- Startseite
- /
- Artikel
In diesem ArtikelVerzeichniskonnektor – Übersicht
Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.
Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur einzigen Quelle der Wahrheit wird. Wenn Sie eine Änderung lokal vornehmen, wird sie in die Cloud repliziert.
Alle Funktionen, Beschreibungen und Vorteile finden Sie in der Tabelle:
| Funktion | Beschreibung und Nutzen |
|---|---|
| Benutzerfreundliches Dashboard | Das Dashboard bietet einen Synchronisierungszeitplan, eine Zusammenfassung, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard bei jeder Anmeldung anzeigen. |
| Probelauf vor der Synchronisierung mit der Cloud | Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor diese in der Cloud implementiert werden. Führen Sie dann einen Bericht aus, um zu sehen, dass die Änderungen, die Sie vornehmen möchten, Ihren Erwartungen entsprechen. |
| Volle und inkrementelle Synchronisierung | Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie einfach die inkrementellen Änderungen, um Rechenleistung zu sparen und die Synchronisierungszeit zu verkürzen. |
Mehrere Domänen synchronisieren (einzelne Gesamtstrukturen oder mehrere Gesamtstrukturen) |
Directory Connector unterstützt mehrere Domänen entweder unter einer einzelnen Gesamtstruktur oder unter mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Control Hub spiegelt den Status wider, indem der Synchronisierungsstatus für mehrere Verzeichniskonnektoren angezeigt wird. Sie können die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Verzeichniskonnektor in einer Hochverfügbarkeitsbereitstellung deaktivieren. |
| Geplante Synchronisierung | Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest. |
| Leichte LDAP-Filter (Directory Access Protocol) | Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit. |
| Active Directory-Attributzuordnung | Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um sie der Cloud zuzuordnen. Die Attribute vom Standort aus umfassen verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, enteprise-Telefonnummern in Webex Teams, SIP-Adressen von Raumressourcen und andere Daten der Benutzerkontaktkarte (Jobtitel, Abteilung, Manager usw.). |
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung |
Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte verwenden, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten von ihren Cisco Webex Calling (Cloud PSTN)-Telefonen oder Raumressourcen durchsuchen.
|
| Event-Betrachter | Verwenden Sie die Ereignisanzeige, um festzustellen, ob Probleme mit der Synchronisierung aufgetreten sind. |
| Diagnosetool und Fehlerbehebung | Sie können das integrierte Diagnosetool verwenden, um Probleme mit Ihrer Cisco Directory Connector-Bereitstellung zu beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, sodass Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können. |
| Automatisches Upgrade | Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Version der Software verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird. |
| Hochverfügbarkeit | Konfigurieren Sie mehrere Anschlüsse so, dass ein Backup vorhanden ist, falls der Hauptanschluss oder der Rechner, auf dem er gehostet wird, ausfällt. |
Directory Connector ist in drei Bereiche unterteilt:
Control Hub ist die einzige Schnittstelle, mit der Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und einmalige Anmeldung (SSO) konfigurieren, wenn Sie möchten, dass sich Ihre Benutzer über ihren Identitätsanbieter für Unternehmen authentifizieren, und Sie keine E-Mail-Einladungen für die Webex-App senden möchten.
Die Verwaltungsoberfläche des Verzeichniskonnektors ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Bei mehreren Active Directory-Domänen können Sie für jede Domäne, die Sie synchronisieren möchten, einen Instant-Update der Software installieren. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex aufzunehmen, den Synchronisierungsstatus anzuzeigen und zu überwachen und Directory Connector-Dienste zu konfigurieren.
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory für die Synchronisierung mit dem Connector-Dienst und dem Directory Connector ab.
Lesen Sie dieses Diagramm, um die Directory Connector-Architektur zu verstehen:
Anforderungen für Directory Connector
Windows- und Active Directory-Anforderungen
Sie können Directory Connector auf diesen unterstützten Windows-Servern installieren:
Windows Server 2012
Windows Server 2019
Windows Server 2016
 | Um ein Cookie-Problem zu beheben, empfehlen wir, dass Sie Ihren Domänencontroller auf eine Version aktualisieren, die die Korrektur enthält: Windows Server 2012 R2 oder 2016 . |
Der Directory Connector wird mit den folgenden Active Directory-Diensten unterstützt:
Active Directory 2016
(Directory Connector wird bei Verwendung der neuesten Version von Active Directory auf Windows Server 2019 unterstützt)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008
Beachten Sie die folgenden zusätzlichen Anforderungen:
Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
.NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, verwenden Sie die Anweisungen in Enable .NET Framework 3.5, indem Sie den Assistenten zum Hinzufügen von Rollen und Funktionen verwenden.)
.NET Framework v.4.5 (erforderlich für TLS1.2)
Active Directory Forest Funktionsstufe 2 (Windows Server 2003) oder höher ist erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen? .)
Hardwareanforderungen
Sie müssen Directory Connector auf einem Computer mit den folgenden minimalen Hardwareanforderungen installieren:
8 GB RAM
50 GB Speicherplatz
Keine Mindestanforderung für die CPU
Netzwerk-Anforderungen
Stellen Sie sicher, dass Ihr System über HTTPS (Port 443) auf das Internet zugreifen kann, falls sich Ihr Netzwerk hinter einer Firewall befindet.
Webex-Organisationsanforderungen
Um über Control Hub auf die Directory Connector-Software zuzugreifen, benötigen Sie eine Webex-Organisation mit einer Testversion oder ein kostenpflichtiges Abonnement.
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Folgendes:
Fügen Sie Domänen hinzu, überprüfen und beanspruchen Sie optional Domänen , die die Benutzer-E-Mail-Adressen enthalten, die Sie in der Cloud synchronisieren möchten.
Führen Sie eine SSO-Integration (Single Sign-On) Ihres Identitätsanbieters (IdP) in Ihre Webex-Organisation durch.
Unterdrücken Sie automatische E-Mail-Einladungen, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)
| Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub . |
Installationsanforderungen
Für eine Umgebung mit mehreren Domänen (entweder einzelne Gesamtstrukturen oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, stellen Sie sicher, dass Sie über einen separaten unterstützten Windows-Server verfügen, um den Directory Connector für die Domänensynchronisierung (B) zu installieren.
Für die Anmeldung am Connector benötigen wir kein Administratorkonto in Active Directory. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer ist wie ein vollständiges Administratorkonto in Control Hub.
Dieser lokale Benutzer muss über Privilegien auf diesem Windows-Computer verfügen, um eine Verbindung mit dem Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Anmelde-Konto des Computers sollte ein Computeradministrator mit Berechtigungen sein, um Software auf dem lokalen Computer zu installieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Bei der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector das lokale Systemkonto, um auf Active Directory zuzugreifen. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Stellen Sie sicher, dass der Suchmodus für die dynamische Linkbibliothek (DLL) von Windows Safe mit diesem Verfahren aktiviert ist: Überprüfen Sie SafeDllSearchMode in der Windows Registry .
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, empfehlen wir, Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Maschinen zu installieren.
Anforderungen für mehrere Domänen
Bevor Sie die Aufgaben im Abschnitt Bereitstellungsaufgabe des Cisco Directory Connectors befolgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in der Cloud synchronisieren möchten:
Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Domänen hinzufügen, verifizieren und beanspruchen .)
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , um Ihre Organisation in eine große Organisationsliste zu verschieben.
Bei Bedarf können Sie die Ressourceninformationen des Raums mit den Benutzerkonten synchronisieren. (Siehe Lokale Rauminformationen mit der Webex Cloud synchronisieren.)
Empfehlungen für die Active Directory-Gruppe für die automatische Lizenzzuweisung
Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbare Einheiten zu erfassen. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.
Es gibt zwei Arten von Gruppen in Active Directory:
Verteilungsgruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
Sicherheitsgruppen – Wird verwendet, um Berechtigungen für freigegebene Ressourcen zuzuweisen.
Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:
Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienst (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex-Lizenzierung usw.).
Verwenden Sie Standardbenennungskonventionen in Ihrer Organisation, um wichtige Informationen über eine Gruppe leichter identifizieren zu können. Gruppennamen können Details zur Gruppe enthalten, z. B. Zugriffsebene, Art der Ressource, Sicherheitsstufe, Gruppenumfang, E-Mail-Funktion usw. Der Gruppenname „GSG _ W ebex_ L icensing_ EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
Organisieren Sie Gruppen auf eine leicht verständliche Weise, z. B. nach Geographie oder Führungshierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die Vorlage für automatische Lizenzgruppen in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für automatische Lizenzzuweisung einrichten .
Größenanpassungsinformationen
Der Directory Connector funktioniert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Einschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.
Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:
Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsauftrag dauert nicht bis zu 50000.)
Netzwerkgeschwindigkeit und Bandbreite.
System-Workload und Spezifikationen.
 | Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden. |
| Da mehrere Faktoren an der Synchronisierung beteiligt sind und jede Bereitstellung von den oben genannten Faktoren abhängt, können wir keine spezifischen Zeitwerte für die Dauer der Objektsynchronisierung angeben. |
Überprüfen SafeDllSearchMode in der Windows-Registrierung
Der Suchmodus für sichere dynamische Links-Bibliotheken (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und platziert das aktuelle Verzeichnis des Benutzers später in der DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt das gleiche wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) in das aktuelle Arbeitsverzeichnis der Anwendung platzieren.
Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.
Vorbereitungen
 | Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, vor der Verwendung dieser Schritte ein Backup Ihrer Registrierung zu erstellen. |
| 1 | Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ „regedit“ ein, und drücken Sie dann die Eingabetaste. |
| 2 | Gehen Sie zu HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
| 3 | Wählen Sie eine Option:
|
Weitere Informationen finden Sie unter Dynamic Link Library Search Order .
Webproxy-Integration
Webproxy-Integration
Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.
Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector verbindet und synchronisiert die Benutzer erfolgreich.
Sie können einen der folgenden Ansätze verwenden:
Expliziter Webproxy über Internet Explorer (der Connector übernimmt die Webproxy-Einstellungen)
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert
Webproxy über den Browser verwenden
Sie können den Directory Connector so einrichten, dass er einen Webproxy über Internet Explorer verwendet.
Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,
| 1 | Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus. | ||
| 2 | Verweisen Sie die Windows-Instanz, auf der der Connector installiert ist, auf Ihren Webproxy. Der Connector übernimmt diese Webproxy-Einstellungen. | ||
| 3 | Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:
Sie können dies entweder site-weit (für alle Hosts) oder nur für den Host durchführen, der den Connector hat.
| ||
| 4 | Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Zulassungsliste hinzu:
Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss. |
Webproxy über eine PAC-Datei konfigurieren
Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.
| 1 | Damit der Connector die Benutzerinformationen erfolgreich mit der Webex-Cloud verbindet und synchronisiert, stellen Sie sicher, dass die Proxy-Authentifizierung deaktiviert ist für | ||
| 2 | Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:
Sie können dies entweder site-weit (für alle Hosts) oder nur für den Host durchführen, der den Connector hat.
| ||
| 3 | Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Zulassungsliste hinzu:
Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss. |
NTLM-Proxy
Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.
NTLM-Design
In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.
Generell basiert das technische Design von NTLM auf einem Mechanismus von Challenge
und Response
:
Ein Benutzer meldet sich über ein Windows-Konto und ein Passwort bei einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines Nur-Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht Windows OS den gespeicherten Hash-Wert und den Hash-Wert des Eingabepassworts. Wenn beide identisch sind, wird die Authentifizierung erfolgreich durchgeführt.
Wenn der Benutzer auf eine Ressource in einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im Klartext.
Wenn der Server die Anforderung empfängt, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Aufgabe auf dem Server gespeichert. Und dann sendet der Server die Aufgabe im Klartext an den Client.
Sobald der Client die Aufgabe vom Server erhält, verschlüsselt der Client die Aufgabe durch den Hash-Wert, der in Schritt 1 erwähnt wurde. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet der Server ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: den Kontonamen, die verschlüsselte Aufgabe, die der Client gesendet hat, und die ursprüngliche einfache Aufgabe.
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Aufgabe verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.
| In Windows ist die Sicherheitsauthentifizierung im Betriebssystem integriert, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Daher müssen Sie die weitere Konfiguration nicht abschließen. |
Transparenten Proxy konfigurieren
In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.
| 1 | Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann. |
| 2 | Bestätigen Sie, dass der Proxy erfolgreich ist. Beim Starten des Connectors wird ein erwartetes Browser-Authentifizierungs-Popup-Fenster angezeigt. |
Proxy-Authentifizierung festlegen
URL hinzufügen cloudconnector.webex.com auf Ihre Zulassungsliste, indem Sie eine Zugriffssteuerungsliste erstellen.
Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:
| 1 | Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist. |
| 2 | Bestimmen Sie eine geschätzte Bandbreite für diese Verbindung (bei ca. 2 mb/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich. |
| 3 | Erstellen Sie eine Zugriffssteuerungsliste, die auf den Connector-Host angewendet werden soll, und geben Sie Zum Beispiel: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
| 4 | Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host anwendbar ist. |
| 5 | Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren. |
Ablauf der Bereitstellungsaufgabe für den Cisco Directory Connector
Vorbereitungen
| 1 | Directory Connector installieren Control Hub zeigt die Verzeichnissynchronisierung zunächst als deaktiviert an. Um die Verzeichnissynchronisierung für Ihre Organisation zu aktivieren, müssen Sie Directory Connector installieren und konfigurieren und anschließend eine vollständige Synchronisierung durchführen. Für eine Neuinstallation von Directory Connector rufen Sie immer Control Hub ( https://admin.webex.com) auf, um die neueste Version der Software zu erhalten, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn sie verfügbar sind. |
| 2 | Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administratoranmeldeinformationen an und führen Sie die Ersteinrichtung durch. |
| 3 | Automatische Upgrades einrichten Es ist immer wichtig, Ihre Directory Connector-Software auf dem neuesten Stand zu halten. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades auf die Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind. |
| 4 | Active Directory-Objekte für die Synchronisierung auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie bestimmte Benutzer auswählen, um LDAP-Filter zu synchronisieren und anzugeben, indem Sie die Seite Objektauswahl im Directory Connector verwenden. |
| 5 |
Sie können die Attribute aus Ihrem lokalen Active Directory zu den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld lautet *uid. |
| 6 | Synchronisieren Sie Verzeichnis-Avatare mithilfe einer der folgenden Verfahren:
Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass die Benutzer-Avatare nach der Anmeldung in der Anwendung angezeigt werden. Sie können Avatare über ein Active Directory-Attribut oder einen Ressourcenserver synchronisieren. |
| 7 | Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit diesem Verfahren können Sie lokale Rauminformationen aus Active Directory in der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf Cloud-registrierten Raumgeräten wie einem Webex Room Device oder Cisco Webex Board angezeigt. |
| 8 | Um Benutzer aus Active Directory In Control Hub bereitzustellen, führen Sie die folgenden Schritte aus:
Befolgen Sie diese Reihenfolge, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wäldern oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Das Ziel ist eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud. |
Directory Connector installieren
Control Hub zeigt die Verzeichnissynchronisierung zunächst als deaktiviert an. Um die Verzeichnissynchronisierung für Ihre Organisation zu aktivieren, müssen Sie Directory Connector installieren und konfigurieren und anschließend eine vollständige Synchronisierung durchführen.
Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf für die Synchronisierung mehrerer Domänen:
Vorbereitungen
Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Ihre Proxy-Anmeldeinformationen vorhanden sind:
Für die Proxy-Basic-Authentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxykonfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Verwenden eines Webproxys über den Browser
Für Proxy-NTLM wird möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser .
| 1 | Gehen Sie in Control Hub , zu , und wählen Sie Weiter . | ||
| 2 | Klicken Sie auf den Link Herunterladen und installieren , um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die ZIP-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert.
| ||
| 3 | Entpacken Sie die MSI-Datei auf dem VMware- oder Windows Server im Einrichtungsordner und führen Sie sie aus, um den Einrichtungsassistenten zu starten. | ||
| 4 | Klicken Sie auf Next , aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Next , bis der Bildschirm für den Kontotyp angezeigt wird. | ||
| 5 | Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto aus:
Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind:
| ||
| 6 | Klicken Sie auf Installieren. Nachdem der Netzwerktest ausgeführt wurde, geben Sie bei Aufforderung Ihre Proxy-Basisanmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertigstellen . |
Nächste Schritte
Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Beim Neustart der Maschine werden alle Daten aktualisiert, um ein genaues Ergebnis im Bericht anzuzeigen.
Bei Directory Connector anmelden
Vorbereitungen
Stellen Sie sicher, dass Ihre Proxy-Anmeldeinformationen vorhanden sind.
Für den Proxy basic-auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
Öffnen Sie für den Proxy NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen , stellen Sie sicher, dass die Informationen zum Proxyserver hinzugefügt werden, und klicken Sie dann auf OK . Siehe Verwenden eines Webproxys über den Browser .
| 1 | Öffnen Sie den Konnektor und fügen Sie | ||||
| 2 | Melden Sie sich bei Aufforderung mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter. | ||||
| 3 | Bestätigen Sie Ihr Unternehmen und Ihre Domäne.
| ||||
| 4 | Nachdem der Bildschirm Unternehmen bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Falls Sie Ihr AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Unternehmen bestätigen angezeigt. | ||||
| 5 | Klicken Sie auf Bestätigen. | ||||
| 6 | Wählen Sie eine der folgenden Optionen aus, je nach der Anzahl der Active Directory-Domänen, die Sie an Directory Connector binden möchten:
|
Nächste Schritte
Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.
Directory Connector-Dashboard
Nach Ihrer ersten Anmeldung bei Directory Connector wird das Dashboard angezeigt. Hier sehen Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken, können einen Probelauf für die Synchronisierung durchführen, eine komplette oder inkrementelle Synchronisierung starten und die Eventanzeige starten, um Fehlerinformationen anzuzeigen.
| Melden Sie sich erneut an, falls Ihre Sitzung abläuft. |
Sie können diese Aufgaben problemlos über die Symbolleiste oder das Menü „Aktionen“ ausführen.
Komponente | Beschreibung |
|---|---|
Aktuelle Synchronisierung |
Zeigt Statusinformationen zur gegenwärtig stattfindenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige leer. |
Nächste Synchronisierung |
Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Plan festgelegt ist, wird Nicht geplant angezeigt. |
Letzte Synchronisierung |
Zeigt den Status der letzten beiden Synchronisierungen an. |
Aktueller Synchronisierungsstatus |
Zeigt den Gesamtstatus der Synchronisierung. |
Konnektoren |
Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind. |
Cloud-Statistiken |
Zeigt den Gesamtstatus der Synchronisierung. |
Synchronisierungszeitplan |
Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung. |
Konfigurationszusammenfassung |
Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten:
|
| Aktion | Beschreibung | ||
|---|---|---|---|
| Inkrementelle Synchronisierung starten | Manuelles Starten einer inkrementellen Synchronisierung
|
||
Probelauf Synchronisierung |
Führen Sie einen Probelauf für die Synchronisierung durch. |
||
Starten der Ereignisanzeige |
Starten Sie die Microsoft-Ereignisanzeige. |
||
Aktualisieren |
Aktualisieren des Cisco Directory Connector-Dashboards |
Aktion | Beschreibung |
|---|---|
| Jetzt synchronisieren | Starten Sie eine vollständige Sofortsynchronisierung. |
Synchronisierungsmodus |
Wählen Sie zwischen inkrementellem und vollständigem Synchronisierungsmodus aus. |
Geheimen Connector-Schlüssel zurücksetzen |
Stellen Sie eine Konversation zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Wenn Sie diese Aktion auswählen, wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert. |
Probelauf |
Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung vornehmen. |
Fehlerbehebung |
Aktivieren/Deaktivieren Sie die Fehlerbehebung. |
Aktualisieren |
Aktualisieren Sie den Hauptbildschirm des Cisco Directory Connectors. |
Beenden |
Beenden Sie den Cisco Directory Connector. |
Tastenkombination | Aktion |
|---|---|
Alt +A |
Öffnet das Menü Aktionen |
|
Jetzt synchronisieren |
|
Geheimen Connector-Schlüssel zurücksetzen |
|
Probelauf |
|
Inkrementelle Synchronisierung |
|
Vollständige Synchronisierung |
|
Menü Hilfe anzeigen |
|
Hilfe |
|
Info |
|
Häufig gestellte Fragen |
Automatische Upgrades einrichten
| 1 | Wechseln Sie vom Directory Connector zu und anschließend Automatisches Upgrade auf die neue Cisco Directory Connector-Version . |
| 2 | Klicken Sie auf Anwenden , um Ihre Änderungen zu speichern. |
Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.
| Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion . |
Active Directory-Objekte für die Synchronisierung auswählen
Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie bestimmte Benutzer auswählen, um LDAP-Filter zu synchronisieren und anzugeben, indem Sie die Seite Objektauswahl im Directory Connector verwenden.
Gruppen für automatische Lizenzzuweisung
Mit Control Hub können Sie Lizenzzuweisungen pro Gruppe verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Zum Zeitpunkt der Benutzererstellung überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.
Wir empfehlen die Verwendung eines LDAP-Filters, um nur relevante Gruppen mit der Cloud zu synchronisieren. Sie können den Filter beispielsweise folgendermaßen festlegen:
(&(cn=Example)(objectclass=Group))*
Dieser Filter synchronisiert alle Gruppen innerhalb der Basis-DN, wobei der Name mit Beispiel beginnt. Benutzern, die nicht Gruppen zugewiesen sind, werden Lizenzen aus der standardmäßigen automatischen Lizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.
Gruppen für Bereitstellungen der Hybrid-Datensicherheit
In Directory Connector müssen Sie die Option Gruppen aktivieren, wenn Sie Hybrid Data Security verwenden, um eine Testgruppe für Pilotbenutzer zu konfigurieren. Weitere Informationen finden Sie im Bereitstellungsleitfaden für die Hybrid-Datensicherheit . Diese Verzeichniskonnektor-Einstellung hat keine Auswirkungen auf die Synchronisierung anderer Benutzer mit der Cloud.
| 1 | Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl. | ||
| 2 | Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und ziehen Sie in Erwägung, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die sich in der Beispiel-Manager-Gruppe befinden, verwenden Sie einen Filter wie diesen:
| ||
| 3 | Aktivieren Sie das Kontrollkästchen „Raum identifizieren“ , um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen , wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie Informationen zu lokalen Räumen aus Active Directory in die Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf Cloud-registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud . | ||
| 4 | Aktivieren Sie „Gruppen“ , wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie dem Feld „Gruppen“ keinen LDAP-Filter zur Benutzersynchronisierung hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren.
| ||
| 5 | Aktivieren Sie das Kontrollkästchen Kontakte , wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten.
| ||
| 6 | Konfigurieren Sie die LDAP-Filter. Durch die Angabe eines gültigen LDAP-Filters können Sie erweiterte Filter hinzufügen. Lesen Sie diesen Artikel für weitere Informationen zum Konfigurieren von LDAP-Filtern. | ||
| 7 | Geben Sie die Option „Lokale Basis-DNs zum Synchronisieren“ an , indem Sie auf „Auswahl“ klicken, um die Strukturstruktur Ihres Active Directory anzuzeigen. Hier können Sie auswählen, welche Container durchsucht werden sollen. | ||
| 8 | Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container für die Synchronisierung auswählen. Wählen Sie einen übergeordneten Container, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird neben dem übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container ausgewählt wurde. Sie können auf Auswählen klicken, um die ausgewählten Active Directory-Container zu übernehmen. Wenn in Ihrer Organisation alle Benutzer und Gruppen im Benutzer-Container abgelegt sind, müssen Sie die anderen Container nicht durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, müssen Sie sicherstellen, dass Sie OUs auswählen. | ||
| 9 | Klicken Sie auf Übernehmen. Wählen Sie eine Option:
Informationen zu Probeläufen finden Sie unter „Durchführen eines Probelaufs für die Synchronisierung Ihrer Active Directory-Benutzer“. Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Führen Sie eine vollständige Synchronisierung der Active Directory-Benutzer in die Cloud durch. |
Benutzerattribute zuordnen
Sie können die Attribute aus Ihrem lokalen Active Directory zu den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.
Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll. So können Sie beispielsweise firstName lastName in Active Directory oder einem benutzerdefinierten Attributausdruck auf displayName in der Cloud.
| Konten in Active Directory müssen eine E-Mail-Adresse besitzen; die uid wird standardmäßig |
Wenn Sie sich dafür entscheiden, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, dann ist Active Directory die einzige Quelle der Wahrheit: Benutzer können ihre Spracheinstellung nicht in den Webex-Einstellungen ändern, und Administratoren können die Einstellung nicht in Control Hub ändern.
| 1 | Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattribute-Zuordnung aus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet. | ||||
| 2 | Scrollen Sie nach unten unter den Active Directory-Attributnamen , und wählen Sie dann eines dieser Active Directory-Attribute aus, um dem Cloud-Attribut uid :
Sie können alle anderen Active Directory-Attribute der uid zuordnen. Wir empfehlen Ihnen jedoch, Mail oder userPrincipalName wie in den obigen Richtlinien beschrieben zu verwenden. In einigen Fällen wird der userPrincipalName für die Anmeldung verwendet, aber die E-Mail-Adresse eines Benutzers wird für die Verwaltung seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem primären E-Mail-Adressfeld in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, welche Attribute in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen in Directory Connector.
| ||||
| 3 | Wenn die vordefinierten Active Directory-Attribute für Ihre Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie dann Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können.
In diesem Beispiel werden die Active Directory-Attribute zugeordnet.
| ||||
| 4 | (Optional) Wählen Sie Zuordnungen für mobile und telephoneNumber aus, wenn mobile und geschäftliche Nummern angezeigt werden sollen, z. B. in der Visitenkarte des Benutzers in der Webex-App. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers bewegt. Weitere Informationen zum Anrufen von der Visitenkarte eines Benutzers finden Sie unter „Anrufe“ im Webex (Unified CM)-Bereitstellungshandbuch (Administratoren). | ||||
| 5 | Wählen Sie zusätzliche Zuordnungen aus, damit weitere Daten in der Visitenkarte angezeigt werden:
Nachdem die Attribute zugeordnet wurden, werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers bewegt:
Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren . Nachdem diese Attribute mit jedem Benutzerkonto synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Webex-App-Benutzer mehr Informationen in ihren Profilen teilen und mehr über einander erfahren. Weitere Informationen über die Funktion und ihre Aktivierung finden Sie unter People Insights-Profile für Webex, Jabber, Webex Meetings und Webex Events (neu) in Control Hub | ||||
| 6 | Treffen Sie Ihre Auswahl und klicken Sie auf Übernehmen. |
Die in Active Directory enthaltenen Benutzerdaten überschreiben die entsprechenden Daten in der Cloud für den jeweiligen Benutzer. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Jeder Benutzer ohne entsprechende E-Mail-Adresse in Active Directory wird gelöscht.
| Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst gespeichert, bevor sie dauerhaft gelöscht werden. |
Active Directory- und Cloud-Attribute
Sie können die Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattribute-Zuordnung verwenden.
In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Directory Connector. Sie können in den Dropdowns für Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloud-Attribut synchronisiert wird.
Stellen Sie sich die Dropdown-Attribute als Voreinstellungen vor. Alternativ zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory (ein Ausdruck mit mehreren Attributen) angeben, um einem einzelnen Cloud-Attribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise können Sie flexibel die Anzeigenamen Ihrer Benutzer bestimmen. Beispielsweise können Sie einen Ausdruck hinzufügen, der ein benutzerdefiniertes Attribut basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory erstellt.
Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden sollen. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.
| Sie können auch alternative E-Mail-Adressen verwenden, wenn Sie beispielsweise den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall eine andere E-Mail-Adresse dem Attribut E-Mail-Typ-Arbeit zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht für die Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie von AD zuordnen, muss von einer verifizierten Domäne innerhalb Ihrer Organisation stammen und muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein. |
Active Directory-Attributnamen | Webex Cloud-Attributnamen | Hinweise |
|---|---|---|
— |
buildingName |
— |
c |
c |
Dieses Attribut gibt die Länderkürzel des Benutzers an. |
departmentNumber |
departmentNumber |
Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die in den Bereichen Kontaktkarte und People Insights angezeigt wird. |
displayName |
displayName |
Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub angezeigt wird, die Kontaktkarte und People Insights . |
userAccountControl |
ds-pwp-account-disabled |
Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist oder dass Benutzer nicht ordnungsgemäß synchronisiert werden. |
employeeNumber |
employeeNumber |
— |
facsimileTelephoneNumber |
facsimileTelephoneNumber |
— |
— |
jabberID |
Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert entspricht nicht sipAddresses. |
l |
l |
Dieses Attribut gibt die Stadt des Benutzers an. |
— |
locale |
— |
Manager |
Manager |
Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der in den Bereichen Kontaktkarte und People Insights angezeigt wird. |
mobile |
mobile |
Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen. |
o |
o |
Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird in der Kontaktkarte angezeigt. |
ou |
ou |
Dieses Attribut gibt den Namen der Organisationseinheit an. |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Dieses Attribut gibt den Bürostandort des Benutzers an. |
postalCode |
postalCode |
Dieses Attribut gibt die Post- oder Postleitzahl des Benutzers für die physische Postzustellung an. |
preferredLanguage |
preferredLanguage |
Dieses Attribut legt die bevorzugte Sprache des Benutzers fest und die folgenden Formate werden unterstützt: xx_YY oder xx-YY. Hier sind einige Beispiele: en_USA, en_ GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format angeben, wird die Sprache der Organisation als bevorzugte Sprache für den Benutzer verwendet. |
MSRTCSIP-PrimaryUserAddress IP-Telefon |
SipAdressen;type=Unternehmen |
Dieses Attribut wird für die Synchronisierung von lokalen Rauminformationen aus Active Directory in die Cisco Webex-Cloud verwendet. |
sn |
sn |
Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub angezeigt wird, die Kontaktkarte und People Insights . |
st |
st |
Dieses Attribut gibt das Bundesland des Benutzers an. |
streetAddress |
street |
Dieses Attribut gibt die Adresse des Benutzers für die physische Postzustellung an. |
telephoneNumber |
telephoneNumber |
Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die für das Anrufen des Benutzers über die Kontaktkarte verwendet wird. |
— |
timezone |
Dieses Cloud-Attribut gibt die Zeitzone des Benutzers an. |
title |
title |
Dieses Attribut gibt den Titel des Benutzers an, der in den Bereichen Kontaktkarte und People Insights angezeigt wird. |
typ |
enterprise |
— |
*userPrincipalName |
Uid |
Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird der userPrincipalName für die Anmeldung verwendet, aber die E-Mail-Adresse eines Benutzers wird für die Verwaltung seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem primären E-Mail-Adressfeld in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann dann eine dieser E-Mail-Adressen verwenden, um sich anzumelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen zur Zuordnung einer alternativen E-Mail-Adresse finden Sie in der Beispielattributzuordnung unten. |
*userPrincipalName <custom attribute=""> |
E-Mails;Typ-Arbeit |
Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht für die Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie von AD zuordnen, muss von einer verifizierten Domäne innerhalb Ihrer Organisation stammen und muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein. |
<New attribute="" for="" Azure="" user="" objectId=""> |
externe ID |
Erstellen Sie ein neues Active Directory-Attribut, das die ObjektId des Azure-Benutzers enthält, damit es nicht mit einer vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen . |
Alternative E-Mail-Adressenzuordnung
Ausdrücke für benutzerdefinierte Attribute
Vermittler | Beschreibung und Beispiel |
|---|---|
% | Entfernt alle Zeichen vom Anfang des Strings an die Position des Zeichen- oder String-Arguments, wenn sie übereinstimmen.
|
- | Entfernt die Rückseite der Eingangszeichenfolge vom Ende der angegebenen Zeichenfolge.
|
+ | Verkettet Eingaben von Zeichenfolgen oder Ausdrücken.
|
| | Evaluiert die getrennten Ausdrücke mit der leeren Zeichenfolge und wählt das erste nicht-leere Ergebnis aus.
|
Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud
Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar angezeigt wird, wenn er sich bei der Webex-App anmeldet. Mit dieser Prozedur können Sie rohe Avatar-Daten von einem Active Directory-Attribut synchronisieren.
| 1 | Wechseln Sie vom Directory Connector zu Konfiguration , klicken Sie auf Avatar und aktivieren Sie anschließend „Aktivieren“ . |
| 2 | Für Avatar aus abrufen, wählen Sie das AD-Attribut und wählen Sie dann das Avatar-Attribut aus, das die rohen Avatar-Daten enthält, die Sie mit der Cloud synchronisieren möchten. |
| 3 | Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar abrufen . Der Avatar wird rechts angezeigt. |
| 4 | Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Anwenden , um Ihre Änderungen zu speichern. |
Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer können keinen eigenen Avatar festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.
Nächste Schritte
Führen Sie einen Probelauf für die Synchronisierung durch. Wenn keine Probleme auftreten, führen Sie eine vollständige Synchronisierung durch, um Ihre Active Directory-Benutzerkonten und Avatare für die Synchronisierung in der Cloud zu erhalten und in Control Hub anzuzeigen.
Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver in die Cloud
Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar angezeigt wird, wenn er sich bei der Webex-App anmeldet. Verwenden Sie dieses Verfahren, um Avatare von einem Ressourcenserver zu synchronisieren.
Vorbereitungen
Das URI-Muster und der Variablenwert in dieser Prozedur sind lediglich Beispiele. Verwenden Sie stattdessen die tatsächlichen URLs, unter denen sich Ihre Verzeichnis-Avatare befinden.
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht im Internet öffentlich zugänglich sein.
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass Avatar-Daten per NTLM-Authentifizierung oder Basic-Authentifizierung aufgerufen werden können.
| 1 | Wechseln Sie vom Directory Connector zu Konfiguration , klicken Sie auf Avatar und aktivieren Sie anschließend „Aktivieren“ . |
| 2 | Für Avatar abrufen von , wählen Sie Ressourcenserver und geben Sie dann das Avatar-URI-Muster ein – Beispiel: Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten:
|
| 3 | (Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen erfordert, aktivieren Sie das Kontrollkästchen Benutzeranmeldeinformationen für Avatar festlegen, wählen Sie dann entweder Aktuellen Dienstanmeldeingenieur verwenden oder Diesen Benutzer verwenden und geben Sie das Kennwort ein. |
| 4 | Geben Sie den Variablenwert ein – Zum Beispiel: |
| 5 | Klicken Sie auf Test , um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. In diesem Beispiel lautet der Endgültige Avatar-URI folgendermaßen, wenn der mail-Wert für einen AD-Eintrag |
| 6 | Nachdem die URI-Informationen überprüft wurden und korrekt aussehen, klicken Sie auf Anwenden. Detaillierte Informationen zum Verwenden regulärer Ausdrücke finden Sie in der Microsoft Reguläre Ausdrucksprache – Schnellreferenz . |
Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer können keinen eigenen Avatar festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.
Nächste Schritte
Führen Sie einen Probelauf für die Synchronisierung durch. Wenn keine Probleme auftreten, führen Sie eine vollständige Synchronisierung durch, um Ihre Active Directory-Benutzerkonten und Avatare für die Synchronisierung in der Cloud zu erhalten und in Control Hub anzuzeigen.
Synchronisieren von lokalen Rauminformationen mit der Webex Cloud
Mit diesem Verfahren können Sie lokale Rauminformationen aus Active Directory in der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf Cloud-registrierten Webex-Geräten (Room, Desk und Board) angezeigt.
| 1 | Wechseln Sie vom Directory Connector zu Synchronisieren , und klicken Sie auf mehr | ||
| 2 | Aktivieren Sie Rauminformationen mit Cloud synchronisieren , um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf dieselbe Weise behandelt wie vom Benutzer synchronisierte Daten. | ||
| 3 | Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=Enterprise .
| ||
| 4 | Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann verwendet, um Räume zu identifizieren.
| ||
| 5 | Navigieren Sie von Active Directory-Benutzern und Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den voll qualifizierten SIP-URI mit dem Präfix sip hinzu:
| ||
| 6 | Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden aufgelistet Objekte hinzugefügt und übereinstimmende Raumobjekte werden in Objekte übereinstimmenden im Probelauf-Bericht angezeigt. Alle zum Löschen markierten Raumobjekte befinden sich unter „Räume gelöscht“.
Die Ergebnisse des Probelaufs zeigen alle Raumressourcen an, die übereinstimmen.
Bei dieser Einstellung werden die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten getrennt. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.
|
Nächste Schritte
Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Webex-Cloud registrierten Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie bei diesem Eintrag einen Anruf vom Webex-Gerät aus tätigen, wird ein Anruf an die SIP-Adresse getätigt, die für den Raum konfiguriert wurde.
In Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.
| Der Endpunkt kann keinen Rückruf an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte als SIP-URI lokal oder an einem anderen Ort als der Webex-App registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, Schreibtischgerät oder Webex Board für den Kalenderdienst befindet, wird in den Suchergebnissen nicht der doppelte Eintrag angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App gewählt, und es wird kein SIP-Anruf getätigt. |
E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisierung senden
Standardmäßig erhalten die Organisationskontakte oder -administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen erhalten soll, in denen die Verzeichnissynchronisierungsberichte zusammengefasst sind.
| 1 | Klicken Sie im Directory Connector auf Konfiguration und wählen Sie dann Benachrichtigung . |
| 2 | Klicken Sie im Directory Connector auf Einstellungen und neben E-Mail-Empfänger auf Synchronisierung des Berichts aktivieren . |
| 3 | Aktivieren Sie Benachrichtigung aktivieren , wenn Sie das Standardbenachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten. |
| 4 | Klicken Sie auf Hinzufügen und geben Sie dann eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse in einem ungültigen Format eingeben, wird eine Meldung angezeigt, in der Sie aufgefordert werden, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können. |
| 5 | Klicken Sie auf E-Mail hinzufügen und geben Sie dann eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse in einem ungültigen Format eingeben, wird eine Meldung angezeigt, in der Sie aufgefordert werden, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können. |
| 6 | Wenn Sie die eingegebenen E-Mail-Adressen bearbeiten müssen, doppelklicken Sie in der linken Spalte auf den E-Mail-Eintrag und nehmen Sie dann die gewünschten Änderungen vor. |
| 7 | Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Anwenden. |
| 8 | Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf „Speichern“ . |
Nächste Schritte
Wenn Sie entschieden haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und dann auf „Entfernen“ klicken .
Wenn Sie entschieden haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.
Bereitstellen von Benutzern aus Active Directory In Control Hub
Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (mit einer einzelnen Gesamtstruktur oder mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Das Ziel ist eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud.
| 1 | Probelauf für die Synchronisierung Ihrer Active Directory-Benutzer durchführen Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory und Objekte in der Webex-Cloud zu vergleichen. Bei einem Probelauf können Sie sehen, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und die Änderungen an der Cloud übertragen. |
| 2 | Vollständige Synchronisierung von Active Directory-Benutzern in die Cloud Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihren Active Directory (AD) in die Cloud. Anschließend aktualisiert der Connector-Dienst den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Vorlage für die automatische Lizenzzuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen. |
| 3 | Zuweisen von Webex-Diensten zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen mit einer Vielzahl von Methoden zuweisen. Wir empfehlen, dass Sie eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen. |
Probelauf für die Synchronisierung Ihrer Active Directory-Benutzer durchführen
Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory und Objekte in der Webex-Cloud zu vergleichen. Bei einem Probelauf können Sie sehen, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und die Änderungen an der Cloud übertragen.
Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Mit Directory Connector ist es das Ziel, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erreichen.
Wenn Sie mehrere Domänen in einer einzelnen Gesamtstruktur oder mehreren Gesamtstrukturen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen durchführen, die Sie für jede Active Directory-Domäne installiert haben.
Vorbereitungen
Möglicherweise haben Sie bereits einige Webex-App-Benutzer in Control Hub, bevor Sie Directory Connector verwendet haben. Unter den Benutzern in der Cloud können einige mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es kann sich jedoch um Testbenutzer handeln, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Ihrem Active Directory und Control Hub erstellen.
| 1 | Wählen Sie eine Option:
Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt:
Die Zusammenfassung enthält Informationen zum Objekt-Matching:
Der Probelauf identifiziert die Benutzer, indem er mit Domänenbenutzern verglichen wird. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory. | ||
| 2 | Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option, je nachdem, ob Sie eine einzelne Domäne oder mehrere Domänen verwenden:
| ||
| 3 | Klicken Sie in der Aufforderung „Probelauf bestätigen “ auf „Ja“ , um den Probelauf für die Synchronisierung erneut auszuführen, und zeigen Sie das Dashboard an, um die Ergebnisse anzuzeigen. Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter „ Objekte übereinstimmen“ angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschungsmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched, um Details der synchronisierten Elemente anzuzeigen. Klicken Sie auf Ergebnisse in Datei speichern, um die Zusammenfassung zu speichern. | ||
| 4 | Wenn die Ergebnisse erwartet werden, gehen Sie zu , und klicken Sie dann auf Jetzt aktivieren , um eine manuelle Synchronisierung durchzuführen und an dieser Stelle in den manuellen Modus zu wechseln.
|
Nächste Schritte
Bei nicht übereinstimmenden Benutzerobjekten, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen der lokalen Umgebung und der Cloud besteht.
Synchronisierungstyp auswählen:
Führen Sie eine vollständige Synchronisierung der Active Directory-Benutzer in die Cloud durch , wenn Sie zum ersten Mal neue Benutzer mit der Cloud synchronisieren. Sie tun dies über , und dann werden Benutzer aus der aktuellen Domäne synchronisiert.
Richten Sie den Connector-Zeitplan ein und führen Sie eine inkrementelle Synchronisierung aus, nachdem Sie eine vollständige Synchronisierung durchgeführt haben und wenn Sie die Änderungen nach der anfänglichen Synchronisierung übernehmen möchten. Diese Art der Synchronisierung wird empfohlen, um kleine Änderungen an der Active Directory-Benutzerquelle zu übernehmen.
Standardmäßig wird eine inkrementelle Synchronisierung auf alle 30 Minuten (ab Version 3.4) oder alle 4 Stunden (ab Version 3.5) festgelegt, Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, wenn Sie eine vollständige Synchronisierung durchgeführt haben.
Wenn Sie mehrere Domänen haben, wiederholen Sie diese Schritte auf einem anderen Verzeichniskonnektor, den Sie installiert haben.
Wichtige Hinweise
Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisierung dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeläufe überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.
Wenn übereinstimmende Benutzer als zu löschen markiert sind und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und kontaktieren Sie den Support unter „Fehlerbehebung und Fehlerbehebung für Directory Connector“.
Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst gespeichert, bevor sie dauerhaft gelöscht werden.
Vollständige Synchronisierung von Active Directory-Benutzern in die Cloud
Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihren Active Directory (AD) in die Cloud. Anschließend aktualisiert der Connector-Dienst den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Vorlage für die automatische Lizenzzuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
Wenn Sie mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen durchführen, die Sie für jede Active Directory-Domäne installiert haben.
Directory Connector synchronisiert den Status des Benutzerkontos. In Active Directory werden alle Benutzer, die als deaktiviert markiert sind, auch in der Cloud als inaktiv angezeigt.
Vorbereitungen
Wenn sich die Benutzerkonten der Webex-App nach der vollständigen Synchronisierung und bevor sich die Benutzer zum ersten Mal anmelden, im Aktivstatus befinden sollen, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:
Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Weitere Informationen finden Sie unter
Einmaliges Anmelden mit Cisco Webex-Diensten und dem Identitätsanbieter
Ihrer Organisation.Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe
Domänen hinzufügen, überprüfen und beanspruchen
.Unterdrücken Sie automatische E-Mail-Einladungen , damit neue Benutzer nicht die automatische E-Mail-Einladung zur Webex-App erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
Aktivierte Benutzer, die sich nicht angemeldet haben, werden mit dem Status „ Verifiziert“ in Control Hub angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub .
Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen. Wir empfehlen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu beheben.
Sie müssen eine Lizenzvorlage automatisch zuweisen einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Wenn Sie keine automatischen Lizenzvorlagen verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie werden in der Lage sein, zu verwenden die gleichen kostenlosen Funktionen wie diejenigen mit kostenlosen Konten.
| 1 | Wählen Sie eine Option:
| ||
| 2 | Wechseln Sie vom Directory Connector zu Synchronisieren , und klicken Sie auf mehr | ||
| 3 | Bestätigen Sie den Beginn der Synchronisierung. Bei allen Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), gibt Control Hub die Änderung sofort wieder, wenn Sie die Benutzeransicht aktualisieren, aber die Webex-App gibt die Änderungen bis zu 72 Stunden nach der Synchronisierung wieder.
| ||
| 4 | Klicken Sie auf Aktualisieren , wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik .) | ||
| 5 | Um Informationen zu Fehlern zu erhalten, wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um die Fehlerprotokolle anzuzeigen. | ||
| 6 | Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen in der Cloud finden Sie unter Connector-Zeitplan festlegen und Inkrementelle Synchronisierung ausführen . |
Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung von Deaktiviert zu Betriebsbereit auf der Seite Einstellungen in Control Hub aktualisiert.
Wenn alle Daten zwischen der lokalen und der Cloud-Umgebung abgeglichen werden, wechselt der Directory Connector vom manuellen in den automatischen Synchronisierungsmodus.
Wenn Sie keine Single Sign-On-Konten integrieren, keine Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben, und keine automatisierten E-Mails unterdrücken, verbleiben die Webex-App-Benutzerkonten im Status "Nicht verifiziert", bis sich Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Anweisungen zum Synchronisieren der Konten als Aktive Benutzer finden Sie im Abschnitt „Bevor Sie beginnen“.
Wenn Sie mehrere Domänen haben, führen Sie diesen Schritt auf einem anderen Verzeichniskonnektor aus, den Sie installiert haben. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
Wenn Sie Single Sign-On mit Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
Sie können keine Benutzer manuell in Control Hub hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung erfolgt die Benutzerverwaltung über den Cisco Directory Connector, und Active Directory ist die einzige Informationsquelle.
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.
Nächste Schritte
Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung weich gelöscht. Der Benutzer wird
Inactiveaber das Cloud-Identitätsprofil wird sieben Tage lang aufbewahrt (um die Wiederherstellung nach einem versehentlichen Löschen zu ermöglichen).Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer
Inactivenach der nächsten Synchronisierung. Das Cloud-Identitätsprofil wird nicht nach sieben Tagen gelöscht, falls Sie den Benutzer erneut aktivieren möchten.Beachten Sie diese Ausnahmen für eine inkrementelle Synchronisierung (befolgen Sie stattdessen die Schritte zur vollständigen Synchronisierung oben):
Im Fall eines aktualisierten Avatars, aber keine andere Attributänderung, wird der Avatar des Benutzers durch inkrementelle Synchronisierung nicht in der Cloud aktualisiert.
Konfigurationsänderungen in Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.
Zuweisen von Webex-Diensten zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub
Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco Directory Connector in Control Hub abgeschlossen haben, können Sie mit Control Hub allen Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Änderungen am Benutzerkonto vornehmen.
Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie mithilfe von Methoden in Control Hub Webex-Dienstlizenzen allen Benutzern, einzelnen Benutzern, über die CSV-Massenvorlage oder automatisch neuen Benutzern zuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Änderungen am Benutzerkonto vornehmen.
Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken , wenn Sie Ihre Benutzer direkt kontaktieren möchten.
Vorbereitungen
Sie müssen eine Lizenzvorlage automatisch zuweisen einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Führen Sie einen Probelauf für die Synchronisierung Ihrer Active Directory-Benutzer durch.
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung Ihrer Active Directory-Benutzer durch.
| Zum Zeitpunkt der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine standardmäßige Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreichen Abschluss der automatischen Zuweisung. |
| 1 | Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , klicken Sie Benutzer verwalten, wählen Alle synchronisierten Benutzer ändern, und klicken Sie dann auf Nächster. |
| 2 | Wählen Sie eine Option:
|
Nächste Schritte
Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung zum Beitreten und Herunterladen von Webex gesendet.
Wenn Sie dieselben Webex-Dienste für alle Ihre Benutzer ausgewählt haben, können Sie die Lizenz anschließend einzeln oder gesammelt ändern.
Bekannte Probleme mit Directory Connector
Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das den Directory Connector betrifft. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
Bei allen Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), gibt Control Hub die Änderung sofort wieder, wenn Sie die Benutzeransicht aktualisieren, aber die Webex-App gibt die Änderungen 72 Stunden nach der Synchronisierung wieder.
Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie folgende Anweisungen ausführen: Windows oder Mac .
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, klingelt der Anruf zu diesem Zeitpunkt unbegrenzt.
Durchführen einer inkrementellen Synchronisierung
Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen Änderungen an der Benutzerattributierung und den Zeitpunkt, an dem ein Benutzer hinzugefügt oder gelöscht wird.
Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie Ihre anfängliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.
Vorbereitungen
Sie müssen eine Lizenzvorlage automatisch zuweisen einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in die Cloud durchführen ):
Im Fall eines aktualisierten Avatars, aber keine andere Attributänderung, wird der Avatar des Benutzers durch inkrementelle Synchronisierung nicht in der Cloud aktualisiert.
Bei neuen Konfigurationsänderungen in der Attributzuordnung, Basis-DN, Filter und der Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht, und diese erfordern eine vollständige Synchronisierung.
| 1 | Klicken Sie in Directory Connector auf Dashboard.
| ||
| 2 | Klicken Sie unter „Aktionen“ auf „Synchronisierungsmodus“ > „Synchronisierung aktivieren“ , falls nicht bereits aktiviert. Standardmäßig wird eine inkrementelle Synchronisierung auf alle 30 Minuten (ab Version 3.4) oder alle 4 Stunden (ab Version 3.5) festgelegt, Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, wenn Sie eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen basierend auf dem letzten Zeitstempel. | ||
| 3 | Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Bei allen Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), gibt Control Hub die Änderung sofort wieder, wenn Sie die Benutzeransicht aktualisieren, aber die Webex-App gibt die Änderungen 72 Stunden nach der Synchronisierung wieder.
| ||
| 4 | Um Informationen zu Fehlern zu erhalten, klicken Sie auf Ereignisanzeige starten in der Symbolleiste Aktionen , um die Fehlerprotokolle anzuzeigen. |
Nächste Schritte
Wenn Sie mehrere Domänen haben, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.
Versehentlich gelöschte Benutzer wiederherstellen
Der Directory Connector verfügt über Kontrollmechanismen, um eine unbeabsichtigte Löschung von Benutzern zu verhindern. Leider kann es passieren, dass es zu Unglücksfällen kommt. Möglicherweise haben Sie einen LDAP -Filter in Active Directory falsch konfiguriert, der bei der Synchronisierung mit der Cloud einige Benutzer löschte. Die Funktion zum sanften Löschen kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.
Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, z. B. aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung vom Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie eine nicht übereinstimmende Objekte bemerken oder feststellen, dass Benutzer gelöscht wurden, können Sie sie wiederherstellen, wenn Sie schnell handeln.
| Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer für bis zu 7 Tage bei. Während dieses Zeitraums können Sie den Cisco Directory Connector weiterhin verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so schnell wie möglich wiederherzustellen. Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nicht nach 7 Tagen gelöscht. |
| 1 | |
| 2 | Navigieren Sie zu Benutzer und bestätigen Sie, dass ein bestimmtes Benutzerkonto inaktiv oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub . |
| 3 | Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer mit einem inaktiven Status bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Ziel des Directory Connectors ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu erstellen. |
| 4 | Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten in Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und ihrer Dienstzuweisungen. |
Nächste Schritte
Zurück zu Control Hub, gehen Sie zu , und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.
Benutzer nach weichem Löschen endgültig löschen
Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung weich gelöscht wurden, dauerhaft löschen.
| 1 | Nachdem ein Probelauf abgeschlossen ist, wählen Sie Weich gelöschte Objekte . |
| 2 | Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten. |
| 3 | Wählen Sie Fertig aus. |
Nächste Schritte
Bei der nächsten Synchronisierung werden die Benutzer, die Sie überprüft haben, dauerhaft gelöscht.
E-Mail-Adresse der Webex-App ändern
Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. In diesem Verfahren wird beschrieben, wie Sie eine Webex-App-E-Mail-Adresse für eine einzelne Domäne und einen Prozess zum Ändern der Domäne ändern.
| Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto, und die Bereiche und anderen Daten des Benutzers in der Cloud gehen verloren. |
So ändern Sie die E-Mail-Adressen der Benutzer, ohne die Domäne zu ändern:
Setzen Sie die Synchronisierung auf dem Directory Connector fort.
Nach der nächsten Synchronisierung werden die Änderungen in Ihrer Benutzerliste in Control Hub und für Benutzer in der Webex-App nach der Aktualisierung des Caches angezeigt.
Bei dieser Methode gehen keine Daten oder Bereiche verloren. Die eindeutige Kennung des Benutzers wird nach der ersten Synchronisierung in der Cloud festgelegt. Alle nachfolgenden Synchronisierungen basieren auf dieser Kennung.
In einer Bereitstellung mit mehreren Domänen mit Directory Connector können Sie die E-Mail-Adressen der Benutzer ändern, während Sie die Domäne ändern (siehe example1.com, die alte Domäne, und example2.com, die neue Domäne):
Setzen Sie die Synchronisierung im Directory Connector für example2.com fort.
Bevor Sie fortfahren, überprüfen Sie, ob das Konto user1@example2.com im Control Hub synchronisiert wird. Wir empfehlen, den Benutzer anzuweisen, die E-Mail-Änderung in der Webex-App zu überprüfen und alle Daten (Bereiche, Nachrichten, Meetings, Dateien usw.) aufzubewahren.
Bei dieser Methode gehen keine Daten oder Bereiche verloren. Im neuen Benutzerkonto müssen Sie jedoch sicherstellen, dass das Active Directory-Attribut, das dem uid-Attribut der Cloud zugeordnet ist, aus dem alten Benutzerkonto beibehalten wird. Wenn Sie den Active Directory-Wert ändern, werden die Daten des alten Kontos für das neue Konto nicht beibehalten.
Nachdem Sie überprüft haben, ob die E-Mail-Adresse geändert wurde und die Daten intakt sind, löschen Sie das alte Benutzerkonto auf example1.com und setzen Sie die Synchronisierung mit Directory Connector für example1.com fort.
Zu diesem Zeitpunkt können Sie die E-Mail-Adresse in der neuen Active Directory-Domäne für user1@example2.com sicher aktualisieren.
Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch erneut mit der Cloud synchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung in „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten .
Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie die E-Mail-Adressen der Webex-App auf der Seite „Kontoeinstellungen“ ändern. Weitere Informationen zum Ändern der E-Mail-Adresse für Ihr Konto finden Sie unter „Ändern der E-Mail-Adresse für Ihr Konto“.
Active Directory-Domäne ändern
Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.
| 1 | Richten Sie eine neue Active Directory (AD)-Domäne ein. | ||
| 2 | Deaktivieren Sie die Synchronisierungen für alle Konnektoren. | ||
| 3 | Deinstallieren Sie alle Konnektoren. | ||
| 4 | Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Einreichung des Falls sicher, dass Sie das Entfernen der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern.
| ||
| 5 | Nachdem der Fall behoben ist: Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen. |
Domänenanspruch
Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass jedes Sideboarding-Konto in der kostenpflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können einen Domänenanspruch nur über einen Support-Fall durchführen (siehe Link unten für weitere Informationen).
Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, einen eingeladenen Benutzer zu einem Webex-App-Bereich hinzuzufügen, besteht darin, das Konto zuerst über den Directory Connector in Control Hub bereitzustellen.
Konvertieren von Benutzern der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis
Sie können im Webex-App-Verzeichnis nur eindeutige E-Mail-Adressen verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App angemeldet haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Zum Verwalten der Benutzer in dieser Organisation mithilfe des Directory Connectors migrieren (konvertieren) Sie sie in die Kunden-Organisation, bevor Sie den Directory Connector aktivieren. Anschließend fügen Sie die Benutzer mit der genauen E-Mail-Adresse zu Active Directory hinzu und synchronisieren sie mit der Cloud.
Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.
Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung <email address=""> konnte nicht konvertiert
werden. Um das Problem zu vermeiden, können Sie diese Schritte als Problemumgehung verwenden.
| Einige beanspruchte Benutzer werden möglicherweise mit dem Wenn Sie diese Benutzer nicht hinzufügen, werden alle neben Ihnen gelöscht und mit der Cloud synchronisiert. |
| 1 | Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector. | ||
| 2 | Befolgen Sie das Verfahren Konvertieren nicht lizenzierter Benutzer in Control Hub , um den Benutzer aus der kostenlosen Verbraucher-Organisation in die Enterprise-Organisation zu konvertieren. In diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass für alle kürzlich konvertierten Benutzer übereinstimmende Benutzer Active Directory, bevor Sie die Synchronisierung erneut starten. Eine Trockenlaufsynchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind. | ||
| 3 | Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden.
| ||
| 4 | Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren. |
Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht überprüft haben. Wenn Sie beispielsweise die Vorlage für die automatische Lizenzzuweisung aktiviert und dann den Directory Connector ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.
Benutzerkonten der Sideboarding-Webex-App
Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App eingeladen haben und der eingeladene Benutzer kein Webex-App-Konto hat, wird ein Konto für ihn erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.
Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren .
Format des Webex-App-Benutzernamens nach der Verzeichnissynchronisierung ändern
Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.
Nach der Verzeichnissynchronisierung kann es passieren, dass Benutzernamen im Format <lastName, firstName=""> angezeigt werden.
Dieser Benutzername kann angezeigt werden, wenn die displayName-Attribut in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut zugeordnet ist zu displayName in der Cloud werden Namen im Format <lastName, firstName=""> in Control Hub angezeigt.
So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: Active Directory-Attribut zuordnen givenName sn(oder sn givenName) bis displayName in Cisco Cloud-Attributnamen.
Alternativ dazu das Attribut zuordnen sn givenName bis displayName:
Sie können auch die Option Attribut anpassen verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck zuordnen möchten, um displayName.
Geben Sie beispielsweise givenName + "" + sn(Vorname, Leerzeichen, Nachname) als Ausdruck. Dadurch werden die beiden Attribute in Active Directory zugeordnet zu displayName in der Cloud.
Zulassen, dass Benutzer Anzeigenamen in Webex Meetings ändern
Sie können die Zuordnung der displayName Attribut von der Synchronisierung in die Cloud im Directory Connector, wenn Sie zulassen möchten, dass Benutzer ihre bevorzugten Anzeigenamen bearbeiten können. Benutzer können anstelle ihres Vor- und Nachnamens einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.
| 1 | Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattribute-Zuordnung aus. |
| 2 | Wählen Sie displayName unter Cisco Cloud-Attributname . |
| 3 | Wählen Sie Dieses Attribut nicht synchronisieren . |
Nächste Schritte
Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.
Upgrade auf die neueste Softwareversion
Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie nicht auf die neueste verfügbare Version aktualisieren, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische Anforderung TLS 1.2 nicht unterstützt.
Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.
| Obwohl Sie Connector-Software-Updates manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades einrichten zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann. |
| 1 | Klicken Sie entweder in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten. |
| 2 | Befolgen Sie die Anweisungen, um das Upgrade durchzuführen. |
| 3 | Starten Sie den Connector neu und melden Sie sich mit Ihren Administratoranmeldeinformationen an. |
| 4 | Überprüfen Sie die Versionsnummer der Software unter . |
Nächste Schritte
Für eine Neuinstallation von Directory Connector können Sie die ZIP-Datei herunterladen und die Installationsschritte in diesem Handbuch befolgen.
Konfigurieren von allgemeinen Einstellungen für Directory Connector
Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.
| 1 | Wechseln Sie vom Directory Connector zu Konfiguration und klicken Sie auf Allgemein. | ||
| 2 | Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird. | ||
| 3 | Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen:
| ||
| 4 | Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen. | ||
| 5 | Aktivieren Sie das Kontrollkästchen Automatisches Upgrade auf die neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, Ihre Cisco Directory Connector-Software auf dem neuesten Stand zu halten. Wir empfehlen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind. | ||
| 6 | Überprüfen Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden.
LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle, die zwischen einer Anwendung und dem Domänencontroller innerhalb der Infrastruktur verwendet werden. Die LDAPS-Kommunikation ist verschlüsselt und sicher. |
Connector-Richtlinie konfigurieren
Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.
Sie haben beispielsweise Folgendes festgelegt: 1 als Schwellenwert zum Löschen. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.
| 1 | Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus. | ||
| 2 | Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
| ||
| 3 | Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20.
| ||
| 4 | Klicken Sie auf Übernehmen. |
Zeitplan für Connector festlegen
Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.
| 1 | Klicken Sie im Directory Connector auf Konfiguration und wählen Sie dann Zeitplan . |
| 2 | Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig wird eine inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben. |
| 3 | Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden. |
| 4 | Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll. |
| 5 | Geben Sie einen Wert für Failover-Intervall in Minuten an. |
| 6 | Klicken Sie auf Übernehmen. |
Mehrere Domänenszenarien
Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.
Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.
Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.
Beispielanwendungen für mehrere Domänen
Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.
Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.
- Synchronisierung auf example1.com
-
Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in angezeigt, user1 und group1 dagegen nicht.https://admin.webex.com
Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.
User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.
- Synchronisierung für example1.com und example2.com
-
Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in angezeigt, user1 und group1 dagegen nicht.https://admin.webex.com
Stellen Sie sich das folgende Szenario vor:
- Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
- Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in werden nicht geändert.https://admin.webex.com User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
- Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in werden nicht geändert.https://admin.webex.com
- Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in aufgelistet.https://admin.webex.com
Neue Domäne synchronisieren Und Vorhandene Domäne beibehalten
Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, stellen Sie sicher, dass Sie den Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden, und die Benutzerinformationen unter Domäne (A) bleiben davon unberührt.
Jede Domäne muss über einen eigenen aktiven Connector verfügen. Berücksichtigen Sie zwei Domänen mit der folgenden Einrichtung: Domäne A mit Connectors (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen Domäne A. In diesem Szenario ist ein Connector aktiv und der andere ist Standby (HA). Bei diesem Design wird die Domäne synchronisiert, da immer ein Konnektor aktiv ist. cb1 ist also der aktive Connector für Domäne B, da Domäne A bereits einen aktiven Connector (ca1 oder ca2) hat.
Domänenpriorität festlegen
Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.
Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.
Vorbereitungen
Um Fehler zu vermeiden, installieren Sie die neueste Version des Cisco Directory Connector oder führen Sie ein Upgrade auf diese durch. Sie steht unter zum Download bereit.https://admin.webex.com
| 1 | Klicken Sie im Cisco Directory Connector auf Dashboard . | ||
| 2 | Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen. | ||
| 3 | Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern.
|
Domäne wechseln
Verwenden Sie dieses Verfahren, um den Cisco Directory Connector mit einer anderen Domäne zu verbinden.
Vorbereitungen
Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
Um Fehler zu vermeiden, installieren Sie die neueste Version des Cisco Directory Connector oder führen Sie ein Upgrade auf diese durch. Sie müssen es von Control Hub herunterladen .
| 1 | Klicken Sie im Cisco Directory Connector auf Dashboard . |
| 2 | Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln. |
| 3 | Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, andere Domänen im Connector werden nicht registriert und die Connector-Informationen auf diesem Computer werden gelöscht. |
| 4 | Melden Sie sich erneut beim Cisco Directory Connector an und verbinden Sie die Domäne erneut. |
Verzeichnissynchronisation deaktivieren
Wenn Sie die Synchronisierung über Directory Connector beenden müssen, können Sie sie vorübergehend über Control Hub deaktivieren.
| 1 | Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:
|
| 2 | Nachdem Sie die Eingabeaufforderung gelesen haben, klicken Sie auf Deaktivieren . Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren. |
Benutzerattribute-Zuordnung entfernen
Verwenden Sie Directory Connector, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.
| 1 | Klicken Sie in Directory Connector auf Dashboard. |
| 2 | Gehen Sie zu „Aktionen“ und klicken Sie auf . |
| 3 | Wählen Sie die Zuordnung aus, die aus der Liste Attributname entfernt werden soll. |
| 4 | Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus:
|
| 5 | Klicken Sie auf Übernehmen. |
Profilbilder verwalten
Verwenden Sie Directory Connector, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.
| 1 | Klicken Sie in Directory Connector auf Dashboard. |
| 2 | Gehen Sie zu „Aktionen“ und klicken Sie auf . |
| 3 | Wählen Sie unter Aktionen eine der folgenden Optionen aus:
|
| 4 | Klicken Sie auf Übernehmen. |
Directory Connector deinstallieren und deaktivieren
Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:
Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
Sie möchten die Domäne ändern und einen anderen Connector installieren.
Vorbereitungen
Möglicherweise sind mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder die Synchronisierung mehrerer Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie Directory Connector deinstallieren.
| 1 | Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen. |
| 2 | Klicken Sie in der Programmliste auf Directory Connector , wählen Sie Deinstallieren und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen. |
| 3 | Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , blättern Sie zu Verzeichnissynchronisierung , klicken Sie auf mehr |
| 4 | Nachdem Sie die Eingabeaufforderung gelesen haben, klicken Sie auf Deaktivieren . Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung. |
Das Diagnosetool ausführen
Sie können das integrierte Diagnosetool verwenden, um Fehler bei Ihrer Directory Connector-Bereitstellung zu beheben. Dieses Tool ist ab Directory Connector 3.4 installiert.
Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP , damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.
So führen Sie Tests für Active Directory-Domänendienste aus:
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
Fehlerbehebung und Fehlerbehebungen für Directory Connector
Es kann zu einer Fehlermeldung oder einem anderen Problem im Directory Connector kommen. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet Ihnen der Connector möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. In den folgenden Abschnitten finden Sie Informationen zu Problemen, möglichen Ursachen und vorgeschlagenen Lösungen, die Sie versuchen können, bevor Sie sich an den Support wenden.
Installieren
Directory Connector funktioniert nicht mehr
Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber informiert wurden, dass Ihr Directory Connector nicht funktioniert.
Directory Connector ist möglicherweise nicht korrekt installiert.
Directory Connector wird möglicherweise nicht ausgeführt.
Das Netzwerk ist möglicherweise nicht verfügbar.
Gehen Sie wie folgt vor:
Öffnen . Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
Öffnen Sie den Dienst und suchen Sie nach Cisco DirSync Service. Vergewissern Sie sich, dass der Status „Gestartet“ lautet. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, Zugriff auf das Internet hat.
Fehler bei Neuinstallation
Problem : Wenn Sie nach der Deinstallation eines alten Connectors sofort einen neuen Connector installieren, wird möglicherweise eine Fehlermeldung angezeigt.
Mögliche Ursache: In Windows Server 2012 benötigt der Deinstallations-Client Zeit, um das Dienstkonto aus der Dienstliste zu löschen.
Lösung: Versuchen Sie es nach einiger Zeit erneut mit der Installation.
Anmelden
Directory Connector stürzt während der SSO-Anmeldung ab
Problem
Der Verzeichniskonnektor kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite aus eingegeben haben.
Lösung
Gehen Sie wie folgt vor:
Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:
Rufen Sie den Domänencontroller auf und öffnen Sie die Gruppenrichtlinienverwaltung (gpedit.msc).
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie „Bearbeiten“ .
Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:
Gehen Sie zu , Rechtsklick Registrierung, wählen Neuund dann Registrierungselement.
Für den Schlüsselpfad , geben oder navigieren Sie zu HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main .
Geben Sie
Disable Script Debuggerfür Wert , und geben Sienofür Wertedaten .Die Einstellungen sollten mit diesem Screenshot übereinstimmen:
Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:
Gehen Sie zu , Rechtsklick Registrierung, wählen Neuund dann Registrierungselement.
Für den Tastenpfad , geben oder navigieren Sie zu HKEY _ CURRENT _ USER\SOFTWARE\Microsoft\Internet Explorer\Main .
Geben Sie
Disable Script Debuggerfür Wert , und geben Sienofür Wertedaten .Die Einstellungen sollten mit diesem Screenshot übereinstimmen:
| Die Änderungen werden nach der Ausführung wirksam. |
Cisco DirSync Service Connector konnte nicht registriert werden
Problem
Anmeldung fehlgeschlagen und diese Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“
Lösung
Das Windows-System, auf dem Directory Connector installiert ist, muss Active Directory-Mitglied sein.
Keine Anmeldeseite wird angezeigt
Problem
Sie haben den Directory Connector geöffnet, und die Anmeldeseite wurde nicht angezeigt.
Lösung
Gehen Sie wie folgt vor:
Gehen Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie es mit dem Link in anderen Browsern wie Chrome und Firefox.
Wenn Internet Explorer den Link nicht aufrufen kann, aber andere Browser können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS in Internet Explorer aktivieren .)
Aufforderung zur Anmeldung wird angezeigt
Problem
Es wird eine Aufforderung angezeigt, in der Sie aufgefordert werden, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu übergeben.
Mögliche Ursache
Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung unbeaufsichtigt mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.
Lösung
Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Weiterleitung der Sicherheit angeben.
Verbindung zum Remote-Server kann nicht hergestellt werden
Problem
Während des normalen Betriebs wird die Fehlermeldung angezeigt: "Keine Verbindung zum Remote-Server möglich."
Mögliche Ursache
Möglicherweise haben Sie Proxy-Probleme, die behoben werden müssen.
Lösung
Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung des Dienstkontos .
Konnektor kann nicht registriert werden
Problem
Ihnen wird die Fehlermeldung „Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“
Mögliche Ursache
In den meisten Fällen liegt das Problem daran, dass der Directory Connector kein Privileg hat, sich mit dem LDAP-Stammkontext zu verbinden.
Lösung
Gehen Sie wie folgt vor:
Führen Sie eine Eingabeaufforderung (cmd) aus und geben Sie dann ldp.exe ein.
Klicken Sie auf , wählen Sie Bind als aktuell angemeldeter Benutzer , und klicken Sie dann auf OK .
Klicken Sie auf , geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK .
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall mit Support.
Synchronisation
Avatare nicht synchronisiert
Problem
Der Cisco Directory Connector hat Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatardaten erfolgreich synchronisiert.
Mögliche Ursache
Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache sie und vermeidet ein erneutes Resending, um Bandbreite zu sparen.
Lösung
Löschen Sie den lokalen Cache, indem Sie folgende Schritte ausführen:
Gehen Sie zu C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Löschen DirSyncPluginAvatar.dll-cache.bin .
Führen Sie die Avatar-Synchronisierung über den Cisco Directory Connector erneut aus.
Widersprüchliche Benutzer-E-Mail-Konten
Problem
Die Synchronisierungsergebnisse können widersprüchliche Benutzer-E-Mail-Konten anzeigen.
Wenn Benutzer die kostenlose Version der Webex-App ausprobiert haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucher-Organisation.
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.
Lösung
Gehen Sie wie folgt vor:
Befolgen Sie diese Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
Deaktivieren Sie Cisco Directory Connector vorübergehend.
Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucher-Organisation vorhanden sind. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
Führen Sie einen Probelauf im Cisco Directory Connector aus, und aktivieren Sie dann die Verzeichnissynchronisierung erneut.
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen doppelt.
Konvertierter Benutzer als inaktiv markiert
Problem
In Ihrer Umgebung mit synchronisiertem Verzeichnis haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, aber der konvertierte Benutzer kann sich nicht bei der Webex-App anmelden.
Mögliche Ursache
Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer 30 Tage lang als Sicherheitskonformitätsmaßnahme als inaktiv markiert. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des 30-tägigen Zeitraums zum Löschen markiert. Diese Situation tritt auf, weil sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.
Lösung
Sie müssen handeln, wenn Sie nicht möchten, dass das Benutzerkonto gelöscht wird. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.
Inkrementelle Synchronisierung fehlgeschlagen
Problem
Eine inkrementelle Synchronisierung schlägt fehl.
Dieses Problem kann unter den folgenden Bedingungen auf Windows Server 2008 R2 auftreten:
Sie unterstützen inkrementelle Wertaktualisierungen.
Der Filter, den Sie verwenden, verweist auf ein verknüpftes Werteattribut.
Die Ergebniswerte dieses Attributs wurden seit der letzten vollständigen Synchronisierung aktualisiert.
Lösung
Windows Server 2008 R2 hat einen Fehler, der mit diesem Problem zusammenhängt. Der Fehler wurde 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihr Windows Server auf mindestens 2012 R2 zu aktualisieren.
Ungültiger Wert für Attribut
Problem
Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].
Mögliche Ursache
Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.
Lösung
Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.
Übereinstimmende zu löschende Benutzer
Problem
Die übereinstimmenden Benutzer werden als zu löschend markiert.
Wenn Sie einen Probelauf zur Synchronisierung durchführen, um die Daten zwischen Active Directory und der Cloud zu überprüfen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Konten angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.
Lösung
Wählen Sie eine geeignete Lösung aus:
Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen anschließend erneut auszuführen, können Sie Directory Connector für die Korrektur verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer von lokalem AD mit der Cloud zu synchronisieren.
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Fall beim Support.
Fehlendes Attribut
Problem
Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.
Mögliche Ursache
Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsmitarbeiter,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.
Lösung
Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.
Verschachtelte Gruppe wird nicht synchronisiert
Problem
Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.
Mögliche Ursache
Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Zum Beispiel: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Lösung
Sie müssen den Filter neu konfigurieren, der Gruppen synchronisiert. Zum Beispiel: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
Konflikt bei Benutzerbenennung
Problem
Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und vom Benutzertyp [user_type].
Mögliche Ursache
Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.
Lösung
Erstellen Sie einen Benutzer in Ihrem Active Directory mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.
Control Hub
Benutzerliste fehlt in Control Hub
Problem
Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird die Benutzerliste in Control Hub möglicherweise nicht angezeigt.
Lösung
Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Navigieren Sie in Control Hub zu Benutzer , klicken Sie auf Suchen 
und geben Sie dann Suchkriterien ein, um einen bestimmten Benutzer zu suchen.
Gruppen werden nicht mit Control Hub synchronisiert
Problem
Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.
Mögliche Ursache
Die Gruppe ist nicht markiert als isCriticalSystemObject in Active Directory.
Lösung
Stellen Sie sicher, dass das Attribut isCriticalSystemObject ist festgelegt auf TRUE in Active Directory.
Problembehandlung für den Directory Connector aktivieren
Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.
Die Protokolldateien sind: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 | Führen Sie die | ||
| 2 | Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten. | ||
| 3 | Klicken Sie im Directory Connector auf Dashboard . | ||
| 4 | Gehen Sie zu „Aktionen“ und klicken Sie auf . | ||
| 5 | Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können. | ||
| 6 | Prüfen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt.
| ||
| 7 | Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten. | ||
| 8 | Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind. |
Starten der Ereignisanzeige
Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.
| 1 | Wechseln Sie vom Directory Connector zu Dashboard und klicken Sie auf . Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails. |
| 2 | Wechseln Sie von der Ereignisanzeige zu .
|
| 3 | Klicken Sie unter „Aktionen“ auf „Alle Events speichern unter“ , um alle Protokolle als einzelne Ereignisdatei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren. |
Nächste Schritte
Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und hängen Sie die Ereignisdatei an Ihren Fall an.
| In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Unterstützung bei der Verwaltung des Netzwerkverkehrs zu erhalten. |
TLS in Internet Explorer aktivieren
Wenn Sie Anbieter für die einmalige Anmeldung (Single Sign-On, SSO) gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:
Fehler bei der Anmeldung beim Dienst
Im Skript auf dieser Seite ist ein Fehler aufgetreten
Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.
| 1 | Öffnen Sie Internet Explorer, und wählen Sie dann „Extras“ . Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die Sie aktivieren möchten.Klicken Sie auf OK Browser schließen und erneut öffnen |
| 2 | Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , blättern Sie zu Sicherheit . |
| 3 | Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden und klicken Sie dann auf OK .
|
| 4 | Starten Sie Ihr System neu, damit die Änderungen wirksam werden. |
Anmeldeprobleme für Dienstkonten beheben
Wenn Sie sich nicht beim Cisco Directory Connector anmelden oder keine Synchronisierung durchführen können, versuchen Sie mit diesen Schritten, das Problem zu beheben, bevor Sie sich an den Support wenden.
| 1 | Versuchen Sie, in Ihrem Webbrowser aufzurufen.https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL | ||
| 2 | Wählen Sie je nach den Ergebnissen eine Option:
| ||
| 3 | Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (der in Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar-Daten und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und Authentifizierung für das Windows-Anmeldekonto. |
Überprüfen SafeDllSearchMode in der Windows-Registrierung
Der Suchmodus für sichere dynamische Links-Bibliotheken (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und platziert das aktuelle Verzeichnis des Benutzers später in der DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt das gleiche wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) in das aktuelle Arbeitsverzeichnis der Anwendung platzieren.
Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.
Vorbereitungen
| Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, vor der Verwendung dieser Schritte ein Backup Ihrer Registrierung zu erstellen. |
| 1 | Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ „regedit“ ein, und drücken Sie dann die Eingabetaste. |
| 2 | Gehen Sie zu HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
| 3 | Wählen Sie eine Option:
|
Weitere Informationen finden Sie unter Dynamic Link Library Search Order .
