert ist nicht identisch mit sipAddresses.
l	l	Dieses Attribut gibt die Stadt des Benutzers an.
—	locale	—
Manager	Manager	Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der auf der Kontaktkarte und People Insights angezeigt wird.
mobile	mobile	Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen.
o	o	Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird auf der Kontaktkarte angezeigt.
ou	ou	Dieses Attribut gibt den Namen der Organisationseinheit an.
physicalDeliveryOfficeName	physicalDeliveryOfficeName	Dieses Attribut gibt den Bürostandort des Benutzers an.
postalCode	postalCode	Dieses Attribut gibt die Postleitzahl des Benutzers für die physische Postzustellung an.
preferredLanguage	preferredLanguage	Dieses Attribut legt die bevorzugte Sprache des Benutzers fest. Es werden die folgenden Formate unterstützt: xx_YY oder xx-YY. Hier sind einige Beispiele: en_US, en_GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format angeben, wird die Sprache der Organisation als bevorzugte Sprache für den Benutzer verwendet.
MSRTCSIP-PrimäreBenutzeradresse IP-Telefon	SIP-Adressen;type=Unternehmen	Dieses Attribut wird verwendet, um lokale Rauminformationen aus Active Directory mit der Cisco Webex-Cloud zu synchronisieren.
sn	sn	Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird.
st	st	Dieses Attribut gibt das Bundesland des Benutzers an.
streetAddress	street	Dieses Attribut gibt die Postanschrift des Benutzers für die physische Postzustellung an.
telephoneNumber	telephoneNumber	Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die zum Anrufen des Benutzers über die Kontaktkarte verwendet wird.
—	timezone	Dieses Cloudattribut gibt die Zeitzone des Benutzers an.
title	title	Dieses Attribut gibt den Titel des Benutzers an, der auf der Kontaktkarte und People Insights angezeigt wird.
typ	enterprise	—
mail userPrincipalName	Uid	Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann sich dann mit einer dieser E-Mail-Adressen anmelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen dazu, wie Sie eine alternative E-Mail-Adresse zuordnen können, finden Sie im Beispiel-Attributzuordnung unten.
userPrincipalName mail <benutzerdefiniertes Attribut>	E-Mails;Arbeit eingeben	Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.
<Neues Attribut für Azure-Benutzer objectId>	externe ID	Erstellen Sie ein neues Active Directory-Attribut, um die Objekt-ID des Azure-Benutzers zu speichern, damit sie nicht mit einem vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen.

Alternative E-Mail-Adresszuordnung

Ausdrücke für angepasste Attribute

Tabelle 5: Ausdrücke für angepasste Attribute
Vermittler	Beschreibung und Beispiel
%	Entfernt alle Zeichen vom Anfang bis zur Position des Zeichens oder des String-Arguments, falls diese übereinstimmen. Beispielausdruck `"abc@example.com" % "@"` Ergebnis `example.com`
-	Entfernt die Rückseite der Eingabezeichenfolge vom Ende der angegebenen Zeichenfolge. Beispielausdruck `„abc@example.com“ – „@“` Ergebnis `ABC`
+	Verkettet Eingabezeichenfolgen oder Ausdrücke. Beispielausdruck `„abc“ + „“ + „def“` Ergebnis `ABC DEF`
\|	Evaluiert die getrennten Ausdrücke anhand einer leeren Zeichenkette und wählt das erste nicht-leere Ergebnis aus. Beispielausdruck `„“ \| „abc“` Ergebnis `ABC`

Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit diesem Verfahren können Sie Avatarrohdaten aus einem Active Directory-Attribut synchronisieren.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie für Avatar abrufen von die Option AD-Attribut und anschließend das Avatar-Attribut aus, das die Avatar-Rohdaten enthält, die Sie mit der Cloud synchronisieren möchten.
3	Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar des Benutzers abrufen. Der Avatar wird rechts angezeigt.
4	Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud

Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit dieser Prozedur können Sie Avatare von einem Ressourcenserver synchronisieren.

Vorbereitungen

Das URI-Muster und der Variablenwert in dieser Prozedur sind lediglich Beispiele. Verwenden Sie stattdessen die tatsächlichen URLs, unter denen sich Ihre Verzeichnis-Avatare befinden.
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht öffentlich im Internet zugänglich sein.
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass auf Avatar-Daten über die NTLM-Authentifizierung oder die Basic-Auth zugegriffen werden kann.

1	Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren.
2	Wählen Sie unter Avatar abrufen von die Option Ressourcenserver aus, und geben Sie das Avatar-URI-Muster ein – zum Beispiel *`http://www.example.com/dir/photo/zoom/{mail: .?(?=@.)}.jpg`* Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten: http://www.example.com/dir/photo/zoom/ – Der Pfad zum Speicherort aller Fotos, die synchronisiert werden sollen, befindet sich. Es muss sich um eine URL handeln, auf die der Directory Connector-Dienst auf Ihrem Server zugreifen kann. mail: – Weist den Directory Connector an, den Wert des E-Mail-Attributs aus Active Directory zu erhalten .?(?=@.) – Eine Regex-Syntax, die die folgenden Funktionen ausführt: *`. – Jedes Zeichen, das null- oder mehrmals wiederholt wird.` `? – Weist die vorangestellte Variable an, so wenige Zeichen wie möglich zuzuordnen.` `(?= ... ) – Entspricht einer Gruppe nach dem Hauptausdruck, ohne sie in das Ergebnis einzubeziehen. Der Verzeichniskonnektor sucht nach einer Übereinstimmung und fügt diese nicht in die Ausgabe ein.` `@.* – Das at-Symbol, gefolgt von einem beliebigen Zeichen, das null- oder mehrmals wiederholt wird.` `.jpg – Die Dateierweiterung für die Avatare Ihrer Benutzer. Siehe unterstützte Dateitypen in diesem Dokument und ändern Sie die Erweiterung entsprechend.`**
3	(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen benötigt, aktivieren Sie die Option Benutzeranmeldeinformationen für Avatar festlegen. Wählen Sie anschließend Aktuellen Service-Anmeldebenutzer verwenden oder Diesen Benutzer verwenden aus, und geben Sie das Passwort ein.
4	Geben Sie den Variablenwert ein – Zum Beispiel: `name@unternehmen.com.`
5	Klicken Sie auf Test, um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. Wenn in diesem Beispiel der E-Mail-Wert für einen AD-Eintrag `abcd@example.com` lautet und jpg-Bilder synchronisiert wurden, lautet der endgültige Avatar-URI`http://www.example.com/dir/photo/zoom/abcd.jpg.`
6	Nachdem die URI-Informationen überprüft wurden und korrekt angezeigt wurden, klicken Sie auf Übernehmen. Detaillierte Informationen zum Verwenden regulärer Ausdrücke finden Sie in der Microsoft Reguläre Ausdrucksprache – Schnellreferenz .

Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.

Synchronisieren von lokalen Rauminformationen mit der Webex Cloud

Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Webex-Geräten (Room, Desk und Board) angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Objektauswahl.
2	Aktivieren Sie das Kontrollkästchen Rauminformationen mit Cloud synchronisieren, um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf die gleiche Weise behandelt wie synchronisierte Benutzerdaten.
3	Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=enterprise. Um die Wertevalidierung zu verwenden, sollte der Wert der SIP-Adresse Pattern.compile("^([^@])(.)@(.)$") lauten. Wählen Sie MSRTCSIP-PrimaryUserAddress, falls verfügbar. Wenn das oben genannte Attribut nicht in Ihrem Active Directory-Schema vorhanden ist, verwenden Sie ein anderes Feld wie ipPhone.
4	Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann zum Identifizieren von Räumen verwendet.
5	Navigieren Sie von Active Directory-Benutzern und -Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den vollständig qualifizierten SIP-URI mit dem Präfix sip hinzu:
6	Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden Objekte hinzugefügt aufgelistet, und übereinstimmende Raumobjekte werden im Probelauf-Bericht unter Übereinstimmende Objekte angezeigt. Alle Raumobjekte, die zum Löschen markiert sind, finden Sie unter Räume gelöscht. In den Ergebnissen des Probelaufs werden alle abgestimmten Raumressourcen angezeigt. Diese Einstellung trennt die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.

Nächste Schritte

Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Cloud registrierten Webex-Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde.

Über Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.

Der Endpunkt kann einen Rückruf nicht an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte lokal oder an einem anderen Ort als der Webex-App als SIP URI registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, dem Schreibtischgerät oder dem Webex Board für den Kalenderdienst befindet, wird der doppelte Eintrag in den Suchergebnissen nicht angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App angerufen und es wird kein SIP-Anruf getätigt.

E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisation senden

Standardmäßig erhalten die Organisationskontakte oder Administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen mit einer Zusammenfassung der Verzeichnissynchronisierungsberichte erhalten soll.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benachrichtigung aus.
2	Klicken Sie im Directory Connector auf Einstellungen und aktivieren Sie neben E-Mail-Empfänger die Option Synchronisierung des Berichts aktivieren.
3	Aktivieren Sie Benachrichtigung aktivieren, wenn Sie das Standard-Benachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten.
4	Klicken Sie auf Hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
5	Klicken Sie auf E-Mail hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
6	Wenn Sie eingegebene E-Mail-Adressen bearbeiten müssen, doppelklicken Sie auf den E-Mail-Eintrag in der linken Spalte, und nehmen Sie dann die gewünschten Änderungen vor.
7	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Übernehmen.
8	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Speichern.

Nächste Schritte

Wenn Sie festgelegt haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und klicken Sie dann auf Entfernen.

Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.

Bereitstellen von Benutzern Aus Active Directory In Control Hub

Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (entweder mit einer einzelnen Gesamtstruktur oder mit mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.

1	Durchführen eines Probelaufs für die Active Directory-Benutzer Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.
2	Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihren Active Directory (AD) in die Cloud. Anschließend aktualisiert der Connector-Dienst den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
3	Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen auf verschiedene Weise zuweisen. Wir empfehlen Ihnen, eine Lizenzvorlage für die automatische Zuweisung einzurichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen.

Durchführen eines Probelaufs für die Active Directory-Benutzer

Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.

Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel des Directory Connector ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud herzustellen.

Wenn Sie in einer oder mehreren Gesamtstrukturen mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Vorbereitungen

Möglicherweise befinden sich bereits einige Webex-App-Benutzer in Control Hub, bevor Sie den Verzeichniskonnektor verwendet haben. Einige der Benutzer in der Cloud können mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es können jedoch Testbenutzer sein, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Active Directory und Control Hub erstellen.

1	Wählen Sie eine Option: Klicken Sie nach der erstmaligen Anmeldung in der Eingabeaufforderung auf Ja, um einen Probelauf durchzuführen. Wenn Sie eine Erinnerung an die Durchführung eines Probelaufs verpassen, klicken Sie jederzeit über den Directory Connector auf Dashboard, wählen Sie Probelauf synchronisieren aus und klicken Sie dann auf OK, um einen Probelauf-Synchronisierung zu starten. Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt: *Nicht übereinstimmende Objekte im Directory Connector erkannt* *Zusammenfassung der Ergebnisse des Probelaufs und der nicht übereinstimmenden Objekte im Directory Connector* Die Zusammenfassung enthält Informationen über die Objektabgleich: Übereinstimmende Objekte – Ein Benutzer, der sich in Webex Common Identity befindet und auch in der Active Directory-Domäne vorhanden ist, d. h. wenn ein Benutzer@cisco.com mit Webex synchronisiert und in Control Hub angezeigt wurde und derselbe Benutzer (ein Benutzer@cisco.com) in Active Directory vorhanden ist. Dies bedeutet, dass der Benutzer zugeordnet wurde. Nicht übereinstimmende Objekte: Ein Benutzer, der sich in Webex befindet, unabhängig davon, wie er in Common Identity hinzugefügt wurde, aber nicht in Active Directory vorhanden ist. Es wird als Nicht übereinstimmendes Objekt bezeichnet. Beispiel: Wenn ein Benutzer@cisco.com in Webex synchronisiert und in Control Hub angezeigt wurde, aber derselbe Benutzer (Benutzer@cisco.com) nicht von Active Directory verwaltet wird, zeigt der Bericht an, dass der Benutzer nicht übereinstimmt. Der Probelauf identifiziert die Benutzer, indem er sie mit Domänenbenutzern vergleicht. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten möchten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory.
2	Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option aus, je nachdem, ob Sie eine einzelne oder mehrere Domänen verwenden: Einzeldomäne – Entscheiden Sie, ob Sie die nicht übereinstimmenden Benutzer beibehalten möchten. Wenn Sie sie behalten möchten, wählen Sie Nein, Objekte behalten aus. Wenn Sie dies nicht tun, wählen Sie Ja, Objekte löschen. Nachdem Sie diese Schritte ausgeführt haben und eine vollständige Synchronisierung manuell durchführen, damit eine exakte Übereinstimmung zwischen dem lokalen Standort und der Cloud vorliegt, aktiviert der Directory Connector automatisch geplante automatische Synchronisierungsaufgaben. Mehrere Domänen: Führen Sie für eine Organisation mit Domäne A und Domäne B zunächst einen Probelauf für Domäne A durch. Wenn Sie nicht übereinstimmende Benutzer behalten möchten, wählen Sie Nein, Objekte behalten aus. (Diese nicht übereinstimmenden Benutzer können Mitglieder von Domäne B sein.) Wenn Sie löschen möchten, wählen Sie Ja, Objekte löschen aus. Wenn Sie die Benutzer beibehalten, führen Sie zuerst eine vollständige Synchronisierung für Domäne A und anschließend einen Probelauf für Domäne B durch. Wenn es immer noch Benutzer gibt, die nicht übereinstimmen, fügen Sie diese Benutzer in Active Directory hinzu, und führen Sie anschließend eine vollständige Synchronisierung für Domäne B durch. Wenn eine exakte Übereinstimmung zwischen lokal und Cloud vorliegt, aktiviert der Verzeichniskonnektor automatisch angesetzte automatische Synchronisierungsaufgaben.
3	Klicken Sie in der Aufforderung Probelauf bestätigen auf Ja, um die Synchronisierung des Probelaufs erneut durchzuführen und das Dashboard anzuzeigen, um die Ergebnisse anzuzeigen. Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter Übereinstimmende Objekte angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschungsmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched, um Details der synchronisierten Elemente anzuzeigen. Klicken Sie auf Ergebnisse in Datei speichern, um die Zusammenfassung zu speichern.
4	Wenn die Ergebnisse erwartet werden, gehen Sie zu Aktionen > Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt aktivieren, um eine manuelle Synchronisierung durchzuführen und an diesem Punkt in den manuellen Modus zu versetzen. Nachdem Sie eine Synchronisierung mit der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte zwischen der Webex-Cloud und allen lokalen Active Directories vollständig übereinstimmen.

Nächste Schritte

Alle nicht übereinstimmenden Benutzerobjekte, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen lokaler und Cloud-Umgebung besteht.
Wählen Sie einen Synchronisierungstyp:
- Führen Sie eine vollständige Synchronisierung der Active Directory-Benutzer in der Cloud durch, wenn Sie neue Benutzer zum ersten Mal mit der Cloud synchronisieren. Tun Sie dies über Aktionen > Jetzt synchronisieren > Voll. Anschließend werden die Benutzer aus der aktuellen Domäne synchronisiert.
- Legen Sie den Connector-Zeitplan fest und Führen Sie eine inkrementelle Synchronisierung durch, nachdem Sie eine vollständige Synchronisierung durchgeführt haben und wenn Sie die Änderungen nach der ursprünglichen Synchronisierung übernehmen möchten. Diese Art der Synchronisierung wird empfohlen, um kleine Änderungen an der Active Directory-Benutzerquelle zu übernehmen.
  
  Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben.
Wenn Sie über mehrere Domänen verfügen, wiederholen Sie diese Schritte auf einem anderen Directory Connector, den Sie installiert haben.

Wichtige Hinweise

Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisation dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeberichte überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.

Wenn übereinstimmende Benutzer als gelöscht markiert werden und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und wenden Sie sich unter Fehlerbehebung und Fehlerbehebungen für Directory Connector an den Support.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.

Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen

Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihren Active Directory (AD) in die Cloud. Anschließend aktualisiert der Connector-Dienst den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.

Wenn Sie über mehrere Domänen verfügen, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Directory Connector synchronisiert den Benutzerkontostatus: In Active Directory werden als deaktiviert gekennzeichnete Benutzer in der Cloud als inaktiv angezeigt.

Vorbereitungen

Wenn sich die Webex-App-Benutzerkonten nach der vollständigen Synchronisierung im Status „Aktiv“ befinden sollen, bevor sich die Benutzer zum ersten Mal anmelden, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:
- Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Siehe Einmalige Anmeldung mit Cisco Webex-Diensten und dem Identitätsanbieter Ihrer Organisation um mehr zu erfahren.
- Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe Domänen hinzufügen, verifizieren und beanspruchen.
- Automatische E-Mail-Einladungen unterdrücken, sodass neue Benutzer die automatische E-Mail-Einladung zur Webex-App nicht erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
  
  Aktivierte Benutzer, die sich nicht angemeldet haben, werden in Control Hub mit dem Status Verifiziert angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub.
Wenn Sie die Synchronisierung aktivieren, werden Sie vom Verzeichniskonnektor zuerst aufgefordert, einen Probelauf durchzuführen. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu ermitteln.
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.

Wenn Sie keine Lizenzvorlagen für die automatische Zuweisung verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie können dieselben kostenlosen Funktionen wie Benutzer mit kostenlosen Konten verwenden.

1	Wählen Sie eine Option: Wenn nach der erstmaligen Anmeldung der Probelauf abgeschlossen ist und für alle Domänen korrekt aussieht, klicken Sie auf Jetzt aktivieren, um die automatische Synchronisierung zuzulassen. Wechseln Sie vom Directory Connector zum Dashboard, klicken Sie auf Aktionen, wählen Sie Synchronisierungsmodus > Synchronisierung aktivieren und klicken Sie dann auf Jetzt synchronisieren > Vollständig, um die Synchronisierung zu starten.
2	Wechseln Sie im Directory Connector zu Synchronisieren, klicken Sie auf Mehr neben einer synchronisierten Domäne, klicken Sie auf Konfiguration und wählen Sie dann Vollständige Synchronisierung aus.
3	Bestätigen Sie den Start der Synchronisierung. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch bis zu 72 Stunden nach der Synchronisierung angezeigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Benutzerdaten werden mit der Cloud synchronisiert. Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.
4	Klicken Sie auf Aktualisieren, wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik angezeigt.)
5	Wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um weitere Informationen zu Fehlern zu erhalten, um die Fehlerprotokolle anzuzeigen.
6	Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen mit der Cloud finden Sie unter Festlegen des Connector-Zeitplans und Ausführen einer inkrementellen Synchronisierung.

Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung auf der Seite Einstellungen in Control Hub von Deaktiviert zu Betriebsbereit aktualisiert.
Wenn alle Daten zwischen lokaler und Cloud-Umgebung abgeglichen werden, wechselt der Verzeichniskonnektor vom manuellen Modus in den automatischen Synchronisierungsmodus.
Sofern Sie die Einzelanmeldung nicht integrieren, Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben und automatische E-Mails unterdrücken, bleiben die Benutzerkonten der Webex-App im Status „Nicht verifiziert“, bis sich die Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Eine Anleitung zur Synchronisierung der Konten als aktive Benutzer finden Sie im Abschnitt „Vorbereitungen“.
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf einem anderen installierten Directory Connector aus. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
Wenn Sie Single Sign-On in Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
Sie können Benutzer in Control Hub nicht manuell hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung wird die Benutzerverwaltung über den Cisco-Verzeichniskonnektor durchgeführt, und Active Directory ist die zentrale Informationsquelle.
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.

Nächste Schritte

Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung soft gelöscht. Der Benutzer wird inaktiv, aber das Cloud-Identitätsprofil wird sieben Tage lang beibehalten (um eine Wiederherstellung nach einer versehentlichen Löschung zu ermöglichen).

Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer nach der nächsten Synchronisierung inaktiv. Das Cloud-Identitätsprofil wird nach sieben Tagen nicht gelöscht, falls Sie den Benutzer erneut aktivieren möchten.
Beachten Sie diese Ausnahmen bei einer inkrementellen Synchronisierung (befolgen Sie stattdessen die obigen vollständigen Synchronisierungsschritte):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Konfigurationsänderungen bei der Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.

Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen

Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco-Verzeichniskonnektor mit Control Hub abgeschlossen haben, können Sie mit Control Hub allen Ihren Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Nachdem Sie die vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Methoden in Control Hub verwenden, um all Ihren Benutzern – einzelnen Benutzern – über die CSV-Massenvorlage global Webex-Dienstlizenzen zuzuweisen oder neuen Benutzern automatisch zuzuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.

Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken, wenn Sie Ihre Benutzer direkt kontaktieren möchten.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Führen Sie einen Probelauf für die Synchronisierung der Active Directory-Benutzer durch.
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung mit Ihren Active Directory-Benutzern durch.

Bei der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und es wird keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine Standard-Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreiches automatisches Abschließen der Zuweisung.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Benutzer, klicken Sie auf Benutzer verwalten, wählen Sie Alle synchronisierten Benutzer ändern und klicken Sie dann auf Weiter.

2

Wählen Sie eine Option:

Nächste Schritte

Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung gesendet, um Webex beizutreten und herunterzuladen.
Wenn Sie für alle Benutzer dieselben Webex-Dienste ausgewählt haben, können Sie anschließend die zugewiesene Lizenz einzeln oder gesammelt ändern.

Verwandte Informationen

Möglichkeiten zum Hinzufügen und Verwalten von Benutzern in Ihrer Organisation

Bekannte Probleme mit dem Directory Connector

Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das sich auf den Directory Connector auswirkt. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.

Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, läutet der Anruf zu diesem Zeitpunkt unbegrenzt.

Benutzer der Webex-App verwalten

Durchführen einer inkrementellen Synchronisierung

Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen die Änderung der Attribution für Benutzer sowie den Zeitpunkt, zu dem ein Benutzer hinzugefügt oder gelöscht wird.

Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie die ursprüngliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen ):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Bei neuen Konfigurationsänderungen für die Attributzuordnung, Basis-DN, Filter und die Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und erfordert eine vollständige Synchronisierung.

1	Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen.
2	Klicken Sie unter Aktionen auf Synchronisierungsmodus > Synchronisierung aktivieren , falls dies noch nicht geschehen ist. Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen anhand des letzten Zeitstempels.
3	Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.
4	Um weitere Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen auf Ereignisanzeige starten , um die Fehlerprotokolle anzuzeigen.

Nächste Schritte

Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.

Versehentlich gelöschte Benutzer wiederherstellen

Der Verzeichniskonnektor verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Die Funktion „Soft-Delete“ kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.

Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, beispielsweise aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung aus dem Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie einen nicht übereinstimmenden Objekthinweis sehen oder festgestellt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.

Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer bis zu 7 Tage lang bei. Während dieser Zeit können Sie weiterhin Cisco Directory Connector verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so bald wie möglich wiederherzustellen.

Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nach 7 Tagen nicht gelöscht.

1	Melden Sie sich bei Control Hub an.
2	Wechseln Sie zu Benutzer und bestätigen Sie, ob sich ein bestimmtes Benutzerkonto im Status „Inaktiv“ befindet oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.
3	Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer im Status „Inaktiv“ bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Das Ziel mit Directory Connector ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu schaffen.
4	Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten mit Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und Dienstzuweisungen.

Nächste Schritte

Kehren Sie zu Control Hub zurück, gehen Sie zu Verwaltung > Benutzer und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.

Benutzer nach dem weichen Löschen dauerhaft löschen

Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung soft gelöscht wurden, dauerhaft löschen.

1	Wählen Sie nach Abschluss eines Probelaufs Weich gelöschte Objekte aus.
2	Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten.
3	Wählen Sie Fertig aus.

Nächste Schritte

Bei der nächsten Synchronisierung werden die von Ihnen geprüften Benutzer dauerhaft gelöscht.

E-Mail-Adresse einer Webex-App ändern

Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren behandelt das Ändern der E-Mail-Adresse der Webex-App für eine einzelne Domäne und einen Prozess zum Ändern der Domäne.

Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto. Dabei gehen die Bereiche des Benutzers und andere Daten in der Cloud verloren.

So ändern Sie die E-Mail-Adressen von Benutzern, ohne die Domäne zu ändern:
1. Öffnen Sie das Benutzerkonto (Beispiel, user1@example.com) in Active Directory und ändern Sie die E-Mail-Adresse (Beispiel, user2@example.com).
2. Setzen Sie die Synchronisierung auf dem Directory Connector fort.
  
  Nach der nächsten Synchronisierung werden die Änderungen in Ihrer Benutzerliste in Control Hub und für Benutzer in der Webex-App angezeigt, nachdem der Cache aktualisiert wurde.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Die eindeutige Kennung des Benutzers wird nach der ersten Synchronisierung in der Cloud festgelegt. Alle nachfolgenden Synchronisierungen basieren auf dieser Kennung.
Ändern Sie in einer Bereitstellung mit mehreren Domänen mit Directory Connector die E-Mail-Adressen der Benutzer beim Ändern der Domäne (betrachten Sie example1.com als alte Domäne und example2.com als neue Domäne):
1. Beachten Sie für das alte Benutzerkonto (user1@example1.com) das Active Directory-Attribut, das dem uid -Cloudattribut zugeordnet ist. Sie müssen denselben Active Directory-Wert für das neue Konto verwenden. In diesem Beispiel verwenden wir user1@example1.com als lokales Attribut, um der uid in der Cloud zuzuordnen.
2. Halten Sie die Synchronisierung auf dem Directory Connector für example1.com und example2.com-Domänen an.
3. Erstellen Sie ein neues Benutzerkonto in example2.com und verwenden Sie das gleiche Attribut von oben. (Beispiel: user1@example1.com).
4. Setzen Sie die Synchronisierung auf dem Directory Connector für example2.com fort.
  
  Bevor Sie fortfahren, überprüfen Sie, ob das Konto user1@example2.com mit Control Hub synchronisiert wird. Wir empfehlen, den Benutzer anzuweisen, die E-Mail-Änderung in der Webex-App zu überprüfen und alle Daten (Bereiche, Nachrichten, Meetings, Dateien usw.) aufzubewahren.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Im neuen Benutzerkonto müssen Sie jedoch sicherstellen, dass das Active Directory-Attribut, das dem UID-Attribut der Cloud zugeordnet ist, aus dem alten Benutzerkonto übernommen wird. Wenn Sie den Active Directory-Wert ändern, werden die Daten des alten Kontos nicht im neuen Konto gespeichert.
5. Nachdem Sie überprüft haben, dass die E-Mail-Adresse geändert wurde und die Daten intakt sind, löschen Sie das alte Benutzerkonto auf example1.com und setzen Sie anschließend den Verzeichniskonnektor ein, um die Synchronisierung für example1.com fortzusetzen.
  
  Zu diesem Zeitpunkt können Sie die E-Mail-Adresse in der neuen Active Directory-Domäne für user1@example2.com sicher aktualisieren.

Der Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch mit der Cloud resynchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung zu „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten.

Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre Webex-App-E-Mail-Adressen über die Seite mit den Kontoeinstellungen ändern. Unter E-Mail-Adresse für Ihr Konto ändern finden Sie Schritte, die Benutzer befolgen können, um ihre E-Mails zu ändern.

Active Directory-Domäne ändern

Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.

1	Richten Sie eine neue Active Directory (AD)-Domäne ein.
2	Deaktivieren Sie die Synchronisierungen für all Ihre Konnektoren.
3	Deinstallieren Sie alle Ihre Konnektoren.
4	Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Fallübermittlung sicher, dass Sie die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall aufgelöst wurde.
5	Nachdem der Fall behoben ist: Installieren Sie den Verzeichniskonnektor auf demselben Server, auf dem sich die neue Active Directory-Domäne befindet. Konfigurieren Sie den Directory Connector so, dass er auf die neue Active Directory-Domäne verweist. Wenn Benutzer in Control Hub vorhanden sind ( https://admin.webex.com), stellen Sie sicher, dass Benutzer mit übereinstimmenden E-Mail-Adressen auch in Active Directory vorhanden sind. Wenn Ihre Organisation den Umschalter `softDelete` in DirSync deaktiviert hat, können E-Mail-Adressen von Benutzern, die sich in Control Hub, aber nicht in Active Directory befinden, gelöscht werden. Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen.

Domänenanspruch

Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass ein Sideboarding-Konto in der zahlungspflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können eine Domäne nur über einen Support-Fall beanspruchen (weitere Informationen finden Sie unter dem folgenden Link).

Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, wie ein eingeladener Benutzer zu einem Webex-App-Bereich hinzugefügt werden kann, besteht darin, das Konto zunächst mithilfe des Directory Connectors in Control Hub bereitzustellen.

Weitere Informationen

Domänen verwalten

Benutzer der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis konvertieren

Sie können nur eindeutige E-Mail-Adressen im Webex-App-Verzeichnis verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App registriert haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Um Benutzer in dieser Organisation mithilfe des Verzeichniskonnektors zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie den Verzeichniskonnektor aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.

Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.

Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung konnte nicht konvertiert werden angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.

Einige beanspruchte Benutzer werden bei einem Probelauf möglicherweise mit dem Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Gelöschte Objekte anstelle von Nicht übereinstimmendes Objekt angezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.

Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle in Ihrer Nähe gelöscht, die mit der Cloud synchronisiert werden.

1	Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector.
2	Befolgen Sie das Verfahren Konvertieren von Benutzern ohne Lizenz in Control Hub , um den Benutzer von der kostenlosen Verbraucher-Organisation zur Enterprise-Organisation zu konvertieren. Bei diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind.
3	Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und sich Konten nur in Control Hub befinden, wird bei Directory Connector die Groß- und Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, gehen alle ihre Webex-App-Bereiche verloren.
4	Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren.

Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die automatische Lizenzvorlage aktiviert und anschließend den Verzeichniskonnektor ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.

Sideboarding-Benutzerkonten für Webex-App

Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.

Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.

Benutzerformat der Webex-App nach der Verzeichnissynchronisierung ändern

Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.

Nach der Verzeichnissynchronisierung werden Benutzernamen möglicherweise im Format angezeigt.

Dieser Benutzername wird möglicherweise angezeigt, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud zu displayName zugeordnet wird, werden Namen in Control Hub im Format angezeigt.

So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) dem displayName in Cisco Cloud-Attributnamen zu.

Ändern des Cisco Cloud-Attributnamensformats

Alternativ können Sie das Attribut sn givenName dem displayName zuordnen:

Ändern des Cisco Cloud-Attributnamensformats

Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck displayName zuordnen möchten.

Format des Cisco Cloud-Attributnamens anpassen

Geben Sie beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) als Ausdruck ein. Dadurch werden die beiden Attribute in Active Directory dem displayName in der Cloud zugeordnet.

Attribute aus Ihrem lokalen Active Directory zuordnen

Benutzer können Anzeigenamen in Webex Meetings ändern

Sie können die Zuordnung des displayName -Attributs der Synchronisierung mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern die Bearbeitung ihrer bevorzugten Anzeigenamen erlauben möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird, anstatt ihren Vor- und Nachnamen eingeben. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus.
2	Wählen Sie displayName unter Cisco Cloud-Attributname aus.
3	Wählen Sie Dieses Attribut nicht synchronisieren aus.

Nächste Schritte

Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.

Directory Connector – Problembehandlung

Upgrade auf die neueste Softwareversion

Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie kein Upgrade auf die neueste verfügbare Version durchführen, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische TLS 1.2-Anforderung nicht unterstützt.

Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.

Obwohl Sie Connector-Softwareaktualisierungen manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.

1	Klicken Sie in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten.
2	Befolgen Sie die Anweisungen, um das Upgrade durchzuführen.
3	Starten Sie den Connector neu, und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an.
4	Überprüfen Sie die Versionsnummer der Software unter Hilfe > Info über.

Nächste Schritte

Für eine neue Installation von Directory Connector können Sie die ZIP-Datei herunterladen und dann die Installationsschritte in diesem Handbuch befolgen.

Konfigurieren von allgemeinen Einstellungen für Directory Connector

Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Allgemein.
2	Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird.
3	Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen: Info (Standard) – Zeigt Informationsnachrichten an, die den Fortschritt der Anwendung auf einer hohen Ebene hervorheben. Verwenden Sie diese Einstellung, wenn Sie Berichte nach allen vollständigen Synchronisierungen empfangen möchten. Warnung – zeigt potenziell gefährliche Situationen an. Debug – Zeigt detaillierte Informationsereignisse an, die für das Debuggen einer Anwendung am nützlichsten sind. Wenn Sie ein Problem feststellen, legen Sie diese Protokollebene fest und senden Sie das Ereignisprotokoll an den Support, wenn Sie einen Fall erstellen. Fehler – Zeigt Fehlerereignisse an, die die Ausführung der Anwendung möglicherweise trotzdem ermöglichen. Wenn Sie diese Option auswählen, werden Synchronisierungsberichte nur dann gesendet, wenn Fehler gemeldet werden. Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf Fehler festlegen, werden nur Fehler im Synchronisierungsbericht gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“. Nach der vollständigen Synchronisierung erhalten Sie Synchronisierungsberichte. (Beachten Sie, dass für die inkrementelle Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.)
4	Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen.
5	Aktivieren Sie Automatisches Upgrade auf neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, dass Ihre Cisco Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
6	Aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSL nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher.

Connector-Richtlinie konfigurieren

Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.

Sie legen beispielsweise 1 als Schwellenwert für den Löschvorgang fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus.
2	Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
3	Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20. Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen.
4	Klicken Sie auf Übernehmen.

Legen Sie den Connector-Zeitplan fest

Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Zeitplan aus.
2	Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben.
3	Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden.
4	Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll.
5	Geben Sie einen Wert für Failover-Intervall in Minuten an.
6	Klicken Sie auf Übernehmen.

Szenarien mit mehreren Domänen

Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.

Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.

Szenarien mit mehreren Domänen

Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.

Beispielanwendungen für mehrere Domänen

Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.

Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.

Synchronisierung auf example1.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.

User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.

Synchronisierung für example1.com und example2.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Stellen Sie sich das folgende Szenario vor:

Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.

Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne

Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.

Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.

Domänenpriorität festlegen

Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.

Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.

Vorbereitungen

Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie steht unter https://admin.webex.com zum Download bereit.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen.
3	Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern. Die Domänen werden in absteigender Reihenfolge sortiert.

Domäne wechseln

Mit diesem Verfahren können Sie den Cisco-Verzeichniskonnektor erneut an eine andere Domäne binden.

Vorbereitungen

Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie müssen sie über Control Hub herunterladen.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln.
3	Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, die Registrierung anderer Domänen im Connector wird aufgehoben, und die Connector-Informationen auf diesem Computer werden gelöscht.
4	Melden Sie sich erneut beim Cisco-Verzeichniskonnektor an, und binden Sie die Domäne erneut.

Verzeichnissynchronisierung deaktivieren

Wenn Sie die Synchronisierung über den Verzeichniskonnektor beenden müssen, können Sie sie über Control Hub vorübergehend deaktivieren.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:

Klicken Sie auf „Mehr“ und anschließend neben der Connector-Instanz, die Sie deaktivieren möchten, auf Deaktivieren .
Klicken Sie auf Alle Verzeichnissynchronisierungen deaktivieren, um die Synchronisierung von allen Connector-Instanzen zu beenden.

2

Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten.

Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren.

Benutzerattributzuordnung entfernen

Verwenden Sie den Verzeichniskonnektor, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Benutzerattributzuordnung entfernen.
3	Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus.
4	Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus: Nur mit Verzeichniskonnektor synchronisierte Benutzer: Die Zuordnung wird nur von Benutzern entfernt, die zuvor mit dem Directory Connector synchronisiert worden sind. Alle Nutzer: Die Zuordnung wird von allen Active Directory-Benutzern entfernt.
5	Klicken Sie auf Übernehmen.

Profilbilder verwalten

Verwenden Sie den Verzeichniskonnektor, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Profilbilder verwalten.
3	Wählen Sie unter Aktionen eine der folgenden Optionen aus: Profilbilder für leere Avatar-Quellen entfernen: Wenn das Active Directory-Profilbild leer ist, stellt diese Option sicher, dass die Benutzerprofilbilder aus der Cloud entfernt werden, auch wenn der Benutzer zuvor sein eigenes Bild in Webex hochgeladen hat. Laden Sie die synchronisierte Quelle erneut hoch, um zwischengespeicherte Bilder zu überschreiben: Der Directory Connector verwendet zum Aktualisieren der Profilbilder für alle Benutzer dasselbe Active Directory wie zuvor. Dadurch wird sichergestellt, dass es keine Diskrepanz zwischen den Profilbildern in Active Directory und der Cloud gibt.
4	Klicken Sie auf Übernehmen.

Directory Connector deinstallieren und deaktivieren

Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:

Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
Sie möchten die Domäne ändern und einen anderen Connector installieren.

Vorbereitungen

Möglicherweise werden mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder Synchronisierung mit mehreren Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie den Directory Connector deinstallieren.

1	Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen.
2	Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallieren aus und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen.
3	Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr und anschließend neben der Directory Connector-Instanz, die Sie deinstallieren möchten, auf Deaktivieren .
4	Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren. Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung.

Ausführen des Diagnosetools

Sie können das integrierte Diagnosetool verwenden, um Fehler bei der Directory Connector-Bereitstellung zu beheben. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.

Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.

So führen Sie Tests für Active Directory-Domänendienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-DS , geben Sie Ihre Domäne ein und klicken Sie dann auf Domänencontroller laden.
2. Wählen Sie einen Domänencontroller aus der Liste aus.
  
  Ändern Sie den Eintrag nicht später, da die inkrementelle Suche immer im selben Domänencontroller ausgeführt werden muss.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie im Abschnitt Active Directory-Abfragen weitere Filter, z. B. entweder Benutzer oder Gruppen -Objekte und Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-LDS , geben Sie Ihren Host und Ihren Port ein und klicken Sie dann auf Partitionen laden.
2. Wählen Sie eine Partition aus der Liste aus, und klicken Sie dann auf Verbinden.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie weitere Filter im Abschnitt Active Directory-Abfragen , z. B. Benutzer, UserProxy und UserProxyFull sowie Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte LDAP RAW , geben Sie Ihren Stammpfad und Filter ein, wählen Sie einen Eintrag unter Attribute aus und klicken Sie dann auf Lade-Partitionen.
2. Überprüfen Sie bei Bedarf die folgenden Optionen:
  - ObjectSecurity: Wenn diese Option vorhanden ist, benötigt der Anrufer keine Rechte und kann nur Objekte und Attribute sehen, auf die der Anrufer zugreifen kann. Wenn diese Option nicht vorhanden ist, hat der Anrufer das Recht, Änderungen zu replizieren.
  - ParentsFirst – Stellt sicher, dass alle Eltern der Kinder vor ihre Kinder kommen.
3. Wählen Sie einen Wert für ExtendedDN aus.
  
  Dieser Wert wird bei einer erweiterten LDAP-Suche verwendet, um eine erweiterte Form von Objekt-Distinguished Name anzufordern.
4. Wählen Sie einen Wert für ReferralChasing aus.
  
  Eine Weiterleitungsverfolgung wird initiiert, wenn ein Domänencontroller eine Weiterleitung von einer Abfrage zurückgibt – beispielsweise für Details zu einem Abfrageergebnis, das außerhalb des Namensraums liegen kann (z. B. Gruppenmitglieder in einer anderen Domäne oder einem Wald).
5. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
6. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.

Beheben von Problemen im Ciso Directory Connector

Fehlerbehebung und Fehlerbehebungen für den Directory Connector

Möglicherweise tritt eine Fehlermeldung oder ein anderes Problem im Directory Connector auf. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet der Connector Ihnen möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. Bevor Sie sich an den Support wenden, lesen Sie die folgenden Abschnitte über mögliche Probleme, mögliche Ursachen und vorgeschlagene Lösungen.

Installieren

Directory Connector funktioniert nicht mehr

Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber benachrichtigt wurden, dass Ihr Directory Connector nicht funktioniert.

Der Directory Connector ist möglicherweise nicht korrekt installiert.
Directory Connector wird möglicherweise nicht ausgeführt.
Das Netzwerk ist möglicherweise nicht verfügbar.

Gehen Sie wie folgt vor:

Öffnen Sie Systemsteuerung > Programme und Funktionen. Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
Öffnen Sie den Dienst und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status Gestartet angezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, über Internetzugang verfügt.

Fehler bei erneuter Installation

Problem: Wenn Sie sofort einen neuen Connector installieren, nachdem Sie einen alten deinstalliert haben, wird möglicherweise eine Fehlermeldung angezeigt.

Mögliche Ursache: In Windows Server 2012 benötigt der Client zur Deinstallation Zeit, um das Dienstkonto aus der Dienstliste zu löschen.

Lösung: Versuchen Sie die Installation nach einiger Zeit erneut.

Anmelden

Directory Connector stürzt bei der SSO-Anmeldung ab

Problem

Der Directory Connector kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.

Lösung

Gehen Sie wie folgt vor:

Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:

Wechseln Sie zum Domänencontroller und öffnen Sie Group Policy Management (gpedit.msc).
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne, und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie Bearbeiten aus.

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter Key Path die Option HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter SchlüsselpfadHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Die Änderungen werden wirksam, nachdem Sie gpupdate /force ausgeführt haben, die Maschine neu gestartet wurde (bei Änderungen am Computer) oder sich der Benutzer erneut anmeldet (bei Änderungen am Benutzer).

Cisco DirSync Service Connector konnte nicht registriert werden

Problem

Anmeldung fehlgeschlagen, und die folgende Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“

Lösung

Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.

Die Seite „Keine Anmeldung“ wird angezeigt

Problem

Sie haben den Verzeichniskonnektor geöffnet und die Anmeldeseite wurde nicht angezeigt.

Fehlerbehebung: Die Seite „Keine Anmeldung“ wird angezeigt

Lösung

Gehen Sie wie folgt vor:

Navigieren Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie den Link in anderen Browsern wie Chrome und Firefox.
Wenn Internet Explorer den Link nicht aufrufen kann, andere Browser dies jedoch können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren .)

Anmeldeaufforderung wird angezeigt

Problem

Es wird eine Aufforderung angezeigt, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu bestehen.

Mögliche Ursache

Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.

Lösung

Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Übergabe der Sicherheit bereitstellen.

Verbindung zum Remote-Server nicht möglich

Problem

Während des normalen Betriebs wird die Fehlermeldung „Keine Verbindung zum Remote-Server möglich“ angezeigt.

Mögliche Ursache

Möglicherweise gibt es Proxy-Probleme, die behoben werden müssen.

Lösung

Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung mit Dienstkonto beheben .

Konnektor kann nicht registriert werden.

Problem

Es wird die Fehlermeldung „Der Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“

Mögliche Ursache

In den meisten Fällen liegt das Problem darin, dass der Directory Connector keine Berechtigung für eine Verbindung mit dem LDAP-Stammkontext hat.

Lösung

Gehen Sie wie folgt vor:

Führen Sie eine Eingabeaufforderung (cmd) aus, und geben Sie ldp.exe ein.
Klicken Sie auf Verbindung > Binden, wählen Sie Als aktuell angemeldeten Benutzer binden und klicken Sie dann auf OK.
Klicken Sie auf Ansicht > Baum, geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall beim Support.

Synchronisierung

Avatare nicht synchronisiert

Problem

Der Cisco Directory Connector hat die Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatar-Daten erfolgreich synchronisiert.

Mögliche Ursache

Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache diese und vermeidet es, erneut zu senden, um Bandbreite zu sparen.

Lösung

Führen Sie die folgenden Schritte aus, um den lokalen Cache zu löschen:

Gehen Sie zu C:\Programme (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Löschen DirSyncPluginAvatar.dll-cache.bin.
Führen Sie die Avatar-Synchronisierung über den Cisco-Verzeichniskonnektor erneut aus.

In Konflikt stehende Benutzer-E-Mail-Konten

Problem

Die Synchronisierungsergebnisse können in Konflikt stehende Benutzer-E-Mail-Konten anzeigen.

Wenn Benutzer die kostenlose Version der Webex-App versucht haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.

Lösung

Gehen Sie wie folgt vor:

Befolgen Sie die folgenden Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
1. Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
2. Deaktivieren Sie Cisco Directory Connector vorübergehend.
3. Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucherorganisation vorhanden sein könnten. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
4. Probelauf im Cisco Directory Connector durchführen und die Verzeichnissynchronisierung anschließend erneut aktivieren
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen.

Konvertierter Benutzer als inaktiv markiert

Problem

In Ihrer verzeichnissynchronisierten Umgebung haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.

Mögliche Ursache

Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer als 30 Tage lang als inaktiv markiert, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des Zeitraums von 30 Tagen zur Löschung markiert. Diese Situation tritt auf, da sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.

Lösung

Sie müssen entsprechende Maßnahmen ergreifen, wenn das Benutzerkonto nicht gelöscht werden soll. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.

Inkrementelle Synchronisierung schlägt fehl

Problem

Eine inkrementelle Synchronisierung schlägt fehl.

Dieses Problem kann unter folgenden Bedingungen auf Windows Server 2008 R2 auftreten:

Sie unterstützen inkrementelle Wertaktualisierungen.
Der Filter, den Sie verwenden, referenziert ein verknüpftes Werteattribut.
Die Ergebniswerte dieses Attributs wurden seit der letzten Durchführung einer vollständigen Synchronisierung aktualisiert.

Lösung

Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihren Windows Server auf mindestens 2012 R2 zu aktualisieren.

Ungültiger Wert für Merkmal

Problem

Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].

Mögliche Ursache

Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.

Lösung

Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.

Übereinstimmende Benutzer zum Löschen

Problem

Die übereinstimmenden Benutzer werden als gelöscht markiert.

Wenn Sie einen Probelauf zur Überprüfung der Daten zwischen Active Directory und der Cloud durchführen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Systemen angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.

Lösung

Wählen Sie eine geeignete Lösung:

Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen danach zu wiederholen, können Sie den Directory Connector für die Behebung verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Support-Fall.

Attribut fehlt

Problem

Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.

Mögliche Ursache

Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsbenutzer,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert aufweisen.

Lösung

Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.

Verschachtelte Gruppe wird nicht synchronisiert

Problem

Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.

Mögliche Ursache

Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Beispiel: (Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)

Lösung

Sie müssen den Filter, der Gruppen synchronisiert, neu konfigurieren. Beispiel: |(Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)(Mitglied=CN=testSubGroup,CN=Benutzer,DC=rktest2008,DC=org)

Konflikt bei Benutzerbenennung

Problem

Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und des Benutzertyps [user_type].

Mögliche Ursache

Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.

Lösung

Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.

Control Hub

Benutzerliste fehlt in Control Hub

Problem

Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird Ihnen die Benutzerliste in Control Hub möglicherweise nicht angezeigt.

Lösung

Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Wechseln Sie in Control Hub zu Benutzer, klicken Sie auf Suchen Schaltfläche „Suchen“ und geben Sie dann Suchkriterien ein, um nach einem bestimmten Benutzer zu suchen.

Gruppen werden nicht mit Control Hub synchronisiert

Problem

Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.

Mögliche Ursache

Die Gruppe ist in Active Directory nicht als isCriticalSystemObject markiert.

Lösung

Stellen Sie sicher, dass das Attribut isCriticalSystemObject in Active Directory auf TRUE gesetzt ist.

Problembehandlung für den Directory Connector aktivieren

Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.

Die Protokolldateien, die sind: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Führen Sie die Datei `services.msc` aus, um das ausgeführte Konto für den Directory Connector-Dienst vom lokalen System in ein Domänenkonto zu ändern, das über Zugriffsberechtigungen für Ihr AD DS oder AD LDS verfügt.
2	Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten.
3	Klicken Sie im Directory Connector auf Dashboard.
4	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Fehlerbehebung.
5	Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können.
6	Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt. Der Protokollordner speichert nur Dateien für die letzten 3 Tage. Der Inhalt in den Protokolldateien entspricht der Ausgabe des Ereignisprotokolls für das System.
7	Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten.
8	Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind.

Weitere Informationen

Support kontaktieren

Starten der Ereignisanzeige

Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Dashboard und klicken Sie auf Aktion > Ereignisanzeige starten. Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails.
2	Wechseln Sie in der Ereignisanzeige zu Anwendungs- und Dienstprotokolle > Cisco Directory Connector.
3	Klicken Sie unter Aktionen auf Alle Events speichern unter , um alle Protokolle als einzelne Events-Datei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren.

Nächste Schritte

Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und fügen Sie dann die Events-Datei an Ihren Fall an.

In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Hilfe bei der Verwaltung des Netzwerkdatenverkehrs zu erhalten.

TLS in Internet Explorer aktivieren

Wenn Sie Single Sign-On (SSO)-Anbieter gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:

Bei der Anmeldung am Dienst ist ein Fehler aufgetreten
Im Skript auf dieser Seite ist ein Fehler aufgetreten

Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.

1	Öffnen Sie Internet Explorer und wählen Sie Werkzeuge aus. Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die aktiviert werden soll. Klicken Sie auf OK. Schließen Sie den Browser und öffnen Sie ihn erneut.
2	Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , und scrollen Sie zu Sicherheit.
3	Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden , und klicken Sie auf OK.
4	Starten Sie das System neu, damit die Änderungen übernommen werden.

Anmeldeprobleme für Dienstkonten beheben

Wenn Sie sich nicht beim Cisco Directory Connector anmelden können oder keine Synchronisierung durchführen können, versuchen Sie anhand der folgenden Schritte, das Problem zu beheben, bevor Sie sich an den Support wenden.

1

Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen.

2

Wählen Sie je nach den Ergebnissen eine Option:

Wenn Sie den Link nicht über Ihren Browser aufrufen können, überprüfen Sie Ihre Netzwerkeinstellungen. Wenn Sie in Ihrer Umgebung einen Proxy verwenden, überprüfen Sie die Proxy-Einstellungen.
Wenn Sie den Link über Ihren Browser aufrufen, aber den Cisco Directory Connector nicht öffnen können (Fehler 407 kann nicht geöffnet werden), klicken Sie hier , um die neueste Version des Cisco Directory Connector abzurufen.
Wenn Sie den Link über Ihren Browser aufrufen, aber keine Synchronisierung über den Cisco Directory Connector durchführen können, ändern Sie das Konto für die Dienstanmeldung in Domänenadministrator.

Überprüfen Sie, ob das Konto, mit dem Sie sich beim Windows-System angemeldet haben, dasselbe Konto ist, das Sie unter „Cisco DirSync-Dienst“ festgelegt haben. Wenn es sich um 2 verschiedene Konten handelt, stellen Sie sicher, dass beide Konten https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL besuchen können. Wenn Ihre Umgebung einen Proxy verwendet, stellen Sie sicher, dass beide Konten im Internet Explorer für den Proxy konfiguriert sind und https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL erfolgreich aufrufen können.

3

Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (das unter den Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar- und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung für das Windows-Anmeldekonto.

Weitere Informationen

Support kontaktieren

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Übersicht über Cisco Directory Connector

Directory Connector – Übersicht

Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.

Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur zentralen Informationsquelle wird. Wenn Sie eine Änderung lokal vornehmen, wird diese in die Cloud kopiert.

In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:

Funktion	Beschreibung und Vorteil
Benutzerfreundliches Dashboard	Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden.
Probelauf, bevor die Synchronisierung in die Cloud durchgeführt wird	Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor sie in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen.
Vollständige und inkrementelle Synchronisierung	Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen.
Synchronisieren mehrerer Domänen (einzelne Gesamtstruktur oder mehrere Gesamtstrukturen)	Directory Connector unterstützt mehrere Domänen entweder in einer einzelnen Gesamtstruktur oder in mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Der Control Hub spiegelt den Status wider, indem er den Synchronisierungsstatus für mehrere Directory Connectors anzeigt. Damit können Sie die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Directory Connector in einer Hochverfügbarkeitsbereitstellung deaktivieren.
Geplante Synchronisierung	Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest.
LDAP-Filter (Lightweight Directory Access Protocol)	Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit.
Active Directory-Attributzuordnung	Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um die Cloud zuzuordnen. Die Attribute aus dem Standort bilden verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, Enteprise-Telefonnummern in Webex Teams, Raumressourcen-SIP-Adressen und andere Kontaktkartendaten des Benutzers (Stellenbezeichnung, Abteilung, Manager usw.).
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung	Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud-PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte haben, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten auf ihren Cisco Webex Calling (Cloud-PSTN)-Telefonen oder Raumressourcen durchsuchen. Raumressourcen Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugewiesenen SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Cisco Webex Raumgerät oder Cisco Webex Board angezeigt. Wenn Benutzer eine Suche auf einem Cisco Webex Room-Gerät oder Cisco Webex Board durchführen, werden die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde. Anrufe Benutzer können zusätzlich zu den Webex-App-Kontakten Unternehmenskontakte anrufen. Über den Directory Connector werden die Unternehmensbenutzer und ihre Telefonnummern zu Ihrer Webex-Organisation hinzugefügt. Sie müssen nicht für Webex-Dienste lizenziert sein, damit diese Funktion funktioniert. Benutzer, die nicht für Webex lizenziert sind, werden in der Verzeichnissuche angezeigt, die auf dem Telefon eines Cisco Webex Calling-Benutzers durchgeführt wird, solange eine URI oder eine Telefonnummer über den Verzeichniskonnektor mit Webex synchronisiert ist. Die Anrufe funktionieren gleich für beide Benutzertypen. Außerdem bietet dieses Feature eine Bearbeitungsfunktion für Kontakte, die nur eine Telefonnummer enthalten. Für die Kontakte in den Suchergebnissen gilt Folgendes: Wenn Kontakte eine wählbare URI (Webex-SIP-Adresse) und eine Telefonnummer haben, wird die URI angezeigt, die mit dem Kontakt verknüpft ist. Wenn ein Kontakt keine wählbare URI, dafür jedoch eine Telefonnummer hat, wird die Telefonnummer angezeigt. Außerdem wird ein Softkey zum Bearbeiten der gewählten Nummer angezeigt. Kontakte ohne URI oder Telefonnummer werden nicht im Verzeichnis angezeigt.
Ereignisanzeige	Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen.
Diagnose-Tool und Fehlerbehebung	Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können.
Automatisches Upgrade	Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird.
Hohe Verfügbarkeit	Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt.

Directory Connector ist in drei Bereiche unterteilt:

Control Hub ist die zentrale Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und die Einzelanmeldung (SSO) konfigurieren, wenn Ihre Benutzer sich über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App versenden möchten.
Die Directory Connector-Verwaltungsoberfläche ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und die Directory Connector-Dienste zu konfigurieren.
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory ab, um sie mit dem Connector-Dienst und dem Directory Connector zu synchronisieren.

Weitere Informationen zur Directory Connector-Architektur finden Sie in diesem Diagramm:

Vorbereiten Ihrer Umgebung für den Directory Connector

Anforderungen für den Directory Connector

Windows- und Active Directory-Anforderungen

Sie können Directory Connector auf den folgenden unterstützten Windows-Servern installieren:

Windows Server 2022
Windows Server 2019
Windows Server 2016

Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die das Fix enthält – Windows Server 2012 R2 oder 2016.

Directory Connector wird von den folgenden Active Directory-Diensten unterstützt:

Active Directory 2016

(Directory Connector wird bei Verwendung der neuesten Version von Active Directory unter Windows Server 2019 unterstützt)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Beachten Sie die folgenden zusätzlichen Anforderungen:

Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
- .NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, folgen Sie den Anweisungen unter Aktivieren Sie .NET Framework 3.5 mit dem Assistenten zum Hinzufügen von Rollen und Funktionen.)
- .NET Framework v.4.5 (erforderlich für TLS1.2)
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)

Hardware-Anforderungen

Sie müssen Directory Connector auf einem Computer installieren, auf dem die folgenden Mindestanforderungen an die Hardware erfüllt sind:

8 GB RAM
50 GB Speicherplatz
Keine Mindestanforderung für die CPU

Netzwerk-Anforderungen

Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS-Zugriff (Port 443) auf das Internet verfügt.

Anforderungen der Webex-Organisation

Um von Control Hub aus auf die Directory Connector-Software zugreifen zu können, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem bezahlten Abonnement.
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Ihnen, Folgendes zu tun:
- Fügen Sie Domänen hinzu, überprüfen und optional beanspruchen Sie sie , die die E-Mail-Adressen der Benutzer enthalten, die Sie mit der Cloud synchronisieren möchten.
- Integrieren Sie Ihren Identitätsanbieter (IdP) mit Ihrer Webex-Organisation durch die einmalige Anmeldung (Single Sign-On, SSO).
- Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)

Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.

Installationsanforderungen

In einer Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
Für die Anmeldung beim Connector ist kein Administratorkonto in Active Directory erforderlich. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer wie ein Volladministratorkonto in Control Hub ist.

Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computeranmeldekonto sollte ein Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer sein. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Während der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector für den Zugriff auf Active Directory das lokale Systemkonto. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Stellen Sie sicher, dass der Suchmodus für die Windows Safe Dynamic Link Library (DLL) mit diesem Verfahren aktiviert ist: Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung.
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, sollten Sie Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Computern installieren.

Mehrere Domänenanforderungen

Bevor Sie den Aufgaben im Ablauf der Bereitstellungsaufgabe für den Cisco-Verzeichniskonnektor folgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:

Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.)
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , damit Ihre Organisation in eine große Organisationsliste verschoben wird.
Bei Bedarf können Sie Informationen zu Raumressourcen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.)

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.

Active Directory enthält zwei Arten von Gruppen:

Verteilergruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
Sicherheitsgruppen: Wird verwendet, um Berechtigungen für geteilte Ressourcen zuzuweisen.

Active Directory-Gruppentypen

Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:

Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienstleistung (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex Licensing usw.).
Verwenden Sie organisationsübergreifende Standard-Benennungskonventionen, um die Identifizierung wichtiger Informationen über eine Gruppe zu erleichtern. Gruppennamen können Details zur Gruppe enthalten, z. B. die Zugriffsstufe, die Art der Ressource, die Sicherheitsstufe, den Gruppenumfang, die E-Mail-Funktion usw. Der Gruppenname „GSG_Webex_Licensing_EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
Organisieren Sie Gruppen auf leicht verständliche Weise, z. B. nach Geografie oder Hierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die automatische Lizenzgruppenvorlage in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für die automatische Lizenzzuweisung einrichten .

Informationen zur Größe

Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Jegliche Beschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.

Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:

Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsjob dauert nicht so lange wie 50000.)
Netzwerkgeschwindigkeit und Bandbreite.
Systemauslastung und Spezifikationen.

Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.

Da bei der Synchronisierung mehrere Faktoren beteiligt sind und jede Bereitstellung abhängig von den oben genannten Faktoren variiert, können wir keine spezifischen Zeitwerte angeben, die angeben, wie lange eine Objektsynchronisierung dauern wird.

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Webproxy-Integration

Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.

Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector stellt eine Verbindung her und synchronisiert die Benutzer.

Sie können einen der folgenden Ansätze verwenden:

Expliziter Webproxy über Internet Explorer (der Connector erbt die Webproxy-Einstellungen)
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert

Webproxy über den Browser verwenden

Sie können den Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.

Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,

1	Wechseln Sie im Internet Explorer zu Internetoptionen > Verbindungen und wählen Sie LAN-Einstellungen aus.
2	Verweisen Sie die Windows-Instanz auf den Ort, an dem der Connector an Ihrem Webproxy installiert ist. Der Connector erbt diese Webproxy-Einstellungen.
3	Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu: cloudconnector.webex.com für die Synchronisierung. Kunden in der EU sollten auch cloudconnector-eu.webex.com hinzufügen. idbroker.webex.com für die Authentifizierung. Kunden in der EU sollten auch idbroker-eu.webex.com hinzufügen. idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw. Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.
4	Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu: .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

Webproxy über eine PAC-Datei konfigurieren

Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und die Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.

1

Damit der Connector sich erfolgreich mit der Webex Cloud verbinden und die Benutzerinformationen synchronisieren kann, müssen Sie die Proxy-Authentifizierung für cloudconnector.webex.com in der .pac-Dateikonfiguration für den Host deaktivieren, auf dem der Connector installiert ist.

2

Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:

cloudconnector.webex.com für die Synchronisierung.

Kunden in der EU sollten auch cloudconnector-eu.webex.com hinzufügen.
idbroker.webex.com für die Authentifizierung.

Kunden in der EU sollten auch idbroker-eu.webex.com hinzufügen.
idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw.

Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt.

Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.

3

Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

NTLM-Proxy

Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.

NTLM-Design

In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.

Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus aus Herausforderung und Antwort:

Ein Benutzer meldet sich über ein Windows-Konto und ein Kennwort auf einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines reinen Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hash-Wert mit dem Hash-Wert des eingegebenen Passworts. Wenn beide gleich sind, wird die Authentifizierung erfolgreich ausgeführt.

Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im reinen Textformat.
Wenn der Server die Anforderung erhält, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Herausforderung auf dem Server gespeichert. Anschließend sendet der Server die Aufforderung im reinen Textformat an den Client.
Sobald der Client die vom Server gesendete Challenge erhält, verschlüsselt der Client die Challenge mit dem in Schritt 1 genannten Hash-Wert. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet er ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: der Kontoname, die verschlüsselte Aufforderung, die der Client gesendet hat, und die ursprüngliche einfache Aufforderung.
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.

Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Dadurch müssen Sie keine weitere Konfiguration abschließen.

Transparenten Proxy konfigurieren

In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.

1	Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann.
2	Bestätigen Sie, dass der Proxy erfolgreich ist: Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt.

Proxy-Authentifizierung festlegen

Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.

Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:

1	Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist.
2	Legen Sie eine geschätzte Bandbreite für diese Verbindung fest (ca. 2 MB/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich.
3	Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie `cloudconnector.webex.com` als Ziel an, das Sie zur Zulassungsliste hinzufügen möchten. Beispiel: `access-list 2000 acl-inside extended permit TCP [IP des Connectors] cloudconnector.webex.com eq https`
4	Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt.
5	Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren.

Benutzer der Webex-App verwalten

Durchführen einer inkrementellen Synchronisierung

Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen die Änderung der Attribution für Benutzer sowie den Zeitpunkt, zu dem ein Benutzer hinzugefügt oder gelöscht wird.

Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie die ursprüngliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen ):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Bei neuen Konfigurationsänderungen für die Attributzuordnung, Basis-DN, Filter und die Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und erfordert eine vollständige Synchronisierung.

1	Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen.
2	Klicken Sie unter Aktionen auf Synchronisierungsmodus > Synchronisierung aktivieren , falls dies noch nicht geschehen ist. Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen anhand des letzten Zeitstempels.
3	Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.
4	Um weitere Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen auf Ereignisanzeige starten , um die Fehlerprotokolle anzuzeigen.

Nächste Schritte

Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.

Versehentlich gelöschte Benutzer wiederherstellen

Der Verzeichniskonnektor verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Die Funktion „Soft-Delete“ kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.

Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, beispielsweise aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung aus dem Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie einen nicht übereinstimmenden Objekthinweis sehen oder festgestellt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.

Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer bis zu 7 Tage lang bei. Während dieser Zeit können Sie weiterhin Cisco Directory Connector verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so bald wie möglich wiederherzustellen.

Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nach 7 Tagen nicht gelöscht.

1	Melden Sie sich bei Control Hub an.
2	Wechseln Sie zu Benutzer und bestätigen Sie, ob sich ein bestimmtes Benutzerkonto im Status „Inaktiv“ befindet oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.
3	Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer im Status „Inaktiv“ bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Das Ziel mit Directory Connector ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu schaffen.
4	Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten mit Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und Dienstzuweisungen.

Nächste Schritte

Kehren Sie zu Control Hub zurück, gehen Sie zu Verwaltung > Benutzer und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.

Benutzer nach dem weichen Löschen dauerhaft löschen

Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung soft gelöscht wurden, dauerhaft löschen.

1	Wählen Sie nach Abschluss eines Probelaufs Weich gelöschte Objekte aus.
2	Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten.
3	Wählen Sie Fertig aus.

Nächste Schritte

Bei der nächsten Synchronisierung werden die von Ihnen geprüften Benutzer dauerhaft gelöscht.

E-Mail-Adresse einer Webex-App ändern

Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren behandelt das Ändern der E-Mail-Adresse der Webex-App für eine einzelne Domäne und einen Prozess zum Ändern der Domäne.

Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto. Dabei gehen die Bereiche des Benutzers und andere Daten in der Cloud verloren.

So ändern Sie die E-Mail-Adressen von Benutzern, ohne die Domäne zu ändern:
1. Öffnen Sie das Benutzerkonto (Beispiel, user1@example.com) in Active Directory und ändern Sie die E-Mail-Adresse (Beispiel, user2@example.com).
2. Setzen Sie die Synchronisierung auf dem Directory Connector fort.
  
  Nach der nächsten Synchronisierung werden die Änderungen in Ihrer Benutzerliste in Control Hub und für Benutzer in der Webex-App angezeigt, nachdem der Cache aktualisiert wurde.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Die eindeutige Kennung des Benutzers wird nach der ersten Synchronisierung in der Cloud festgelegt. Alle nachfolgenden Synchronisierungen basieren auf dieser Kennung.
Ändern Sie in einer Bereitstellung mit mehreren Domänen mit Directory Connector die E-Mail-Adressen der Benutzer beim Ändern der Domäne (betrachten Sie example1.com als alte Domäne und example2.com als neue Domäne):
1. Beachten Sie für das alte Benutzerkonto (user1@example1.com) das Active Directory-Attribut, das dem uid -Cloudattribut zugeordnet ist. Sie müssen denselben Active Directory-Wert für das neue Konto verwenden. In diesem Beispiel verwenden wir user1@example1.com als lokales Attribut, um der uid in der Cloud zuzuordnen.
2. Halten Sie die Synchronisierung auf dem Directory Connector für example1.com und example2.com-Domänen an.
3. Erstellen Sie ein neues Benutzerkonto in example2.com und verwenden Sie das gleiche Attribut von oben. (Beispiel: user1@example1.com).
4. Setzen Sie die Synchronisierung auf dem Directory Connector für example2.com fort.
  
  Bevor Sie fortfahren, überprüfen Sie, ob das Konto user1@example2.com mit Control Hub synchronisiert wird. Wir empfehlen, den Benutzer anzuweisen, die E-Mail-Änderung in der Webex-App zu überprüfen und alle Daten (Bereiche, Nachrichten, Meetings, Dateien usw.) aufzubewahren.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Im neuen Benutzerkonto müssen Sie jedoch sicherstellen, dass das Active Directory-Attribut, das dem UID-Attribut der Cloud zugeordnet ist, aus dem alten Benutzerkonto übernommen wird. Wenn Sie den Active Directory-Wert ändern, werden die Daten des alten Kontos nicht im neuen Konto gespeichert.
5. Nachdem Sie überprüft haben, dass die E-Mail-Adresse geändert wurde und die Daten intakt sind, löschen Sie das alte Benutzerkonto auf example1.com und setzen Sie anschließend den Verzeichniskonnektor ein, um die Synchronisierung für example1.com fortzusetzen.
  
  Zu diesem Zeitpunkt können Sie die E-Mail-Adresse in der neuen Active Directory-Domäne für user1@example2.com sicher aktualisieren.

Der Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch mit der Cloud resynchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung zu „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten.

Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre Webex-App-E-Mail-Adressen über die Seite mit den Kontoeinstellungen ändern. Unter E-Mail-Adresse für Ihr Konto ändern finden Sie Schritte, die Benutzer befolgen können, um ihre E-Mails zu ändern.

Active Directory-Domäne ändern

Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.

1	Richten Sie eine neue Active Directory (AD)-Domäne ein.
2	Deaktivieren Sie die Synchronisierungen für all Ihre Konnektoren.
3	Deinstallieren Sie alle Ihre Konnektoren.
4	Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Fallübermittlung sicher, dass Sie die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall aufgelöst wurde.
5	Nachdem der Fall behoben ist: Installieren Sie den Verzeichniskonnektor auf demselben Server, auf dem sich die neue Active Directory-Domäne befindet. Konfigurieren Sie den Directory Connector so, dass er auf die neue Active Directory-Domäne verweist. Wenn Benutzer in Control Hub vorhanden sind ( https://admin.webex.com), stellen Sie sicher, dass Benutzer mit übereinstimmenden E-Mail-Adressen auch in Active Directory vorhanden sind. Wenn Ihre Organisation den Umschalter `softDelete` in DirSync deaktiviert hat, können E-Mail-Adressen von Benutzern, die sich in Control Hub, aber nicht in Active Directory befinden, gelöscht werden. Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen.

Domänenanspruch

Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass ein Sideboarding-Konto in der zahlungspflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können eine Domäne nur über einen Support-Fall beanspruchen (weitere Informationen finden Sie unter dem folgenden Link).

Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, wie ein eingeladener Benutzer zu einem Webex-App-Bereich hinzugefügt werden kann, besteht darin, das Konto zunächst mithilfe des Directory Connectors in Control Hub bereitzustellen.

Weitere Informationen

Domänen verwalten

Benutzer der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis konvertieren

Sie können nur eindeutige E-Mail-Adressen im Webex-App-Verzeichnis verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App registriert haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Um Benutzer in dieser Organisation mithilfe des Verzeichniskonnektors zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie den Verzeichniskonnektor aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.

Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.

Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung konnte nicht konvertiert werden angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.

Einige beanspruchte Benutzer werden bei einem Probelauf möglicherweise mit dem Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Gelöschte Objekte anstelle von Nicht übereinstimmendes Objekt angezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.

Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle in Ihrer Nähe gelöscht, die mit der Cloud synchronisiert werden.

1	Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector.
2	Befolgen Sie das Verfahren Konvertieren von Benutzern ohne Lizenz in Control Hub , um den Benutzer von der kostenlosen Verbraucher-Organisation zur Enterprise-Organisation zu konvertieren. Bei diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind.
3	Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und sich Konten nur in Control Hub befinden, wird bei Directory Connector die Groß- und Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, gehen alle ihre Webex-App-Bereiche verloren.
4	Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren.

Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die automatische Lizenzvorlage aktiviert und anschließend den Verzeichniskonnektor ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.

Sideboarding-Benutzerkonten für Webex-App

Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.

Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.

Benutzerformat der Webex-App nach der Verzeichnissynchronisierung ändern

Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.

Nach der Verzeichnissynchronisierung werden Benutzernamen möglicherweise im Format angezeigt.

Dieser Benutzername wird möglicherweise angezeigt, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud zu displayName zugeordnet wird, werden Namen in Control Hub im Format angezeigt.

So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) dem displayName in Cisco Cloud-Attributnamen zu.

Ändern des Cisco Cloud-Attributnamensformats

Alternativ können Sie das Attribut sn givenName dem displayName zuordnen:

Ändern des Cisco Cloud-Attributnamensformats

Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck displayName zuordnen möchten.

Format des Cisco Cloud-Attributnamens anpassen

Geben Sie beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) als Ausdruck ein. Dadurch werden die beiden Attribute in Active Directory dem displayName in der Cloud zugeordnet.

Attribute aus Ihrem lokalen Active Directory zuordnen

Benutzer können Anzeigenamen in Webex Meetings ändern

Sie können die Zuordnung des displayName -Attributs der Synchronisierung mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern die Bearbeitung ihrer bevorzugten Anzeigenamen erlauben möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird, anstatt ihren Vor- und Nachnamen eingeben. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus.
2	Wählen Sie displayName unter Cisco Cloud-Attributname aus.
3	Wählen Sie Dieses Attribut nicht synchronisieren aus.

Nächste Schritte

Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.

Directory Connector – Problembehandlung

Upgrade auf die neueste Softwareversion

Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie kein Upgrade auf die neueste verfügbare Version durchführen, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische TLS 1.2-Anforderung nicht unterstützt.

Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.

Obwohl Sie Connector-Softwareaktualisierungen manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.

1	Klicken Sie in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten.
2	Befolgen Sie die Anweisungen, um das Upgrade durchzuführen.
3	Starten Sie den Connector neu, und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an.
4	Überprüfen Sie die Versionsnummer der Software unter Hilfe > Info über.

Nächste Schritte

Für eine neue Installation von Directory Connector können Sie die ZIP-Datei herunterladen und dann die Installationsschritte in diesem Handbuch befolgen.

Konfigurieren von allgemeinen Einstellungen für Directory Connector

Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Allgemein.
2	Geben Sie den Connector-Namen im Feld Connector-Name ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird.
3	Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf Info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen: Info (Standard) – Zeigt Informationsnachrichten an, die den Fortschritt der Anwendung auf einer hohen Ebene hervorheben. Verwenden Sie diese Einstellung, wenn Sie Berichte nach allen vollständigen Synchronisierungen empfangen möchten. Warnung – zeigt potenziell gefährliche Situationen an. Debug – Zeigt detaillierte Informationsereignisse an, die für das Debuggen einer Anwendung am nützlichsten sind. Wenn Sie ein Problem feststellen, legen Sie diese Protokollebene fest und senden Sie das Ereignisprotokoll an den Support, wenn Sie einen Fall erstellen. Fehler – Zeigt Fehlerereignisse an, die die Ausführung der Anwendung möglicherweise trotzdem ermöglichen. Wenn Sie diese Option auswählen, werden Synchronisierungsberichte nur dann gesendet, wenn Fehler gemeldet werden. Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf Fehler festlegen, werden nur Fehler im Synchronisierungsbericht gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“. Nach der vollständigen Synchronisierung erhalten Sie Synchronisierungsberichte. (Beachten Sie, dass für die inkrementelle Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.)
4	Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen.
5	Aktivieren Sie Automatisches Upgrade auf neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, dass Ihre Cisco Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
6	Aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSL nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher.

Connector-Richtlinie konfigurieren

Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.

Sie legen beispielsweise 1 als Schwellenwert für den Löschvorgang fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus.
2	Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
3	Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20. Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen.
4	Klicken Sie auf Übernehmen.

Legen Sie den Connector-Zeitplan fest

Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Zeitplan aus.
2	Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben.
3	Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden.
4	Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll.
5	Geben Sie einen Wert für Failover-Intervall in Minuten an.
6	Klicken Sie auf Übernehmen.

Szenarien mit mehreren Domänen

Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.

Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.

Szenarien mit mehreren Domänen

Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.

Beispielanwendungen für mehrere Domänen

Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.

Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.

Synchronisierung auf example1.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.

User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.

Synchronisierung für example1.com und example2.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Stellen Sie sich das folgende Szenario vor:

Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.

Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne

Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.

Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.

Domänenpriorität festlegen

Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.

Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.

Vorbereitungen

Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie steht unter https://admin.webex.com zum Download bereit.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen.
3	Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern. Die Domänen werden in absteigender Reihenfolge sortiert.

Domäne wechseln

Mit diesem Verfahren können Sie den Cisco-Verzeichniskonnektor erneut an eine andere Domäne binden.

Vorbereitungen

Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie müssen sie über Control Hub herunterladen.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln.
3	Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, die Registrierung anderer Domänen im Connector wird aufgehoben, und die Connector-Informationen auf diesem Computer werden gelöscht.
4	Melden Sie sich erneut beim Cisco-Verzeichniskonnektor an, und binden Sie die Domäne erneut.

Verzeichnissynchronisierung deaktivieren

Wenn Sie die Synchronisierung über den Verzeichniskonnektor beenden müssen, können Sie sie über Control Hub vorübergehend deaktivieren.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:

Klicken Sie auf „Mehr“ und anschließend neben der Connector-Instanz, die Sie deaktivieren möchten, auf Deaktivieren .
Klicken Sie auf Alle Verzeichnissynchronisierungen deaktivieren, um die Synchronisierung von allen Connector-Instanzen zu beenden.

2

Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten.

Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren.

Benutzerattributzuordnung entfernen

Verwenden Sie den Verzeichniskonnektor, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Benutzerattributzuordnung entfernen.
3	Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus.
4	Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus: Nur mit Verzeichniskonnektor synchronisierte Benutzer: Die Zuordnung wird nur von Benutzern entfernt, die zuvor mit dem Directory Connector synchronisiert worden sind. Alle Nutzer: Die Zuordnung wird von allen Active Directory-Benutzern entfernt.
5	Klicken Sie auf Übernehmen.

Profilbilder verwalten

Verwenden Sie den Verzeichniskonnektor, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Profilbilder verwalten.
3	Wählen Sie unter Aktionen eine der folgenden Optionen aus: Profilbilder für leere Avatar-Quellen entfernen: Wenn das Active Directory-Profilbild leer ist, stellt diese Option sicher, dass die Benutzerprofilbilder aus der Cloud entfernt werden, auch wenn der Benutzer zuvor sein eigenes Bild in Webex hochgeladen hat. Laden Sie die synchronisierte Quelle erneut hoch, um zwischengespeicherte Bilder zu überschreiben: Der Directory Connector verwendet zum Aktualisieren der Profilbilder für alle Benutzer dasselbe Active Directory wie zuvor. Dadurch wird sichergestellt, dass es keine Diskrepanz zwischen den Profilbildern in Active Directory und der Cloud gibt.
4	Klicken Sie auf Übernehmen.

Directory Connector deinstallieren und deaktivieren

Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:

Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
Sie möchten die Domäne ändern und einen anderen Connector installieren.

Vorbereitungen

Möglicherweise werden mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder Synchronisierung mit mehreren Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie den Directory Connector deinstallieren.

1	Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen.
2	Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallieren aus und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen.
3	Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr und anschließend neben der Directory Connector-Instanz, die Sie deinstallieren möchten, auf Deaktivieren .
4	Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren. Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung.

Ausführen des Diagnosetools

Sie können das integrierte Diagnosetool verwenden, um Fehler bei der Directory Connector-Bereitstellung zu beheben. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.

Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.

So führen Sie Tests für Active Directory-Domänendienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-DS , geben Sie Ihre Domäne ein und klicken Sie dann auf Domänencontroller laden.
2. Wählen Sie einen Domänencontroller aus der Liste aus.
  
  Ändern Sie den Eintrag nicht später, da die inkrementelle Suche immer im selben Domänencontroller ausgeführt werden muss.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie im Abschnitt Active Directory-Abfragen weitere Filter, z. B. entweder Benutzer oder Gruppen -Objekte und Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-LDS , geben Sie Ihren Host und Ihren Port ein und klicken Sie dann auf Partitionen laden.
2. Wählen Sie eine Partition aus der Liste aus, und klicken Sie dann auf Verbinden.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie weitere Filter im Abschnitt Active Directory-Abfragen , z. B. Benutzer, UserProxy und UserProxyFull sowie Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte LDAP RAW , geben Sie Ihren Stammpfad und Filter ein, wählen Sie einen Eintrag unter Attribute aus und klicken Sie dann auf Lade-Partitionen.
2. Überprüfen Sie bei Bedarf die folgenden Optionen:
  - ObjectSecurity: Wenn diese Option vorhanden ist, benötigt der Anrufer keine Rechte und kann nur Objekte und Attribute sehen, auf die der Anrufer zugreifen kann. Wenn diese Option nicht vorhanden ist, hat der Anrufer das Recht, Änderungen zu replizieren.
  - ParentsFirst – Stellt sicher, dass alle Eltern der Kinder vor ihre Kinder kommen.
3. Wählen Sie einen Wert für ExtendedDN aus.
  
  Dieser Wert wird bei einer erweiterten LDAP-Suche verwendet, um eine erweiterte Form von Objekt-Distinguished Name anzufordern.
4. Wählen Sie einen Wert für ReferralChasing aus.
  
  Eine Weiterleitungsverfolgung wird initiiert, wenn ein Domänencontroller eine Weiterleitung von einer Abfrage zurückgibt – beispielsweise für Details zu einem Abfrageergebnis, das außerhalb des Namensraums liegen kann (z. B. Gruppenmitglieder in einer anderen Domäne oder einem Wald).
5. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
6. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.

Beheben von Problemen im Ciso Directory Connector

Fehlerbehebung und Fehlerbehebungen für den Directory Connector

Möglicherweise tritt eine Fehlermeldung oder ein anderes Problem im Directory Connector auf. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet der Connector Ihnen möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. Bevor Sie sich an den Support wenden, lesen Sie die folgenden Abschnitte über mögliche Probleme, mögliche Ursachen und vorgeschlagene Lösungen.

Installieren

Directory Connector funktioniert nicht mehr

Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber benachrichtigt wurden, dass Ihr Directory Connector nicht funktioniert.

Der Directory Connector ist möglicherweise nicht korrekt installiert.
Directory Connector wird möglicherweise nicht ausgeführt.
Das Netzwerk ist möglicherweise nicht verfügbar.

Gehen Sie wie folgt vor:

Öffnen Sie Systemsteuerung > Programme und Funktionen. Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
Öffnen Sie den Dienst und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status Gestartet angezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, über Internetzugang verfügt.

Fehler bei erneuter Installation

Problem: Wenn Sie sofort einen neuen Connector installieren, nachdem Sie einen alten deinstalliert haben, wird möglicherweise eine Fehlermeldung angezeigt.

Mögliche Ursache: In Windows Server 2012 benötigt der Client zur Deinstallation Zeit, um das Dienstkonto aus der Dienstliste zu löschen.

Lösung: Versuchen Sie die Installation nach einiger Zeit erneut.

Anmelden

Directory Connector stürzt bei der SSO-Anmeldung ab

Problem

Der Directory Connector kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.

Lösung

Gehen Sie wie folgt vor:

Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:

Wechseln Sie zum Domänencontroller und öffnen Sie Group Policy Management (gpedit.msc).
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne, und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie Bearbeiten aus.

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter Key Path die Option HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter SchlüsselpfadHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Die Änderungen werden wirksam, nachdem Sie gpupdate /force ausgeführt haben, die Maschine neu gestartet wurde (bei Änderungen am Computer) oder sich der Benutzer erneut anmeldet (bei Änderungen am Benutzer).

Cisco DirSync Service Connector konnte nicht registriert werden

Problem

Anmeldung fehlgeschlagen, und die folgende Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“

Lösung

Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.

Die Seite „Keine Anmeldung“ wird angezeigt

Problem

Sie haben den Verzeichniskonnektor geöffnet und die Anmeldeseite wurde nicht angezeigt.

Fehlerbehebung: Die Seite „Keine Anmeldung“ wird angezeigt

Lösung

Gehen Sie wie folgt vor:

Navigieren Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie den Link in anderen Browsern wie Chrome und Firefox.
Wenn Internet Explorer den Link nicht aufrufen kann, andere Browser dies jedoch können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren .)

Anmeldeaufforderung wird angezeigt

Problem

Es wird eine Aufforderung angezeigt, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu bestehen.

Mögliche Ursache

Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.

Lösung

Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Übergabe der Sicherheit bereitstellen.

Verbindung zum Remote-Server nicht möglich

Problem

Während des normalen Betriebs wird die Fehlermeldung „Keine Verbindung zum Remote-Server möglich“ angezeigt.

Mögliche Ursache

Möglicherweise gibt es Proxy-Probleme, die behoben werden müssen.

Lösung

Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung mit Dienstkonto beheben .

Konnektor kann nicht registriert werden.

Problem

Es wird die Fehlermeldung „Der Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“

Mögliche Ursache

In den meisten Fällen liegt das Problem darin, dass der Directory Connector keine Berechtigung für eine Verbindung mit dem LDAP-Stammkontext hat.

Lösung

Gehen Sie wie folgt vor:

Führen Sie eine Eingabeaufforderung (cmd) aus, und geben Sie ldp.exe ein.
Klicken Sie auf Verbindung > Binden, wählen Sie Als aktuell angemeldeten Benutzer binden und klicken Sie dann auf OK.
Klicken Sie auf Ansicht > Baum, geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall beim Support.

Synchronisierung

Avatare nicht synchronisiert

Problem

Der Cisco Directory Connector hat die Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatar-Daten erfolgreich synchronisiert.

Mögliche Ursache

Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache diese und vermeidet es, erneut zu senden, um Bandbreite zu sparen.

Lösung

Führen Sie die folgenden Schritte aus, um den lokalen Cache zu löschen:

Gehen Sie zu C:\Programme (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Löschen DirSyncPluginAvatar.dll-cache.bin.
Führen Sie die Avatar-Synchronisierung über den Cisco-Verzeichniskonnektor erneut aus.

In Konflikt stehende Benutzer-E-Mail-Konten

Problem

Die Synchronisierungsergebnisse können in Konflikt stehende Benutzer-E-Mail-Konten anzeigen.

Wenn Benutzer die kostenlose Version der Webex-App versucht haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.

Lösung

Gehen Sie wie folgt vor:

Befolgen Sie die folgenden Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
1. Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
2. Deaktivieren Sie Cisco Directory Connector vorübergehend.
3. Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucherorganisation vorhanden sein könnten. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
4. Probelauf im Cisco Directory Connector durchführen und die Verzeichnissynchronisierung anschließend erneut aktivieren
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen.

Konvertierter Benutzer als inaktiv markiert

Problem

In Ihrer verzeichnissynchronisierten Umgebung haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.

Mögliche Ursache

Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer als 30 Tage lang als inaktiv markiert, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des Zeitraums von 30 Tagen zur Löschung markiert. Diese Situation tritt auf, da sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.

Lösung

Sie müssen entsprechende Maßnahmen ergreifen, wenn das Benutzerkonto nicht gelöscht werden soll. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.

Inkrementelle Synchronisierung schlägt fehl

Problem

Eine inkrementelle Synchronisierung schlägt fehl.

Dieses Problem kann unter folgenden Bedingungen auf Windows Server 2008 R2 auftreten:

Sie unterstützen inkrementelle Wertaktualisierungen.
Der Filter, den Sie verwenden, referenziert ein verknüpftes Werteattribut.
Die Ergebniswerte dieses Attributs wurden seit der letzten Durchführung einer vollständigen Synchronisierung aktualisiert.

Lösung

Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihren Windows Server auf mindestens 2012 R2 zu aktualisieren.

Ungültiger Wert für Merkmal

Problem

Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].

Mögliche Ursache

Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.

Lösung

Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.

Übereinstimmende Benutzer zum Löschen

Problem

Die übereinstimmenden Benutzer werden als gelöscht markiert.

Wenn Sie einen Probelauf zur Überprüfung der Daten zwischen Active Directory und der Cloud durchführen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Systemen angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.

Lösung

Wählen Sie eine geeignete Lösung:

Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen danach zu wiederholen, können Sie den Directory Connector für die Behebung verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Support-Fall.

Attribut fehlt

Problem

Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.

Mögliche Ursache

Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsbenutzer,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert aufweisen.

Lösung

Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.

Verschachtelte Gruppe wird nicht synchronisiert

Problem

Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.

Mögliche Ursache

Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Beispiel: (Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)

Lösung

Sie müssen den Filter, der Gruppen synchronisiert, neu konfigurieren. Beispiel: |(Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)(Mitglied=CN=testSubGroup,CN=Benutzer,DC=rktest2008,DC=org)

Konflikt bei Benutzerbenennung

Problem

Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und des Benutzertyps [user_type].

Mögliche Ursache

Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.

Lösung

Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.

Control Hub

Benutzerliste fehlt in Control Hub

Problem

Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird Ihnen die Benutzerliste in Control Hub möglicherweise nicht angezeigt.

Lösung

Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Wechseln Sie in Control Hub zu Benutzer, klicken Sie auf Suchen Schaltfläche „Suchen“ und geben Sie dann Suchkriterien ein, um nach einem bestimmten Benutzer zu suchen.

Gruppen werden nicht mit Control Hub synchronisiert

Problem

Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.

Mögliche Ursache

Die Gruppe ist in Active Directory nicht als isCriticalSystemObject markiert.

Lösung

Stellen Sie sicher, dass das Attribut isCriticalSystemObject in Active Directory auf TRUE gesetzt ist.

Problembehandlung für den Directory Connector aktivieren

Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.

Die Protokolldateien, die sind: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Führen Sie die Datei `services.msc` aus, um das ausgeführte Konto für den Directory Connector-Dienst vom lokalen System in ein Domänenkonto zu ändern, das über Zugriffsberechtigungen für Ihr AD DS oder AD LDS verfügt.
2	Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten.
3	Klicken Sie im Directory Connector auf Dashboard.
4	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Fehlerbehebung.
5	Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können.
6	Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt. Der Protokollordner speichert nur Dateien für die letzten 3 Tage. Der Inhalt in den Protokolldateien entspricht der Ausgabe des Ereignisprotokolls für das System.
7	Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten.
8	Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind.

Weitere Informationen

Support kontaktieren

Starten der Ereignisanzeige

Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Dashboard und klicken Sie auf Aktion > Ereignisanzeige starten. Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails.
2	Wechseln Sie in der Ereignisanzeige zu Anwendungs- und Dienstprotokolle > Cisco Directory Connector.
3	Klicken Sie unter Aktionen auf Alle Events speichern unter , um alle Protokolle als einzelne Events-Datei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren.

Nächste Schritte

Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und fügen Sie dann die Events-Datei an Ihren Fall an.

In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Hilfe bei der Verwaltung des Netzwerkdatenverkehrs zu erhalten.

TLS in Internet Explorer aktivieren

Wenn Sie Single Sign-On (SSO)-Anbieter gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:

Bei der Anmeldung am Dienst ist ein Fehler aufgetreten
Im Skript auf dieser Seite ist ein Fehler aufgetreten

Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.

1	Öffnen Sie Internet Explorer und wählen Sie Werkzeuge aus. Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die aktiviert werden soll. Klicken Sie auf OK. Schließen Sie den Browser und öffnen Sie ihn erneut.
2	Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , und scrollen Sie zu Sicherheit.
3	Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden , und klicken Sie auf OK.
4	Starten Sie das System neu, damit die Änderungen übernommen werden.

Anmeldeprobleme für Dienstkonten beheben

Wenn Sie sich nicht beim Cisco Directory Connector anmelden können oder keine Synchronisierung durchführen können, versuchen Sie anhand der folgenden Schritte, das Problem zu beheben, bevor Sie sich an den Support wenden.

1

Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen.

2

Wählen Sie je nach den Ergebnissen eine Option:

Wenn Sie den Link nicht über Ihren Browser aufrufen können, überprüfen Sie Ihre Netzwerkeinstellungen. Wenn Sie in Ihrer Umgebung einen Proxy verwenden, überprüfen Sie die Proxy-Einstellungen.
Wenn Sie den Link über Ihren Browser aufrufen, aber den Cisco Directory Connector nicht öffnen können (Fehler 407 kann nicht geöffnet werden), klicken Sie hier , um die neueste Version des Cisco Directory Connector abzurufen.
Wenn Sie den Link über Ihren Browser aufrufen, aber keine Synchronisierung über den Cisco Directory Connector durchführen können, ändern Sie das Konto für die Dienstanmeldung in Domänenadministrator.

Überprüfen Sie, ob das Konto, mit dem Sie sich beim Windows-System angemeldet haben, dasselbe Konto ist, das Sie unter „Cisco DirSync-Dienst“ festgelegt haben. Wenn es sich um 2 verschiedene Konten handelt, stellen Sie sicher, dass beide Konten https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL besuchen können. Wenn Ihre Umgebung einen Proxy verwendet, stellen Sie sicher, dass beide Konten im Internet Explorer für den Proxy konfiguriert sind und https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL erfolgreich aufrufen können.

3

Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (das unter den Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar- und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung für das Windows-Anmeldekonto.

Weitere Informationen

Support kontaktieren

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Übersicht über Cisco Directory Connector

Directory Connector – Übersicht

Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.

Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur zentralen Informationsquelle wird. Wenn Sie eine Änderung lokal vornehmen, wird diese in die Cloud kopiert.

In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:

Funktion	Beschreibung und Vorteil
Benutzerfreundliches Dashboard	Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden.
Probelauf, bevor die Synchronisierung in die Cloud durchgeführt wird	Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor sie in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen.
Vollständige und inkrementelle Synchronisierung	Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen.
Synchronisieren mehrerer Domänen (einzelne Gesamtstruktur oder mehrere Gesamtstrukturen)	Directory Connector unterstützt mehrere Domänen entweder in einer einzelnen Gesamtstruktur oder in mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Der Control Hub spiegelt den Status wider, indem er den Synchronisierungsstatus für mehrere Directory Connectors anzeigt. Damit können Sie die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Directory Connector in einer Hochverfügbarkeitsbereitstellung deaktivieren.
Geplante Synchronisierung	Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest.
LDAP-Filter (Lightweight Directory Access Protocol)	Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit.
Active Directory-Attributzuordnung	Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um die Cloud zuzuordnen. Die Attribute aus dem Standort bilden verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, Enteprise-Telefonnummern in Webex Teams, Raumressourcen-SIP-Adressen und andere Kontaktkartendaten des Benutzers (Stellenbezeichnung, Abteilung, Manager usw.).
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung	Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud-PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte haben, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten auf ihren Cisco Webex Calling (Cloud-PSTN)-Telefonen oder Raumressourcen durchsuchen. Raumressourcen Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugewiesenen SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Cisco Webex Raumgerät oder Cisco Webex Board angezeigt. Wenn Benutzer eine Suche auf einem Cisco Webex Room-Gerät oder Cisco Webex Board durchführen, werden die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde. Anrufe Benutzer können zusätzlich zu den Webex-App-Kontakten Unternehmenskontakte anrufen. Über den Directory Connector werden die Unternehmensbenutzer und ihre Telefonnummern zu Ihrer Webex-Organisation hinzugefügt. Sie müssen nicht für Webex-Dienste lizenziert sein, damit diese Funktion funktioniert. Benutzer, die nicht für Webex lizenziert sind, werden in der Verzeichnissuche angezeigt, die auf dem Telefon eines Cisco Webex Calling-Benutzers durchgeführt wird, solange eine URI oder eine Telefonnummer über den Verzeichniskonnektor mit Webex synchronisiert ist. Die Anrufe funktionieren gleich für beide Benutzertypen. Außerdem bietet dieses Feature eine Bearbeitungsfunktion für Kontakte, die nur eine Telefonnummer enthalten. Für die Kontakte in den Suchergebnissen gilt Folgendes: Wenn Kontakte eine wählbare URI (Webex-SIP-Adresse) und eine Telefonnummer haben, wird die URI angezeigt, die mit dem Kontakt verknüpft ist. Wenn ein Kontakt keine wählbare URI, dafür jedoch eine Telefonnummer hat, wird die Telefonnummer angezeigt. Außerdem wird ein Softkey zum Bearbeiten der gewählten Nummer angezeigt. Kontakte ohne URI oder Telefonnummer werden nicht im Verzeichnis angezeigt.
Ereignisanzeige	Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen.
Diagnose-Tool und Fehlerbehebung	Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können.
Automatisches Upgrade	Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird.
Hohe Verfügbarkeit	Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt.

Directory Connector ist in drei Bereiche unterteilt:

Control Hub ist die zentrale Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und die Einzelanmeldung (SSO) konfigurieren, wenn Ihre Benutzer sich über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App versenden möchten.
Die Directory Connector-Verwaltungsoberfläche ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und die Directory Connector-Dienste zu konfigurieren.
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory ab, um sie mit dem Connector-Dienst und dem Directory Connector zu synchronisieren.

Weitere Informationen zur Directory Connector-Architektur finden Sie in diesem Diagramm:

Vorbereiten Ihrer Umgebung für den Directory Connector

Anforderungen für den Directory Connector

Windows- und Active Directory-Anforderungen

Sie können Directory Connector auf den folgenden unterstützten Windows-Servern installieren:

Windows Server 2022
Windows Server 2019
Windows Server 2016

Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die das Fix enthält – Windows Server 2012 R2 oder 2016.

Directory Connector wird von den folgenden Active Directory-Diensten unterstützt:

Active Directory 2016

(Directory Connector wird bei Verwendung der neuesten Version von Active Directory unter Windows Server 2019 unterstützt)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Beachten Sie die folgenden zusätzlichen Anforderungen:

Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
- .NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, folgen Sie den Anweisungen unter Aktivieren Sie .NET Framework 3.5 mit dem Assistenten zum Hinzufügen von Rollen und Funktionen.)
- .NET Framework v.4.5 (erforderlich für TLS1.2)
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)

Hardware-Anforderungen

Sie müssen Directory Connector auf einem Computer installieren, auf dem die folgenden Mindestanforderungen an die Hardware erfüllt sind:

8 GB RAM
50 GB Speicherplatz
Keine Mindestanforderung für die CPU

Netzwerk-Anforderungen

Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS-Zugriff (Port 443) auf das Internet verfügt.

Anforderungen der Webex-Organisation

Um von Control Hub aus auf die Directory Connector-Software zugreifen zu können, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem bezahlten Abonnement.
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Ihnen, Folgendes zu tun:
- Fügen Sie Domänen hinzu, überprüfen und optional beanspruchen Sie sie , die die E-Mail-Adressen der Benutzer enthalten, die Sie mit der Cloud synchronisieren möchten.
- Integrieren Sie Ihren Identitätsanbieter (IdP) mit Ihrer Webex-Organisation durch die einmalige Anmeldung (Single Sign-On, SSO).
- Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)

Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.

Installationsanforderungen

In einer Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
Für die Anmeldung beim Connector ist kein Administratorkonto in Active Directory erforderlich. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer wie ein Volladministratorkonto in Control Hub ist.

Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computeranmeldekonto sollte ein Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer sein. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Während der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector für den Zugriff auf Active Directory das lokale Systemkonto. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Stellen Sie sicher, dass der Suchmodus für die Windows Safe Dynamic Link Library (DLL) mit diesem Verfahren aktiviert ist: Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung.
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, sollten Sie Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Computern installieren.

Mehrere Domänenanforderungen

Bevor Sie den Aufgaben im Ablauf der Bereitstellungsaufgabe für den Cisco-Verzeichniskonnektor folgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:

Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.)
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , damit Ihre Organisation in eine große Organisationsliste verschoben wird.
Bei Bedarf können Sie Informationen zu Raumressourcen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.)

Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung

Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.

Active Directory enthält zwei Arten von Gruppen:

Verteilergruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
Sicherheitsgruppen: Wird verwendet, um Berechtigungen für geteilte Ressourcen zuzuweisen.

Active Directory-Gruppentypen

Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:

Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienstleistung (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex Licensing usw.).
Verwenden Sie organisationsübergreifende Standard-Benennungskonventionen, um die Identifizierung wichtiger Informationen über eine Gruppe zu erleichtern. Gruppennamen können Details zur Gruppe enthalten, z. B. die Zugriffsstufe, die Art der Ressource, die Sicherheitsstufe, den Gruppenumfang, die E-Mail-Funktion usw. Der Gruppenname „GSG_Webex_Licensing_EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
Organisieren Sie Gruppen auf leicht verständliche Weise, z. B. nach Geografie oder Hierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die automatische Lizenzgruppenvorlage in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für die automatische Lizenzzuweisung einrichten .

Informationen zur Größe

Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Jegliche Beschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.

Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:

Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsjob dauert nicht so lange wie 50000.)
Netzwerkgeschwindigkeit und Bandbreite.
Systemauslastung und Spezifikationen.

Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.

Da bei der Synchronisierung mehrere Faktoren beteiligt sind und jede Bereitstellung abhängig von den oben genannten Faktoren variiert, können wir keine spezifischen Zeitwerte angeben, die angeben, wie lange eine Objektsynchronisierung dauern wird.

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Webproxy-Integration

Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.

Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector stellt eine Verbindung her und synchronisiert die Benutzer.

Sie können einen der folgenden Ansätze verwenden:

Expliziter Webproxy über Internet Explorer (der Connector erbt die Webproxy-Einstellungen)
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert

Webproxy über den Browser verwenden

Sie können den Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.

Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,

1	Wechseln Sie im Internet Explorer zu Internetoptionen > Verbindungen und wählen Sie LAN-Einstellungen aus.
2	Verweisen Sie die Windows-Instanz auf den Ort, an dem der Connector an Ihrem Webproxy installiert ist. Der Connector erbt diese Webproxy-Einstellungen.
3	Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu: cloudconnector.webex.com für die Synchronisierung. Kunden in der EU sollten auch cloudconnector-eu.webex.com hinzufügen. idbroker.webex.com für die Authentifizierung. Kunden in der EU sollten auch idbroker-eu.webex.com hinzufügen. idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw. Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.
4	Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu: .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

Webproxy über eine PAC-Datei konfigurieren

Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und die Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.

1

Damit der Connector sich erfolgreich mit der Webex Cloud verbinden und die Benutzerinformationen synchronisieren kann, müssen Sie die Proxy-Authentifizierung für cloudconnector.webex.com in der .pac-Dateikonfiguration für den Host deaktivieren, auf dem der Connector installiert ist.

2

Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:

cloudconnector.webex.com für die Synchronisierung.

Kunden in der EU sollten auch cloudconnector-eu.webex.com hinzufügen.
idbroker.webex.com für die Authentifizierung.

Kunden in der EU sollten auch idbroker-eu.webex.com hinzufügen.
idbroker-static.webex.com zur Bereitstellung statischer Ressourcen wie Schriftart, js-Komponenten usw.

Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt.

Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann.

3

Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

NTLM-Proxy

Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.

NTLM-Design

In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.

Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus aus Herausforderung und Antwort:

Ein Benutzer meldet sich über ein Windows-Konto und ein Kennwort auf einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines reinen Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hash-Wert mit dem Hash-Wert des eingegebenen Passworts. Wenn beide gleich sind, wird die Authentifizierung erfolgreich ausgeführt.

Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im reinen Textformat.
Wenn der Server die Anforderung erhält, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Herausforderung auf dem Server gespeichert. Anschließend sendet der Server die Aufforderung im reinen Textformat an den Client.
Sobald der Client die vom Server gesendete Challenge erhält, verschlüsselt der Client die Challenge mit dem in Schritt 1 genannten Hash-Wert. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet er ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: der Kontoname, die verschlüsselte Aufforderung, die der Client gesendet hat, und die ursprüngliche einfache Aufforderung.
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.

Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Dadurch müssen Sie keine weitere Konfiguration abschließen.

Transparenten Proxy konfigurieren

In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.

1	Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann.
2	Bestätigen Sie, dass der Proxy erfolgreich ist: Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt.

Proxy-Authentifizierung festlegen

Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.

Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:

1	Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist.
2	Legen Sie eine geschätzte Bandbreite für diese Verbindung fest (ca. 2 MB/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich.
3	Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie `cloudconnector.webex.com` als Ziel an, das Sie zur Zulassungsliste hinzufügen möchten. Beispiel: `access-list 2000 acl-inside extended permit TCP [IP des Connectors] cloudconnector.webex.com eq https`
4	Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt.
5	Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren.

Benutzer der Webex-App verwalten

Durchführen einer inkrementellen Synchronisierung

Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen die Änderung der Attribution für Benutzer sowie den Zeitpunkt, zu dem ein Benutzer hinzugefügt oder gelöscht wird.

Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie die ursprüngliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.

Vorbereitungen

Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen ):
- Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
- Bei neuen Konfigurationsänderungen für die Attributzuordnung, Basis-DN, Filter und die Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und erfordert eine vollständige Synchronisierung.

1	Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen.
2	Klicken Sie unter Aktionen auf Synchronisierungsmodus > Synchronisierung aktivieren , falls dies noch nicht geschehen ist. Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen anhand des letzten Zeitstempels.
3	Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac. Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistik mit den neuen Informationen aktualisiert. Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.
4	Um weitere Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen auf Ereignisanzeige starten , um die Fehlerprotokolle anzuzeigen.

Nächste Schritte

Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.

Versehentlich gelöschte Benutzer wiederherstellen

Der Verzeichniskonnektor verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Die Funktion „Soft-Delete“ kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.

Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, beispielsweise aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung aus dem Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie einen nicht übereinstimmenden Objekthinweis sehen oder festgestellt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.

Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer bis zu 7 Tage lang bei. Während dieser Zeit können Sie weiterhin Cisco Directory Connector verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so bald wie möglich wiederherzustellen.

Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nach 7 Tagen nicht gelöscht.

1	Melden Sie sich bei Control Hub an.
2	Wechseln Sie zu Benutzer und bestätigen Sie, ob sich ein bestimmtes Benutzerkonto im Status „Inaktiv“ befindet oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.
3	Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer im Status „Inaktiv“ bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Das Ziel mit Directory Connector ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu schaffen.
4	Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten mit Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und Dienstzuweisungen.

Nächste Schritte

Kehren Sie zu Control Hub zurück, gehen Sie zu Verwaltung > Benutzer und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.

Benutzer nach dem weichen Löschen dauerhaft löschen

Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung soft gelöscht wurden, dauerhaft löschen.

1	Wählen Sie nach Abschluss eines Probelaufs Weich gelöschte Objekte aus.
2	Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten.
3	Wählen Sie Fertig aus.

Nächste Schritte

Bei der nächsten Synchronisierung werden die von Ihnen geprüften Benutzer dauerhaft gelöscht.

E-Mail-Adresse einer Webex-App ändern

Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren behandelt das Ändern der E-Mail-Adresse der Webex-App für eine einzelne Domäne und einen Prozess zum Ändern der Domäne.

Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto. Dabei gehen die Bereiche des Benutzers und andere Daten in der Cloud verloren.

So ändern Sie die E-Mail-Adressen von Benutzern, ohne die Domäne zu ändern:
1. Öffnen Sie das Benutzerkonto (Beispiel, user1@example.com) in Active Directory und ändern Sie die E-Mail-Adresse (Beispiel, user2@example.com).
2. Setzen Sie die Synchronisierung auf dem Directory Connector fort.
  
  Nach der nächsten Synchronisierung werden die Änderungen in Ihrer Benutzerliste in Control Hub und für Benutzer in der Webex-App angezeigt, nachdem der Cache aktualisiert wurde.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Die eindeutige Kennung des Benutzers wird nach der ersten Synchronisierung in der Cloud festgelegt. Alle nachfolgenden Synchronisierungen basieren auf dieser Kennung.
Ändern Sie in einer Bereitstellung mit mehreren Domänen mit Directory Connector die E-Mail-Adressen der Benutzer beim Ändern der Domäne (betrachten Sie example1.com als alte Domäne und example2.com als neue Domäne):
1. Beachten Sie für das alte Benutzerkonto (user1@example1.com) das Active Directory-Attribut, das dem uid -Cloudattribut zugeordnet ist. Sie müssen denselben Active Directory-Wert für das neue Konto verwenden. In diesem Beispiel verwenden wir user1@example1.com als lokales Attribut, um der uid in der Cloud zuzuordnen.
2. Halten Sie die Synchronisierung auf dem Directory Connector für example1.com und example2.com-Domänen an.
3. Erstellen Sie ein neues Benutzerkonto in example2.com und verwenden Sie das gleiche Attribut von oben. (Beispiel: user1@example1.com).
4. Setzen Sie die Synchronisierung auf dem Directory Connector für example2.com fort.
  
  Bevor Sie fortfahren, überprüfen Sie, ob das Konto user1@example2.com mit Control Hub synchronisiert wird. Wir empfehlen, den Benutzer anzuweisen, die E-Mail-Änderung in der Webex-App zu überprüfen und alle Daten (Bereiche, Nachrichten, Meetings, Dateien usw.) aufzubewahren.
  
  Bei dieser Methode gehen keine Daten oder Bereiche verloren. Im neuen Benutzerkonto müssen Sie jedoch sicherstellen, dass das Active Directory-Attribut, das dem UID-Attribut der Cloud zugeordnet ist, aus dem alten Benutzerkonto übernommen wird. Wenn Sie den Active Directory-Wert ändern, werden die Daten des alten Kontos nicht im neuen Konto gespeichert.
5. Nachdem Sie überprüft haben, dass die E-Mail-Adresse geändert wurde und die Daten intakt sind, löschen Sie das alte Benutzerkonto auf example1.com und setzen Sie anschließend den Verzeichniskonnektor ein, um die Synchronisierung für example1.com fortzusetzen.
  
  Zu diesem Zeitpunkt können Sie die E-Mail-Adresse in der neuen Active Directory-Domäne für user1@example2.com sicher aktualisieren.

Der Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch mit der Cloud resynchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung zu „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten.

Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre Webex-App-E-Mail-Adressen über die Seite mit den Kontoeinstellungen ändern. Unter E-Mail-Adresse für Ihr Konto ändern finden Sie Schritte, die Benutzer befolgen können, um ihre E-Mails zu ändern.

Active Directory-Domäne ändern

Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.

1	Richten Sie eine neue Active Directory (AD)-Domäne ein.
2	Deaktivieren Sie die Synchronisierungen für all Ihre Konnektoren.
3	Deinstallieren Sie alle Ihre Konnektoren.
4	Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Fallübermittlung sicher, dass Sie die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall aufgelöst wurde.
5	Nachdem der Fall behoben ist: Installieren Sie den Verzeichniskonnektor auf demselben Server, auf dem sich die neue Active Directory-Domäne befindet. Konfigurieren Sie den Directory Connector so, dass er auf die neue Active Directory-Domäne verweist. Wenn Benutzer in Control Hub vorhanden sind ( https://admin.webex.com), stellen Sie sicher, dass Benutzer mit übereinstimmenden E-Mail-Adressen auch in Active Directory vorhanden sind. Wenn Ihre Organisation den Umschalter `softDelete` in DirSync deaktiviert hat, können E-Mail-Adressen von Benutzern, die sich in Control Hub, aber nicht in Active Directory befinden, gelöscht werden. Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen.

Domänenanspruch

Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass ein Sideboarding-Konto in der zahlungspflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können eine Domäne nur über einen Support-Fall beanspruchen (weitere Informationen finden Sie unter dem folgenden Link).

Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, wie ein eingeladener Benutzer zu einem Webex-App-Bereich hinzugefügt werden kann, besteht darin, das Konto zunächst mithilfe des Directory Connectors in Control Hub bereitzustellen.

Weitere Informationen

Domänen verwalten

Benutzer der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis konvertieren

Sie können nur eindeutige E-Mail-Adressen im Webex-App-Verzeichnis verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App registriert haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Um Benutzer in dieser Organisation mithilfe des Verzeichniskonnektors zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie den Verzeichniskonnektor aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.

Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.

Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung konnte nicht konvertiert werden angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.

Einige beanspruchte Benutzer werden bei einem Probelauf möglicherweise mit dem Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Gelöschte Objekte anstelle von Nicht übereinstimmendes Objekt angezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.

Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle in Ihrer Nähe gelöscht, die mit der Cloud synchronisiert werden.

1	Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector.
2	Befolgen Sie das Verfahren Konvertieren von Benutzern ohne Lizenz in Control Hub , um den Benutzer von der kostenlosen Verbraucher-Organisation zur Enterprise-Organisation zu konvertieren. Bei diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind.
3	Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und sich Konten nur in Control Hub befinden, wird bei Directory Connector die Groß- und Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, gehen alle ihre Webex-App-Bereiche verloren.
4	Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren.

Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die automatische Lizenzvorlage aktiviert und anschließend den Verzeichniskonnektor ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.

Sideboarding-Benutzerkonten für Webex-App

Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.

Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.

Benutzerformat der Webex-App nach der Verzeichnissynchronisierung ändern

Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.

Nach der Verzeichnissynchronisierung werden Benutzernamen möglicherweise im Format angezeigt.

Dieser Benutzername wird möglicherweise angezeigt, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud zu displayName zugeordnet wird, werden Namen in Control Hub im Format angezeigt.

So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) dem displayName in Cisco Cloud-Attributnamen zu.

Ändern des Cisco Cloud-Attributnamensformats

Alternativ können Sie das Attribut sn givenName dem displayName zuordnen:

Ändern des Cisco Cloud-Attributnamensformats

Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck displayName zuordnen möchten.

Format des Cisco Cloud-Attributnamens anpassen

Geben Sie beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) als Ausdruck ein. Dadurch werden die beiden Attribute in Active Directory dem displayName in der Cloud zugeordnet.

Attribute aus Ihrem lokalen Active Directory zuordnen

Benutzer können Anzeigenamen in Webex Meetings ändern

Sie können die Zuordnung des displayName -Attributs der Synchronisierung mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern die Bearbeitung ihrer bevorzugten Anzeigenamen erlauben möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird, anstatt ihren Vor- und Nachnamen eingeben. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus.
2	Wählen Sie displayName unter Cisco Cloud-Attributname aus.
3	Wählen Sie Dieses Attribut nicht synchronisieren aus.

Nächste Schritte

Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.

Directory Connector – Problembehandlung

Upgrade auf die neueste Softwareversion

Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie kein Upgrade auf die neueste verfügbare Version durchführen, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische TLS 1.2-Anforderung nicht unterstützt.

Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.

Obwohl Sie Connector-Softwareaktualisierungen manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.

1	Klicken Sie in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten.
2	Befolgen Sie die Anweisungen, um das Upgrade durchzuführen.
3	Starten Sie den Connector neu, und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an.
4	Überprüfen Sie die Versionsnummer der Software unter Hilfe > Info über.

Nächste Schritte

Für eine neue Installation von Directory Connector können Sie die ZIP-Datei herunterladen und dann die Installationsschritte in diesem Handbuch befolgen.

Konfigurieren von allgemeinen Einstellungen für Directory Connector

Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Allgemein.
2	Geben Sie den Connector-Namen im Feld Connector-Name ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird.
3	Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf Info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen: Info (Standard) – Zeigt Informationsnachrichten an, die den Fortschritt der Anwendung auf einer hohen Ebene hervorheben. Verwenden Sie diese Einstellung, wenn Sie Berichte nach allen vollständigen Synchronisierungen empfangen möchten. Warnung – zeigt potenziell gefährliche Situationen an. Debug – Zeigt detaillierte Informationsereignisse an, die für das Debuggen einer Anwendung am nützlichsten sind. Wenn Sie ein Problem feststellen, legen Sie diese Protokollebene fest und senden Sie das Ereignisprotokoll an den Support, wenn Sie einen Fall erstellen. Fehler – Zeigt Fehlerereignisse an, die die Ausführung der Anwendung möglicherweise trotzdem ermöglichen. Wenn Sie diese Option auswählen, werden Synchronisierungsberichte nur dann gesendet, wenn Fehler gemeldet werden. Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf Fehler festlegen, werden nur Fehler im Synchronisierungsbericht gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“. Nach der vollständigen Synchronisierung erhalten Sie Synchronisierungsberichte. (Beachten Sie, dass für die inkrementelle Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.)
4	Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen.
5	Aktivieren Sie Automatisches Upgrade auf neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, dass Ihre Cisco Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind.
6	Aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSL nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher.

Connector-Richtlinie konfigurieren

Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.

Sie legen beispielsweise 1 als Schwellenwert für den Löschvorgang fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus.
2	Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
3	Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20. Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen.
4	Klicken Sie auf Übernehmen.

Legen Sie den Connector-Zeitplan fest

Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.

1	Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Zeitplan aus.
2	Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben.
3	Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden.
4	Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll.
5	Geben Sie einen Wert für Failover-Intervall in Minuten an.
6	Klicken Sie auf Übernehmen.

Szenarien mit mehreren Domänen

Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.

Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.

Szenarien mit mehreren Domänen

Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.

Beispielanwendungen für mehrere Domänen

Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.

Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.

Synchronisierung auf example1.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.

User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.

Synchronisierung für example1.com und example2.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Stellen Sie sich das folgende Szenario vor:

Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.

Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne

Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.

Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.

Domänenpriorität festlegen

Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.

Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.

Vorbereitungen

Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie steht unter https://admin.webex.com zum Download bereit.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen.
3	Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern. Die Domänen werden in absteigender Reihenfolge sortiert.

Domäne wechseln

Mit diesem Verfahren können Sie den Cisco-Verzeichniskonnektor erneut an eine andere Domäne binden.

Vorbereitungen

Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie müssen sie über Control Hub herunterladen.

1	Klicken Sie im Cisco Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln.
3	Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, die Registrierung anderer Domänen im Connector wird aufgehoben, und die Connector-Informationen auf diesem Computer werden gelöscht.
4	Melden Sie sich erneut beim Cisco-Verzeichniskonnektor an, und binden Sie die Domäne erneut.

Verzeichnissynchronisierung deaktivieren

Wenn Sie die Synchronisierung über den Verzeichniskonnektor beenden müssen, können Sie sie über Control Hub vorübergehend deaktivieren.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:

Klicken Sie auf „Mehr“ und anschließend neben der Connector-Instanz, die Sie deaktivieren möchten, auf Deaktivieren .
Klicken Sie auf Alle Verzeichnissynchronisierungen deaktivieren, um die Synchronisierung von allen Connector-Instanzen zu beenden.

2

Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten.

Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren.

Benutzerattributzuordnung entfernen

Verwenden Sie den Verzeichniskonnektor, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Benutzerattributzuordnung entfernen.
3	Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus.
4	Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus: Nur mit Verzeichniskonnektor synchronisierte Benutzer: Die Zuordnung wird nur von Benutzern entfernt, die zuvor mit dem Directory Connector synchronisiert worden sind. Alle Nutzer: Die Zuordnung wird von allen Active Directory-Benutzern entfernt.
5	Klicken Sie auf Übernehmen.

Profilbilder verwalten

Verwenden Sie den Verzeichniskonnektor, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Profilbilder verwalten.
3	Wählen Sie unter Aktionen eine der folgenden Optionen aus: Profilbilder für leere Avatar-Quellen entfernen: Wenn das Active Directory-Profilbild leer ist, stellt diese Option sicher, dass die Benutzerprofilbilder aus der Cloud entfernt werden, auch wenn der Benutzer zuvor sein eigenes Bild in Webex hochgeladen hat. Laden Sie die synchronisierte Quelle erneut hoch, um zwischengespeicherte Bilder zu überschreiben: Der Directory Connector verwendet zum Aktualisieren der Profilbilder für alle Benutzer dasselbe Active Directory wie zuvor. Dadurch wird sichergestellt, dass es keine Diskrepanz zwischen den Profilbildern in Active Directory und der Cloud gibt.
4	Klicken Sie auf Übernehmen.

Directory Connector deinstallieren und deaktivieren

Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:

Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
Sie möchten die Domäne ändern und einen anderen Connector installieren.

Vorbereitungen

Möglicherweise werden mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder Synchronisierung mit mehreren Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie den Directory Connector deinstallieren.

1	Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen.
2	Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallieren aus und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen.
3	Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr und anschließend neben der Directory Connector-Instanz, die Sie deinstallieren möchten, auf Deaktivieren .
4	Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren. Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung.

Ausführen des Diagnosetools

Sie können das integrierte Diagnosetool verwenden, um Fehler bei der Directory Connector-Bereitstellung zu beheben. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.

Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.

So führen Sie Tests für Active Directory-Domänendienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-DS , geben Sie Ihre Domäne ein und klicken Sie dann auf Domänencontroller laden.
2. Wählen Sie einen Domänencontroller aus der Liste aus.
  
  Ändern Sie den Eintrag nicht später, da die inkrementelle Suche immer im selben Domänencontroller ausgeführt werden muss.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie im Abschnitt Active Directory-Abfragen weitere Filter, z. B. entweder Benutzer oder Gruppen -Objekte und Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte AD-LDS , geben Sie Ihren Host und Ihren Port ein und klicken Sie dann auf Partitionen laden.
2. Wählen Sie eine Partition aus der Liste aus, und klicken Sie dann auf Verbinden.
3. Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.
4. Konfigurieren Sie weitere Filter im Abschnitt Active Directory-Abfragen , z. B. Benutzer, UserProxy und UserProxyFull sowie Suchfilter.
5. Aktivieren Sie das Kontrollkästchen Cookie automatisch ausfüllen , um automatisch ein Cookie für eine Suche zu generieren.
6. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
7. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
1. Wechseln Sie zum Startmenü, suchen Sie nach Cisco Directory Connector, und klicken Sie auf Cisco Directory – Diagnose. Klicken Sie auf die Registerkarte LDAP RAW , geben Sie Ihren Stammpfad und Filter ein, wählen Sie einen Eintrag unter Attribute aus und klicken Sie dann auf Lade-Partitionen.
2. Überprüfen Sie bei Bedarf die folgenden Optionen:
  - ObjectSecurity: Wenn diese Option vorhanden ist, benötigt der Anrufer keine Rechte und kann nur Objekte und Attribute sehen, auf die der Anrufer zugreifen kann. Wenn diese Option nicht vorhanden ist, hat der Anrufer das Recht, Änderungen zu replizieren.
  - ParentsFirst – Stellt sicher, dass alle Eltern der Kinder vor ihre Kinder kommen.
3. Wählen Sie einen Wert für ExtendedDN aus.
  
  Dieser Wert wird bei einer erweiterten LDAP-Suche verwendet, um eine erweiterte Form von Objekt-Distinguished Name anzufordern.
4. Wählen Sie einen Wert für ReferralChasing aus.
  
  Eine Weiterleitungsverfolgung wird initiiert, wenn ein Domänencontroller eine Weiterleitung von einer Abfrage zurückgibt – beispielsweise für Details zu einem Abfrageergebnis, das außerhalb des Namensraums liegen kann (z. B. Gruppenmitglieder in einer anderen Domäne oder einem Wald).
5. Klicken Sie auf Abfrage , um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.
6. Klicken Sie nach Abschluss des Tests auf Speichern , um einen Protokolleintrag zu speichern, den Sie an das Support-Team zur Analyse senden können, wenn Sie ein Ticket erstellen.

Beheben von Problemen im Ciso Directory Connector

Fehlerbehebung und Fehlerbehebungen für den Directory Connector

Möglicherweise tritt eine Fehlermeldung oder ein anderes Problem im Directory Connector auf. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet der Connector Ihnen möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. Bevor Sie sich an den Support wenden, lesen Sie die folgenden Abschnitte über mögliche Probleme, mögliche Ursachen und vorgeschlagene Lösungen.

Installieren

Directory Connector funktioniert nicht mehr

Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber benachrichtigt wurden, dass Ihr Directory Connector nicht funktioniert.

Der Directory Connector ist möglicherweise nicht korrekt installiert.
Directory Connector wird möglicherweise nicht ausgeführt.
Das Netzwerk ist möglicherweise nicht verfügbar.

Gehen Sie wie folgt vor:

Öffnen Sie Systemsteuerung > Programme und Funktionen. Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
Öffnen Sie den Dienst und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status Gestartet angezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, über Internetzugang verfügt.

Fehler bei erneuter Installation

Problem: Wenn Sie sofort einen neuen Connector installieren, nachdem Sie einen alten deinstalliert haben, wird möglicherweise eine Fehlermeldung angezeigt.

Mögliche Ursache: In Windows Server 2012 benötigt der Client zur Deinstallation Zeit, um das Dienstkonto aus der Dienstliste zu löschen.

Lösung: Versuchen Sie die Installation nach einiger Zeit erneut.

Anmelden

Directory Connector stürzt bei der SSO-Anmeldung ab

Problem

Der Directory Connector kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.

Lösung

Gehen Sie wie folgt vor:

Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:

Wechseln Sie zum Domänencontroller und öffnen Sie Group Policy Management (gpedit.msc).
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne, und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie Bearbeiten aus.

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter Key Path die Option HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:

Gehen Sie zu Computerkonfiguration > Präferenzen > Windows-Einstellungen, klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
Geben Sie unter SchlüsselpfadHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
Geben Sie Disable Script Debugger für Value und no für Value data ein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Die Änderungen werden wirksam, nachdem Sie gpupdate /force ausgeführt haben, die Maschine neu gestartet wurde (bei Änderungen am Computer) oder sich der Benutzer erneut anmeldet (bei Änderungen am Benutzer).

Cisco DirSync Service Connector konnte nicht registriert werden

Problem

Anmeldung fehlgeschlagen, und die folgende Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“

Lösung

Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.

Die Seite „Keine Anmeldung“ wird angezeigt

Problem

Sie haben den Verzeichniskonnektor geöffnet und die Anmeldeseite wurde nicht angezeigt.

Fehlerbehebung: Die Seite „Keine Anmeldung“ wird angezeigt

Lösung

Gehen Sie wie folgt vor:

Navigieren Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie den Link in anderen Browsern wie Chrome und Firefox.
Wenn Internet Explorer den Link nicht aufrufen kann, andere Browser dies jedoch können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren .)

Anmeldeaufforderung wird angezeigt

Problem

Es wird eine Aufforderung angezeigt, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu bestehen.

Mögliche Ursache

Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.

Lösung

Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Übergabe der Sicherheit bereitstellen.

Verbindung zum Remote-Server nicht möglich

Problem

Während des normalen Betriebs wird die Fehlermeldung „Keine Verbindung zum Remote-Server möglich“ angezeigt.

Mögliche Ursache

Möglicherweise gibt es Proxy-Probleme, die behoben werden müssen.

Lösung

Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung mit Dienstkonto beheben .

Konnektor kann nicht registriert werden.

Problem

Es wird die Fehlermeldung „Der Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“

Mögliche Ursache

In den meisten Fällen liegt das Problem darin, dass der Directory Connector keine Berechtigung für eine Verbindung mit dem LDAP-Stammkontext hat.

Lösung

Gehen Sie wie folgt vor:

Führen Sie eine Eingabeaufforderung (cmd) aus, und geben Sie ldp.exe ein.
Klicken Sie auf Verbindung > Binden, wählen Sie Als aktuell angemeldeten Benutzer binden und klicken Sie dann auf OK.
Klicken Sie auf Ansicht > Baum, geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall beim Support.

Synchronisierung

Avatare nicht synchronisiert

Problem

Der Cisco Directory Connector hat die Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatar-Daten erfolgreich synchronisiert.

Mögliche Ursache

Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache diese und vermeidet es, erneut zu senden, um Bandbreite zu sparen.

Lösung

Führen Sie die folgenden Schritte aus, um den lokalen Cache zu löschen:

Gehen Sie zu C:\Programme (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Löschen DirSyncPluginAvatar.dll-cache.bin.
Führen Sie die Avatar-Synchronisierung über den Cisco-Verzeichniskonnektor erneut aus.

In Konflikt stehende Benutzer-E-Mail-Konten

Problem

Die Synchronisierungsergebnisse können in Konflikt stehende Benutzer-E-Mail-Konten anzeigen.

Wenn Benutzer die kostenlose Version der Webex-App versucht haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.

Lösung

Gehen Sie wie folgt vor:

Befolgen Sie die folgenden Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
1. Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
2. Deaktivieren Sie Cisco Directory Connector vorübergehend.
3. Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucherorganisation vorhanden sein könnten. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
4. Probelauf im Cisco Directory Connector durchführen und die Verzeichnissynchronisierung anschließend erneut aktivieren
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen.

Konvertierter Benutzer als inaktiv markiert

Problem

In Ihrer verzeichnissynchronisierten Umgebung haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.

Mögliche Ursache

Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer als 30 Tage lang als inaktiv markiert, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des Zeitraums von 30 Tagen zur Löschung markiert. Diese Situation tritt auf, da sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.

Lösung

Sie müssen entsprechende Maßnahmen ergreifen, wenn das Benutzerkonto nicht gelöscht werden soll. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.

Inkrementelle Synchronisierung schlägt fehl

Problem

Eine inkrementelle Synchronisierung schlägt fehl.

Dieses Problem kann unter folgenden Bedingungen auf Windows Server 2008 R2 auftreten:

Sie unterstützen inkrementelle Wertaktualisierungen.
Der Filter, den Sie verwenden, referenziert ein verknüpftes Werteattribut.
Die Ergebniswerte dieses Attributs wurden seit der letzten Durchführung einer vollständigen Synchronisierung aktualisiert.

Lösung

Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihren Windows Server auf mindestens 2012 R2 zu aktualisieren.

Ungültiger Wert für Merkmal

Problem

Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].

Mögliche Ursache

Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.

Lösung

Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.

Übereinstimmende Benutzer zum Löschen

Problem

Die übereinstimmenden Benutzer werden als gelöscht markiert.

Wenn Sie einen Probelauf zur Überprüfung der Daten zwischen Active Directory und der Cloud durchführen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Systemen angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.

Lösung

Wählen Sie eine geeignete Lösung:

Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen danach zu wiederholen, können Sie den Directory Connector für die Behebung verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Support-Fall.

Attribut fehlt

Problem

Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.

Mögliche Ursache

Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsbenutzer,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert aufweisen.

Lösung

Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.

Verschachtelte Gruppe wird nicht synchronisiert

Problem

Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.

Mögliche Ursache

Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Beispiel: (Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)

Lösung

Sie müssen den Filter, der Gruppen synchronisiert, neu konfigurieren. Beispiel: |(Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)(Mitglied=CN=testSubGroup,CN=Benutzer,DC=rktest2008,DC=org)

Konflikt bei Benutzerbenennung

Problem

Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und des Benutzertyps [user_type].

Mögliche Ursache

Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.

Lösung

Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.

Control Hub

Benutzerliste fehlt in Control Hub

Problem

Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird Ihnen die Benutzerliste in Control Hub möglicherweise nicht angezeigt.

Lösung

Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Wechseln Sie in Control Hub zu Benutzer, klicken Sie auf Suchen Schaltfläche „Suchen“ und geben Sie dann Suchkriterien ein, um nach einem bestimmten Benutzer zu suchen.

Gruppen werden nicht mit Control Hub synchronisiert

Problem

Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.

Mögliche Ursache

Die Gruppe ist in Active Directory nicht als isCriticalSystemObject markiert.

Lösung

Stellen Sie sicher, dass das Attribut isCriticalSystemObject in Active Directory auf TRUE gesetzt ist.

Problembehandlung für den Directory Connector aktivieren

Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.

Die Protokolldateien, die sind: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Führen Sie die Datei `services.msc` aus, um das ausgeführte Konto für den Directory Connector-Dienst vom lokalen System in ein Domänenkonto zu ändern, das über Zugriffsberechtigungen für Ihr AD DS oder AD LDS verfügt.
2	Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten.
3	Klicken Sie im Directory Connector auf Dashboard.
4	Wechseln Sie zu Aktionen und klicken Sie auf Dienstprogramme > Fehlerbehebung.
5	Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können.
6	Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt. Der Protokollordner speichert nur Dateien für die letzten 3 Tage. Der Inhalt in den Protokolldateien entspricht der Ausgabe des Ereignisprotokolls für das System.
7	Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten.
8	Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind.

Weitere Informationen

Support kontaktieren

Starten der Ereignisanzeige

Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.

1	Wechseln Sie aus dem Directory Connector zu Dashboard und klicken Sie auf Aktion > Ereignisanzeige starten. Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails.
2	Wechseln Sie in der Ereignisanzeige zu Anwendungs- und Dienstprotokolle > Cisco Directory Connector.
3	Klicken Sie unter Aktionen auf Alle Events speichern unter , um alle Protokolle als einzelne Events-Datei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren.

Nächste Schritte

Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und fügen Sie dann die Events-Datei an Ihren Fall an.

In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Hilfe bei der Verwaltung des Netzwerkdatenverkehrs zu erhalten.

TLS in Internet Explorer aktivieren

Wenn Sie Single Sign-On (SSO)-Anbieter gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:

Bei der Anmeldung am Dienst ist ein Fehler aufgetreten
Im Skript auf dieser Seite ist ein Fehler aufgetreten

Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.

1	Öffnen Sie Internet Explorer und wählen Sie Werkzeuge aus. Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die aktiviert werden soll. Klicken Sie auf OK. Schließen Sie den Browser und öffnen Sie ihn erneut.
2	Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , und scrollen Sie zu Sicherheit.
3	Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden , und klicken Sie auf OK.
4	Starten Sie das System neu, damit die Änderungen übernommen werden.

Anmeldeprobleme für Dienstkonten beheben

Wenn Sie sich nicht beim Cisco Directory Connector anmelden können oder keine Synchronisierung durchführen können, versuchen Sie anhand der folgenden Schritte, das Problem zu beheben, bevor Sie sich an den Support wenden.

1

Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen.

2

Wählen Sie je nach den Ergebnissen eine Option:

Wenn Sie den Link nicht über Ihren Browser aufrufen können, überprüfen Sie Ihre Netzwerkeinstellungen. Wenn Sie in Ihrer Umgebung einen Proxy verwenden, überprüfen Sie die Proxy-Einstellungen.
Wenn Sie den Link über Ihren Browser aufrufen, aber den Cisco Directory Connector nicht öffnen können (Fehler 407 kann nicht geöffnet werden), klicken Sie hier , um die neueste Version des Cisco Directory Connector abzurufen.
Wenn Sie den Link über Ihren Browser aufrufen, aber keine Synchronisierung über den Cisco Directory Connector durchführen können, ändern Sie das Konto für die Dienstanmeldung in Domänenadministrator.

Überprüfen Sie, ob das Konto, mit dem Sie sich beim Windows-System angemeldet haben, dasselbe Konto ist, das Sie unter „Cisco DirSync-Dienst“ festgelegt haben. Wenn es sich um 2 verschiedene Konten handelt, stellen Sie sicher, dass beide Konten https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL besuchen können. Wenn Ihre Umgebung einen Proxy verwendet, stellen Sie sicher, dass beide Konten im Internet Explorer für den Proxy konfiguriert sind und https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL erfolgreich aufrufen können.

3

Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (das unter den Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar- und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung für das Windows-Anmeldekonto.

Weitere Informationen

Support kontaktieren

Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung

Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.

1

Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt – Es ist keine weitere Aktion erforderlich.
SafeDllSearchMode ist aufgeführt: Stellen Sie sicher, dass der Wert auf 1 festgelegt ist.

Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.

Übersicht über Cisco Directory Connector

Directory Connector-Übersicht

Directory Connector ist eine lokale Anwendung zur Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.

Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur einzigen Quelle der Wahrheit wird. Wenn Sie vor Ort eine Änderung vornehmen, wird diese in die Cloud repliziert.

In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:

Funktion	Beschreibung und Vorteil
Benutzerfreundliches Dashboard	Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden.
Probelauf vor der Synchronisierung mit der Cloud	Führen Sie einen Probelauf der Änderungen am Verzeichnis durch, bevor diese in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen.
Vollständige und inkrementelle Synchronisierung	Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen.
Synchronisieren mehrerer Domänen (einzelner oder mehrere Gesamtstrukturen)	Directory Connector unterstützt mehrere Domänen entweder unter einer einzigen Gesamtstruktur oder unter mehreren Gesamtstrukturen (ohne dass AD LDS erforderlich ist). Für Unternehmen mit mehreren Active Directory-Domänen können Sie für jede Domäne einen Directory Connector installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis mit Webex synchronisieren. Control Hub gibt den Status wieder, indem es den Synchronisierungsstatus für mehrere Directory Connectors anzeigt, Ihnen ermöglicht, die Synchronisierung für eine bestimmte Domäne auszuschalten und einen Directory Connector in einer Bereitstellung mit hoher Verfügbarkeit zu deaktivieren.
Geplante Synchronisierung	Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest.
LDAP-Filter (Lightweight Directory Access Protocol)	Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit.
Active Directory-Attributzuordnung	Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, die der Cloud zugeordnet werden sollen. Die Attribute aus den Räumlichkeiten bilden verschiedene Daten in der Cloud, wie etwa Benutzerkontoinformationen, Unternehmenstelefonnummern in Webex Teams, SIP-Adressen von Raumressourcen und andere Kontaktkartendaten des Benutzers (Berufsbezeichnung, Abteilung, Manager usw.).
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung	Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud PSTN für den Anrufdienst verwendet oder Sie über lokale Raumgeräte verfügen, können Benutzer mit dieser Funktion das Verzeichnis von ihren Cisco Webex Calling-Telefonen (Cloud PSTN) oder Raumressourcen aus nach Unternehmenskontakten durchsuchen. Raumressourcen Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugewiesenen SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Cisco Webex Raumgerät oder Cisco Webex Board angezeigt. Wenn Benutzer eine Suche auf einem Cisco Webex Room-Gerät oder Cisco Webex Board durchführen, werden die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn sie vom Webex-Gerät aus einen Anruf an diesen Eintrag tätigen, wird ein Anruf an die für den Raum konfigurierte SIP-Adresse getätigt. Anrufe Benutzer können neben Webex-App-Kontakten auch Unternehmenskontakte anrufen. Über Directory Connector werden die Unternehmensbenutzer und ihre Telefonnummern zu Ihrer Webex-Organisation hinzugefügt. Sie müssen nicht über eine Lizenz für Webex-Dienste verfügen, damit diese Funktion funktioniert. Benutzer ohne Webex-Lizenz werden in der Verzeichnissuche angezeigt, die vom Telefon eines Cisco Webex Calling-Benutzers durchgeführt wird, sofern eine URI oder Telefonnummer über den Directory Connector mit Webex synchronisiert ist. Die Anrufe funktionieren gleich für beide Benutzertypen. Außerdem bietet dieses Feature eine Bearbeitungsfunktion für Kontakte, die nur eine Telefonnummer enthalten. Für die Kontakte in den Suchergebnissen gilt Folgendes: Wenn Kontakte über eine wählbare URI (Webex-SIP-Adresse) und Telefonnummer verfügen, wird die mit dem Kontakt verknüpfte URI angezeigt. Wenn ein Kontakt keine wählbare URI, dafür jedoch eine Telefonnummer hat, wird die Telefonnummer angezeigt. Außerdem wird ein Softkey zum Bearbeiten der gewählten Nummer angezeigt. Kontakte ohne URI oder Telefonnummer werden nicht im Verzeichnis angezeigt.
Ereignisanzeige	Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen.
Diagnosetool und Fehlerbehebung	Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, sodass Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Sobald Sie die Fehlerbehebung im Directory Connector aktivieren, werden Protokolle geschrieben, die an den technischen Support gesendet werden können.
Automatisches Upgrade	Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades einrichten, sodass Sie immer über die neueste Version der Software verfügen, wenn eine neue Version veröffentlicht wird.
Hohe Verfügbarkeit	Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt.

Directory Connector ist in drei Bereiche unterteilt:

Control Hub ist die einzige Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Zeigen Sie Benutzer an, weisen Sie Lizenzen zu, laden Sie Directory Connector herunter und konfigurieren Sie Single Sign-On (SSO), wenn sich Ihre Benutzer über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App senden möchten.
Directory Connector-Verwaltungsschnittstelle ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mithilfe der Software können Sie eine Synchronisierung ausführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und Directory Connector-Dienste zu konfigurieren.
Der Verzeichnissynchronisierungsdienst fragt Ihr Active Directory ab, um Benutzer und Gruppen abzurufen, die mit dem Connector-Dienst und Directory Connector synchronisiert werden sollen.

Sehen Sie sich dieses Diagramm an, um die Architektur des Directory Connectors zu verstehen:

Vorbereiten Ihrer Umgebung für Directory Connector

Anforderungen für Directory Connector

Windows- und Active Directory-Anforderungen

Sie können Directory Connector auf diesen unterstützten Windows-Servern installieren:

Windows Server 2022
Windows Server 2019
Windows Server 2016

Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die den Fix enthält – Windows Server 2012 R2 oder 2016.

Directory Connector wird mit den folgenden Active Directory-Diensten unterstützt:

Active Directory 2016

(Directory Connector wird unterstützt, wenn die neueste Version von Active Directory unter Windows Server 2019 verwendet wird)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Beachten Sie die folgenden zusätzlichen Anforderungen:

Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
- .NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung). Wenn Probleme auftreten, befolgen Sie die Anweisungen in Aktivieren Sie .NET Framework 3.5 mithilfe des Assistenten zum Hinzufügen von Rollen und Features.)
- .NET Framework v.4.5 (erforderlich für TLS1.2)
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)

Hardware-Anforderungen

Sie müssen Directory Connector auf einem Computer mit den folgenden Mindesthardwareanforderungen installieren:

8 GB RAM
50 GB Speicherplatz
Keine Mindestanforderung für die CPU

Netzwerk-Anforderungen

Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS (Port 443) auf das Internet zugreifen kann.

Anforderungen an die Webex-Organisation

Um vom Control Hub aus auf die Directory Connector-Software zuzugreifen, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem kostenpflichtigen Abonnement.
(Optional) Wenn Sie möchten, dass neue Webex-App-Benutzerkonten vor der ersten Anmeldung aktiv sind, empfehlen wir Ihnen Folgendes:
- Fügen Sie Domänen hinzu, überprüfen Sie sie und beanspruchen Sie sie optional, die die Benutzer-E-Mail-Adressen enthalten, die Sie mit der Cloud synchronisieren möchten.
- Führen Sie eine Single Sign-On (SSO)-Integration Ihres Identitätsanbieters (IdP) mit Ihrer Webex-Organisation durch.
- Unterdrücken Sie automatische E-Mail-Einladungen, damit neue Benutzer keine automatischen E-Mail-Einladungen erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)

Weitere Informationen finden Sie unter Benutzerstatus und Aktionen im Control Hub.

Installationsvoraussetzungen

Für eine Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie für jede Active Directory-Domäne einen Directory Connector installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
Für die Anmeldung beim Connector benötigen wir kein Administratorkonto im Active Directory. Wir benötigen ein lokales Benutzerkonto, das mit dem vollständigen Administratorkonto im Control Hub identisch ist.

Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computer-Anmeldekonto sollte einem Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer gehören. (Diese Informationen gelten auch für die Anmeldung an einer virtuellen Maschine.)
Beim Anmelden beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector das lokale Systemkonto für den Zugriff auf Active Directory. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung an einer virtuellen Maschine.)
Stellen Sie mithilfe dieses Verfahrens sicher, dass der sichere DLL-Suchmodus (Dynamic Link Library) von Windows aktiviert ist: Überprüfen Sie SafeDllSearchMode in der Windows-Registrierung.
Wenn Sie AD LDS für mehrere Domänen in einer einzigen Gesamtstruktur verwenden, empfehlen wir Ihnen, Directory Connector und Active Directory Domain zu installieren Service/Active Verzeichnis Leichtgewichtige Verzeichnisdienste (AD DS/AD LDS) auf separaten Maschinen.

Anforderungen für mehrere Domänen

Bevor Sie die Aufgaben im Taskflow zur Bereitstellung des Cisco Directory Connectorsausführen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:

Für jede Domäne ist eine separate Instanz von Directory Connector erforderlich.
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, mit der sie synchronisiert wird.
Wir empfehlen Ihnen, Ihre Domänen im Control Hub zu verifizieren oder zu beanspruchen. (Siehe Domänen hinzufügen, überprüfen und beanspruchen.)
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen, um Ihre Organisation in eine große Org-Liste zu verschieben.
Bei Bedarf können Sie Raumressourceninformationen zusammen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex-Cloud.)

Active Directory-Gruppenempfehlungen für die automatische Lizenzzuweisung

Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zusammenzufassen. Die Arbeit mit Gruppen statt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.

Es gibt zwei Arten von Gruppen in Active Directory:

Verteilergruppen– Dient zum Erstellen von E-Mail-Verteilerlisten.
Sicherheitsgruppen– Werden verwendet, um gemeinsam genutzten Ressourcen Berechtigungen zuzuweisen.

Active Directory-Gruppentypen

Beachten Sie beim Erstellen von Gruppen in Active Directory die folgenden Richtlinien:

Erstellen Sie für jede Rolle, Abteilung oder jeden Dienst (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex-Lizenzierung usw.) eine globale Gruppe.
Verwenden Sie in Ihrer gesamten Organisation standardmäßige Namenskonventionen, um wichtige Informationen zu einer Gruppe leichter identifizieren zu können. Gruppennamen können Details zur Gruppe enthalten, wie etwa Zugriffsebene, Ressourcentyp, Sicherheitsstufe, Gruppenumfang, E-Mail-Funktion usw. Beispielsweise bezieht sich der Gruppenname „GSG_Webex_Licensing_EMEAR“ auf eine globale Sicherheitsgruppe für EMEAR-Benutzer der Webex-Lizenzierung.
Organisieren Sie Gruppen auf leicht verständliche Weise, beispielsweise nach geografischer Lage oder Managementhierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die Auto-Lizenzgruppenvorlage im Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Einrichten Ihrer Vorlage für die automatische Lizenzzuweisung.

Größeninformationen

Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher gibt es für den Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Alle Beschränkungen für lokale Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen der Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, und nicht an den Connector selbst.

Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:

Die Gesamtzahl der Active Directory-Objekte. (Ein Synchronisierungsauftrag für 5.000 Benutzer dauert nicht so lange wie einer für 50.000.)
Netzwerkgeschwindigkeit und Bandbreite.
Systemauslastung und Spezifikationen.

Wenn Sie mehr als 50.000 Benutzer synchronisieren, empfehlen wir Ihnen dringend, aus Failover- und Redundanzgründen einen zweiten Connector zu verwenden.

Da bei der Synchronisierung mehrere Faktoren eine Rolle spielen und jede Bereitstellung je nach den oben genannten Faktoren unterschiedlich ist, können wir keine genauen Zeitangaben dazu machen, wie lange eine Objektsynchronisierung dauert.

Überprüfen Sie SafeDllSearchMode in der Windows-Registrierung

Der sichere Suchmodus für Dynamic Link Librarys (DLLs) ist standardmäßig in der Windows-Registrierung festgelegt und platziert das aktuelle Verzeichnis des Benutzers weiter hinten in der DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert wäre, könnte ein Angreifer eine schädliche DLL (mit demselben Namen wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) in das aktuelle Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, verwenden Sie jedoch dieses Verfahren, um die Registrierungseinstellungen noch einmal zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, vor der Ausführung dieser Schritte eine Sicherungskopie Ihrer Registrierung zu erstellen.

1

Geben Sie in der Windows-Suche oder im Ausführen-Fenster regedit ein und drücken Sie dann die Eingabetaste.

2

Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3

Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt– Es sind keine weiteren Maßnahmen erforderlich.
SafeDllSearchMode ist aufgeführt– Stellen Sie sicher, dass der Wert auf 1eingestellt ist.

Weitere Informationen finden Sie unter Dynamic Link Library-Suchreihenfolge.

Webproxy-Integration

Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.

Wenn Ihre Organisation einen transparenten Webproxy verwendet, unterstützt dieser keine Authentifizierung. Der Connector verbindet und synchronisiert Benutzer erfolgreich.

Sie können einen der folgenden Ansätze verwenden:

Expliziter Webproxy über Internet Explorer (der Connector übernimmt die Webproxy-Einstellungen)
Expliziter Webproxy über eine PAC-Datei (der Connector übernimmt unternehmensspezifische Proxy-Einstellungen)
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert

Webproxy über den Browser verwenden

Sie können Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.

Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,

1	Gehen Sie im Internet Explorer zu Internetoptionen > Verbindungenund wählen Sie dann LAN-Einstellungen.
2	Richten Sie die Windows-Instanz auf den Ort, an dem der Connector auf Ihrem Webproxy installiert ist. Der Connector übernimmt diese Webproxy-Einstellungen.
3	Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu: cloudconnector.webex.com zur Synchronisierung. Kunden in der EU sollten außerdem cloudconnector-eu.webex.comhinzufügen. idbroker.webex.com zur Authentifizierung. Kunden in der EU sollten außerdem idbroker-eu.webex.comhinzufügen. idbroker-static.webex.com zum Bereitstellen statischer Ressourcen wie Schriftarten, JS-Komponenten usw. Sie können dies entweder Site-weit (für alle Hosts) oder nur für den Host durchführen, der über den Connector verfügt. Wenn Sie diese URLs zu einer Zulassungsliste hinzufügen, um Ihren Webproxy vollständig zu umgehen, stellen Sie sicher, dass die ACL-Tabelle Ihrer Firewall aktualisiert ist, damit der Connector-Host direkt auf die URLs zugreifen kann.
4	Wenn Ihre Umgebung Zertifikatsperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Zulassungsliste hinzu: .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Weitere Informationen finden Sie in diesem Artikel zu Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

Webproxy über eine PAC-Datei konfigurieren

Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxyadresse und Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.

1

Damit der Connector erfolgreich eine Verbindung zur Webex-Cloud herstellen und Benutzerinformationen synchronisieren kann, stellen Sie sicher, dass die Proxy-Authentifizierung für cloudconnector.webex.com in der PAC-Dateikonfiguration für den Host deaktiviert ist, auf dem der Connector installiert ist.

2

Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:

cloudconnector.webex.com zur Synchronisierung.

Kunden in der EU sollten außerdem cloudconnector-eu.webex.comhinzufügen.
idbroker.webex.com zur Authentifizierung.

Kunden in der EU sollten außerdem idbroker-eu.webex.comhinzufügen.
idbroker-static.webex.com zum Bereitstellen statischer Ressourcen wie Schriftarten, JS-Komponenten usw.

Sie können dies entweder Site-weit (für alle Hosts) oder nur für den Host durchführen, der über den Connector verfügt.

Wenn Sie diese URLs zu einer Zulassungsliste hinzufügen, um Ihren Webproxy vollständig zu umgehen, stellen Sie sicher, dass die ACL-Tabelle Ihrer Firewall aktualisiert ist, damit der Connector-Host direkt auf die URLs zugreifen kann.

3

Wenn Ihre Umgebung Zertifikatsperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Zulassungsliste hinzu:

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

Weitere Informationen finden Sie in diesem Artikel zu Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

NTLM-Proxy

Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.

NTLM-Design

In den meisten Fällen möchte ein Benutzer über einen Client-PC auf die Ressourcen einer anderen Arbeitsstation zugreifen, was auf sichere Weise schwierig sein kann.

Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus von Challenge und Response:

Ein Benutzer meldet sich mit einem Windows-Konto und einem Kennwort bei einem Client-PC an. Das Passwort wird niemals lokal gespeichert. Anstelle eines Klartext-Passworts wird ein Hashwert des Passworts lokal gespeichert. Wenn sich ein Benutzer mit dem Kennwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hashwert und den Hashwert des eingegebenen Kennworts. Wenn beide gleich sind, ist die Authentifizierung erfolgreich.

Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anfrage mit dem Kontonamen im Klartext an den Server.
Wenn der Server die Anfrage empfängt, generiert er einen 16-Bit-Zufallsschlüssel. Der Schlüssel wird Challenge (oder Nonce) genannt. Bevor der Server sie an den Client zurücksendet, wird die Challenge auf dem Server gespeichert. Und dann sendet der Server die Herausforderung im Klartext an den Client.
Sobald der Client die vom Server gesendete Challenge empfängt, verschlüsselt er die Challenge mit dem in Schritt 1 genannten Hashwert. Nach der Verschlüsselung wird der Wert an den Server zurückgesendet.
Wenn der Server den verschlüsselten Wert vom Client empfängt, sendet er ihn zur Überprüfung an den Domänencontroller. Die Anfrage umfasst: den Kontonamen, die verschlüsselte Herausforderung, die der Client gesendet hat, und die ursprüngliche einfache Herausforderung.
Der Domänencontroller kann die Hashwerte des Kennworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Domänencontroller kann dann den empfangenen Hashwert mit dem verschlüsselten Hashwert vergleichen. Wenn sie gleich sind, war die Überprüfung erfolgreich.

Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, die es Anwendungen erleichtert, die Sicherheitsauthentifizierung zu unterstützen. Daher müssen Sie keine weiteren Konfigurationen vornehmen.

Transparenten Proxy konfigurieren

In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.

1	Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann.
2	Bestätigen Sie, dass der Proxy erfolgreich ist. Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt.

Proxy-Authentifizierung festlegen

Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.

Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:

1	Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist.
2	Bestimmen Sie eine geschätzte Bandbreite für diese Verbindung (bei etwa 2 mb/s oder weniger für den Stecker). Diese Angabe ist möglicherweise nicht erforderlich.
3	Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie `cloudconnector.webex.com` als Ziel an, das der Zulassungsliste hinzugefügt werden soll. Beispiel: `access-list 2000 acl-inside extended permit TCP [IP of the connector] cloudconnector.webex.com eq https`
4	Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt.
5	Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren.

Bereitstellen des Verzeichniskonnektors

Ablauf der Bereitstellung des Cisco Directory Connectors

Vorbereitungen

Vorbereiten Ihrer Umgebung für Directory Connector

1	Verzeichniskonnektor installieren Control Hub zeigt die Verzeichnissynchronisierung zunächst als deaktiviert an. Um die Verzeichnissynchronisierung für Ihre Organisation zu aktivieren, müssen Sie Directory Connector installieren und konfigurieren und dann eine vollständige Synchronisierung erfolgreich durchführen. Gehen Sie bei einer Neuinstallation von Directory Connector immer zu Control Hub ( https://admin.webex.com), um die neueste Version der Software zu erhalten, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nachdem Sie die Software installiert haben, werden Upgrades über die Software gemeldet und bei Verfügbarkeit automatisch installiert.
2	Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administratoranmeldeinformationen an und führen Sie die Ersteinrichtung durch.
3	Automatische Upgrades festlegen Es ist immer wichtig, Ihre Directory Connector-Software auf dem neuesten Stand zu halten. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, um die automatische Installation von Software-Upgrades im Hintergrund zu ermöglichen, wenn diese verfügbar sind.
4	Auswählen der zu synchronisierenden Active Directory-Objekte Standardmäßig synchronisiert Directory Connector alle Benutzer, bei denen es sich nicht um Computer handelt, und alle Gruppen, bei denen es sich nicht um kritische Systemobjekte für eine Domäne handelt. Um mehr Kontrolle darüber zu haben, welche Objekte synchronisiert werden, können Sie auf der Seite „Objektauswahl“ im Verzeichniskonnektor bestimmte Benutzer für die Synchronisierung auswählen und LDAP-Filter angeben.
5	Benutzerattribute zuordnen Sie können die Attribute aus Ihrem lokalen Active Directory zu den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld lautet *uid.
6	Synchronisieren Sie Verzeichnisavatare mithilfe eines der folgenden Verfahren: Synchronisieren Sie Verzeichnis-Avatare von einem Active Directory-Attribut mit der Cloud Synchronisieren Sie Verzeichnis-Avatare von einem Ressourcenserver mit der Cloud Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass die Benutzer-Avatare nach der Anmeldung in der Anwendung angezeigt werden. Sie können Avatare von einem Active Directory-Attribut oder einem Ressourcenserver synchronisieren.
7	Synchronisieren Sie lokale Rauminformationen mit der Webex Cloud Verwenden Sie dieses Verfahren, um lokale Rauminformationen aus Active Directory mit der Webex-Cloud zu synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt, z. B. einem Webex Room Device oder Cisco Webex Board.
8	Um Benutzer aus Active Directory in Control Hub bereitzustellen, führen Sie diese Schritte aus: Führen Sie eine Probesynchronisierung Ihrer Active Directory-Benutzer durch Führen Sie eine vollständige Synchronisierung von Active Directory-Benutzern in die Cloud durch Zuweisen von Webex-Diensten zu Verzeichnis-synchronisierten Benutzern im Control Hub Befolgen Sie diese Reihenfolge, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Gesamtstrukturen oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Onboardings von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind (z. B. Testkonten aus einer Testphase), beibehalten oder löschen möchten. Das Ziel besteht darin, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erreichen.

Verzeichniskonnektor installieren

Control Hub zeigt die Verzeichnissynchronisierung zunächst als deaktiviert an. Um die Verzeichnissynchronisierung für Ihre Organisation zu aktivieren, müssen Sie Directory Connector installieren und konfigurieren und dann eine vollständige Synchronisierung erfolgreich durchführen.

Für jede Active Directory-Domäne, die Sie synchronisieren möchten, müssen Sie einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzelne Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Durchführen der Synchronisierung mehrerer Domänen:

***Mehrere Domänenflüsse für den Verzeichniskonnektor***

Vorbereitungen

Wenn Sie sich über einen Proxy-Server authentifizieren, müssen Sie sicherstellen, dass Sie Ihre Proxy-Anmeldeinformationen zur Hand haben:

Bei der Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Für die Basisauthentifizierung ist auch eine Proxy-Konfiguration im Internet Explorer erforderlich; siehe Verwenden eines Webproxys über den Browser
Beim Proxy-NTLM wird möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser.

1	Gehen Sie im Control Hubzu Benutzer > Benutzer verwalten > Verzeichnissynchronisierung aktivierenund wählen Sie Weiter.
2	Klicken Sie auf den Link Herunterladen und installieren, um die neueste Version der ZIP-Installationsdatei des Connectors auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die ZIP-Datei direkt von diesem Linkherunterladen, Sie müssen jedoch über vollständigen Administratorzugriff auf eine Control Hub-Organisation verfügen, damit diese Software funktioniert. Holen Sie sich bei einer Neuinstallation die neueste Version der Software, damit Sie die neuesten Funktionen und Fehlerbehebungen nutzen. Nachdem Sie die Software installiert haben, werden Upgrades über die Software gemeldet und bei Verfügbarkeit automatisch installiert.
3	Entpacken Sie auf dem VMware- oder Windows-Server die MSI-Datei im Setup-Ordner und führen Sie sie aus, um den Setup-Assistenten zu starten.
4	Klicken Sie auf Weiter, dann auf Ich stimme zu, um die Lizenzvereinbarung zu akzeptieren, und anschließend auf Weiter, bis der Bildschirm für die Kontoeingabe angezeigt wird.
5	Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto aus: Lokales System– Die Standardoption. Verwenden Sie diese Option, wenn Sie einen Proxy in Internet Explorer konfiguriert haben. Domänenkonto– Verwenden Sie diese Option, wenn der Computer Teil der Domäne ist. Der Directory Connector muss mit den Netzwerkdiensten interagieren, um auf Domänenressourcen zuzugreifen. Geben Sie anschließend die Kontoinformationen ein und klicken Sie auf OK. Verwenden Sie beim Eingeben des Benutzernamensdas Format `{domain}\{user_name}` Für einen mit AD (NTLMv2 oder Kerberos) integrierten Proxy müssen Sie die Option Domänenkonto verwenden. Das für die Ausführung des Directory Connector-Diensts verwendete Konto benötigt ausreichende Privilegien, um den Proxy zu durchlaufen und auf AD zuzugreifen. Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Berechtigungen vorhanden sind: Der Server ist Teil der Domäne Das Domänenkonto kann auf die lokalen AD-Daten und Avatardaten zugreifen. Das Konto muss außerdem über die lokale Administratorrolle verfügen, da es auf die Zugriffsdateien unter `C:\Program Files`zugreifen muss. Für die Anmeldung an einer virtuellen Maschine muss das Administratorkonto mindestens die Berechtigung haben, Domäneninformationen zu lesen.
6	Klicken Sie auf Installieren. Nachdem der Netzwerk-Test läuft und falls Sie dazu aufgefordert werden, geben Sie Ihre Proxy-Basic-Anmeldeinformationen ein, klicken Sie auf OK und dann auf Fertig stellen.

Nächste Schritte

Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelaufbericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Beim Neustart der Maschine werden alle Daten aktualisiert, um im Bericht ein genaues Ergebnis anzuzeigen.

Bei Directory Connector anmelden

Vorbereitungen

Vergewissern Sie sich, dass Sie Ihre Proxy-Anmeldeinformationen zur Hand haben.

Für die Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
Öffnen Sie für Proxy-NTLM den Internet Explorer, klicken Sie auf das Zahnrad-Symbol, navigieren Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen, vergewissern Sie sich, dass die Proxyserver-Informationen hinzugefügt werden, und klicken Sie anschließend auf OK. Siehe Verwenden eines Webproxys über den Browser.

1	Öffnen Sie den Connector und fügen Sie dann `https://idbroker.webex.com` zu Ihrer Liste vertrauenswürdiger Sites hinzu, wenn Sie dazu aufgefordert werden.
2	Melden Sie sich bei entsprechender Aufforderung mit Ihren Proxy-Authentifizierungsdaten an, melden Sie sich dann mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter.
3	Bestätigen Sie Ihr Unternehmen und Ihre Domäne. Wenn Sie AD DSwählen, aktivieren Sie LDAP über SSL, um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden, wählen Sie die Domäne aus, von der aus Sie synchronisieren möchten, und klicken Sie dann auf Bestätigen. Wenn Sie LDAP über SSLnicht aktivieren, verwendet DirSync weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle, die zwischen einer Anwendung und dem Domänencontroller innerhalb der Infrastruktur verwendet werden. Die LDAPS-Kommunikation ist verschlüsselt und sicher. Wenn Sie AD LDS ausgewählt haben, geben Sie Host, Domäne und Port ein, und klicken Sie auf Aktualisieren, um alle Anwendungspartitionen zu laden. Wählen Sie anschließend die Partition in der Dropdown-Liste aus, und klicken Sie auf Bestätigen. Weitere Informationen finden Sie im Abschnitt AD LDS. Stellen Sie in der Konfigurationsdatei `CloudConnectorCommon.dll` sicher, dass Sie die Einstellung ADAuthLevel zum Knoten appSetting hinzufügen. Die Werte können 1, 2 oder 3 sein. Weitere Informationen zu AuthenticationTypesfinden Sie in diesem Artikel von Microsoft. Hier ist ein Beispiel für die Einstellung mit einem Wert von 1:
4	Nachdem der Bildschirm Unternehmen bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Falls Sie Ihr AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Unternehmen bestätigen angezeigt.
5	Klicken Sie auf Bestätigen.
6	Wählen Sie eine der folgenden Optionen aus, je nach der Anzahl der Active Directory-Domänen, die Sie an Directory Connector binden möchten: Wenn Sie eine einzige AD LDS-Domäne verwenden, führen Sie die Bindung mit der vorhandenen AD LDS-Quelle aus und klicken Sie auf Bestätigen. Wenn Sie eine einzige AD LDS-Domäne verwenden, führen Sie die Bindung entweder mit der vorhandenen oder mit einer neuen Domäne aus. Wenn Sie An eine neue Domäne binden auswählen, klicken Sie auf Weiter. AD LDS kann nicht für die neue Bindung ausgewählt werden, da die vorhandene Quelle vom Typ AD DS ist. Wenn Sie mehr als eine Domäne verwenden, wählen Sie eine vorhandene Domäne aus der Liste aus oder wählen Sie An neue Domäne binden aus und klicken Sie auf Weiter. Die vorhandene Quelle muss vom Typ AD DS sein, da Sie mehr als eine Domäne verwenden. Wenn Sie An neue Domäne binden auswählen und auf Weiter klicken, können Sie AD LDS nicht für die neue Bindung auswählen.

Nächste Schritte

Nachdem Sie sich angemeldet haben, werden Sie dazu aufgefordert, eine Probelauf-Synchronisierung durchzuführen.

Directory Connector-Dashboard

Nach Ihrer ersten Anmeldung bei Directory Connector wird das Dashboard angezeigt. Hier sehen Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken, können einen Probelauf für die Synchronisierung durchführen, eine komplette oder inkrementelle Synchronisierung starten und die Eventanzeige starten, um Fehlerinformationen anzuzeigen.

Melden Sie sich erneut an, falls Ihre Sitzung abläuft.

Sie können diese Aufgaben problemlos über die Symbolleiste oder das Menü „Aktionen“ ausführen.

Tabelle 1. Dashboard-Komponenten
Komponente	Beschreibung
Aktuelle Synchronisierung	Zeigt Statusinformationen zur gegenwärtig stattfindenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige leer.
Nächste Synchronisierung	Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Plan festgelegt ist, wird Nicht geplant angezeigt.
Letzte Synchronisierung	Zeigt den Status der letzten beiden Synchronisierungen an.
Aktueller Synchronisierungsstatus	Zeigt den Gesamtstatus der Synchronisierung.
Connectoren	Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind.
Cloud-Statistiken	Zeigt den Gesamtstatus der Synchronisierung.
Synchronisierungszeitplan	Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung.
Konfigurationszusammenfassung	Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten: Alle Objekte werden synchronisiert Alle Benutzer werden synchronisiert Gelöschte Schwelle wurde deaktiviert.

Tabelle 2. Aktionen-Symbolleiste
Vorgang	Beschreibung
Inkrementelle Synchronisierung starten	Manuelles Starten einer inkrementellen Synchronisierung Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn eine vollständige Synchronisierung nicht abgeschlossen wurde oder wenn eine Synchronisierung läuft.
Probelauf Synchronisierung	Führen Sie einen Probelauf für die Synchronisierung durch.
Starten der Ereignisanzeige	Starten Sie die Microsoft-Ereignisanzeige.
Aktualisieren	Aktualisieren Sie das Dashboard des Cisco Directory Connectors

Tabelle 3. Menüleiste „Aktionen“
Vorgang	Beschreibung
Jetzt synchronisieren	Starten Sie eine vollständige Sofortsynchronisierung.
Synchronisierungsmodus	Wählen Sie zwischen inkrementellem und vollständigem Synchronisierungsmodus aus.
Geheimen Connector-Schlüssel zurücksetzen	Stellen Sie eine Konversation zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Wenn Sie diese Aktion auswählen, wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert.
Probelauf	Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung vornehmen.
Fehlerbehebung	Aktivieren/Deaktivieren Sie die Fehlerbehebung.
Aktualisieren	Aktualisieren Sie den Hauptbildschirm des Cisco Directory Connector.
Beenden	Beenden Sie den Cisco Directory Connector.

Tabelle 4. Tastenkombinationen
Tastenkombination	Vorgang
Alt +A	Öffnet das Menü Aktionen
`Alt +A + S`	Jetzt synchronisieren
`Alt +A + R`	Geheimen Connector-Schlüssel zurücksetzen
`Alt +A + D`	Probelauf
`Alt +A + S + I`	Inkrementelle Synchronisierung
`Alt +A + S + F`	Vollständige Synchronisierung
`Alt + H`	Menü Hilfeanzeigen
`Alt + H + H`	Hilfe
`Alt + H + A`	Über
`Alt + H + F`	Häufig gestellte Fragen

Automatische Upgrades festlegen

1	Gehen Sie im Directory Connector zu Konfiguration > Allgemeinund aktivieren Sie dann Automatisch auf die neue Version von Cisco Directory Connector aktualisieren.
2	Klicken Sie auf Übernehmen, um die Änderungen zu speichern.

Neue Versionen des Connectors werden automatisch installiert, wenn sie verfügbar sind.

Wenn Sie möchten, können Sie Upgrades auch manuell verwalten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion.

Auswählen der zu synchronisierenden Active Directory-Objekte

Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu haben, welche Objekte synchronisiert werden, können Sie auf der Seite „Objektauswahl“ im Verzeichniskonnektor bestimmte Benutzer für die Synchronisierung auswählen und LDAP-Filter angeben.

Gruppen für die automatische Lizenzzuweisung

Mit Control Hub können Sie Lizenzzuweisungen auf Gruppenbasis verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Zum Zeitpunkt der Benutzererstellung überprüft Webex die Benutzermitgliedschaft und die automatische Lizenzvorlagenzuordnung für diesen neuen Benutzer.

Wir empfehlen Ihnen, einen LDAP-Filter zu verwenden, um nur relevante Gruppen mit der Cloud zu synchronisieren. Sie können den Filter beispielsweise folgendermaßen einstellen:

(&(cn=Example)(objectclass=Group))*

Dieser Filter synchronisiert alle Gruppen innerhalb des Basis-DN, deren Name mit „Example“ beginnt. Benutzern, die keinen Gruppen zugewiesen sind, werden Lizenzen aus der standardmäßigen automatischen Lizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.

Objektauswahlbildschirm im Directory Connector

Gruppen für hybride Datensicherheitsbereitstellungen

Im Directory Connector müssen Sie Gruppen aktivieren, wenn Sie Hybrid Data Security verwenden, um eine Testgruppe für Pilotbenutzer zu konfigurieren. Weitere Informationen finden Sie im Bereitstellungshandbuch für hybride Datensicherheit. Diese Directory Connector-Einstellung hat keine Auswirkungen auf die Synchronisierung anderer Benutzer in der Cloud.

Vorbereitungen

Active Directory-Gruppenempfehlungen für die automatische Lizenzzuweisung

1	Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl.
2	Aktivieren Sie im Abschnitt Objekttyp die Option Benutzerund ziehen Sie in Erwägung, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer einer bestimmten Gruppe synchronisieren möchten, müssen Sie im Feld Benutzer LDAP-Filter einen LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die sich in der Gruppe „Example-manager“ befinden, verwenden Sie einen Filter wie diesen: `(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))`
3	Aktivieren Sie Raum identifizieren, um die Raumdaten von den Benutzerdaten zu trennen. Klicken Sie auf Anpassen, wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex-Cloud.
4	Aktivieren Sie Gruppen, wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie dem Feld „Gruppen“ keinen LDAP-Filter für die Benutzersynchronisierung hinzu. Sie sollten das Feld „Gruppen“ nur verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren. Standardmäßig werden Gruppen für neue Kunden nicht synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren.
5	Aktivieren Sie Kontakte, wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten. Directory Connector verwaltet nur vom Connector synchronisierte Kontakte. Wenn im Control Hub bereits Kontakte vorhanden sind, werden diese durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsbereich entfernt werden, werden die Kontaktinformationen der Benutzer auch im Control Hub entfernt.
6	Konfigurieren Sie die LDAP-Filter. Durch die Angabe eines gültigen LDAP-Filters können Sie erweiterte Filter hinzufügen. Weitere Informationen zum Konfigurieren von LDAP-Filtern finden Sie in diesem Artikel.
7	Geben Sie die zu synchronisierenden lokalen Basis-DNs an, indem Sie auf Auswählen klicken, um die Baumstruktur Ihres Active Directory anzuzeigen. Hier können Sie auswählen, welche Container durchsucht werden sollen.
8	Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container für die Synchronisierung auswählen. Wählen Sie einen übergeordneten Container, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird neben dem übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container ausgewählt wurde. Sie können auf Auswählen klicken, um die ausgewählten Active Directory-Container zu übernehmen. Wenn in Ihrer Organisation alle Benutzer und Gruppen im Benutzer-Container abgelegt sind, müssen Sie die anderen Container nicht durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, müssen Sie sicherstellen, dass Sie OUs auswählen.
9	Klicken Sie auf Übernehmen. Wählen Sie eine Option: Konfig-Änderungen übernehmen Probelauf Abbrechen Informationen zu Probeläufen finden Sie unter Führen Sie eine Probelaufsynchronisierung für Ihre Active Directory-Benutzerdurch . Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Führen Sie eine vollständige Synchronisierung von Active Directory-Benutzern in die Cloud durch.

Benutzerattribute zuordnen

Sie können die Attribute aus Ihrem lokalen Active Directory zu den entsprechenden Attributen in der Cloud zuordnen. Das einzige Pflichtfeld ist das *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.

Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll. Sie können beispielsweise firstName lastName in Active Directory oder einen benutzerdefinierten Attributausdruck displayName in der Cloud zuordnen.

Konten in Active Directory müssen über eine E-Mail-Adresse verfügen. Die UID wird standardmäßig dem Feld ad von Mail zugeordnet (nicht sAMAccountName).

Wenn Sie die bevorzugte Sprache aus Ihrem Active Directory beziehen möchten, ist Active Directory die einzige zuverlässige Quelle: Benutzer können ihre Spracheinstellung in den Webex-Einstellungen nicht ändern und Administratoren können die Einstellung im Control Hub nicht ändern.

1	Klicken Sie im Directory Connector auf Konfigurationund wählen Sie dann Benutzerattributzuordnungaus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet.
2	Scrollen Sie bis zum Ende der Active Directory-Attributnamenund wählen Sie dann eines dieser Active Directory-Attribute aus, um es dem Cloud-Attribut uidzuzuordnen. : mail– Wird von den meisten Bereitstellungen für das E-Mail-Format verwendet. userPrincipalName– Eine alternative Auswahl, wenn Ihr E-Mail-Attribut in Active Directory für andere Zwecke verwendet wird. Dieses Attribut muss das E-Mail-Format aufweisen. Sie können jedes der anderen Active Directory-Attribute der uid zuordnen. Wir empfehlen jedoch, wie in den obigen Richtlinien beschrieben, „mail“ oder „userPrincipalName“ zu verwenden. In einigen Fällen wird der userPrincipalName zum Anmelden verwendet, die E-Mail-Adresse eines Benutzers wird jedoch zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld für die primäre E-Mail-Adresse in Webex zu ordnet. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Weitere Informationen dazu, welche Attribute in Active Directory zur Cloud gehören, finden Sie unter Zuordnen von Active Directory-Attributen im Directory Connector. Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen gewählte Active Directory-Attribut im E-Mail-Format vorliegt. Wenn Sie eines der empfohlenen Attribute nicht auswählen, zeigt Directory Connector ein Popup-Fenster zur Erinnerung an.
3	Wenn die vordefinierten Active Directory-Attribute für Ihre Bereitstellung nicht funktionieren, klicken Sie auf das Dropdown-Menü „Attribut“, scrollen Sie nach unten und wählen Sie dann Attribut anpassen, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können. Klicken Sie auf Hilfe, um weitere Informationen zu den Ausdrücken zu erhalten und Beispiele zur Funktionsweise von Ausdrücken anzuzeigen. Weitere Informationen finden Sie auch unter Ausdrücke für benutzerdefinierte Attribute. In diesem Beispiel ordnen wir die Active Directory-Attribute `givenName` und `Sn` dem Cloud-Attribut `displayName`zu. : Definieren Sie den Attributausdruck als `givenName + "" + Sn` (die Anführungszeichen stellen ein zusätzliches Leerzeichen dar) und geben Sie dann zur Überprüfung die E-Mail-Adresse eines vorhandenen Benutzers ein. Klicken Sie auf Überprüfenund prüfen Sie, ob das Ergebnis Ihren Erwartungen entspricht. Ein erfolgreiches Ergebnis sieht folgendermaßen aus: Wenn die Ergebnisse Ihren Erwartungen entsprechen, klicken Sie auf OK, um das neue benutzerdefinierte Attribut zu speichern. Wenn Sie später das `displayName`ändern möchten, können Sie einen neuen Attributausdruck eingeben Directory Connector überprüft den Attributwert der UID im Identitätsdienst und ruft unter den aktuellen Benutzerfilteroptionen 3 verfügbare Benutzer ab. Wenn alle drei Benutzer über ein gültiges E-Mail-Format verfügen, zeigt Cisco Directory Connector die folgende Meldung an: Wenn das Attribut nicht überprüft werden kann, wird die folgende Warnung angezeigt und Sie können zu Active Directory zurückkehren, um die Benutzerdaten zu überprüfen und zu korrigieren:
4	(Optional) Wählen Sie Zuordnungen für Mobiltelefon und Telefonnummer aus, wenn Mobil- und Arbeitsnummern beispielsweise in der Kontaktkarte des Benutzers in der Webex-App angezeigt werden sollen. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer mit der Maus über das Profilbild eines anderen Benutzers fährt. Weitere Informationen zum Anrufen über die Kontaktkarte eines Benutzers finden Sie im Bereitstellungshandbuch für Anrufe in Webex (Unified CM) (Administratoren).
5	Wählen Sie zusätzliche Zuordnungen aus, damit mehr Daten auf der Kontaktkarte angezeigt werden: `departmentNumber` `displayName` `manager` `title` Nachdem die Attribute zugeordnet wurden, werden die Informationen angezeigt, wenn ein Benutzer mit der Maus über das Profilbild eines anderen Benutzers fährt: Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen Sie, wen Sie kontaktieren. Nachdem diese Attribute mit jedem Benutzerkonto synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Benutzer der Webex-App mehr Informationen in ihren Profilen teilen und mehr übereinander erfahren. Weitere Informationen zu dieser Funktion und ihrer Aktivierung finden Sie unter People Insights-Profile für Webex, Jabber, Webex Meetings und Webex Events (Neu) in Control Hub
6	Treffen Sie Ihre Auswahl und klicken Sie auf Übernehmen.

Die in Active Directory enthaltenen Benutzerdaten überschreiben die entsprechenden Daten in der Cloud für den jeweiligen Benutzer. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Benutzer ohne entsprechende E-Mail-Adresse in Active Directory werden gelöscht.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie dauerhaft gelöscht werden.

Active Directory und Cloud-Attribute

Sie können die Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattribute-Zuordnung verwenden.

In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellungen im Directory Connector. Sie können in den Dropdown-Menüs des Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloud-Attribut synchronisiert wird.

Stellen Sie sich die Dropdown-Attribute als Voreinstellungen vor. Alternativ zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Vorgabe, in Active Directory angeben (einen Ausdruck mit mehreren Attributen), um es einem einzelnen Cloud-Attribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise haben Sie die Flexibilität, die Anzeigenamen Ihrer Benutzer zu bestimmen. Sie können beispielsweise einen Ausdruck hinzufügen, der basierend auf dem Titel, dem Vor- und Nachnamen des Mitarbeiters in Active Directory ein benutzerdefiniertes Attribut erstellt.

Sie können auch beliebige Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden sollen. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.

Sie können auch alternative E-Mail-Adressen verwenden, wenn Sie beispielsweise den userPrincipalName für die Anmeldung verwenden möchten, die E-Mail-Adresse eines Benutzers jedoch für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall eine andere E-Mail-Adresse dem zu. emails;type-work -Attribut. Dies ist die E-Mail-Adresse, die zur Authentifizierung verwendet wird. Sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen und muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.

Active Directory-Attributnamen	Webex Cloud-Attributnamen	Anmerkungen
—	buildingName	—
c	c	Dieses Attribut gibt die Länderabkürzung des Benutzers an.
departmentNumber	departmentNumber	Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die in der Kontaktkarte und in den Personeninformationenangezeigt wird.
displayName	displayName	Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der im Control Hub, der Kontaktkarteund Personeneinblickeangezeigt wird.
userAccountControl	ds-pwp-account-disabled	Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl auf ds-pwp-account-disabled abgebildet ist, sonst werden die Benutzer nicht richtig synchronisiert.
employeeNumber	employeeNumber	—
facsimileTelephoneNumber	facsimileTelephoneNumber	—
—	jabberID	Dieses Cloud-Attribut bezieht sich auf IM-Adressen (Typ XMPP), die von Jabber verwendet werden. Dieser Wert ist nicht derselbe wie SIP-Adressen.
l	l	Dieses Attribut gibt die Stadt des Benutzers an.
—	locale	—
Manager	Manager	Dieses Attribut wird für den Managernamen des Benutzers verwendet, der in der Kontaktkarte und in Personenerkenntnissenangezeigt wird.
mobile	mobile	Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, wenn der Benutzer von der Kontaktkarteaus angerufen wird.
o	o	Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und erscheint in der Kontaktkarte.
ou	ou	Dieses Attribut gibt den Namen der Organisationseinheit an.
physicalDeliveryOfficeName	physicalDeliveryOfficeName	Dieses Attribut gibt den Bürostandort des Benutzers an.
postalCode	postalCode	Dieses Attribut gibt die Postleitzahl des Benutzers für die physische Postzustellung an.
preferredLanguage	preferredLanguage	Dieses Attribut legt die bevorzugte Sprache des Benutzers fest und die folgenden Formate werden unterstützt: xx_JJ oder xx-JJ. Hier sind einige Beispiele: en_USA, en_GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format angeben, wird die Sprache der Organisation als bevorzugte Sprache für den Benutzer verwendet.
MSRTCSIP-PrimaryUserAddress ipPhone	SipAddresses;type=enterprise	Dieses Attribut wird zum Synchronisieren lokaler Rauminformationen aus Active Directory in die Cisco Webex-Cloud verwendet.
sn	sn	Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der im Control Hub, der Kontaktkarteund Personeneinblickeangezeigt wird.
st	st	Dieses Attribut gibt den Staat oder die Provinz des Benutzers an.
streetAddress	street	Dieses Attribut gibt die Straßenadresse des Benutzers für die physische Postzustellung an.
telephoneNumber	telephoneNumber	Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die verwendet wird, um den Benutzer von der Kontaktkarte aus anzurufen.
—	timezone	Dieses Cloud-Attribut gibt die Zeitzone des Benutzers an.
title	title	Dieses Attribut gibt den Titel des Benutzers an, der in der Kontaktkarte und in den Personeninformationenangezeigt wird.
Typ	enterprise	—
mail userPrincipalName	uid	Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird der userPrincipalName zum Anmelden verwendet, die E-Mail-Adresse eines Benutzers wird jedoch zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld für die primäre E-Mail-Adresse in Webex zu ordnet. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann sich dann mit einer dieser E-Mail-Adressen anmelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Im Beispiel für eine Attributzuordnung weiter unten erfahren Sie, wie Sie eine alternative E-Mail-Adresse zuordnen können.
userPrincipalName mail <custom attribute>	emails;type-work	Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail-Adresse, die zur Authentifizierung verwendet wird. Sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen und muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.
<New attribute for Azure user objectId>	externe ID	Erstellen Sie ein neues Active Directory-Attribut, um die Objekt-ID des Azure-Benutzers zu speichern, damit es nicht mit einem vorhandenen Attribut kollidiert. Dieses Attribut wird dann dem Attribut „externalId“ zugeordnet, wodurch sichergestellt wird, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webexerstellen.

Alternative E-Mail-Adresszuordnung

Ausdrücke für benutzerdefinierte Attribute

Tabelle 5 Ausdrücke für benutzerdefinierte Attribute
Operator	Beschreibung und Beispiel
%	Entfernt alle Zeichen vom Anfang der Zeichenfolge bis zur Position des Zeichen- oder Zeichenfolgenarguments, sofern eine Übereinstimmung vorliegt. Beispielausdruck `"abc@example.com" % "@"` Ergebnis `example.com`
-	Entfernt das Ende der Eingabezeichenfolge vom Ende der angegebenen Zeichenfolge. Beispielausdruck `"abc@example.com" - "@"` Ergebnis `abc`
+	Verkettet Eingabezeichenfolgen oder Ausdrücke. Beispielausdruck `"abc" + "" + "def"` Ergebnis `abc def`
\|	Wertet die getrennten Ausdrücke anhand der leeren Zeichenfolge aus und wählt das erste nicht leere Ergebnis aus. Beispielausdruck `"" \| "abc"` Ergebnis `abc`

Synchronisieren Sie Verzeichnis-Avatare von einem Active Directory-Attribut mit der Cloud

Sie können die Verzeichnisavatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar angezeigt wird, wenn sie sich bei der Webex-App anmelden. Verwenden Sie dieses Verfahren, um Avatar-Rohdaten aus einem Active Directory-Attribut zu synchronisieren.

1	Gehen Sie im Directory Connector zu Konfiguration, klicken Sie auf Avatarund aktivieren Sie dann Aktivieren.
2	Wählen Sie für Avatar abrufen vonAD-Attributund dann das Avatar-Attribut aus, das die Rohdaten des Avatars enthält, die Sie mit der Cloud synchronisieren möchten.
3	Um zu überprüfen, ob der Avatar korrekt aufgerufen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar des Benutzers abrufen. Der Avatar erscheint rechts.
4	Nachdem Sie überprüft haben, dass der Avatar korrekt angezeigt wird, klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Die synchronisierten Bilder werden zum Standardavatar für Benutzer in der Webex-App. Benutzer dürfen keinen eigenen Avatar festlegen, nachdem diese Funktion im Directory Connector aktiviert wurde.
Die Benutzeravatare werden sowohl mit der Webex-App als auch mit allen entsprechenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf zur Synchronisierung durch. Wenn keine Probleme auftreten, führen Sie eine vollständige Synchronisierung durch, um Ihre Active Directory-Benutzerkonten und Avatare mit der Cloud zu synchronisieren und in Control Hub anzuzeigen.

Synchronisieren Sie Verzeichnis-Avatare von einem Ressourcenserver mit der Cloud

Sie können die Verzeichnisavatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar angezeigt wird, wenn sie sich bei der Webex-App anmelden. Verwenden Sie dieses Verfahren, um Avatare von einem Ressourcenserver zu synchronisieren.

Vorbereitungen

Das URI-Muster und der Variablenwert in dieser Prozedur sind lediglich Beispiele. Verwenden Sie stattdessen die tatsächlichen URLs, unter denen sich Ihre Verzeichnis-Avatare befinden.
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen von der Directory Connector-Anwendung aus erreichbar sein. Der Connector benötigt http- oder https-Zugriff auf die Bilder, die Bilder müssen jedoch nicht öffentlich im Internet zugänglich sein.
Die Avatar-Datensynchronisierung ist von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass Avatardaten für die NTLM-Authentifizierung oder Basic-Auth abgerufen werden können.

1	Gehen Sie im Directory Connector zu Konfiguration, klicken Sie auf Avatarund aktivieren Sie dann Aktivieren.
2	Für Avatar abrufen vonwählen Sie Ressourcenserver und geben Sie dann das Avatar-URI-Musterein – zum Beispiel *`http://www.example.com/dir/photo/zoom/{mail: .?(?=@.)}.jpg`* Sehen wir uns nun die einzelnen Bestandteile des Avatar-URI-Musters an und welche Bedeutung sie haben: http://www.example.com/dir/photo/zoom/– Der Pfad, in dem sich alle zu synchronisierenden Fotos befinden. Es muss sich um eine URL handeln, die der Directory Connector-Dienst auf Ihrem Server erreichen können muss. mail:– Weist Directory Connector an, den Wert des Mail-Attributs aus Active Directory abzurufen *.?(?=@.)– Eine Regex-Syntax, die diese Funktionen ausführt: `.`– Jedes beliebige Zeichen, das null oder mehrmals vorkommt. `?`– Weist die vorhergehende Variable an, so wenig Zeichen wie möglich abzugleichen. `(?= ... )`– Stimmt mit einer Gruppe nach dem Hauptausdruck überein, ohne sie in das Ergebnis aufzunehmen. Directory Connector sucht nach einer Übereinstimmung und nimmt sie nicht in die Ausgabe auf. `@.`– Das At-Symbol, gefolgt von einem beliebigen Zeichen, das null oder mehrmals wiederholt wird. .jpg*– Die Dateierweiterung für die Avatare Ihrer Benutzer. Sehen Sie sich die unterstützten Dateitypen in diesem Dokument an und ändern Sie die Erweiterung entsprechend.
3	(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen erfordert, aktivieren Sie Benutzeranmeldeinformationen für Avatar festlegen, wählen Sie dann entweder Aktuellen Dienstanmeldebenutzer verwenden oder Diesen Benutzer verwenden und geben Sie das Kennwort ein.
4	Geben Sie den Variablenwertein – Zum Beispiel: `abcd@example.com`.
5	Klicken Sie auf Testen, um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. In diesem Beispiel, wenn der Mail-Wert für einen AD-Eintrag `abcd@example.com` ist und JPG-Bilder synchronisiert wurden, ist die Final Avatar URI `http://www.example.com/dir/photo/zoom/abcd.jpg`
6	Nachdem die URI-Informationen überprüft wurden und korrekt aussehen, klicken Sie auf Übernehmen. Detaillierte Informationen zum Verwenden regulärer Ausdrücke finden Sie in der Microsoft Reguläre Ausdrucksprache – Schnellreferenz .

Die synchronisierten Bilder werden zum Standardavatar für Benutzer in der Webex-App. Benutzer dürfen keinen eigenen Avatar festlegen, nachdem diese Funktion im Directory Connector aktiviert wurde.
Die Benutzeravatare werden sowohl mit der Webex-App als auch mit allen entsprechenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf zur Synchronisierung durch. Wenn keine Probleme auftreten, führen Sie eine vollständige Synchronisierung durch, um Ihre Active Directory-Benutzerkonten und Avatare mit der Cloud zu synchronisieren und in Control Hub anzuzeigen.

Synchronisieren Sie lokale Rauminformationen mit der Webex Cloud

Verwenden Sie dieses Verfahren, um lokale Rauminformationen aus Active Directory mit der Webex-Cloud zu synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Webex-Geräten (Raum, Schreibtisch und Board) angezeigt.

1	Gehen Sie im Directory Connector zu Synchronisieren, klicken Sie neben einer synchronisierten Domäne auf Mehr , klicken Sie auf Konfigurierenund wählen Sie dann Objektauswahl.
2	Aktivieren Sie Rauminformationen mit der Cloud synchronisieren, um die Raumdaten bei der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten genauso behandelt wie vom Benutzer synchronisierte Daten.
3	Gehen Sie zu Attributzuordnungund ändern Sie dann die Attributzuordnung für das Cloud-Attribut sipAddresses;type=enterprise. Um die Wertvalidierung zu verwenden, sollte der Wert der SIP-Adresse `Pattern.compile("^([^@])(.)@(.)$")` Wählen Sie MSRTCSIP-PrimaryUserAddress, falls verfügbar. Wenn Ihr Active Directory-Schema das obige Attribut nicht enthält, verwenden Sie ein anderes Feld wie beispielsweise ipPhone.
4	Erstellen Sie ein Raumressourcenpostfach in Exchange. Dies fügt das hinzu msExchResourceMetaData;ResourceType:Room -Attribut, das der Connector dann zur Identifizierung von Räumen verwendet.
5	Navigieren Sie von Active Directory-Benutzern und -Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie die vollständig qualifizierte SIP-URI mit dem Präfix „sip“ hinzu:
6	Führen Sie eine Probesynchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden unter Hinzugefügte Objekte aufgelistet und übereinstimmende Raumobjekte erscheinen im Probelaufbericht unter Übereinstimmende Objekte. Alle zum Löschen markierten Raumobjekte befinden sich unter Gelöschte Räume. Die Ergebnisse des Probelaufs zeigen alle Raumressourcen, die zugeordnet wurden. Diese Einstellung trennt die Active Directory-Raumdaten (einschließlich der Raumattribute) von den Benutzerdaten. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken auf dem Connector-Dashboard die Raumdaten an, die mit der Cloud synchronisiert wurden.

Nächste Schritte

Nachdem Sie diese Schritte ausgeführt haben, werden Ihnen bei einer Suche auf einem in der Webex-Cloud registrierten Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie vom Webex-Gerät aus einen Anruf an diesen Eintrag tätigen, wird ein Anruf an die für den Raum konfigurierte SIP-Adresse getätigt.

Von Control Hub aus können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.

Der Endpunkt kann keinen Rückruf an die Webex-App senden. Für Testwählgeräte müssen diese Geräte vor Ort oder an einem anderen Ort als der Webex-App als SIP-URI registriert werden. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, dem Desk-Gerät oder dem Webex Board für den Kalenderdienst befindet, wird der doppelte Eintrag in den Suchergebnissen nicht angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App angewählt und es wird kein SIP-Anruf getätigt.

Senden Sie E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisierung

Standardmäßig erhalten die Kontakte oder Administratoren der Organisation immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen mit zusammenfassenden Verzeichnissynchronisierungsberichten erhalten soll.

1	Klicken Sie im Directory Connector auf Konfigurationund wählen Sie dann Benachrichtigungaus.
2	Klicken Sie im Directory Connector auf Einstellungenund aktivieren Sie neben E-Mail-Empfängerdie Option Synchronisierung des Berichts aktivieren.
3	Aktivieren Sie Benachrichtigung aktivieren, wenn Sie das standardmäßige Benachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten.
4	Klicken Sie auf Hinzufügen und geben Sie dann eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
5	Klicken Sie auf E-Mail hinzufügen und geben Sie dann eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.
6	Wenn Sie eingegebene E-Mail-Adressen bearbeiten müssen, doppelklicken Sie auf den E-Mail-Eintrag in der linken Spalte und nehmen Sie dann die gewünschten Änderungen vor.
7	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Übernehmen.
8	Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Speichern.

Nächste Schritte

Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie auf eine E-Mail klicken, um diesen Eintrag hervorzuheben, und dann auf Entfernenklicken.

Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.

Konfigurieren Sie Directory Connector-Benachrichtigungen im Control Hub

Sie können Alerts Center im Control Hub verwenden, um Berichte vom Directory Connector zu übermitteln. Control Hub kann Benachrichtigungen an verschiedene Übermittlungskanäle übermitteln, darunter E-Mail und Webex-Bereiche. Benachrichtigungen im Control Hub werden vorhandenen Directory Connector-Berichtsbenachrichtigungen zugeordnet, darunter:

Info (Standard) – Zeigt Informationsmeldungen an, die den Fortschritt der Anwendung auf hoher Ebene hervorheben. Verwenden Sie diese Einstellung, wenn Sie nach allen vollständigen Synchronisierungen Berichte erhalten möchten.
Warnen– Zeigt potenziell gefährliche Situationen an.
Fehler– Zeigt Fehlerereignisse an, die möglicherweise dennoch eine weitere Ausführung der Anwendung ermöglichen. Wenn Sie diese Option wählen, werden Synchronisierungsberichte nur gesendet, wenn Fehler gemeldet werden.

Beachten Sie, dass sich E-Mail-Benachrichtigungen vom Directory Connector nicht ändern, wenn diese Funktion im Alerts Center aktiviert wird. Deaktivieren Sie Benachrichtigungen im Directory Connector, um doppelte Warnungen für dasselbe Ereignis zu vermeiden.

Außerdem wird die Benachrichtigungskonfiguration im Directory Connector nicht automatisch zum Alerts Center migriert. Stellen Sie sicher, dass Sie im Benachrichtigungscenter die gewünschten E-Mail-Adressen hinzufügen, um Benachrichtigungen zu erhalten.

1	Melden Sie sich bei Control Hub an und klicken Sie auf Warnungen.
2	Auswählen Verwalten > Regel erstellen.
3	Wählen Sie in der Dropdownliste Typ die Option Cisco Directory Connectoraus.
4	Wählen Sie den gewünschten Schweregrad aus. Standardmäßig ist der Schweregrad auf Hocheingestellt. Für Fälle, die den Schweregrad der Regel erreichen oder überschreiten, werden Warnungen ausgelöst.
5	Geben Sie einen Titel für die neue Warnung ein.
6	Wählen Sie Ihre bevorzugte Zustellungsmethode für Ihre Benachrichtigung. Sie können Warnmeldungen per E-Mail, in einem dafür vorgesehenen Webex-App-Bereich oder über Webhooks erhalten, wenn Sie diese auf Organisationsebene aktiviert haben. Sie können bis zu 30 E-Mail-Adressen hinzufügen, um E-Mail-Benachrichtigungen zu erhalten. Sie benötigen eine Messaging-Lizenz, um Bot-Updates in einem bestimmten Webex-Bereich zu erhalten.
7	Klicken Sie auf Speichern.

Bereitstellen von Benutzern aus Active Directory im Control Hub

Befolgen Sie diese Schritte, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (mit einer oder mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Onboardings von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind (z. B. Testkonten aus einer Testphase), beibehalten oder löschen möchten. Das Ziel besteht darin, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erreichen.

1	Führen Sie eine Probesynchronisierung Ihrer Active Directory-Benutzer durch Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory und Objekte in der Webex-Cloud zu vergleichen. Mit einem Probelauf können Sie sehen, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung ausführen und die Änderungen in der Cloud festschreiben.
2	Führen Sie eine vollständige Synchronisierung von Active Directory-Benutzern in die Cloud durch Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihren Active Directory (AD) in die Cloud. Anschließend aktualisiert der Connector-Dienst den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage zur automatischen Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
3	Zuweisen von Webex-Diensten zu Verzeichnis-synchronisierten Benutzern im Control Hub Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector zum Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen mithilfe verschiedener Methoden zuweisen. Wir empfehlen, dass Sie eine automatisch zugewiesene Lizenzvorlage einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben. Auch nach diesem ersten Schritt können Sie noch individuelle Änderungen vornehmen.

Führen Sie eine Probesynchronisierung Ihrer Active Directory-Benutzer durch

Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory und Objekte in der Webex-Cloud zu vergleichen. Mit einem Probelauf können Sie sehen, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung ausführen und die Änderungen in der Cloud festschreiben.

Während des Onboardings von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind (z. B. Testkonten aus einer Testphase), beibehalten oder löschen möchten. Das Ziel von Directory Connector besteht darin, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erreichen.

Wenn Sie mehrere Domänen in einer einzigen Gesamtstruktur oder mehreren Gesamtstrukturen haben, müssen Sie diesen Schritt für jede der Cisco Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Vorbereitungen

Möglicherweise haben Sie bereits einige Webex-App-Benutzer im Control Hub, bevor Sie Directory Connector verwendet haben. Unter den Benutzern in der Cloud können einige mit lokalen Active Directory-Objekten übereinstimmen und ihnen Lizenzen für Dienste zugewiesen werden. Bei einigen davon handelt es sich jedoch möglicherweise um Testbenutzer, die Sie für die Durchführung einer Synchronisierung löschen möchten. Sie müssen eine genaue Übereinstimmung zwischen Ihrem Active Directory und Control Hub erstellen.

1	Wählen Sie eine Option: Klicken Sie nach der ersten Anmeldung in der Eingabeaufforderung auf Ja, um einen Probelauf durchzuführen. Wenn Sie eine Erinnerung zur Durchführung eines Probelaufs verpassen, können Sie dies jederzeit im Directory Connector tun, indem Sie auf Dashboardklicken, Probelauf synchronisierenwählen und dann auf OK klicken, um eine Probelaufsynchronisierung zu starten. Wenn der Probelauf abgeschlossen ist, wird eines der folgenden Ergebnisse angezeigt: *Nicht übereinstimmende Objekte im Verzeichniskonnektor erkannt* *Zusammenfassung der Ergebnisse des Probelaufberichts und nicht übereinstimmende Objekte im Verzeichniskonnektor* Die Zusammenfassung enthält Informationen zum Objektabgleich: Übereinstimmende Objekte - Ein Benutzer, der in Webex Common Identity ist und auch in der Active Directory-Domäne vorhanden ist, d. h. wenn someuser@cisco.com wurde mit Webex synchronisiert und im Control Hub angezeigt und derselbe Benutzer (someuser@cisco.com) ist im Active Directory vorhanden. Dies bedeutet, dass der Benutzer zugeordnet wurde. Nicht übereinstimmende Objekte – Ein Benutzer, der sich in Webex befindet, unabhängig davon, wie der Benutzer in Common Identity hinzugefügt wurde, aber der Benutzer existiert nicht in Active Directory. Es wird als nicht übereinstimmendes Objekt bezeichnet. Wenn zum Beispiel someuser@cisco.com wurde in Webex synchronisiert und im Control Hub angezeigt, aber derselbe Benutzer (someuser@cisco.com) nicht von Active Directory verwaltet wird, zeigt der Bericht an, dass der Benutzer nicht zugeordnet ist. Der Probelauf identifiziert die Benutzer, indem er sie mit den Domänenbenutzern vergleicht. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob die Objekte gelöscht oder beibehalten werden sollen. Es wird festgestellt, dass die nicht übereinstimmenden Objekte bereits in der Webex-Cloud vorhanden sind, jedoch nicht im lokalen Active Directory.
2	Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option aus, je nachdem, ob Sie eine einzelne Domäne oder mehrere Domänen verwenden: Einzelne Domäne– Entscheiden Sie, ob Sie die nicht zugeordneten Benutzer behalten möchten. Wenn Sie sie behalten möchten, wählen Sie Nein, Objekte behalten; wenn nicht, wählen Sie Ja, Objekte löschen. Nachdem Sie diese Schritte ausgeführt und manuell eine vollständige Synchronisierung ausgeführt haben, sodass eine genaue Übereinstimmung zwischen den Räumlichkeiten und der Cloud besteht, aktiviert Directory Connector automatisch geplante automatische Synchronisierungsaufgaben. Mehrere Domänen– Führen Sie für eine Organisation mit Domäne A und Domäne B zunächst einen Probelauf für Domäne A durch. Wenn Sie nicht zugeordnete Benutzer behalten möchten, wählen Sie Nein, Objekte beibehalten. (Diese nicht zugeordneten Benutzer könnten Mitglieder der Domäne B sein.) Wenn Sie löschen möchten, wählen Sie Ja, Objekte löschen. Wenn Sie die Benutzer behalten, führen Sie zunächst eine vollständige Synchronisierung für Domäne A und dann einen Probelauf für Domäne B durch. Wenn weiterhin nicht übereinstimmende Benutzer vorhanden sind, fügen Sie diese Benutzer in Active Directory hinzu und führen Sie dann eine vollständige Synchronisierung für Domäne B durch. Wenn eine genaue Übereinstimmung zwischen den Räumlichkeiten und der Cloud besteht, aktiviert Directory Connector automatisch geplante automatische Synchronisierungsaufgaben.
3	Klicken Sie in der EingabeaufforderungProbelauf bestätigen [] auf Ja, um die Probelaufsynchronisierung zu wiederholen und das Dashboard anzuzeigen, um die Ergebnisse anzuzeigen. Erfolgreich im Probelauf synchronisierte Konten werden unter Objects Matched angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse im Active Directory hat, wird der Eintrag unter Gelöschte Benutzeraufgeführt. Um diese Löschungsmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched, um Details der synchronisierten Elemente anzuzeigen. Klicken Sie auf Ergebnisse in Datei speichern, um die Zusammenfassung zu speichern.
4	Wenn die Ergebnisse erwartet werden, gehen Sie zu Aktionen > Synchronisationsmodus > Synchronisierung aktivierenund klicken Sie dann auf Jetzt aktivieren, um eine manuelle Synchronisierung durchzuführen und an dieser Stelle in den manuellen Modus zu wechseln. Nachdem Sie eine Synchronisierung der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte zwischen der Webex-Cloud und allen lokalen Active Directorys vollständig abgeglichen sind.

Nächste Schritte

Alle nicht übereinstimmenden Benutzerobjekte, die Sie beibehalten haben, müssen Sie zu Active Directory hinzufügen, damit eine genaue Übereinstimmung zwischen den lokalen und den Cloud-Umgebungen besteht.
Wählen Sie einen Synchronisierungstyp:
- Führen Sie eine vollständige Synchronisierung der Active Directory-Benutzer mit der Cloud durch, wenn Sie neue Benutzer zum ersten Mal mit der Cloud synchronisieren. Sie tun dies von Aktionen > Jetzt synchronisieren > Vollständig, und dann werden Benutzer aus der aktuellen Domäne synchronisiert.
- Legen Sie den Connector-Zeitplan fest und Führen Sie eine inkrementelle Synchronisierung aus, nachdem Sie eine vollständige Synchronisierung ausgeführt haben und wenn Sie Änderungen nach der ersten Synchronisierung übernehmen möchten. Diese Art der Synchronisierung wird empfohlen, um kleine Änderungen an der Active Directory-Benutzerquelle zu erfassen.
  
  Standardmäßig erfolgt eine inkrementelle Synchronisierung alle 30 Minuten (bei Versionen 3.4 und früher) oder alle 4 Stunden (bei Versionen 3.5 und höher), aber Sie können diesen Wert ändern. Die inkrementelle Synchronisierung erfolgt erst, wenn Sie zunächst eine vollständige Synchronisierung durchführen.
Wenn Sie mehrere Domänen haben, wiederholen Sie diese Schritte für alle anderen von Ihnen installierten Directory Connectors.

Wichtige Hinweise

Führen Sie einen Probelauf aus, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann die Durchführung einer Active Directory-Synchronisierung dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Directory Connector-Trockenlaufberichte überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.
Wenn übereinstimmende Benutzer zum Löschen markiert sind und Sie nicht sicher sind, wie Sie vorgehen sollen, finden Sie unter Fehlerbehebung und Korrekturen für Directory ConnectorInformationen zur Fehlerbehebung und Kontaktaufnahme mit dem Support.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie dauerhaft gelöscht werden.

Führen Sie eine vollständige Synchronisierung von Active Directory-Benutzern in die Cloud durch

Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihren Active Directory (AD) in die Cloud. Anschließend aktualisiert der Connector-Dienst den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage zur automatischen Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.

Wenn Sie mehrere Domänen haben, müssen Sie diesen Schritt für jede der Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Directory Connector synchronisiert den Status des Benutzerkontos – In Active Directory werden alle als deaktiviert markierten Benutzer auch in der Cloud als inaktiv angezeigt.

Vorbereitungen

Wenn Sie möchten, dass die Benutzerkonten der Webex-App nach der vollständigen Synchronisierung und vor der ersten Anmeldung der Benutzer den Status „Aktiv“ haben, müssen Sie diese Schritte ausführen, um die E-Mail-Validierung zu umgehen:
- Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Weitere Informationen finden Sie unter Single Sign-On mit Cisco Webex Services und dem Identitätsanbieter Ihrer Organisation.
- Verwenden Sie Control Hub, um in den E-Mail-Adressen enthaltene Domänen zu überprüfen und optional zu beanspruchen. Siehe Domänen hinzufügen, überprüfen und beanspruchen.
- Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer keine automatische E-Mail-Einladung zur Webex-App erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
  
  Aktivierte Benutzer, die sich nicht angemeldet haben, werden im Control Hub mit dem Status Verifiziert angezeigt. Nach der Anmeldung werden sie als Aktivangezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen inCisco Webex Control Hub.
Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um potenzielle Fehler festzustellen.
Sie müssen eine automatisch zugewiesene Lizenzvorlage einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben.

Wenn Sie keine automatisch zugewiesenen Lizenzvorlagen verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie können dieselben kostenlosen Funktionen nutzen wie Benutzer mit kostenlosen Konten.

1	Wählen Sie eine Option: Wenn der Probelauf nach der ersten Anmeldung abgeschlossen ist und für alle Domänen korrekt aussieht, klicken Sie auf Jetzt aktivieren, um die automatische Synchronisierung zuzulassen. Gehen Sie im Directory Connector zum Dashboard, klicken Sie auf Aktionenund wählen Sie Synchronisierungsmodus > Aktivieren Sie die Synchronisierungund klicken Sie dann auf Jetzt synchronisieren > Vollständig, um die Synchronisierung zu starten.
2	Gehen Sie im Directory Connector zu Synchronisieren, klicken Sie neben einer synchronisierten Domäne auf Mehr , klicken Sie auf Konfigurierenund wählen Sie dann Vollständige Synchronisierung.
3	Bestätigen Sie den Start der Synchronisierung. Alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigenamen), werden im Control Hub sofort angezeigt, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch bis zu 72 Stunden nach der Synchronisierung angezeigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie diesen Anweisungen folgen: Windows oder Mac. Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase. Nach der Synchronisierung werden die Bereiche Letzte Synchronisierung und Cloud-Statistiken mit den neuen Informationen aktualisiert. Benutzerdaten werden mit der Cloud synchronisiert. Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.
4	Klicken Sie auf Aktualisieren, wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistiken angezeigt.)
5	Um Informationen zu Fehlern zu erhalten, wählen Sie Ereignisanzeige starten aus der Symbolleiste Aktionen aus, um die Fehlerprotokolle anzuzeigen.
6	Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen mit der Cloud finden Sie unter Festlegen des Connector-Zeitplans und Ausführen einer inkrementellen Synchronisierung.

Nachdem die vollständige Synchronisierung abgeschlossen ist, wird der Status für die Verzeichnissynchronisierung auf der Seite Einstellungen im Control Hub von [ Deaktiviert auf Betriebsbereit [] aktualisiert.
Wenn alle Daten zwischen den lokalen und Cloud-Systemen abgeglichen sind, wechselt Directory Connector vom manuellen Modus in den automatischen Synchronisierungsmodus.
Sofern Sie nicht Single Sign-On integrieren, Domänen verifizieren und optional Domänen für die von Ihnen synchronisierten E-Mail-Konten beanspruchenund automatisierte E-Mails unterdrücken, verbleiben die Benutzerkonten der Webex-App im Status „Nicht verifiziert“, bis sich Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Hinweise zum Synchronisieren der Konten als aktive Benutzer finden Sie im Abschnitt „Bevor Sie beginnen“.
Wenn Sie mehrere Domänen haben, führen Sie diesen Schritt auf jedem anderen von Ihnen installierten Directory Connector aus. Nach der Synchronisierung werden die Benutzer aller von Ihnen hinzugefügten Domänen im Control Hub aufgelistet.
Wenn Sie Single Sign-On mit Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
Sie können Benutzer in Control Hub nicht manuell hinzufügen, nachdem der Directory Connector aktiviert wurde. Nach der Aktivierung erfolgt die Benutzerverwaltung über den Cisco Directory Connector und Active Directory ist die einzige zuverlässige Quelle.
Alle Gruppen, die Sie synchronisiert haben, werden im Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass den Benutzern in dieser Gruppe Lizenzen zugewiesen werden.

Nächste Schritte

Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung vorläufig gelöscht. Der Benutzer wird Inactive, aber das Cloud-Identitätsprofil wird sieben Tage lang aufbewahrt (um eine Wiederherstellung nach versehentlichem Löschen zu ermöglichen).

Wenn Sie in Active Directory die Option Konto ist deaktiviert aktivieren, wird der Benutzer nach der nächsten Synchronisierung zu Inactive. Das Cloud-Identitätsprofil wird nach sieben Tagen nicht gelöscht, falls Sie den Benutzer erneut aktivieren möchten.

Beachten Sie diese Ausnahmen bei einer inkrementellen Synchronisierung (folgen Sie stattdessen den vollständigen Synchronisierungsschritten oben):

Im Falle eines aktualisierten Avatars, aber keiner anderen Attributänderung, wird der Avatar des Benutzers durch die inkrementelle Synchronisierung nicht in der Cloud aktualisiert.

Konfigurationsänderungen an Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.

Zuweisen von Webex-Diensten zu Verzeichnis-synchronisierten Benutzern im Control Hub

Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco Directory Connector in Control Hub abgeschlossen haben, können Sie Control Hub verwenden, um allen Ihren Benutzern gleichzeitig dieselben Webex-Dienstlizenzen zuzuweisen oder neuen Benutzern zusätzliche Lizenzen hinzuzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie einzelne Änderungen an den Benutzerkonten vornehmen.

Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Methoden in Control Hub verwenden, um Webex-Dienstlizenzen global allen Ihren Benutzern, einzelnen Benutzern, über die CSV-Massenvorlage oder automatisch neuen Benutzern zuzuweisen, wenn Sie bereits eine Vorlage für die automatische Lizenzzuweisung konfiguriert haben. Nach diesem ersten Schritt können Sie einzelne Änderungen an den Benutzerkonten vornehmen.

Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail zur Bestätigung der Zuweisung. Die E-Mail wird von einem Benachrichtigungsdienst im Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie diese automatischen E-Mail-Benachrichtigungen auch unterdrücken, wenn Sie Ihre Benutzer lieber direkt kontaktieren möchten.

Vorbereitungen

Sie müssen eine automatisch zugewiesene Lizenzvorlage einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben.

Führen Sie eine Probesynchronisierung Ihrer Active Directory-Benutzer durch.

Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung Ihrer Active Directory-Benutzer durch.

Zum Zeitpunkt der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine Standardmethode zur Benutzerverwaltung in Control Hub zuweisen, z. B. durch CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreiche automatische Zuweisung.

1

Gehen Sie in der Kundenansicht in https://admin.webex.comzu Verwaltung > Benutzer, klicken Sie auf Benutzer verwalten, wählen Sie Alle synchronisierten Benutzer ändernund klicken Sie dann auf Weiter.

2

Wählen Sie eine Option:

Servicelizenzen im Control Hub für einzelne Benutzer bearbeiten– Benutzer manuell ändern.
Benutzer im Control Hub mit der CSV-Vorlage ändern– Benutzer in großen Mengen ändern.

Nächste Schritte

Wenn E-Mails nicht unterdrückt werden, wird jedem Benutzer eine E-Mail mit einer Einladung zum Beitritt und Herunterladen von Webex gesendet.

Wenn Sie für alle Ihre Benutzer dieselben Webex-Dienste ausgewählt haben, können Sie die zugewiesenen Lizenzen anschließend einzeln oder in großen Mengen ändern.

Weitere Informationen
Möglichkeiten zum Hinzufügen und Verwalten von Benutzern in Ihrer Organisation

Bekannte Probleme mit Directory Connector

Bei Windows Server-Versionen vor 2012 R2 besteht ein Cookie-Problem, das sich auf Directory Connector auswirkt. Dieses Problem wurde in den Versionen 2012 R2 und 2016behoben.

Alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigenamen), werden in Control Hub sofort angezeigt, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Synchronisierung angezeigt.

Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie diesen Anweisungen folgen: Windows oder Mac.

Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über eine synchronisierte SIP-URI verfügt, klingelt der Anruf zu diesem Zeitpunkt unbegrenzt.

Verwalten von Webex-App-Benutzern

Durchführen einer inkrementellen Synchronisierung

Versehentlich gelöschte Benutzer wiederherstellen

Benutzer nach einem vorläufigen Löschen dauerhaft löschen

Ändern einer Webex-App-E-Mail-Adresse

Active Directory-Domäne ändern

Domänenanspruch

Konvertieren Sie kostenlose Webex-App-Benutzer in einer verzeichnissynchronisierten Organisation

Sideboarded Webex App-Benutzerkonten

Ändern des Benutzernamenformats der Webex-App nach der Verzeichnissynchronisierung

Benutzern erlauben, Anzeigenamen in Webex Meetings zu ändern

Durchführen einer inkrementellen Synchronisierung

Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Zu den Änderungen zählen Änderungen der Benutzerzuordnung sowie das Hinzufügen oder Löschen eines Benutzers.

Diese Synchronisierung belastet die Server nicht so stark und dauert nicht so lange wie eine vollständige Synchronisierung. Nachdem Sie Ihre erste vollständige Synchronisierung durchgeführt haben, empfehlen wir für nachfolgende Synchronisierungen die inkrementelle Option.

Vorbereitungen

Sie müssen eine automatisch zugewiesene Lizenzvorlage einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben.

Beachten Sie diese Ausnahmen, die bei der inkrementellen Synchronisierung nicht unterstützt werden (folgen Sie stattdessen Führen Sie eine vollständige Synchronisierung von Active Directory-Benutzern in die Cloud durch ):

Im Falle eines aktualisierten Avatars, aber keiner anderen Attributänderung, wird der Avatar des Benutzers durch die inkrementelle Synchronisierung nicht in der Cloud aktualisiert.

Bei neuen Konfigurationsänderungen an der Attributzuordnung, dem Basis-DN, dem Filter und der Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und diese erfordern eine vollständige Synchronisierung.

1
Klicken Sie in Directory Connector auf Dashboard.

Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen.

2
Klicken Sie unter Aktionenauf Synchronisierungsmodus > Aktivieren Sie die Synchronisierung, falls sie noch nicht aktiviert ist.

Standardmäßig erfolgt eine inkrementelle Synchronisierung alle 30 Minuten (bei Version 3.4 und früher) oder alle 4 Stunden (bei Version 3.5 und höher). Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, wenn Sie zunächst eine vollständige Synchronisierung durchführen. Wenn ein neues inkrementelles Zeitintervall abgelaufen ist, überprüft das Programm die Änderungen basierend auf dem letzten Zeitstempel.

3
Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell.

Alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigenamen), werden in Control Hub sofort angezeigt, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Synchronisierung angezeigt.

Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie diesen Anweisungen folgen: Windows oder Mac.

Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase.

Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistiken mit den neuen Informationen aktualisiert.

Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.

4
Um Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen [ auf [ Ereignisanzeige starten, um die Fehlerprotokolle anzuzeigen.

Nächste Schritte

Wenn Sie mehrere Domänen haben, führen Sie diesen Schritt auf anderen von Ihnen installierten Directory Connector-Instanzen aus.

Versehentlich gelöschte Benutzer wiederherstellen

Directory Connector verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Mithilfe der Funktion „Soft Delete“ können Sie diese Unfälle beheben und die Benutzerkonten im Control Hub wiederherstellen.

Standardmäßig ist diese Funktion für alle Organisationen aktiviert. Wenn Benutzer beispielsweise aufgrund eines Problems mit nicht übereinstimmenden Objekten nach einer Synchronisierung vom Directory Connector in der Cloud gelöscht werden, können die Benutzer wiederhergestellt werden. Wenn Sie einen Hinweis auf nicht übereinstimmende Objekte gesehen haben oder bemerkt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.

Benutzer werden im Control Hub als inaktiv markiert, wenn die entsprechenden Konten im Active Directory gelöscht werden. Der Cloud-Dienst im Hintergrund behält die Benutzer für bis zu 7 Tage. Während dieses Zeitraums können Sie Cisco Directory Connector weiterhin zum Wiederherstellen von Benutzern verwenden. Wir empfehlen Ihnen, diese Benutzer so schnell wie möglich wiederherzustellen.

Benutzer, die in Active Directory deaktiviert sind, werden auch in Control Hub als inaktiv markiert, das Benutzerkonto wird jedoch nach 7 Tagen nicht gelöscht.

1
Melden Sie sich bei Control Hub an.

2
Gehen Sie zu Benutzer und bestätigen Sie, ob ein bestimmtes Benutzerkonto inaktiv ist oder nicht aufgeführt ist.

Weitere Informationen finden Sie unter Benutzerstatus und Aktionen im Control Hub.

3
Wenn Benutzer im Control Hub gelöscht wurden oder Sie Benutzer in einem inaktiven Zustand bemerken, gehen Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie dann einen Probelauf zur Synchronisierung im Directory Connector durch.

Das Ziel von Directory Connector besteht darin, eine genaue Übereinstimmung zwischen den Benutzerinformationen im Active Directory und in der Cloud herzustellen.

4
Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten erneut mit Control Hub zu synchronisieren.

Die Benutzer werden wiederhergestellt und erhalten den ursprünglichen Status, einschließlich ihres Kontostatus und ihrer Dienstzuweisungen.

Nächste Schritte

Kehren Sie zum Control Hub zurück und gehen Sie zu Verwaltung > Benutzerund bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.

Benutzer nach einem vorläufigen Löschen dauerhaft löschen

Nach der Durchführung eines Probelaufs können Sie Benutzer, die bei der nächsten Synchronisierung vorläufig gelöscht wurden, dauerhaft löschen.

1
Wählen Sie nach Abschluss eines Probelaufs Soft-deleted Objectsaus.

2
Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten.

3
Wählen Sie Fertig aus.

Nächste Schritte

Bei der nächsten Synchronisierung werden die von Ihnen markierten Benutzer dauerhaft gelöscht.

Ändern einer Webex-App-E-Mail-Adresse

Wenn Sie die E-Mail-Adressen von Benutzern ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren beschreibt, wie Sie eine Webex-App-E-Mail-Adresse für eine einzelne Domäne ändern und wie Sie die Domäne ändern.

Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen mit derselben E-Mail-Adresse. Die Cloud interpretiert diese Aktion als neues Benutzerkonto und die Speicherplatz- und sonstigen Daten des Benutzers in der Cloud gehen verloren.

So ändern Sie die E-Mail-Adressen von Benutzern, ohne die Domäne zu ändern:

Öffnen Sie das Benutzerkonto (Beispiel, user1@example.com) in Active Directory und ändern Sie die E-Mail-Adresse (Beispiel, user2@example.com).

Setzen Sie die Synchronisierung auf dem Directory Connector fort.

Nach der nächsten Synchronisierung werden die Änderungen in Ihrer Benutzerliste im Control Hub und für Benutzer in der Webex-App angezeigt, nachdem der Cache aktualisiert wurde.

Bei dieser Methode gehen keine Daten oder Bereiche verloren. Nach der ersten Synchronisierung wird die eindeutige Kennung des Benutzers in der Cloud festgelegt. Alle nachfolgenden Synchronisierungen basieren auf dieser Kennung.

So ändern Sie in einer Bereitstellung mit mehreren Domänen mit Directory Connector die E-Mail-Adressen der Benutzer, während Sie die Domäne ändern (betrachten Sie example1.com als die alte Domäne und example2.com als die neue Domäne):

Für das alte Benutzerkonto (user1@example1.com), Beachten Sie das Active Directory-Attribut, das dem Cloud-Attribut uid zugeordnet ist. Sie müssen denselben Active Directory-Wert für das neue Konto verwenden. Für dieses Beispiel verwenden wir user1@example1.com als lokales Attribut, um es uid in der Cloud zuzuordnen.

Unterbrechen Sie die Synchronisierung im Directory Connector für die Domänen example1.com und example2.com.

Erstellen Sie ein neues Benutzerkonto in example2.com und verwenden Sie dasselbe Attribut wie oben. (Zum Beispiel, user1@example1.com).

Setzen Sie im Directory Connector die Synchronisierung für example2.com fort

Bevor Sie fortfahren, überprüfen Sie, ob die user1@example2.com Konto wird mit Control Hub synchronisiert. Wir empfehlen Ihnen, den Benutzer anzuweisen, die E-Mail-Änderung in der Webex-App zu überprüfen und sicherzustellen, dass alle Daten (Bereiche, Nachrichten, Meetings, Dateien usw.) erhalten bleiben.

Bei dieser Methode gehen weder Daten noch Speicherplatz verloren. Sie müssen jedoch im neuen Benutzerkonto sicherstellen, dass das Active Directory-Attribut, das dem Cloud-UID-Attribut zugeordnet ist, vom alten Benutzerkonto beibehalten wird. Wenn Sie den Active Directory-Wert ändern, behält das neue Konto die Daten des alten Kontos nicht bei.

Nachdem Sie die Änderung der E-Mail-Adresse überprüft haben und die Daten intakt sind, löschen Sie das alte Benutzerkonto auf example1.com und verwenden Sie dann Directory Connector, um die Synchronisierung für example1.com fortzusetzen.

An diesem Punkt können Sie die E-Mail-Adresse in der neuen Active Directory-Domäne sicher aktualisieren für user1@example2.com.

Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn der Benutzer jedoch erneut mit der Cloud synchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung in „Ausstehend“. Weitere Informationen finden Sie unter Verwalten Ihrer Domänen.

Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre E-Mail-Adressen in der Webex-App über die Seite mit den Kontoeinstellungenändern. Unter Ändern der E-Mail-Adresse für Ihr Konto finden Sie Schritte, die Benutzer zum Ändern ihrer E-Mails befolgen können.

Active Directory-Domäne ändern

Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie synchronisieren sich mit dem Identitätsdienst in der Cloud.

1
Richten Sie eine neue Active Directory (AD)-Domäne ein.

2
Deaktivieren Sie die Synchronisierung auf allen Ihren Konnektoren.

3
Deinstallieren Sie alle Ihre Konnektoren.

4
Öffnen Sie einen Fall, um die Domäne zu ändern.

Achten Sie bei der Fallübermittlung darauf, die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anzufordern.

Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall gelöst ist.

5
Nachdem der Fall behoben ist:

Installieren Sie den Directory Connector auf demselben Server wie dem mit der neuen Active Directory-Domäne.

Konfigurieren Sie den Directory Connector so, dass er auf die neue Active Directory-Domäne verweist.

Wenn im Control Hub ( https://admin.webex.com) bereits Benutzer vorhanden sind, stellen Sie sicher, dass Benutzer mit übereinstimmenden E-Mail-Adressen auch im Active Directory vorhanden sind. Wenn Ihre Organisation den Schalter softDelete in DirSync deaktiviert hat, besteht die Gefahr, dass E-Mail-Adressen von Benutzern gelöscht werden, die sich im Control Hub, aber nicht im Active Directory befinden.

Führen Sie vor der eigentlichen Synchronisierung einen Testlauf mit dem Directory Connector durch.

Domänenanspruch

Eine Domänenbeanspruchung erfolgt, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass alle Sideboard-Konten in der Organisation der zahlenden Kunden und nicht in der Organisation der kostenlosen Verbraucher erstellt werden. Sie können einen Domänenanspruch nur über einen Supportfall geltend machen (weitere Informationen finden Sie unter dem Link unten).

Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboard-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Ein eingeladener Benutzer kann einem Webex-App-Bereich nur hinzugefügt werden, indem er zuerst den Directory Connector verwendet, um das Konto im Control Hub bereitzustellen.

Weitere Informationen
Domänen verwalten

Konvertieren Sie kostenlose Webex-App-Benutzer in einer verzeichnissynchronisierten Organisation

Sie können im Webex-App-Verzeichnis nur eindeutige E-Mail-Adressen verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App angemeldet haben, besteht ihr Konto in der kostenlosen Verbraucherorganisation. Um Benutzer in dieser Organisation mithilfe von Directory Connector zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie Directory Connector aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.

Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.

Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung <email address> konnte nicht konvertiert werden angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.

Bei einigen beanspruchten Benutzern wird bei einem Probelauf möglicherweise das Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Deleted Object statt MismatchedObjectangezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.

Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle gelöscht, wenn Sie das nächste Mal mit der Cloud synchronisieren.

1
Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector.

2
Befolgen Sie das Verfahren Nicht lizenzierte Benutzer in Control Hub konvertieren, um den Benutzer von der kostenlosen Verbraucherorganisation in die Unternehmensorganisation zu konvertieren.

Dieser Schritt fügt den Benutzer zu Ihrer Organisation hinzu und das Konto wird im Control Hub angezeigt. Directory Connector macht Active Directory zur einzigen zuverlässigen Quelle für Benutzerkonten und das Ziel besteht darin, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erreichen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind.

3
Führen Sie auf dem Directory Connector eine Probesynchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden.

Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und die Konten nur in Control Hub liegen, berücksichtigt Directory Connector die Groß- und Kleinschreibung und löscht konvertierte Benutzer, die er mit nicht übereinstimmenden E-Mail-Adressen erkennt (z. B. user1@example.com Und User1@example.com).

Wenn konvertierte Benutzer gelöscht werden, verlieren sie alle ihre Webex-App-Bereiche.

4
Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren.

Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die Lizenzvorlage zur automatischen Zuweisung aktiviert und dann Directory Connector ohne Domänenüberprüfung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.

Sideboarded Webex App-Benutzerkonten

Wenn Sie einen anderen Benutzer zu einem Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („sideboarded“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.

Wenn Sie das Sideboard-Konto mithilfe des Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.

Ändern des Benutzernamenformats der Webex-App nach der Verzeichnissynchronisierung

Standardmäßig ordnet Directory Connector das Attribut „displayName“ in Active Directory dem Attribut „displayName“ in der Cloud zu.

Nach der Verzeichnissynchronisierung kann es passieren, dass Benutzernamen im Format <lastName, firstName> angezeigt werden.

Dieser Benutzername kann angezeigt werden, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud displayName zugeordnet ist, werden Namen im Control Hub im Format <lastName, firstName> angezeigt.

So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: Ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) in Cisco Cloud-Attributnamen displayName zu.

Alternativ können Sie das Attribut sn givenName auf displayNameabbilden. :

Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck auf displayNameabbilden möchten.

Geben Sie als Ausdruck beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) ein. Dadurch werden die beiden Attribute im Active Directory displayName in der Cloud zugeordnet.

Benutzern erlauben, Anzeigenamen in Webex Meetings zu ändern

Sie können die Synchronisierung des Attributs displayName mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern das Bearbeiten ihrer bevorzugten Anzeigenamen ermöglichen möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings anstelle ihres Vor- und Nachnamens angezeigt wird. Administratoren können den Anzeigenamen für einen Benutzer auch manuell im Control Hub ändern.

1
Klicken Sie im Directory Connector auf Konfigurationund wählen Sie dann Benutzerattributzuordnungaus.

2
Wählen Sie displayName unter Cisco Cloud Attribute Nameaus.

3
Wählen Sie Dieses Attribut nicht synchronisierenaus.

Nächste Schritte

Benutzer können jetzt ihre Anzeigenamen von ihrer Webex-Site aus bearbeiten.

Directory Connector – Problembehandlung

Upgrade auf die neueste Softwareversion

Konfigurieren von allgemeinen Einstellungen für Directory Connector

Connector-Richtlinie konfigurieren

Zeitplan für Connector festlegen

Szenarien mit mehreren Domänen

Domänenpriorität festlegen

Domäne wechseln

Verzeichnissynchronisierung deaktivieren

Benutzerattributzuordnung entfernen

Profilbilder verwalten

Deinstallieren und Deaktivieren des Directory Connectors

Führen Sie das Diagnosetool aus

Upgrade auf die neueste Softwareversion

Um die Konformität Ihrer Bereitstellung aufrechtzuerhalten und die neuesten Features, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie nicht auf die neueste verfügbare Version aktualisieren, können Probleme auftreten, beispielsweise dass Directory Connector nicht mehr richtig synchronisiert wird oder dass Sie eine Version verwenden, die die obligatorische TLS 1.2-Anforderungnicht unterstützt.

Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.

Obwohl Sie Connector-Softwareupdates manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen auszuführen, damit die App Ihre Upgrades automatisch verwaltet.

1
Klicken Sie entweder auf die Benachrichtigung in der Windows-Taskleiste oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Vorgang zu starten.

2
Befolgen Sie die Anweisungen, um das Upgrade durchzuführen.

3
Starten Sie den Connector neu und melden Sie sich mit Ihren Administratoranmeldeinformationen an.

4
Überprüfen Sie die Versionsnummer der Software unter Hilfe > Um.

Nächste Schritte

Für eine Neuinstallation von Directory Connector können Sie die ZIP-Datei herunterladen und dann den Installationsschritten in dieser Anleitung folgen.

Konfigurieren von allgemeinen Einstellungen für Directory Connector

Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, beispielsweise den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollebenen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.

1
Gehen Sie im Directory Connector zu Konfigurationund klicken Sie dann auf Allgemein.

2
Geben Sie den Connector-Namen in das Feld Connector-Name ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird.

3
Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf Infoeingestellt. Die verfügbaren Protokollstufen lauten folgendermaßen:

Info (Standard) – Zeigt Informationsmeldungen an, die den Fortschritt der Anwendung auf hoher Ebene hervorheben. Verwenden Sie diese Einstellung, wenn Sie nach allen vollständigen Synchronisierungen Berichte erhalten möchten.

Warnen– Zeigt potenziell gefährliche Situationen an.

Debug– Zeigt detaillierte Informationsereignisse an, die zum Debuggen einer Anwendung am nützlichsten sind. Wenn Sie ein Problem feststellen, legen Sie diese Protokollebene fest und senden Sie das Ereignisprotokoll an den Support, wenn Sie einen Fall erstellen.

Fehler– Zeigt Fehlerereignisse an, die möglicherweise dennoch eine weitere Ausführung der Anwendung ermöglichen. Wenn Sie diese Option wählen, werden Synchronisierungsberichte nur gesendet, wenn Fehler gemeldet werden.

Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf „Fehler“ setzen, werden im Synchronisierungsbericht nur Fehler gemeldet. Wenn keine Fehler vorliegen, wird der Synchronisierungsbericht nicht versendet. Ändern Sie die Einstellung auf „Info“, dann erhalten Sie nach der vollständigen Synchronisierung Synchronisierungsberichte. (Denken Sie daran, dass bei der inkrementellen Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.)

4
Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen.

Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen.

5
Aktivieren Sie Automatisch auf die neue Cisco Directory Connector-Version aktualisieren, wenn automatische Aktualisierungen erfolgen sollen.

Es ist immer wichtig, Ihre Cisco Directory Connector-Software auf dem neuesten Stand zu halten. Wir empfehlen, diese Einstellung zu aktivieren, um die automatische Installation von Software-Upgrades im Hintergrund zu ermöglichen, wenn diese verfügbar sind.

6
Aktivieren Sie LDAP über SSL, um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden.

Wenn Sie LDAP über SSLnicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll.

LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle, die zwischen einer Anwendung und dem Domänencontroller innerhalb der Infrastruktur verwendet werden. Die LDAPS-Kommunikation ist verschlüsselt und sicher.

Connector-Richtlinie konfigurieren

Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.

Beispielsweise legen Sie 1 als Auslösewert für den Löschschwellenwert fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.

1
Klicken Sie im Directory Connector auf Konfigurationund wählen Sie dann Richtlinieaus.

2
Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten.

Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.

3
Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20.

Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen.

4
Klicken Sie auf Übernehmen.

Legen Sie den Connector-Zeitplan fest

Legen Sie den Synchronisierungszeitpunkt im Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.

1
Klicken Sie im Directory Connector auf Konfigurationund wählen Sie dann Zeitplanaus.

2
Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an.

Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben.

3
Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden.

4
Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll.

5
Geben Sie einen Wert für Failover-Intervall in Minuten an.

6
Klicken Sie auf Übernehmen.

Szenarien mit mehreren Domänen

Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.

Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.

Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.

Beispielanwendungen für mehrere Domänen

Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.

Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.

Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.

Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.

Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.

Synchronisierung auf example1.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.

User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.

Synchronisierung für example1.com und example2.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Stellen Sie sich das folgende Szenario vor:

Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.

Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne

Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.

Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.

Domänenpriorität festlegen

Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.

Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.

Vorbereitungen

Um Fehler zu vermeiden, installieren Sie die neueste Version des Cisco Directory Connectors oder führen Sie ein Upgrade auf diese aus. Sie steht unter https://admin.webex.com zum Download bereit.

1
Klicken Sie im Cisco Directory Connector auf Dashboard.

2
Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen.

3
Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern.

Die Domänen werden in absteigender Reihenfolge sortiert.

Domäne wechseln

Verwenden Sie dieses Verfahren, um den Cisco-Verzeichnisconnector erneut an eine andere Domäne zu binden.

Vorbereitungen

Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.

Um Fehler zu vermeiden, installieren Sie die neueste Version des Cisco Directory Connectors oder führen Sie ein Upgrade auf diese aus. Sie müssen es von Control Hubherunterladen.

1
Klicken Sie im Cisco Directory Connector auf Dashboard.

2
Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln.

3
Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja.

Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco-Verzeichniskonnektor abgemeldet, die Registrierung anderer Domänen im Konnektor wird abgemeldet und die Konnektorinformationen auf diesem Computer werden gelöscht.

4
Melden Sie sich erneut beim Cisco-Verzeichnisconnector an und binden Sie die Domäne erneut.

Verzeichnissynchronisierung deaktivieren

Wenn Sie die Synchronisierung vom Directory Connector stoppen müssen, können Sie sie vorübergehend vom Control Hub aus deaktivieren.

1
Gehen Sie in der Kundenansicht in https://admin.webex.comzu Verwaltung > Organisationseinstellungen, scrollen Sie zu Verzeichnissynchronisierungund wählen Sie dann eine Option aus:

Klicken Sie auf „Mehr “ und dann neben der Connector-Instanz, die Sie deaktivieren möchten, auf „ Ausschalten “ .
Klicken Sie auf Alle Verzeichnissynchronisierungen deaktivieren, um die Synchronisierung von allen Connector-Instanzen zu beenden.

2
Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten.

Die Synchronisierung wird gestoppt, bis Sie sie über Directory Connector erneut aktivieren.

Benutzerattributzuordnung entfernen

Verwenden Sie Directory Connector, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.

1
Klicken Sie in Directory Connector auf Dashboard.

2
Gehen Sie zu Aktionenund klicken Sie dann auf Dienstprogramme > Benutzerattributzuordnung entfernen.

3
Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus.

4
Wählen Sie unter Betroffener Benutzerbereicheine der folgenden Optionen aus:

Nur mit Directory Connector synchronisierte Benutzer: die Zuordnung wird nur von Benutzern entfernt, die Directory Connector zuvor synchronisiert hat.
Alle Nutzer: die Zuordnung wird von allen Active Directory-Benutzern entfernt.

5
Klicken Sie auf Übernehmen.

Profilbilder verwalten

Verwenden Sie Directory Connector, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.

1
Klicken Sie in Directory Connector auf Dashboard.

2
Gehen Sie zu Aktionenund klicken Sie dann auf Dienstprogramme > Profilbilder verwalten.

3
Wählen Sie unter Aktioneneine der folgenden Optionen aus:

Profilbilder für leere Avatarquellen entfernen: Wenn das Active Directory-Profilbild leer ist, stellt diese Option sicher, dass die Benutzerprofilbilder aus der Cloud entfernt werden, auch wenn der Benutzer zuvor sein eigenes Bild in Webex hochgeladen hat.
Erneutes Hochladen von der synchronisierten Quelle, um zwischengespeicherte Bilder zu überschreiben: Directory Connector verwendet dasselbe Active Directory wie zuvor, um die Profilbilder für alle Benutzer zu aktualisieren. Dadurch wird sichergestellt, dass es keine Diskrepanz zwischen den Profilbildern im Active Directory und in der Cloud gibt.

4
Klicken Sie auf Übernehmen.

Deinstallieren und Deaktivieren des Directory Connectors

Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:

Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.

Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.

Sie möchten die Domäne ändern und einen anderen Connector installieren.

Vorbereitungen

Sie haben möglicherweise mehrere Instanzen von Directory Connector für hohe Verfügbarkeit (HA) oder die Synchronisierung mehrerer Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.

Speichern und schließen Sie alle wichtigen Arbeiten ab, bevor Sie Directory Connector deinstallieren.

1
Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen.

2
Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallierenund folgen Sie dann den Anweisungen.

Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen.

3
Gehen Sie in der Kundenansicht in https://admin.webex.comzu Verwaltung > Organisationseinstellungen, scrollen Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr und dann neben der Verzeichniskonnektorinstanz, die Sie deinstallieren möchten, auf Deaktivieren.

4
Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren.

Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung.

Führen Sie das Diagnosetool aus

Sie können das integrierte Diagnosetool zur Fehlerbehebung bei der Bereitstellung Ihres Directory Connectors verwenden. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.

Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.

So führen Sie Tests für Active Directory-Domänendienste aus:

Gehen Sie zum Startmenü, suchen Sie nach Cisco Directory Connectorund klicken Sie auf Cisco Directory - Diagnostic. Klicken Sie auf die Registerkarte AD-DS, geben Sie Ihre Domäne ein und klicken Sie dann auf Domänencontroller laden.

Wählen Sie einen Domänencontroller aus der Liste.

Ändern Sie den Eintrag später nicht, da die inkrementelle Suche immer auf demselben Domänencontroller ausgeführt werden muss.

Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.

Konfigurieren Sie im Abschnitt Active Directory-Abfragen weitere Filter, z. B. entweder Benutzer und/oder Gruppen -Objekte und Suchfilter.

Aktivieren Sie Cookie automatisch ausfüllen, um automatisch ein Cookie für eine Suche zu generieren.

Klicken Sie auf Abfrage, um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.

Wenn der Test abgeschlossen ist, klicken Sie auf Speichern, um einen Protokolleintrag zu speichern, den Sie beim Öffnen eines Tickets zur Analyse an das Support-Team senden können.

So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:

Gehen Sie zum Startmenü, suchen Sie nach Cisco Directory Connectorund klicken Sie auf Cisco Directory - Diagnostic. Klicken Sie auf die Registerkarte AD-LDS, geben Sie Ihren Host und Portein und klicken Sie dann auf Partitionen laden.

Wählen Sie eine Partition aus der Liste und klicken Sie dann auf Verbinden.

Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.

Konfigurieren Sie im Abschnitt Active Directory-Abfragen weitere Filter, wie z. B. Benutzer, UserProxyund UserProxyFull sowie Suchfilter.

Aktivieren Sie Cookie automatisch ausfüllen, um automatisch ein Cookie für eine Suche zu generieren.

Klicken Sie auf Abfrage, um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.

Wenn der Test abgeschlossen ist, klicken Sie auf Speichern, um einen Protokolleintrag zu speichern, den Sie beim Öffnen eines Tickets zur Analyse an das Support-Team senden können.

So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:

Gehen Sie zum Startmenü, suchen Sie nach Cisco Directory Connectorund klicken Sie auf Cisco Directory - Diagnostic. Klicken Sie auf die Registerkarte LDAP RAW, geben Sie Ihren Stammpfadund Filterein, wählen Sie einen Eintrag aus den Attributen aus und klicken Sie dann auf Partitionen laden.

Aktivieren Sie bei Bedarf die folgenden Optionen:

ObjectSecurity— Ist diese Option vorhanden, benötigt der Anrufer keine Rechte und kann nur Objekte und Attribute sehen, auf die der Anrufer Zugriff hat. Wenn diese Option nicht vorhanden ist, hat der Anrufer das Recht, Änderungen zu replizieren.

ParentsFirst— Stellt sicher, dass alle Eltern der Kinder vor ihren Kindern kommen.

Wählen Sie einen Wert für ExtendedDN.

Dieser Wert wird bei einer erweiterten LDAP-Suche verwendet, um eine erweiterte Form des Distinguished Name des Objekts anzufordern.

Wählen Sie einen Wert für ReferralChasing.

Eine Verweisverfolgung wird eingeleitet, wenn ein Domänencontroller einen Verweis aus einer Abfrage zurückgibt, beispielsweise für Details eines Abfrageergebnisses, das möglicherweise außerhalb des Namespace liegt (wie Gruppenmitglieder in einer anderen Domäne oder Gesamtstruktur).

Klicken Sie auf Abfrage, um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.

Wenn der Test abgeschlossen ist, klicken Sie auf Speichern, um einen Protokolleintrag zu speichern, den Sie beim Öffnen eines Tickets zur Analyse an das Support-Team senden können.

Beheben von Problemen im Ciso Directory Connector

Fehlerbehebung und Fehlerbehebungen für Directory Connector

Installieren

Directory Connector funktioniert nicht mehr

Neuinstallationsfehler

Anmelden

Directory Connector stürzt während der SSO-Anmeldung ab

Cisco DirSync Service Connector konnte nicht registriert werden

Es wird keine Anmeldeseite angezeigt

Anmeldeaufforderung wird angezeigt

Verbindung zum Remote-Server nicht möglich

Der Connector kann nicht registriert werden

Synchronisierung

Avatare nicht synchronisiert

Konflikte zwischen Benutzer-E-Mail-Konten

Konvertierter Benutzer als inaktiv markiert

Inkrementelle Synchronisierung schlägt fehl

Ungültiger Wert für Attribut

Zu löschende übereinstimmende Benutzer

Fehlendes Attribut

Verschachtelte Gruppe wird nicht synchronisiert

Benutzerbenennungskonflikt

Control Hub

Benutzerliste fehlt im Control Hub

Gruppen werden nicht mit Control Hub synchronisiert

Problembehandlung für den Directory Connector aktivieren

Starten der Ereignisanzeige

Aktivieren Sie TLS im Internet Explorer

Anmeldeprobleme für Dienstkonten beheben

Überprüfen Sie SafeDllSearchMode in der Windows-Registrierung

Fehlerbehebung und Fehlerbehebungen für Directory Connector

Möglicherweise tritt im Directory Connector eine Fehlermeldung oder ein anderes Problem auf. Nachdem Directory Connector die Benutzerinformationen synchronisiert hat, sendet Ihnen der Connector möglicherweise einen E-Mail-Bericht, in dem alle Probleme mit der Synchronisierung aufgelistet sind. In den folgenden Abschnitten finden Sie Informationen zu möglicherweise auftretenden Problemen, möglichen Ursachen und Lösungsvorschlägen, die Sie ausprobieren können, bevor Sie sich an den Support wenden.

Installieren
Directory Connector funktioniert nicht mehr

Sie haben Warn-E-Mails erhalten, die Sie darüber informieren, dass Ihr Directory Connector nicht funktioniert.

Directory Connector ist möglicherweise nicht richtig installiert.

Directory Connector wird möglicherweise nicht ausgeführt.

Das Netzwerk ist möglicherweise nicht verfügbar.

Gehen Sie wie folgt vor:

Öffnen Sie Systemsteuerung > Programme und Funktionen. Suchen Sie nach Directory Connector. Wenn es dort nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.

Öffnen Sie Service und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status als Gestartetangezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.

Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, Zugriff auf das Internet hat.

Neuinstallationsfehler

Problem– Wenn Sie nach der Deinstallation eines alten Connectors sofort einen neuen Connector installieren, wird möglicherweise eine Fehlermeldung angezeigt.

Mögliche Ursache– Unter Windows Server 2012 benötigt der Deinstallationsclient Zeit, um das Dienstkonto aus der Dienstliste zu löschen.

Lösung– Versuchen Sie die Installation nach einiger Zeit erneut.

Anmelden
Directory Connector stürzt während der SSO-Anmeldung ab

Problem

Directory Connector stürzt möglicherweise ab, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.

Lösung

Versuchen Sie Folgendes:

Führen Sie diese Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:

Gehen Sie zum Domänencontroller und öffnen Sie die Gruppenrichtlinienverwaltung (gpedit.msc).

Klicken Sie mit der rechten Maustaste auf eine bestimmte Organisationseinheit oder Domäne und wählen Sie Ein Gruppenrichtlinienobjekt in dieser Domäne erstellenund Hier verknüpfen…

Geben Sie der Richtlinie einen Namen, klicken Sie mit der rechten Maustaste und wählen Sie Bearbeiten.

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Computerebene zu ändern:

Gehe zu Computerkonfiguration > Einstellungen > Windows-Einstellungen, Rechtsklick auf Registrierung, wählen Sie Neuund dann Registrierungselement.

Geben Sie für SchlüsselpfadHKEY_LOCAL_ein oder navigieren Sie zu diesem Pfad. MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.

Geben Sie Disable Script Debugger für Wertein und geben Sie no für Wertdatenein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Führen Sie diese Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:

Gehe zu Computerkonfiguration > Einstellungen > Windows-Einstellungen, Rechtsklick auf Registrierung, wählen Sie Neuund dann Registrierungselement.

Geben Sie für SchlüsselpfadHKEY_CURRENT_ein oder navigieren Sie dorthin. USER\SOFTWARE\Microsoft\Internet Explorer\Main.

Geben Sie Disable Script Debugger für Wertein und geben Sie no für Wertdatenein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Die Änderungen werden wirksam, nachdem Sie gpupdate /forceausgeführt haben, die Maschine neu gestartet wurde (bei Maschinenänderungen) oder sich der Benutzer erneut anmeldet (bei Benutzeränderungen).

Cisco DirSync Service Connector konnte nicht registriert werden

Problem

Die Anmeldung schlägt fehl und diese Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“

Lösung

Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.

Es wird keine Anmeldeseite angezeigt

Problem

Sie haben Directory Connector geöffnet und die Anmeldeseite wurde nicht angezeigt.

Lösung

Versuchen Sie die folgenden Schritte:

Gehen Sie im Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Probieren Sie den Link in anderen Browsern wie Chrome und Firefox aus.

Wenn der Internet Explorer den Link nicht aufrufen kann, andere Browser jedoch schon, überprüfen Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren.)

Anmeldeaufforderung wird angezeigt

Problem

Es wird eine Eingabeaufforderung angezeigt, in der Sie zur Authentifizierung den Benutzernamen und das Kennwort eingeben müssen.

Mögliche Ursache

Der Directory Connector führt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto durch. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung gefragt werden.

Lösung

Wenn das Popup-Fenster zur Anmeldung angezeigt wird, müssen Sie ein gültiges Konto mit korrekter Authentifizierung angeben, um die Sicherheitsprüfung zu bestehen.

Verbindung zum Remote-Server nicht möglich

Problem

Im Normalbetrieb erscheint die Fehlermeldung: „Verbindung zum Remote-Server nicht möglich.“

Mögliche Ursache

Möglicherweise liegen Proxy-Probleme vor, die gelöst werden müssen.

Lösung

Weitere Informationen zur Fehlerbehebung finden Sie unter Beheben von Problemen bei der Anmeldung beim Dienstkonto.

Der Connector kann nicht registriert werden

Problem

Sie sehen die Fehlermeldung „Der Connector konnte nicht registriert werden. Es ist eine allgemeine Ausnahme aufgetreten."

Mögliche Ursache

In den meisten Fällen liegt das Problem darin, dass der Directory Connector nicht über die Berechtigung verfügt, eine Verbindung zum LDAP-Stammkontext herzustellen.

Lösung

Versuchen Sie Folgendes:

Führen Sie eine Eingabeaufforderung (cmd) aus und geben Sie dann ldp.exeein.

Klicken Sie auf Verbindung > Binden, wählen Sie Als aktuell angemeldeter Benutzer bindenund klicken Sie dann auf OK.

Klicken Sie auf Anzeigen > Baum, geben Sie ein DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.

Wenn das Problem weiterhin besteht, eröffnen Sie einen Fall beim Support.

Synchronisierung
Avatare nicht synchronisiert

Problem

Der Cisco Directory Connector synchronisierte Benutzer-AD-Daten mit der Webex-Cloud. Es wurden jedoch keine Avatardaten erfolgreich synchronisiert.

Mögliche Ursache

Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzeravatare bereits synchronisiert wurden, erfasst der lokale Cache sie und vermeidet ein erneutes Senden, um Bandbreite zu sparen.

Lösung

Löschen Sie den lokalen Cache, indem Sie die folgenden Schritte ausführen:

Gehe zu C:\Program Dateien (x86)\Cisco Systems\Cisco Verzeichnis Connector\Plugins\

Löschen Sie DirSyncPluginAvatar.dll-cache.bin.

Führen Sie die Avatar-Synchronisierung vom Cisco-Verzeichnisconnector erneut aus.

Konflikte zwischen Benutzer-E-Mail-Konten

Problem

Die Synchronisierungsergebnisse zeigen möglicherweise Konflikte zwischen den E-Mail-Konten der Benutzer.

Wenn Benutzer die kostenlose Version der Webex-App ausprobiert haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.

Ob Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.

Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.

Lösung

Versuchen Sie Folgendes:

Führen Sie die folgenden Schritte aus, wenn Sie versuchen, Benutzer zu beanspruchen:

Stellen Sie sicher, dass Sie die Domäne im Control Hubverifiziert haben.

Deaktivieren Sie Cisco Directory Connector vorübergehend.

Verwenden Sie die Option „Benutzer beanspruchen“ im Control Hub, um alle Konten zu beanspruchen, die möglicherweise in der kostenlosen Verbraucherorganisation vorhanden sind. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren).

Führen Sie einen Probelauf im Cisco Directory Connector durch und aktivieren Sie anschließend die Verzeichnissynchronisierung erneut.

Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen noch einmal.

Konvertierter Benutzer als inaktiv markiert

Problem

Sie haben in Ihrer Umgebung mit Verzeichnissynchronisierung einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.

Mögliche Ursache

Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer aus Sicherheitsgründen 30 Tage lang als inaktiv markiert. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des 30-tägigen Zeitraums zur Löschung markiert. Diese Situation entsteht, weil die kostenlosen Benutzerinformationen nicht im Active Directory vorhanden sind.

Lösung

Wenn Sie nicht möchten, dass das Benutzerkonto gelöscht wird, müssen Sie aktiv werden. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie dann eine Synchronisierung vom Cisco Directory Connector aus durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.

Inkrementelle Synchronisierung schlägt fehl

Problem

Eine inkrementelle Synchronisierung schlägt fehl.

Dieses Problem kann unter Windows Server 2008 R2 unter den folgenden Bedingungen auftreten:

Sie unterstützen inkrementelle Wertaktualisierungen.

Der von Ihnen verwendete Filter verweist auf ein verknüpftes Wertattribut.

Die Ergebniswerte dieses Attributs wurden seit der letzten vollständigen Synchronisierung aktualisiert.

Lösung

Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und höher behoben. Wir empfehlen Ihnen, Ihren Windows Server mindestens auf 2012 R2 zu aktualisieren.

Ungültiger Wert für Attribut

Problem

Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].

Mögliche Ursache

Für CN=b,OU=Employees,OU=C Users,DC=c,DC=com, das Attribut [telephone number] hat den folgenden ungültigen Wert: +. Dieses Attribut muss mindestens eine Ziffer enthalten.

Lösung

Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.

Zu löschende übereinstimmende Benutzer

Problem

Die übereinstimmenden Benutzer werden zum Löschen markiert.

Wenn Sie eine Probesynchronisierung durchführen, um die Daten zwischen Active Directory und der Cloud zu überprüfen, sehen Sie möglicherweise in beiden die gleiche E-Mail-Adresse. Der Benutzer wird jedoch als zu löschendes Objekt markiert.

Lösung

Wählen Sie eine geeignete Lösung:

Wenn Sie den Benutzer löschen und die Lizenzen anschließend neu erstellen möchten, können Sie Directory Connector zur Behebung des Problems verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.

Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, eröffnen Sie einen Fall beim Support.

Fehlendes Attribut

Problem

Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (ausgezeichnet name)]. Der Eintrag wird im Control Hub erst erstellt, wenn alle erforderlichen Attribute einen Wert haben.

Mögliche Ursache

Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], Der Eintrag wird im Control Hub erst erstellt, wenn alle erforderlichen Attribute einen Wert haben.

Lösung

Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.

Verschachtelte Gruppe wird nicht synchronisiert

Problem

Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.

Mögliche Ursache

Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe umfasst, was nicht unterstützt wird. Beispiel: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)

Lösung

Sie müssen den Filter neu konfigurieren, der Gruppen synchronisiert. Beispiel: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)

Benutzerbenennungskonflikt

Problem

Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [user E-Mail address], und vom Benutzertyp [user_type].

Mögliche Ursache

Ein Benutzer mit dieser E-Mail-Adresse ist bereits im Control Hub vorhanden.

Lösung

Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.

Control Hub
Benutzerliste fehlt im Control Hub

Problem

Wenn Sie eine Webex-Organisation mit mehr als 1.000 synchronisierten Benutzern haben, wird die Benutzerliste möglicherweise nicht im Control Hub angezeigt.

Lösung

Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Gehen Sie im Control Hub zu Benutzer, klicken Sie auf Suchen und geben Sie dann Suchkriterien ein, um einen bestimmten Benutzer zu finden.

Gruppen werden nicht mit Control Hub synchronisiert

Problem

Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.

Mögliche Ursache

Die Gruppe ist im Active Directory nicht als isCriticalSystemObject gekennzeichnet.

Lösung

Stellen Sie sicher, dass das Attribut isCriticalSystemObject im Active Directory auf TRUE gesetzt ist.

Problembehandlung für den Directory Connector aktivieren

Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.

Die Protokolldateien, die : \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1
Führen Sie die Datei services.msc aus, um das laufende Konto für den Directory Connector-Dienst vom lokalen System in ein Domänenkonto zu ändern, das über Berechtigungen für den Zugriff auf Ihr AD DS oder AD LDS verfügt.

2
Starten Sie den Dienst neu.

Weitere Informationen finden Sie unter Starten von Diensten.

3
Klicken Sie im Directory Connector auf Dashboard.

4
Gehen Sie zu Aktionenund klicken Sie dann auf Dienstprogramme > Fehlerbehebung.

5
Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können.

6
Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt.

Der Protokollordner speichert nur Dateien der letzten 3 Tage. Der Inhalt der Protokolldateien stimmt mit der Ereignisprotokollausgabe an das System überein.

7
Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten.

8
Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind.

Weitere Informationen
Support kontaktieren

Starten der Ereignisanzeige

Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es zeigt eine Zusammenfassung der Verwaltungsereignisse und Fehlerprotokolle an.

1
Gehen Sie im Directory Connector zu Dashboardund klicken Sie dann auf Aktion > Ereignisanzeige starten.

Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails.

2
Gehen Sie in der Ereignisanzeige zu Anwendungs- und Dienstprotokolle > Cisco Verzeichniskonnektor.

3
Klicken Sie unter Aktionenauf Alle Ereignisse speichern unter, um alle Protokolle als eine einzige Ereignisdatei zu exportieren. (*.evtx) oder ein anderes Format wie XML oder CSV.

Nächste Schritte

Wenn Sie einen Fall eröffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und hängen Sie dann die Ereignisdatei an Ihren Fall an.

In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Um Hilfe bei der Verwaltung des Netzwerkverkehrs zu erhalten, aktivieren Sie die Fehlerbehebung auf dem Connector.

Aktivieren Sie TLS im Internet Explorer

Wenn Sie den Single Sign-On (SSO)-Anbieter gewechselt haben, werden Ihnen möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:

Beim Anmelden am Dienst ist ein Fehler aufgetreten

Im Skript auf dieser Seite ist ein Fehler aufgetreten

Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.

1
Öffnen Sie den Internet Explorer und wählen Sie dann Extras. Aktivieren Sie nun die Kontrollkästchen für TLS/SSL Version, die Sie aktivieren möchten Klicken Sie auf OK Schließen Sie den Browser und öffnen Sie ihn erneut

2
Klicken Sie auf Internetoptionen, gehen Sie zu Erweitert und scrollen Sie zu Sicherheit.

3
Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden und klicken Sie dann auf OK.

4
Starten Sie Ihr System neu, damit die Änderungen wirksam werden.

Anmeldeprobleme für Dienstkonten beheben

Wenn Sie sich nicht beim Cisco Directory Connector anmelden oder keine Synchronisierung ausführen können, versuchen Sie mit diesen Schritten, das Problem zu beheben, bevor Sie sich an den Support wenden.

1
Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen.

2
Wählen Sie je nach den Ergebnissen eine Option:

Wenn Sie den Link nicht über Ihren Browser aufrufen können, überprüfen Sie Ihre Netzwerkeinstellungen. Wenn Sie in Ihrer Umgebung einen Proxy verwenden, überprüfen Sie die Proxy-Einstellungen.
Wenn Sie den Link von Ihrem Browser aus aufrufen können, aber den Cisco Directory Connector nicht öffnen können (Connector kann nicht geöffnet werden und es wird die Fehlermeldung 407 angezeigt), klicken Sie hier, um die neueste Version des Cisco Directory Connectors zu erhalten.
Wenn Sie den Link von Ihrem Browser aus aufrufen können, aber keine Synchronisierung vom Cisco-Verzeichniskonnektor aus ausführen können, ändern Sie das Service-Anmeldekonto in Domänenadministrator.

Überprüfen Sie, ob das Konto, mit dem Sie sich beim Windows-System angemeldet haben, dasselbe Konto ist, das Sie im „Cisco DirSync Service“ festgelegt haben. Wenn es sich um zwei verschiedene Konten handelt, stellen Sie sicher, dass beide Konten https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBALbesuchen können. Wenn Ihre Umgebung einen Proxy verwendet, stellen Sie sicher, dass beide Konten im Internet Explorer für den Proxy konfiguriert sind und https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL erfolgreich besuchen können.

3
Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (zu finden in den Windows-Diensten) über eine Berechtigungsstufe verfügt, die den Zugriff auf Avatar- und AD-Daten ermöglicht. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung des Windows-Kontos.

Weitere Informationen
Kontaktieren Sie unseren Support,

Überprüfen Sie SafeDllSearchMode in der Windows-Registrierung

Der sichere Suchmodus für Dynamic Link Librarys (DLLs) ist standardmäßig in der Windows-Registrierung festgelegt und platziert das aktuelle Verzeichnis des Benutzers weiter hinten in der DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert wäre, könnte ein Angreifer eine schädliche DLL (mit demselben Namen wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) in das aktuelle Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, verwenden Sie jedoch dieses Verfahren, um die Registrierungseinstellungen noch einmal zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, vor der Ausführung dieser Schritte eine Sicherungskopie Ihrer Registrierung zu erstellen.

1
Geben Sie in der Windows-Suche oder im Ausführen-Fenster regedit ein und drücken Sie dann die Eingabetaste.

2
Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3
Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt– Es sind keine weiteren Maßnahmen erforderlich.
SafeDllSearchMode ist aufgeführt– Stellen Sie sicher, dass der Wert auf 1eingestellt ist.

Weitere Informationen finden Sie unter Dynamic Link Library-Suchreihenfolge.

Übersicht über Cisco Directory Connector

Directory Connector-Übersicht

Directory Connector ist eine lokale Anwendung zur Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.

Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur einzigen Quelle der Wahrheit wird. Wenn Sie vor Ort eine Änderung vornehmen, wird diese in die Cloud repliziert.

In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:

Funktion Beschreibung und Vorteil

Benutzerfreundliches Dashboard Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden.

Probelauf vor der Synchronisierung mit der Cloud Führen Sie einen Probelauf der Änderungen am Verzeichnis durch, bevor diese in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen.

Vollständige und inkrementelle Synchronisierung Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen.

Synchronisieren mehrerer Domänen (einzelner oder mehrere Gesamtstrukturen)

Directory Connector unterstützt mehrere Domänen entweder unter einer einzigen Gesamtstruktur oder unter mehreren Gesamtstrukturen (ohne dass AD LDS erforderlich ist). Für Unternehmen mit mehreren Active Directory-Domänen können Sie für jede Domäne einen Directory Connector installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis mit Webex synchronisieren. Control Hub gibt den Status wieder, indem es den Synchronisierungsstatus für mehrere Directory Connectors anzeigt, Ihnen ermöglicht, die Synchronisierung für eine bestimmte Domäne auszuschalten und einen Directory Connector in einer Bereitstellung mit hoher Verfügbarkeit zu deaktivieren.

Geplante Synchronisierung Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest.

LDAP-Filter (Lightweight Directory Access Protocol) Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit.

Active Directory-Attributzuordnung Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, die der Cloud zugeordnet werden sollen. Die Attribute aus den Räumlichkeiten bilden verschiedene Daten in der Cloud, wie etwa Benutzerkontoinformationen, Unternehmenstelefonnummern in Webex Teams, SIP-Adressen von Raumressourcen und andere Kontaktkartendaten des Benutzers (Berufsbezeichnung, Abteilung, Manager usw.).

Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung

Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud PSTN für den Anrufdienst verwendet oder Sie über lokale Raumgeräte verfügen, können Benutzer mit dieser Funktion das Verzeichnis von ihren Cisco Webex Calling-Telefonen (Cloud PSTN) oder Raumressourcen aus nach Unternehmenskontakten durchsuchen.

Raumressourcen
Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugewiesenen SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Cisco Webex Raumgerät oder Cisco Webex Board angezeigt.
Wenn Benutzer eine Suche auf einem Cisco Webex Room-Gerät oder Cisco Webex Board durchführen, werden die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn sie vom Webex-Gerät aus einen Anruf an diesen Eintrag tätigen, wird ein Anruf an die für den Raum konfigurierte SIP-Adresse getätigt.
Anrufe
Benutzer können neben Webex-App-Kontakten auch Unternehmenskontakte anrufen. Über Directory Connector werden die Unternehmensbenutzer und ihre Telefonnummern zu Ihrer Webex-Organisation hinzugefügt. Sie müssen nicht über eine Lizenz für Webex-Dienste verfügen, damit diese Funktion funktioniert.
Benutzer ohne Webex-Lizenz werden in der Verzeichnissuche angezeigt, die vom Telefon eines Cisco Webex Calling-Benutzers durchgeführt wird, sofern eine URI oder Telefonnummer über den Directory Connector mit Webex synchronisiert ist. Die Anrufe funktionieren gleich für beide Benutzertypen. Außerdem bietet dieses Feature eine Bearbeitungsfunktion für Kontakte, die nur eine Telefonnummer enthalten.
Für die Kontakte in den Suchergebnissen gilt Folgendes:

Wenn Kontakte über eine wählbare URI (Webex-SIP-Adresse) und Telefonnummer verfügen, wird die mit dem Kontakt verknüpfte URI angezeigt.

Wenn ein Kontakt keine wählbare URI, dafür jedoch eine Telefonnummer hat, wird die Telefonnummer angezeigt. Außerdem wird ein Softkey zum Bearbeiten der gewählten Nummer angezeigt.

Kontakte ohne URI oder Telefonnummer werden nicht im Verzeichnis angezeigt.

Ereignisanzeige Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen.

Diagnosetool und Fehlerbehebung Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, sodass Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden.
Sobald Sie die Fehlerbehebung im Directory Connector aktivieren, werden Protokolle geschrieben, die an den technischen Support gesendet werden können.

Automatisches Upgrade Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades einrichten, sodass Sie immer über die neueste Version der Software verfügen, wenn eine neue Version veröffentlicht wird.

Hohe Verfügbarkeit Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt.

Directory Connector ist in drei Bereiche unterteilt:

Control Hub ist die einzige Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Zeigen Sie Benutzer an, weisen Sie Lizenzen zu, laden Sie Directory Connector herunter und konfigurieren Sie Single Sign-On (SSO), wenn sich Ihre Benutzer über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App senden möchten.

Directory Connector-Verwaltungsschnittstelle ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mithilfe der Software können Sie eine Synchronisierung ausführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und Directory Connector-Dienste zu konfigurieren.

Der Verzeichnissynchronisierungsdienst fragt Ihr Active Directory ab, um Benutzer und Gruppen abzurufen, die mit dem Connector-Dienst und Directory Connector synchronisiert werden sollen.

Sehen Sie sich dieses Diagramm an, um die Architektur des Directory Connectors zu verstehen:

Architektur für Directory Connector

Vorbereiten Ihrer Umgebung für Directory Connector

Anforderungen für Directory Connector

Windows- und Active Directory-Anforderungen

Hardware-Anforderungen

Netzwerk-Anforderungen

Anforderungen an die Webex-Organisation

Installationsvoraussetzungen

Anforderungen für mehrere Domänen

Active Directory-Gruppenempfehlungen für die automatische Lizenzzuweisung

Größeninformationen

Überprüfen Sie SafeDllSearchMode in der Windows-Registrierung

Webproxy-Integration

Webproxy-Integration

Webproxy über den Browser verwenden

Webproxy über eine PAC-Datei konfigurieren

NTLM-Proxy

Transparenten Proxy konfigurieren

Proxy-Authentifizierung festlegen

Anforderungen für Directory Connector
Windows- und Active Directory-Anforderungen

Sie können Directory Connector auf diesen unterstützten Windows-Servern installieren:

Windows Server 2022

Windows Server 2019

Windows Server 2016

Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die den Fix enthält – Windows Server 2012 R2 oder 2016.

Directory Connector wird mit den folgenden Active Directory-Diensten unterstützt:

Active Directory 2016

(Directory Connector wird unterstützt, wenn die neueste Version von Active Directory unter Windows Server 2019 verwendet wird)

Active Directory 2012

Active Directory 2008 R2

Active Directory 2008

Beachten Sie die folgenden zusätzlichen Anforderungen:

Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:

.NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung). Wenn Probleme auftreten, befolgen Sie die Anweisungen in Aktivieren Sie .NET Framework 3.5 mithilfe des Assistenten zum Hinzufügen von Rollen und Features.)

.NET Framework v.4.5 (erforderlich für TLS1.2)

Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)

Hardware-Anforderungen

Sie müssen Directory Connector auf einem Computer mit den folgenden Mindesthardwareanforderungen installieren:

8 GB RAM

50 GB Speicherplatz

Keine Mindestanforderung für die CPU

Netzwerk-Anforderungen

Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS (Port 443) auf das Internet zugreifen kann.

Anforderungen an die Webex-Organisation

Um vom Control Hub aus auf die Directory Connector-Software zuzugreifen, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem kostenpflichtigen Abonnement.

(Optional) Wenn Sie möchten, dass neue Webex-App-Benutzerkonten vor der ersten Anmeldung aktiv sind, empfehlen wir Ihnen Folgendes:

Fügen Sie Domänen hinzu, überprüfen Sie sie und beanspruchen Sie sie optional, die die Benutzer-E-Mail-Adressen enthalten, die Sie mit der Cloud synchronisieren möchten.

Führen Sie eine Single Sign-On (SSO)-Integration Ihres Identitätsanbieters (IdP) mit Ihrer Webex-Organisation durch.

Unterdrücken Sie automatische E-Mail-Einladungen, damit neue Benutzer keine automatischen E-Mail-Einladungen erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)

Weitere Informationen finden Sie unter Benutzerstatus und Aktionen im Control Hub.

Installationsvoraussetzungen

Für eine Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie für jede Active Directory-Domäne einen Directory Connector installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.

Für die Anmeldung beim Connector benötigen wir kein Administratorkonto im Active Directory. Wir benötigen ein lokales Benutzerkonto, das mit dem vollständigen Administratorkonto im Control Hub identisch ist.

Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computer-Anmeldekonto sollte einem Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer gehören. (Diese Informationen gelten auch für die Anmeldung an einer virtuellen Maschine.)

Beim Anmelden beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector das lokale Systemkonto für den Zugriff auf Active Directory. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung an einer virtuellen Maschine.)

Stellen Sie mithilfe dieses Verfahrens sicher, dass der sichere DLL-Suchmodus (Dynamic Link Library) von Windows aktiviert ist: Überprüfen Sie SafeDllSearchMode in der Windows-Registrierung.

Wenn Sie AD LDS für mehrere Domänen in einer einzigen Gesamtstruktur verwenden, empfehlen wir Ihnen, Directory Connector und Active Directory Domain zu installieren Service/Active Verzeichnis Leichtgewichtige Verzeichnisdienste (AD DS/AD LDS) auf separaten Maschinen.

Anforderungen für mehrere Domänen

Bevor Sie die Aufgaben im Taskflow zur Bereitstellung des Cisco Directory Connectorsausführen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:

Für jede Domäne ist eine separate Instanz von Directory Connector erforderlich.

Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, mit der sie synchronisiert wird.

Wir empfehlen Ihnen, Ihre Domänen im Control Hub zu verifizieren oder zu beanspruchen. (Siehe Domänen hinzufügen, überprüfen und beanspruchen.)

Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen, um Ihre Organisation in eine große Org-Liste zu verschieben.

Bei Bedarf können Sie Raumressourceninformationen zusammen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex-Cloud.)

Active Directory-Gruppenempfehlungen für die automatische Lizenzzuweisung

Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zusammenzufassen. Die Arbeit mit Gruppen statt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.

Es gibt zwei Arten von Gruppen in Active Directory:

Verteilergruppen– Dient zum Erstellen von E-Mail-Verteilerlisten.

Sicherheitsgruppen– Werden verwendet, um gemeinsam genutzten Ressourcen Berechtigungen zuzuweisen.

Beachten Sie beim Erstellen von Gruppen in Active Directory die folgenden Richtlinien:

Erstellen Sie für jede Rolle, Abteilung oder jeden Dienst (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex-Lizenzierung usw.) eine globale Gruppe.

Verwenden Sie in Ihrer gesamten Organisation standardmäßige Namenskonventionen, um wichtige Informationen zu einer Gruppe leichter identifizieren zu können. Gruppennamen können Details zur Gruppe enthalten, wie etwa Zugriffsebene, Ressourcentyp, Sicherheitsstufe, Gruppenumfang, E-Mail-Funktion usw. Beispielsweise bezieht sich der Gruppenname „GSG_Webex_Licensing_EMEAR“ auf eine globale Sicherheitsgruppe für EMEAR-Benutzer der Webex-Lizenzierung.

Organisieren Sie Gruppen auf leicht verständliche Weise, beispielsweise nach geografischer Lage oder Managementhierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.

Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die Auto-Lizenzgruppenvorlage im Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Einrichten Ihrer Vorlage für die automatische Lizenzzuweisung.

Größeninformationen

Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher gibt es für den Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Alle Beschränkungen für lokale Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen der Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, und nicht an den Connector selbst.

Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:

Die Gesamtzahl der Active Directory-Objekte. (Ein Synchronisierungsauftrag für 5.000 Benutzer dauert nicht so lange wie einer für 50.000.)

Netzwerkgeschwindigkeit und Bandbreite.

Systemauslastung und Spezifikationen.

Wenn Sie mehr als 50.000 Benutzer synchronisieren, empfehlen wir Ihnen dringend, aus Failover- und Redundanzgründen einen zweiten Connector zu verwenden.

Da bei der Synchronisierung mehrere Faktoren eine Rolle spielen und jede Bereitstellung je nach den oben genannten Faktoren unterschiedlich ist, können wir keine genauen Zeitangaben dazu machen, wie lange eine Objektsynchronisierung dauert.

Überprüfen Sie SafeDllSearchMode in der Windows-Registrierung

Der sichere Suchmodus für Dynamic Link Librarys (DLLs) ist standardmäßig in der Windows-Registrierung festgelegt und platziert das aktuelle Verzeichnis des Benutzers weiter hinten in der DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert wäre, könnte ein Angreifer eine schädliche DLL (mit demselben Namen wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) in das aktuelle Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, verwenden Sie jedoch dieses Verfahren, um die Registrierungseinstellungen noch einmal zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, vor der Ausführung dieser Schritte eine Sicherungskopie Ihrer Registrierung zu erstellen.

1
Geben Sie in der Windows-Suche oder im Ausführen-Fenster regedit ein und drücken Sie dann die Eingabetaste.

2
Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3
Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt– Es sind keine weiteren Maßnahmen erforderlich.
SafeDllSearchMode ist aufgeführt– Stellen Sie sicher, dass der Wert auf 1eingestellt ist.

Weitere Informationen finden Sie unter Dynamic Link Library-Suchreihenfolge.

Webproxy-Integration
Webproxy-Integration

Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.

Wenn Ihre Organisation einen transparenten Webproxy verwendet, unterstützt dieser keine Authentifizierung. Der Connector verbindet und synchronisiert Benutzer erfolgreich.

Sie können einen der folgenden Ansätze verwenden:

Expliziter Webproxy über Internet Explorer (der Connector übernimmt die Webproxy-Einstellungen)

Expliziter Webproxy über eine PAC-Datei (der Connector übernimmt unternehmensspezifische Proxy-Einstellungen)

Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert

Webproxy über den Browser verwenden

Sie können Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.

Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,

1
Gehen Sie im Internet Explorer zu Internetoptionen > Verbindungenund wählen Sie dann LAN-Einstellungen.

2
Richten Sie die Windows-Instanz auf den Ort, an dem der Connector auf Ihrem Webproxy installiert ist. Der Connector übernimmt diese Webproxy-Einstellungen.

3
Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:

cloudconnector.webex.com zur Synchronisierung.

Kunden in der EU sollten außerdem cloudconnector-eu.webex.comhinzufügen.

idbroker.webex.com zur Authentifizierung.

Kunden in der EU sollten außerdem idbroker-eu.webex.comhinzufügen.

idbroker-static.webex.com zum Bereitstellen statischer Ressourcen wie Schriftarten, JS-Komponenten usw.

Sie können dies entweder Site-weit (für alle Hosts) oder nur für den Host durchführen, der über den Connector verfügt.

Wenn Sie diese URLs zu einer Zulassungsliste hinzufügen, um Ihren Webproxy vollständig zu umgehen, stellen Sie sicher, dass die ACL-Tabelle Ihrer Firewall aktualisiert ist, damit der Connector-Host direkt auf die URLs zugreifen kann.

4
Wenn Ihre Umgebung Zertifikatsperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Zulassungsliste hinzu:

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

Weitere Informationen finden Sie in diesem Artikel zu Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

Webproxy über eine PAC-Datei konfigurieren

Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxyadresse und Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.

1
Damit der Connector erfolgreich eine Verbindung zur Webex-Cloud herstellen und Benutzerinformationen synchronisieren kann, stellen Sie sicher, dass die Proxy-Authentifizierung für cloudconnector.webex.com in der PAC-Dateikonfiguration für den Host deaktiviert ist, auf dem der Connector installiert ist.

2
Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:

cloudconnector.webex.com zur Synchronisierung.

Kunden in der EU sollten außerdem cloudconnector-eu.webex.comhinzufügen.

idbroker.webex.com zur Authentifizierung.

Kunden in der EU sollten außerdem idbroker-eu.webex.comhinzufügen.

idbroker-static.webex.com zum Bereitstellen statischer Ressourcen wie Schriftarten, JS-Komponenten usw.

Sie können dies entweder Site-weit (für alle Hosts) oder nur für den Host durchführen, der über den Connector verfügt.

Wenn Sie diese URLs zu einer Zulassungsliste hinzufügen, um Ihren Webproxy vollständig zu umgehen, stellen Sie sicher, dass die ACL-Tabelle Ihrer Firewall aktualisiert ist, damit der Connector-Host direkt auf die URLs zugreifen kann.

3
Wenn Ihre Umgebung Zertifikatsperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Zulassungsliste hinzu:

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

Weitere Informationen finden Sie in diesem Artikel zu Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss.

NTLM-Proxy

Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.

NTLM-Design

In den meisten Fällen möchte ein Benutzer über einen Client-PC auf die Ressourcen einer anderen Arbeitsstation zugreifen, was auf sichere Weise schwierig sein kann.

Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus von Challenge und Response:

Ein Benutzer meldet sich mit einem Windows-Konto und einem Kennwort bei einem Client-PC an. Das Passwort wird niemals lokal gespeichert. Anstelle eines Klartext-Passworts wird ein Hashwert des Passworts lokal gespeichert. Wenn sich ein Benutzer mit dem Kennwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hashwert und den Hashwert des eingegebenen Kennworts. Wenn beide gleich sind, ist die Authentifizierung erfolgreich.

Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anfrage mit dem Kontonamen im Klartext an den Server.

Wenn der Server die Anfrage empfängt, generiert er einen 16-Bit-Zufallsschlüssel. Der Schlüssel wird Challenge (oder Nonce) genannt. Bevor der Server sie an den Client zurücksendet, wird die Challenge auf dem Server gespeichert. Und dann sendet der Server die Herausforderung im Klartext an den Client.

Sobald der Client die vom Server gesendete Challenge empfängt, verschlüsselt er die Challenge mit dem in Schritt 1 genannten Hashwert. Nach der Verschlüsselung wird der Wert an den Server zurückgesendet.

Wenn der Server den verschlüsselten Wert vom Client empfängt, sendet er ihn zur Überprüfung an den Domänencontroller. Die Anfrage umfasst: den Kontonamen, die verschlüsselte Herausforderung, die der Client gesendet hat, und die ursprüngliche einfache Herausforderung.

Der Domänencontroller kann die Hashwerte des Kennworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Domänencontroller kann dann den empfangenen Hashwert mit dem verschlüsselten Hashwert vergleichen. Wenn sie gleich sind, war die Überprüfung erfolgreich.

Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, die es Anwendungen erleichtert, die Sicherheitsauthentifizierung zu unterstützen. Daher müssen Sie keine weiteren Konfigurationen vornehmen.

Transparenten Proxy konfigurieren

In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.

1
Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann.

2
Bestätigen Sie, dass der Proxy erfolgreich ist. Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt.

Proxy-Authentifizierung festlegen

Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.

Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:

1
Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist.

2
Bestimmen Sie eine geschätzte Bandbreite für diese Verbindung (bei etwa 2 mb/s oder weniger für den Stecker). Diese Angabe ist möglicherweise nicht erforderlich.

3
Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie cloudconnector.webex.com als Ziel an, das der Zulassungsliste hinzugefügt werden soll.

Beispiel:
access-list 2000 acl-inside extended permit TCP [IP of the connector] cloudconnector.webex.com eq https

4
Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt.

5
Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren.

Bereitstellen des Verzeichniskonnektors

Ablauf der Bereitstellung des Cisco Directory Connectors

Directory Connector installieren

Bei Directory Connector anmelden

Directory Connector-Dashboard

Automatische Upgrades festlegen

Auswählen der zu synchronisierenden Active Directory-Objekte

Benutzerattribute zuordnen

Active Directory und Cloud-Attribute

Ausdrücke für benutzerdefinierte Attribute

Synchronisieren Sie Verzeichnis-Avatare von einem Active Directory-Attribut mit der Cloud

Synchronisieren Sie Verzeichnis-Avatare von einem Ressourcenserver mit der Cloud

Synchronisieren Sie lokale Rauminformationen mit der Webex Cloud

Senden Sie E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisierung

Konfigurieren Sie Directory Connector-Benachrichtigungen im Control Hub

Bereitstellen von Benutzern aus Active Directory im Control Hub

Führen Sie eine Probesynchronisierung Ihrer Active Directory-Benutzer durch

Führen Sie eine vollständige Synchronisierung von Active Directory-Benutzern in die Cloud durch

Zuweisen von Webex-Diensten zu Verzeichnis-synchronisierten Benutzern im Control Hub

Bekannte Probleme mit Directory Connector

Ablauf der Bereitstellung des Cisco Directory Connectors

Vorbereitungen

Vorbereiten Ihrer Umgebung für Directory Connector

1
Verzeichniskonnektor installieren

Control Hub zeigt die Verzeichnissynchronisierung zunächst als deaktiviert an. Um die Verzeichnissynchronisierung für Ihre Organisation zu aktivieren, müssen Sie Directory Connector installieren und konfigurieren und dann eine vollständige Synchronisierung erfolgreich durchführen. Gehen Sie bei einer Neuinstallation von Directory Connector immer zu Control Hub ( https://admin.webex.com), um die neueste Version der Software zu erhalten, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nachdem Sie die Software installiert haben, werden Upgrades über die Software gemeldet und bei Verfügbarkeit automatisch installiert.

2
Bei Directory Connector anmelden

Melden Sie sich mit Ihren Webex-Administratoranmeldeinformationen an und führen Sie die Ersteinrichtung durch.

3
Automatische Upgrades festlegen

Es ist immer wichtig, Ihre Directory Connector-Software auf dem neuesten Stand zu halten. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, um die automatische Installation von Software-Upgrades im Hintergrund zu ermöglichen, wenn diese verfügbar sind.

4
Auswählen der zu synchronisierenden Active Directory-Objekte

Standardmäßig synchronisiert Directory Connector alle Benutzer, bei denen es sich nicht um Computer handelt, und alle Gruppen, bei denen es sich nicht um kritische Systemobjekte für eine Domäne handelt. Um mehr Kontrolle darüber zu haben, welche Objekte synchronisiert werden, können Sie auf der Seite „Objektauswahl“ im Verzeichniskonnektor bestimmte Benutzer für die Synchronisierung auswählen und LDAP-Filter angeben.

5
Benutzerattribute zuordnen

Sie können die Attribute aus Ihrem lokalen Active Directory zu den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld lautet *uid.

6
Synchronisieren Sie Verzeichnisavatare mithilfe eines der folgenden Verfahren:

Synchronisieren Sie Verzeichnis-Avatare von einem Active Directory-Attribut mit der Cloud
Synchronisieren Sie Verzeichnis-Avatare von einem Ressourcenserver mit der Cloud

Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass die Benutzer-Avatare nach der Anmeldung in der Anwendung angezeigt werden. Sie können Avatare von einem Active Directory-Attribut oder einem Ressourcenserver synchronisieren.

7
Synchronisieren Sie lokale Rauminformationen mit der Webex Cloud

Verwenden Sie dieses Verfahren, um lokale Rauminformationen aus Active Directory mit der Webex-Cloud zu synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt, z. B. einem Webex Room Device oder Cisco Webex Board.

8
Um Benutzer aus Active Directory in Control Hub bereitzustellen, führen Sie diese Schritte aus:

Führen Sie eine Probesynchronisierung Ihrer Active Directory-Benutzer durch
Führen Sie eine vollständige Synchronisierung von Active Directory-Benutzern in die Cloud durch
Zuweisen von Webex-Diensten zu Verzeichnis-synchronisierten Benutzern im Control Hub

Befolgen Sie diese Reihenfolge, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Gesamtstrukturen oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Onboardings von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind (z. B. Testkonten aus einer Testphase), beibehalten oder löschen möchten. Das Ziel besteht darin, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erreichen.

Verzeichniskonnektor installieren

Control Hub zeigt die Verzeichnissynchronisierung zunächst als deaktiviert an. Um die Verzeichnissynchronisierung für Ihre Organisation zu aktivieren, müssen Sie Directory Connector installieren und konfigurieren und dann eine vollständige Synchronisierung erfolgreich durchführen.

Für jede Active Directory-Domäne, die Sie synchronisieren möchten, müssen Sie einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzelne Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Durchführen der Synchronisierung mehrerer Domänen:

Mehrere Domänenflüsse für den Verzeichniskonnektor

Vorbereitungen

Wenn Sie sich über einen Proxy-Server authentifizieren, müssen Sie sicherstellen, dass Sie Ihre Proxy-Anmeldeinformationen zur Hand haben:

Bei der Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Für die Basisauthentifizierung ist auch eine Proxy-Konfiguration im Internet Explorer erforderlich; siehe Verwenden eines Webproxys über den Browser

Beim Proxy-NTLM wird möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser.

1
Gehen Sie im Control Hubzu Benutzer > Benutzer verwalten > Verzeichnissynchronisierung aktivierenund wählen Sie Weiter.

2
Klicken Sie auf den Link Herunterladen und installieren, um die neueste Version der ZIP-Installationsdatei des Connectors auf Ihrem VMware- oder Windows-Server zu speichern.

Sie können die ZIP-Datei direkt von diesem Linkherunterladen, Sie müssen jedoch über vollständigen Administratorzugriff auf eine Control Hub-Organisation verfügen, damit diese Software funktioniert.

Holen Sie sich bei einer Neuinstallation die neueste Version der Software, damit Sie die neuesten Funktionen und Fehlerbehebungen nutzen. Nachdem Sie die Software installiert haben, werden Upgrades über die Software gemeldet und bei Verfügbarkeit automatisch installiert.

3
Entpacken Sie auf dem VMware- oder Windows-Server die MSI-Datei im Setup-Ordner und führen Sie sie aus, um den Setup-Assistenten zu starten.

4
Klicken Sie auf Weiter, dann auf Ich stimme zu, um die Lizenzvereinbarung zu akzeptieren, und anschließend auf Weiter, bis der Bildschirm für die Kontoeingabe angezeigt wird.

5
Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto aus:

Lokales System– Die Standardoption. Verwenden Sie diese Option, wenn Sie einen Proxy in Internet Explorer konfiguriert haben.
Domänenkonto– Verwenden Sie diese Option, wenn der Computer Teil der Domäne ist. Der Directory Connector muss mit den Netzwerkdiensten interagieren, um auf Domänenressourcen zuzugreifen. Geben Sie anschließend die Kontoinformationen ein und klicken Sie auf OK. Verwenden Sie beim Eingeben des Benutzernamensdas Format {domain}\{user_name}

Für einen mit AD (NTLMv2 oder Kerberos) integrierten Proxy müssen Sie die Option Domänenkonto verwenden. Das für die Ausführung des Directory Connector-Diensts verwendete Konto benötigt ausreichende Privilegien, um den Proxy zu durchlaufen und auf AD zuzugreifen.

Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Berechtigungen vorhanden sind:

Der Server ist Teil der Domäne

Das Domänenkonto kann auf die lokalen AD-Daten und Avatardaten zugreifen. Das Konto muss außerdem über die lokale Administratorrolle verfügen, da es auf die Zugriffsdateien unter C:\Program Fileszugreifen muss.

Für die Anmeldung an einer virtuellen Maschine muss das Administratorkonto mindestens die Berechtigung haben, Domäneninformationen zu lesen.

6
Klicken Sie auf Installieren. Nachdem der Netzwerk-Test läuft und falls Sie dazu aufgefordert werden, geben Sie Ihre Proxy-Basic-Anmeldeinformationen ein, klicken Sie auf OK und dann auf Fertig stellen.

Nächste Schritte

Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelaufbericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Beim Neustart der Maschine werden alle Daten aktualisiert, um im Bericht ein genaues Ergebnis anzuzeigen.

Bei Directory Connector anmelden

Vorbereitungen

Vergewissern Sie sich, dass Sie Ihre Proxy-Anmeldeinformationen zur Hand haben.

Für die Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.

Öffnen Sie für Proxy-NTLM den Internet Explorer, klicken Sie auf das Zahnrad-Symbol, navigieren Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen, vergewissern Sie sich, dass die Proxyserver-Informationen hinzugefügt werden, und klicken Sie anschließend auf OK. Siehe Verwenden eines Webproxys über den Browser.

1
Öffnen Sie den Connector und fügen Sie dann https://idbroker.webex.com zu Ihrer Liste vertrauenswürdiger Sites hinzu, wenn Sie dazu aufgefordert werden.

2
Melden Sie sich bei entsprechender Aufforderung mit Ihren Proxy-Authentifizierungsdaten an, melden Sie sich dann mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter.

3
Bestätigen Sie Ihr Unternehmen und Ihre Domäne.

Wenn Sie AD DSwählen, aktivieren Sie LDAP über SSL, um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden, wählen Sie die Domäne aus, von der aus Sie synchronisieren möchten, und klicken Sie dann auf Bestätigen.

Wenn Sie LDAP über SSLnicht aktivieren, verwendet DirSync weiterhin das LDAP-Verbindungsprotokoll.
LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle, die zwischen einer Anwendung und dem Domänencontroller innerhalb der Infrastruktur verwendet werden. Die LDAPS-Kommunikation ist verschlüsselt und sicher.
Wenn Sie AD LDS ausgewählt haben, geben Sie Host, Domäne und Port ein, und klicken Sie auf Aktualisieren, um alle Anwendungspartitionen zu laden. Wählen Sie anschließend die Partition in der Dropdown-Liste aus, und klicken Sie auf Bestätigen. Weitere Informationen finden Sie im Abschnitt AD LDS.

Stellen Sie in der Konfigurationsdatei CloudConnectorCommon.dll sicher, dass Sie die Einstellung ADAuthLevel zum Knoten appSetting hinzufügen. Die Werte können 1, 2 oder 3 sein. Weitere Informationen zu AuthenticationTypesfinden Sie in diesem Artikel von Microsoft. Hier ist ein Beispiel für die Einstellung mit einem Wert von 1:

4
Nachdem der Bildschirm Unternehmen bestätigen angezeigt wurde, klicken Sie auf Bestätigen.

Falls Sie Ihr AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Unternehmen bestätigen angezeigt.

5
Klicken Sie auf Bestätigen.

6
Wählen Sie eine der folgenden Optionen aus, je nach der Anzahl der Active Directory-Domänen, die Sie an Directory Connector binden möchten:

Wenn Sie eine einzige AD LDS-Domäne verwenden, führen Sie die Bindung mit der vorhandenen AD LDS-Quelle aus und klicken Sie auf Bestätigen.
Wenn Sie eine einzige AD LDS-Domäne verwenden, führen Sie die Bindung entweder mit der vorhandenen oder mit einer neuen Domäne aus. Wenn Sie An eine neue Domäne binden auswählen, klicken Sie auf Weiter.
AD LDS kann nicht für die neue Bindung ausgewählt werden, da die vorhandene Quelle vom Typ AD DS ist.
Wenn Sie mehr als eine Domäne verwenden, wählen Sie eine vorhandene Domäne aus der Liste aus oder wählen Sie An neue Domäne binden aus und klicken Sie auf Weiter.
Die vorhandene Quelle muss vom Typ AD DS sein, da Sie mehr als eine Domäne verwenden. Wenn Sie An neue Domäne binden auswählen und auf Weiter klicken, können Sie AD LDS nicht für die neue Bindung auswählen.

Nächste Schritte

Nachdem Sie sich angemeldet haben, werden Sie dazu aufgefordert, eine Probelauf-Synchronisierung durchzuführen.

Directory Connector-Dashboard

Nach Ihrer ersten Anmeldung bei Directory Connector wird das Dashboard angezeigt. Hier sehen Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken, können einen Probelauf für die Synchronisierung durchführen, eine komplette oder inkrementelle Synchronisierung starten und die Eventanzeige starten, um Fehlerinformationen anzuzeigen.

Melden Sie sich erneut an, falls Ihre Sitzung abläuft.

Sie können diese Aufgaben problemlos über die Symbolleiste oder das Menü „Aktionen“ ausführen.

Tabelle 1. Dashboard-Komponenten

Komponente

Beschreibung

Aktuelle Synchronisierung

Zeigt Statusinformationen zur gegenwärtig stattfindenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige leer.

Nächste Synchronisierung

Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Plan festgelegt ist, wird Nicht geplant angezeigt.

Letzte Synchronisierung

Zeigt den Status der letzten beiden Synchronisierungen an.

Aktueller Synchronisierungsstatus

Zeigt den Gesamtstatus der Synchronisierung.

Connectoren

Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind.

Cloud-Statistiken

Zeigt den Gesamtstatus der Synchronisierung.

Synchronisierungszeitplan

Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung.

Konfigurationszusammenfassung
Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten:

Alle Objekte werden synchronisiert

Alle Benutzer werden synchronisiert

Gelöschte Schwelle wurde deaktiviert.

Tabelle 2. Aktionen-Symbolleiste
Vorgang Beschreibung

Inkrementelle Synchronisierung starten
Manuelles Starten einer inkrementellen Synchronisierung

Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn eine vollständige Synchronisierung nicht abgeschlossen wurde oder wenn eine Synchronisierung läuft.

Probelauf Synchronisierung

Führen Sie einen Probelauf für die Synchronisierung durch.

Starten der Ereignisanzeige

Starten Sie die Microsoft-Ereignisanzeige.

Aktualisieren

Aktualisieren Sie das Dashboard des Cisco Directory Connectors

Tabelle 3. Menüleiste „Aktionen“

Vorgang

Beschreibung

Jetzt synchronisieren
Starten Sie eine vollständige Sofortsynchronisierung.

Synchronisierungsmodus

Wählen Sie zwischen inkrementellem und vollständigem Synchronisierungsmodus aus.

Geheimen Connector-Schlüssel zurücksetzen

Stellen Sie eine Konversation zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Wenn Sie diese Aktion auswählen, wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert.

Probelauf

Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung vornehmen.

Fehlerbehebung

Aktivieren/Deaktivieren Sie die Fehlerbehebung.

Aktualisieren

Aktualisieren Sie den Hauptbildschirm des Cisco Directory Connector.

Beenden

Beenden Sie den Cisco Directory Connector.

Tabelle 4. Tastenkombinationen

Tastenkombination

Vorgang

Alt +A

Öffnet das Menü Aktionen

Alt +A + S

Jetzt synchronisieren

Alt +A + R

Geheimen Connector-Schlüssel zurücksetzen

Alt +A + D

Probelauf

Alt +A + S + I

Inkrementelle Synchronisierung

Alt +A + S + F

Vollständige Synchronisierung

Alt + H

Menü Hilfeanzeigen

Alt + H + H

Hilfe

Alt + H + A

Über

Alt + H + F

Häufig gestellte Fragen

Automatische Upgrades festlegen

1
Gehen Sie im Directory Connector zu Konfiguration > Allgemeinund aktivieren Sie dann Automatisch auf die neue Version von Cisco Directory Connector aktualisieren.

2
Klicken Sie auf Übernehmen, um die Änderungen zu speichern.

Neue Versionen des Connectors werden automatisch installiert, wenn sie verfügbar sind.

Wenn Sie möchten, können Sie Upgrades auch manuell verwalten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion.

Auswählen der zu synchronisierenden Active Directory-Objekte

Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu haben, welche Objekte synchronisiert werden, können Sie auf der Seite „Objektauswahl“ im Verzeichniskonnektor bestimmte Benutzer für die Synchronisierung auswählen und LDAP-Filter angeben.

Gruppen für die automatische Lizenzzuweisung

Mit Control Hub können Sie Lizenzzuweisungen auf Gruppenbasis verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Zum Zeitpunkt der Benutzererstellung überprüft Webex die Benutzermitgliedschaft und die automatische Lizenzvorlagenzuordnung für diesen neuen Benutzer.

Wir empfehlen Ihnen, einen LDAP-Filter zu verwenden, um nur relevante Gruppen mit der Cloud zu synchronisieren. Sie können den Filter beispielsweise folgendermaßen einstellen:

(&(cn=Example)(objectclass=Group))*

Dieser Filter synchronisiert alle Gruppen innerhalb des Basis-DN, deren Name mit „Example“ beginnt. Benutzern, die keinen Gruppen zugewiesen sind, werden Lizenzen aus der standardmäßigen automatischen Lizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.

Gruppen für hybride Datensicherheitsbereitstellungen

Im Directory Connector müssen Sie Gruppen aktivieren, wenn Sie Hybrid Data Security verwenden, um eine Testgruppe für Pilotbenutzer zu konfigurieren. Weitere Informationen finden Sie im Bereitstellungshandbuch für hybride Datensicherheit. Diese Directory Connector-Einstellung hat keine Auswirkungen auf die Synchronisierung anderer Benutzer in der Cloud.

Vorbereitungen

Active Directory-Gruppenempfehlungen für die automatische Lizenzzuweisung

1
Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl.

2
Aktivieren Sie im Abschnitt Objekttyp die Option Benutzerund ziehen Sie in Erwägung, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen.

Wenn Sie beispielsweise nur Benutzer einer bestimmten Gruppe synchronisieren möchten, müssen Sie im Feld Benutzer LDAP-Filter einen LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die sich in der Gruppe „Example-manager“ befinden, verwenden Sie einen Filter wie diesen:

(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))

3
Aktivieren Sie Raum identifizieren, um die Raumdaten von den Benutzerdaten zu trennen. Klicken Sie auf Anpassen, wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren.

Verwenden Sie diese Einstellung, wenn Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex-Cloud.

4
Aktivieren Sie Gruppen, wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten.

Fügen Sie dem Feld „Gruppen“ keinen LDAP-Filter für die Benutzersynchronisierung hinzu. Sie sollten das Feld „Gruppen“ nur verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren.

Standardmäßig werden Gruppen für neue Kunden nicht synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren.

5
Aktivieren Sie Kontakte, wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten.

Directory Connector verwaltet nur vom Connector synchronisierte Kontakte. Wenn im Control Hub bereits Kontakte vorhanden sind, werden diese durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsbereich entfernt werden, werden die Kontaktinformationen der Benutzer auch im Control Hub entfernt.

6
Konfigurieren Sie die LDAP-Filter. Durch die Angabe eines gültigen LDAP-Filters können Sie erweiterte Filter hinzufügen. Weitere Informationen zum Konfigurieren von LDAP-Filtern finden Sie in diesem Artikel.

7
Geben Sie die zu synchronisierenden lokalen Basis-DNs an, indem Sie auf Auswählen klicken, um die Baumstruktur Ihres Active Directory anzuzeigen. Hier können Sie auswählen, welche Container durchsucht werden sollen.

8
Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten und klicken Sie auf Auswählen.

Sie können einzelne oder übergeordnete Container für die Synchronisierung auswählen. Wählen Sie einen übergeordneten Container, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird neben dem übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container ausgewählt wurde. Sie können auf Auswählen klicken, um die ausgewählten Active Directory-Container zu übernehmen.

Wenn in Ihrer Organisation alle Benutzer und Gruppen im Benutzer-Container abgelegt sind, müssen Sie die anderen Container nicht durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, müssen Sie sicherstellen, dass Sie OUs auswählen.

9
Klicken Sie auf Übernehmen.

Wählen Sie eine Option:

Konfig-Änderungen übernehmen

Probelauf

Abbrechen

Informationen zu Probeläufen finden Sie unter Führen Sie eine Probelaufsynchronisierung für Ihre Active Directory-Benutzerdurch .

Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Führen Sie eine vollständige Synchronisierung von Active Directory-Benutzern in die Cloud durch.

Benutzerattribute zuordnen

Sie können die Attribute aus Ihrem lokalen Active Directory zu den entsprechenden Attributen in der Cloud zuordnen. Das einzige Pflichtfeld ist das *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.

Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll. Sie können beispielsweise firstName lastName in Active Directory oder einen benutzerdefinierten Attributausdruck displayName in der Cloud zuordnen.

Konten in Active Directory müssen über eine E-Mail-Adresse verfügen. Die UID wird standardmäßig dem Feld ad von Mail zugeordnet (nicht sAMAccountName).

Wenn Sie die bevorzugte Sprache aus Ihrem Active Directory beziehen möchten, ist Active Directory die einzige zuverlässige Quelle: Benutzer können ihre Spracheinstellung in den Webex-Einstellungen nicht ändern und Administratoren können die Einstellung im Control Hub nicht ändern.

1
Klicken Sie im Directory Connector auf Konfigurationund wählen Sie dann Benutzerattributzuordnungaus.

Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet.

2
Scrollen Sie bis zum Ende der Active Directory-Attributnamenund wählen Sie dann eines dieser Active Directory-Attribute aus, um es dem Cloud-Attribut uidzuzuordnen. :

mail– Wird von den meisten Bereitstellungen für das E-Mail-Format verwendet.
userPrincipalName– Eine alternative Auswahl, wenn Ihr E-Mail-Attribut in Active Directory für andere Zwecke verwendet wird. Dieses Attribut muss das E-Mail-Format aufweisen.

Sie können jedes der anderen Active Directory-Attribute der uid zuordnen. Wir empfehlen jedoch, wie in den obigen Richtlinien beschrieben, „mail“ oder „userPrincipalName“ zu verwenden. In einigen Fällen wird der userPrincipalName zum Anmelden verwendet, die E-Mail-Adresse eines Benutzers wird jedoch zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld für die primäre E-Mail-Adresse in Webex zu ordnet. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Weitere Informationen dazu, welche Attribute in Active Directory zur Cloud gehören, finden Sie unter Zuordnen von Active Directory-Attributen im Directory Connector.

Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen gewählte Active Directory-Attribut im E-Mail-Format vorliegt. Wenn Sie eines der empfohlenen Attribute nicht auswählen, zeigt Directory Connector ein Popup-Fenster zur Erinnerung an.

3
Wenn die vordefinierten Active Directory-Attribute für Ihre Bereitstellung nicht funktionieren, klicken Sie auf das Dropdown-Menü „Attribut“, scrollen Sie nach unten und wählen Sie dann Attribut anpassen, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können.

Klicken Sie auf Hilfe, um weitere Informationen zu den Ausdrücken zu erhalten und Beispiele zur Funktionsweise von Ausdrücken anzuzeigen. Weitere Informationen finden Sie auch unter Ausdrücke für benutzerdefinierte Attribute.

In diesem Beispiel ordnen wir die Active Directory-Attribute givenName und Sn dem Cloud-Attribut displayNamezu. :

Definieren Sie den Attributausdruck als givenName + "" + Sn (die Anführungszeichen stellen ein zusätzliches Leerzeichen dar) und geben Sie dann zur Überprüfung die E-Mail-Adresse eines vorhandenen Benutzers ein.

Klicken Sie auf Überprüfenund prüfen Sie, ob das Ergebnis Ihren Erwartungen entspricht.

Ein erfolgreiches Ergebnis sieht folgendermaßen aus:

Wenn die Ergebnisse Ihren Erwartungen entsprechen, klicken Sie auf OK, um das neue benutzerdefinierte Attribut zu speichern.

Wenn Sie später das displayNameändern möchten, können Sie einen neuen Attributausdruck eingeben

Directory Connector überprüft den Attributwert der UID im Identitätsdienst und ruft unter den aktuellen Benutzerfilteroptionen 3 verfügbare Benutzer ab. Wenn alle drei Benutzer über ein gültiges E-Mail-Format verfügen, zeigt Cisco Directory Connector die folgende Meldung an:

Wenn das Attribut nicht überprüft werden kann, wird die folgende Warnung angezeigt und Sie können zu Active Directory zurückkehren, um die Benutzerdaten zu überprüfen und zu korrigieren:

4
(Optional) Wählen Sie Zuordnungen für Mobiltelefon und Telefonnummer aus, wenn Mobil- und Arbeitsnummern beispielsweise in der Kontaktkarte des Benutzers in der Webex-App angezeigt werden sollen.

Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer mit der Maus über das Profilbild eines anderen Benutzers fährt.

Weitere Informationen zum Anrufen über die Kontaktkarte eines Benutzers finden Sie im Bereitstellungshandbuch für Anrufe in Webex (Unified CM) (Administratoren).

5
Wählen Sie zusätzliche Zuordnungen aus, damit mehr Daten auf der Kontaktkarte angezeigt werden:

departmentNumber
displayName
manager
title

Nachdem die Attribute zugeordnet wurden, werden die Informationen angezeigt, wenn ein Benutzer mit der Maus über das Profilbild eines anderen Benutzers fährt:

Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen Sie, wen Sie kontaktieren.

Nachdem diese Attribute mit jedem Benutzerkonto synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Benutzer der Webex-App mehr Informationen in ihren Profilen teilen und mehr übereinander erfahren. Weitere Informationen zu dieser Funktion und ihrer Aktivierung finden Sie unter People Insights-Profile für Webex, Jabber, Webex Meetings und Webex Events (Neu) in Control Hub

6
Treffen Sie Ihre Auswahl und klicken Sie auf Übernehmen.

Die in Active Directory enthaltenen Benutzerdaten überschreiben die entsprechenden Daten in der Cloud für den jeweiligen Benutzer. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Benutzer ohne entsprechende E-Mail-Adresse in Active Directory werden gelöscht.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie dauerhaft gelöscht werden.

Active Directory und Cloud-Attribute

Sie können die Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattribute-Zuordnung verwenden.

In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellungen im Directory Connector. Sie können in den Dropdown-Menüs des Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloud-Attribut synchronisiert wird.

Stellen Sie sich die Dropdown-Attribute als Voreinstellungen vor. Alternativ zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Vorgabe, in Active Directory angeben (einen Ausdruck mit mehreren Attributen), um es einem einzelnen Cloud-Attribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise haben Sie die Flexibilität, die Anzeigenamen Ihrer Benutzer zu bestimmen. Sie können beispielsweise einen Ausdruck hinzufügen, der basierend auf dem Titel, dem Vor- und Nachnamen des Mitarbeiters in Active Directory ein benutzerdefiniertes Attribut erstellt.

Sie können auch beliebige Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden sollen. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.

Sie können auch alternative E-Mail-Adressen verwenden, wenn Sie beispielsweise den userPrincipalName für die Anmeldung verwenden möchten, die E-Mail-Adresse eines Benutzers jedoch für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall eine andere E-Mail-Adresse dem zu. emails;type-work -Attribut. Dies ist die E-Mail-Adresse, die zur Authentifizierung verwendet wird. Sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen und muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.

Active Directory-Attributnamen

Webex Cloud-Attributnamen

Anmerkungen

—

buildingName

—

c

c

Dieses Attribut gibt die Länderabkürzung des Benutzers an.

departmentNumber

departmentNumber

Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die in der Kontaktkarte und in den Personeninformationenangezeigt wird.

displayName

displayName

Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der im Control Hub, der Kontaktkarteund Personeneinblickeangezeigt wird.

userAccountControl

ds-pwp-account-disabled
Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl auf ds-pwp-account-disabled abgebildet ist, sonst werden die Benutzer nicht richtig synchronisiert.

employeeNumber

employeeNumber

—

facsimileTelephoneNumber

facsimileTelephoneNumber

—

—

jabberID

Dieses Cloud-Attribut bezieht sich auf IM-Adressen (Typ XMPP), die von Jabber verwendet werden. Dieser Wert ist nicht derselbe wie SIP-Adressen.

l

l

Dieses Attribut gibt die Stadt des Benutzers an.

—

locale

—

Manager

Manager

Dieses Attribut wird für den Managernamen des Benutzers verwendet, der in der Kontaktkarte und in Personenerkenntnissenangezeigt wird.

mobile

mobile

Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, wenn der Benutzer von der Kontaktkarteaus angerufen wird.

o

o

Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und erscheint in der Kontaktkarte.

ou

ou

Dieses Attribut gibt den Namen der Organisationseinheit an.

physicalDeliveryOfficeName

physicalDeliveryOfficeName

Dieses Attribut gibt den Bürostandort des Benutzers an.

postalCode

postalCode

Dieses Attribut gibt die Postleitzahl des Benutzers für die physische Postzustellung an.

preferredLanguage

preferredLanguage

Dieses Attribut legt die bevorzugte Sprache des Benutzers fest und die folgenden Formate werden unterstützt: xx_JJ oder xx-JJ. Hier sind einige Beispiele: en_USA, en_GB, fr-CA.

Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format angeben, wird die Sprache der Organisation als bevorzugte Sprache für den Benutzer verwendet.

MSRTCSIP-PrimaryUserAddress

ipPhone

SipAddresses;type=enterprise

Dieses Attribut wird zum Synchronisieren lokaler Rauminformationen aus Active Directory in die Cisco Webex-Cloud verwendet.

sn

sn

Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der im Control Hub, der Kontaktkarteund Personeneinblickeangezeigt wird.

st

st

Dieses Attribut gibt den Staat oder die Provinz des Benutzers an.

streetAddress

street

Dieses Attribut gibt die Straßenadresse des Benutzers für die physische Postzustellung an.

telephoneNumber

telephoneNumber

Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die verwendet wird, um den Benutzer von der Kontaktkarte aus anzurufen.

—

timezone

Dieses Cloud-Attribut gibt die Zeitzone des Benutzers an.

title

title

Dieses Attribut gibt den Titel des Benutzers an, der in der Kontaktkarte und in den Personeninformationenangezeigt wird.

Typ

enterprise

—

*mail

*userPrincipalName

uid

Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet.

In einigen Fällen wird der userPrincipalName zum Anmelden verwendet, die E-Mail-Adresse eines Benutzers wird jedoch zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld für die primäre E-Mail-Adresse in Webex zu ordnet. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann sich dann mit einer dieser E-Mail-Adressen anmelden, solange die richtige SAML-Attributzuordnung vorhanden ist.

Im Beispiel für eine Attributzuordnung weiter unten erfahren Sie, wie Sie eine alternative E-Mail-Adresse zuordnen können.

*userPrincipalName

*mail

<custom attribute>

emails;type-work
Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail-Adresse, die zur Authentifizierung verwendet wird. Sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen und muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.

<New attribute for Azure user objectId>

externe ID

Erstellen Sie ein neues Active Directory-Attribut, um die Objekt-ID des Azure-Benutzers zu speichern, damit es nicht mit einem vorhandenen Attribut kollidiert.

Dieses Attribut wird dann dem Attribut „externalId“ zugeordnet, wodurch sichergestellt wird, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webexerstellen.

Alternative E-Mail-Adresszuordnung

Ausdrücke für benutzerdefinierte Attribute

Tabelle 5 Ausdrücke für benutzerdefinierte Attribute

Operator

Beschreibung und Beispiel

%

Entfernt alle Zeichen vom Anfang der Zeichenfolge bis zur Position des Zeichen- oder Zeichenfolgenarguments, sofern eine Übereinstimmung vorliegt.

Beispielausdruck
"abc@example.com" % "@"
Ergebnis
example.com

-

Entfernt das Ende der Eingabezeichenfolge vom Ende der angegebenen Zeichenfolge.
Beispielausdruck
"abc@example.com" - "@"
Ergebnis
abc

+

Verkettet Eingabezeichenfolgen oder Ausdrücke.

Beispielausdruck
"abc" + "" + "def"
Ergebnis
abc def

|

Wertet die getrennten Ausdrücke anhand der leeren Zeichenfolge aus und wählt das erste nicht leere Ergebnis aus.

Beispielausdruck
"" | "abc"
Ergebnis
abc

Synchronisieren Sie Verzeichnis-Avatare von einem Active Directory-Attribut mit der Cloud

Sie können die Verzeichnisavatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar angezeigt wird, wenn sie sich bei der Webex-App anmelden. Verwenden Sie dieses Verfahren, um Avatar-Rohdaten aus einem Active Directory-Attribut zu synchronisieren.

1
Gehen Sie im Directory Connector zu Konfiguration, klicken Sie auf Avatarund aktivieren Sie dann Aktivieren.

2
Wählen Sie für Avatar abrufen vonAD-Attributund dann das Avatar-Attribut aus, das die Rohdaten des Avatars enthält, die Sie mit der Cloud synchronisieren möchten.

3
Um zu überprüfen, ob der Avatar korrekt aufgerufen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar des Benutzers abrufen.

Der Avatar erscheint rechts.

4
Nachdem Sie überprüft haben, dass der Avatar korrekt angezeigt wird, klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Die synchronisierten Bilder werden zum Standardavatar für Benutzer in der Webex-App. Benutzer dürfen keinen eigenen Avatar festlegen, nachdem diese Funktion im Directory Connector aktiviert wurde.

Die Benutzeravatare werden sowohl mit der Webex-App als auch mit allen entsprechenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf zur Synchronisierung durch. Wenn keine Probleme auftreten, führen Sie eine vollständige Synchronisierung durch, um Ihre Active Directory-Benutzerkonten und Avatare mit der Cloud zu synchronisieren und in Control Hub anzuzeigen.

Synchronisieren Sie Verzeichnis-Avatare von einem Ressourcenserver mit der Cloud

Sie können die Verzeichnisavatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar angezeigt wird, wenn sie sich bei der Webex-App anmelden. Verwenden Sie dieses Verfahren, um Avatare von einem Ressourcenserver zu synchronisieren.

Vorbereitungen

Das URI-Muster und der Variablenwert in dieser Prozedur sind lediglich Beispiele. Verwenden Sie stattdessen die tatsächlichen URLs, unter denen sich Ihre Verzeichnis-Avatare befinden.

Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen von der Directory Connector-Anwendung aus erreichbar sein. Der Connector benötigt http- oder https-Zugriff auf die Bilder, die Bilder müssen jedoch nicht öffentlich im Internet zugänglich sein.

Die Avatar-Datensynchronisierung ist von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass Avatardaten für die NTLM-Authentifizierung oder Basic-Auth abgerufen werden können.

1
Gehen Sie im Directory Connector zu Konfiguration, klicken Sie auf Avatarund aktivieren Sie dann Aktivieren.

2
Für Avatar abrufen vonwählen Sie Ressourcenserver und geben Sie dann das Avatar-URI-Musterein – zum Beispiel http://www.example.com/dir/photo/zoom/{mail: .*?(?=@.*)}.jpg

Sehen wir uns nun die einzelnen Bestandteile des Avatar-URI-Musters an und welche Bedeutung sie haben:

http://www.example.com/dir/photo/zoom/– Der Pfad, in dem sich alle zu synchronisierenden Fotos befinden. Es muss sich um eine URL handeln, die der Directory Connector-Dienst auf Ihrem Server erreichen können muss.
mail:– Weist Directory Connector an, den Wert des Mail-Attributs aus Active Directory abzurufen
.*?(?=@.*)– Eine Regex-Syntax, die diese Funktionen ausführt:

.*– Jedes beliebige Zeichen, das null oder mehrmals vorkommt.

?– Weist die vorhergehende Variable an, so wenig Zeichen wie möglich abzugleichen.

(?= ... )– Stimmt mit einer Gruppe nach dem Hauptausdruck überein, ohne sie in das Ergebnis aufzunehmen. Directory Connector sucht nach einer Übereinstimmung und nimmt sie nicht in die Ausgabe auf.

@.*– Das At-Symbol, gefolgt von einem beliebigen Zeichen, das null oder mehrmals wiederholt wird.

.jpg– Die Dateierweiterung für die Avatare Ihrer Benutzer. Sehen Sie sich die unterstützten Dateitypen in diesem Dokument an und ändern Sie die Erweiterung entsprechend.

3
(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen erfordert, aktivieren Sie Benutzeranmeldeinformationen für Avatar festlegen, wählen Sie dann entweder Aktuellen Dienstanmeldebenutzer verwenden oder Diesen Benutzer verwenden und geben Sie das Kennwort ein.

4
Geben Sie den Variablenwertein – Zum Beispiel: abcd@example.com.

5
Klicken Sie auf Testen, um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert.

In diesem Beispiel, wenn der Mail-Wert für einen AD-Eintrag abcd@example.com ist und JPG-Bilder synchronisiert wurden, ist die Final Avatar URI http://www.example.com/dir/photo/zoom/abcd.jpg

6
Nachdem die URI-Informationen überprüft wurden und korrekt aussehen, klicken Sie auf Übernehmen.

Detaillierte Informationen zum Verwenden regulärer Ausdrücke finden Sie in der Microsoft Reguläre Ausdrucksprache – Schnellreferenz .

Die synchronisierten Bilder werden zum Standardavatar für Benutzer in der Webex-App. Benutzer dürfen keinen eigenen Avatar festlegen, nachdem diese Funktion im Directory Connector aktiviert wurde.

Die Benutzeravatare werden sowohl mit der Webex-App als auch mit allen entsprechenden Konten auf der Webex-Site synchronisiert.

Nächste Schritte

Führen Sie einen Probelauf zur Synchronisierung durch. Wenn keine Probleme auftreten, führen Sie eine vollständige Synchronisierung durch, um Ihre Active Directory-Benutzerkonten und Avatare mit der Cloud zu synchronisieren und in Control Hub anzuzeigen.

Synchronisieren Sie lokale Rauminformationen mit der Webex Cloud

Verwenden Sie dieses Verfahren, um lokale Rauminformationen aus Active Directory mit der Webex-Cloud zu synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Webex-Geräten (Raum, Schreibtisch und Board) angezeigt.

1
Gehen Sie im Directory Connector zu Synchronisieren, klicken Sie neben einer synchronisierten Domäne auf Mehr , klicken Sie auf Konfigurierenund wählen Sie dann Objektauswahl.

2
Aktivieren Sie Rauminformationen mit der Cloud synchronisieren, um die Raumdaten bei der Synchronisierung von den Benutzerdaten zu trennen.

Wenn diese Einstellung deaktiviert ist, werden Raumdaten genauso behandelt wie vom Benutzer synchronisierte Daten.

3
Gehen Sie zu Attributzuordnungund ändern Sie dann die Attributzuordnung für das Cloud-Attribut sipAddresses;type=enterprise.

Um die Wertvalidierung zu verwenden, sollte der Wert der SIP-Adresse Pattern.compile("^([^@])(.*)@(.*)$")

Wählen Sie MSRTCSIP-PrimaryUserAddress, falls verfügbar.
Wenn Ihr Active Directory-Schema das obige Attribut nicht enthält, verwenden Sie ein anderes Feld wie beispielsweise ipPhone.

4
Erstellen Sie ein Raumressourcenpostfach in Exchange. Dies fügt das hinzu msExchResourceMetaData;ResourceType:Room -Attribut, das der Connector dann zur Identifizierung von Räumen verwendet.

5
Navigieren Sie von Active Directory-Benutzern und -Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie die vollständig qualifizierte SIP-URI mit dem Präfix „sip“ hinzu:

6
Führen Sie eine Probesynchronisierung und anschließend eine vollständige Synchronisierung im Connector durch.

Die neuen Raumobjekte werden unter Hinzugefügte Objekte aufgelistet und übereinstimmende Raumobjekte erscheinen im Probelaufbericht unter Übereinstimmende Objekte. Alle zum Löschen markierten Raumobjekte befinden sich unter Gelöschte Räume.

Die Ergebnisse des Probelaufs zeigen alle Raumressourcen, die zugeordnet wurden.

Diese Einstellung trennt die Active Directory-Raumdaten (einschließlich der Raumattribute) von den Benutzerdaten. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken auf dem Connector-Dashboard die Raumdaten an, die mit der Cloud synchronisiert wurden.

Nächste Schritte

Nachdem Sie diese Schritte ausgeführt haben, werden Ihnen bei einer Suche auf einem in der Webex-Cloud registrierten Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie vom Webex-Gerät aus einen Anruf an diesen Eintrag tätigen, wird ein Anruf an die für den Raum konfigurierte SIP-Adresse getätigt.

Von Control Hub aus können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.

Der Endpunkt kann keinen Rückruf an die Webex-App senden. Für Testwählgeräte müssen diese Geräte vor Ort oder an einem anderen Ort als der Webex-App als SIP-URI registriert werden. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, dem Desk-Gerät oder dem Webex Board für den Kalenderdienst befindet, wird der doppelte Eintrag in den Suchergebnissen nicht angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App angewählt und es wird kein SIP-Anruf getätigt.

Senden Sie E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisierung

Standardmäßig erhalten die Kontakte oder Administratoren der Organisation immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen mit zusammenfassenden Verzeichnissynchronisierungsberichten erhalten soll.

1
Klicken Sie im Directory Connector auf Konfigurationund wählen Sie dann Benachrichtigungaus.

2
Klicken Sie im Directory Connector auf Einstellungenund aktivieren Sie neben E-Mail-Empfängerdie Option Synchronisierung des Berichts aktivieren.

3
Aktivieren Sie Benachrichtigung aktivieren, wenn Sie das standardmäßige Benachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten.

4
Klicken Sie auf Hinzufügen und geben Sie dann eine E-Mail-Adresse ein.

Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.

5
Klicken Sie auf E-Mail hinzufügen und geben Sie dann eine E-Mail-Adresse ein.

Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können.

6
Wenn Sie eingegebene E-Mail-Adressen bearbeiten müssen, doppelklicken Sie auf den E-Mail-Eintrag in der linken Spalte und nehmen Sie dann die gewünschten Änderungen vor.

7
Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Übernehmen.

8
Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Speichern.

Nächste Schritte

Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie auf eine E-Mail klicken, um diesen Eintrag hervorzuheben, und dann auf Entfernenklicken.

Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.

Konfigurieren Sie Directory Connector-Benachrichtigungen im Control Hub

Sie können Alerts Center im Control Hub verwenden, um Berichte vom Directory Connector zu übermitteln. Control Hub kann Benachrichtigungen an verschiedene Übermittlungskanäle übermitteln, darunter E-Mail und Webex-Bereiche. Benachrichtigungen im Control Hub werden vorhandenen Directory Connector-Berichtsbenachrichtigungen zugeordnet, darunter:

Info (Standard) – Zeigt Informationsmeldungen an, die den Fortschritt der Anwendung auf hoher Ebene hervorheben. Verwenden Sie diese Einstellung, wenn Sie nach allen vollständigen Synchronisierungen Berichte erhalten möchten.

Warnen– Zeigt potenziell gefährliche Situationen an.

Fehler– Zeigt Fehlerereignisse an, die möglicherweise dennoch eine weitere Ausführung der Anwendung ermöglichen. Wenn Sie diese Option wählen, werden Synchronisierungsberichte nur gesendet, wenn Fehler gemeldet werden.

Beachten Sie, dass sich E-Mail-Benachrichtigungen vom Directory Connector nicht ändern, wenn diese Funktion im Alerts Center aktiviert wird. Deaktivieren Sie Benachrichtigungen im Directory Connector, um doppelte Warnungen für dasselbe Ereignis zu vermeiden.

Außerdem wird die Benachrichtigungskonfiguration im Directory Connector nicht automatisch zum Alerts Center migriert. Stellen Sie sicher, dass Sie im Benachrichtigungscenter die gewünschten E-Mail-Adressen hinzufügen, um Benachrichtigungen zu erhalten.

1
Melden Sie sich bei Control Hub an und klicken Sie auf Warnungen.

2
Auswählen Verwalten > Regel erstellen.

3
Wählen Sie in der Dropdownliste Typ die Option Cisco Directory Connectoraus.

4
Wählen Sie den gewünschten Schweregrad aus. Standardmäßig ist der Schweregrad auf Hocheingestellt.

Für Fälle, die den Schweregrad der Regel erreichen oder überschreiten, werden Warnungen ausgelöst.

5
Geben Sie einen Titel für die neue Warnung ein.

6
Wählen Sie Ihre bevorzugte Zustellungsmethode für Ihre Benachrichtigung.

Sie können Warnmeldungen per E-Mail, in einem dafür vorgesehenen Webex-App-Bereich oder über Webhooks erhalten, wenn Sie diese auf Organisationsebene aktiviert haben.

Sie können bis zu 30 E-Mail-Adressen hinzufügen, um E-Mail-Benachrichtigungen zu erhalten.

Sie benötigen eine Messaging-Lizenz, um Bot-Updates in einem bestimmten Webex-Bereich zu erhalten.

7
Klicken Sie auf Speichern.

Bereitstellen von Benutzern aus Active Directory im Control Hub

Befolgen Sie diese Schritte, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (mit einer oder mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Onboardings von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind (z. B. Testkonten aus einer Testphase), beibehalten oder löschen möchten. Das Ziel besteht darin, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erreichen.

1
Führen Sie eine Probesynchronisierung Ihrer Active Directory-Benutzer durch

Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory und Objekte in der Webex-Cloud zu vergleichen. Mit einem Probelauf können Sie sehen, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung ausführen und die Änderungen in der Cloud festschreiben.

2
Führen Sie eine vollständige Synchronisierung von Active Directory-Benutzern in die Cloud durch

Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihren Active Directory (AD) in die Cloud. Anschließend aktualisiert der Connector-Dienst den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage zur automatischen Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.

3
Zuweisen von Webex-Diensten zu Verzeichnis-synchronisierten Benutzern im Control Hub

Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector zum Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen mithilfe verschiedener Methoden zuweisen. Wir empfehlen, dass Sie eine automatisch zugewiesene Lizenzvorlage einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben. Auch nach diesem ersten Schritt können Sie noch individuelle Änderungen vornehmen.

Führen Sie eine Probesynchronisierung Ihrer Active Directory-Benutzer durch

Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory und Objekte in der Webex-Cloud zu vergleichen. Mit einem Probelauf können Sie sehen, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung ausführen und die Änderungen in der Cloud festschreiben.

Während des Onboardings von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind (z. B. Testkonten aus einer Testphase), beibehalten oder löschen möchten. Das Ziel von Directory Connector besteht darin, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erreichen.

Wenn Sie mehrere Domänen in einer einzigen Gesamtstruktur oder mehreren Gesamtstrukturen haben, müssen Sie diesen Schritt für jede der Cisco Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.
Vorbereitungen

Möglicherweise haben Sie bereits einige Webex-App-Benutzer im Control Hub, bevor Sie Directory Connector verwendet haben. Unter den Benutzern in der Cloud können einige mit lokalen Active Directory-Objekten übereinstimmen und ihnen Lizenzen für Dienste zugewiesen werden. Bei einigen davon handelt es sich jedoch möglicherweise um Testbenutzer, die Sie für die Durchführung einer Synchronisierung löschen möchten. Sie müssen eine genaue Übereinstimmung zwischen Ihrem Active Directory und Control Hub erstellen.

1
Wählen Sie eine Option:

Klicken Sie nach der ersten Anmeldung in der Eingabeaufforderung auf Ja, um einen Probelauf durchzuführen.
Wenn Sie eine Erinnerung zur Durchführung eines Probelaufs verpassen, können Sie dies jederzeit im Directory Connector tun, indem Sie auf Dashboardklicken, Probelauf synchronisierenwählen und dann auf OK klicken, um eine Probelaufsynchronisierung zu starten.

Wenn der Probelauf abgeschlossen ist, wird eines der folgenden Ergebnisse angezeigt:

Nicht übereinstimmende Objekte im Verzeichniskonnektor erkannt

Zusammenfassung der Ergebnisse des Probelaufberichts und nicht übereinstimmende Objekte im Verzeichniskonnektor

Die Zusammenfassung enthält Informationen zum Objektabgleich:

Übereinstimmende Objekte - Ein Benutzer, der in Webex Common Identity ist und auch in der Active Directory-Domäne vorhanden ist, d. h. wenn someuser@cisco.com wurde mit Webex synchronisiert und im Control Hub angezeigt und derselbe Benutzer (someuser@cisco.com) ist im Active Directory vorhanden. Dies bedeutet, dass der Benutzer zugeordnet wurde.

Nicht übereinstimmende Objekte – Ein Benutzer, der sich in Webex befindet, unabhängig davon, wie der Benutzer in Common Identity hinzugefügt wurde, aber der Benutzer existiert nicht in Active Directory. Es wird als nicht übereinstimmendes Objekt bezeichnet. Wenn zum Beispiel someuser@cisco.com wurde in Webex synchronisiert und im Control Hub angezeigt, aber derselbe Benutzer (someuser@cisco.com) nicht von Active Directory verwaltet wird, zeigt der Bericht an, dass der Benutzer nicht zugeordnet ist.

Der Probelauf identifiziert die Benutzer, indem er sie mit den Domänenbenutzern vergleicht. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob die Objekte gelöscht oder beibehalten werden sollen. Es wird festgestellt, dass die nicht übereinstimmenden Objekte bereits in der Webex-Cloud vorhanden sind, jedoch nicht im lokalen Active Directory.

2
Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option aus, je nachdem, ob Sie eine einzelne Domäne oder mehrere Domänen verwenden:

Einzelne Domäne– Entscheiden Sie, ob Sie die nicht zugeordneten Benutzer behalten möchten. Wenn Sie sie behalten möchten, wählen Sie Nein, Objekte behalten; wenn nicht, wählen Sie Ja, Objekte löschen. Nachdem Sie diese Schritte ausgeführt und manuell eine vollständige Synchronisierung ausgeführt haben, sodass eine genaue Übereinstimmung zwischen den Räumlichkeiten und der Cloud besteht, aktiviert Directory Connector automatisch geplante automatische Synchronisierungsaufgaben.
Mehrere Domänen– Führen Sie für eine Organisation mit Domäne A und Domäne B zunächst einen Probelauf für Domäne A durch. Wenn Sie nicht zugeordnete Benutzer behalten möchten, wählen Sie Nein, Objekte beibehalten. (Diese nicht zugeordneten Benutzer könnten Mitglieder der Domäne B sein.) Wenn Sie löschen möchten, wählen Sie Ja, Objekte löschen.
Wenn Sie die Benutzer behalten, führen Sie zunächst eine vollständige Synchronisierung für Domäne A und dann einen Probelauf für Domäne B durch. Wenn weiterhin nicht übereinstimmende Benutzer vorhanden sind, fügen Sie diese Benutzer in Active Directory hinzu und führen Sie dann eine vollständige Synchronisierung für Domäne B durch. Wenn eine genaue Übereinstimmung zwischen den Räumlichkeiten und der Cloud besteht, aktiviert Directory Connector automatisch geplante automatische Synchronisierungsaufgaben.

3
Klicken Sie in der EingabeaufforderungProbelauf bestätigen [] auf Ja, um die Probelaufsynchronisierung zu wiederholen und das Dashboard anzuzeigen, um die Ergebnisse anzuzeigen.

Erfolgreich im Probelauf synchronisierte Konten werden unter Objects Matched angezeigt.

Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse im Active Directory hat, wird der Eintrag unter Gelöschte Benutzeraufgeführt. Um diese Löschungsmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen.

Klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched, um Details der synchronisierten Elemente anzuzeigen. Klicken Sie auf Ergebnisse in Datei speichern, um die Zusammenfassung zu speichern.

4
Wenn die Ergebnisse erwartet werden, gehen Sie zu Aktionen > Synchronisationsmodus > Synchronisierung aktivierenund klicken Sie dann auf Jetzt aktivieren, um eine manuelle Synchronisierung durchzuführen und an dieser Stelle in den manuellen Modus zu wechseln.

Nachdem Sie eine Synchronisierung der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte zwischen der Webex-Cloud und allen lokalen Active Directorys vollständig abgeglichen sind.

Nächste Schritte

Alle nicht übereinstimmenden Benutzerobjekte, die Sie beibehalten haben, müssen Sie zu Active Directory hinzufügen, damit eine genaue Übereinstimmung zwischen den lokalen und den Cloud-Umgebungen besteht.

Wählen Sie einen Synchronisierungstyp:

Führen Sie eine vollständige Synchronisierung der Active Directory-Benutzer mit der Cloud durch, wenn Sie neue Benutzer zum ersten Mal mit der Cloud synchronisieren. Sie tun dies von Aktionen > Jetzt synchronisieren > Vollständig, und dann werden Benutzer aus der aktuellen Domäne synchronisiert.

Legen Sie den Connector-Zeitplan fest und Führen Sie eine inkrementelle Synchronisierung aus, nachdem Sie eine vollständige Synchronisierung ausgeführt haben und wenn Sie Änderungen nach der ersten Synchronisierung übernehmen möchten. Diese Art der Synchronisierung wird empfohlen, um kleine Änderungen an der Active Directory-Benutzerquelle zu erfassen.

Standardmäßig erfolgt eine inkrementelle Synchronisierung alle 30 Minuten (bei Versionen 3.4 und früher) oder alle 4 Stunden (bei Versionen 3.5 und höher), aber Sie können diesen Wert ändern. Die inkrementelle Synchronisierung erfolgt erst, wenn Sie zunächst eine vollständige Synchronisierung durchführen.

Wenn Sie mehrere Domänen haben, wiederholen Sie diese Schritte für alle anderen von Ihnen installierten Directory Connectors.

Wichtige Hinweise

Führen Sie einen Probelauf aus, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann die Durchführung einer Active Directory-Synchronisierung dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Directory Connector-Trockenlaufberichte überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.

Wenn übereinstimmende Benutzer zum Löschen markiert sind und Sie nicht sicher sind, wie Sie vorgehen sollen, finden Sie unter Fehlerbehebung und Korrekturen für Directory ConnectorInformationen zur Fehlerbehebung und Kontaktaufnahme mit dem Support.

Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie dauerhaft gelöscht werden.

Führen Sie eine vollständige Synchronisierung von Active Directory-Benutzern in die Cloud durch

Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihren Active Directory (AD) in die Cloud. Anschließend aktualisiert der Connector-Dienst den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage zur automatischen Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.

Wenn Sie mehrere Domänen haben, müssen Sie diesen Schritt für jede der Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.

Directory Connector synchronisiert den Status des Benutzerkontos – In Active Directory werden alle als deaktiviert markierten Benutzer auch in der Cloud als inaktiv angezeigt.

Vorbereitungen

Wenn Sie möchten, dass die Benutzerkonten der Webex-App nach der vollständigen Synchronisierung und vor der ersten Anmeldung der Benutzer den Status „Aktiv“ haben, müssen Sie diese Schritte ausführen, um die E-Mail-Validierung zu umgehen:

Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Weitere Informationen finden Sie unter Single Sign-On mit Cisco Webex Services und dem Identitätsanbieter Ihrer Organisation.

Verwenden Sie Control Hub, um in den E-Mail-Adressen enthaltene Domänen zu überprüfen und optional zu beanspruchen. Siehe Domänen hinzufügen, überprüfen und beanspruchen.

Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer keine automatische E-Mail-Einladung zur Webex-App erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)

Aktivierte Benutzer, die sich nicht angemeldet haben, werden im Control Hub mit dem Status Verifiziert angezeigt. Nach der Anmeldung werden sie als Aktivangezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen inCisco Webex Control Hub.

Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um potenzielle Fehler festzustellen.

Sie müssen eine automatisch zugewiesene Lizenzvorlage einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben.

Wenn Sie keine automatisch zugewiesenen Lizenzvorlagen verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie können dieselben kostenlosen Funktionen nutzen wie Benutzer mit kostenlosen Konten.

1
Wählen Sie eine Option:

Wenn der Probelauf nach der ersten Anmeldung abgeschlossen ist und für alle Domänen korrekt aussieht, klicken Sie auf Jetzt aktivieren, um die automatische Synchronisierung zuzulassen.
Gehen Sie im Directory Connector zum Dashboard, klicken Sie auf Aktionenund wählen Sie Synchronisierungsmodus > Aktivieren Sie die Synchronisierungund klicken Sie dann auf Jetzt synchronisieren > Vollständig, um die Synchronisierung zu starten.

2
Gehen Sie im Directory Connector zu Synchronisieren, klicken Sie neben einer synchronisierten Domäne auf Mehr , klicken Sie auf Konfigurierenund wählen Sie dann Vollständige Synchronisierung.

3
Bestätigen Sie den Start der Synchronisierung.

Alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigenamen), werden im Control Hub sofort angezeigt, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch bis zu 72 Stunden nach der Synchronisierung angezeigt.

Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie diesen Anweisungen folgen: Windows oder Mac.

Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase.

Nach der Synchronisierung werden die Bereiche Letzte Synchronisierung und Cloud-Statistiken mit den neuen Informationen aktualisiert. Benutzerdaten werden mit der Cloud synchronisiert.

Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.

4
Klicken Sie auf Aktualisieren, wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistiken angezeigt.)

5
Um Informationen zu Fehlern zu erhalten, wählen Sie Ereignisanzeige starten aus der Symbolleiste Aktionen aus, um die Fehlerprotokolle anzuzeigen.

6
Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen mit der Cloud finden Sie unter Festlegen des Connector-Zeitplans und Ausführen einer inkrementellen Synchronisierung.

Nachdem die vollständige Synchronisierung abgeschlossen ist, wird der Status für die Verzeichnissynchronisierung auf der Seite Einstellungen im Control Hub von [ Deaktiviert auf Betriebsbereit [] aktualisiert.

Wenn alle Daten zwischen den lokalen und Cloud-Systemen abgeglichen sind, wechselt Directory Connector vom manuellen Modus in den automatischen Synchronisierungsmodus.

Sofern Sie nicht Single Sign-On integrieren, Domänen verifizieren und optional Domänen für die von Ihnen synchronisierten E-Mail-Konten beanspruchenund automatisierte E-Mails unterdrücken, verbleiben die Benutzerkonten der Webex-App im Status „Nicht verifiziert“, bis sich Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Hinweise zum Synchronisieren der Konten als aktive Benutzer finden Sie im Abschnitt „Bevor Sie beginnen“.

Wenn Sie mehrere Domänen haben, führen Sie diesen Schritt auf jedem anderen von Ihnen installierten Directory Connector aus. Nach der Synchronisierung werden die Benutzer aller von Ihnen hinzugefügten Domänen im Control Hub aufgelistet.

Wenn Sie Single Sign-On mit Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.

Sie können Benutzer in Control Hub nicht manuell hinzufügen, nachdem der Directory Connector aktiviert wurde. Nach der Aktivierung erfolgt die Benutzerverwaltung über den Cisco Directory Connector und Active Directory ist die einzige zuverlässige Quelle.

Alle Gruppen, die Sie synchronisiert haben, werden im Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass den Benutzern in dieser Gruppe Lizenzen zugewiesen werden.

Nächste Schritte

Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung vorläufig gelöscht. Der Benutzer wird Inactive, aber das Cloud-Identitätsprofil wird sieben Tage lang aufbewahrt (um eine Wiederherstellung nach versehentlichem Löschen zu ermöglichen).

Wenn Sie in Active Directory die Option Konto ist deaktiviert aktivieren, wird der Benutzer nach der nächsten Synchronisierung zu Inactive. Das Cloud-Identitätsprofil wird nach sieben Tagen nicht gelöscht, falls Sie den Benutzer erneut aktivieren möchten.

Beachten Sie diese Ausnahmen bei einer inkrementellen Synchronisierung (folgen Sie stattdessen den vollständigen Synchronisierungsschritten oben):

Im Falle eines aktualisierten Avatars, aber keiner anderen Attributänderung, wird der Avatar des Benutzers durch die inkrementelle Synchronisierung nicht in der Cloud aktualisiert.

Konfigurationsänderungen an Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.

Zuweisen von Webex-Diensten zu Verzeichnis-synchronisierten Benutzern im Control Hub

Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco Directory Connector in Control Hub abgeschlossen haben, können Sie Control Hub verwenden, um allen Ihren Benutzern gleichzeitig dieselben Webex-Dienstlizenzen zuzuweisen oder neuen Benutzern zusätzliche Lizenzen hinzuzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie einzelne Änderungen an den Benutzerkonten vornehmen.

Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Methoden in Control Hub verwenden, um Webex-Dienstlizenzen global allen Ihren Benutzern, einzelnen Benutzern, über die CSV-Massenvorlage oder automatisch neuen Benutzern zuzuweisen, wenn Sie bereits eine Vorlage für die automatische Lizenzzuweisung konfiguriert haben. Nach diesem ersten Schritt können Sie einzelne Änderungen an den Benutzerkonten vornehmen.

Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail zur Bestätigung der Zuweisung. Die E-Mail wird von einem Benachrichtigungsdienst im Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie diese automatischen E-Mail-Benachrichtigungen auch unterdrücken, wenn Sie Ihre Benutzer lieber direkt kontaktieren möchten.

Vorbereitungen

Sie müssen eine automatisch zugewiesene Lizenzvorlage einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben.

Führen Sie eine Probesynchronisierung Ihrer Active Directory-Benutzer durch.

Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung Ihrer Active Directory-Benutzer durch.

Zum Zeitpunkt der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine Standardmethode zur Benutzerverwaltung in Control Hub zuweisen, z. B. durch CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreiche automatische Zuweisung.

1

Gehen Sie in der Kundenansicht in https://admin.webex.comzu Verwaltung > Benutzer, klicken Sie auf Benutzer verwalten, wählen Sie Alle synchronisierten Benutzer ändernund klicken Sie dann auf Weiter.

2

Wählen Sie eine Option:

Servicelizenzen im Control Hub für einzelne Benutzer bearbeiten– Benutzer manuell ändern.
Benutzer im Control Hub mit der CSV-Vorlage ändern– Benutzer in großen Mengen ändern.

Nächste Schritte

Wenn E-Mails nicht unterdrückt werden, wird jedem Benutzer eine E-Mail mit einer Einladung zum Beitritt und Herunterladen von Webex gesendet.

Wenn Sie für alle Ihre Benutzer dieselben Webex-Dienste ausgewählt haben, können Sie die zugewiesenen Lizenzen anschließend einzeln oder in großen Mengen ändern.

Weitere Informationen
Möglichkeiten zum Hinzufügen und Verwalten von Benutzern in Ihrer Organisation

Bekannte Probleme mit Directory Connector

Bei Windows Server-Versionen vor 2012 R2 besteht ein Cookie-Problem, das sich auf Directory Connector auswirkt. Dieses Problem wurde in den Versionen 2012 R2 und 2016behoben.

Alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigenamen), werden in Control Hub sofort angezeigt, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Synchronisierung angezeigt.

Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie diesen Anweisungen folgen: Windows oder Mac.

Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über eine synchronisierte SIP-URI verfügt, klingelt der Anruf zu diesem Zeitpunkt unbegrenzt.

Verwalten von Webex-App-Benutzern

Durchführen einer inkrementellen Synchronisierung

Versehentlich gelöschte Benutzer wiederherstellen

Benutzer nach einem vorläufigen Löschen dauerhaft löschen

Ändern einer Webex-App-E-Mail-Adresse

Active Directory-Domäne ändern

Domänenanspruch

Konvertieren Sie kostenlose Webex-App-Benutzer in einer verzeichnissynchronisierten Organisation

Sideboarded Webex App-Benutzerkonten

Ändern des Benutzernamenformats der Webex-App nach der Verzeichnissynchronisierung

Benutzern erlauben, Anzeigenamen in Webex Meetings zu ändern

Durchführen einer inkrementellen Synchronisierung

Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Zu den Änderungen zählen Änderungen der Benutzerzuordnung sowie das Hinzufügen oder Löschen eines Benutzers.

Diese Synchronisierung belastet die Server nicht so stark und dauert nicht so lange wie eine vollständige Synchronisierung. Nachdem Sie Ihre erste vollständige Synchronisierung durchgeführt haben, empfehlen wir für nachfolgende Synchronisierungen die inkrementelle Option.

Vorbereitungen

Sie müssen eine automatisch zugewiesene Lizenzvorlage einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben.

Beachten Sie diese Ausnahmen, die bei der inkrementellen Synchronisierung nicht unterstützt werden (folgen Sie stattdessen Führen Sie eine vollständige Synchronisierung von Active Directory-Benutzern in die Cloud durch ):

Im Falle eines aktualisierten Avatars, aber keiner anderen Attributänderung, wird der Avatar des Benutzers durch die inkrementelle Synchronisierung nicht in der Cloud aktualisiert.

Bei neuen Konfigurationsänderungen an der Attributzuordnung, dem Basis-DN, dem Filter und der Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und diese erfordern eine vollständige Synchronisierung.

1
Klicken Sie in Directory Connector auf Dashboard.

Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen.

2
Klicken Sie unter Aktionenauf Synchronisierungsmodus > Aktivieren Sie die Synchronisierung, falls sie noch nicht aktiviert ist.

Standardmäßig erfolgt eine inkrementelle Synchronisierung alle 30 Minuten (bei Version 3.4 und früher) oder alle 4 Stunden (bei Version 3.5 und höher). Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, wenn Sie zunächst eine vollständige Synchronisierung durchführen. Wenn ein neues inkrementelles Zeitintervall abgelaufen ist, überprüft das Programm die Änderungen basierend auf dem letzten Zeitstempel.

3
Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell.

Alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigenamen), werden in Control Hub sofort angezeigt, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Synchronisierung angezeigt.

Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie diesen Anweisungen folgen: Windows oder Mac.

Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase.

Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistiken mit den neuen Informationen aktualisiert.

Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.

4
Um Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen [ auf [ Ereignisanzeige starten, um die Fehlerprotokolle anzuzeigen.

Nächste Schritte

Wenn Sie mehrere Domänen haben, führen Sie diesen Schritt auf anderen von Ihnen installierten Directory Connector-Instanzen aus.

Versehentlich gelöschte Benutzer wiederherstellen

Directory Connector verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Mithilfe der Funktion „Soft Delete“ können Sie diese Unfälle beheben und die Benutzerkonten im Control Hub wiederherstellen.

Standardmäßig ist diese Funktion für alle Organisationen aktiviert. Wenn Benutzer beispielsweise aufgrund eines Problems mit nicht übereinstimmenden Objekten nach einer Synchronisierung vom Directory Connector in der Cloud gelöscht werden, können die Benutzer wiederhergestellt werden. Wenn Sie einen Hinweis auf nicht übereinstimmende Objekte gesehen haben oder bemerkt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.

Benutzer werden im Control Hub als inaktiv markiert, wenn die entsprechenden Konten im Active Directory gelöscht werden. Der Cloud-Dienst im Hintergrund behält die Benutzer für bis zu 7 Tage. Während dieses Zeitraums können Sie Cisco Directory Connector weiterhin zum Wiederherstellen von Benutzern verwenden. Wir empfehlen Ihnen, diese Benutzer so schnell wie möglich wiederherzustellen.

Benutzer, die in Active Directory deaktiviert sind, werden auch in Control Hub als inaktiv markiert, das Benutzerkonto wird jedoch nach 7 Tagen nicht gelöscht.

1
Melden Sie sich bei Control Hub an.

2
Gehen Sie zu Benutzer und bestätigen Sie, ob ein bestimmtes Benutzerkonto inaktiv ist oder nicht aufgeführt ist.

Weitere Informationen finden Sie unter Benutzerstatus und Aktionen im Control Hub.

3
Wenn Benutzer im Control Hub gelöscht wurden oder Sie Benutzer in einem inaktiven Zustand bemerken, gehen Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie dann einen Probelauf zur Synchronisierung im Directory Connector durch.

Das Ziel von Directory Connector besteht darin, eine genaue Übereinstimmung zwischen den Benutzerinformationen im Active Directory und in der Cloud herzustellen.

4
Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten erneut mit Control Hub zu synchronisieren.

Die Benutzer werden wiederhergestellt und erhalten den ursprünglichen Status, einschließlich ihres Kontostatus und ihrer Dienstzuweisungen.

Nächste Schritte

Kehren Sie zum Control Hub zurück und gehen Sie zu Verwaltung > Benutzerund bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.

Benutzer nach einem vorläufigen Löschen dauerhaft löschen

Nach der Durchführung eines Probelaufs können Sie Benutzer, die bei der nächsten Synchronisierung vorläufig gelöscht wurden, dauerhaft löschen.

1
Wählen Sie nach Abschluss eines Probelaufs Soft-deleted Objectsaus.

2
Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten.

3
Wählen Sie Fertig aus.

Nächste Schritte

Bei der nächsten Synchronisierung werden die von Ihnen markierten Benutzer dauerhaft gelöscht.

Ändern einer Webex-App-E-Mail-Adresse

Wenn Sie die E-Mail-Adressen von Benutzern ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren beschreibt, wie Sie eine Webex-App-E-Mail-Adresse für eine einzelne Domäne ändern und wie Sie die Domäne ändern.

Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen mit derselben E-Mail-Adresse. Die Cloud interpretiert diese Aktion als neues Benutzerkonto und die Speicherplatz- und sonstigen Daten des Benutzers in der Cloud gehen verloren.

So ändern Sie die E-Mail-Adressen von Benutzern, ohne die Domäne zu ändern:

Öffnen Sie das Benutzerkonto (Beispiel, user1@example.com) in Active Directory und ändern Sie die E-Mail-Adresse (Beispiel, user2@example.com).

Setzen Sie die Synchronisierung auf dem Directory Connector fort.

Nach der nächsten Synchronisierung werden die Änderungen in Ihrer Benutzerliste im Control Hub und für Benutzer in der Webex-App angezeigt, nachdem der Cache aktualisiert wurde.

Bei dieser Methode gehen keine Daten oder Bereiche verloren. Nach der ersten Synchronisierung wird die eindeutige Kennung des Benutzers in der Cloud festgelegt. Alle nachfolgenden Synchronisierungen basieren auf dieser Kennung.

So ändern Sie in einer Bereitstellung mit mehreren Domänen mit Directory Connector die E-Mail-Adressen der Benutzer, während Sie die Domäne ändern (betrachten Sie example1.com als die alte Domäne und example2.com als die neue Domäne):

Für das alte Benutzerkonto (user1@example1.com), Beachten Sie das Active Directory-Attribut, das dem Cloud-Attribut uid zugeordnet ist. Sie müssen denselben Active Directory-Wert für das neue Konto verwenden. Für dieses Beispiel verwenden wir user1@example1.com als lokales Attribut, um es uid in der Cloud zuzuordnen.

Unterbrechen Sie die Synchronisierung im Directory Connector für die Domänen example1.com und example2.com.

Erstellen Sie ein neues Benutzerkonto in example2.com und verwenden Sie dasselbe Attribut wie oben. (Zum Beispiel, user1@example1.com).

Setzen Sie im Directory Connector die Synchronisierung für example2.com fort

Bevor Sie fortfahren, überprüfen Sie, ob die user1@example2.com Konto wird mit Control Hub synchronisiert. Wir empfehlen Ihnen, den Benutzer anzuweisen, die E-Mail-Änderung in der Webex-App zu überprüfen und sicherzustellen, dass alle Daten (Bereiche, Nachrichten, Meetings, Dateien usw.) erhalten bleiben.

Bei dieser Methode gehen weder Daten noch Speicherplatz verloren. Sie müssen jedoch im neuen Benutzerkonto sicherstellen, dass das Active Directory-Attribut, das dem Cloud-UID-Attribut zugeordnet ist, vom alten Benutzerkonto beibehalten wird. Wenn Sie den Active Directory-Wert ändern, behält das neue Konto die Daten des alten Kontos nicht bei.

Nachdem Sie die Änderung der E-Mail-Adresse überprüft haben und die Daten intakt sind, löschen Sie das alte Benutzerkonto auf example1.com und verwenden Sie dann Directory Connector, um die Synchronisierung für example1.com fortzusetzen.

An diesem Punkt können Sie die E-Mail-Adresse in der neuen Active Directory-Domäne sicher aktualisieren für user1@example2.com.

Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn der Benutzer jedoch erneut mit der Cloud synchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung in „Ausstehend“. Weitere Informationen finden Sie unter Verwalten Ihrer Domänen.

Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre E-Mail-Adressen in der Webex-App über die Seite mit den Kontoeinstellungenändern. Unter Ändern der E-Mail-Adresse für Ihr Konto finden Sie Schritte, die Benutzer zum Ändern ihrer E-Mails befolgen können.

Active Directory-Domäne ändern

Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie synchronisieren sich mit dem Identitätsdienst in der Cloud.

1
Richten Sie eine neue Active Directory (AD)-Domäne ein.

2
Deaktivieren Sie die Synchronisierung auf allen Ihren Konnektoren.

3
Deinstallieren Sie alle Ihre Konnektoren.

4
Öffnen Sie einen Fall, um die Domäne zu ändern.

Achten Sie bei der Fallübermittlung darauf, die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anzufordern.

Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall gelöst ist.

5
Nachdem der Fall behoben ist:

Installieren Sie den Directory Connector auf demselben Server wie dem mit der neuen Active Directory-Domäne.

Konfigurieren Sie den Directory Connector so, dass er auf die neue Active Directory-Domäne verweist.

Wenn im Control Hub ( https://admin.webex.com) bereits Benutzer vorhanden sind, stellen Sie sicher, dass Benutzer mit übereinstimmenden E-Mail-Adressen auch im Active Directory vorhanden sind. Wenn Ihre Organisation den Schalter softDelete in DirSync deaktiviert hat, besteht die Gefahr, dass E-Mail-Adressen von Benutzern gelöscht werden, die sich im Control Hub, aber nicht im Active Directory befinden.

Führen Sie vor der eigentlichen Synchronisierung einen Testlauf mit dem Directory Connector durch.

Domänenanspruch

Eine Domänenbeanspruchung erfolgt, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass alle Sideboard-Konten in der Organisation der zahlenden Kunden und nicht in der Organisation der kostenlosen Verbraucher erstellt werden. Sie können einen Domänenanspruch nur über einen Supportfall geltend machen (weitere Informationen finden Sie unter dem Link unten).

Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboard-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Ein eingeladener Benutzer kann einem Webex-App-Bereich nur hinzugefügt werden, indem er zuerst den Directory Connector verwendet, um das Konto im Control Hub bereitzustellen.

Weitere Informationen
Domänen verwalten

Konvertieren Sie kostenlose Webex-App-Benutzer in einer verzeichnissynchronisierten Organisation

Sie können im Webex-App-Verzeichnis nur eindeutige E-Mail-Adressen verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App angemeldet haben, besteht ihr Konto in der kostenlosen Verbraucherorganisation. Um Benutzer in dieser Organisation mithilfe von Directory Connector zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie Directory Connector aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.

Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.

Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung <email address> konnte nicht konvertiert werden angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.

Bei einigen beanspruchten Benutzern wird bei einem Probelauf möglicherweise das Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Deleted Object statt MismatchedObjectangezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.

Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle gelöscht, wenn Sie das nächste Mal mit der Cloud synchronisieren.

1
Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector.

2
Befolgen Sie das Verfahren Nicht lizenzierte Benutzer in Control Hub konvertieren, um den Benutzer von der kostenlosen Verbraucherorganisation in die Unternehmensorganisation zu konvertieren.

Dieser Schritt fügt den Benutzer zu Ihrer Organisation hinzu und das Konto wird im Control Hub angezeigt. Directory Connector macht Active Directory zur einzigen zuverlässigen Quelle für Benutzerkonten und das Ziel besteht darin, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erreichen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind.

3
Führen Sie auf dem Directory Connector eine Probesynchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden.

Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und die Konten nur in Control Hub liegen, berücksichtigt Directory Connector die Groß- und Kleinschreibung und löscht konvertierte Benutzer, die er mit nicht übereinstimmenden E-Mail-Adressen erkennt (z. B. user1@example.com Und User1@example.com).

Wenn konvertierte Benutzer gelöscht werden, verlieren sie alle ihre Webex-App-Bereiche.

4
Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren.

Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die Lizenzvorlage zur automatischen Zuweisung aktiviert und dann Directory Connector ohne Domänenüberprüfung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.

Sideboarded Webex App-Benutzerkonten

Wenn Sie einen anderen Benutzer zu einem Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („sideboarded“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.

Wenn Sie das Sideboard-Konto mithilfe des Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.

Ändern des Benutzernamenformats der Webex-App nach der Verzeichnissynchronisierung

Standardmäßig ordnet Directory Connector das Attribut „displayName“ in Active Directory dem Attribut „displayName“ in der Cloud zu.

Nach der Verzeichnissynchronisierung kann es passieren, dass Benutzernamen im Format <lastName, firstName> angezeigt werden.

Dieser Benutzername kann angezeigt werden, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud displayName zugeordnet ist, werden Namen im Control Hub im Format <lastName, firstName> angezeigt.

So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: Ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) in Cisco Cloud-Attributnamen displayName zu.

Alternativ können Sie das Attribut sn givenName auf displayNameabbilden. :

Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck auf displayNameabbilden möchten.

Geben Sie als Ausdruck beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) ein. Dadurch werden die beiden Attribute im Active Directory displayName in der Cloud zugeordnet.

Benutzern erlauben, Anzeigenamen in Webex Meetings zu ändern

Sie können die Synchronisierung des Attributs displayName mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern das Bearbeiten ihrer bevorzugten Anzeigenamen ermöglichen möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings anstelle ihres Vor- und Nachnamens angezeigt wird. Administratoren können den Anzeigenamen für einen Benutzer auch manuell im Control Hub ändern.

1
Klicken Sie im Directory Connector auf Konfigurationund wählen Sie dann Benutzerattributzuordnungaus.

2
Wählen Sie displayName unter Cisco Cloud Attribute Nameaus.

3
Wählen Sie Dieses Attribut nicht synchronisierenaus.

Nächste Schritte

Benutzer können jetzt ihre Anzeigenamen von ihrer Webex-Site aus bearbeiten.

Directory Connector – Problembehandlung

Upgrade auf die neueste Softwareversion

Konfigurieren von allgemeinen Einstellungen für Directory Connector

Connector-Richtlinie konfigurieren

Zeitplan für Connector festlegen

Szenarien mit mehreren Domänen

Domänenpriorität festlegen

Domäne wechseln

Verzeichnissynchronisierung deaktivieren

Benutzerattributzuordnung entfernen

Profilbilder verwalten

Deinstallieren und Deaktivieren des Directory Connectors

Führen Sie das Diagnosetool aus

Upgrade auf die neueste Softwareversion

Um die Konformität Ihrer Bereitstellung aufrechtzuerhalten und die neuesten Features, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie nicht auf die neueste verfügbare Version aktualisieren, können Probleme auftreten, beispielsweise dass Directory Connector nicht mehr richtig synchronisiert wird oder dass Sie eine Version verwenden, die die obligatorische TLS 1.2-Anforderungnicht unterstützt.

Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.

Obwohl Sie Connector-Softwareupdates manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen auszuführen, damit die App Ihre Upgrades automatisch verwaltet.

1
Klicken Sie entweder auf die Benachrichtigung in der Windows-Taskleiste oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Vorgang zu starten.

2
Befolgen Sie die Anweisungen, um das Upgrade durchzuführen.

3
Starten Sie den Connector neu und melden Sie sich mit Ihren Administratoranmeldeinformationen an.

4
Überprüfen Sie die Versionsnummer der Software unter Hilfe > Um.

Nächste Schritte

Für eine Neuinstallation von Directory Connector können Sie die ZIP-Datei herunterladen und dann den Installationsschritten in dieser Anleitung folgen.

Konfigurieren von allgemeinen Einstellungen für Directory Connector

Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, beispielsweise den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollebenen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.

1
Gehen Sie im Directory Connector zu Konfigurationund klicken Sie dann auf Allgemein.

2
Geben Sie den Connector-Namen in das Feld Connector-Name ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird.

3
Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf Infoeingestellt. Die verfügbaren Protokollstufen lauten folgendermaßen:

Info (Standard) – Zeigt Informationsmeldungen an, die den Fortschritt der Anwendung auf hoher Ebene hervorheben. Verwenden Sie diese Einstellung, wenn Sie nach allen vollständigen Synchronisierungen Berichte erhalten möchten.

Warnen– Zeigt potenziell gefährliche Situationen an.

Debug– Zeigt detaillierte Informationsereignisse an, die zum Debuggen einer Anwendung am nützlichsten sind. Wenn Sie ein Problem feststellen, legen Sie diese Protokollebene fest und senden Sie das Ereignisprotokoll an den Support, wenn Sie einen Fall erstellen.

Fehler– Zeigt Fehlerereignisse an, die möglicherweise dennoch eine weitere Ausführung der Anwendung ermöglichen. Wenn Sie diese Option wählen, werden Synchronisierungsberichte nur gesendet, wenn Fehler gemeldet werden.

Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf „Fehler“ setzen, werden im Synchronisierungsbericht nur Fehler gemeldet. Wenn keine Fehler vorliegen, wird der Synchronisierungsbericht nicht versendet. Ändern Sie die Einstellung auf „Info“, dann erhalten Sie nach der vollständigen Synchronisierung Synchronisierungsberichte. (Denken Sie daran, dass bei der inkrementellen Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.)

4
Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen.

Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen.

5
Aktivieren Sie Automatisch auf die neue Cisco Directory Connector-Version aktualisieren, wenn automatische Aktualisierungen erfolgen sollen.

Es ist immer wichtig, Ihre Cisco Directory Connector-Software auf dem neuesten Stand zu halten. Wir empfehlen, diese Einstellung zu aktivieren, um die automatische Installation von Software-Upgrades im Hintergrund zu ermöglichen, wenn diese verfügbar sind.

6
Aktivieren Sie LDAP über SSL, um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden.

Wenn Sie LDAP über SSLnicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll.

LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle, die zwischen einer Anwendung und dem Domänencontroller innerhalb der Infrastruktur verwendet werden. Die LDAPS-Kommunikation ist verschlüsselt und sicher.

Connector-Richtlinie konfigurieren

Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.

Beispielsweise legen Sie 1 als Auslösewert für den Löschschwellenwert fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.

1
Klicken Sie im Directory Connector auf Konfigurationund wählen Sie dann Richtlinieaus.

2
Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten.

Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.

3
Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20.

Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen.

4
Klicken Sie auf Übernehmen.

Legen Sie den Connector-Zeitplan fest

Legen Sie den Synchronisierungszeitpunkt im Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.

1
Klicken Sie im Directory Connector auf Konfigurationund wählen Sie dann Zeitplanaus.

2
Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an.

Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben.

3
Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden.

4
Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll.

5
Geben Sie einen Wert für Failover-Intervall in Minuten an.

6
Klicken Sie auf Übernehmen.

Szenarien mit mehreren Domänen

Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.

Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.

Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.

Beispielanwendungen für mehrere Domänen

Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.

Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.

Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.

Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.

Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.

Synchronisierung auf example1.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.

User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.

Synchronisierung für example1.com und example2.com

Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.

Stellen Sie sich das folgende Szenario vor:

Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.

Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne

Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.

Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.

Domänenpriorität festlegen

Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.

Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.

Vorbereitungen

Um Fehler zu vermeiden, installieren Sie die neueste Version des Cisco Directory Connectors oder führen Sie ein Upgrade auf diese aus. Sie steht unter https://admin.webex.com zum Download bereit.

1
Klicken Sie im Cisco Directory Connector auf Dashboard.

2
Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen.

3
Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern.

Die Domänen werden in absteigender Reihenfolge sortiert.

Domäne wechseln

Verwenden Sie dieses Verfahren, um den Cisco-Verzeichnisconnector erneut an eine andere Domäne zu binden.

Vorbereitungen

Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.

Um Fehler zu vermeiden, installieren Sie die neueste Version des Cisco Directory Connectors oder führen Sie ein Upgrade auf diese aus. Sie müssen es von Control Hubherunterladen.

1
Klicken Sie im Cisco Directory Connector auf Dashboard.

2
Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln.

3
Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja.

Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco-Verzeichniskonnektor abgemeldet, die Registrierung anderer Domänen im Konnektor wird abgemeldet und die Konnektorinformationen auf diesem Computer werden gelöscht.

4
Melden Sie sich erneut beim Cisco-Verzeichnisconnector an und binden Sie die Domäne erneut.

Verzeichnissynchronisierung deaktivieren

Wenn Sie die Synchronisierung vom Directory Connector stoppen müssen, können Sie sie vorübergehend vom Control Hub aus deaktivieren.

1
Gehen Sie in der Kundenansicht in https://admin.webex.comzu Verwaltung > Organisationseinstellungen, scrollen Sie zu Verzeichnissynchronisierungund wählen Sie dann eine Option aus:

Klicken Sie auf „Mehr “ und dann neben der Connector-Instanz, die Sie deaktivieren möchten, auf „ Ausschalten “ .
Klicken Sie auf Alle Verzeichnissynchronisierungen deaktivieren, um die Synchronisierung von allen Connector-Instanzen zu beenden.

2
Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten.

Die Synchronisierung wird gestoppt, bis Sie sie über Directory Connector erneut aktivieren.

Benutzerattributzuordnung entfernen

Verwenden Sie Directory Connector, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.

1
Klicken Sie in Directory Connector auf Dashboard.

2
Gehen Sie zu Aktionenund klicken Sie dann auf Dienstprogramme > Benutzerattributzuordnung entfernen.

3
Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus.

4
Wählen Sie unter Betroffener Benutzerbereicheine der folgenden Optionen aus:

Nur mit Directory Connector synchronisierte Benutzer: die Zuordnung wird nur von Benutzern entfernt, die Directory Connector zuvor synchronisiert hat.
Alle Nutzer: die Zuordnung wird von allen Active Directory-Benutzern entfernt.

5
Klicken Sie auf Übernehmen.

Profilbilder verwalten

Verwenden Sie Directory Connector, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.

1
Klicken Sie in Directory Connector auf Dashboard.

2
Gehen Sie zu Aktionenund klicken Sie dann auf Dienstprogramme > Profilbilder verwalten.

3
Wählen Sie unter Aktioneneine der folgenden Optionen aus:

Profilbilder für leere Avatarquellen entfernen: Wenn das Active Directory-Profilbild leer ist, stellt diese Option sicher, dass die Benutzerprofilbilder aus der Cloud entfernt werden, auch wenn der Benutzer zuvor sein eigenes Bild in Webex hochgeladen hat.
Erneutes Hochladen von der synchronisierten Quelle, um zwischengespeicherte Bilder zu überschreiben: Directory Connector verwendet dasselbe Active Directory wie zuvor, um die Profilbilder für alle Benutzer zu aktualisieren. Dadurch wird sichergestellt, dass es keine Diskrepanz zwischen den Profilbildern im Active Directory und in der Cloud gibt.

4
Klicken Sie auf Übernehmen.

Deinstallieren und Deaktivieren des Directory Connectors

Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:

Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.

Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.

Sie möchten die Domäne ändern und einen anderen Connector installieren.

Vorbereitungen

Sie haben möglicherweise mehrere Instanzen von Directory Connector für hohe Verfügbarkeit (HA) oder die Synchronisierung mehrerer Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.

Speichern und schließen Sie alle wichtigen Arbeiten ab, bevor Sie Directory Connector deinstallieren.

1
Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen.

2
Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallierenund folgen Sie dann den Anweisungen.

Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen.

3
Gehen Sie in der Kundenansicht in https://admin.webex.comzu Verwaltung > Organisationseinstellungen, scrollen Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr und dann neben der Verzeichniskonnektorinstanz, die Sie deinstallieren möchten, auf Deaktivieren.

4
Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren.

Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung.

Führen Sie das Diagnosetool aus

Sie können das integrierte Diagnosetool zur Fehlerbehebung bei der Bereitstellung Ihres Directory Connectors verwenden. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.

Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.

So führen Sie Tests für Active Directory-Domänendienste aus:

Gehen Sie zum Startmenü, suchen Sie nach Cisco Directory Connectorund klicken Sie auf Cisco Directory - Diagnostic. Klicken Sie auf die Registerkarte AD-DS, geben Sie Ihre Domäne ein und klicken Sie dann auf Domänencontroller laden.

Wählen Sie einen Domänencontroller aus der Liste.

Ändern Sie den Eintrag später nicht, da die inkrementelle Suche immer auf demselben Domänencontroller ausgeführt werden muss.

Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.

Konfigurieren Sie im Abschnitt Active Directory-Abfragen weitere Filter, z. B. entweder Benutzer und/oder Gruppen -Objekte und Suchfilter.

Aktivieren Sie Cookie automatisch ausfüllen, um automatisch ein Cookie für eine Suche zu generieren.

Klicken Sie auf Abfrage, um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.

Wenn der Test abgeschlossen ist, klicken Sie auf Speichern, um einen Protokolleintrag zu speichern, den Sie beim Öffnen eines Tickets zur Analyse an das Support-Team senden können.

So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:

Gehen Sie zum Startmenü, suchen Sie nach Cisco Directory Connectorund klicken Sie auf Cisco Directory - Diagnostic. Klicken Sie auf die Registerkarte AD-LDS, geben Sie Ihren Host und Portein und klicken Sie dann auf Partitionen laden.

Wählen Sie eine Partition aus der Liste und klicken Sie dann auf Verbinden.

Standardmäßig werden alle Pfade durchsucht, Sie können jedoch ein Attribut auswählen und dann auf Test klicken, um diesen Wert zu überprüfen.

Konfigurieren Sie im Abschnitt Active Directory-Abfragen weitere Filter, wie z. B. Benutzer, UserProxyund UserProxyFull sowie Suchfilter.

Aktivieren Sie Cookie automatisch ausfüllen, um automatisch ein Cookie für eine Suche zu generieren.

Klicken Sie auf Abfrage, um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.

Wenn der Test abgeschlossen ist, klicken Sie auf Speichern, um einen Protokolleintrag zu speichern, den Sie beim Öffnen eines Tickets zur Analyse an das Support-Team senden können.

So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:

Gehen Sie zum Startmenü, suchen Sie nach Cisco Directory Connectorund klicken Sie auf Cisco Directory - Diagnostic. Klicken Sie auf die Registerkarte LDAP RAW, geben Sie Ihren Stammpfadund Filterein, wählen Sie einen Eintrag aus den Attributen aus und klicken Sie dann auf Partitionen laden.

Aktivieren Sie bei Bedarf die folgenden Optionen:

ObjectSecurity— Ist diese Option vorhanden, benötigt der Anrufer keine Rechte und kann nur Objekte und Attribute sehen, auf die der Anrufer Zugriff hat. Wenn diese Option nicht vorhanden ist, hat der Anrufer das Recht, Änderungen zu replizieren.

ParentsFirst— Stellt sicher, dass alle Eltern der Kinder vor ihren Kindern kommen.

Wählen Sie einen Wert für ExtendedDN.

Dieser Wert wird bei einer erweiterten LDAP-Suche verwendet, um eine erweiterte Form des Distinguished Name des Objekts anzufordern.

Wählen Sie einen Wert für ReferralChasing.

Eine Verweisverfolgung wird eingeleitet, wenn ein Domänencontroller einen Verweis aus einer Abfrage zurückgibt, beispielsweise für Details eines Abfrageergebnisses, das möglicherweise außerhalb des Namespace liegt (wie Gruppenmitglieder in einer anderen Domäne oder Gesamtstruktur).

Klicken Sie auf Abfrage, um eine neue inkrementelle oder vollständige Suche zu starten. Diese Suche kann einige Sekunden dauern.

Wenn der Test abgeschlossen ist, klicken Sie auf Speichern, um einen Protokolleintrag zu speichern, den Sie beim Öffnen eines Tickets zur Analyse an das Support-Team senden können.

Beheben von Problemen im Ciso Directory Connector

Fehlerbehebung und Fehlerbehebungen für Directory Connector

Installieren

Directory Connector funktioniert nicht mehr

Neuinstallationsfehler

Anmelden

Directory Connector stürzt während der SSO-Anmeldung ab

Cisco DirSync Service Connector konnte nicht registriert werden

Es wird keine Anmeldeseite angezeigt

Anmeldeaufforderung wird angezeigt

Verbindung zum Remote-Server nicht möglich

Der Connector kann nicht registriert werden

Synchronisierung

Avatare nicht synchronisiert

Konflikte zwischen Benutzer-E-Mail-Konten

Konvertierter Benutzer als inaktiv markiert

Inkrementelle Synchronisierung schlägt fehl

Ungültiger Wert für Attribut

Zu löschende übereinstimmende Benutzer

Fehlendes Attribut

Verschachtelte Gruppe wird nicht synchronisiert

Benutzerbenennungskonflikt

Control Hub

Benutzerliste fehlt im Control Hub

Gruppen werden nicht mit Control Hub synchronisiert

Problembehandlung für den Directory Connector aktivieren

Starten der Ereignisanzeige

Aktivieren Sie TLS im Internet Explorer

Anmeldeprobleme für Dienstkonten beheben

Überprüfen Sie SafeDllSearchMode in der Windows-Registrierung

Fehlerbehebung und Fehlerbehebungen für Directory Connector

Möglicherweise tritt im Directory Connector eine Fehlermeldung oder ein anderes Problem auf. Nachdem Directory Connector die Benutzerinformationen synchronisiert hat, sendet Ihnen der Connector möglicherweise einen E-Mail-Bericht, in dem alle Probleme mit der Synchronisierung aufgelistet sind. In den folgenden Abschnitten finden Sie Informationen zu möglicherweise auftretenden Problemen, möglichen Ursachen und Lösungsvorschlägen, die Sie ausprobieren können, bevor Sie sich an den Support wenden.

Installieren
Directory Connector funktioniert nicht mehr

Sie haben Warn-E-Mails erhalten, die Sie darüber informieren, dass Ihr Directory Connector nicht funktioniert.

Directory Connector ist möglicherweise nicht richtig installiert.

Directory Connector wird möglicherweise nicht ausgeführt.

Das Netzwerk ist möglicherweise nicht verfügbar.

Gehen Sie wie folgt vor:

Öffnen Sie Systemsteuerung > Programme und Funktionen. Suchen Sie nach Directory Connector. Wenn es dort nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.

Öffnen Sie Service und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status als Gestartetangezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.

Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, Zugriff auf das Internet hat.

Neuinstallationsfehler

Problem– Wenn Sie nach der Deinstallation eines alten Connectors sofort einen neuen Connector installieren, wird möglicherweise eine Fehlermeldung angezeigt.

Mögliche Ursache– Unter Windows Server 2012 benötigt der Deinstallationsclient Zeit, um das Dienstkonto aus der Dienstliste zu löschen.

Lösung– Versuchen Sie die Installation nach einiger Zeit erneut.

Anmelden
Directory Connector stürzt während der SSO-Anmeldung ab

Problem

Directory Connector stürzt möglicherweise ab, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.

Lösung

Versuchen Sie Folgendes:

Führen Sie diese Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:

Gehen Sie zum Domänencontroller und öffnen Sie die Gruppenrichtlinienverwaltung (gpedit.msc).

Klicken Sie mit der rechten Maustaste auf eine bestimmte Organisationseinheit oder Domäne und wählen Sie Ein Gruppenrichtlinienobjekt in dieser Domäne erstellenund Hier verknüpfen…

Geben Sie der Richtlinie einen Namen, klicken Sie mit der rechten Maustaste und wählen Sie Bearbeiten.

Führen Sie die folgenden Schritte aus, um die Richtlinie auf Computerebene zu ändern:

Gehe zu Computerkonfiguration > Einstellungen > Windows-Einstellungen, Rechtsklick auf Registrierung, wählen Sie Neuund dann Registrierungselement.

Geben Sie für SchlüsselpfadHKEY_LOCAL_ein oder navigieren Sie zu diesem Pfad. MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.

Geben Sie Disable Script Debugger für Wertein und geben Sie no für Wertdatenein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Führen Sie diese Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:

Gehe zu Computerkonfiguration > Einstellungen > Windows-Einstellungen, Rechtsklick auf Registrierung, wählen Sie Neuund dann Registrierungselement.

Geben Sie für SchlüsselpfadHKEY_CURRENT_ein oder navigieren Sie dorthin. USER\SOFTWARE\Microsoft\Internet Explorer\Main.

Geben Sie Disable Script Debugger für Wertein und geben Sie no für Wertdatenein.

Die Einstellungen sollten mit diesem Screenshot übereinstimmen:

Die Änderungen werden wirksam, nachdem Sie gpupdate /forceausgeführt haben, die Maschine neu gestartet wurde (bei Maschinenänderungen) oder sich der Benutzer erneut anmeldet (bei Benutzeränderungen).

Cisco DirSync Service Connector konnte nicht registriert werden

Problem

Die Anmeldung schlägt fehl und diese Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“

Lösung

Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.

Es wird keine Anmeldeseite angezeigt

Problem

Sie haben Directory Connector geöffnet und die Anmeldeseite wurde nicht angezeigt.

Lösung

Versuchen Sie die folgenden Schritte:

Gehen Sie im Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Probieren Sie den Link in anderen Browsern wie Chrome und Firefox aus.

Wenn der Internet Explorer den Link nicht aufrufen kann, andere Browser jedoch schon, überprüfen Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren.)

Anmeldeaufforderung wird angezeigt

Problem

Es wird eine Eingabeaufforderung angezeigt, in der Sie zur Authentifizierung den Benutzernamen und das Kennwort eingeben müssen.

Mögliche Ursache

Der Directory Connector führt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto durch. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung gefragt werden.

Lösung

Wenn das Popup-Fenster zur Anmeldung angezeigt wird, müssen Sie ein gültiges Konto mit korrekter Authentifizierung angeben, um die Sicherheitsprüfung zu bestehen.

Verbindung zum Remote-Server nicht möglich

Problem

Im Normalbetrieb erscheint die Fehlermeldung: „Verbindung zum Remote-Server nicht möglich.“

Mögliche Ursache

Möglicherweise liegen Proxy-Probleme vor, die gelöst werden müssen.

Lösung

Weitere Informationen zur Fehlerbehebung finden Sie unter Beheben von Problemen bei der Anmeldung beim Dienstkonto.

Der Connector kann nicht registriert werden

Problem

Sie sehen die Fehlermeldung „Der Connector konnte nicht registriert werden. Es ist eine allgemeine Ausnahme aufgetreten."

Mögliche Ursache

In den meisten Fällen liegt das Problem darin, dass der Directory Connector nicht über die Berechtigung verfügt, eine Verbindung zum LDAP-Stammkontext herzustellen.

Lösung

Versuchen Sie Folgendes:

Führen Sie eine Eingabeaufforderung (cmd) aus und geben Sie dann ldp.exeein.

Klicken Sie auf Verbindung > Binden, wählen Sie Als aktuell angemeldeter Benutzer bindenund klicken Sie dann auf OK.

Klicken Sie auf Anzeigen > Baum, geben Sie ein DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.

Wenn das Problem weiterhin besteht, eröffnen Sie einen Fall beim Support.

Synchronisierung
Avatare nicht synchronisiert

Problem

Der Cisco Directory Connector synchronisierte Benutzer-AD-Daten mit der Webex-Cloud. Es wurden jedoch keine Avatardaten erfolgreich synchronisiert.

Mögliche Ursache

Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzeravatare bereits synchronisiert wurden, erfasst der lokale Cache sie und vermeidet ein erneutes Senden, um Bandbreite zu sparen.

Lösung

Löschen Sie den lokalen Cache, indem Sie die folgenden Schritte ausführen:

Gehe zu C:\Program Dateien (x86)\Cisco Systems\Cisco Verzeichnis Connector\Plugins\

Löschen Sie DirSyncPluginAvatar.dll-cache.bin.

Führen Sie die Avatar-Synchronisierung vom Cisco-Verzeichnisconnector erneut aus.

Konflikte zwischen Benutzer-E-Mail-Konten

Problem

Die Synchronisierungsergebnisse zeigen möglicherweise Konflikte zwischen den E-Mail-Konten der Benutzer.

Wenn Benutzer die kostenlose Version der Webex-App ausprobiert haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.

Ob Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.

Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.

Lösung

Versuchen Sie Folgendes:

Führen Sie die folgenden Schritte aus, wenn Sie versuchen, Benutzer zu beanspruchen:

Stellen Sie sicher, dass Sie die Domäne im Control Hubverifiziert haben.

Deaktivieren Sie Cisco Directory Connector vorübergehend.

Verwenden Sie die Option „Benutzer beanspruchen“ im Control Hub, um alle Konten zu beanspruchen, die möglicherweise in der kostenlosen Verbraucherorganisation vorhanden sind. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren).

Führen Sie einen Probelauf im Cisco Directory Connector durch und aktivieren Sie anschließend die Verzeichnissynchronisierung erneut.

Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen noch einmal.

Konvertierter Benutzer als inaktiv markiert

Problem

Sie haben in Ihrer Umgebung mit Verzeichnissynchronisierung einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.

Mögliche Ursache

Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer aus Sicherheitsgründen 30 Tage lang als inaktiv markiert. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des 30-tägigen Zeitraums zur Löschung markiert. Diese Situation entsteht, weil die kostenlosen Benutzerinformationen nicht im Active Directory vorhanden sind.

Lösung

Wenn Sie nicht möchten, dass das Benutzerkonto gelöscht wird, müssen Sie aktiv werden. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie dann eine Synchronisierung vom Cisco Directory Connector aus durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.

Inkrementelle Synchronisierung schlägt fehl

Problem

Eine inkrementelle Synchronisierung schlägt fehl.

Dieses Problem kann unter Windows Server 2008 R2 unter den folgenden Bedingungen auftreten:

Sie unterstützen inkrementelle Wertaktualisierungen.

Der von Ihnen verwendete Filter verweist auf ein verknüpftes Wertattribut.

Die Ergebniswerte dieses Attributs wurden seit der letzten vollständigen Synchronisierung aktualisiert.

Lösung

Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und höher behoben. Wir empfehlen Ihnen, Ihren Windows Server mindestens auf 2012 R2 zu aktualisieren.

Ungültiger Wert für Attribut

Problem

Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].

Mögliche Ursache

Für CN=b,OU=Employees,OU=C Users,DC=c,DC=com, das Attribut [telephone number] hat den folgenden ungültigen Wert: +. Dieses Attribut muss mindestens eine Ziffer enthalten.

Lösung

Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.

Zu löschende übereinstimmende Benutzer

Problem

Die übereinstimmenden Benutzer werden zum Löschen markiert.

Wenn Sie eine Probesynchronisierung durchführen, um die Daten zwischen Active Directory und der Cloud zu überprüfen, sehen Sie möglicherweise in beiden die gleiche E-Mail-Adresse. Der Benutzer wird jedoch als zu löschendes Objekt markiert.

Lösung

Wählen Sie eine geeignete Lösung:

Wenn Sie den Benutzer löschen und die Lizenzen anschließend neu erstellen möchten, können Sie Directory Connector zur Behebung des Problems verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.

Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, eröffnen Sie einen Fall beim Support.

Fehlendes Attribut

Problem

Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (ausgezeichnet name)]. Der Eintrag wird im Control Hub erst erstellt, wenn alle erforderlichen Attribute einen Wert haben.

Mögliche Ursache

Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], Der Eintrag wird im Control Hub erst erstellt, wenn alle erforderlichen Attribute einen Wert haben.

Lösung

Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.

Verschachtelte Gruppe wird nicht synchronisiert

Problem

Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.

Mögliche Ursache

Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe umfasst, was nicht unterstützt wird. Beispiel: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)

Lösung

Sie müssen den Filter neu konfigurieren, der Gruppen synchronisiert. Beispiel: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)

Benutzerbenennungskonflikt

Problem

Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [user E-Mail address], und vom Benutzertyp [user_type].

Mögliche Ursache

Ein Benutzer mit dieser E-Mail-Adresse ist bereits im Control Hub vorhanden.

Lösung

Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.

Control Hub
Benutzerliste fehlt im Control Hub

Problem

Wenn Sie eine Webex-Organisation mit mehr als 1.000 synchronisierten Benutzern haben, wird die Benutzerliste möglicherweise nicht im Control Hub angezeigt.

Lösung

Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Gehen Sie im Control Hub zu Benutzer, klicken Sie auf Suchen und geben Sie dann Suchkriterien ein, um einen bestimmten Benutzer zu finden.

Gruppen werden nicht mit Control Hub synchronisiert

Problem

Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.

Mögliche Ursache

Die Gruppe ist im Active Directory nicht als isCriticalSystemObject gekennzeichnet.

Lösung

Stellen Sie sicher, dass das Attribut isCriticalSystemObject im Active Directory auf TRUE gesetzt ist.

Problembehandlung für den Directory Connector aktivieren

Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.

Die Protokolldateien, die : \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1
Führen Sie die Datei services.msc aus, um das laufende Konto für den Directory Connector-Dienst vom lokalen System in ein Domänenkonto zu ändern, das über Berechtigungen für den Zugriff auf Ihr AD DS oder AD LDS verfügt.

2
Starten Sie den Dienst neu.

Weitere Informationen finden Sie unter Starten von Diensten.

3
Klicken Sie im Directory Connector auf Dashboard.

4
Gehen Sie zu Aktionenund klicken Sie dann auf Dienstprogramme > Fehlerbehebung.

5
Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können.

6
Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt.

Der Protokollordner speichert nur Dateien der letzten 3 Tage. Der Inhalt der Protokolldateien stimmt mit der Ereignisprotokollausgabe an das System überein.

7
Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten.

8
Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind.

Weitere Informationen
Support kontaktieren

Starten der Ereignisanzeige

Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es zeigt eine Zusammenfassung der Verwaltungsereignisse und Fehlerprotokolle an.

1
Gehen Sie im Directory Connector zu Dashboardund klicken Sie dann auf Aktion > Ereignisanzeige starten.

Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails.

2
Gehen Sie in der Ereignisanzeige zu Anwendungs- und Dienstprotokolle > Cisco Verzeichniskonnektor.

3
Klicken Sie unter Aktionenauf Alle Ereignisse speichern unter, um alle Protokolle als eine einzige Ereignisdatei zu exportieren. (*.evtx) oder ein anderes Format wie XML oder CSV.

Nächste Schritte

Wenn Sie einen Fall eröffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und hängen Sie dann die Ereignisdatei an Ihren Fall an.

In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Um Hilfe bei der Verwaltung des Netzwerkverkehrs zu erhalten, aktivieren Sie die Fehlerbehebung auf dem Connector.

Aktivieren Sie TLS im Internet Explorer

Wenn Sie den Single Sign-On (SSO)-Anbieter gewechselt haben, werden Ihnen möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:

Beim Anmelden am Dienst ist ein Fehler aufgetreten

Im Skript auf dieser Seite ist ein Fehler aufgetreten

Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.

1
Öffnen Sie den Internet Explorer und wählen Sie dann Extras. Aktivieren Sie nun die Kontrollkästchen für TLS/SSL Version, die Sie aktivieren möchten Klicken Sie auf OK Schließen Sie den Browser und öffnen Sie ihn erneut

2
Klicken Sie auf Internetoptionen, gehen Sie zu Erweitert und scrollen Sie zu Sicherheit.

3
Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden und klicken Sie dann auf OK.

4
Starten Sie Ihr System neu, damit die Änderungen wirksam werden.

Anmeldeprobleme für Dienstkonten beheben

Wenn Sie sich nicht beim Cisco Directory Connector anmelden oder keine Synchronisierung ausführen können, versuchen Sie mit diesen Schritten, das Problem zu beheben, bevor Sie sich an den Support wenden.

1
Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen.

2
Wählen Sie je nach den Ergebnissen eine Option:

Wenn Sie den Link nicht über Ihren Browser aufrufen können, überprüfen Sie Ihre Netzwerkeinstellungen. Wenn Sie in Ihrer Umgebung einen Proxy verwenden, überprüfen Sie die Proxy-Einstellungen.
Wenn Sie den Link von Ihrem Browser aus aufrufen können, aber den Cisco Directory Connector nicht öffnen können (Connector kann nicht geöffnet werden und es wird die Fehlermeldung 407 angezeigt), klicken Sie hier, um die neueste Version des Cisco Directory Connectors zu erhalten.
Wenn Sie den Link von Ihrem Browser aus aufrufen können, aber keine Synchronisierung vom Cisco-Verzeichniskonnektor aus ausführen können, ändern Sie das Service-Anmeldekonto in Domänenadministrator.

Überprüfen Sie, ob das Konto, mit dem Sie sich beim Windows-System angemeldet haben, dasselbe Konto ist, das Sie im „Cisco DirSync Service“ festgelegt haben. Wenn es sich um zwei verschiedene Konten handelt, stellen Sie sicher, dass beide Konten https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBALbesuchen können. Wenn Ihre Umgebung einen Proxy verwendet, stellen Sie sicher, dass beide Konten im Internet Explorer für den Proxy konfiguriert sind und https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL erfolgreich besuchen können.

3
Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (zu finden in den Windows-Diensten) über eine Berechtigungsstufe verfügt, die den Zugriff auf Avatar- und AD-Daten ermöglicht. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung des Windows-Kontos.

Weitere Informationen
Kontaktieren Sie unseren Support,

Überprüfen Sie SafeDllSearchMode in der Windows-Registrierung

Der sichere Suchmodus für Dynamic Link Librarys (DLLs) ist standardmäßig in der Windows-Registrierung festgelegt und platziert das aktuelle Verzeichnis des Benutzers weiter hinten in der DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert wäre, könnte ein Angreifer eine schädliche DLL (mit demselben Namen wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) in das aktuelle Arbeitsverzeichnis der Anwendung platzieren.

Normalerweise ist SafeDllSearchMode aktiviert, verwenden Sie jedoch dieses Verfahren, um die Registrierungseinstellungen noch einmal zu überprüfen.

Vorbereitungen

Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, vor der Ausführung dieser Schritte eine Sicherungskopie Ihrer Registrierung zu erstellen.

1
Geben Sie in der Windows-Suche oder im Ausführen-Fenster regedit ein und drücken Sie dann die Eingabetaste.

2
Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

3
Wählen Sie eine Option:

SafeDllSearchMode ist nicht aufgeführt– Es sind keine weiteren Maßnahmen erforderlich.
SafeDllSearchMode ist aufgeführt– Stellen Sie sicher, dass der Wert auf 1eingestellt ist.

Weitere Informationen finden Sie unter Dynamic Link Library-Suchreihenfolge.

1	Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen.
2	Klicken Sie unter Aktionenauf Synchronisierungsmodus > Aktivieren Sie die Synchronisierung, falls sie noch nicht aktiviert ist. Standardmäßig erfolgt eine inkrementelle Synchronisierung alle 30 Minuten (bei Version 3.4 und früher) oder alle 4 Stunden (bei Version 3.5 und höher). Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, wenn Sie zunächst eine vollständige Synchronisierung durchführen. Wenn ein neues inkrementelles Zeitintervall abgelaufen ist, überprüft das Programm die Änderungen basierend auf dem letzten Zeitstempel.
3	Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigenamen), werden in Control Hub sofort angezeigt, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Synchronisierung angezeigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie diesen Anweisungen folgen: Windows oder Mac. Während der Synchronisierung wird im Dashboard der Synchronisierungsfortschritt angezeigt. Dort sehen Sie den Synchronisierungstyp, den Startzeitpunkt und die aktuelle Synchronisierungsphase. Nach der Synchronisierung werden die Abschnitte Letzte Synchronisierung und Cloud-Statistiken mit den neuen Informationen aktualisiert. Wenn bei der Synchronisierung Fehler auftreten, wird die Statusanzeige als roter Punkt dargestellt.
4	Um Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen [ auf [ Ereignisanzeige starten, um die Fehlerprotokolle anzuzeigen.

1	Melden Sie sich bei Control Hub an.
2	Gehen Sie zu Benutzer und bestätigen Sie, ob ein bestimmtes Benutzerkonto inaktiv ist oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen im Control Hub.
3	Wenn Benutzer im Control Hub gelöscht wurden oder Sie Benutzer in einem inaktiven Zustand bemerken, gehen Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie dann einen Probelauf zur Synchronisierung im Directory Connector durch. Das Ziel von Directory Connector besteht darin, eine genaue Übereinstimmung zwischen den Benutzerinformationen im Active Directory und in der Cloud herzustellen.
4	Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten erneut mit Control Hub zu synchronisieren. Die Benutzer werden wiederhergestellt und erhalten den ursprünglichen Status, einschließlich ihres Kontostatus und ihrer Dienstzuweisungen.

1	Richten Sie eine neue Active Directory (AD)-Domäne ein.
2	Deaktivieren Sie die Synchronisierung auf allen Ihren Konnektoren.
3	Deinstallieren Sie alle Ihre Konnektoren.
4	Öffnen Sie einen Fall, um die Domäne zu ändern. Achten Sie bei der Fallübermittlung darauf, die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anzufordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall gelöst ist.
5	Nachdem der Fall behoben ist: Installieren Sie den Directory Connector auf demselben Server wie dem mit der neuen Active Directory-Domäne. Konfigurieren Sie den Directory Connector so, dass er auf die neue Active Directory-Domäne verweist. Wenn im Control Hub ( https://admin.webex.com) bereits Benutzer vorhanden sind, stellen Sie sicher, dass Benutzer mit übereinstimmenden E-Mail-Adressen auch im Active Directory vorhanden sind. Wenn Ihre Organisation den Schalter `softDelete` in DirSync deaktiviert hat, besteht die Gefahr, dass E-Mail-Adressen von Benutzern gelöscht werden, die sich im Control Hub, aber nicht im Active Directory befinden. Führen Sie vor der eigentlichen Synchronisierung einen Testlauf mit dem Directory Connector durch.

1	Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector.
2	Befolgen Sie das Verfahren Nicht lizenzierte Benutzer in Control Hub konvertieren, um den Benutzer von der kostenlosen Verbraucherorganisation in die Unternehmensorganisation zu konvertieren. Dieser Schritt fügt den Benutzer zu Ihrer Organisation hinzu und das Konto wird im Control Hub angezeigt. Directory Connector macht Active Directory zur einzigen zuverlässigen Quelle für Benutzerkonten und das Ziel besteht darin, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erreichen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind.
3	Führen Sie auf dem Directory Connector eine Probesynchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und die Konten nur in Control Hub liegen, berücksichtigt Directory Connector die Groß- und Kleinschreibung und löscht konvertierte Benutzer, die er mit nicht übereinstimmenden E-Mail-Adressen erkennt (z. B. user1@example.com Und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, verlieren sie alle ihre Webex-App-Bereiche.
4	Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren.

1	Klicken Sie entweder auf die Benachrichtigung in der Windows-Taskleiste oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Vorgang zu starten.
2	Befolgen Sie die Anweisungen, um das Upgrade durchzuführen.
3	Starten Sie den Connector neu und melden Sie sich mit Ihren Administratoranmeldeinformationen an.
4	Überprüfen Sie die Versionsnummer der Software unter Hilfe > Um.

1	Gehen Sie im Directory Connector zu Konfigurationund klicken Sie dann auf Allgemein.
2	Geben Sie den Connector-Namen in das Feld Connector-Name ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird.
3	Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf Infoeingestellt. Die verfügbaren Protokollstufen lauten folgendermaßen: Info (Standard) – Zeigt Informationsmeldungen an, die den Fortschritt der Anwendung auf hoher Ebene hervorheben. Verwenden Sie diese Einstellung, wenn Sie nach allen vollständigen Synchronisierungen Berichte erhalten möchten. Warnen– Zeigt potenziell gefährliche Situationen an. Debug– Zeigt detaillierte Informationsereignisse an, die zum Debuggen einer Anwendung am nützlichsten sind. Wenn Sie ein Problem feststellen, legen Sie diese Protokollebene fest und senden Sie das Ereignisprotokoll an den Support, wenn Sie einen Fall erstellen. Fehler– Zeigt Fehlerereignisse an, die möglicherweise dennoch eine weitere Ausführung der Anwendung ermöglichen. Wenn Sie diese Option wählen, werden Synchronisierungsberichte nur gesendet, wenn Fehler gemeldet werden. Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf „Fehler“ setzen, werden im Synchronisierungsbericht nur Fehler gemeldet. Wenn keine Fehler vorliegen, wird der Synchronisierungsbericht nicht versendet. Ändern Sie die Einstellung auf „Info“, dann erhalten Sie nach der vollständigen Synchronisierung Synchronisierungsberichte. (Denken Sie daran, dass bei der inkrementellen Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.)
4	Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen.
5	Aktivieren Sie Automatisch auf die neue Cisco Directory Connector-Version aktualisieren, wenn automatische Aktualisierungen erfolgen sollen. Es ist immer wichtig, Ihre Cisco Directory Connector-Software auf dem neuesten Stand zu halten. Wir empfehlen, diese Einstellung zu aktivieren, um die automatische Installation von Software-Upgrades im Hintergrund zu ermöglichen, wenn diese verfügbar sind.
6	Aktivieren Sie LDAP über SSL, um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSLnicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle, die zwischen einer Anwendung und dem Domänencontroller innerhalb der Infrastruktur verwendet werden. Die LDAPS-Kommunikation ist verschlüsselt und sicher.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Gehen Sie zu Aktionenund klicken Sie dann auf Dienstprogramme > Benutzerattributzuordnung entfernen.
3	Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus.
4	Wählen Sie unter Betroffener Benutzerbereicheine der folgenden Optionen aus: Nur mit Directory Connector synchronisierte Benutzer: die Zuordnung wird nur von Benutzern entfernt, die Directory Connector zuvor synchronisiert hat. Alle Nutzer: die Zuordnung wird von allen Active Directory-Benutzern entfernt.
5	Klicken Sie auf Übernehmen.

1	Klicken Sie in Directory Connector auf Dashboard.
2	Gehen Sie zu Aktionenund klicken Sie dann auf Dienstprogramme > Profilbilder verwalten.
3	Wählen Sie unter Aktioneneine der folgenden Optionen aus: Profilbilder für leere Avatarquellen entfernen: Wenn das Active Directory-Profilbild leer ist, stellt diese Option sicher, dass die Benutzerprofilbilder aus der Cloud entfernt werden, auch wenn der Benutzer zuvor sein eigenes Bild in Webex hochgeladen hat. Erneutes Hochladen von der synchronisierten Quelle, um zwischengespeicherte Bilder zu überschreiben: Directory Connector verwendet dasselbe Active Directory wie zuvor, um die Profilbilder für alle Benutzer zu aktualisieren. Dadurch wird sichergestellt, dass es keine Diskrepanz zwischen den Profilbildern im Active Directory und in der Cloud gibt.
4	Klicken Sie auf Übernehmen.

1	Gehen Sie im Directory Connector zu Dashboardund klicken Sie dann auf Aktion > Ereignisanzeige starten. Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails.
2	Gehen Sie in der Ereignisanzeige zu Anwendungs- und Dienstprotokolle > Cisco Verzeichniskonnektor.
3	Klicken Sie unter Aktionenauf Alle Ereignisse speichern unter, um alle Protokolle als eine einzige Ereignisdatei zu exportieren. (*.evtx) oder ein anderes Format wie XML oder CSV.

1	Öffnen Sie den Internet Explorer und wählen Sie dann Extras. Aktivieren Sie nun die Kontrollkästchen für TLS/SSL Version, die Sie aktivieren möchten Klicken Sie auf OK Schließen Sie den Browser und öffnen Sie ihn erneut
2	Klicken Sie auf Internetoptionen, gehen Sie zu Erweitert und scrollen Sie zu Sicherheit.
3	Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden und klicken Sie dann auf OK.
4	Starten Sie Ihr System neu, damit die Änderungen wirksam werden.

Danke für Ihr Feedback.

Bereitstellungshandbuch für Directory Connector

Verzeichniskonnektor – Übersicht

Anforderungen für Directory Connector

Windows- und Active Directory-Anforderungen

Hardwareanforderungen

Netzwerk-Anforderungen

Webex-Organisationsanforderungen

Installationsanforderungen

Anforderungen für mehrere Domänen

Empfehlungen für die Active Directory-Gruppe für die automatische Lizenzzuweisung

Größenanpassungsinformationen

Überprüfen SafeDllSearchMode in der Windows-Registrierung

Vorbereitungen

Webproxy-Integration

Webproxy-Integration

Webproxy über den Browser verwenden

Webproxy über eine PAC-Datei konfigurieren

NTLM-Proxy

NTLM-Design

Transparenten Proxy konfigurieren

Proxy-Authentifizierung festlegen

Ablauf der Bereitstellungsaufgabe für den Cisco Directory Connector

Vorbereitungen

Directory Connector installieren

Vorbereitungen

Nächste Schritte

Bei Directory Connector anmelden

Vorbereitungen

Nächste Schritte

Directory Connector-Dashboard

Automatische Upgrades einrichten

Active Directory-Objekte für die Synchronisierung auswählen

Vorbereitungen

Benutzerattribute zuordnen

Active Directory- und Cloud-Attribute

Alternative E-Mail-Adressenzuordnung

Ausdrücke für benutzerdefinierte Attribute

Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud

Nächste Schritte

Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver in die Cloud

Vorbereitungen

Nächste Schritte

Synchronisieren von lokalen Rauminformationen mit der Webex Cloud

Nächste Schritte

E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisierung senden

Nächste Schritte

Bereitstellen von Benutzern aus Active Directory In Control Hub

Probelauf für die Synchronisierung Ihrer Active Directory-Benutzer durchführen

Vorbereitungen

Nächste Schritte

Vollständige Synchronisierung von Active Directory-Benutzern in die Cloud

Vorbereitungen

Nächste Schritte

Zuweisen von Webex-Diensten zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub

Vorbereitungen

Nächste Schritte

Bekannte Probleme mit Directory Connector

Durchführen einer inkrementellen Synchronisierung

Vorbereitungen

Nächste Schritte

Versehentlich gelöschte Benutzer wiederherstellen

Nächste Schritte

Benutzer nach weichem Löschen endgültig löschen

Nächste Schritte

E-Mail-Adresse der Webex-App ändern

Active Directory-Domäne ändern

Domänenanspruch

Konvertieren von Benutzern der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis

Benutzerkonten der Sideboarding-Webex-App

Format des Webex-App-Benutzernamens nach der Verzeichnissynchronisierung ändern

Zulassen, dass Benutzer Anzeigenamen in Webex Meetings ändern

Nächste Schritte

Upgrade auf die neueste Softwareversion

Nächste Schritte

Konfigurieren von allgemeinen Einstellungen für Directory Connector

Connector-Richtlinie konfigurieren

Zeitplan für Connector festlegen

Mehrere Domänenszenarien

Beispielanwendungen für mehrere Domänen