- Startseite
- /
- Artikel
Danke für Ihr Feedback.
Bereitstellungsleitfaden für Directory Connector
In diesem Artikel
Feedback?Verzeichniskonnektor – Übersicht
Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.
Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur einzigen Quelle der Wahrheit wird. Wenn Sie eine Änderung lokal vornehmen, wird sie in die Cloud repliziert.
Alle Funktionen, Beschreibungen und Vorteile finden Sie in der Tabelle:
| Funktion | Beschreibung und Nutzen |
|---|---|
| Benutzerfreundliches Dashboard | Das Dashboard bietet einen Synchronisierungszeitplan, eine Zusammenfassung, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard bei jeder Anmeldung anzeigen. |
| Probelauf vor der Synchronisierung mit der Cloud | Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor diese in der Cloud implementiert werden. Führen Sie dann einen Bericht aus, um zu sehen, dass die Änderungen, die Sie vornehmen möchten, Ihren Erwartungen entsprechen. |
| Volle und inkrementelle Synchronisierung | Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie einfach die inkrementellen Änderungen, um Rechenleistung zu sparen und die Synchronisierungszeit zu verkürzen. |
Mehrere Domänen synchronisieren (einzelne Gesamtstrukturen oder mehrere Gesamtstrukturen) |
Directory Connector unterstützt mehrere Domänen entweder unter einer einzelnen Gesamtstruktur oder unter mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Control Hub spiegelt den Status wider, indem der Synchronisierungsstatus für mehrere Verzeichniskonnektoren angezeigt wird. Sie können die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Verzeichniskonnektor in einer Hochverfügbarkeitsbereitstellung deaktivieren. |
| Geplante Synchronisierung | Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest. |
| Leichte LDAP-Filter (Directory Access Protocol) | Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit. |
| Active Directory-Attributzuordnung | Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um sie der Cloud zuzuordnen. Die Attribute vom Standort aus umfassen verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, enteprise-Telefonnummern in Webex Teams, SIP-Adressen von Raumressourcen und andere Daten der Benutzerkontaktkarte (Jobtitel, Abteilung, Manager usw.). |
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung |
Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte verwenden, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten von ihren Cisco Webex Calling (Cloud PSTN)-Telefonen oder Raumressourcen durchsuchen.
|
| Event-Betrachter | Verwenden Sie die Ereignisanzeige, um festzustellen, ob Probleme mit der Synchronisierung aufgetreten sind. |
| Diagnosetool und Fehlerbehebung | Sie können das integrierte Diagnosetool verwenden, um Probleme mit Ihrer Cisco Directory Connector-Bereitstellung zu beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, sodass Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können. |
| Automatisches Upgrade | Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Version der Software verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird. |
| Hochverfügbarkeit | Konfigurieren Sie mehrere Anschlüsse so, dass ein Backup vorhanden ist, falls der Hauptanschluss oder der Rechner, auf dem er gehostet wird, ausfällt. |
Directory Connector ist in drei Bereiche unterteilt:
Control Hub ist die einzige Schnittstelle, mit der Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und einmalige Anmeldung (SSO) konfigurieren, wenn Sie möchten, dass sich Ihre Benutzer über ihren Identitätsanbieter für Unternehmen authentifizieren, und Sie keine E-Mail-Einladungen für die Webex-App senden möchten.
Die Verwaltungsoberfläche des Verzeichniskonnektors ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Bei mehreren Active Directory-Domänen können Sie für jede Domäne, die Sie synchronisieren möchten, einen Instant-Update der Software installieren. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex aufzunehmen, den Synchronisierungsstatus anzuzeigen und zu überwachen und Directory Connector-Dienste zu konfigurieren.
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory für die Synchronisierung mit dem Connector-Dienst und dem Directory Connector ab.
Lesen Sie dieses Diagramm, um die Directory Connector-Architektur zu verstehen:
Anforderungen für Directory Connector
Windows- und Active Directory-Anforderungen
Sie können Directory Connector auf diesen unterstützten Windows-Servern installieren:
Windows Server 2012
Windows Server 2019
Windows Server 2016
 | Um ein Cookie-Problem zu beheben, empfehlen wir, dass Sie Ihren Domänencontroller auf eine Version aktualisieren, die die Korrektur enthält: Windows Server 2012 R2 oder 2016 . |
Der Directory Connector wird mit den folgenden Active Directory-Diensten unterstützt:
Active Directory 2016
(Directory Connector wird bei Verwendung der neuesten Version von Active Directory auf Windows Server 2019 unterstützt)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008
Beachten Sie die folgenden zusätzlichen Anforderungen:
Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
.NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, verwenden Sie die Anweisungen in Enable .NET Framework 3.5, indem Sie den Assistenten zum Hinzufügen von Rollen und Funktionen verwenden.)
.NET Framework v.4.5 (erforderlich für TLS1.2)
Active Directory Forest Funktionsstufe 2 (Windows Server 2003) oder höher ist erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen? .)
Hardwareanforderungen
Sie müssen Directory Connector auf einem Computer mit den folgenden minimalen Hardwareanforderungen installieren:
8 GB RAM
50 GB Speicherplatz
Keine Mindestanforderung für die CPU
Netzwerk-Anforderungen
Stellen Sie sicher, dass Ihr System über HTTPS (Port 443) auf das Internet zugreifen kann, falls sich Ihr Netzwerk hinter einer Firewall befindet.
Webex-Organisationsanforderungen
Um über Control Hub auf die Directory Connector-Software zuzugreifen, benötigen Sie eine Webex-Organisation mit einer Testversion oder ein kostenpflichtiges Abonnement.
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Folgendes:
Fügen Sie Domänen hinzu, überprüfen und beanspruchen Sie optional Domänen , die die Benutzer-E-Mail-Adressen enthalten, die Sie in der Cloud synchronisieren möchten.
Führen Sie eine SSO-Integration (Single Sign-On) Ihres Identitätsanbieters (IdP) in Ihre Webex-Organisation durch.
Unterdrücken Sie automatische E-Mail-Einladungen, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)
| Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub . |
Installationsanforderungen
Für eine Umgebung mit mehreren Domänen (entweder einzelne Gesamtstrukturen oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, stellen Sie sicher, dass Sie über einen separaten unterstützten Windows-Server verfügen, um den Directory Connector für die Domänensynchronisierung (B) zu installieren.
Für die Anmeldung am Connector benötigen wir kein Administratorkonto in Active Directory. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer ist wie ein vollständiges Administratorkonto in Control Hub.
Dieser lokale Benutzer muss über Privilegien auf diesem Windows-Computer verfügen, um eine Verbindung mit dem Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Anmelde-Konto des Computers sollte ein Computeradministrator mit Berechtigungen sein, um Software auf dem lokalen Computer zu installieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Bei der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector das lokale Systemkonto, um auf Active Directory zuzugreifen. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
Stellen Sie sicher, dass der Suchmodus für die dynamische Linkbibliothek (DLL) von Windows Safe mit diesem Verfahren aktiviert ist: Überprüfen Sie SafeDllSearchMode in der Windows Registry .
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, empfehlen wir, Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Maschinen zu installieren.
Anforderungen für mehrere Domänen
Bevor Sie die Aufgaben im Abschnitt Bereitstellungsaufgabe des Cisco Directory Connectors befolgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in der Cloud synchronisieren möchten:
Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Domänen hinzufügen, verifizieren und beanspruchen .)
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , um Ihre Organisation in eine große Organisationsliste zu verschieben.
Bei Bedarf können Sie die Ressourceninformationen des Raums mit den Benutzerkonten synchronisieren. (Siehe Lokale Rauminformationen mit der Webex Cloud synchronisieren.)
Empfehlungen für die Active Directory-Gruppe für die automatische Lizenzzuweisung
Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbare Einheiten zu erfassen. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.
Es gibt zwei Arten von Gruppen in Active Directory:
Verteilungsgruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
Sicherheitsgruppen – Wird verwendet, um Berechtigungen für freigegebene Ressourcen zuzuweisen.
Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:
Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienst (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex-Lizenzierung usw.).
Verwenden Sie Standardbenennungskonventionen in Ihrer Organisation, um wichtige Informationen über eine Gruppe leichter identifizieren zu können. Gruppennamen können Details zur Gruppe enthalten, z. B. Zugriffsebene, Art der Ressource, Sicherheitsstufe, Gruppenumfang, E-Mail-Funktion usw. Der Gruppenname „GSG _ W ebex_ L icensing_ EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
Organisieren Sie Gruppen auf eine leicht verständliche Weise, z. B. nach Geographie oder Führungshierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die Vorlage für automatische Lizenzgruppen in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für automatische Lizenzzuweisung einrichten .
Größenanpassungsinformationen
Der Directory Connector funktioniert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Einschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.
Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:
Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsauftrag dauert nicht bis zu 50000.)
Netzwerkgeschwindigkeit und Bandbreite.
System-Workload und Spezifikationen.
 | Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden. |
| Da mehrere Faktoren an der Synchronisierung beteiligt sind und jede Bereitstellung von den oben genannten Faktoren abhängt, können wir keine spezifischen Zeitwerte für die Dauer der Objektsynchronisierung angeben. |
Überprüfen SafeDllSearchMode in der Windows-Registrierung
Der Suchmodus für sichere dynamische Links-Bibliotheken (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und platziert das aktuelle Verzeichnis des Benutzers später in der DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt das gleiche wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) in das aktuelle Arbeitsverzeichnis der Anwendung platzieren.
Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.
Vorbereitungen
 | Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, vor der Verwendung dieser Schritte ein Backup Ihrer Registrierung zu erstellen. |
| 1 | Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ „regedit“ ein, und drücken Sie dann die Eingabetaste. |
| 2 | Gehen Sie zu HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
| 3 | Wählen Sie eine Option:
|
Weitere Informationen finden Sie unter Dynamic Link Library Search Order .
Webproxy-Integration
Webproxy-Integration
Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.
Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector verbindet und synchronisiert die Benutzer erfolgreich.
Sie können einen der folgenden Ansätze verwenden:
Expliziter Webproxy über Internet Explorer (der Connector übernimmt die Webproxy-Einstellungen)
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert
Webproxy über den Browser verwenden
Sie können den Directory Connector so einrichten, dass er einen Webproxy über Internet Explorer verwendet.
Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,
| 1 | Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus. | ||
| 2 | Verweisen Sie die Windows-Instanz, auf der der Connector installiert ist, auf Ihren Webproxy. Der Connector übernimmt diese Webproxy-Einstellungen. | ||
| 3 | Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:
Sie können dies entweder site-weit (für alle Hosts) oder nur für den Host durchführen, der den Connector hat.
| ||
| 4 | Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Zulassungsliste hinzu:
Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss. |
Webproxy über eine PAC-Datei konfigurieren
Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.
| 1 | Damit der Connector die Benutzerinformationen erfolgreich mit der Webex-Cloud verbindet und synchronisiert, stellen Sie sicher, dass die Proxy-Authentifizierung deaktiviert ist für | ||
| 2 | Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:
Sie können dies entweder site-weit (für alle Hosts) oder nur für den Host durchführen, der den Connector hat.
| ||
| 3 | Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Zulassungsliste hinzu:
Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss. |
NTLM-Proxy
Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.
NTLM-Design
In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.
Generell basiert das technische Design von NTLM auf einem Mechanismus von Challenge
und Response
:
Ein Benutzer meldet sich über ein Windows-Konto und ein Passwort bei einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines Nur-Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht Windows OS den gespeicherten Hash-Wert und den Hash-Wert des Eingabepassworts. Wenn beide identisch sind, wird die Authentifizierung erfolgreich durchgeführt.
Wenn der Benutzer auf eine Ressource in einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im Klartext.
Wenn der Server die Anforderung empfängt, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Aufgabe auf dem Server gespeichert. Und dann sendet der Server die Aufgabe im Klartext an den Client.
Sobald der Client die Aufgabe vom Server erhält, verschlüsselt der Client die Aufgabe durch den Hash-Wert, der in Schritt 1 erwähnt wurde. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet der Server ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: den Kontonamen, die verschlüsselte Aufgabe, die der Client gesendet hat, und die ursprüngliche einfache Aufgabe.
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Aufgabe verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.
| In Windows ist die Sicherheitsauthentifizierung im Betriebssystem integriert, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Daher müssen Sie die weitere Konfiguration nicht abschließen. |
Transparenten Proxy konfigurieren
In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.
| 1 | Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann. |
| 2 | Bestätigen Sie, dass der Proxy erfolgreich ist. Beim Starten des Connectors wird ein erwartetes Browser-Authentifizierungs-Popup-Fenster angezeigt. |
Proxy-Authentifizierung festlegen
URL hinzufügen cloudconnector.webex.com auf Ihre Zulassungsliste, indem Sie eine Zugriffssteuerungsliste erstellen.
Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:
| 1 | Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist. |
| 2 | Bestimmen Sie eine geschätzte Bandbreite für diese Verbindung (bei ca. 2 mb/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich. |
| 3 | Erstellen Sie eine Zugriffssteuerungsliste, die auf den Connector-Host angewendet werden soll, und geben Sie Zum Beispiel: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
| 4 | Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host anwendbar ist. |
| 5 | Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren. |
Ablauf der Bereitstellungsaufgabe für den Cisco Directory Connector
Vorbereitungen
| 1 | Directory Connector installieren Control Hub zeigt die Verzeichnissynchronisierung zunächst als deaktiviert an. Um die Verzeichnissynchronisierung für Ihre Organisation zu aktivieren, müssen Sie Directory Connector installieren und konfigurieren und anschließend eine vollständige Synchronisierung durchführen. Für eine Neuinstallation von Directory Connector rufen Sie immer Control Hub ( https://admin.webex.com) auf, um die neueste Version der Software zu erhalten, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn sie verfügbar sind. |
| 2 | Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administratoranmeldeinformationen an und führen Sie die Ersteinrichtung durch. |
| 3 | Automatische Upgrades einrichten Es ist immer wichtig, Ihre Directory Connector-Software auf dem neuesten Stand zu halten. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades auf die Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind. |
| 4 | Active Directory-Objekte für die Synchronisierung auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie bestimmte Benutzer auswählen, um LDAP-Filter zu synchronisieren und anzugeben, indem Sie die Seite Objektauswahl im Directory Connector verwenden. |
| 5 |
Sie können die Attribute aus Ihrem lokalen Active Directory zu den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld lautet *uid. |
| 6 | Synchronisieren Sie Verzeichnis-Avatare mithilfe einer der folgenden Verfahren:
Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass die Benutzer-Avatare nach der Anmeldung in der Anwendung angezeigt werden. Sie können Avatare über ein Active Directory-Attribut oder einen Ressourcenserver synchronisieren. |
| 7 | Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit diesem Verfahren können Sie lokale Rauminformationen aus Active Directory in der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf Cloud-registrierten Raumgeräten wie einem Webex Room Device oder Cisco Webex Board angezeigt. |
| 8 | Um Benutzer aus Active Directory In Control Hub bereitzustellen, führen Sie die folgenden Schritte aus:
Befolgen Sie diese Reihenfolge, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wäldern oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Das Ziel ist eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud. |
Directory Connector installieren
Control Hub zeigt die Verzeichnissynchronisierung zunächst als deaktiviert an. Um die Verzeichnissynchronisierung für Ihre Organisation zu aktivieren, müssen Sie Directory Connector installieren und konfigurieren und anschließend eine vollständige Synchronisierung durchführen.
Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf für die Synchronisierung mehrerer Domänen:
Vorbereitungen
Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Ihre Proxy-Anmeldeinformationen vorhanden sind:
Für die Proxy-Basic-Authentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxykonfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Verwenden eines Webproxys über den Browser
Für Proxy-NTLM wird möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser .
| 1 | Gehen Sie in Control Hub , zu , und wählen Sie Weiter . | ||
| 2 | Klicken Sie auf den Link Herunterladen und installieren , um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die ZIP-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert.
| ||
| 3 | Entpacken Sie die MSI-Datei auf dem VMware- oder Windows Server im Einrichtungsordner und führen Sie sie aus, um den Einrichtungsassistenten zu starten. | ||
| 4 | Klicken Sie auf Next , aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Next , bis der Bildschirm für den Kontotyp angezeigt wird. | ||
| 5 | Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto aus:
Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind:
| ||
| 6 | Klicken Sie auf Installieren. Nachdem der Netzwerktest ausgeführt wurde, geben Sie bei Aufforderung Ihre Proxy-Basisanmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertigstellen . |
Nächste Schritte
Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Beim Neustart der Maschine werden alle Daten aktualisiert, um ein genaues Ergebnis im Bericht anzuzeigen.
Bei Directory Connector anmelden
Vorbereitungen
Stellen Sie sicher, dass Ihre Proxy-Anmeldeinformationen vorhanden sind.
Für den Proxy basic-auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
Öffnen Sie für den Proxy NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen , stellen Sie sicher, dass die Informationen zum Proxyserver hinzugefügt werden, und klicken Sie dann auf OK . Siehe Verwenden eines Webproxys über den Browser .
| 1 | Öffnen Sie den Konnektor und fügen Sie | ||||
| 2 | Melden Sie sich bei Aufforderung mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter. | ||||
| 3 | Bestätigen Sie Ihr Unternehmen und Ihre Domäne.
| ||||
| 4 | Nachdem der Bildschirm Unternehmen bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Falls Sie Ihr AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Unternehmen bestätigen angezeigt. | ||||
| 5 | Klicken Sie auf Bestätigen. | ||||
| 6 | Wählen Sie eine der folgenden Optionen aus, je nach der Anzahl der Active Directory-Domänen, die Sie an Directory Connector binden möchten:
|
Nächste Schritte
Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.
Directory Connector-Dashboard
Nach Ihrer ersten Anmeldung bei Directory Connector wird das Dashboard angezeigt. Hier sehen Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken, können einen Probelauf für die Synchronisierung durchführen, eine komplette oder inkrementelle Synchronisierung starten und die Eventanzeige starten, um Fehlerinformationen anzuzeigen.
| Melden Sie sich erneut an, falls Ihre Sitzung abläuft. |
Sie können diese Aufgaben problemlos über die Symbolleiste oder das Menü „Aktionen“ ausführen.
Komponente | Beschreibung |
|---|---|
Aktuelle Synchronisierung |
Zeigt Statusinformationen zur gegenwärtig stattfindenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige leer. |
Nächste Synchronisierung |
Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Plan festgelegt ist, wird Nicht geplant angezeigt. |
Letzte Synchronisierung |
Zeigt den Status der letzten beiden Synchronisierungen an. |
Aktueller Synchronisierungsstatus |
Zeigt den Gesamtstatus der Synchronisierung. |
Konnektoren |
Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind. |
Cloud-Statistiken |
Zeigt den Gesamtstatus der Synchronisierung. |
Synchronisierungszeitplan |
Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung. |
Konfigurationszusammenfassung |
Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten:
|
| Aktion | Beschreibung | ||
|---|---|---|---|
| Inkrementelle Synchronisierung starten | Manuelles Starten einer inkrementellen Synchronisierung
|
||
Probelauf Synchronisierung |
Führen Sie einen Probelauf für die Synchronisierung durch. |
||
Starten der Ereignisanzeige |
Starten Sie die Microsoft-Ereignisanzeige. |
||
Aktualisieren |
Aktualisieren des Cisco Directory Connector-Dashboards |
Aktion | Beschreibung |
|---|---|
| Jetzt synchronisieren | Starten Sie eine vollständige Sofortsynchronisierung. |
Synchronisierungsmodus |
Wählen Sie zwischen inkrementellem und vollständigem Synchronisierungsmodus aus. |
Geheimen Connector-Schlüssel zurücksetzen |
Stellen Sie eine Konversation zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Wenn Sie diese Aktion auswählen, wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert. |
Probelauf |
Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung vornehmen. |
Fehlerbehebung |
Aktivieren/Deaktivieren Sie die Fehlerbehebung. |
Aktualisieren |
Aktualisieren Sie den Hauptbildschirm des Cisco Directory Connectors. |
Beenden |
Beenden Sie den Cisco Directory Connector. |
Tastenkombination | Aktion |
|---|---|
Alt +A |
Öffnet das Menü Aktionen |
|
Jetzt synchronisieren |
|
Geheimen Connector-Schlüssel zurücksetzen |
|
Probelauf |
|
Inkrementelle Synchronisierung |
|
Vollständige Synchronisierung |
|
Menü Hilfe anzeigen |
|
Hilfe |
|
Info |
|
Häufig gestellte Fragen |
Automatische Upgrades einrichten
| 1 | Wechseln Sie vom Directory Connector zu und anschließend Automatisches Upgrade auf die neue Cisco Directory Connector-Version . |
| 2 | Klicken Sie auf Anwenden , um Ihre Änderungen zu speichern. |
Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.
| Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion . |
Active Directory-Objekte für die Synchronisierung auswählen
Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie bestimmte Benutzer auswählen, um LDAP-Filter zu synchronisieren und anzugeben, indem Sie die Seite Objektauswahl im Directory Connector verwenden.
Gruppen für automatische Lizenzzuweisung
Mit Control Hub können Sie Lizenzzuweisungen pro Gruppe verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Zum Zeitpunkt der Benutzererstellung überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.
Wir empfehlen die Verwendung eines LDAP-Filters, um nur relevante Gruppen mit der Cloud zu synchronisieren. Sie können den Filter beispielsweise folgendermaßen festlegen:
(&(cn=Example)(objectclass=Group))*
Dieser Filter synchronisiert alle Gruppen innerhalb der Basis-DN, wobei der Name mit Beispiel beginnt. Benutzern, die nicht Gruppen zugewiesen sind, werden Lizenzen aus der standardmäßigen automatischen Lizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.
Gruppen für Bereitstellungen der Hybrid-Datensicherheit
In Directory Connector müssen Sie die Option Gruppen aktivieren, wenn Sie Hybrid Data Security verwenden, um eine Testgruppe für Pilotbenutzer zu konfigurieren. Weitere Informationen finden Sie im Bereitstellungsleitfaden für die Hybrid-Datensicherheit . Diese Verzeichniskonnektor-Einstellung hat keine Auswirkungen auf die Synchronisierung anderer Benutzer mit der Cloud.
| 1 | Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl. | ||
| 2 | Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und ziehen Sie in Erwägung, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die sich in der Beispiel-Manager-Gruppe befinden, verwenden Sie einen Filter wie diesen:
| ||
| 3 | Aktivieren Sie das Kontrollkästchen „Raum identifizieren“ , um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen , wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie Informationen zu lokalen Räumen aus Active Directory in die Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf Cloud-registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud . | ||
| 4 | Aktivieren Sie „Gruppen“ , wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie dem Feld „Gruppen“ keinen LDAP-Filter zur Benutzersynchronisierung hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren.
| ||
| 5 | Aktivieren Sie das Kontrollkästchen Kontakte , wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten.
| ||
| 6 | Konfigurieren Sie die LDAP-Filter. Durch die Angabe eines gültigen LDAP-Filters können Sie erweiterte Filter hinzufügen. Lesen Sie diesen Artikel für weitere Informationen zum Konfigurieren von LDAP-Filtern. | ||
| 7 | Geben Sie die Option „Lokale Basis-DNs zum Synchronisieren“ an , indem Sie auf „Auswahl“ klicken, um die Strukturstruktur Ihres Active Directory anzuzeigen. Hier können Sie auswählen, welche Container durchsucht werden sollen. | ||
| 8 | Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container für die Synchronisierung auswählen. Wählen Sie einen übergeordneten Container, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird neben dem übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container ausgewählt wurde. Sie können auf Auswählen klicken, um die ausgewählten Active Directory-Container zu übernehmen. Wenn in Ihrer Organisation alle Benutzer und Gruppen im Benutzer-Container abgelegt sind, müssen Sie die anderen Container nicht durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, müssen Sie sicherstellen, dass Sie OUs auswählen. | ||
| 9 | Klicken Sie auf Übernehmen. Wählen Sie eine Option:
Informationen zu Probeläufen finden Sie unter „Durchführen eines Probelaufs für die Synchronisierung Ihrer Active Directory-Benutzer“. Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Führen Sie eine vollständige Synchronisierung der Active Directory-Benutzer in die Cloud durch. |
Benutzerattribute zuordnen
Sie können die Attribute aus Ihrem lokalen Active Directory zu den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.
Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll. So können Sie beispielsweise firstName lastName in Active Directory oder einem benutzerdefinierten Attributausdruck auf displayName in der Cloud.
| Konten in Active Directory müssen eine E-Mail-Adresse besitzen; die uid wird standardmäßig |
Wenn Sie sich dafür entscheiden, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, dann ist Active Directory die einzige Quelle der Wahrheit: Benutzer können ihre Spracheinstellung nicht in den Webex-Einstellungen ändern, und Administratoren können die Einstellung nicht in Control Hub ändern.
| 1 | Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattribute-Zuordnung aus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet. | ||||
| 2 | Scrollen Sie nach unten unter den Active Directory-Attributnamen , und wählen Sie dann eines dieser Active Directory-Attribute aus, um dem Cloud-Attribut uid :
Sie können alle anderen Active Directory-Attribute der uid zuordnen. Wir empfehlen Ihnen jedoch, Mail oder userPrincipalName wie in den obigen Richtlinien beschrieben zu verwenden. In einigen Fällen wird der userPrincipalName für die Anmeldung verwendet, aber die E-Mail-Adresse eines Benutzers wird für die Verwaltung seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem primären E-Mail-Adressfeld in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, welche Attribute in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen in Directory Connector.
| ||||
| 3 | Wenn die vordefinierten Active Directory-Attribute für Ihre Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie dann Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können.
In diesem Beispiel werden die Active Directory-Attribute zugeordnet.
| ||||
| 4 | (Optional) Wählen Sie Zuordnungen für mobile und telephoneNumber aus, wenn mobile und geschäftliche Nummern angezeigt werden sollen, z. B. in der Visitenkarte des Benutzers in der Webex-App. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers bewegt. Weitere Informationen zum Anrufen von der Visitenkarte eines Benutzers finden Sie unter „Anrufe“ im Webex (Unified CM)-Bereitstellungshandbuch (Administratoren). | ||||
| 5 | Wählen Sie zusätzliche Zuordnungen aus, damit weitere Daten in der Visitenkarte angezeigt werden:
Nachdem die Attribute zugeordnet wurden, werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers bewegt:
Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren . Nachdem diese Attribute mit jedem Benutzerkonto synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Webex-App-Benutzer mehr Informationen in ihren Profilen teilen und mehr über einander erfahren. Weitere Informationen über die Funktion und ihre Aktivierung finden Sie unter People Insights-Profile für Webex, Jabber, Webex Meetings und Webex Events (neu) in Control Hub | ||||
| 6 | Treffen Sie Ihre Auswahl und klicken Sie auf Übernehmen. |
Die in Active Directory enthaltenen Benutzerdaten überschreiben die entsprechenden Daten in der Cloud für den jeweiligen Benutzer. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Jeder Benutzer ohne entsprechende E-Mail-Adresse in Active Directory wird gelöscht.
| Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst gespeichert, bevor sie dauerhaft gelöscht werden. |
Active Directory- und Cloud-Attribute
Sie können die Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattribute-Zuordnung verwenden.
In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Directory Connector. Sie können in den Dropdowns für Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloud-Attribut synchronisiert wird.
Stellen Sie sich die Dropdown-Attribute als Voreinstellungen vor. Alternativ zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory (ein Ausdruck mit mehreren Attributen) angeben, um einem einzelnen Cloud-Attribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise können Sie flexibel die Anzeigenamen Ihrer Benutzer bestimmen. Beispielsweise können Sie einen Ausdruck hinzufügen, der ein benutzerdefiniertes Attribut basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory erstellt.
Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden sollen. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.
| Sie können auch alternative E-Mail-Adressen verwenden, wenn Sie beispielsweise den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall eine andere E-Mail-Adresse dem Attribut E-Mail-Typ-Arbeit zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht für die Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie von AD zuordnen, muss von einer verifizierten Domäne innerhalb Ihrer Organisation stammen und muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein. |
Active Directory-Attributnamen | Webex Cloud-Attributnamen | Hinweise |
|---|---|---|
— |
buildingName |
— |
c |
c |
Dieses Attribut gibt die Länderkürzel des Benutzers an. |
departmentNumber |
departmentNumber |
Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die in den Bereichen Kontaktkarte und People Insights angezeigt wird. |
displayName |
displayName |
Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub angezeigt wird, die Kontaktkarte und People Insights . |
userAccountControl |
ds-pwp-account-disabled |
Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist oder dass Benutzer nicht ordnungsgemäß synchronisiert werden. |
employeeNumber |
employeeNumber |
— |
facsimileTelephoneNumber |
facsimileTelephoneNumber |
— |
— |
jabberID |
Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert entspricht nicht sipAddresses. |
l |
l |
Dieses Attribut gibt die Stadt des Benutzers an. |
— |
locale |
— |
Manager |
Manager |
Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der in den Bereichen Kontaktkarte und People Insights angezeigt wird. |
mobile |
mobile |
Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen. |
o |
o |
Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird in der Kontaktkarte angezeigt. |
ou |
ou |
Dieses Attribut gibt den Namen der Organisationseinheit an. |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Dieses Attribut gibt den Bürostandort des Benutzers an. |
postalCode |
postalCode |
Dieses Attribut gibt die Post- oder Postleitzahl des Benutzers für die physische Postzustellung an. |
preferredLanguage |
preferredLanguage |
Dieses Attribut legt die bevorzugte Sprache des Benutzers fest und die folgenden Formate werden unterstützt: xx_YY oder xx-YY. Hier sind einige Beispiele: en_USA, en_ GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format angeben, wird die Sprache der Organisation als bevorzugte Sprache für den Benutzer verwendet. |
MSRTCSIP-PrimaryUserAddress IP-Telefon |
SipAdressen;type=Unternehmen |
Dieses Attribut wird für die Synchronisierung von lokalen Rauminformationen aus Active Directory in die Cisco Webex-Cloud verwendet. |
sn |
sn |
Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub angezeigt wird, die Kontaktkarte und People Insights . |
st |
st |
Dieses Attribut gibt das Bundesland des Benutzers an. |
streetAddress |
street |
Dieses Attribut gibt die Adresse des Benutzers für die physische Postzustellung an. |
telephoneNumber |
telephoneNumber |
Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die für das Anrufen des Benutzers über die Kontaktkarte verwendet wird. |
— |
timezone |
Dieses Cloud-Attribut gibt die Zeitzone des Benutzers an. |
title |
title |
Dieses Attribut gibt den Titel des Benutzers an, der in den Bereichen Kontaktkarte und People Insights angezeigt wird. |
typ |
enterprise |
— |
*userPrincipalName |
Uid |
Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird der userPrincipalName für die Anmeldung verwendet, aber die E-Mail-Adresse eines Benutzers wird für die Verwaltung seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem primären E-Mail-Adressfeld in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann dann eine dieser E-Mail-Adressen verwenden, um sich anzumelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen zur Zuordnung einer alternativen E-Mail-Adresse finden Sie in der Beispielattributzuordnung unten. |
*userPrincipalName <custom attribute=""> |
E-Mails;Typ-Arbeit |
Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht für die Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie von AD zuordnen, muss von einer verifizierten Domäne innerhalb Ihrer Organisation stammen und muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein. |
<New attribute="" for="" Azure="" user="" objectId=""> |
externe ID |
Erstellen Sie ein neues Active Directory-Attribut, das die ObjektId des Azure-Benutzers enthält, damit es nicht mit einer vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen . |
Alternative E-Mail-Adressenzuordnung
Ausdrücke für benutzerdefinierte Attribute
Vermittler | Beschreibung und Beispiel |
|---|---|
% | Entfernt alle Zeichen vom Anfang des Strings an die Position des Zeichen- oder String-Arguments, wenn sie übereinstimmen.
|
- | Entfernt die Rückseite der Eingangszeichenfolge vom Ende der angegebenen Zeichenfolge.
|
+ | Verkettet Eingaben von Zeichenfolgen oder Ausdrücken.
|
| | Evaluiert die getrennten Ausdrücke mit der leeren Zeichenfolge und wählt das erste nicht-leere Ergebnis aus.
|
Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud
Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar angezeigt wird, wenn er sich bei der Webex-App anmeldet. Mit dieser Prozedur können Sie rohe Avatar-Daten von einem Active Directory-Attribut synchronisieren.
| 1 | Wechseln Sie vom Directory Connector zu Konfiguration , klicken Sie auf Avatar und aktivieren Sie anschließend „Aktivieren“ . |
| 2 | Für Avatar aus abrufen, wählen Sie das AD-Attribut und wählen Sie dann das Avatar-Attribut aus, das die rohen Avatar-Daten enthält, die Sie mit der Cloud synchronisieren möchten. |
| 3 | Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar abrufen . Der Avatar wird rechts angezeigt. |
| 4 | Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Anwenden , um Ihre Änderungen zu speichern. |
Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer können keinen eigenen Avatar festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.
Nächste Schritte
Führen Sie einen Probelauf für die Synchronisierung durch. Wenn keine Probleme auftreten, führen Sie eine vollständige Synchronisierung durch, um Ihre Active Directory-Benutzerkonten und Avatare für die Synchronisierung in der Cloud zu erhalten und in Control Hub anzuzeigen.
Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver in die Cloud
Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar angezeigt wird, wenn er sich bei der Webex-App anmeldet. Verwenden Sie dieses Verfahren, um Avatare von einem Ressourcenserver zu synchronisieren.
Vorbereitungen
Das URI-Muster und der Variablenwert in dieser Prozedur sind lediglich Beispiele. Verwenden Sie stattdessen die tatsächlichen URLs, unter denen sich Ihre Verzeichnis-Avatare befinden.
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht im Internet öffentlich zugänglich sein.
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass Avatar-Daten per NTLM-Authentifizierung oder Basic-Authentifizierung aufgerufen werden können.
| 1 | Wechseln Sie vom Directory Connector zu Konfiguration , klicken Sie auf Avatar und aktivieren Sie anschließend „Aktivieren“ . |
| 2 | Für Avatar abrufen von , wählen Sie Ressourcenserver und geben Sie dann das Avatar-URI-Muster ein – Beispiel: Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten:
|
| 3 | (Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen erfordert, aktivieren Sie das Kontrollkästchen Benutzeranmeldeinformationen für Avatar festlegen, wählen Sie dann entweder Aktuellen Dienstanmeldeingenieur verwenden oder Diesen Benutzer verwenden und geben Sie das Kennwort ein. |
| 4 | Geben Sie den Variablenwert ein – Zum Beispiel: |
| 5 | Klicken Sie auf Test , um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. In diesem Beispiel lautet der Endgültige Avatar-URI folgendermaßen, wenn der mail-Wert für einen AD-Eintrag |
| 6 | Nachdem die URI-Informationen überprüft wurden und korrekt aussehen, klicken Sie auf Anwenden. Detaillierte Informationen zum Verwenden regulärer Ausdrücke finden Sie in der Microsoft Reguläre Ausdrucksprache – Schnellreferenz . |
Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer können keinen eigenen Avatar festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.
Nächste Schritte
Führen Sie einen Probelauf für die Synchronisierung durch. Wenn keine Probleme auftreten, führen Sie eine vollständige Synchronisierung durch, um Ihre Active Directory-Benutzerkonten und Avatare für die Synchronisierung in der Cloud zu erhalten und in Control Hub anzuzeigen.
Synchronisieren von lokalen Rauminformationen mit der Webex Cloud
Mit diesem Verfahren können Sie lokale Rauminformationen aus Active Directory in der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf Cloud-registrierten Webex-Geräten (Room, Desk und Board) angezeigt.
| 1 | Wechseln Sie vom Directory Connector zu Synchronisieren , und klicken Sie auf mehr | ||
| 2 | Aktivieren Sie Rauminformationen mit Cloud synchronisieren , um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf dieselbe Weise behandelt wie vom Benutzer synchronisierte Daten. | ||
| 3 | Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=Enterprise .
| ||
| 4 | Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann verwendet, um Räume zu identifizieren.
| ||
| 5 | Navigieren Sie von Active Directory-Benutzern und Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den voll qualifizierten SIP-URI mit dem Präfix sip hinzu:
| ||
| 6 | Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden aufgelistet Objekte hinzugefügt und übereinstimmende Raumobjekte werden in Objekte übereinstimmenden im Probelauf-Bericht angezeigt. Alle zum Löschen markierten Raumobjekte befinden sich unter „Räume gelöscht“.
Die Ergebnisse des Probelaufs zeigen alle Raumressourcen an, die übereinstimmen.
Bei dieser Einstellung werden die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten getrennt. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.
|
Nächste Schritte
Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Webex-Cloud registrierten Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie bei diesem Eintrag einen Anruf vom Webex-Gerät aus tätigen, wird ein Anruf an die SIP-Adresse getätigt, die für den Raum konfiguriert wurde.
In Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.
| Der Endpunkt kann keinen Rückruf an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte als SIP-URI lokal oder an einem anderen Ort als der Webex-App registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, Schreibtischgerät oder Webex Board für den Kalenderdienst befindet, wird in den Suchergebnissen nicht der doppelte Eintrag angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App gewählt, und es wird kein SIP-Anruf getätigt. |
E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisierung senden
Standardmäßig erhalten die Organisationskontakte oder -administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen erhalten soll, in denen die Verzeichnissynchronisierungsberichte zusammengefasst sind.
| 1 | Klicken Sie im Directory Connector auf Konfiguration und wählen Sie dann Benachrichtigung . |
| 2 | Klicken Sie im Directory Connector auf Einstellungen und neben E-Mail-Empfänger auf Synchronisierung des Berichts aktivieren . |
| 3 | Aktivieren Sie Benachrichtigung aktivieren , wenn Sie das Standardbenachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten. |
| 4 | Klicken Sie auf Hinzufügen und geben Sie dann eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse in einem ungültigen Format eingeben, wird eine Meldung angezeigt, in der Sie aufgefordert werden, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können. |
| 5 | Klicken Sie auf E-Mail hinzufügen und geben Sie dann eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse in einem ungültigen Format eingeben, wird eine Meldung angezeigt, in der Sie aufgefordert werden, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können. |
| 6 | Wenn Sie die eingegebenen E-Mail-Adressen bearbeiten müssen, doppelklicken Sie in der linken Spalte auf den E-Mail-Eintrag und nehmen Sie dann die gewünschten Änderungen vor. |
| 7 | Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Anwenden. |
| 8 | Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf „Speichern“ . |
Nächste Schritte
Wenn Sie entschieden haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und dann auf „Entfernen“ klicken .
Wenn Sie entschieden haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.
Bereitstellen von Benutzern aus Active Directory In Control Hub
Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (mit einer einzelnen Gesamtstruktur oder mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Das Ziel ist eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud.
| 1 | Probelauf für die Synchronisierung Ihrer Active Directory-Benutzer durchführen Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory und Objekte in der Webex-Cloud zu vergleichen. Bei einem Probelauf können Sie sehen, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und die Änderungen an der Cloud übertragen. |
| 2 | Vollständige Synchronisierung von Active Directory-Benutzern in die Cloud Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihren Active Directory (AD) in die Cloud. Anschließend aktualisiert der Connector-Dienst den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Vorlage für die automatische Lizenzzuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen. |
| 3 | Zuweisen von Webex-Diensten zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen mit einer Vielzahl von Methoden zuweisen. Wir empfehlen, dass Sie eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen. |
Probelauf für die Synchronisierung Ihrer Active Directory-Benutzer durchführen
Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory und Objekte in der Webex-Cloud zu vergleichen. Bei einem Probelauf können Sie sehen, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und die Änderungen an der Cloud übertragen.
Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Mit Directory Connector ist es das Ziel, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erreichen.
Wenn Sie mehrere Domänen in einer einzelnen Gesamtstruktur oder mehreren Gesamtstrukturen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen durchführen, die Sie für jede Active Directory-Domäne installiert haben.
Vorbereitungen
Möglicherweise haben Sie bereits einige Webex-App-Benutzer in Control Hub, bevor Sie Directory Connector verwendet haben. Unter den Benutzern in der Cloud können einige mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es kann sich jedoch um Testbenutzer handeln, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Ihrem Active Directory und Control Hub erstellen.
| 1 | Wählen Sie eine Option:
Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt:
Die Zusammenfassung enthält Informationen zum Objekt-Matching:
Der Probelauf identifiziert die Benutzer, indem er mit Domänenbenutzern verglichen wird. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory. | ||
| 2 | Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option, je nachdem, ob Sie eine einzelne Domäne oder mehrere Domänen verwenden:
| ||
| 3 | Klicken Sie in der Aufforderung „Probelauf bestätigen “ auf „Ja“ , um den Probelauf für die Synchronisierung erneut auszuführen, und zeigen Sie das Dashboard an, um die Ergebnisse anzuzeigen. Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter „ Objekte übereinstimmen“ angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschungsmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched, um Details der synchronisierten Elemente anzuzeigen. Klicken Sie auf Ergebnisse in Datei speichern, um die Zusammenfassung zu speichern. | ||
| 4 | Wenn die Ergebnisse erwartet werden, gehen Sie zu , und klicken Sie dann auf Jetzt aktivieren , um eine manuelle Synchronisierung durchzuführen und an dieser Stelle in den manuellen Modus zu wechseln.
|
Nächste Schritte
Bei nicht übereinstimmenden Benutzerobjekten, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen der lokalen Umgebung und der Cloud besteht.
Synchronisierungstyp auswählen:
Führen Sie eine vollständige Synchronisierung der Active Directory-Benutzer in die Cloud durch , wenn Sie zum ersten Mal neue Benutzer mit der Cloud synchronisieren. Sie tun dies über , und dann werden Benutzer aus der aktuellen Domäne synchronisiert.
Richten Sie den Connector-Zeitplan ein und führen Sie eine inkrementelle Synchronisierung aus, nachdem Sie eine vollständige Synchronisierung durchgeführt haben und wenn Sie die Änderungen nach der anfänglichen Synchronisierung übernehmen möchten. Diese Art der Synchronisierung wird empfohlen, um kleine Änderungen an der Active Directory-Benutzerquelle zu übernehmen.
Standardmäßig wird eine inkrementelle Synchronisierung auf alle 30 Minuten (ab Version 3.4) oder alle 4 Stunden (ab Version 3.5) festgelegt, Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, wenn Sie eine vollständige Synchronisierung durchgeführt haben.
Wenn Sie mehrere Domänen haben, wiederholen Sie diese Schritte auf einem anderen Verzeichniskonnektor, den Sie installiert haben.
Wichtige Hinweise
Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisierung dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeläufe überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.
Wenn übereinstimmende Benutzer als zu löschen markiert sind und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und kontaktieren Sie den Support unter „Fehlerbehebung und Fehlerbehebung für Directory Connector“.
Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst gespeichert, bevor sie dauerhaft gelöscht werden.
Vollständige Synchronisierung von Active Directory-Benutzern in die Cloud
Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihren Active Directory (AD) in die Cloud. Anschließend aktualisiert der Connector-Dienst den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Vorlage für die automatische Lizenzzuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
Wenn Sie mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen durchführen, die Sie für jede Active Directory-Domäne installiert haben.
Directory Connector synchronisiert den Status des Benutzerkontos. In Active Directory werden alle Benutzer, die als deaktiviert markiert sind, auch in der Cloud als inaktiv angezeigt.
Vorbereitungen
Wenn sich die Benutzerkonten der Webex-App nach der vollständigen Synchronisierung und bevor sich die Benutzer zum ersten Mal anmelden, im Aktivstatus befinden sollen, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:
Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Weitere Informationen finden Sie unter
Einmaliges Anmelden mit Cisco Webex-Diensten und dem Identitätsanbieter
Ihrer Organisation.Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe
Domänen hinzufügen, überprüfen und beanspruchen
.Unterdrücken Sie automatische E-Mail-Einladungen , damit neue Benutzer nicht die automatische E-Mail-Einladung zur Webex-App erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
Aktivierte Benutzer, die sich nicht angemeldet haben, werden mit dem Status „ Verifiziert“ in Control Hub angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub .
Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen. Wir empfehlen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu beheben.
Sie müssen eine Lizenzvorlage automatisch zuweisen einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Wenn Sie keine automatischen Lizenzvorlagen verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie werden in der Lage sein, zu verwenden die gleichen kostenlosen Funktionen wie diejenigen mit kostenlosen Konten.
| 1 | Wählen Sie eine Option:
| ||
| 2 | Wechseln Sie vom Directory Connector zu Synchronisieren , und klicken Sie auf mehr | ||
| 3 | Bestätigen Sie den Beginn der Synchronisierung. Bei allen Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), gibt Control Hub die Änderung sofort wieder, wenn Sie die Benutzeransicht aktualisieren, aber die Webex-App gibt die Änderungen bis zu 72 Stunden nach der Synchronisierung wieder.
| ||
| 4 | Klicken Sie auf Aktualisieren , wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik .) | ||
| 5 | Um Informationen zu Fehlern zu erhalten, wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um die Fehlerprotokolle anzuzeigen. | ||
| 6 | Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen in der Cloud finden Sie unter Connector-Zeitplan festlegen und Inkrementelle Synchronisierung ausführen . |
Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung von Deaktiviert zu Betriebsbereit auf der Seite Einstellungen in Control Hub aktualisiert.
Wenn alle Daten zwischen der lokalen und der Cloud-Umgebung abgeglichen werden, wechselt der Directory Connector vom manuellen in den automatischen Synchronisierungsmodus.
Wenn Sie keine Single Sign-On-Konten integrieren, keine Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben, und keine automatisierten E-Mails unterdrücken, verbleiben die Webex-App-Benutzerkonten im Status "Nicht verifiziert", bis sich Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Anweisungen zum Synchronisieren der Konten als Aktive Benutzer finden Sie im Abschnitt „Bevor Sie beginnen“.
Wenn Sie mehrere Domänen haben, führen Sie diesen Schritt auf einem anderen Verzeichniskonnektor aus, den Sie installiert haben. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
Wenn Sie Single Sign-On mit Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
Sie können keine Benutzer manuell in Control Hub hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung erfolgt die Benutzerverwaltung über den Cisco Directory Connector, und Active Directory ist die einzige Informationsquelle.
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.
Nächste Schritte
Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung weich gelöscht. Der Benutzer wird
Inactiveaber das Cloud-Identitätsprofil wird sieben Tage lang aufbewahrt (um die Wiederherstellung nach einem versehentlichen Löschen zu ermöglichen).Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer
Inactivenach der nächsten Synchronisierung. Das Cloud-Identitätsprofil wird nicht nach sieben Tagen gelöscht, falls Sie den Benutzer erneut aktivieren möchten.Beachten Sie diese Ausnahmen für eine inkrementelle Synchronisierung (befolgen Sie stattdessen die Schritte zur vollständigen Synchronisierung oben):
Im Fall eines aktualisierten Avatars, aber keine andere Attributänderung, wird der Avatar des Benutzers durch inkrementelle Synchronisierung nicht in der Cloud aktualisiert.
Konfigurationsänderungen in Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.
Zuweisen von Webex-Diensten zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub
Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco Directory Connector in Control Hub abgeschlossen haben, können Sie mit Control Hub allen Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Änderungen am Benutzerkonto vornehmen.
Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie mithilfe von Methoden in Control Hub Webex-Dienstlizenzen allen Benutzern, einzelnen Benutzern, über die CSV-Massenvorlage oder automatisch neuen Benutzern zuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Änderungen am Benutzerkonto vornehmen.
Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken , wenn Sie Ihre Benutzer direkt kontaktieren möchten.
Vorbereitungen
Sie müssen eine Lizenzvorlage automatisch zuweisen einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Führen Sie einen Probelauf für die Synchronisierung Ihrer Active Directory-Benutzer durch.
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung Ihrer Active Directory-Benutzer durch.
| Zum Zeitpunkt der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine standardmäßige Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreichen Abschluss der automatischen Zuweisung. |
| 1 | Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , klicken Sie Benutzer verwalten, wählen Alle synchronisierten Benutzer ändern, und klicken Sie dann auf Nächster. |
| 2 | Wählen Sie eine Option:
|
Nächste Schritte
Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung zum Beitreten und Herunterladen von Webex gesendet.
Wenn Sie dieselben Webex-Dienste für alle Ihre Benutzer ausgewählt haben, können Sie die Lizenz anschließend einzeln oder gesammelt ändern.
Bekannte Probleme mit Directory Connector
Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das den Directory Connector betrifft. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
Bei allen Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), gibt Control Hub die Änderung sofort wieder, wenn Sie die Benutzeransicht aktualisieren, aber die Webex-App gibt die Änderungen 72 Stunden nach der Synchronisierung wieder.
Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie folgende Anweisungen ausführen: Windows oder Mac .
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, klingelt der Anruf zu diesem Zeitpunkt unbegrenzt.
Durchführen einer inkrementellen Synchronisierung
Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen Änderungen an der Benutzerattributierung und den Zeitpunkt, an dem ein Benutzer hinzugefügt oder gelöscht wird.
Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie Ihre anfängliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.
Vorbereitungen
Sie müssen eine Lizenzvorlage automatisch zuweisen einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in die Cloud durchführen ):
Im Fall eines aktualisierten Avatars, aber keine andere Attributänderung, wird der Avatar des Benutzers durch inkrementelle Synchronisierung nicht in der Cloud aktualisiert.
Bei neuen Konfigurationsänderungen in der Attributzuordnung, Basis-DN, Filter und der Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht, und diese erfordern eine vollständige Synchronisierung.
| 1 | Klicken Sie in Directory Connector auf Dashboard.
| ||
| 2 | Klicken Sie unter „Aktionen“ auf „Synchronisierungsmodus“ > „Synchronisierung aktivieren“ , falls nicht bereits aktiviert. Standardmäßig wird eine inkrementelle Synchronisierung auf alle 30 Minuten (ab Version 3.4) oder alle 4 Stunden (ab Version 3.5) festgelegt, Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, wenn Sie eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen basierend auf dem letzten Zeitstempel. | ||
| 3 | Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Bei allen Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), gibt Control Hub die Änderung sofort wieder, wenn Sie die Benutzeransicht aktualisieren, aber die Webex-App gibt die Änderungen 72 Stunden nach der Synchronisierung wieder.
| ||
| 4 | Um Informationen zu Fehlern zu erhalten, klicken Sie auf Ereignisanzeige starten in der Symbolleiste Aktionen , um die Fehlerprotokolle anzuzeigen. |
Nächste Schritte
Wenn Sie mehrere Domänen haben, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.
Versehentlich gelöschte Benutzer wiederherstellen
Der Directory Connector verfügt über Kontrollmechanismen, um eine unbeabsichtigte Löschung von Benutzern zu verhindern. Leider kann es passieren, dass es zu Unglücksfällen kommt. Möglicherweise haben Sie einen LDAP -Filter in Active Directory falsch konfiguriert, der bei der Synchronisierung mit der Cloud einige Benutzer löschte. Die Funktion zum sanften Löschen kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.
Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, z. B. aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung vom Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie eine nicht übereinstimmende Objekte bemerken oder feststellen, dass Benutzer gelöscht wurden, können Sie sie wiederherstellen, wenn Sie schnell handeln.
| Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer für bis zu 7 Tage bei. Während dieses Zeitraums können Sie den Cisco Directory Connector weiterhin verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so schnell wie möglich wiederherzustellen. Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nicht nach 7 Tagen gelöscht. |
| 1 | |
| 2 | Navigieren Sie zu Benutzer und bestätigen Sie, dass ein bestimmtes Benutzerkonto inaktiv oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub . |
| 3 | Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer mit einem inaktiven Status bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Ziel des Directory Connectors ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu erstellen. |
| 4 | Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten in Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und ihrer Dienstzuweisungen. |
Nächste Schritte
Zurück zu Control Hub, gehen Sie zu , und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.
Benutzer nach weichem Löschen endgültig löschen
Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung weich gelöscht wurden, dauerhaft löschen.
| 1 | Nachdem ein Probelauf abgeschlossen ist, wählen Sie Weich gelöschte Objekte . |
| 2 | Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten. |
| 3 | Wählen Sie Fertig aus. |
Nächste Schritte
Bei der nächsten Synchronisierung werden die Benutzer, die Sie überprüft haben, dauerhaft gelöscht.
E-Mail-Adresse der Webex-App ändern
Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. In diesem Verfahren wird beschrieben, wie Sie eine Webex-App-E-Mail-Adresse für eine einzelne Domäne und einen Prozess zum Ändern der Domäne ändern.
| Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto, und die Bereiche und anderen Daten des Benutzers in der Cloud gehen verloren. |
So ändern Sie die E-Mail-Adressen der Benutzer, ohne die Domäne zu ändern:
Setzen Sie die Synchronisierung auf dem Directory Connector fort.
Nach der nächsten Synchronisierung werden die Änderungen in Ihrer Benutzerliste in Control Hub und für Benutzer in der Webex-App nach der Aktualisierung des Caches angezeigt.
Bei dieser Methode gehen keine Daten oder Bereiche verloren. Die eindeutige Kennung des Benutzers wird nach der ersten Synchronisierung in der Cloud festgelegt. Alle nachfolgenden Synchronisierungen basieren auf dieser Kennung.
In einer Bereitstellung mit mehreren Domänen mit Directory Connector können Sie die E-Mail-Adressen der Benutzer ändern, während Sie die Domäne ändern (siehe example1.com, die alte Domäne, und example2.com, die neue Domäne):
Setzen Sie die Synchronisierung im Directory Connector für example2.com fort.
Bevor Sie fortfahren, überprüfen Sie, ob das Konto user1@example2.com im Control Hub synchronisiert wird. Wir empfehlen, den Benutzer anzuweisen, die E-Mail-Änderung in der Webex-App zu überprüfen und alle Daten (Bereiche, Nachrichten, Meetings, Dateien usw.) aufzubewahren.
Bei dieser Methode gehen keine Daten oder Bereiche verloren. Im neuen Benutzerkonto müssen Sie jedoch sicherstellen, dass das Active Directory-Attribut, das dem uid-Attribut der Cloud zugeordnet ist, aus dem alten Benutzerkonto beibehalten wird. Wenn Sie den Active Directory-Wert ändern, werden die Daten des alten Kontos für das neue Konto nicht beibehalten.
Nachdem Sie überprüft haben, ob die E-Mail-Adresse geändert wurde und die Daten intakt sind, löschen Sie das alte Benutzerkonto auf example1.com und setzen Sie die Synchronisierung mit Directory Connector für example1.com fort.
Zu diesem Zeitpunkt können Sie die E-Mail-Adresse in der neuen Active Directory-Domäne für user1@example2.com sicher aktualisieren.
Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch erneut mit der Cloud synchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung in „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten .
Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie die E-Mail-Adressen der Webex-App auf der Seite „Kontoeinstellungen“ ändern. Weitere Informationen zum Ändern der E-Mail-Adresse für Ihr Konto finden Sie unter „Ändern der E-Mail-Adresse für Ihr Konto“.
Active Directory-Domäne ändern
Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.
| 1 | Richten Sie eine neue Active Directory (AD)-Domäne ein. | ||
| 2 | Deaktivieren Sie die Synchronisierungen für alle Konnektoren. | ||
| 3 | Deinstallieren Sie alle Konnektoren. | ||
| 4 | Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Einreichung des Falls sicher, dass Sie das Entfernen der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern.
| ||
| 5 | Nachdem der Fall behoben ist: Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen. |
Domänenanspruch
Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass jedes Sideboarding-Konto in der kostenpflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können einen Domänenanspruch nur über einen Support-Fall durchführen (siehe Link unten für weitere Informationen).
Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, einen eingeladenen Benutzer zu einem Webex-App-Bereich hinzuzufügen, besteht darin, das Konto zuerst über den Directory Connector in Control Hub bereitzustellen.
Konvertieren von Benutzern der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis
Sie können im Webex-App-Verzeichnis nur eindeutige E-Mail-Adressen verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App angemeldet haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Zum Verwalten der Benutzer in dieser Organisation mithilfe des Directory Connectors migrieren (konvertieren) Sie sie in die Kunden-Organisation, bevor Sie den Directory Connector aktivieren. Anschließend fügen Sie die Benutzer mit der genauen E-Mail-Adresse zu Active Directory hinzu und synchronisieren sie mit der Cloud.
Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.
Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung <email address=""> konnte nicht konvertiert
werden. Um das Problem zu vermeiden, können Sie diese Schritte als Problemumgehung verwenden.
| Einige beanspruchte Benutzer werden möglicherweise mit dem Wenn Sie diese Benutzer nicht hinzufügen, werden alle neben Ihnen gelöscht und mit der Cloud synchronisiert. |
| 1 | Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector. | ||
| 2 | Befolgen Sie das Verfahren Konvertieren nicht lizenzierter Benutzer in Control Hub , um den Benutzer aus der kostenlosen Verbraucher-Organisation in die Enterprise-Organisation zu konvertieren. In diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass für alle kürzlich konvertierten Benutzer übereinstimmende Benutzer Active Directory, bevor Sie die Synchronisierung erneut starten. Eine Trockenlaufsynchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind. | ||
| 3 | Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden.
| ||
| 4 | Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren. |
Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht überprüft haben. Wenn Sie beispielsweise die Vorlage für die automatische Lizenzzuweisung aktiviert und dann den Directory Connector ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.
Benutzerkonten der Sideboarding-Webex-App
Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App eingeladen haben und der eingeladene Benutzer kein Webex-App-Konto hat, wird ein Konto für ihn erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.
Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren .
Format des Webex-App-Benutzernamens nach der Verzeichnissynchronisierung ändern
Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.
Nach der Verzeichnissynchronisierung kann es passieren, dass Benutzernamen im Format <lastName, firstName=""> angezeigt werden.
Dieser Benutzername kann angezeigt werden, wenn die displayName-Attribut in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut zugeordnet ist zu displayName in der Cloud werden Namen im Format <lastName, firstName=""> in Control Hub angezeigt.
So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: Active Directory-Attribut zuordnen givenName sn(oder sn givenName) bis displayName in Cisco Cloud-Attributnamen.
Alternativ dazu das Attribut zuordnen sn givenName bis displayName:
Sie können auch die Option Attribut anpassen verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck zuordnen möchten, um displayName.
Geben Sie beispielsweise givenName + "" + sn(Vorname, Leerzeichen, Nachname) als Ausdruck. Dadurch werden die beiden Attribute in Active Directory zugeordnet zu displayName in der Cloud.
Zulassen, dass Benutzer Anzeigenamen in Webex Meetings ändern
Sie können die Zuordnung der displayName Attribut von der Synchronisierung in die Cloud im Directory Connector, wenn Sie zulassen möchten, dass Benutzer ihre bevorzugten Anzeigenamen bearbeiten können. Benutzer können anstelle ihres Vor- und Nachnamens einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.
| 1 | Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattribute-Zuordnung aus. |
| 2 | Wählen Sie displayName unter Cisco Cloud-Attributname . |
| 3 | Wählen Sie Dieses Attribut nicht synchronisieren . |
Nächste Schritte
Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.
Upgrade auf die neueste Softwareversion
Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie nicht auf die neueste verfügbare Version aktualisieren, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische Anforderung TLS 1.2 nicht unterstützt.
Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.
| Obwohl Sie Connector-Software-Updates manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades einrichten zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann. |
| 1 | Klicken Sie entweder in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten. |
| 2 | Befolgen Sie die Anweisungen, um das Upgrade durchzuführen. |
| 3 | Starten Sie den Connector neu und melden Sie sich mit Ihren Administratoranmeldeinformationen an. |
| 4 | Überprüfen Sie die Versionsnummer der Software unter . |
Nächste Schritte
Für eine Neuinstallation von Directory Connector können Sie die ZIP-Datei herunterladen und die Installationsschritte in diesem Handbuch befolgen.
Konfigurieren von allgemeinen Einstellungen für Directory Connector
Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.
| 1 | Wechseln Sie vom Directory Connector zu Konfiguration und klicken Sie auf Allgemein. | ||
| 2 | Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird. | ||
| 3 | Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen:
| ||
| 4 | Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen. | ||
| 5 | Aktivieren Sie das Kontrollkästchen Automatisches Upgrade auf die neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, Ihre Cisco Directory Connector-Software auf dem neuesten Stand zu halten. Wir empfehlen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind. | ||
| 6 | Überprüfen Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden.
LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle, die zwischen einer Anwendung und dem Domänencontroller innerhalb der Infrastruktur verwendet werden. Die LDAPS-Kommunikation ist verschlüsselt und sicher. |
Connector-Richtlinie konfigurieren
Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.
Sie haben beispielsweise Folgendes festgelegt: 1 als Schwellenwert zum Löschen. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.
| 1 | Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus. | ||
| 2 | Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
| ||
| 3 | Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20.
| ||
| 4 | Klicken Sie auf Übernehmen. |
Zeitplan für Connector festlegen
Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.
| 1 | Klicken Sie im Directory Connector auf Konfiguration und wählen Sie dann Zeitplan . |
| 2 | Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig wird eine inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben. |
| 3 | Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden. |
| 4 | Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll. |
| 5 | Geben Sie einen Wert für Failover-Intervall in Minuten an. |
| 6 | Klicken Sie auf Übernehmen. |
Mehrere Domänenszenarien
Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.
Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.
Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.
Beispielanwendungen für mehrere Domänen
Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.
Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.
- Synchronisierung auf example1.com
-
Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in angezeigt, user1 und group1 dagegen nicht.https://admin.webex.com
Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.
User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.
- Synchronisierung für example1.com und example2.com
-
Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in angezeigt, user1 und group1 dagegen nicht.https://admin.webex.com
Stellen Sie sich das folgende Szenario vor:
- Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
- Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in werden nicht geändert.https://admin.webex.com User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
- Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in werden nicht geändert.https://admin.webex.com
- Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in aufgelistet.https://admin.webex.com
Neue Domäne synchronisieren Und Vorhandene Domäne beibehalten
Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, stellen Sie sicher, dass Sie den Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden, und die Benutzerinformationen unter Domäne (A) bleiben davon unberührt.
Jede Domäne muss über einen eigenen aktiven Connector verfügen. Berücksichtigen Sie zwei Domänen mit der folgenden Einrichtung: Domäne A mit Connectors (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen Domäne A. In diesem Szenario ist ein Connector aktiv und der andere ist Standby (HA). Bei diesem Design wird die Domäne synchronisiert, da immer ein Konnektor aktiv ist. cb1 ist also der aktive Connector für Domäne B, da Domäne A bereits einen aktiven Connector (ca1 oder ca2) hat.
Domänenpriorität festlegen
Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.
Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.
Vorbereitungen
Um Fehler zu vermeiden, installieren Sie die neueste Version des Cisco Directory Connector oder führen Sie ein Upgrade auf diese durch. Sie steht unter zum Download bereit.https://admin.webex.com
| 1 | Klicken Sie im Cisco Directory Connector auf Dashboard . | ||
| 2 | Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen. | ||
| 3 | Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern.
|
Domäne wechseln
Verwenden Sie dieses Verfahren, um den Cisco Directory Connector mit einer anderen Domäne zu verbinden.
Vorbereitungen
Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
Um Fehler zu vermeiden, installieren Sie die neueste Version des Cisco Directory Connector oder führen Sie ein Upgrade auf diese durch. Sie müssen es von Control Hub herunterladen .
| 1 | Klicken Sie im Cisco Directory Connector auf Dashboard . |
| 2 | Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln. |
| 3 | Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, andere Domänen im Connector werden nicht registriert und die Connector-Informationen auf diesem Computer werden gelöscht. |
| 4 | Melden Sie sich erneut beim Cisco Directory Connector an und verbinden Sie die Domäne erneut. |
Verzeichnissynchronisation deaktivieren
Wenn Sie die Synchronisierung über Directory Connector beenden müssen, können Sie sie vorübergehend über Control Hub deaktivieren.
| 1 | Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:
|
| 2 | Nachdem Sie die Eingabeaufforderung gelesen haben, klicken Sie auf Deaktivieren . Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren. |
Benutzerattribute-Zuordnung entfernen
Verwenden Sie Directory Connector, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.
| 1 | Klicken Sie in Directory Connector auf Dashboard. |
| 2 | Gehen Sie zu „Aktionen“ und klicken Sie auf . |
| 3 | Wählen Sie die Zuordnung aus, die aus der Liste Attributname entfernt werden soll. |
| 4 | Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus:
|
| 5 | Klicken Sie auf Übernehmen. |
Profilbilder verwalten
Verwenden Sie Directory Connector, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.
| 1 | Klicken Sie in Directory Connector auf Dashboard. |
| 2 | Gehen Sie zu „Aktionen“ und klicken Sie auf . |
| 3 | Wählen Sie unter Aktionen eine der folgenden Optionen aus:
|
| 4 | Klicken Sie auf Übernehmen. |
Directory Connector deinstallieren und deaktivieren
Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:
Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
Sie möchten die Domäne ändern und einen anderen Connector installieren.
Vorbereitungen
Möglicherweise sind mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder die Synchronisierung mehrerer Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie Directory Connector deinstallieren.
| 1 | Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen. |
| 2 | Klicken Sie in der Programmliste auf Directory Connector , wählen Sie Deinstallieren und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen. |
| 3 | Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , blättern Sie zu Verzeichnissynchronisierung , klicken Sie auf mehr |
| 4 | Nachdem Sie die Eingabeaufforderung gelesen haben, klicken Sie auf Deaktivieren . Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung. |
Das Diagnosetool ausführen
Sie können das integrierte Diagnosetool verwenden, um Fehler bei Ihrer Directory Connector-Bereitstellung zu beheben. Dieses Tool ist ab Directory Connector 3.4 installiert.
Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP , damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.
So führen Sie Tests für Active Directory-Domänendienste aus:
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
Fehlerbehebung und Fehlerbehebungen für Directory Connector
Es kann zu einer Fehlermeldung oder einem anderen Problem im Directory Connector kommen. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet Ihnen der Connector möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. In den folgenden Abschnitten finden Sie Informationen zu Problemen, möglichen Ursachen und vorgeschlagenen Lösungen, die Sie versuchen können, bevor Sie sich an den Support wenden.
Installieren
Directory Connector funktioniert nicht mehr
Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber informiert wurden, dass Ihr Directory Connector nicht funktioniert.
Directory Connector ist möglicherweise nicht korrekt installiert.
Directory Connector wird möglicherweise nicht ausgeführt.
Das Netzwerk ist möglicherweise nicht verfügbar.
Gehen Sie wie folgt vor:
Öffnen . Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
Öffnen Sie den Dienst und suchen Sie nach Cisco DirSync Service. Vergewissern Sie sich, dass der Status „Gestartet“ lautet. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, Zugriff auf das Internet hat.
Fehler bei Neuinstallation
Problem : Wenn Sie nach der Deinstallation eines alten Connectors sofort einen neuen Connector installieren, wird möglicherweise eine Fehlermeldung angezeigt.
Mögliche Ursache: In Windows Server 2012 benötigt der Deinstallations-Client Zeit, um das Dienstkonto aus der Dienstliste zu löschen.
Lösung: Versuchen Sie es nach einiger Zeit erneut mit der Installation.
Anmelden
Directory Connector stürzt während der SSO-Anmeldung ab
Problem
Der Verzeichniskonnektor kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite aus eingegeben haben.
Lösung
Gehen Sie wie folgt vor:
Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:
Rufen Sie den Domänencontroller auf und öffnen Sie die Gruppenrichtlinienverwaltung (gpedit.msc).
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie „Bearbeiten“ .
Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:
Gehen Sie zu , Rechtsklick Registrierung, wählen Neuund dann Registrierungselement.
Für den Schlüsselpfad , geben oder navigieren Sie zu HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main .
Geben Sie
Disable Script Debuggerfür Wert , und geben Sienofür Wertedaten .Die Einstellungen sollten mit diesem Screenshot übereinstimmen:
Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:
Gehen Sie zu , Rechtsklick Registrierung, wählen Neuund dann Registrierungselement.
Für den Tastenpfad , geben oder navigieren Sie zu HKEY _ CURRENT _ USER\SOFTWARE\Microsoft\Internet Explorer\Main .
Geben Sie
Disable Script Debuggerfür Wert , und geben Sienofür Wertedaten .Die Einstellungen sollten mit diesem Screenshot übereinstimmen:
| Die Änderungen werden nach der Ausführung wirksam. |
Cisco DirSync Service Connector konnte nicht registriert werden
Problem
Anmeldung fehlgeschlagen und diese Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“
Lösung
Das Windows-System, auf dem Directory Connector installiert ist, muss Active Directory-Mitglied sein.
Keine Anmeldeseite wird angezeigt
Problem
Sie haben den Directory Connector geöffnet, und die Anmeldeseite wurde nicht angezeigt.
Lösung
Gehen Sie wie folgt vor:
Gehen Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie es mit dem Link in anderen Browsern wie Chrome und Firefox.
Wenn Internet Explorer den Link nicht aufrufen kann, aber andere Browser können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS in Internet Explorer aktivieren .)
Aufforderung zur Anmeldung wird angezeigt
Problem
Es wird eine Aufforderung angezeigt, in der Sie aufgefordert werden, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu übergeben.
Mögliche Ursache
Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung unbeaufsichtigt mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.
Lösung
Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Weiterleitung der Sicherheit angeben.
Verbindung zum Remote-Server kann nicht hergestellt werden
Problem
Während des normalen Betriebs wird die Fehlermeldung angezeigt: "Keine Verbindung zum Remote-Server möglich."
Mögliche Ursache
Möglicherweise haben Sie Proxy-Probleme, die behoben werden müssen.
Lösung
Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung des Dienstkontos .
Konnektor kann nicht registriert werden
Problem
Ihnen wird die Fehlermeldung „Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“
Mögliche Ursache
In den meisten Fällen liegt das Problem daran, dass der Directory Connector kein Privileg hat, sich mit dem LDAP-Stammkontext zu verbinden.
Lösung
Gehen Sie wie folgt vor:
Führen Sie eine Eingabeaufforderung (cmd) aus und geben Sie dann ldp.exe ein.
Klicken Sie auf , wählen Sie Bind als aktuell angemeldeter Benutzer , und klicken Sie dann auf OK .
Klicken Sie auf , geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK .
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall mit Support.
Synchronisation
Avatare nicht synchronisiert
Problem
Der Cisco Directory Connector hat Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatardaten erfolgreich synchronisiert.
Mögliche Ursache
Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache sie und vermeidet ein erneutes Resending, um Bandbreite zu sparen.
Lösung
Löschen Sie den lokalen Cache, indem Sie folgende Schritte ausführen:
Gehen Sie zu C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Löschen DirSyncPluginAvatar.dll-cache.bin .
Führen Sie die Avatar-Synchronisierung über den Cisco Directory Connector erneut aus.
Widersprüchliche Benutzer-E-Mail-Konten
Problem
Die Synchronisierungsergebnisse können widersprüchliche Benutzer-E-Mail-Konten anzeigen.
Wenn Benutzer die kostenlose Version der Webex-App ausprobiert haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucher-Organisation.
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.
Lösung
Gehen Sie wie folgt vor:
Befolgen Sie diese Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
Deaktivieren Sie Cisco Directory Connector vorübergehend.
Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucher-Organisation vorhanden sind. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
Führen Sie einen Probelauf im Cisco Directory Connector aus, und aktivieren Sie dann die Verzeichnissynchronisierung erneut.
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen doppelt.
Konvertierter Benutzer als inaktiv markiert
Problem
In Ihrer Umgebung mit synchronisiertem Verzeichnis haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, aber der konvertierte Benutzer kann sich nicht bei der Webex-App anmelden.
Mögliche Ursache
Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer 30 Tage lang als Sicherheitskonformitätsmaßnahme als inaktiv markiert. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des 30-tägigen Zeitraums zum Löschen markiert. Diese Situation tritt auf, weil sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.
Lösung
Sie müssen handeln, wenn Sie nicht möchten, dass das Benutzerkonto gelöscht wird. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.
Inkrementelle Synchronisierung fehlgeschlagen
Problem
Eine inkrementelle Synchronisierung schlägt fehl.
Dieses Problem kann unter den folgenden Bedingungen auf Windows Server 2008 R2 auftreten:
Sie unterstützen inkrementelle Wertaktualisierungen.
Der Filter, den Sie verwenden, verweist auf ein verknüpftes Werteattribut.
Die Ergebniswerte dieses Attributs wurden seit der letzten vollständigen Synchronisierung aktualisiert.
Lösung
Windows Server 2008 R2 hat einen Fehler, der mit diesem Problem zusammenhängt. Der Fehler wurde 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihr Windows Server auf mindestens 2012 R2 zu aktualisieren.
Ungültiger Wert für Attribut
Problem
Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].
Mögliche Ursache
Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.
Lösung
Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.
Übereinstimmende zu löschende Benutzer
Problem
Die übereinstimmenden Benutzer werden als zu löschend markiert.
Wenn Sie einen Probelauf zur Synchronisierung durchführen, um die Daten zwischen Active Directory und der Cloud zu überprüfen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Konten angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.
Lösung
Wählen Sie eine geeignete Lösung aus:
Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen anschließend erneut auszuführen, können Sie Directory Connector für die Korrektur verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer von lokalem AD mit der Cloud zu synchronisieren.
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Fall beim Support.
Fehlendes Attribut
Problem
Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.
Mögliche Ursache
Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsmitarbeiter,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.
Lösung
Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.
Verschachtelte Gruppe wird nicht synchronisiert
Problem
Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.
Mögliche Ursache
Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Zum Beispiel: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Lösung
Sie müssen den Filter neu konfigurieren, der Gruppen synchronisiert. Zum Beispiel: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
Konflikt bei Benutzerbenennung
Problem
Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und vom Benutzertyp [user_type].
Mögliche Ursache
Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.
Lösung
Erstellen Sie einen Benutzer in Ihrem Active Directory mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.
Control Hub
Benutzerliste fehlt in Control Hub
Problem
Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird die Benutzerliste in Control Hub möglicherweise nicht angezeigt.
Lösung
Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Navigieren Sie in Control Hub zu Benutzer , klicken Sie auf Suchen 
und geben Sie dann Suchkriterien ein, um einen bestimmten Benutzer zu suchen.
Gruppen werden nicht mit Control Hub synchronisiert
Problem
Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.
Mögliche Ursache
Die Gruppe ist nicht markiert als isCriticalSystemObject in Active Directory.
Lösung
Stellen Sie sicher, dass das Attribut isCriticalSystemObject ist festgelegt auf TRUE in Active Directory.
Problembehandlung für den Directory Connector aktivieren
Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.
Die Protokolldateien sind: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 | Führen Sie die | ||
| 2 | Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten. | ||
| 3 | Klicken Sie im Directory Connector auf Dashboard . | ||
| 4 | Gehen Sie zu „Aktionen“ und klicken Sie auf . | ||
| 5 | Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können. | ||
| 6 | Prüfen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt.
| ||
| 7 | Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten. | ||
| 8 | Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind. |
Starten der Ereignisanzeige
Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.
| 1 | Wechseln Sie vom Directory Connector zu Dashboard und klicken Sie auf . Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails. |
| 2 | Wechseln Sie von der Ereignisanzeige zu .
|
| 3 | Klicken Sie unter „Aktionen“ auf „Alle Events speichern unter“ , um alle Protokolle als einzelne Ereignisdatei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren. |
Nächste Schritte
Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und hängen Sie die Ereignisdatei an Ihren Fall an.
| In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Unterstützung bei der Verwaltung des Netzwerkverkehrs zu erhalten. |
TLS in Internet Explorer aktivieren
Wenn Sie Anbieter für die einmalige Anmeldung (Single Sign-On, SSO) gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:
Fehler bei der Anmeldung beim Dienst
Im Skript auf dieser Seite ist ein Fehler aufgetreten
Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.
| 1 | Öffnen Sie Internet Explorer, und wählen Sie dann „Extras“ . Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die Sie aktivieren möchten.Klicken Sie auf OK Browser schließen und erneut öffnen |
| 2 | Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , blättern Sie zu Sicherheit . |
| 3 | Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden und klicken Sie dann auf OK .
|
| 4 | Starten Sie Ihr System neu, damit die Änderungen wirksam werden. |
Anmeldeprobleme für Dienstkonten beheben
Wenn Sie sich nicht beim Cisco Directory Connector anmelden oder keine Synchronisierung durchführen können, versuchen Sie mit diesen Schritten, das Problem zu beheben, bevor Sie sich an den Support wenden.
| 1 | Versuchen Sie, in Ihrem Webbrowser aufzurufen.https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL | ||
| 2 | Wählen Sie je nach den Ergebnissen eine Option:
| ||
| 3 | Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (der in Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar-Daten und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und Authentifizierung für das Windows-Anmeldekonto. |
Überprüfen SafeDllSearchMode in der Windows-Registrierung
Der Suchmodus für sichere dynamische Links-Bibliotheken (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und platziert das aktuelle Verzeichnis des Benutzers später in der DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt das gleiche wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) in das aktuelle Arbeitsverzeichnis der Anwendung platzieren.
Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.
Vorbereitungen
| Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, vor der Verwendung dieser Schritte ein Backup Ihrer Registrierung zu erstellen. |
| 1 | Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ „regedit“ ein, und drücken Sie dann die Eingabetaste. |
| 2 | Gehen Sie zu HKEY _ LOCAL _ MACHINE\System\CurrentControlSet\Control\Session Manager . |
| 3 | Wählen Sie eine Option:
|
Weitere Informationen finden Sie unter Dynamic Link Library Search Order .
Übersicht über Cisco Directory Connector
Directory Connector – Übersicht
Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.
Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur zentralen Informationsquelle wird. Wenn Sie eine Änderung lokal vornehmen, wird diese in die Cloud kopiert.
In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:
| Funktion | Beschreibung und Vorteil |
|---|---|
| Benutzerfreundliches Dashboard | Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden. |
| Probelauf, bevor die Synchronisierung in die Cloud durchgeführt wird | Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor sie in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen. |
| Vollständige und inkrementelle Synchronisierung | Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen. |
|
Synchronisieren mehrerer Domänen (einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) |
Directory Connector unterstützt mehrere Domänen entweder in einer einzelnen Gesamtstruktur oder in mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Der Control Hub spiegelt den Status wider, indem er den Synchronisierungsstatus für mehrere Directory Connectors anzeigt. Damit können Sie die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Directory Connector in einer Hochverfügbarkeitsbereitstellung deaktivieren. |
| Geplante Synchronisierung | Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest. |
| LDAP-Filter (Lightweight Directory Access Protocol) | Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit. |
| Active Directory-Attributzuordnung | Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um die Cloud zuzuordnen. Die Attribute aus dem Standort bilden verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, Enteprise-Telefonnummern in Webex Teams, Raumressourcen-SIP-Adressen und andere Kontaktkartendaten des Benutzers (Stellenbezeichnung, Abteilung, Manager usw.). |
|
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung |
Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud-PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte haben, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten auf ihren Cisco Webex Calling (Cloud-PSTN)-Telefonen oder Raumressourcen durchsuchen.
|
| Ereignisanzeige | Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen. |
| Diagnose-Tool und Fehlerbehebung | Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können. |
| Automatisches Upgrade | Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird. |
| Hohe Verfügbarkeit | Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt. |
Directory Connector ist in drei Bereiche unterteilt:
-
Control Hub ist die zentrale Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und die Einzelanmeldung (SSO) konfigurieren, wenn Ihre Benutzer sich über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App versenden möchten.
-
Die Directory Connector-Verwaltungsoberfläche ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und die Directory Connector-Dienste zu konfigurieren.
-
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory ab, um sie mit dem Connector-Dienst und dem Directory Connector zu synchronisieren.
Weitere Informationen zur Directory Connector-Architektur finden Sie in diesem Diagramm:
Vorbereiten Ihrer Umgebung für den Directory Connector
Anforderungen für den Directory Connector
Windows- und Active Directory-Anforderungen
Sie können Directory Connector auf den folgenden unterstützten Windows-Servern installieren:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die das Fix enthält – Windows Server 2012 R2 oder 2016.
Directory Connector wird von den folgenden Active Directory-Diensten unterstützt:
-
Active Directory 2016
(Directory Connector wird bei Verwendung der neuesten Version von Active Directory unter Windows Server 2019 unterstützt)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Beachten Sie die folgenden zusätzlichen Anforderungen:
-
Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
-
.NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, folgen Sie den Anweisungen unter Aktivieren Sie .NET Framework 3.5 mit dem Assistenten zum Hinzufügen von Rollen und Funktionen.)
-
.NET Framework v.4.5 (erforderlich für TLS1.2)
-
-
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)
Hardware-Anforderungen
Sie müssen Directory Connector auf einem Computer installieren, auf dem die folgenden Mindestanforderungen an die Hardware erfüllt sind:
-
8 GB RAM
-
50 GB Speicherplatz
-
Keine Mindestanforderung für die CPU
Netzwerk-Anforderungen
Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS-Zugriff (Port 443) auf das Internet verfügt.
Anforderungen der Webex-Organisation
-
Um von Control Hub aus auf die Directory Connector-Software zugreifen zu können, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem bezahlten Abonnement.
-
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Ihnen, Folgendes zu tun:
-
Fügen Sie Domänen hinzu, überprüfen und optional beanspruchen Sie sie , die die E-Mail-Adressen der Benutzer enthalten, die Sie mit der Cloud synchronisieren möchten.
-
Integrieren Sie Ihren Identitätsanbieter (IdP) mit Ihrer Webex-Organisation durch die einmalige Anmeldung (Single Sign-On, SSO).
-
Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)
-
Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.
Installationsanforderungen
-
In einer Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
-
Für die Anmeldung beim Connector ist kein Administratorkonto in Active Directory erforderlich. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer wie ein Volladministratorkonto in Control Hub ist.
Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computeranmeldekonto sollte ein Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer sein. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
-
Während der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector für den Zugriff auf Active Directory das lokale Systemkonto. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
-
Stellen Sie sicher, dass der Suchmodus für die Windows Safe Dynamic Link Library (DLL) mit diesem Verfahren aktiviert ist: Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung.
-
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, sollten Sie Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Computern installieren.
Mehrere Domänenanforderungen
Bevor Sie den Aufgaben im Ablauf der Bereitstellungsaufgabe für den Cisco-Verzeichniskonnektor folgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:
-
Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
-
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
-
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.)
-
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , damit Ihre Organisation in eine große Organisationsliste verschoben wird.
-
Bei Bedarf können Sie Informationen zu Raumressourcen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.)
Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung
Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.
Active Directory enthält zwei Arten von Gruppen:
-
Verteilergruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
-
Sicherheitsgruppen: Wird verwendet, um Berechtigungen für geteilte Ressourcen zuzuweisen.
Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:
-
Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienstleistung (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex Licensing usw.).
-
Verwenden Sie organisationsübergreifende Standard-Benennungskonventionen, um die Identifizierung wichtiger Informationen über eine Gruppe zu erleichtern. Gruppennamen können Details zur Gruppe enthalten, z. B. die Zugriffsstufe, die Art der Ressource, die Sicherheitsstufe, den Gruppenumfang, die E-Mail-Funktion usw. Der Gruppenname „GSG_Webex_Licensing_EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
-
Organisieren Sie Gruppen auf leicht verständliche Weise, z. B. nach Geografie oder Hierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
-
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die automatische Lizenzgruppenvorlage in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für die automatische Lizenzzuweisung einrichten .
Informationen zur Größe
Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Alle Beschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.
Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:
-
Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsjob dauert nicht so lange wie 50000.)
-
Netzwerkgeschwindigkeit und Bandbreite.
-
Systemauslastung und Spezifikationen.
Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.
Da bei der Synchronisierung mehrere Faktoren beteiligt sind und jede Bereitstellung abhängig von den oben genannten Faktoren variiert, können wir keine spezifischen Zeitwerte angeben, die angeben, wie lange eine Objektsynchronisierung dauern wird.
Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung
Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.
Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.
Vorbereitungen
Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.
| 1 |
Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste. |
| 2 |
Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wählen Sie eine Option:
|
Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.
Webproxy-Integration
Webproxy-Integration
Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.
Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector stellt eine Verbindung her und synchronisiert die Benutzer.
Sie können einen der folgenden Ansätze verwenden:
-
Expliziter Webproxy über Internet Explorer (der Connector erbt die Webproxy-Einstellungen)
-
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
-
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert
Webproxy über den Browser verwenden
Sie können den Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.
Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,
| 1 |
Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus. |
| 2 |
Verweisen Sie die Windows-Instanz, auf die der Connector installiert ist, auf Ihren Webproxy. Der Connector erbt diese Webproxy-Einstellungen. |
| 3 |
Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:
Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann. |
| 4 |
Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:
Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss. |
Webproxy über eine PAC-Datei konfigurieren
Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und die Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.
| 1 |
Damit der Connector sich erfolgreich mit der Webex Cloud verbinden und die Benutzerinformationen synchronisieren kann, müssen Sie die Proxy-Authentifizierung für |
| 2 |
Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:
Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann. |
| 3 |
Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:
Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss. |
NTLM-Proxy
Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.
NTLM-Design
In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.
Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus aus Herausforderung
und Antwort
:
-
Ein Benutzer meldet sich über ein Windows-Konto und ein Kennwort auf einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines reinen Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hash-Wert mit dem Hash-Wert des eingegebenen Passworts. Wenn beide gleich sind, wird die Authentifizierung erfolgreich ausgeführt.
Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im reinen Textformat.
-
Wenn der Server die Anforderung erhält, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Herausforderung auf dem Server gespeichert. Anschließend sendet der Server die Aufforderung im reinen Textformat an den Client.
-
Sobald der Client die vom Server gesendete Challenge erhält, verschlüsselt der Client die Challenge mit dem in Schritt 1 genannten Hash-Wert. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
-
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet er ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: der Kontoname, die verschlüsselte Aufforderung, die der Client gesendet hat, und die ursprüngliche einfache Aufforderung.
-
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.
Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Dadurch müssen Sie keine weitere Konfiguration abschließen.
Transparenten Proxy konfigurieren
In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.
| 1 |
Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann. |
| 2 |
Bestätigen Sie, dass der Proxy erfolgreich ist: Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt. |
Proxy-Authentifizierung festlegen
Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.
Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:
| 1 |
Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist. |
| 2 |
Legen Sie eine geschätzte Bandbreite für diese Verbindung fest (ca. 2 MB/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich. |
| 3 |
Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie Beispiel: access-list 2000 acl-inside extended permit TCP [IP des Connectors] cloudconnector.webex.com eq https |
| 4 |
Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt. |
| 5 |
Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren. |
Verzeichniskonnektor bereitstellen
Ablauf der Bereitstellungsaufgabe des Cisco-Verzeichniskonnektors
Vorbereitungen
| 1 |
Verzeichniskonnektor installieren In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen. Für eine neue Installation von Directory Connector gehen Sie immer zu Control Hub ( https://admin.webex.com), um die neueste Version der Software abzurufen, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar. |
| 2 |
Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administrator-Anmeldeinformationen an und führen Sie die Ersteinrichtung durch. |
| 3 |
Automatische Upgrades festlegen Es ist immer wichtig, dass Ihre Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind. |
| 4 |
Active Directory-Objekte zum Synchronisieren auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen. |
| 5 |
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist die *uid. |
| 6 |
Synchronisieren Sie Verzeichnis-Avatare mit einem der folgenden Verfahren:
Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass der Avatar jedes Benutzers angezeigt wird, wenn er sich bei der Anwendung anmeldet. Sie können Avatare von einem Active Directory-Attribut oder einem Ressourcenserver synchronisieren. |
| 7 |
Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Webex Room-Gerät oder Cisco Webex Board angezeigt. |
| 8 |
Um Benutzer Aus Active Directory In Control Hub Bereitzustellen, führen Sie die folgenden Schritte aus:
Folgen Sie dieser Sequenz, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wald- oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen. |
Verzeichniskonnektor installieren
In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen.
Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf der Synchronisierung mit mehreren Domänen:
Vorbereitungen
Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen:
-
Für die Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxy-Konfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Webproxy Im Browser verwenden
-
Bei Proxy-NTLM wird Ihnen möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser.
| 1 |
Wechseln Sie in Control Hub zu und wählen Sie Weiter aus. |
| 2 |
Klicken Sie auf den Link Herunterladen und installieren, um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die .zip-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert. Holen Sie sich für eine Neuinstallation die neueste Version der Software, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar. |
| 3 |
Entpacken Sie die MSI-Datei auf dem VMware- oder Windows-Server und führen Sie sie im Setup-Ordner aus, um den Setup-Assistenten zu starten. |
| 4 |
Klicken Sie auf Weiter, aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Weiter, bis der Bildschirm „Kontotyp“ angezeigt wird. |
| 5 |
Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto durch:
Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind:
|
| 6 |
Klicken Sie auf Installieren. Geben Sie nach der Ausführung des Netzwerktests Ihre grundlegenden Proxy-Anmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertig stellen. |
Nächste Schritte
Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Während des Neustarts der Maschine werden alle Daten aktualisiert, um ein exaktes Ergebnis im Bericht anzuzeigen.
Bei Directory Connector anmelden
Vorbereitungen
Stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen.
-
Für die Proxy-Basic-Auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
-
Öffnen Sie für Proxy-NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen, stellen Sie sicher, dass die Informationen zum Proxy-Server hinzugefügt wurden, und klicken Sie auf OK. Siehe Verwenden eines Webproxys über den Browser.
| 1 |
Öffnen Sie den Connector und fügen Sie |
| 2 |
Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich dann mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter. |
| 3 |
Bestätigen Sie Ihre Organisation und Ihre Domäne.
|
| 4 |
Nachdem der Bildschirm Organisation bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Wenn Sie AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Organisation bestätigen angezeigt. |
| 5 |
Klicken Sie auf Bestätigen. |
| 6 |
Wählen Sie eine der folgenden Optionen aus, abhängig von der Anzahl der Active Directory-Domänen, die Sie an den Directory Connector binden möchten:
|
Nächste Schritte
Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.
Directory Connector-Dashboard
Wenn Sie sich zum ersten Mal beim Directory Connector anmelden, wird das Dashboard angezeigt. Hier können Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken anzeigen, einen Probelauf für die Synchronisierung durchführen, eine vollständige oder inkrementelle Synchronisierung starten und die Event-Ansicht starten, um Fehlerinformationen anzuzeigen.
Sie können diese Aufgaben einfach über die Symbolleiste oder das Menü „Aktionen“ ausführen.
|
Komponente |
Beschreibung |
|---|---|
|
Aktuelle Synchronisierung |
Zeigt die Statusinformationen zur laufenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige inaktiv. |
|
Nächste Synchronisierung |
Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Zeitplan festgelegt ist, wird Nicht angesetzt angezeigt. |
|
Letzte Synchronisation |
Zeigt den Status der letzten beiden durchgeführten Synchronisierungen an. |
|
Aktueller Synchronisierungsstatus |
Zeigt den Gesamtstatus der Synchronisierung an. |
|
Konnektoren |
Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind. |
|
Cloud-Statistik |
Zeigt den Gesamtstatus der Synchronisierung an. |
|
Synchronisierungszeitplan |
Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung an. |
|
Konfigurationszusammenfassung |
Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten:
|
| Aktion | Beschreibung |
|---|---|
| Inkrementelle Synchronisierung starten |
Inkrementelle Synchronisierung manuell starten Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn noch keine vollständige Synchronisierung abgeschlossen wurde oder wenn eine Synchronisierung läuft. |
|
Probelauf synchronisieren |
Führen Sie einen Probelauf für die Synchronisierung durch. |
|
Ereignisanzeige starten |
Starten Sie die Microsoft-Ereignisanzeige. |
|
Aktualisieren |
Aktualisieren des Cisco Directory Connector-Dashboards |
|
Aktion |
Beschreibung |
|---|---|
| Jetzt synchronisieren |
Starten Sie sofort eine vollständige Synchronisierung. |
|
Synchronisierungsmodus |
Wählen Sie entweder den inkrementellen oder den vollständigen Synchronisierungsmodus aus. |
|
Geheimschlüssel für Konnektor zurücksetzen |
Stellen Sie eine Unterhaltung zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Durch Auswahl dieser Aktion wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert. |
|
Probelauf |
Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung durchführen. |
|
Fehlerbehebung |
Aktivieren/deaktivieren Sie die Fehlerbehebung. |
|
Aktualisieren |
Aktualisieren Sie den Cisco Directory Connector-Hauptbildschirm. |
|
Beenden |
Beenden Sie den Cisco Directory Connector. |
|
Tastenkombination |
Aktion |
|---|---|
|
Alt +A |
Das Menü Aktionen anzeigen |
|
|
Jetzt synchronisieren |
|
|
Geheimschlüssel für Konnektor zurücksetzen |
|
|
Probelauf |
|
|
Inkrementelle Synchronisierung |
|
|
Vollständige Synchronisierung |
|
|
Menü Hilfe anzeigen |
|
|
Hilfe |
|
|
Info |
|
|
häufig gestellte Fragen |
Automatische Upgrades festlegen
| 1 |
Wechseln Sie im Directory Connector zu und aktivieren Sie die Option Automatisch auf neue Cisco Directory Connector-Version aktualisieren. |
| 2 |
Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern. |
Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.
Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion.
Active Directory-Objekte zum Synchronisieren auswählen
Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.
Gruppen für die automatische Lizenzzuweisung
Mit Control Hub können Sie Lizenzzuweisungen auf Gruppenbasis verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Beim Erstellen eines Benutzers überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.
Wir empfehlen, einen LDAP-Filter zu verwenden, um nur relevante Gruppen mit der Cloud zu synchronisieren. Beispielsweise können Sie den Filter auf:
(&(cn=Beispiel)(objectclass=Gruppe))*
Dieser Filter synchronisiert alle Gruppen innerhalb des Basis-DN, bei dem der Name mit „Beispiel“ beginnt. Benutzern, die keinen Gruppen zugewiesen sind, werden Lizenzen über die automatische Standardlizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.
Gruppen für Hybrid-Datensicherheitsbereitstellungen
Im Directory Connector müssen Sie Gruppen aktivieren, wenn Sie Hybrid-Datensicherheit zum Konfigurieren einer Testgruppe für Pilotbenutzer verwenden. Anleitungen finden Sie im Bereitstellungsleitfaden für Hybrid-Datensicherheit. Diese Verzeichniskonnektor-Einstellung wirkt sich nicht auf die Synchronisierung anderer Benutzer in der Cloud aus.
| 1 |
Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl. |
| 2 |
Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und erwägen Sie, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die zur Beispiel-Manager-Gruppe gehören, verwenden Sie einen Filter wie diesen:
|
| 3 |
Aktivieren Sie das Kontrollkästchen Raum identifizieren, um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen, wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie lokale Rauminformationen von Active Directory mit der Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud. |
| 4 |
Aktivieren Sie Gruppen, wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie keinen LDAP-Filter für die Benutzersynchronisierung zum Feld „Gruppen“ hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren. Gruppen werden standardmäßig nicht für neue Kunden synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren. |
| 5 |
Aktivieren Sie Kontakte, wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten. Der Verzeichniskonnektor verwaltet nur Kontakte, die vom Konnektor synchronisiert wurden. Wenn bereits Kontakte in Control Hub vorhanden sind, werden die Kontakte durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsumfang entfernt werden, werden auch die Kontaktinformationen der Benutzer in Control Hub entfernt. |
| 6 |
Konfigurieren Sie die LDAP-Filter. Sie können erweiterte Filter hinzufügen, indem Sie einen gültigen LDAP-Filter bereitstellen. Weitere Informationen zum Konfigurieren von LDAP-Filtern finden Sie in diesem Artikel. |
| 7 |
Geben Sie die zu synchronisierenden lokalen Basis-DNs an, indem Sie auf Auswählen klicken, um die Baumstruktur Ihres Active Directory anzuzeigen. Von hier aus können Sie auswählen, welche Container gesucht werden sollen. |
| 8 |
Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten, und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container zur Synchronisierung auswählen. Wählen Sie einen übergeordneten Container aus, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird im übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container aktiviert wurde. Sie können dann auf Auswählen klicken, um die von Ihnen ausgewählten Active Directory-Container zu akzeptieren. Wenn Ihre Organisation alle Benutzer und Gruppen im Benutzer-Container platziert, müssen Sie keine anderen Container durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, stellen Sie sicher, dass Sie OUs auswählen. |
| 9 |
Klicken Sie auf Übernehmen. Wählen Sie eine Option:
Informationen zu Probeläufen finden Sie unter Durchführen einer Probelauf-Synchronisierung für Ihre Active Directory-Benutzer. Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen. |
Benutzerattribute zuordnen
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.
Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll – Sie können beispielsweise firstName lastName in Active Directory oder einen benutzerdefinierten Attributausdruck displayName in der Cloud zuordnen.
Konten in Active Directory müssen über eine E-Mail-Adresse verfügen; die uid wird standardmäßig dem Feld ad der E-Mail zugeordnet (nicht sAMAccountName).
Wenn Sie festlegen, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, ist Active Directory die einzige Informationsquelle: Benutzer können ihre Spracheinstellung in den Webex-Einstellungen nicht ändern, und Administratoren können die Einstellung in Control Hub nicht ändern.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet. |
| 2 |
Scrollen Sie zum Ende der Active Directory-Attributnamen und wählen Sie dann eines der folgenden Active Directory-Attribute aus, um das Cloud-Attribut uid zuzuordnen:
Sie können beliebige andere Active Directory-Attribute der uid zuordnen. Wir empfehlen jedoch, „mail“ oder „userPrincipalName“ zu verwenden, wie in den obigen Richtlinien beschrieben. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, mit welchen Attributen in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen im Directory Connector. Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen ausgewählte Active Directory-Attribut im E-Mail-Format vorliegt. Der Verzeichniskonnektor zeigt ein Popup-Fenster an, das Sie daran erinnert, wenn Sie eines der empfohlenen Attribute nicht auswählen. |
| 3 |
Wenn die vordefinierten Active Directory-Attribute in Ihrer Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können. Klicken Sie auf Hilfe, um weitere Informationen zu den Ausdrücken zu erhalten und Beispiele für die Funktionsweise von Ausdrücken anzuzeigen. Weitere Informationen finden Sie auch unter Ausdrücke für angepasste Attribute. Ordnen wir in diesem Beispiel die Active Directory-Attribute
Der Directory Connector überprüft den Attributwert von uid im Identitätsdienst und ruft 3 verfügbare Benutzer unter den aktuellen Benutzerfilteroptionen ab. Wenn alle diese 3 Benutzer ein gültiges E-Mail-Format haben, zeigt der Cisco Directory Connector die folgende Meldung an:
Wenn das Attribut nicht verifiziert werden kann, wird die folgende Warnung angezeigt und Sie können zu Active Directory zurückkehren, um die Benutzerdaten zu überprüfen und zu korrigieren:
|
| 4 |
(Optional) Wählen Sie Zuordnungen für Mobilgeräte und Telefonnummer aus, wenn Mobil- und Geschäftsnummern angezeigt werden sollen, beispielsweise in der Kontaktkarte des Benutzers in der Webex-App. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt. Weitere Informationen zu Anrufen über die Kontaktkarte eines Benutzers finden Sie im Bereitstellungshandbuch für Anrufe in Webex (Unified CM) (Administratoren). |
| 5 |
Wählen Sie zusätzliche Zuordnungen aus, um weitere Daten in der Kontaktkarte anzuzeigen:
Nach der Zuordnung der Attribute werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt:
Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren. Nachdem diese Attribute mit den einzelnen Benutzerkonten synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Benutzer der Webex-App mehr Informationen in ihren Profilen teilen und mehr voneinander erfahren. Weitere Informationen zur Funktion und zum Aktivieren finden Sie unter Profile für „People Insights“ für Webex, Jabber, Webex Meetings und Webex Events (Neu) in Control Hub. |
| 6 |
Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie auf Übernehmen. |
Alle in Active Directory enthaltenen Benutzerdaten überschreiben die diesem Benutzer entsprechenden Daten in der Cloud. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Alle Benutzer ohne entsprechende E-Mail-Adresse in Active Directory werden gelöscht.
Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.
Active Directory- und Cloud-Attribute
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattributzuordnung verwenden.
In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Verzeichniskonnektor. Sie können in den Dropdown-Menüs des Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloudattribut synchronisiert wird.
Betrachten Sie die Dropdown-Attribute als Voreinstellungen. Als Alternative zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory angeben (ein Ausdruck mit mehreren Attributen), um ein einzelnes Cloudattribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise haben Sie die Flexibilität, die Anzeigenamen Ihrer Benutzer zu bestimmen. Sie können beispielsweise einen Ausdruck hinzufügen, der basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory ein angepasstes Attribut erstellt.
Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.
Sie können auch alternative E-Mail-Adressen verwenden, z. B. wenn Sie den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall dem Attribut emails;type-work eine andere E-Mail-Adresse zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.
|
Active Directory-Attributnamen |
Webex-Cloud-Attributnamen |
Anmerkungen |
|---|---|---|
|
— |
Gebäudename |
— |
|
c |
c |
Dieses Attribut gibt die Länderabkürzung des Benutzers an. |
|
Abteilungsnummer |
Abteilungsnummer |
Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die auf der Kontaktkarte und People Insights angezeigt wird. |
|
Anzeigename |
Anzeigename |
Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird. |
|
BenutzerAccountControl |
ds-pwp-konto-deaktiviert |
Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist, andernfalls werden die Benutzer nicht ordnungsgemäß synchronisiert. |
|
Mitarbeiternummer |
Mitarbeiternummer |
— |
|
FaxTelefonnummer |
FaxTelefonnummer |
— |
|
— |
Jabber-ID |
Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert ist nicht identisch mit sipAddresses. |
|
l |
l |
Dieses Attribut gibt die Stadt des Benutzers an. |
|
— |
Ländereinstellung |
— |
|
Manager |
Manager |
Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der auf der Kontaktkarte und People Insights angezeigt wird. |
|
Mobil |
Mobil |
Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen. |
|
o |
o |
Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird auf der Kontaktkarte angezeigt. |
|
Ou |
Ou |
Dieses Attribut gibt den Namen der Organisationseinheit an. |
|
physischeLieferungBüroName |
physischeLieferungBüroName |
Dieses Attribut gibt den Bürostandort des Benutzers an. |
|
Postleitzahl |
Postleitzahl |
Dieses Attribut gibt die Postleitzahl des Benutzers für die physische Postzustellung an. |
|
bevorzugteSprache |
bevorzugteSprache |
Dieses Attribut legt die bevorzugte Sprache des Benutzers fest. Es werden die folgenden Formate unterstützt: xx_YY oder xx-YY. Hier einige Beispiele: de_US, de_GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format verwenden, wird die bevorzugte Sprache des Benutzers zur für die Organisation festgelegten Sprache geändert. |
|
MSRTCSIP-PrimäreBenutzeradresse IP-Telefon |
SIP-Adressen;type=Unternehmen |
Dieses Attribut wird verwendet, um lokale Rauminformationen aus Active Directory mit der Cisco Webex-Cloud zu synchronisieren. |
|
sn |
sn |
Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird. |
|
st |
st |
Dieses Attribut gibt das Bundesland des Benutzers an. |
|
Straßenadresse |
Straße |
Dieses Attribut gibt die Postanschrift des Benutzers für die physische Postzustellung an. |
|
Telefonnummer |
Telefonnummer |
Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die zum Anrufen des Benutzers über die Kontaktkarte verwendet wird. |
|
— |
Zeitzone |
Dieses Cloudattribut gibt die Zeitzone des Benutzers an. |
|
Titel |
Titel |
Dieses Attribut gibt den Titel des Benutzers an, der auf der Kontaktkarte und People Insights angezeigt wird. |
|
Typ |
Unternehmen |
— |
|
*userPrincipalName |
UID |
Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann sich dann mit einer dieser E-Mail-Adressen anmelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen dazu, wie Sie eine alternative E-Mail-Adresse zuordnen können, finden Sie im Beispiel-Attributzuordnung unten. |
|
*userPrincipalName <benutzerdefiniertes Attribut> |
E-Mails;Arbeit eingeben |
Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein. |
|
<Neues Attribut für Azure-Benutzer objectId> |
externe ID |
Erstellen Sie ein neues Active Directory-Attribut, um die Objekt-ID des Azure-Benutzers zu speichern, damit sie nicht mit einem vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen. |
Alternative E-Mail-Adresszuordnung
Ausdrücke für angepasste Attribute
|
Vermittler |
Beschreibung und Beispiel |
|---|---|
|
% |
Entfernt alle Zeichen vom Anfang bis zur Position des Zeichens oder des String-Arguments, falls diese übereinstimmen.
|
|
- |
Entfernt die Rückseite der Eingabezeichenfolge vom Ende der angegebenen Zeichenfolge.
|
|
+ |
Verkettet Eingabezeichenfolgen oder Ausdrücke.
|
|
| |
Evaluiert die getrennten Ausdrücke anhand einer leeren Zeichenkette und wählt das erste nicht-leere Ergebnis aus.
|
Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud
Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit diesem Verfahren können Sie Avatarrohdaten aus einem Active Directory-Attribut synchronisieren.
| 1 |
Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren. |
| 2 |
Wählen Sie für Avatar abrufen von die Option AD-Attribut und anschließend das Avatar-Attribut aus, das die Avatar-Rohdaten enthält, die Sie mit der Cloud synchronisieren möchten. |
| 3 |
Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar des Benutzers abrufen. Der Avatar wird rechts angezeigt. |
| 4 |
Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern. |
-
Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
-
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.
Nächste Schritte
Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.
Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud
Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit dieser Prozedur können Sie Avatare von einem Ressourcenserver synchronisieren.
Vorbereitungen
-
Das URI-Muster und der Variablenwert in dieser Prozedur sind Beispiele. Sie müssen tatsächliche URLs verwenden, unter denen sich Ihre Verzeichnis-Avatare befinden.
-
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht öffentlich im Internet zugänglich sein.
-
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass auf Avatar-Daten über die NTLM-Authentifizierung oder die Basic-Auth zugegriffen werden kann.
| 1 |
Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren. |
| 2 |
Wählen Sie unter Avatar abrufen von die Option Ressourcenserver aus, und geben Sie das Avatar-URI-Muster ein – zum Beispiel Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten:
|
| 3 |
(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen benötigt, aktivieren Sie die Option Benutzeranmeldeinformationen für Avatar festlegen. Wählen Sie anschließend Aktuellen Service-Anmeldebenutzer verwenden oder Diesen Benutzer verwenden aus, und geben Sie das Passwort ein. |
| 4 |
Geben Sie den Variablenwert ein, zum Beispiel: |
| 5 |
Klicken Sie auf Test, um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. Wenn in diesem Beispiel der E-Mail-Wert für einen AD-Eintrag |
| 6 |
Nachdem die URI-Informationen überprüft wurden und korrekt angezeigt wurden, klicken Sie auf Übernehmen. Detaillierte Informationen zur Verwendung regulärer Ausdrücke finden Sie in der Microsoft Regular Expression Language Quick Reference . |
-
Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
-
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.
Nächste Schritte
Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.
Synchronisieren von lokalen Rauminformationen mit der Webex Cloud
Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Webex-Geräten (Room, Desk und Board) angezeigt.
| 1 |
Wechseln Sie aus dem Directory Connector zu Synchronisieren, klicken Sie auf Mehr |
| 2 |
Aktivieren Sie das Kontrollkästchen Rauminformationen mit Cloud synchronisieren, um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf die gleiche Weise behandelt wie synchronisierte Benutzerdaten. |
| 3 |
Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=enterprise. Um die Wertevalidierung zu verwenden, sollte der Wert der SIP-Adresse Pattern.compile("^([^@])(.*)@(.*)$") lauten.
|
| 4 |
Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann zum Identifizieren von Räumen verwendet.
|
| 5 |
Navigieren Sie von Active Directory-Benutzern und -Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den vollständig qualifizierten SIP-URI mit dem Präfix sip hinzu:
|
| 6 |
Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden Objekte hinzugefügt aufgelistet, und übereinstimmende Raumobjekte werden im Probelauf-Bericht unter Übereinstimmende Objekte angezeigt. Alle Raumobjekte, die zum Löschen markiert sind, finden Sie unter Räume gelöscht.
In den Ergebnissen des Probelaufs werden alle abgestimmten Raumressourcen angezeigt.
Diese Einstellung trennt die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.
|
Nächste Schritte
Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Cloud registrierten Webex-Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde.
Über Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.
Der Endpunkt kann einen Rückruf nicht an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte lokal oder an einem anderen Ort als der Webex-App als SIP URI registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, dem Schreibtischgerät oder dem Webex Board für den Kalenderdienst befindet, wird der doppelte Eintrag in den Suchergebnissen nicht angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App angerufen und es wird kein SIP-Anruf getätigt.
E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisation senden
Standardmäßig erhalten die Organisationskontakte oder Administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen mit einer Zusammenfassung der Verzeichnissynchronisierungsberichte erhalten soll.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benachrichtigung aus. |
| 2 |
Klicken Sie im Directory Connector auf Einstellungen und aktivieren Sie neben E-Mail-Empfänger die Option Synchronisierung des Berichts aktivieren. |
| 3 |
Aktivieren Sie Benachrichtigung aktivieren, wenn Sie das Standard-Benachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten. |
| 4 |
Klicken Sie auf Hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können. |
| 5 |
Klicken Sie auf E-Mail hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können. |
| 6 |
Wenn Sie eingegebene E-Mail-Adressen bearbeiten müssen, doppelklicken Sie auf den E-Mail-Eintrag in der linken Spalte, und nehmen Sie dann die gewünschten Änderungen vor. |
| 7 |
Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Übernehmen. |
| 8 |
Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Speichern. |
Nächste Schritte
Wenn Sie festgelegt haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und klicken Sie dann auf Entfernen.
Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.
Bereitstellen von Benutzern Aus Active Directory In Control Hub
Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (entweder mit einer einzelnen Gesamtstruktur oder mit mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.
| 1 |
Durchführen eines Probelaufs für die Active Directory-Benutzer Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen. |
| 2 |
Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen. |
| 3 |
Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen auf verschiedene Weise zuweisen. Wir empfehlen Ihnen, eine Lizenzvorlage für die automatische Zuweisung einzurichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen. |
Durchführen eines Probelaufs für die Active Directory-Benutzer
Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.
Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel des Directory Connector ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud herzustellen.
Wenn Sie in einer oder mehreren Gesamtstrukturen mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.
Vorbereitungen
Möglicherweise befinden sich bereits einige Webex-App-Benutzer in Control Hub, bevor Sie den Verzeichniskonnektor verwendet haben. Einige der Benutzer in der Cloud können mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es können jedoch Testbenutzer sein, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Active Directory und Control Hub erstellen.
| 1 |
Eine Option auswählen:
Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt:
Die Zusammenfassung enthält Informationen über die Objektabgleich:
Der Probelauf identifiziert die Benutzer, indem er sie mit Domänenbenutzern vergleicht. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten möchten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory. |
| 2 |
Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option aus, je nachdem, ob Sie eine einzelne oder mehrere Domänen verwenden:
|
| 3 |
Klicken Sie in der Aufforderung Probelauf bestätigen auf Ja, um die Synchronisierung des Probelaufs erneut durchzuführen und das Dashboard anzuzeigen, um die Ergebnisse anzuzeigen. Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter Übereinstimmende Objekte angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Um die Details der synchronisierten Elemente anzuzeigen, klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched. Um die Zusammenfassungsinformationen zu speichern, klicken Sie auf Ergebnisse in Datei speichern. |
| 4 |
Wenn die Ergebnisse erwartet werden, gehen Sie zu und klicken Sie dann auf Jetzt aktivieren, um eine manuelle Synchronisierung durchzuführen und an diesem Punkt in den manuellen Modus zu versetzen. Nachdem Sie eine Synchronisierung mit der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte zwischen der Webex-Cloud und allen lokalen Active Directories vollständig übereinstimmen. |
Nächste Schritte
-
Alle nicht übereinstimmenden Benutzerobjekte, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen lokaler und Cloud-Umgebung besteht.
-
Wählen Sie einen Synchronisierungstyp:
-
Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben.
-
Wenn Sie über mehrere Domänen verfügen, wiederholen Sie diese Schritte auf einem anderen Directory Connector, den Sie installiert haben.
Zu beachtende Punkte
-
Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisation dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeberichte überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.
-
Wenn übereinstimmende Benutzer als gelöscht markiert sind und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und wenden Sie sich an den Support unter Fehlerbehebung und Fehlerbehebungen für Directory Connector.
Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.
Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen
Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
Wenn Sie über mehrere Domänen verfügen, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.
Directory Connector synchronisiert den Benutzerkontostatus: In Active Directory werden als deaktiviert gekennzeichnete Benutzer in der Cloud als inaktiv angezeigt.
Vorbereitungen
-
Wenn sich die Webex-App-Benutzerkonten nach der vollständigen Synchronisierung im Status „Aktiv“ befinden sollen, bevor sich die Benutzer zum ersten Mal anmelden, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:
-
Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Siehe
Einmalige Anmeldung mit Cisco Webex-Diensten und dem Identitätsanbieter Ihrer Organisation
um mehr zu erfahren. -
Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe
Hinzufügen, Überprüfen und Beanspruchen von Domänen
. -
Automatische E-Mail-Einladungen unterdrücken, sodass neue Benutzer die automatische E-Mail-Einladung zur Webex-App nicht erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
Aktivierte Benutzer, die sich nicht angemeldet haben, werden in Control Hub mit dem Status Verifiziert angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub.
-
-
Wenn Sie die Synchronisierung aktivieren, werden Sie vom Verzeichniskonnektor zuerst aufgefordert, einen Probelauf durchzuführen. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu ermitteln.
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Wenn Sie keine Lizenzvorlagen für die automatische Zuweisung verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie können dieselben kostenlosen Funktionen wie Benutzer mit kostenlosen Konten verwenden.
| 1 |
Eine Option auswählen:
|
| 2 |
Wechseln Sie im Directory Connector zu Synchronisieren, klicken Sie auf Mehr |
| 3 |
Bestätigen Sie den Start der Synchronisierung. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch bis zu 72 Stunden nach der Synchronisierung angezeigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
|
| 4 |
Klicken Sie auf Aktualisieren, wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik angezeigt.) |
| 5 |
Wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um weitere Informationen zu Fehlern zu erhalten, um die Fehlerprotokolle anzuzeigen. |
| 6 |
Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen mit der Cloud finden Sie unter Festlegen des Connector-Zeitplans und Ausführen einer inkrementellen Synchronisierung. |
-
Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung auf der Seite Einstellungen in Control Hub von Deaktiviert zu Betriebsbereit aktualisiert.
-
Wenn alle Daten zwischen lokaler und Cloud-Umgebung abgeglichen werden, wechselt der Verzeichniskonnektor vom manuellen Modus in den automatischen Synchronisierungsmodus.
-
Sofern Sie die Einzelanmeldung nicht integrieren, Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben und automatische E-Mails unterdrücken, bleiben die Benutzerkonten der Webex-App im Status „Nicht verifiziert“, bis sich die Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Eine Anleitung zur Synchronisierung der Konten als aktive Benutzer finden Sie im Abschnitt „Vorbereitungen“.
-
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf einem anderen installierten Directory Connector aus. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
-
Wenn Sie Single Sign-On in Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
-
Sie können Benutzer in Control Hub nicht manuell hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung wird die Benutzerverwaltung über den Cisco-Verzeichniskonnektor durchgeführt, und Active Directory ist die zentrale Informationsquelle.
-
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.
Nächste Schritte
-
Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung soft gelöscht. Der Benutzer wird inaktiv, aber das Cloud-Identitätsprofil wird sieben Tage lang beibehalten (um eine Wiederherstellung nach einer versehentlichen Löschung zu ermöglichen).
Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer nach der nächsten Synchronisierung inaktiv. Das Cloud-Identitätsprofil wird nach sieben Tagen nicht gelöscht, falls Sie den Benutzer erneut aktivieren möchten.
-
Beachten Sie diese Ausnahmen bei einer inkrementellen Synchronisierung (befolgen Sie stattdessen die obigen vollständigen Synchronisierungsschritte):
-
Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
-
Konfigurationsänderungen bei der Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.
-
Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen
Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco-Verzeichniskonnektor mit Control Hub abgeschlossen haben, können Sie mit Control Hub allen Ihren Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.
Nachdem Sie die vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Methoden in Control Hub verwenden, um all Ihren Benutzern – einzelnen Benutzern – über die CSV-Massenvorlage global Webex-Dienstlizenzen zuzuweisen oder neuen Benutzern automatisch zuzuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.
Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken, wenn Sie Ihre Benutzer direkt kontaktieren möchten.
Vorbereitungen
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
-
Führen Sie einen Probelauf für die Synchronisierung der Active Directory-Benutzer durch.
-
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung mit Ihren Active Directory-Benutzern durch.
Bei der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und es wird keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine Standard-Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreiches automatisches Abschließen der Zuweisung.
| 1 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , klicken Sie auf Benutzer verwalten, wählen Sie Alle synchronisierten Benutzer ändern und klicken Sie dann auf Weiter. |
| 2 |
Wählen Sie eine Option: |
Nächste Schritte
-
Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung gesendet, um Webex beizutreten und herunterzuladen.
-
Wenn Sie für alle Benutzer dieselben Webex-Dienste ausgewählt haben, können Sie anschließend die zugewiesene Lizenz einzeln oder gesammelt ändern.
Bekannte Probleme mit dem Directory Connector
-
Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das sich auf den Directory Connector auswirkt. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
-
Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.
Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
-
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, läutet der Anruf zu diesem Zeitpunkt unbegrenzt.
Benutzer der Webex-App verwalten
Durchführen einer inkrementellen Synchronisierung
Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen die Änderung der Attribution für Benutzer sowie den Zeitpunkt, zu dem ein Benutzer hinzugefügt oder gelöscht wird.
Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie die ursprüngliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.
Vorbereitungen
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
-
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen ):
-
Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
-
Bei neuen Konfigurationsänderungen für die Attributzuordnung, Basis-DN, Filter und die Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und erfordert eine vollständige Synchronisierung.
-
| 1 |
Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen. |
| 2 |
Klicken Sie unter Aktionen auf Synchronisierungsmodus > Synchronisierung aktivieren , falls dies noch nicht geschehen ist. Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen anhand des letzten Zeitstempels. |
| 3 |
Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.
|
| 4 |
Um weitere Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen auf Ereignisanzeige starten , um die Fehlerprotokolle anzuzeigen. |
Nächste Schritte
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.
Versehentlich gelöschte Benutzer wiederherstellen
Der Verzeichniskonnektor verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Die Funktion „Soft-Delete“ kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.
Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, beispielsweise aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung aus dem Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie einen nicht übereinstimmenden Objekthinweis sehen oder festgestellt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.
Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer bis zu 7 Tage lang bei. Während dieser Zeit können Sie weiterhin Cisco Directory Connector verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so bald wie möglich wiederherzustellen.
Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nach 7 Tagen nicht gelöscht.
| 1 | |
| 2 |
Wechseln Sie zu Benutzer und bestätigen Sie, ob sich ein bestimmtes Benutzerkonto im Status „Inaktiv“ befindet oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub. |
| 3 |
Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer im Status „Inaktiv“ bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Das Ziel mit Directory Connector ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu schaffen. |
| 4 |
Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten mit Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und Dienstzuweisungen. |
Nächste Schritte
Kehren Sie zu Control Hub zurück, gehen Sie zu und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.
Benutzer nach dem weichen Löschen dauerhaft löschen
Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung soft gelöscht wurden, dauerhaft löschen.
| 1 |
Wählen Sie nach Abschluss eines Probelaufs Weich gelöschte Objekte aus. |
| 2 |
Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten. |
| 3 |
Wählen Sie Fertig aus. |
Nächste Schritte
Bei der nächsten Synchronisierung werden die von Ihnen geprüften Benutzer dauerhaft gelöscht.
E-Mail-Adresse einer Webex-App ändern
Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren behandelt das Ändern der E-Mail-Adresse der Webex-App für eine einzelne Domäne und einen Prozess zum Ändern der Domäne.
Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto. Dabei gehen die Bereiche des Benutzers und andere Daten in der Cloud verloren.
Der Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch mit der Cloud resynchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung zu „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten.
Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre Webex-App-E-Mail-Adressen über die Seite mit den Kontoeinstellungen ändern. Unter E-Mail-Adresse für Ihr Konto ändern finden Sie Schritte, die Benutzer befolgen können, um ihre E-Mails zu ändern.
Active Directory-Domäne ändern
Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.
| 1 |
Richten Sie eine neue Active Directory (AD)-Domäne ein. |
| 2 |
Deaktivieren Sie die Synchronisierungen für all Ihre Konnektoren. |
| 3 |
Deinstallieren Sie alle Ihre Konnektoren. |
| 4 |
Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Fallübermittlung sicher, dass Sie die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall aufgelöst wurde. |
| 5 |
Nachdem der Fall behoben ist: Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen. |
Domänenanspruch
Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass ein Sideboarding-Konto in der zahlungspflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können eine Domäne nur über einen Support-Fall beanspruchen (weitere Informationen finden Sie unter dem folgenden Link).
Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, wie ein eingeladener Benutzer zu einem Webex-App-Bereich hinzugefügt werden kann, besteht darin, das Konto zunächst mithilfe des Directory Connectors in Control Hub bereitzustellen.
Benutzer der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis konvertieren
Sie können nur eindeutige E-Mail-Adressen im Webex-App-Verzeichnis verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App registriert haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Um Benutzer in dieser Organisation mithilfe des Verzeichniskonnektors zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie den Verzeichniskonnektor aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.
Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.
Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung konnte nicht konvertiert werden
angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.
Einige beanspruchte Benutzer werden bei einem Probelauf möglicherweise mit dem Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Gelöschte Objekte anstelle von Nicht übereinstimmendes Objekt angezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.
Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle in Ihrer Nähe gelöscht, die mit der Cloud synchronisiert werden.
| 1 |
Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector. |
| 2 |
Befolgen Sie das Verfahren Konvertieren von Benutzern ohne Lizenz in Control Hub , um den Benutzer von der kostenlosen Verbraucher-Organisation zur Enterprise-Organisation zu konvertieren. Bei diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind. |
| 3 |
Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und sich Konten nur in Control Hub befinden, wird bei Directory Connector die Groß- und Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, gehen alle ihre Webex-App-Bereiche verloren. |
| 4 |
Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren. |
Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die automatische Lizenzvorlage aktiviert und anschließend den Verzeichniskonnektor ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.
Sideboarding-Benutzerkonten für Webex-App
Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.
Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.
Benutzerformat der Webex-App nach der Verzeichnissynchronisierung ändern
Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.
Nach der Verzeichnissynchronisierung werden Benutzernamen möglicherweise im Format angezeigt.
Dieser Benutzername wird möglicherweise angezeigt, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud zu displayName zugeordnet wird, werden Namen in Control Hub im Format angezeigt.
So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) dem displayName in Cisco Cloud-Attributnamen zu.
Alternativ können Sie das Attribut sn givenName dem displayName zuordnen:
Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck displayName zuordnen möchten.
Geben Sie beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) als Ausdruck ein. Dadurch werden die beiden Attribute in Active Directory dem displayName in der Cloud zugeordnet.
Benutzer können Anzeigenamen in Webex Meetings ändern
Sie können die Zuordnung des displayName -Attributs der Synchronisierung mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern die Bearbeitung ihrer bevorzugten Anzeigenamen erlauben möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird, anstatt ihren Vor- und Nachnamen eingeben. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. |
| 2 |
Wählen Sie displayName unter Cisco Cloud-Attributname aus. |
| 3 |
Wählen Sie Dieses Attribut nicht synchronisieren aus. |
Nächste Schritte
Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.
Directory Connector – Problembehandlung
Upgrade auf die neueste Softwareversion
Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie kein Upgrade auf die neueste verfügbare Version durchführen, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische TLS 1.2-Anforderung nicht unterstützt.
Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.
Obwohl Sie Connector-Softwareaktualisierungen manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.
| 1 |
Klicken Sie in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten. |
| 2 |
Befolgen Sie die Anweisungen, um das Upgrade durchzuführen. |
| 3 |
Starten Sie den Connector neu, und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an. |
| 4 |
Überprüfen Sie die Versionsnummer der Software unter . |
Nächste Schritte
Für eine neue Installation von Directory Connector können Sie die ZIP-Datei herunterladen und dann die Installationsschritte in diesem Handbuch befolgen.
Konfigurieren von allgemeinen Einstellungen für Directory Connector
Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.
| 1 |
Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Allgemein. |
| 2 |
Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird. |
| 3 |
Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen:
Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf Fehler festlegen, werden nur Fehler im Synchronisierungsbericht gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“. Nach der vollständigen Synchronisierung erhalten Sie Synchronisierungsberichte. (Beachten Sie, dass für die inkrementelle Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.) |
| 4 |
Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen. |
| 5 |
Aktivieren Sie Automatisches Upgrade auf neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, dass Ihre Cisco Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind. |
| 6 |
Aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSL nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher. |
Connector-Richtlinie konfigurieren
Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.
Sie legen beispielsweise 1 als Schwellenwert für den Löschvorgang fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus. |
| 2 |
Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
|
| 3 |
Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20. Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen. |
| 4 |
Klicken Sie auf Übernehmen. |
Legen Sie den Connector-Zeitplan fest
Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Zeitplan aus. |
| 2 |
Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben. |
| 3 |
Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden. |
| 4 |
Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll. |
| 5 |
Geben Sie einen Wert für Failover-Intervall in Minuten an. |
| 6 |
Klicken Sie auf Übernehmen. |
Szenarien mit mehreren Domänen
Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.
Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.
Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.
Beispielanwendungen für mehrere Domänen
Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.
-
Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
-
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
-
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
-
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.
- Synchronisierung auf example1.com
-
Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.
Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.
User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.
- Synchronisierung für example1.com und example2.com
-
Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.
Stellen Sie sich das folgende Szenario vor:
- Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
- Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
- Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
- Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.
Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne
Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.
Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.
Domänenpriorität festlegen
Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.
Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.
Vorbereitungen
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie steht unter https://admin.webex.com zum Download bereit.
| 1 |
Klicken Sie im Cisco Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen. |
| 3 |
Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern. Die Domänen werden in absteigender Reihenfolge sortiert. |
Domäne wechseln
Mit diesem Verfahren können Sie den Cisco-Verzeichniskonnektor erneut an eine andere Domäne binden.
Vorbereitungen
-
Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
-
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie müssen sie über Control Hub herunterladen.
| 1 |
Klicken Sie im Cisco Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln. |
| 3 |
Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, die Registrierung anderer Domänen im Connector wird aufgehoben, und die Connector-Informationen auf diesem Computer werden gelöscht. |
| 4 |
Melden Sie sich erneut beim Cisco-Verzeichniskonnektor an, und binden Sie die Domäne erneut. |
Verzeichnissynchronisierung deaktivieren
Wenn Sie die Synchronisierung über den Verzeichniskonnektor beenden müssen, können Sie sie über Control Hub vorübergehend deaktivieren.
| 1 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:
|
| 2 |
Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten. Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren. |
Benutzerattributzuordnung entfernen
Verwenden Sie den Verzeichniskonnektor, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.
| 1 |
Klicken Sie in Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 3 |
Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus. |
| 4 |
Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus:
|
| 5 |
Klicken Sie auf Übernehmen. |
Profilbilder verwalten
Verwenden Sie den Verzeichniskonnektor, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.
| 1 |
Klicken Sie in Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 3 |
Wählen Sie unter Aktionen eine der folgenden Optionen aus:
|
| 4 |
Klicken Sie auf Übernehmen. |
Directory Connector deinstallieren und deaktivieren
Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:
-
Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
-
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
-
Sie möchten die Domäne ändern und einen anderen Connector installieren.
Vorbereitungen
-
Möglicherweise werden mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder Synchronisierung mit mehreren Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
-
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie den Directory Connector deinstallieren.
| 1 |
Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen. |
| 2 |
Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallieren aus und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen. |
| 3 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , blättern Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr |
| 4 |
Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren. Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung. |
Ausführen des Diagnosetools
Sie können das integrierte Diagnosetool verwenden, um Fehler bei der Directory Connector-Bereitstellung zu beheben. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.
Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.
-
So führen Sie Tests für Active Directory-Domänendienste aus:
-
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
-
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
Beheben von Problemen im Ciso Directory Connector
Fehlerbehebung und Fehlerbehebungen für den Directory Connector
Möglicherweise tritt eine Fehlermeldung oder ein anderes Problem im Directory Connector auf. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet der Connector Ihnen möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. Bevor Sie sich an den Support wenden, lesen Sie die folgenden Abschnitte über mögliche Probleme, mögliche Ursachen und vorgeschlagene Lösungen.
Installieren
Directory Connector funktioniert nicht mehr
Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber benachrichtigt wurden, dass Ihr Directory Connector nicht funktioniert.
-
Der Directory Connector ist möglicherweise nicht korrekt installiert.
-
Directory Connector wird möglicherweise nicht ausgeführt.
-
Das Netzwerk ist möglicherweise nicht verfügbar.
Gehen Sie wie folgt vor:
-
Öffnen Sie . Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
-
Öffnen Sie den Dienst und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status Gestartet angezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
-
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, über Internetzugang verfügt.
Fehler bei erneuter Installation
Problem: Wenn Sie sofort einen neuen Connector installieren, nachdem Sie einen alten deinstalliert haben, wird möglicherweise eine Fehlermeldung angezeigt.
Mögliche Ursache: In Windows Server 2012 benötigt der Client zur Deinstallation Zeit, um das Dienstkonto aus der Dienstliste zu löschen.
Lösung: Versuchen Sie die Installation nach einiger Zeit erneut.
Anmelden
Directory Connector stürzt bei der SSO-Anmeldung ab
Problem
Der Directory Connector kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.
Lösung
Gehen Sie wie folgt vor:
Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:
-
Wechseln Sie zum Domänencontroller und öffnen Sie Group Policy Management (gpedit.msc).
-
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne, und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
-
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie Bearbeiten aus.
Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:
-
Gehen Sie zu , klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
-
Geben Sie unter Key Path die Option HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
-
Geben Sie
Disable Script Debuggerfür Value undnofür Value data ein.Die Einstellungen sollten mit diesem Screenshot übereinstimmen:
Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:
-
Gehen Sie zu , klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
-
Geben Sie unter SchlüsselpfadHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
-
Geben Sie
Disable Script Debuggerfür Value undnofür Value data ein.Die Einstellungen sollten mit diesem Screenshot übereinstimmen:
Die Änderungen werden wirksam, nachdem Sie gpupdate /force ausgeführt haben, die Maschine neu gestartet wurde (bei Änderungen am Computer) oder sich der Benutzer erneut anmeldet (bei Änderungen am Benutzer).
Cisco DirSync Service Connector konnte nicht registriert werden
Problem
Anmeldung fehlgeschlagen, und die folgende Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“
Lösung
Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.
Die Seite „Keine Anmeldung“ wird angezeigt
Problem
Sie haben den Verzeichniskonnektor geöffnet und die Anmeldeseite wurde nicht angezeigt.
Lösung
Gehen Sie wie folgt vor:
-
Navigieren Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie den Link in anderen Browsern wie Chrome und Firefox.
-
Wenn Internet Explorer den Link nicht aufrufen kann, andere Browser dies jedoch können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren .)
Anmeldeaufforderung wird angezeigt
Problem
Es wird eine Aufforderung angezeigt, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu bestehen.
Mögliche Ursache
Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.
Lösung
Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Übergabe der Sicherheit bereitstellen.
Verbindung zum Remote-Server nicht möglich
Problem
Während des normalen Betriebs wird die Fehlermeldung „Keine Verbindung zum Remote-Server möglich“ angezeigt.
Mögliche Ursache
Möglicherweise gibt es Proxy-Probleme, die behoben werden müssen.
Lösung
Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung mit Dienstkonto beheben .
Konnektor kann nicht registriert werden.
Problem
Es wird die Fehlermeldung „Der Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“
Mögliche Ursache
In den meisten Fällen liegt das Problem darin, dass der Directory Connector keine Berechtigung für eine Verbindung mit dem LDAP-Stammkontext hat.
Lösung
Gehen Sie wie folgt vor:
-
Führen Sie eine Eingabeaufforderung (cmd) aus, und geben Sie ldp.exe ein.
-
Klicken Sie auf , wählen Sie Als aktuell angemeldeten Benutzer binden und klicken Sie dann auf OK.
-
Klicken Sie auf , geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.
-
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall beim Support.
Synchronisierung
Avatare nicht synchronisiert
Problem
Der Cisco Directory Connector hat die Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatar-Daten erfolgreich synchronisiert.
Mögliche Ursache
Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache diese und vermeidet es, erneut zu senden, um Bandbreite zu sparen.
Lösung
Führen Sie die folgenden Schritte aus, um den lokalen Cache zu löschen:
-
Gehen Sie zu C:\Programme (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Löschen DirSyncPluginAvatar.dll-cache.bin.
-
Führen Sie die Avatar-Synchronisierung über den Cisco-Verzeichniskonnektor erneut aus.
In Konflikt stehende Benutzer-E-Mail-Konten
Problem
Die Synchronisierungsergebnisse können in Konflikt stehende Benutzer-E-Mail-Konten anzeigen.
-
Wenn Benutzer die kostenlose Version der Webex-App versucht haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.
-
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
-
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.
Lösung
Gehen Sie wie folgt vor:
-
Befolgen Sie die folgenden Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
-
Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
-
Deaktivieren Sie Cisco Directory Connector vorübergehend.
-
Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucherorganisation vorhanden sein könnten. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
-
Probelauf im Cisco Directory Connector durchführen und die Verzeichnissynchronisierung anschließend erneut aktivieren
-
-
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen.
Konvertierter Benutzer als inaktiv markiert
Problem
In Ihrer verzeichnissynchronisierten Umgebung haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.
Mögliche Ursache
Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer als 30 Tage lang als inaktiv markiert, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des Zeitraums von 30 Tagen zur Löschung markiert. Diese Situation tritt auf, da sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.
Lösung
Sie müssen entsprechende Maßnahmen ergreifen, wenn das Benutzerkonto nicht gelöscht werden soll. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.
Inkrementelle Synchronisierung schlägt fehl
Problem
Eine inkrementelle Synchronisierung schlägt fehl.
Dieses Problem kann unter folgenden Bedingungen auf Windows Server 2008 R2 auftreten:
-
Sie unterstützen inkrementelle Wertaktualisierungen.
-
Der Filter, den Sie verwenden, referenziert ein verknüpftes Werteattribut.
-
Die Ergebniswerte dieses Attributs wurden seit der letzten Durchführung einer vollständigen Synchronisierung aktualisiert.
Lösung
Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihren Windows Server auf mindestens 2012 R2 zu aktualisieren.
Ungültiger Wert für Merkmal
Problem
Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].
Mögliche Ursache
Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.
Lösung
Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.
Übereinstimmende Benutzer zum Löschen
Problem
Die übereinstimmenden Benutzer werden als gelöscht markiert.
Wenn Sie einen Probelauf zur Überprüfung der Daten zwischen Active Directory und der Cloud durchführen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Systemen angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.
Lösung
Wählen Sie eine geeignete Lösung:
-
Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen danach zu wiederholen, können Sie den Directory Connector für die Behebung verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.
-
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Support-Fall.
Attribut fehlt
Problem
Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.
Mögliche Ursache
Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsbenutzer,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert aufweisen.
Lösung
Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.
Verschachtelte Gruppe wird nicht synchronisiert
Problem
Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.
Mögliche Ursache
Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Beispiel: (Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)
Lösung
Sie müssen den Filter, der Gruppen synchronisiert, neu konfigurieren. Beispiel: |(Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)(Mitglied=CN=testSubGroup,CN=Benutzer,DC=rktest2008,DC=org)
Konflikt bei Benutzerbenennung
Problem
Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und des Benutzertyps [user_type].
Mögliche Ursache
Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.
Lösung
Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.
Control Hub
Benutzerliste fehlt in Control Hub
Problem
Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird Ihnen die Benutzerliste in Control Hub möglicherweise nicht angezeigt.
Lösung
Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Wechseln Sie in Control Hub zu Benutzer, klicken Sie auf Suchen und geben Sie dann Suchkriterien ein, um nach einem bestimmten Benutzer zu suchen.
Gruppen werden nicht mit Control Hub synchronisiert
Problem
Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.
Mögliche Ursache
Die Gruppe ist in Active Directory nicht als isCriticalSystemObject markiert.
Lösung
Stellen Sie sicher, dass das Attribut isCriticalSystemObject in Active Directory auf TRUE gesetzt ist.
Problembehandlung für den Directory Connector aktivieren
Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.
Die Protokolldateien, die sind: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Führen Sie die Datei |
| 2 |
Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten. |
| 3 |
Klicken Sie im Directory Connector auf Dashboard. |
| 4 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 5 |
Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können. |
| 6 |
Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt. Der Protokollordner speichert nur Dateien für die letzten 3 Tage. Der Inhalt in den Protokolldateien entspricht der Ausgabe des Ereignisprotokolls für das System. |
| 7 |
Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten. |
| 8 |
Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind. |
Starten der Ereignisanzeige
Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.
| 1 |
Wechseln Sie aus dem Directory Connector zu Dashboard und klicken Sie auf . Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails. |
| 2 |
Wechseln Sie in der Ereignisanzeige zu .
|
| 3 |
Klicken Sie unter Aktionen auf Alle Events speichern unter , um alle Protokolle als einzelne Events-Datei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren. |
Nächste Schritte
Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und fügen Sie dann die Events-Datei an Ihren Fall an.
In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Hilfe bei der Verwaltung des Netzwerkdatenverkehrs zu erhalten.
TLS in Internet Explorer aktivieren
Wenn Sie Single Sign-On (SSO)-Anbieter gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:
-
Bei der Anmeldung am Dienst ist ein Fehler aufgetreten
-
Im Skript auf dieser Seite ist ein Fehler aufgetreten
Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.
| 1 |
Öffnen Sie Internet Explorer und wählen Sie Werkzeuge aus. Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die aktiviert werden soll. Klicken Sie auf OK. Schließen Sie den Browser und öffnen Sie ihn erneut. |
| 2 |
Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , und scrollen Sie zu Sicherheit. |
| 3 |
Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden , und klicken Sie auf OK.
|
| 4 |
Starten Sie das System neu, damit die Änderungen übernommen werden. |
Anmeldeprobleme für Dienstkonten beheben
Wenn Sie sich nicht beim Cisco Directory Connector anmelden können oder keine Synchronisierung durchführen können, versuchen Sie anhand der folgenden Schritte, das Problem zu beheben, bevor Sie sich an den Support wenden.
| 1 |
Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen. |
| 2 |
Wählen Sie je nach den Ergebnissen eine Option:
|
| 3 |
Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (das unter den Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar- und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung für das Windows-Anmeldekonto. |
Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung
Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.
Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.
Vorbereitungen
Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.
| 1 |
Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste. |
| 2 |
Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wählen Sie eine Option:
|
Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.
Übersicht über Cisco Directory Connector
Directory Connector – Übersicht
Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.
Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur zentralen Informationsquelle wird. Wenn Sie eine Änderung lokal vornehmen, wird diese in die Cloud kopiert.
In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:
| Funktion | Beschreibung und Vorteil |
|---|---|
| Benutzerfreundliches Dashboard | Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden. |
| Probelauf, bevor die Synchronisierung in die Cloud durchgeführt wird | Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor sie in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen. |
| Vollständige und inkrementelle Synchronisierung | Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen. |
|
Synchronisieren mehrerer Domänen (einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) |
Directory Connector unterstützt mehrere Domänen entweder in einer einzelnen Gesamtstruktur oder in mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Der Control Hub spiegelt den Status wider, indem er den Synchronisierungsstatus für mehrere Directory Connectors anzeigt. Damit können Sie die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Directory Connector in einer Hochverfügbarkeitsbereitstellung deaktivieren. |
| Geplante Synchronisierung | Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest. |
| LDAP-Filter (Lightweight Directory Access Protocol) | Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit. |
| Active Directory-Attributzuordnung | Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um die Cloud zuzuordnen. Die Attribute aus dem Standort bilden verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, Enteprise-Telefonnummern in Webex Teams, Raumressourcen-SIP-Adressen und andere Kontaktkartendaten des Benutzers (Stellenbezeichnung, Abteilung, Manager usw.). |
|
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung |
Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud-PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte haben, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten auf ihren Cisco Webex Calling (Cloud-PSTN)-Telefonen oder Raumressourcen durchsuchen.
|
| Ereignisanzeige | Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen. |
| Diagnose-Tool und Fehlerbehebung | Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können. |
| Automatisches Upgrade | Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird. |
| Hohe Verfügbarkeit | Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt. |
Directory Connector ist in drei Bereiche unterteilt:
-
Control Hub ist die zentrale Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und die Einzelanmeldung (SSO) konfigurieren, wenn Ihre Benutzer sich über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App versenden möchten.
-
Die Directory Connector-Verwaltungsoberfläche ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und die Directory Connector-Dienste zu konfigurieren.
-
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory ab, um sie mit dem Connector-Dienst und dem Directory Connector zu synchronisieren.
Weitere Informationen zur Directory Connector-Architektur finden Sie in diesem Diagramm:
Vorbereiten Ihrer Umgebung für den Directory Connector
Anforderungen für den Directory Connector
Windows- und Active Directory-Anforderungen
Sie können Directory Connector auf den folgenden unterstützten Windows-Servern installieren:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die das Fix enthält – Windows Server 2012 R2 oder 2016.
Directory Connector wird von den folgenden Active Directory-Diensten unterstützt:
-
Active Directory 2016
(Directory Connector wird bei Verwendung der neuesten Version von Active Directory unter Windows Server 2019 unterstützt)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Beachten Sie die folgenden zusätzlichen Anforderungen:
-
Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
-
.NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, folgen Sie den Anweisungen unter Aktivieren Sie .NET Framework 3.5 mit dem Assistenten zum Hinzufügen von Rollen und Funktionen.)
-
.NET Framework v.4.5 (erforderlich für TLS1.2)
-
-
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)
Hardware-Anforderungen
Sie müssen Directory Connector auf einem Computer installieren, auf dem die folgenden Mindestanforderungen an die Hardware erfüllt sind:
-
8 GB RAM
-
50 GB Speicherplatz
-
Keine Mindestanforderung für die CPU
Netzwerk-Anforderungen
Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS-Zugriff (Port 443) auf das Internet verfügt.
Anforderungen der Webex-Organisation
-
Um von Control Hub aus auf die Directory Connector-Software zugreifen zu können, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem bezahlten Abonnement.
-
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Ihnen, Folgendes zu tun:
-
Fügen Sie Domänen hinzu, überprüfen und optional beanspruchen Sie sie , die die E-Mail-Adressen der Benutzer enthalten, die Sie mit der Cloud synchronisieren möchten.
-
Integrieren Sie Ihren Identitätsanbieter (IdP) mit Ihrer Webex-Organisation durch die einmalige Anmeldung (Single Sign-On, SSO).
-
Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)
-
Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.
Installationsanforderungen
-
In einer Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
-
Für die Anmeldung beim Connector ist kein Administratorkonto in Active Directory erforderlich. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer wie ein Volladministratorkonto in Control Hub ist.
Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computeranmeldekonto sollte ein Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer sein. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
-
Während der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector für den Zugriff auf Active Directory das lokale Systemkonto. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
-
Stellen Sie sicher, dass der Suchmodus für die Windows Safe Dynamic Link Library (DLL) mit diesem Verfahren aktiviert ist: Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung.
-
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, sollten Sie Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Computern installieren.
Mehrere Domänenanforderungen
Bevor Sie den Aufgaben im Ablauf der Bereitstellungsaufgabe für den Cisco-Verzeichniskonnektor folgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:
-
Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
-
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
-
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.)
-
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , damit Ihre Organisation in eine große Organisationsliste verschoben wird.
-
Bei Bedarf können Sie Informationen zu Raumressourcen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.)
Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung
Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.
Active Directory enthält zwei Arten von Gruppen:
-
Verteilergruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
-
Sicherheitsgruppen: Wird verwendet, um Berechtigungen für geteilte Ressourcen zuzuweisen.
Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:
-
Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienstleistung (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex Licensing usw.).
-
Verwenden Sie organisationsübergreifende Standard-Benennungskonventionen, um die Identifizierung wichtiger Informationen über eine Gruppe zu erleichtern. Gruppennamen können Details zur Gruppe enthalten, z. B. die Zugriffsstufe, die Art der Ressource, die Sicherheitsstufe, den Gruppenumfang, die E-Mail-Funktion usw. Der Gruppenname „GSG_Webex_Licensing_EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
-
Organisieren Sie Gruppen auf leicht verständliche Weise, z. B. nach Geografie oder Hierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
-
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die automatische Lizenzgruppenvorlage in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für die automatische Lizenzzuweisung einrichten .
Informationen zur Größe
Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Alle Beschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.
Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:
-
Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsjob dauert nicht so lange wie 50000.)
-
Netzwerkgeschwindigkeit und Bandbreite.
-
Systemauslastung und Spezifikationen.
Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.
Da bei der Synchronisierung mehrere Faktoren beteiligt sind und jede Bereitstellung abhängig von den oben genannten Faktoren variiert, können wir keine spezifischen Zeitwerte angeben, die angeben, wie lange eine Objektsynchronisierung dauern wird.
Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung
Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.
Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.
Vorbereitungen
Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.
| 1 |
Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste. |
| 2 |
Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wählen Sie eine Option:
|
Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.
Webproxy-Integration
Webproxy-Integration
Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.
Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector stellt eine Verbindung her und synchronisiert die Benutzer.
Sie können einen der folgenden Ansätze verwenden:
-
Expliziter Webproxy über Internet Explorer (der Connector erbt die Webproxy-Einstellungen)
-
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
-
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert
Webproxy über den Browser verwenden
Sie können den Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.
Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,
| 1 |
Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus. |
| 2 |
Verweisen Sie die Windows-Instanz, auf die der Connector installiert ist, auf Ihren Webproxy. Der Connector erbt diese Webproxy-Einstellungen. |
| 3 |
Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:
Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann. |
| 4 |
Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:
Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss. |
Webproxy über eine PAC-Datei konfigurieren
Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und die Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.
| 1 |
Damit der Connector sich erfolgreich mit der Webex Cloud verbinden und die Benutzerinformationen synchronisieren kann, müssen Sie die Proxy-Authentifizierung für |
| 2 |
Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:
Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann. |
| 3 |
Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:
Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss. |
NTLM-Proxy
Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.
NTLM-Design
In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.
Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus aus Herausforderung
und Antwort
:
-
Ein Benutzer meldet sich über ein Windows-Konto und ein Kennwort auf einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines reinen Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hash-Wert mit dem Hash-Wert des eingegebenen Passworts. Wenn beide gleich sind, wird die Authentifizierung erfolgreich ausgeführt.
Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im reinen Textformat.
-
Wenn der Server die Anforderung erhält, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Herausforderung auf dem Server gespeichert. Anschließend sendet der Server die Aufforderung im reinen Textformat an den Client.
-
Sobald der Client die vom Server gesendete Challenge erhält, verschlüsselt der Client die Challenge mit dem in Schritt 1 genannten Hash-Wert. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
-
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet er ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: der Kontoname, die verschlüsselte Aufforderung, die der Client gesendet hat, und die ursprüngliche einfache Aufforderung.
-
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.
Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Dadurch müssen Sie keine weitere Konfiguration abschließen.
Transparenten Proxy konfigurieren
In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.
| 1 |
Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann. |
| 2 |
Bestätigen Sie, dass der Proxy erfolgreich ist: Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt. |
Proxy-Authentifizierung festlegen
Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.
Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:
| 1 |
Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist. |
| 2 |
Legen Sie eine geschätzte Bandbreite für diese Verbindung fest (ca. 2 MB/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich. |
| 3 |
Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie Beispiel: access-list 2000 acl-inside extended permit TCP [IP des Connectors] cloudconnector.webex.com eq https |
| 4 |
Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt. |
| 5 |
Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren. |
Verzeichniskonnektor bereitstellen
Ablauf der Bereitstellungsaufgabe des Cisco-Verzeichniskonnektors
Vorbereitungen
| 1 |
Verzeichniskonnektor installieren In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen. Für eine neue Installation von Directory Connector gehen Sie immer zu Control Hub ( https://admin.webex.com), um die neueste Version der Software abzurufen, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar. |
| 2 |
Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administrator-Anmeldeinformationen an und führen Sie die Ersteinrichtung durch. |
| 3 |
Automatische Upgrades festlegen Es ist immer wichtig, dass Ihre Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind. |
| 4 |
Active Directory-Objekte zum Synchronisieren auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen. |
| 5 |
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist die *uid. |
| 6 |
Synchronisieren Sie Verzeichnis-Avatare mit einem der folgenden Verfahren:
Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass der Avatar jedes Benutzers angezeigt wird, wenn er sich bei der Anwendung anmeldet. Sie können Avatare von einem Active Directory-Attribut oder einem Ressourcenserver synchronisieren. |
| 7 |
Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Webex Room-Gerät oder Cisco Webex Board angezeigt. |
| 8 |
Um Benutzer Aus Active Directory In Control Hub Bereitzustellen, führen Sie die folgenden Schritte aus:
Folgen Sie dieser Sequenz, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wald- oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen. |
Verzeichniskonnektor installieren
In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen.
Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf der Synchronisierung mit mehreren Domänen:
Vorbereitungen
Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen:
-
Für die Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxy-Konfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Webproxy Im Browser verwenden
-
Bei Proxy-NTLM wird Ihnen möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser.
| 1 |
Wechseln Sie in Control Hub zu und wählen Sie Weiter aus. |
| 2 |
Klicken Sie auf den Link Herunterladen und installieren, um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die .zip-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert. Holen Sie sich für eine Neuinstallation die neueste Version der Software, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar. |
| 3 |
Entpacken Sie die MSI-Datei auf dem VMware- oder Windows-Server und führen Sie sie im Setup-Ordner aus, um den Setup-Assistenten zu starten. |
| 4 |
Klicken Sie auf Weiter, aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Weiter, bis der Bildschirm „Kontotyp“ angezeigt wird. |
| 5 |
Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto durch:
Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind:
|
| 6 |
Klicken Sie auf Installieren. Geben Sie nach der Ausführung des Netzwerktests Ihre grundlegenden Proxy-Anmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertig stellen. |
Nächste Schritte
Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Während des Neustarts der Maschine werden alle Daten aktualisiert, um ein exaktes Ergebnis im Bericht anzuzeigen.
Bei Directory Connector anmelden
Vorbereitungen
Stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen.
-
Für die Proxy-Basic-Auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
-
Öffnen Sie für Proxy-NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen, stellen Sie sicher, dass die Informationen zum Proxy-Server hinzugefügt wurden, und klicken Sie auf OK. Siehe Verwenden eines Webproxys über den Browser.
| 1 |
Öffnen Sie den Connector und fügen Sie |
| 2 |
Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich dann mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter. |
| 3 |
Bestätigen Sie Ihre Organisation und Ihre Domäne.
|
| 4 |
Nachdem der Bildschirm Organisation bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Wenn Sie AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Organisation bestätigen angezeigt. |
| 5 |
Klicken Sie auf Bestätigen. |
| 6 |
Wählen Sie eine der folgenden Optionen aus, abhängig von der Anzahl der Active Directory-Domänen, die Sie an den Directory Connector binden möchten:
|
Nächste Schritte
Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.
Directory Connector-Dashboard
Wenn Sie sich zum ersten Mal beim Directory Connector anmelden, wird das Dashboard angezeigt. Hier können Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken anzeigen, einen Probelauf für die Synchronisierung durchführen, eine vollständige oder inkrementelle Synchronisierung starten und die Event-Ansicht starten, um Fehlerinformationen anzuzeigen.
Sie können diese Aufgaben einfach über die Symbolleiste oder das Menü „Aktionen“ ausführen.
|
Komponente |
Beschreibung |
|---|---|
|
Aktuelle Synchronisierung |
Zeigt die Statusinformationen zur laufenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige inaktiv. |
|
Nächste Synchronisierung |
Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Zeitplan festgelegt ist, wird Nicht angesetzt angezeigt. |
|
Letzte Synchronisation |
Zeigt den Status der letzten beiden durchgeführten Synchronisierungen an. |
|
Aktueller Synchronisierungsstatus |
Zeigt den Gesamtstatus der Synchronisierung an. |
|
Konnektoren |
Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind. |
|
Cloud-Statistik |
Zeigt den Gesamtstatus der Synchronisierung an. |
|
Synchronisierungszeitplan |
Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung an. |
|
Konfigurationszusammenfassung |
Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten:
|
| Aktion | Beschreibung |
|---|---|
| Inkrementelle Synchronisierung starten |
Inkrementelle Synchronisierung manuell starten Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn noch keine vollständige Synchronisierung abgeschlossen wurde oder wenn eine Synchronisierung läuft. |
|
Probelauf synchronisieren |
Führen Sie einen Probelauf für die Synchronisierung durch. |
|
Ereignisanzeige starten |
Starten Sie die Microsoft-Ereignisanzeige. |
|
Aktualisieren |
Aktualisieren des Cisco Directory Connector-Dashboards |
|
Aktion |
Beschreibung |
|---|---|
| Jetzt synchronisieren |
Starten Sie sofort eine vollständige Synchronisierung. |
|
Synchronisierungsmodus |
Wählen Sie entweder den inkrementellen oder den vollständigen Synchronisierungsmodus aus. |
|
Geheimschlüssel für Konnektor zurücksetzen |
Stellen Sie eine Unterhaltung zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Durch Auswahl dieser Aktion wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert. |
|
Probelauf |
Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung durchführen. |
|
Fehlerbehebung |
Aktivieren/deaktivieren Sie die Fehlerbehebung. |
|
Aktualisieren |
Aktualisieren Sie den Cisco Directory Connector-Hauptbildschirm. |
|
Beenden |
Beenden Sie den Cisco Directory Connector. |
|
Tastenkombination |
Aktion |
|---|---|
|
Alt +A |
Das Menü Aktionen anzeigen |
|
|
Jetzt synchronisieren |
|
|
Geheimschlüssel für Konnektor zurücksetzen |
|
|
Probelauf |
|
|
Inkrementelle Synchronisierung |
|
|
Vollständige Synchronisierung |
|
|
Menü Hilfe anzeigen |
|
|
Hilfe |
|
|
Info |
|
|
häufig gestellte Fragen |
Automatische Upgrades festlegen
| 1 |
Wechseln Sie im Directory Connector zu und aktivieren Sie die Option Automatisch auf neue Cisco Directory Connector-Version aktualisieren. |
| 2 |
Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern. |
Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.
Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion.
Active Directory-Objekte zum Synchronisieren auswählen
Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.
Gruppen für die automatische Lizenzzuweisung
Mit Control Hub können Sie Lizenzzuweisungen auf Gruppenbasis verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Beim Erstellen eines Benutzers überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.
Wir empfehlen, einen LDAP-Filter zu verwenden, um nur relevante Gruppen mit der Cloud zu synchronisieren. Beispielsweise können Sie den Filter auf:
(&(cn=Beispiel)(objectclass=Gruppe))*
Dieser Filter synchronisiert alle Gruppen innerhalb des Basis-DN, bei dem der Name mit „Beispiel“ beginnt. Benutzern, die keinen Gruppen zugewiesen sind, werden Lizenzen über die automatische Standardlizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.
Gruppen für Hybrid-Datensicherheitsbereitstellungen
Im Directory Connector müssen Sie Gruppen aktivieren, wenn Sie Hybrid-Datensicherheit zum Konfigurieren einer Testgruppe für Pilotbenutzer verwenden. Anleitungen finden Sie im Bereitstellungsleitfaden für Hybrid-Datensicherheit. Diese Verzeichniskonnektor-Einstellung wirkt sich nicht auf die Synchronisierung anderer Benutzer in der Cloud aus.
| 1 |
Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl. |
| 2 |
Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und erwägen Sie, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die zur Beispiel-Manager-Gruppe gehören, verwenden Sie einen Filter wie diesen:
|
| 3 |
Aktivieren Sie das Kontrollkästchen Raum identifizieren, um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen, wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie lokale Rauminformationen von Active Directory mit der Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud. |
| 4 |
Aktivieren Sie Gruppen, wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie keinen LDAP-Filter für die Benutzersynchronisierung zum Feld „Gruppen“ hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren. Gruppen werden standardmäßig nicht für neue Kunden synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren. |
| 5 |
Aktivieren Sie Kontakte, wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten. Der Verzeichniskonnektor verwaltet nur Kontakte, die vom Konnektor synchronisiert wurden. Wenn bereits Kontakte in Control Hub vorhanden sind, werden die Kontakte durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsumfang entfernt werden, werden auch die Kontaktinformationen der Benutzer in Control Hub entfernt. |
| 6 |
Konfigurieren Sie die LDAP-Filter. Sie können erweiterte Filter hinzufügen, indem Sie einen gültigen LDAP-Filter bereitstellen. Weitere Informationen zum Konfigurieren von LDAP-Filtern finden Sie in diesem Artikel. |
| 7 |
Geben Sie die zu synchronisierenden lokalen Basis-DNs an, indem Sie auf Auswählen klicken, um die Baumstruktur Ihres Active Directory anzuzeigen. Von hier aus können Sie auswählen, welche Container gesucht werden sollen. |
| 8 |
Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten, und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container zur Synchronisierung auswählen. Wählen Sie einen übergeordneten Container aus, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird im übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container aktiviert wurde. Sie können dann auf Auswählen klicken, um die von Ihnen ausgewählten Active Directory-Container zu akzeptieren. Wenn Ihre Organisation alle Benutzer und Gruppen im Benutzer-Container platziert, müssen Sie keine anderen Container durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, stellen Sie sicher, dass Sie OUs auswählen. |
| 9 |
Klicken Sie auf Übernehmen. Wählen Sie eine Option:
Informationen zu Probeläufen finden Sie unter Durchführen einer Probelauf-Synchronisierung für Ihre Active Directory-Benutzer. Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen. |
Benutzerattribute zuordnen
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.
Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll – Sie können beispielsweise firstName lastName in Active Directory oder einen benutzerdefinierten Attributausdruck displayName in der Cloud zuordnen.
Konten in Active Directory müssen über eine E-Mail-Adresse verfügen; die uid wird standardmäßig dem Feld ad der E-Mail zugeordnet (nicht sAMAccountName).
Wenn Sie festlegen, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, ist Active Directory die einzige Informationsquelle: Benutzer können ihre Spracheinstellung in den Webex-Einstellungen nicht ändern, und Administratoren können die Einstellung in Control Hub nicht ändern.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet. |
| 2 |
Scrollen Sie zum Ende der Active Directory-Attributnamen und wählen Sie dann eines der folgenden Active Directory-Attribute aus, um das Cloud-Attribut uid zuzuordnen:
Sie können beliebige andere Active Directory-Attribute der uid zuordnen. Wir empfehlen jedoch, „mail“ oder „userPrincipalName“ zu verwenden, wie in den obigen Richtlinien beschrieben. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, mit welchen Attributen in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen im Directory Connector. Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen ausgewählte Active Directory-Attribut im E-Mail-Format vorliegt. Der Verzeichniskonnektor zeigt ein Popup-Fenster an, das Sie daran erinnert, wenn Sie eines der empfohlenen Attribute nicht auswählen. |
| 3 |
Wenn die vordefinierten Active Directory-Attribute in Ihrer Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können. Klicken Sie auf Hilfe, um weitere Informationen zu den Ausdrücken zu erhalten und Beispiele für die Funktionsweise von Ausdrücken anzuzeigen. Weitere Informationen finden Sie auch unter Ausdrücke für angepasste Attribute. Ordnen wir in diesem Beispiel die Active Directory-Attribute
Der Directory Connector überprüft den Attributwert von uid im Identitätsdienst und ruft 3 verfügbare Benutzer unter den aktuellen Benutzerfilteroptionen ab. Wenn alle diese 3 Benutzer ein gültiges E-Mail-Format haben, zeigt der Cisco Directory Connector die folgende Meldung an:
Wenn das Attribut nicht verifiziert werden kann, wird die folgende Warnung angezeigt und Sie können zu Active Directory zurückkehren, um die Benutzerdaten zu überprüfen und zu korrigieren:
|
| 4 |
(Optional) Wählen Sie Zuordnungen für Mobilgeräte und Telefonnummer aus, wenn Mobil- und Geschäftsnummern angezeigt werden sollen, beispielsweise in der Kontaktkarte des Benutzers in der Webex-App. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt. Weitere Informationen zu Anrufen über die Kontaktkarte eines Benutzers finden Sie im Bereitstellungshandbuch für Anrufe in Webex (Unified CM) (Administratoren). |
| 5 |
Wählen Sie zusätzliche Zuordnungen aus, um weitere Daten in der Kontaktkarte anzuzeigen:
Nach der Zuordnung der Attribute werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt:
Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren. Nachdem diese Attribute mit den einzelnen Benutzerkonten synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Benutzer der Webex-App mehr Informationen in ihren Profilen teilen und mehr voneinander erfahren. Weitere Informationen zur Funktion und zum Aktivieren finden Sie unter Profile für „People Insights“ für Webex, Jabber, Webex Meetings und Webex Events (Neu) in Control Hub. |
| 6 |
Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie auf Übernehmen. |
Alle in Active Directory enthaltenen Benutzerdaten überschreiben die diesem Benutzer entsprechenden Daten in der Cloud. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Alle Benutzer ohne entsprechende E-Mail-Adresse in Active Directory werden gelöscht.
Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.
Active Directory- und Cloud-Attribute
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattributzuordnung verwenden.
In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Verzeichniskonnektor. Sie können in den Dropdown-Menüs des Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloudattribut synchronisiert wird.
Betrachten Sie die Dropdown-Attribute als Voreinstellungen. Als Alternative zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory angeben (ein Ausdruck mit mehreren Attributen), um ein einzelnes Cloudattribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise haben Sie die Flexibilität, die Anzeigenamen Ihrer Benutzer zu bestimmen. Sie können beispielsweise einen Ausdruck hinzufügen, der basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory ein angepasstes Attribut erstellt.
Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.
Sie können auch alternative E-Mail-Adressen verwenden, z. B. wenn Sie den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall dem Attribut emails;type-work eine andere E-Mail-Adresse zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.
|
Active Directory-Attributnamen |
Webex-Cloud-Attributnamen |
Anmerkungen |
|---|---|---|
|
— |
Gebäudename |
— |
|
c |
c |
Dieses Attribut gibt die Länderabkürzung des Benutzers an. |
|
Abteilungsnummer |
Abteilungsnummer |
Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die auf der Kontaktkarte und People Insights angezeigt wird. |
|
Anzeigename |
Anzeigename |
Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird. |
|
BenutzerAccountControl |
ds-pwp-konto-deaktiviert |
Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist, andernfalls werden die Benutzer nicht ordnungsgemäß synchronisiert. |
|
Mitarbeiternummer |
Mitarbeiternummer |
— |
|
FaxTelefonnummer |
FaxTelefonnummer |
— |
|
— |
Jabber-ID |
Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert ist nicht identisch mit sipAddresses. |
|
l |
l |
Dieses Attribut gibt die Stadt des Benutzers an. |
|
— |
Ländereinstellung |
— |
|
Manager |
Manager |
Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der auf der Kontaktkarte und People Insights angezeigt wird. |
|
Mobil |
Mobil |
Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen. |
|
o |
o |
Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird auf der Kontaktkarte angezeigt. |
|
Ou |
Ou |
Dieses Attribut gibt den Namen der Organisationseinheit an. |
|
physischeLieferungBüroName |
physischeLieferungBüroName |
Dieses Attribut gibt den Bürostandort des Benutzers an. |
|
Postleitzahl |
Postleitzahl |
Dieses Attribut gibt die Postleitzahl des Benutzers für die physische Postzustellung an. |
|
bevorzugteSprache |
bevorzugteSprache |
Dieses Attribut legt die bevorzugte Sprache des Benutzers fest. Es werden die folgenden Formate unterstützt: xx_YY oder xx-YY. Hier einige Beispiele: de_US, de_GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format verwenden, wird die bevorzugte Sprache des Benutzers zur für die Organisation festgelegten Sprache geändert. |
|
MSRTCSIP-PrimäreBenutzeradresse IP-Telefon |
SIP-Adressen;type=Unternehmen |
Dieses Attribut wird verwendet, um lokale Rauminformationen aus Active Directory mit der Cisco Webex-Cloud zu synchronisieren. |
|
sn |
sn |
Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird. |
|
st |
st |
Dieses Attribut gibt das Bundesland des Benutzers an. |
|
Straßenadresse |
Straße |
Dieses Attribut gibt die Postanschrift des Benutzers für die physische Postzustellung an. |
|
Telefonnummer |
Telefonnummer |
Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die zum Anrufen des Benutzers über die Kontaktkarte verwendet wird. |
|
— |
Zeitzone |
Dieses Cloudattribut gibt die Zeitzone des Benutzers an. |
|
Titel |
Titel |
Dieses Attribut gibt den Titel des Benutzers an, der auf der Kontaktkarte und People Insights angezeigt wird. |
|
Typ |
Unternehmen |
— |
|
*userPrincipalName |
UID |
Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann sich dann mit einer dieser E-Mail-Adressen anmelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen dazu, wie Sie eine alternative E-Mail-Adresse zuordnen können, finden Sie im Beispiel-Attributzuordnung unten. |
|
*userPrincipalName <benutzerdefiniertes Attribut> |
E-Mails;Arbeit eingeben |
Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein. |
|
<Neues Attribut für Azure-Benutzer objectId> |
externe ID |
Erstellen Sie ein neues Active Directory-Attribut, um die Objekt-ID des Azure-Benutzers zu speichern, damit sie nicht mit einem vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen. |
Alternative E-Mail-Adresszuordnung
Ausdrücke für angepasste Attribute
|
Vermittler |
Beschreibung und Beispiel |
|---|---|
|
% |
Entfernt alle Zeichen vom Anfang bis zur Position des Zeichens oder des String-Arguments, falls diese übereinstimmen.
|
|
- |
Entfernt die Rückseite der Eingabezeichenfolge vom Ende der angegebenen Zeichenfolge.
|
|
+ |
Verkettet Eingabezeichenfolgen oder Ausdrücke.
|
|
| |
Evaluiert die getrennten Ausdrücke anhand einer leeren Zeichenkette und wählt das erste nicht-leere Ergebnis aus.
|
Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud
Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit diesem Verfahren können Sie Avatarrohdaten aus einem Active Directory-Attribut synchronisieren.
| 1 |
Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren. |
| 2 |
Wählen Sie für Avatar abrufen von die Option AD-Attribut und anschließend das Avatar-Attribut aus, das die Avatar-Rohdaten enthält, die Sie mit der Cloud synchronisieren möchten. |
| 3 |
Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar des Benutzers abrufen. Der Avatar wird rechts angezeigt. |
| 4 |
Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern. |
-
Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
-
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.
Nächste Schritte
Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.
Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud
Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit dieser Prozedur können Sie Avatare von einem Ressourcenserver synchronisieren.
Vorbereitungen
-
Das URI-Muster und der Variablenwert in dieser Prozedur sind Beispiele. Sie müssen tatsächliche URLs verwenden, unter denen sich Ihre Verzeichnis-Avatare befinden.
-
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht öffentlich im Internet zugänglich sein.
-
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass auf Avatar-Daten über die NTLM-Authentifizierung oder die Basic-Auth zugegriffen werden kann.
| 1 |
Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren. |
| 2 |
Wählen Sie unter Avatar abrufen von die Option Ressourcenserver aus, und geben Sie das Avatar-URI-Muster ein – zum Beispiel Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten:
|
| 3 |
(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen benötigt, aktivieren Sie die Option Benutzeranmeldeinformationen für Avatar festlegen. Wählen Sie anschließend Aktuellen Service-Anmeldebenutzer verwenden oder Diesen Benutzer verwenden aus, und geben Sie das Passwort ein. |
| 4 |
Geben Sie den Variablenwert ein, zum Beispiel: |
| 5 |
Klicken Sie auf Test, um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. Wenn in diesem Beispiel der E-Mail-Wert für einen AD-Eintrag |
| 6 |
Nachdem die URI-Informationen überprüft wurden und korrekt angezeigt wurden, klicken Sie auf Übernehmen. Detaillierte Informationen zur Verwendung regulärer Ausdrücke finden Sie in der Microsoft Regular Expression Language Quick Reference . |
-
Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
-
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.
Nächste Schritte
Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.
Synchronisieren von lokalen Rauminformationen mit der Webex Cloud
Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Webex-Geräten (Room, Desk und Board) angezeigt.
| 1 |
Wechseln Sie aus dem Directory Connector zu Synchronisieren, klicken Sie auf Mehr |
| 2 |
Aktivieren Sie das Kontrollkästchen Rauminformationen mit Cloud synchronisieren, um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf die gleiche Weise behandelt wie synchronisierte Benutzerdaten. |
| 3 |
Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=enterprise. Um die Wertevalidierung zu verwenden, sollte der Wert der SIP-Adresse Pattern.compile("^([^@])(.*)@(.*)$") lauten.
|
| 4 |
Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann zum Identifizieren von Räumen verwendet.
|
| 5 |
Navigieren Sie von Active Directory-Benutzern und -Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den vollständig qualifizierten SIP-URI mit dem Präfix sip hinzu:
|
| 6 |
Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden Objekte hinzugefügt aufgelistet, und übereinstimmende Raumobjekte werden im Probelauf-Bericht unter Übereinstimmende Objekte angezeigt. Alle Raumobjekte, die zum Löschen markiert sind, finden Sie unter Räume gelöscht.
In den Ergebnissen des Probelaufs werden alle abgestimmten Raumressourcen angezeigt.
Diese Einstellung trennt die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.
|
Nächste Schritte
Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Cloud registrierten Webex-Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde.
Über Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.
Der Endpunkt kann einen Rückruf nicht an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte lokal oder an einem anderen Ort als der Webex-App als SIP URI registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, dem Schreibtischgerät oder dem Webex Board für den Kalenderdienst befindet, wird der doppelte Eintrag in den Suchergebnissen nicht angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App angerufen und es wird kein SIP-Anruf getätigt.
E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisation senden
Standardmäßig erhalten die Organisationskontakte oder Administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen mit einer Zusammenfassung der Verzeichnissynchronisierungsberichte erhalten soll.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benachrichtigung aus. |
| 2 |
Klicken Sie im Directory Connector auf Einstellungen und aktivieren Sie neben E-Mail-Empfänger die Option Synchronisierung des Berichts aktivieren. |
| 3 |
Aktivieren Sie Benachrichtigung aktivieren, wenn Sie das Standard-Benachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten. |
| 4 |
Klicken Sie auf Hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können. |
| 5 |
Klicken Sie auf E-Mail hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können. |
| 6 |
Wenn Sie eingegebene E-Mail-Adressen bearbeiten müssen, doppelklicken Sie auf den E-Mail-Eintrag in der linken Spalte, und nehmen Sie dann die gewünschten Änderungen vor. |
| 7 |
Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Übernehmen. |
| 8 |
Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Speichern. |
Nächste Schritte
Wenn Sie festgelegt haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und klicken Sie dann auf Entfernen.
Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.
Bereitstellen von Benutzern Aus Active Directory In Control Hub
Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (entweder mit einer einzelnen Gesamtstruktur oder mit mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.
| 1 |
Durchführen eines Probelaufs für die Active Directory-Benutzer Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen. |
| 2 |
Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen. |
| 3 |
Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen auf verschiedene Weise zuweisen. Wir empfehlen Ihnen, eine Lizenzvorlage für die automatische Zuweisung einzurichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen. |
Durchführen eines Probelaufs für die Active Directory-Benutzer
Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.
Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel des Directory Connector ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud herzustellen.
Wenn Sie in einer oder mehreren Gesamtstrukturen mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.
Vorbereitungen
Möglicherweise befinden sich bereits einige Webex-App-Benutzer in Control Hub, bevor Sie den Verzeichniskonnektor verwendet haben. Einige der Benutzer in der Cloud können mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es können jedoch Testbenutzer sein, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Active Directory und Control Hub erstellen.
| 1 |
Eine Option auswählen:
Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt:
Die Zusammenfassung enthält Informationen über die Objektabgleich:
Der Probelauf identifiziert die Benutzer, indem er sie mit Domänenbenutzern vergleicht. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten möchten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory. |
| 2 |
Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option aus, je nachdem, ob Sie eine einzelne oder mehrere Domänen verwenden:
|
| 3 |
Klicken Sie in der Aufforderung Probelauf bestätigen auf Ja, um die Synchronisierung des Probelaufs erneut durchzuführen und das Dashboard anzuzeigen, um die Ergebnisse anzuzeigen. Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter Übereinstimmende Objekte angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Um die Details der synchronisierten Elemente anzuzeigen, klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched. Um die Zusammenfassungsinformationen zu speichern, klicken Sie auf Ergebnisse in Datei speichern. |
| 4 |
Wenn die Ergebnisse erwartet werden, gehen Sie zu und klicken Sie dann auf Jetzt aktivieren, um eine manuelle Synchronisierung durchzuführen und an diesem Punkt in den manuellen Modus zu versetzen. Nachdem Sie eine Synchronisierung mit der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte zwischen der Webex-Cloud und allen lokalen Active Directories vollständig übereinstimmen. |
Nächste Schritte
-
Alle nicht übereinstimmenden Benutzerobjekte, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen lokaler und Cloud-Umgebung besteht.
-
Wählen Sie einen Synchronisierungstyp:
-
Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben.
-
Wenn Sie über mehrere Domänen verfügen, wiederholen Sie diese Schritte auf einem anderen Directory Connector, den Sie installiert haben.
Zu beachtende Punkte
-
Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisation dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeberichte überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.
-
Wenn übereinstimmende Benutzer als gelöscht markiert sind und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und wenden Sie sich an den Support unter Fehlerbehebung und Fehlerbehebungen für Directory Connector.
Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.
Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen
Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
Wenn Sie über mehrere Domänen verfügen, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.
Directory Connector synchronisiert den Benutzerkontostatus: In Active Directory werden als deaktiviert gekennzeichnete Benutzer in der Cloud als inaktiv angezeigt.
Vorbereitungen
-
Wenn sich die Webex-App-Benutzerkonten nach der vollständigen Synchronisierung im Status „Aktiv“ befinden sollen, bevor sich die Benutzer zum ersten Mal anmelden, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:
-
Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Siehe
Einmalige Anmeldung mit Cisco Webex-Diensten und dem Identitätsanbieter Ihrer Organisation
um mehr zu erfahren. -
Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe
Hinzufügen, Überprüfen und Beanspruchen von Domänen
. -
Automatische E-Mail-Einladungen unterdrücken, sodass neue Benutzer die automatische E-Mail-Einladung zur Webex-App nicht erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
Aktivierte Benutzer, die sich nicht angemeldet haben, werden in Control Hub mit dem Status Verifiziert angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub.
-
-
Wenn Sie die Synchronisierung aktivieren, werden Sie vom Verzeichniskonnektor zuerst aufgefordert, einen Probelauf durchzuführen. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu ermitteln.
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Wenn Sie keine Lizenzvorlagen für die automatische Zuweisung verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie können dieselben kostenlosen Funktionen wie Benutzer mit kostenlosen Konten verwenden.
| 1 |
Eine Option auswählen:
|
| 2 |
Wechseln Sie im Directory Connector zu Synchronisieren, klicken Sie auf Mehr |
| 3 |
Bestätigen Sie den Start der Synchronisierung. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch bis zu 72 Stunden nach der Synchronisierung angezeigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
|
| 4 |
Klicken Sie auf Aktualisieren, wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik angezeigt.) |
| 5 |
Wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um weitere Informationen zu Fehlern zu erhalten, um die Fehlerprotokolle anzuzeigen. |
| 6 |
Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen mit der Cloud finden Sie unter Festlegen des Connector-Zeitplans und Ausführen einer inkrementellen Synchronisierung. |
-
Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung auf der Seite Einstellungen in Control Hub von Deaktiviert zu Betriebsbereit aktualisiert.
-
Wenn alle Daten zwischen lokaler und Cloud-Umgebung abgeglichen werden, wechselt der Verzeichniskonnektor vom manuellen Modus in den automatischen Synchronisierungsmodus.
-
Sofern Sie die Einzelanmeldung nicht integrieren, Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben und automatische E-Mails unterdrücken, bleiben die Benutzerkonten der Webex-App im Status „Nicht verifiziert“, bis sich die Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Eine Anleitung zur Synchronisierung der Konten als aktive Benutzer finden Sie im Abschnitt „Vorbereitungen“.
-
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf einem anderen installierten Directory Connector aus. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
-
Wenn Sie Single Sign-On in Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
-
Sie können Benutzer in Control Hub nicht manuell hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung wird die Benutzerverwaltung über den Cisco-Verzeichniskonnektor durchgeführt, und Active Directory ist die zentrale Informationsquelle.
-
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.
Nächste Schritte
-
Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung soft gelöscht. Der Benutzer wird inaktiv, aber das Cloud-Identitätsprofil wird sieben Tage lang beibehalten (um eine Wiederherstellung nach einer versehentlichen Löschung zu ermöglichen).
Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer nach der nächsten Synchronisierung inaktiv. Das Cloud-Identitätsprofil wird nach sieben Tagen nicht gelöscht, falls Sie den Benutzer erneut aktivieren möchten.
-
Beachten Sie diese Ausnahmen bei einer inkrementellen Synchronisierung (befolgen Sie stattdessen die obigen vollständigen Synchronisierungsschritte):
-
Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
-
Konfigurationsänderungen bei der Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.
-
Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen
Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco-Verzeichniskonnektor mit Control Hub abgeschlossen haben, können Sie mit Control Hub allen Ihren Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.
Nachdem Sie die vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Methoden in Control Hub verwenden, um all Ihren Benutzern – einzelnen Benutzern – über die CSV-Massenvorlage global Webex-Dienstlizenzen zuzuweisen oder neuen Benutzern automatisch zuzuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.
Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken, wenn Sie Ihre Benutzer direkt kontaktieren möchten.
Vorbereitungen
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
-
Führen Sie einen Probelauf für die Synchronisierung der Active Directory-Benutzer durch.
-
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung mit Ihren Active Directory-Benutzern durch.
Bei der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und es wird keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine Standard-Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreiches automatisches Abschließen der Zuweisung.
| 1 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , klicken Sie auf Benutzer verwalten, wählen Sie Alle synchronisierten Benutzer ändern und klicken Sie dann auf Weiter. |
| 2 |
Wählen Sie eine Option: |
Nächste Schritte
-
Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung gesendet, um Webex beizutreten und herunterzuladen.
-
Wenn Sie für alle Benutzer dieselben Webex-Dienste ausgewählt haben, können Sie anschließend die zugewiesene Lizenz einzeln oder gesammelt ändern.
Bekannte Probleme mit dem Directory Connector
-
Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das sich auf den Directory Connector auswirkt. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
-
Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.
Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
-
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, läutet der Anruf zu diesem Zeitpunkt unbegrenzt.
Benutzer der Webex-App verwalten
Durchführen einer inkrementellen Synchronisierung
Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen die Änderung der Attribution für Benutzer sowie den Zeitpunkt, zu dem ein Benutzer hinzugefügt oder gelöscht wird.
Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie die ursprüngliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.
Vorbereitungen
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
-
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen ):
-
Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
-
Bei neuen Konfigurationsänderungen für die Attributzuordnung, Basis-DN, Filter und die Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und erfordert eine vollständige Synchronisierung.
-
| 1 |
Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen. |
| 2 |
Klicken Sie unter Aktionen auf Synchronisierungsmodus > Synchronisierung aktivieren , falls dies noch nicht geschehen ist. Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen anhand des letzten Zeitstempels. |
| 3 |
Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.
|
| 4 |
Um weitere Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen auf Ereignisanzeige starten , um die Fehlerprotokolle anzuzeigen. |
Nächste Schritte
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.
Versehentlich gelöschte Benutzer wiederherstellen
Der Verzeichniskonnektor verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Die Funktion „Soft-Delete“ kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.
Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, beispielsweise aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung aus dem Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie einen nicht übereinstimmenden Objekthinweis sehen oder festgestellt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.
Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer bis zu 7 Tage lang bei. Während dieser Zeit können Sie weiterhin Cisco Directory Connector verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so bald wie möglich wiederherzustellen.
Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nach 7 Tagen nicht gelöscht.
| 1 | |
| 2 |
Wechseln Sie zu Benutzer und bestätigen Sie, ob sich ein bestimmtes Benutzerkonto im Status „Inaktiv“ befindet oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub. |
| 3 |
Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer im Status „Inaktiv“ bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Das Ziel mit Directory Connector ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu schaffen. |
| 4 |
Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten mit Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und Dienstzuweisungen. |
Nächste Schritte
Kehren Sie zu Control Hub zurück, gehen Sie zu und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.
Benutzer nach dem weichen Löschen dauerhaft löschen
Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung soft gelöscht wurden, dauerhaft löschen.
| 1 |
Wählen Sie nach Abschluss eines Probelaufs Weich gelöschte Objekte aus. |
| 2 |
Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten. |
| 3 |
Wählen Sie Fertig aus. |
Nächste Schritte
Bei der nächsten Synchronisierung werden die von Ihnen geprüften Benutzer dauerhaft gelöscht.
E-Mail-Adresse einer Webex-App ändern
Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren behandelt das Ändern der E-Mail-Adresse der Webex-App für eine einzelne Domäne und einen Prozess zum Ändern der Domäne.
Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto. Dabei gehen die Bereiche des Benutzers und andere Daten in der Cloud verloren.
Der Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch mit der Cloud resynchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung zu „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten.
Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre Webex-App-E-Mail-Adressen über die Seite mit den Kontoeinstellungen ändern. Unter E-Mail-Adresse für Ihr Konto ändern finden Sie Schritte, die Benutzer befolgen können, um ihre E-Mails zu ändern.
Active Directory-Domäne ändern
Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.
| 1 |
Richten Sie eine neue Active Directory (AD)-Domäne ein. |
| 2 |
Deaktivieren Sie die Synchronisierungen für all Ihre Konnektoren. |
| 3 |
Deinstallieren Sie alle Ihre Konnektoren. |
| 4 |
Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Fallübermittlung sicher, dass Sie die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall aufgelöst wurde. |
| 5 |
Nachdem der Fall behoben ist: Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen. |
Domänenanspruch
Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass ein Sideboarding-Konto in der zahlungspflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können eine Domäne nur über einen Support-Fall beanspruchen (weitere Informationen finden Sie unter dem folgenden Link).
Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, wie ein eingeladener Benutzer zu einem Webex-App-Bereich hinzugefügt werden kann, besteht darin, das Konto zunächst mithilfe des Directory Connectors in Control Hub bereitzustellen.
Benutzer der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis konvertieren
Sie können nur eindeutige E-Mail-Adressen im Webex-App-Verzeichnis verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App registriert haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Um Benutzer in dieser Organisation mithilfe des Verzeichniskonnektors zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie den Verzeichniskonnektor aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.
Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.
Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung konnte nicht konvertiert werden
angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.
Einige beanspruchte Benutzer werden bei einem Probelauf möglicherweise mit dem Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Gelöschte Objekte anstelle von Nicht übereinstimmendes Objekt angezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.
Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle in Ihrer Nähe gelöscht, die mit der Cloud synchronisiert werden.
| 1 |
Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector. |
| 2 |
Befolgen Sie das Verfahren Konvertieren von Benutzern ohne Lizenz in Control Hub , um den Benutzer von der kostenlosen Verbraucher-Organisation zur Enterprise-Organisation zu konvertieren. Bei diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind. |
| 3 |
Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und sich Konten nur in Control Hub befinden, wird bei Directory Connector die Groß- und Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, gehen alle ihre Webex-App-Bereiche verloren. |
| 4 |
Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren. |
Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die automatische Lizenzvorlage aktiviert und anschließend den Verzeichniskonnektor ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.
Sideboarding-Benutzerkonten für Webex-App
Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.
Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.
Benutzerformat der Webex-App nach der Verzeichnissynchronisierung ändern
Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.
Nach der Verzeichnissynchronisierung werden Benutzernamen möglicherweise im Format angezeigt.
Dieser Benutzername wird möglicherweise angezeigt, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud zu displayName zugeordnet wird, werden Namen in Control Hub im Format angezeigt.
So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) dem displayName in Cisco Cloud-Attributnamen zu.
Alternativ können Sie das Attribut sn givenName dem displayName zuordnen:
Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck displayName zuordnen möchten.
Geben Sie beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) als Ausdruck ein. Dadurch werden die beiden Attribute in Active Directory dem displayName in der Cloud zugeordnet.
Benutzer können Anzeigenamen in Webex Meetings ändern
Sie können die Zuordnung des displayName -Attributs der Synchronisierung mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern die Bearbeitung ihrer bevorzugten Anzeigenamen erlauben möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird, anstatt ihren Vor- und Nachnamen eingeben. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. |
| 2 |
Wählen Sie displayName unter Cisco Cloud-Attributname aus. |
| 3 |
Wählen Sie Dieses Attribut nicht synchronisieren aus. |
Nächste Schritte
Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.
Directory Connector – Problembehandlung
Upgrade auf die neueste Softwareversion
Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie kein Upgrade auf die neueste verfügbare Version durchführen, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische TLS 1.2-Anforderung nicht unterstützt.
Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.
Obwohl Sie Connector-Softwareaktualisierungen manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.
| 1 |
Klicken Sie in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten. |
| 2 |
Befolgen Sie die Anweisungen, um das Upgrade durchzuführen. |
| 3 |
Starten Sie den Connector neu, und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an. |
| 4 |
Überprüfen Sie die Versionsnummer der Software unter . |
Nächste Schritte
Für eine neue Installation von Directory Connector können Sie die ZIP-Datei herunterladen und dann die Installationsschritte in diesem Handbuch befolgen.
Konfigurieren von allgemeinen Einstellungen für Directory Connector
Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.
| 1 |
Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Allgemein. |
| 2 |
Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird. |
| 3 |
Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen:
Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf Fehler festlegen, werden nur Fehler im Synchronisierungsbericht gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“. Nach der vollständigen Synchronisierung erhalten Sie Synchronisierungsberichte. (Beachten Sie, dass für die inkrementelle Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.) |
| 4 |
Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen. |
| 5 |
Aktivieren Sie Automatisches Upgrade auf neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, dass Ihre Cisco Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind. |
| 6 |
Aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSL nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher. |
Connector-Richtlinie konfigurieren
Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.
Sie legen beispielsweise 1 als Schwellenwert für den Löschvorgang fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus. |
| 2 |
Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
|
| 3 |
Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20. Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen. |
| 4 |
Klicken Sie auf Übernehmen. |
Legen Sie den Connector-Zeitplan fest
Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Zeitplan aus. |
| 2 |
Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben. |
| 3 |
Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden. |
| 4 |
Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll. |
| 5 |
Geben Sie einen Wert für Failover-Intervall in Minuten an. |
| 6 |
Klicken Sie auf Übernehmen. |
Szenarien mit mehreren Domänen
Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.
Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.
Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.
Beispielanwendungen für mehrere Domänen
Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.
-
Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
-
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
-
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
-
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.
- Synchronisierung auf example1.com
-
Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.
Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.
User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.
- Synchronisierung für example1.com und example2.com
-
Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.
Stellen Sie sich das folgende Szenario vor:
- Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
- Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
- Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
- Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.
Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne
Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.
Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.
Domänenpriorität festlegen
Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.
Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.
Vorbereitungen
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie steht unter https://admin.webex.com zum Download bereit.
| 1 |
Klicken Sie im Cisco Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen. |
| 3 |
Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern. Die Domänen werden in absteigender Reihenfolge sortiert. |
Domäne wechseln
Mit diesem Verfahren können Sie den Cisco-Verzeichniskonnektor erneut an eine andere Domäne binden.
Vorbereitungen
-
Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
-
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie müssen sie über Control Hub herunterladen.
| 1 |
Klicken Sie im Cisco Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln. |
| 3 |
Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, die Registrierung anderer Domänen im Connector wird aufgehoben, und die Connector-Informationen auf diesem Computer werden gelöscht. |
| 4 |
Melden Sie sich erneut beim Cisco-Verzeichniskonnektor an, und binden Sie die Domäne erneut. |
Verzeichnissynchronisierung deaktivieren
Wenn Sie die Synchronisierung über den Verzeichniskonnektor beenden müssen, können Sie sie über Control Hub vorübergehend deaktivieren.
| 1 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:
|
| 2 |
Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten. Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren. |
Benutzerattributzuordnung entfernen
Verwenden Sie den Verzeichniskonnektor, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.
| 1 |
Klicken Sie in Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 3 |
Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus. |
| 4 |
Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus:
|
| 5 |
Klicken Sie auf Übernehmen. |
Profilbilder verwalten
Verwenden Sie den Verzeichniskonnektor, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.
| 1 |
Klicken Sie in Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 3 |
Wählen Sie unter Aktionen eine der folgenden Optionen aus:
|
| 4 |
Klicken Sie auf Übernehmen. |
Directory Connector deinstallieren und deaktivieren
Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:
-
Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
-
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
-
Sie möchten die Domäne ändern und einen anderen Connector installieren.
Vorbereitungen
-
Möglicherweise werden mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder Synchronisierung mit mehreren Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
-
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie den Directory Connector deinstallieren.
| 1 |
Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen. |
| 2 |
Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallieren aus und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen. |
| 3 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , blättern Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr |
| 4 |
Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren. Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung. |
Ausführen des Diagnosetools
Sie können das integrierte Diagnosetool verwenden, um Fehler bei der Directory Connector-Bereitstellung zu beheben. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.
Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.
-
So führen Sie Tests für Active Directory-Domänendienste aus:
-
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
-
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
Beheben von Problemen im Ciso Directory Connector
Fehlerbehebung und Fehlerbehebungen für den Directory Connector
Möglicherweise tritt eine Fehlermeldung oder ein anderes Problem im Directory Connector auf. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet der Connector Ihnen möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. Bevor Sie sich an den Support wenden, lesen Sie die folgenden Abschnitte über mögliche Probleme, mögliche Ursachen und vorgeschlagene Lösungen.
Installieren
Directory Connector funktioniert nicht mehr
Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber benachrichtigt wurden, dass Ihr Directory Connector nicht funktioniert.
-
Der Directory Connector ist möglicherweise nicht korrekt installiert.
-
Directory Connector wird möglicherweise nicht ausgeführt.
-
Das Netzwerk ist möglicherweise nicht verfügbar.
Gehen Sie wie folgt vor:
-
Öffnen Sie . Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
-
Öffnen Sie den Dienst und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status Gestartet angezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
-
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, über Internetzugang verfügt.
Fehler bei erneuter Installation
Problem: Wenn Sie sofort einen neuen Connector installieren, nachdem Sie einen alten deinstalliert haben, wird möglicherweise eine Fehlermeldung angezeigt.
Mögliche Ursache: In Windows Server 2012 benötigt der Client zur Deinstallation Zeit, um das Dienstkonto aus der Dienstliste zu löschen.
Lösung: Versuchen Sie die Installation nach einiger Zeit erneut.
Anmelden
Directory Connector stürzt bei der SSO-Anmeldung ab
Problem
Der Directory Connector kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.
Lösung
Gehen Sie wie folgt vor:
Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:
-
Wechseln Sie zum Domänencontroller und öffnen Sie Group Policy Management (gpedit.msc).
-
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne, und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
-
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie Bearbeiten aus.
Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:
-
Gehen Sie zu , klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
-
Geben Sie unter Key Path die Option HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
-
Geben Sie
Disable Script Debuggerfür Value undnofür Value data ein.Die Einstellungen sollten mit diesem Screenshot übereinstimmen:
Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:
-
Gehen Sie zu , klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
-
Geben Sie unter SchlüsselpfadHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
-
Geben Sie
Disable Script Debuggerfür Value undnofür Value data ein.Die Einstellungen sollten mit diesem Screenshot übereinstimmen:
Die Änderungen werden wirksam, nachdem Sie gpupdate /force ausgeführt haben, die Maschine neu gestartet wurde (bei Änderungen am Computer) oder sich der Benutzer erneut anmeldet (bei Änderungen am Benutzer).
Cisco DirSync Service Connector konnte nicht registriert werden
Problem
Anmeldung fehlgeschlagen, und die folgende Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“
Lösung
Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.
Die Seite „Keine Anmeldung“ wird angezeigt
Problem
Sie haben den Verzeichniskonnektor geöffnet und die Anmeldeseite wurde nicht angezeigt.
Lösung
Gehen Sie wie folgt vor:
-
Navigieren Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie den Link in anderen Browsern wie Chrome und Firefox.
-
Wenn Internet Explorer den Link nicht aufrufen kann, andere Browser dies jedoch können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren .)
Anmeldeaufforderung wird angezeigt
Problem
Es wird eine Aufforderung angezeigt, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu bestehen.
Mögliche Ursache
Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.
Lösung
Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Übergabe der Sicherheit bereitstellen.
Verbindung zum Remote-Server nicht möglich
Problem
Während des normalen Betriebs wird die Fehlermeldung „Keine Verbindung zum Remote-Server möglich“ angezeigt.
Mögliche Ursache
Möglicherweise gibt es Proxy-Probleme, die behoben werden müssen.
Lösung
Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung mit Dienstkonto beheben .
Konnektor kann nicht registriert werden.
Problem
Es wird die Fehlermeldung „Der Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“
Mögliche Ursache
In den meisten Fällen liegt das Problem darin, dass der Directory Connector keine Berechtigung für eine Verbindung mit dem LDAP-Stammkontext hat.
Lösung
Gehen Sie wie folgt vor:
-
Führen Sie eine Eingabeaufforderung (cmd) aus, und geben Sie ldp.exe ein.
-
Klicken Sie auf , wählen Sie Als aktuell angemeldeten Benutzer binden und klicken Sie dann auf OK.
-
Klicken Sie auf , geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.
-
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall beim Support.
Synchronisierung
Avatare nicht synchronisiert
Problem
Der Cisco Directory Connector hat die Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatar-Daten erfolgreich synchronisiert.
Mögliche Ursache
Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache diese und vermeidet es, erneut zu senden, um Bandbreite zu sparen.
Lösung
Führen Sie die folgenden Schritte aus, um den lokalen Cache zu löschen:
-
Gehen Sie zu C:\Programme (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Löschen DirSyncPluginAvatar.dll-cache.bin.
-
Führen Sie die Avatar-Synchronisierung über den Cisco-Verzeichniskonnektor erneut aus.
In Konflikt stehende Benutzer-E-Mail-Konten
Problem
Die Synchronisierungsergebnisse können in Konflikt stehende Benutzer-E-Mail-Konten anzeigen.
-
Wenn Benutzer die kostenlose Version der Webex-App versucht haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.
-
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
-
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.
Lösung
Gehen Sie wie folgt vor:
-
Befolgen Sie die folgenden Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
-
Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
-
Deaktivieren Sie Cisco Directory Connector vorübergehend.
-
Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucherorganisation vorhanden sein könnten. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
-
Probelauf im Cisco Directory Connector durchführen und die Verzeichnissynchronisierung anschließend erneut aktivieren
-
-
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen.
Konvertierter Benutzer als inaktiv markiert
Problem
In Ihrer verzeichnissynchronisierten Umgebung haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.
Mögliche Ursache
Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer als 30 Tage lang als inaktiv markiert, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des Zeitraums von 30 Tagen zur Löschung markiert. Diese Situation tritt auf, da sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.
Lösung
Sie müssen entsprechende Maßnahmen ergreifen, wenn das Benutzerkonto nicht gelöscht werden soll. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.
Inkrementelle Synchronisierung schlägt fehl
Problem
Eine inkrementelle Synchronisierung schlägt fehl.
Dieses Problem kann unter folgenden Bedingungen auf Windows Server 2008 R2 auftreten:
-
Sie unterstützen inkrementelle Wertaktualisierungen.
-
Der Filter, den Sie verwenden, referenziert ein verknüpftes Werteattribut.
-
Die Ergebniswerte dieses Attributs wurden seit der letzten Durchführung einer vollständigen Synchronisierung aktualisiert.
Lösung
Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihren Windows Server auf mindestens 2012 R2 zu aktualisieren.
Ungültiger Wert für Merkmal
Problem
Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].
Mögliche Ursache
Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.
Lösung
Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.
Übereinstimmende Benutzer zum Löschen
Problem
Die übereinstimmenden Benutzer werden als gelöscht markiert.
Wenn Sie einen Probelauf zur Überprüfung der Daten zwischen Active Directory und der Cloud durchführen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Systemen angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.
Lösung
Wählen Sie eine geeignete Lösung:
-
Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen danach zu wiederholen, können Sie den Directory Connector für die Behebung verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.
-
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Support-Fall.
Attribut fehlt
Problem
Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.
Mögliche Ursache
Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsbenutzer,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert aufweisen.
Lösung
Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.
Verschachtelte Gruppe wird nicht synchronisiert
Problem
Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.
Mögliche Ursache
Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Beispiel: (Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)
Lösung
Sie müssen den Filter, der Gruppen synchronisiert, neu konfigurieren. Beispiel: |(Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)(Mitglied=CN=testSubGroup,CN=Benutzer,DC=rktest2008,DC=org)
Konflikt bei Benutzerbenennung
Problem
Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und des Benutzertyps [user_type].
Mögliche Ursache
Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.
Lösung
Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.
Control Hub
Benutzerliste fehlt in Control Hub
Problem
Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird Ihnen die Benutzerliste in Control Hub möglicherweise nicht angezeigt.
Lösung
Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Wechseln Sie in Control Hub zu Benutzer, klicken Sie auf Suchen und geben Sie dann Suchkriterien ein, um nach einem bestimmten Benutzer zu suchen.
Gruppen werden nicht mit Control Hub synchronisiert
Problem
Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.
Mögliche Ursache
Die Gruppe ist in Active Directory nicht als isCriticalSystemObject markiert.
Lösung
Stellen Sie sicher, dass das Attribut isCriticalSystemObject in Active Directory auf TRUE gesetzt ist.
Problembehandlung für den Directory Connector aktivieren
Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.
Die Protokolldateien, die sind: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Führen Sie die Datei |
| 2 |
Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten. |
| 3 |
Klicken Sie im Directory Connector auf Dashboard. |
| 4 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 5 |
Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können. |
| 6 |
Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt. Der Protokollordner speichert nur Dateien für die letzten 3 Tage. Der Inhalt in den Protokolldateien entspricht der Ausgabe des Ereignisprotokolls für das System. |
| 7 |
Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten. |
| 8 |
Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind. |
Starten der Ereignisanzeige
Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.
| 1 |
Wechseln Sie aus dem Directory Connector zu Dashboard und klicken Sie auf . Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails. |
| 2 |
Wechseln Sie in der Ereignisanzeige zu .
|
| 3 |
Klicken Sie unter Aktionen auf Alle Events speichern unter , um alle Protokolle als einzelne Events-Datei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren. |
Nächste Schritte
Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und fügen Sie dann die Events-Datei an Ihren Fall an.
In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Hilfe bei der Verwaltung des Netzwerkdatenverkehrs zu erhalten.
TLS in Internet Explorer aktivieren
Wenn Sie Single Sign-On (SSO)-Anbieter gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:
-
Bei der Anmeldung am Dienst ist ein Fehler aufgetreten
-
Im Skript auf dieser Seite ist ein Fehler aufgetreten
Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.
| 1 |
Öffnen Sie Internet Explorer und wählen Sie Werkzeuge aus. Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die aktiviert werden soll. Klicken Sie auf OK. Schließen Sie den Browser und öffnen Sie ihn erneut. |
| 2 |
Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , und scrollen Sie zu Sicherheit. |
| 3 |
Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden , und klicken Sie auf OK.
|
| 4 |
Starten Sie das System neu, damit die Änderungen übernommen werden. |
Anmeldeprobleme für Dienstkonten beheben
Wenn Sie sich nicht beim Cisco Directory Connector anmelden können oder keine Synchronisierung durchführen können, versuchen Sie anhand der folgenden Schritte, das Problem zu beheben, bevor Sie sich an den Support wenden.
| 1 |
Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen. |
| 2 |
Wählen Sie je nach den Ergebnissen eine Option:
|
| 3 |
Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (das unter den Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar- und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung für das Windows-Anmeldekonto. |
Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung
Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.
Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.
Vorbereitungen
Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.
| 1 |
Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste. |
| 2 |
Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wählen Sie eine Option:
|
Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.
Übersicht über Cisco Directory Connector
Directory Connector – Übersicht
Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.
Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur zentralen Informationsquelle wird. Wenn Sie eine Änderung lokal vornehmen, wird diese in die Cloud kopiert.
In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:
| Funktion | Beschreibung und Vorteil |
|---|---|
| Benutzerfreundliches Dashboard | Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden. |
| Probelauf, bevor die Synchronisierung in die Cloud durchgeführt wird | Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor sie in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen. |
| Vollständige und inkrementelle Synchronisierung | Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen. |
|
Synchronisieren mehrerer Domänen (einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) |
Directory Connector unterstützt mehrere Domänen entweder in einer einzelnen Gesamtstruktur oder in mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Der Control Hub spiegelt den Status wider, indem er den Synchronisierungsstatus für mehrere Directory Connectors anzeigt. Damit können Sie die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Directory Connector in einer Hochverfügbarkeitsbereitstellung deaktivieren. |
| Geplante Synchronisierung | Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest. |
| LDAP-Filter (Lightweight Directory Access Protocol) | Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit. |
| Active Directory-Attributzuordnung | Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um die Cloud zuzuordnen. Die Attribute aus dem Standort bilden verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, Enteprise-Telefonnummern in Webex Teams, Raumressourcen-SIP-Adressen und andere Kontaktkartendaten des Benutzers (Stellenbezeichnung, Abteilung, Manager usw.). |
|
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung |
Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud-PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte haben, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten auf ihren Cisco Webex Calling (Cloud-PSTN)-Telefonen oder Raumressourcen durchsuchen.
|
| Ereignisanzeige | Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen. |
| Diagnose-Tool und Fehlerbehebung | Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können. |
| Automatisches Upgrade | Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird. |
| Hohe Verfügbarkeit | Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt. |
Directory Connector ist in drei Bereiche unterteilt:
-
Control Hub ist die zentrale Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und die Einzelanmeldung (SSO) konfigurieren, wenn Ihre Benutzer sich über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App versenden möchten.
-
Die Directory Connector-Verwaltungsoberfläche ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und die Directory Connector-Dienste zu konfigurieren.
-
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory ab, um sie mit dem Connector-Dienst und dem Directory Connector zu synchronisieren.
Weitere Informationen zur Directory Connector-Architektur finden Sie in diesem Diagramm:
Vorbereiten Ihrer Umgebung für den Directory Connector
Anforderungen für den Directory Connector
Windows- und Active Directory-Anforderungen
Sie können Directory Connector auf den folgenden unterstützten Windows-Servern installieren:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die das Fix enthält – Windows Server 2012 R2 oder 2016.
Directory Connector wird von den folgenden Active Directory-Diensten unterstützt:
-
Active Directory 2016
(Directory Connector wird bei Verwendung der neuesten Version von Active Directory unter Windows Server 2019 unterstützt)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Beachten Sie die folgenden zusätzlichen Anforderungen:
-
Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
-
.NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, folgen Sie den Anweisungen unter Aktivieren Sie .NET Framework 3.5 mit dem Assistenten zum Hinzufügen von Rollen und Funktionen.)
-
.NET Framework v.4.5 (erforderlich für TLS1.2)
-
-
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)
Hardware-Anforderungen
Sie müssen Directory Connector auf einem Computer installieren, auf dem die folgenden Mindestanforderungen an die Hardware erfüllt sind:
-
8 GB RAM
-
50 GB Speicherplatz
-
Keine Mindestanforderung für die CPU
Netzwerk-Anforderungen
Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS-Zugriff (Port 443) auf das Internet verfügt.
Anforderungen der Webex-Organisation
-
Um von Control Hub aus auf die Directory Connector-Software zugreifen zu können, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem bezahlten Abonnement.
-
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Ihnen, Folgendes zu tun:
-
Fügen Sie Domänen hinzu, überprüfen und optional beanspruchen Sie sie , die die E-Mail-Adressen der Benutzer enthalten, die Sie mit der Cloud synchronisieren möchten.
-
Integrieren Sie Ihren Identitätsanbieter (IdP) mit Ihrer Webex-Organisation durch die einmalige Anmeldung (Single Sign-On, SSO).
-
Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)
-
Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.
Installationsanforderungen
-
In einer Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
-
Für die Anmeldung beim Connector ist kein Administratorkonto in Active Directory erforderlich. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer wie ein Volladministratorkonto in Control Hub ist.
Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computeranmeldekonto sollte ein Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer sein. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
-
Während der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector für den Zugriff auf Active Directory das lokale Systemkonto. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
-
Stellen Sie sicher, dass der Suchmodus für die Windows Safe Dynamic Link Library (DLL) mit diesem Verfahren aktiviert ist: Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung.
-
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, sollten Sie Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Computern installieren.
Mehrere Domänenanforderungen
Bevor Sie den Aufgaben im Ablauf der Bereitstellungsaufgabe für den Cisco-Verzeichniskonnektor folgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:
-
Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
-
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
-
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.)
-
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , damit Ihre Organisation in eine große Organisationsliste verschoben wird.
-
Bei Bedarf können Sie Informationen zu Raumressourcen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.)
Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung
Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.
Active Directory enthält zwei Arten von Gruppen:
-
Verteilergruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
-
Sicherheitsgruppen: Wird verwendet, um Berechtigungen für geteilte Ressourcen zuzuweisen.
Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:
-
Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienstleistung (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex Licensing usw.).
-
Verwenden Sie organisationsübergreifende Standard-Benennungskonventionen, um die Identifizierung wichtiger Informationen über eine Gruppe zu erleichtern. Gruppennamen können Details zur Gruppe enthalten, z. B. die Zugriffsstufe, die Art der Ressource, die Sicherheitsstufe, den Gruppenumfang, die E-Mail-Funktion usw. Der Gruppenname „GSG_Webex_Licensing_EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
-
Organisieren Sie Gruppen auf leicht verständliche Weise, z. B. nach Geografie oder Hierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
-
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die automatische Lizenzgruppenvorlage in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für die automatische Lizenzzuweisung einrichten .
Informationen zur Größe
Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Alle Beschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.
Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:
-
Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsjob dauert nicht so lange wie 50000.)
-
Netzwerkgeschwindigkeit und Bandbreite.
-
Systemauslastung und Spezifikationen.
Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.
Da bei der Synchronisierung mehrere Faktoren beteiligt sind und jede Bereitstellung abhängig von den oben genannten Faktoren variiert, können wir keine spezifischen Zeitwerte angeben, die angeben, wie lange eine Objektsynchronisierung dauern wird.
Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung
Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.
Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.
Vorbereitungen
Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.
| 1 |
Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste. |
| 2 |
Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wählen Sie eine Option:
|
Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.
Webproxy-Integration
Webproxy-Integration
Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.
Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector stellt eine Verbindung her und synchronisiert die Benutzer.
Sie können einen der folgenden Ansätze verwenden:
-
Expliziter Webproxy über Internet Explorer (der Connector erbt die Webproxy-Einstellungen)
-
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
-
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert
Webproxy über den Browser verwenden
Sie können den Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.
Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,
| 1 |
Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus. |
| 2 |
Verweisen Sie die Windows-Instanz, auf die der Connector installiert ist, auf Ihren Webproxy. Der Connector erbt diese Webproxy-Einstellungen. |
| 3 |
Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:
Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann. |
| 4 |
Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:
Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss. |
Webproxy über eine PAC-Datei konfigurieren
Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und die Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.
| 1 |
Damit der Connector sich erfolgreich mit der Webex Cloud verbinden und die Benutzerinformationen synchronisieren kann, müssen Sie die Proxy-Authentifizierung für |
| 2 |
Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:
Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann. |
| 3 |
Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:
Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss. |
NTLM-Proxy
Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.
NTLM-Design
In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.
Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus aus Herausforderung
und Antwort
:
-
Ein Benutzer meldet sich über ein Windows-Konto und ein Kennwort auf einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines reinen Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hash-Wert mit dem Hash-Wert des eingegebenen Passworts. Wenn beide gleich sind, wird die Authentifizierung erfolgreich ausgeführt.
Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im reinen Textformat.
-
Wenn der Server die Anforderung erhält, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Herausforderung auf dem Server gespeichert. Anschließend sendet der Server die Aufforderung im reinen Textformat an den Client.
-
Sobald der Client die vom Server gesendete Challenge erhält, verschlüsselt der Client die Challenge mit dem in Schritt 1 genannten Hash-Wert. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
-
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet er ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: der Kontoname, die verschlüsselte Aufforderung, die der Client gesendet hat, und die ursprüngliche einfache Aufforderung.
-
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.
Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Dadurch müssen Sie keine weitere Konfiguration abschließen.
Transparenten Proxy konfigurieren
In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.
| 1 |
Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann. |
| 2 |
Bestätigen Sie, dass der Proxy erfolgreich ist: Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt. |
Proxy-Authentifizierung festlegen
Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.
Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:
| 1 |
Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist. |
| 2 |
Legen Sie eine geschätzte Bandbreite für diese Verbindung fest (ca. 2 MB/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich. |
| 3 |
Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie Beispiel: access-list 2000 acl-inside extended permit TCP [IP des Connectors] cloudconnector.webex.com eq https |
| 4 |
Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt. |
| 5 |
Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren. |
Verzeichniskonnektor bereitstellen
Ablauf der Bereitstellungsaufgabe des Cisco-Verzeichniskonnektors
Vorbereitungen
| 1 |
Verzeichniskonnektor installieren In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen. Für eine neue Installation von Directory Connector gehen Sie immer zu Control Hub ( https://admin.webex.com), um die neueste Version der Software abzurufen, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar. |
| 2 |
Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administrator-Anmeldeinformationen an und führen Sie die Ersteinrichtung durch. |
| 3 |
Automatische Upgrades festlegen Es ist immer wichtig, dass Ihre Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind. |
| 4 |
Active Directory-Objekte zum Synchronisieren auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen. |
| 5 |
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist die *uid. |
| 6 |
Synchronisieren Sie Verzeichnis-Avatare mit einem der folgenden Verfahren:
Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass der Avatar jedes Benutzers angezeigt wird, wenn er sich bei der Anwendung anmeldet. Sie können Avatare von einem Active Directory-Attribut oder einem Ressourcenserver synchronisieren. |
| 7 |
Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Webex Room-Gerät oder Cisco Webex Board angezeigt. |
| 8 |
Um Benutzer Aus Active Directory In Control Hub Bereitzustellen, führen Sie die folgenden Schritte aus:
Folgen Sie dieser Sequenz, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wald- oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen. |
Verzeichniskonnektor installieren
In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen.
Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf der Synchronisierung mit mehreren Domänen:
Vorbereitungen
Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen:
-
Für die Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxy-Konfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Webproxy Im Browser verwenden
-
Bei Proxy-NTLM wird Ihnen möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser.
| 1 |
Wechseln Sie in Control Hub zu und wählen Sie Weiter aus. |
| 2 |
Klicken Sie auf den Link Herunterladen und installieren, um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die .zip-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert. Holen Sie sich für eine Neuinstallation die neueste Version der Software, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar. |
| 3 |
Entpacken Sie die MSI-Datei auf dem VMware- oder Windows-Server und führen Sie sie im Setup-Ordner aus, um den Setup-Assistenten zu starten. |
| 4 |
Klicken Sie auf Weiter, aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Weiter, bis der Bildschirm „Kontotyp“ angezeigt wird. |
| 5 |
Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto durch:
Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind:
|
| 6 |
Klicken Sie auf Installieren. Geben Sie nach der Ausführung des Netzwerktests Ihre grundlegenden Proxy-Anmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertig stellen. |
Nächste Schritte
Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Während des Neustarts der Maschine werden alle Daten aktualisiert, um ein exaktes Ergebnis im Bericht anzuzeigen.
Bei Directory Connector anmelden
Vorbereitungen
Stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen.
-
Für die Proxy-Basic-Auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
-
Öffnen Sie für Proxy-NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen, stellen Sie sicher, dass die Informationen zum Proxy-Server hinzugefügt wurden, und klicken Sie auf OK. Siehe Verwenden eines Webproxys über den Browser.
| 1 |
Öffnen Sie den Connector und fügen Sie |
| 2 |
Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich dann mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter. |
| 3 |
Bestätigen Sie Ihre Organisation und Ihre Domäne.
|
| 4 |
Nachdem der Bildschirm Organisation bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Wenn Sie AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Organisation bestätigen angezeigt. |
| 5 |
Klicken Sie auf Bestätigen. |
| 6 |
Wählen Sie eine der folgenden Optionen aus, abhängig von der Anzahl der Active Directory-Domänen, die Sie an den Directory Connector binden möchten:
|
Nächste Schritte
Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.
Directory Connector-Dashboard
Wenn Sie sich zum ersten Mal beim Directory Connector anmelden, wird das Dashboard angezeigt. Hier können Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken anzeigen, einen Probelauf für die Synchronisierung durchführen, eine vollständige oder inkrementelle Synchronisierung starten und die Event-Ansicht starten, um Fehlerinformationen anzuzeigen.
Sie können diese Aufgaben einfach über die Symbolleiste oder das Menü „Aktionen“ ausführen.
|
Komponente |
Beschreibung |
|---|---|
|
Aktuelle Synchronisierung |
Zeigt die Statusinformationen zur laufenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige inaktiv. |
|
Nächste Synchronisierung |
Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Zeitplan festgelegt ist, wird Nicht angesetzt angezeigt. |
|
Letzte Synchronisation |
Zeigt den Status der letzten beiden durchgeführten Synchronisierungen an. |
|
Aktueller Synchronisierungsstatus |
Zeigt den Gesamtstatus der Synchronisierung an. |
|
Konnektoren |
Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind. |
|
Cloud-Statistik |
Zeigt den Gesamtstatus der Synchronisierung an. |
|
Synchronisierungszeitplan |
Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung an. |
|
Konfigurationszusammenfassung |
Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten:
|
| Aktion | Beschreibung |
|---|---|
| Inkrementelle Synchronisierung starten |
Inkrementelle Synchronisierung manuell starten Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn noch keine vollständige Synchronisierung abgeschlossen wurde oder wenn eine Synchronisierung läuft. |
|
Probelauf synchronisieren |
Führen Sie einen Probelauf für die Synchronisierung durch. |
|
Ereignisanzeige starten |
Starten Sie die Microsoft-Ereignisanzeige. |
|
Aktualisieren |
Aktualisieren des Cisco Directory Connector-Dashboards |
|
Aktion |
Beschreibung |
|---|---|
| Jetzt synchronisieren |
Starten Sie sofort eine vollständige Synchronisierung. |
|
Synchronisierungsmodus |
Wählen Sie entweder den inkrementellen oder den vollständigen Synchronisierungsmodus aus. |
|
Geheimschlüssel für Konnektor zurücksetzen |
Stellen Sie eine Unterhaltung zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Durch Auswahl dieser Aktion wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert. |
|
Probelauf |
Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung durchführen. |
|
Fehlerbehebung |
Aktivieren/deaktivieren Sie die Fehlerbehebung. |
|
Aktualisieren |
Aktualisieren Sie den Cisco Directory Connector-Hauptbildschirm. |
|
Beenden |
Beenden Sie den Cisco Directory Connector. |
|
Tastenkombination |
Aktion |
|---|---|
|
Alt +A |
Das Menü Aktionen anzeigen |
|
|
Jetzt synchronisieren |
|
|
Geheimschlüssel für Konnektor zurücksetzen |
|
|
Probelauf |
|
|
Inkrementelle Synchronisierung |
|
|
Vollständige Synchronisierung |
|
|
Menü Hilfe anzeigen |
|
|
Hilfe |
|
|
Info |
|
|
häufig gestellte Fragen |
Automatische Upgrades festlegen
| 1 |
Wechseln Sie im Directory Connector zu und aktivieren Sie die Option Automatisch auf neue Cisco Directory Connector-Version aktualisieren. |
| 2 |
Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern. |
Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.
Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion.
Active Directory-Objekte zum Synchronisieren auswählen
Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.
Gruppen für die automatische Lizenzzuweisung
Mit Control Hub können Sie Lizenzzuweisungen auf Gruppenbasis verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Beim Erstellen eines Benutzers überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.
Wir empfehlen, einen LDAP-Filter zu verwenden, um nur relevante Gruppen mit der Cloud zu synchronisieren. Beispielsweise können Sie den Filter auf:
(&(cn=Beispiel)(objectclass=Gruppe))*
Dieser Filter synchronisiert alle Gruppen innerhalb des Basis-DN, bei dem der Name mit „Beispiel“ beginnt. Benutzern, die keinen Gruppen zugewiesen sind, werden Lizenzen über die automatische Standardlizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.
Gruppen für Hybrid-Datensicherheitsbereitstellungen
Im Directory Connector müssen Sie Gruppen aktivieren, wenn Sie Hybrid-Datensicherheit zum Konfigurieren einer Testgruppe für Pilotbenutzer verwenden. Anleitungen finden Sie im Bereitstellungsleitfaden für Hybrid-Datensicherheit. Diese Verzeichniskonnektor-Einstellung wirkt sich nicht auf die Synchronisierung anderer Benutzer in der Cloud aus.
| 1 |
Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl. |
| 2 |
Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und erwägen Sie, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die zur Beispiel-Manager-Gruppe gehören, verwenden Sie einen Filter wie diesen:
|
| 3 |
Aktivieren Sie das Kontrollkästchen Raum identifizieren, um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen, wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie lokale Rauminformationen von Active Directory mit der Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud. |
| 4 |
Aktivieren Sie Gruppen, wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie keinen LDAP-Filter für die Benutzersynchronisierung zum Feld „Gruppen“ hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren. Gruppen werden standardmäßig nicht für neue Kunden synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren. |
| 5 |
Aktivieren Sie Kontakte, wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten. Der Verzeichniskonnektor verwaltet nur Kontakte, die vom Konnektor synchronisiert wurden. Wenn bereits Kontakte in Control Hub vorhanden sind, werden die Kontakte durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsumfang entfernt werden, werden auch die Kontaktinformationen der Benutzer in Control Hub entfernt. |
| 6 |
Konfigurieren Sie die LDAP-Filter. Sie können erweiterte Filter hinzufügen, indem Sie einen gültigen LDAP-Filter bereitstellen. Weitere Informationen zum Konfigurieren von LDAP-Filtern finden Sie in diesem Artikel. |
| 7 |
Geben Sie die zu synchronisierenden lokalen Basis-DNs an, indem Sie auf Auswählen klicken, um die Baumstruktur Ihres Active Directory anzuzeigen. Von hier aus können Sie auswählen, welche Container gesucht werden sollen. |
| 8 |
Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten, und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container zur Synchronisierung auswählen. Wählen Sie einen übergeordneten Container aus, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird im übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container aktiviert wurde. Sie können dann auf Auswählen klicken, um die von Ihnen ausgewählten Active Directory-Container zu akzeptieren. Wenn Ihre Organisation alle Benutzer und Gruppen im Benutzer-Container platziert, müssen Sie keine anderen Container durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, stellen Sie sicher, dass Sie OUs auswählen. |
| 9 |
Klicken Sie auf Übernehmen. Wählen Sie eine Option:
Informationen zu Probeläufen finden Sie unter Durchführen einer Probelauf-Synchronisierung für Ihre Active Directory-Benutzer. Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen. |
Benutzerattribute zuordnen
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.
Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll – Sie können beispielsweise firstName lastName in Active Directory oder einen benutzerdefinierten Attributausdruck displayName in der Cloud zuordnen.
Konten in Active Directory müssen über eine E-Mail-Adresse verfügen; die uid wird standardmäßig dem Feld ad der E-Mail zugeordnet (nicht sAMAccountName).
Wenn Sie festlegen, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, ist Active Directory die einzige Informationsquelle: Benutzer können ihre Spracheinstellung in den Webex-Einstellungen nicht ändern, und Administratoren können die Einstellung in Control Hub nicht ändern.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet. |
| 2 |
Scrollen Sie zum Ende der Active Directory-Attributnamen und wählen Sie dann eines der folgenden Active Directory-Attribute aus, um das Cloud-Attribut uid zuzuordnen:
Sie können beliebige andere Active Directory-Attribute der uid zuordnen. Wir empfehlen jedoch, „mail“ oder „userPrincipalName“ zu verwenden, wie in den obigen Richtlinien beschrieben. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, mit welchen Attributen in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen im Directory Connector. Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen ausgewählte Active Directory-Attribut im E-Mail-Format vorliegt. Der Verzeichniskonnektor zeigt ein Popup-Fenster an, das Sie daran erinnert, wenn Sie eines der empfohlenen Attribute nicht auswählen. |
| 3 |
Wenn die vordefinierten Active Directory-Attribute in Ihrer Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können. Klicken Sie auf Hilfe, um weitere Informationen zu den Ausdrücken zu erhalten und Beispiele für die Funktionsweise von Ausdrücken anzuzeigen. Weitere Informationen finden Sie auch unter Ausdrücke für angepasste Attribute. Ordnen wir in diesem Beispiel die Active Directory-Attribute
Der Directory Connector überprüft den Attributwert von uid im Identitätsdienst und ruft 3 verfügbare Benutzer unter den aktuellen Benutzerfilteroptionen ab. Wenn alle diese 3 Benutzer ein gültiges E-Mail-Format haben, zeigt der Cisco Directory Connector die folgende Meldung an:
Wenn das Attribut nicht verifiziert werden kann, wird die folgende Warnung angezeigt und Sie können zu Active Directory zurückkehren, um die Benutzerdaten zu überprüfen und zu korrigieren:
|
| 4 |
(Optional) Wählen Sie Zuordnungen für Mobilgeräte und Telefonnummer aus, wenn Mobil- und Geschäftsnummern angezeigt werden sollen, beispielsweise in der Kontaktkarte des Benutzers in der Webex-App. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt. Weitere Informationen zu Anrufen über die Kontaktkarte eines Benutzers finden Sie im Bereitstellungshandbuch für Anrufe in Webex (Unified CM) (Administratoren). |
| 5 |
Wählen Sie zusätzliche Zuordnungen aus, um weitere Daten in der Kontaktkarte anzuzeigen:
Nach der Zuordnung der Attribute werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt:
Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren. Nachdem diese Attribute mit den einzelnen Benutzerkonten synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Benutzer der Webex-App mehr Informationen in ihren Profilen teilen und mehr voneinander erfahren. Weitere Informationen zur Funktion und zum Aktivieren finden Sie unter Profile für „People Insights“ für Webex, Jabber, Webex Meetings und Webex Events (Neu) in Control Hub. |
| 6 |
Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie auf Übernehmen. |
Alle in Active Directory enthaltenen Benutzerdaten überschreiben die diesem Benutzer entsprechenden Daten in der Cloud. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Alle Benutzer ohne entsprechende E-Mail-Adresse in Active Directory werden gelöscht.
Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.
Active Directory- und Cloud-Attribute
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattributzuordnung verwenden.
In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Verzeichniskonnektor. Sie können in den Dropdown-Menüs des Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloudattribut synchronisiert wird.
Betrachten Sie die Dropdown-Attribute als Voreinstellungen. Als Alternative zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory angeben (ein Ausdruck mit mehreren Attributen), um ein einzelnes Cloudattribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise haben Sie die Flexibilität, die Anzeigenamen Ihrer Benutzer zu bestimmen. Sie können beispielsweise einen Ausdruck hinzufügen, der basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory ein angepasstes Attribut erstellt.
Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.
Sie können auch alternative E-Mail-Adressen verwenden, z. B. wenn Sie den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall dem Attribut emails;type-work eine andere E-Mail-Adresse zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.
|
Active Directory-Attributnamen |
Webex-Cloud-Attributnamen |
Anmerkungen |
|---|---|---|
|
— |
Gebäudename |
— |
|
c |
c |
Dieses Attribut gibt die Länderabkürzung des Benutzers an. |
|
Abteilungsnummer |
Abteilungsnummer |
Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die auf der Kontaktkarte und People Insights angezeigt wird. |
|
Anzeigename |
Anzeigename |
Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird. |
|
BenutzerAccountControl |
ds-pwp-konto-deaktiviert |
Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist, andernfalls werden die Benutzer nicht ordnungsgemäß synchronisiert. |
|
Mitarbeiternummer |
Mitarbeiternummer |
— |
|
FaxTelefonnummer |
FaxTelefonnummer |
— |
|
— |
Jabber-ID |
Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert ist nicht identisch mit sipAddresses. |
|
l |
l |
Dieses Attribut gibt die Stadt des Benutzers an. |
|
— |
Ländereinstellung |
— |
|
Manager |
Manager |
Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der auf der Kontaktkarte und People Insights angezeigt wird. |
|
Mobil |
Mobil |
Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen. |
|
o |
o |
Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird auf der Kontaktkarte angezeigt. |
|
Ou |
Ou |
Dieses Attribut gibt den Namen der Organisationseinheit an. |
|
physischeLieferungBüroName |
physischeLieferungBüroName |
Dieses Attribut gibt den Bürostandort des Benutzers an. |
|
Postleitzahl |
Postleitzahl |
Dieses Attribut gibt die Postleitzahl des Benutzers für die physische Postzustellung an. |
|
bevorzugteSprache |
bevorzugteSprache |
Dieses Attribut legt die bevorzugte Sprache des Benutzers fest. Es werden die folgenden Formate unterstützt: xx_YY oder xx-YY. Hier einige Beispiele: de_US, de_GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format verwenden, wird die bevorzugte Sprache des Benutzers zur für die Organisation festgelegten Sprache geändert. |
|
MSRTCSIP-PrimäreBenutzeradresse IP-Telefon |
SIP-Adressen;type=Unternehmen |
Dieses Attribut wird verwendet, um lokale Rauminformationen aus Active Directory mit der Cisco Webex-Cloud zu synchronisieren. |
|
sn |
sn |
Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird. |
|
st |
st |
Dieses Attribut gibt das Bundesland des Benutzers an. |
|
Straßenadresse |
Straße |
Dieses Attribut gibt die Postanschrift des Benutzers für die physische Postzustellung an. |
|
Telefonnummer |
Telefonnummer |
Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die zum Anrufen des Benutzers über die Kontaktkarte verwendet wird. |
|
— |
Zeitzone |
Dieses Cloudattribut gibt die Zeitzone des Benutzers an. |
|
Titel |
Titel |
Dieses Attribut gibt den Titel des Benutzers an, der auf der Kontaktkarte und People Insights angezeigt wird. |
|
Typ |
Unternehmen |
— |
|
*userPrincipalName |
UID |
Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann sich dann mit einer dieser E-Mail-Adressen anmelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen dazu, wie Sie eine alternative E-Mail-Adresse zuordnen können, finden Sie im Beispiel-Attributzuordnung unten. |
|
*userPrincipalName <benutzerdefiniertes Attribut> |
E-Mails;Arbeit eingeben |
Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein. |
|
<Neues Attribut für Azure-Benutzer objectId> |
externe ID |
Erstellen Sie ein neues Active Directory-Attribut, um die Objekt-ID des Azure-Benutzers zu speichern, damit sie nicht mit einem vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen. |
Alternative E-Mail-Adresszuordnung
Ausdrücke für angepasste Attribute
|
Vermittler |
Beschreibung und Beispiel |
|---|---|
|
% |
Entfernt alle Zeichen vom Anfang bis zur Position des Zeichens oder des String-Arguments, falls diese übereinstimmen.
|
|
- |
Entfernt die Rückseite der Eingabezeichenfolge vom Ende der angegebenen Zeichenfolge.
|
|
+ |
Verkettet Eingabezeichenfolgen oder Ausdrücke.
|
|
| |
Evaluiert die getrennten Ausdrücke anhand einer leeren Zeichenkette und wählt das erste nicht-leere Ergebnis aus.
|
Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud
Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit diesem Verfahren können Sie Avatarrohdaten aus einem Active Directory-Attribut synchronisieren.
| 1 |
Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren. |
| 2 |
Wählen Sie für Avatar abrufen von die Option AD-Attribut und anschließend das Avatar-Attribut aus, das die Avatar-Rohdaten enthält, die Sie mit der Cloud synchronisieren möchten. |
| 3 |
Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar des Benutzers abrufen. Der Avatar wird rechts angezeigt. |
| 4 |
Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern. |
-
Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
-
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.
Nächste Schritte
Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.
Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud
Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit dieser Prozedur können Sie Avatare von einem Ressourcenserver synchronisieren.
Vorbereitungen
-
Das URI-Muster und der Variablenwert in dieser Prozedur sind Beispiele. Sie müssen tatsächliche URLs verwenden, unter denen sich Ihre Verzeichnis-Avatare befinden.
-
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht öffentlich im Internet zugänglich sein.
-
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass auf Avatar-Daten über die NTLM-Authentifizierung oder die Basic-Auth zugegriffen werden kann.
| 1 |
Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren. |
| 2 |
Wählen Sie unter Avatar abrufen von die Option Ressourcenserver aus, und geben Sie das Avatar-URI-Muster ein – zum Beispiel Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten:
|
| 3 |
(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen benötigt, aktivieren Sie die Option Benutzeranmeldeinformationen für Avatar festlegen. Wählen Sie anschließend Aktuellen Service-Anmeldebenutzer verwenden oder Diesen Benutzer verwenden aus, und geben Sie das Passwort ein. |
| 4 |
Geben Sie den Variablenwert ein, zum Beispiel: |
| 5 |
Klicken Sie auf Test, um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. Wenn in diesem Beispiel der E-Mail-Wert für einen AD-Eintrag |
| 6 |
Nachdem die URI-Informationen überprüft wurden und korrekt angezeigt wurden, klicken Sie auf Übernehmen. Detaillierte Informationen zur Verwendung regulärer Ausdrücke finden Sie in der Microsoft Regular Expression Language Quick Reference . |
-
Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
-
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.
Nächste Schritte
Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.
Synchronisieren von lokalen Rauminformationen mit der Webex Cloud
Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Webex-Geräten (Room, Desk und Board) angezeigt.
| 1 |
Wechseln Sie aus dem Directory Connector zu Synchronisieren, klicken Sie auf Mehr |
| 2 |
Aktivieren Sie das Kontrollkästchen Rauminformationen mit Cloud synchronisieren, um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf die gleiche Weise behandelt wie synchronisierte Benutzerdaten. |
| 3 |
Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=enterprise. Um die Wertevalidierung zu verwenden, sollte der Wert der SIP-Adresse Pattern.compile("^([^@])(.*)@(.*)$") lauten.
|
| 4 |
Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann zum Identifizieren von Räumen verwendet.
|
| 5 |
Navigieren Sie von Active Directory-Benutzern und -Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den vollständig qualifizierten SIP-URI mit dem Präfix sip hinzu:
|
| 6 |
Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden Objekte hinzugefügt aufgelistet, und übereinstimmende Raumobjekte werden im Probelauf-Bericht unter Übereinstimmende Objekte angezeigt. Alle Raumobjekte, die zum Löschen markiert sind, finden Sie unter Räume gelöscht.
In den Ergebnissen des Probelaufs werden alle abgestimmten Raumressourcen angezeigt.
Diese Einstellung trennt die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.
|
Nächste Schritte
Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Cloud registrierten Webex-Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde.
Über Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.
Der Endpunkt kann einen Rückruf nicht an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte lokal oder an einem anderen Ort als der Webex-App als SIP URI registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, dem Schreibtischgerät oder dem Webex Board für den Kalenderdienst befindet, wird der doppelte Eintrag in den Suchergebnissen nicht angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App angerufen und es wird kein SIP-Anruf getätigt.
E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisation senden
Standardmäßig erhalten die Organisationskontakte oder Administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen mit einer Zusammenfassung der Verzeichnissynchronisierungsberichte erhalten soll.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benachrichtigung aus. |
| 2 |
Klicken Sie im Directory Connector auf Einstellungen und aktivieren Sie neben E-Mail-Empfänger die Option Synchronisierung des Berichts aktivieren. |
| 3 |
Aktivieren Sie Benachrichtigung aktivieren, wenn Sie das Standard-Benachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten. |
| 4 |
Klicken Sie auf Hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können. |
| 5 |
Klicken Sie auf E-Mail hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können. |
| 6 |
Wenn Sie eingegebene E-Mail-Adressen bearbeiten müssen, doppelklicken Sie auf den E-Mail-Eintrag in der linken Spalte, und nehmen Sie dann die gewünschten Änderungen vor. |
| 7 |
Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Übernehmen. |
| 8 |
Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Speichern. |
Nächste Schritte
Wenn Sie festgelegt haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und klicken Sie dann auf Entfernen.
Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.
Bereitstellen von Benutzern Aus Active Directory In Control Hub
Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (entweder mit einer einzelnen Gesamtstruktur oder mit mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.
| 1 |
Durchführen eines Probelaufs für die Active Directory-Benutzer Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen. |
| 2 |
Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen. |
| 3 |
Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen auf verschiedene Weise zuweisen. Wir empfehlen Ihnen, eine Lizenzvorlage für die automatische Zuweisung einzurichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen. |
Durchführen eines Probelaufs für die Active Directory-Benutzer
Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.
Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel des Directory Connector ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud herzustellen.
Wenn Sie in einer oder mehreren Gesamtstrukturen mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.
Vorbereitungen
Möglicherweise befinden sich bereits einige Webex-App-Benutzer in Control Hub, bevor Sie den Verzeichniskonnektor verwendet haben. Einige der Benutzer in der Cloud können mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es können jedoch Testbenutzer sein, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Active Directory und Control Hub erstellen.
| 1 |
Eine Option auswählen:
Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt:
Die Zusammenfassung enthält Informationen über die Objektabgleich:
Der Probelauf identifiziert die Benutzer, indem er sie mit Domänenbenutzern vergleicht. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten möchten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory. |
| 2 |
Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option aus, je nachdem, ob Sie eine einzelne oder mehrere Domänen verwenden:
|
| 3 |
Klicken Sie in der Aufforderung Probelauf bestätigen auf Ja, um die Synchronisierung des Probelaufs erneut durchzuführen und das Dashboard anzuzeigen, um die Ergebnisse anzuzeigen. Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter Übereinstimmende Objekte angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Um die Details der synchronisierten Elemente anzuzeigen, klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched. Um die Zusammenfassungsinformationen zu speichern, klicken Sie auf Ergebnisse in Datei speichern. |
| 4 |
Wenn die Ergebnisse erwartet werden, gehen Sie zu und klicken Sie dann auf Jetzt aktivieren, um eine manuelle Synchronisierung durchzuführen und an diesem Punkt in den manuellen Modus zu versetzen. Nachdem Sie eine Synchronisierung mit der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte zwischen der Webex-Cloud und allen lokalen Active Directories vollständig übereinstimmen. |
Nächste Schritte
-
Alle nicht übereinstimmenden Benutzerobjekte, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen lokaler und Cloud-Umgebung besteht.
-
Wählen Sie einen Synchronisierungstyp:
-
Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben.
-
Wenn Sie über mehrere Domänen verfügen, wiederholen Sie diese Schritte auf einem anderen Directory Connector, den Sie installiert haben.
Zu beachtende Punkte
-
Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisation dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeberichte überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.
-
Wenn übereinstimmende Benutzer als gelöscht markiert sind und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und wenden Sie sich an den Support unter Fehlerbehebung und Fehlerbehebungen für Directory Connector.
Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.
Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen
Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
Wenn Sie über mehrere Domänen verfügen, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.
Directory Connector synchronisiert den Benutzerkontostatus: In Active Directory werden als deaktiviert gekennzeichnete Benutzer in der Cloud als inaktiv angezeigt.
Vorbereitungen
-
Wenn sich die Webex-App-Benutzerkonten nach der vollständigen Synchronisierung im Status „Aktiv“ befinden sollen, bevor sich die Benutzer zum ersten Mal anmelden, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:
-
Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Siehe
Einmalige Anmeldung mit Cisco Webex-Diensten und dem Identitätsanbieter Ihrer Organisation
um mehr zu erfahren. -
Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe
Hinzufügen, Überprüfen und Beanspruchen von Domänen
. -
Automatische E-Mail-Einladungen unterdrücken, sodass neue Benutzer die automatische E-Mail-Einladung zur Webex-App nicht erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
Aktivierte Benutzer, die sich nicht angemeldet haben, werden in Control Hub mit dem Status Verifiziert angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub.
-
-
Wenn Sie die Synchronisierung aktivieren, werden Sie vom Verzeichniskonnektor zuerst aufgefordert, einen Probelauf durchzuführen. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu ermitteln.
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Wenn Sie keine Lizenzvorlagen für die automatische Zuweisung verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie können dieselben kostenlosen Funktionen wie Benutzer mit kostenlosen Konten verwenden.
| 1 |
Eine Option auswählen:
|
| 2 |
Wechseln Sie im Directory Connector zu Synchronisieren, klicken Sie auf Mehr |
| 3 |
Bestätigen Sie den Start der Synchronisierung. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch bis zu 72 Stunden nach der Synchronisierung angezeigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
|
| 4 |
Klicken Sie auf Aktualisieren, wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik angezeigt.) |
| 5 |
Wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um weitere Informationen zu Fehlern zu erhalten, um die Fehlerprotokolle anzuzeigen. |
| 6 |
Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen mit der Cloud finden Sie unter Festlegen des Connector-Zeitplans und Ausführen einer inkrementellen Synchronisierung. |
-
Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung auf der Seite Einstellungen in Control Hub von Deaktiviert zu Betriebsbereit aktualisiert.
-
Wenn alle Daten zwischen lokaler und Cloud-Umgebung abgeglichen werden, wechselt der Verzeichniskonnektor vom manuellen Modus in den automatischen Synchronisierungsmodus.
-
Sofern Sie die Einzelanmeldung nicht integrieren, Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben und automatische E-Mails unterdrücken, bleiben die Benutzerkonten der Webex-App im Status „Nicht verifiziert“, bis sich die Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Eine Anleitung zur Synchronisierung der Konten als aktive Benutzer finden Sie im Abschnitt „Vorbereitungen“.
-
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf einem anderen installierten Directory Connector aus. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
-
Wenn Sie Single Sign-On in Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
-
Sie können Benutzer in Control Hub nicht manuell hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung wird die Benutzerverwaltung über den Cisco-Verzeichniskonnektor durchgeführt, und Active Directory ist die zentrale Informationsquelle.
-
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.
Nächste Schritte
-
Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung soft gelöscht. Der Benutzer wird inaktiv, aber das Cloud-Identitätsprofil wird sieben Tage lang beibehalten (um eine Wiederherstellung nach einer versehentlichen Löschung zu ermöglichen).
Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer nach der nächsten Synchronisierung inaktiv. Das Cloud-Identitätsprofil wird nach sieben Tagen nicht gelöscht, falls Sie den Benutzer erneut aktivieren möchten.
-
Beachten Sie diese Ausnahmen bei einer inkrementellen Synchronisierung (befolgen Sie stattdessen die obigen vollständigen Synchronisierungsschritte):
-
Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
-
Konfigurationsänderungen bei der Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.
-
Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen
Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco-Verzeichniskonnektor mit Control Hub abgeschlossen haben, können Sie mit Control Hub allen Ihren Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.
Nachdem Sie die vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Methoden in Control Hub verwenden, um all Ihren Benutzern – einzelnen Benutzern – über die CSV-Massenvorlage global Webex-Dienstlizenzen zuzuweisen oder neuen Benutzern automatisch zuzuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.
Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken, wenn Sie Ihre Benutzer direkt kontaktieren möchten.
Vorbereitungen
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
-
Führen Sie einen Probelauf für die Synchronisierung der Active Directory-Benutzer durch.
-
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung mit Ihren Active Directory-Benutzern durch.
Bei der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und es wird keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine Standard-Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreiches automatisches Abschließen der Zuweisung.
| 1 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , klicken Sie auf Benutzer verwalten, wählen Sie Alle synchronisierten Benutzer ändern und klicken Sie dann auf Weiter. |
| 2 |
Wählen Sie eine Option: |
Nächste Schritte
-
Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung gesendet, um Webex beizutreten und herunterzuladen.
-
Wenn Sie für alle Benutzer dieselben Webex-Dienste ausgewählt haben, können Sie anschließend die zugewiesene Lizenz einzeln oder gesammelt ändern.
Bekannte Probleme mit dem Directory Connector
-
Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das sich auf den Directory Connector auswirkt. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
-
Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.
Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
-
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, läutet der Anruf zu diesem Zeitpunkt unbegrenzt.
Benutzer der Webex-App verwalten
Durchführen einer inkrementellen Synchronisierung
Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen die Änderung der Attribution für Benutzer sowie den Zeitpunkt, zu dem ein Benutzer hinzugefügt oder gelöscht wird.
Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie die ursprüngliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.
Vorbereitungen
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
-
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen ):
-
Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
-
Bei neuen Konfigurationsänderungen für die Attributzuordnung, Basis-DN, Filter und die Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und erfordert eine vollständige Synchronisierung.
-
| 1 |
Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen. |
| 2 |
Klicken Sie unter Aktionen auf Synchronisierungsmodus > Synchronisierung aktivieren , falls dies noch nicht geschehen ist. Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen anhand des letzten Zeitstempels. |
| 3 |
Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.
|
| 4 |
Um weitere Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen auf Ereignisanzeige starten , um die Fehlerprotokolle anzuzeigen. |
Nächste Schritte
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.
Versehentlich gelöschte Benutzer wiederherstellen
Der Verzeichniskonnektor verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Die Funktion „Soft-Delete“ kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.
Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, beispielsweise aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung aus dem Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie einen nicht übereinstimmenden Objekthinweis sehen oder festgestellt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.
Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer bis zu 7 Tage lang bei. Während dieser Zeit können Sie weiterhin Cisco Directory Connector verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so bald wie möglich wiederherzustellen.
Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nach 7 Tagen nicht gelöscht.
| 1 | |
| 2 |
Wechseln Sie zu Benutzer und bestätigen Sie, ob sich ein bestimmtes Benutzerkonto im Status „Inaktiv“ befindet oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub. |
| 3 |
Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer im Status „Inaktiv“ bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Das Ziel mit Directory Connector ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu schaffen. |
| 4 |
Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten mit Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und Dienstzuweisungen. |
Nächste Schritte
Kehren Sie zu Control Hub zurück, gehen Sie zu und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.
Benutzer nach dem weichen Löschen dauerhaft löschen
Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung soft gelöscht wurden, dauerhaft löschen.
| 1 |
Wählen Sie nach Abschluss eines Probelaufs Weich gelöschte Objekte aus. |
| 2 |
Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten. |
| 3 |
Wählen Sie Fertig aus. |
Nächste Schritte
Bei der nächsten Synchronisierung werden die von Ihnen geprüften Benutzer dauerhaft gelöscht.
E-Mail-Adresse einer Webex-App ändern
Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren behandelt das Ändern der E-Mail-Adresse der Webex-App für eine einzelne Domäne und einen Prozess zum Ändern der Domäne.
Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto. Dabei gehen die Bereiche des Benutzers und andere Daten in der Cloud verloren.
Der Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch mit der Cloud resynchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung zu „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten.
Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre Webex-App-E-Mail-Adressen über die Seite mit den Kontoeinstellungen ändern. Unter E-Mail-Adresse für Ihr Konto ändern finden Sie Schritte, die Benutzer befolgen können, um ihre E-Mails zu ändern.
Active Directory-Domäne ändern
Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.
| 1 |
Richten Sie eine neue Active Directory (AD)-Domäne ein. |
| 2 |
Deaktivieren Sie die Synchronisierungen für all Ihre Konnektoren. |
| 3 |
Deinstallieren Sie alle Ihre Konnektoren. |
| 4 |
Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Fallübermittlung sicher, dass Sie die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall aufgelöst wurde. |
| 5 |
Nachdem der Fall behoben ist: Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen. |
Domänenanspruch
Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass ein Sideboarding-Konto in der zahlungspflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können eine Domäne nur über einen Support-Fall beanspruchen (weitere Informationen finden Sie unter dem folgenden Link).
Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, wie ein eingeladener Benutzer zu einem Webex-App-Bereich hinzugefügt werden kann, besteht darin, das Konto zunächst mithilfe des Directory Connectors in Control Hub bereitzustellen.
Benutzer der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis konvertieren
Sie können nur eindeutige E-Mail-Adressen im Webex-App-Verzeichnis verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App registriert haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Um Benutzer in dieser Organisation mithilfe des Verzeichniskonnektors zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie den Verzeichniskonnektor aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.
Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.
Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung konnte nicht konvertiert werden
angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.
Einige beanspruchte Benutzer werden bei einem Probelauf möglicherweise mit dem Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Gelöschte Objekte anstelle von Nicht übereinstimmendes Objekt angezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.
Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle in Ihrer Nähe gelöscht, die mit der Cloud synchronisiert werden.
| 1 |
Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector. |
| 2 |
Befolgen Sie das Verfahren Konvertieren von Benutzern ohne Lizenz in Control Hub , um den Benutzer von der kostenlosen Verbraucher-Organisation zur Enterprise-Organisation zu konvertieren. Bei diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind. |
| 3 |
Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und sich Konten nur in Control Hub befinden, wird bei Directory Connector die Groß- und Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, gehen alle ihre Webex-App-Bereiche verloren. |
| 4 |
Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren. |
Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die automatische Lizenzvorlage aktiviert und anschließend den Verzeichniskonnektor ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.
Sideboarding-Benutzerkonten für Webex-App
Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.
Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.
Benutzerformat der Webex-App nach der Verzeichnissynchronisierung ändern
Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.
Nach der Verzeichnissynchronisierung werden Benutzernamen möglicherweise im Format angezeigt.
Dieser Benutzername wird möglicherweise angezeigt, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud zu displayName zugeordnet wird, werden Namen in Control Hub im Format angezeigt.
So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) dem displayName in Cisco Cloud-Attributnamen zu.
Alternativ können Sie das Attribut sn givenName dem displayName zuordnen:
Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck displayName zuordnen möchten.
Geben Sie beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) als Ausdruck ein. Dadurch werden die beiden Attribute in Active Directory dem displayName in der Cloud zugeordnet.
Benutzer können Anzeigenamen in Webex Meetings ändern
Sie können die Zuordnung des displayName -Attributs der Synchronisierung mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern die Bearbeitung ihrer bevorzugten Anzeigenamen erlauben möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird, anstatt ihren Vor- und Nachnamen eingeben. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. |
| 2 |
Wählen Sie displayName unter Cisco Cloud-Attributname aus. |
| 3 |
Wählen Sie Dieses Attribut nicht synchronisieren aus. |
Nächste Schritte
Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.
Directory Connector – Problembehandlung
Upgrade auf die neueste Softwareversion
Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie kein Upgrade auf die neueste verfügbare Version durchführen, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische TLS 1.2-Anforderung nicht unterstützt.
Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.
Obwohl Sie Connector-Softwareaktualisierungen manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.
| 1 |
Klicken Sie in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten. |
| 2 |
Befolgen Sie die Anweisungen, um das Upgrade durchzuführen. |
| 3 |
Starten Sie den Connector neu, und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an. |
| 4 |
Überprüfen Sie die Versionsnummer der Software unter . |
Nächste Schritte
Für eine neue Installation von Directory Connector können Sie die ZIP-Datei herunterladen und dann die Installationsschritte in diesem Handbuch befolgen.
Konfigurieren von allgemeinen Einstellungen für Directory Connector
Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.
| 1 |
Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Allgemein. |
| 2 |
Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird. |
| 3 |
Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen:
Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf Fehler festlegen, werden nur Fehler im Synchronisierungsbericht gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“. Nach der vollständigen Synchronisierung erhalten Sie Synchronisierungsberichte. (Beachten Sie, dass für die inkrementelle Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.) |
| 4 |
Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen. |
| 5 |
Aktivieren Sie Automatisches Upgrade auf neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, dass Ihre Cisco Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind. |
| 6 |
Aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSL nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher. |
Connector-Richtlinie konfigurieren
Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.
Sie legen beispielsweise 1 als Schwellenwert für den Löschvorgang fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus. |
| 2 |
Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
|
| 3 |
Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20. Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen. |
| 4 |
Klicken Sie auf Übernehmen. |
Legen Sie den Connector-Zeitplan fest
Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Zeitplan aus. |
| 2 |
Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben. |
| 3 |
Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden. |
| 4 |
Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll. |
| 5 |
Geben Sie einen Wert für Failover-Intervall in Minuten an. |
| 6 |
Klicken Sie auf Übernehmen. |
Szenarien mit mehreren Domänen
Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.
Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.
Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.
Beispielanwendungen für mehrere Domänen
Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.
-
Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
-
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
-
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
-
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.
- Synchronisierung auf example1.com
-
Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.
Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.
User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.
- Synchronisierung für example1.com und example2.com
-
Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.
Stellen Sie sich das folgende Szenario vor:
- Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
- Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
- Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
- Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.
Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne
Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.
Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.
Domänenpriorität festlegen
Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.
Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.
Vorbereitungen
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie steht unter https://admin.webex.com zum Download bereit.
| 1 |
Klicken Sie im Cisco Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen. |
| 3 |
Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern. Die Domänen werden in absteigender Reihenfolge sortiert. |
Domäne wechseln
Mit diesem Verfahren können Sie den Cisco-Verzeichniskonnektor erneut an eine andere Domäne binden.
Vorbereitungen
-
Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
-
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie müssen sie über Control Hub herunterladen.
| 1 |
Klicken Sie im Cisco Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln. |
| 3 |
Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, die Registrierung anderer Domänen im Connector wird aufgehoben, und die Connector-Informationen auf diesem Computer werden gelöscht. |
| 4 |
Melden Sie sich erneut beim Cisco-Verzeichniskonnektor an, und binden Sie die Domäne erneut. |
Verzeichnissynchronisierung deaktivieren
Wenn Sie die Synchronisierung über den Verzeichniskonnektor beenden müssen, können Sie sie über Control Hub vorübergehend deaktivieren.
| 1 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:
|
| 2 |
Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten. Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren. |
Benutzerattributzuordnung entfernen
Verwenden Sie den Verzeichniskonnektor, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.
| 1 |
Klicken Sie in Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 3 |
Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus. |
| 4 |
Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus:
|
| 5 |
Klicken Sie auf Übernehmen. |
Profilbilder verwalten
Verwenden Sie den Verzeichniskonnektor, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.
| 1 |
Klicken Sie in Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 3 |
Wählen Sie unter Aktionen eine der folgenden Optionen aus:
|
| 4 |
Klicken Sie auf Übernehmen. |
Directory Connector deinstallieren und deaktivieren
Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:
-
Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
-
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
-
Sie möchten die Domäne ändern und einen anderen Connector installieren.
Vorbereitungen
-
Möglicherweise werden mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder Synchronisierung mit mehreren Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
-
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie den Directory Connector deinstallieren.
| 1 |
Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen. |
| 2 |
Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallieren aus und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen. |
| 3 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , blättern Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr |
| 4 |
Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren. Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung. |
Ausführen des Diagnosetools
Sie können das integrierte Diagnosetool verwenden, um Fehler bei der Directory Connector-Bereitstellung zu beheben. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.
Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.
-
So führen Sie Tests für Active Directory-Domänendienste aus:
-
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
-
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
Beheben von Problemen im Ciso Directory Connector
Fehlerbehebung und Fehlerbehebungen für den Directory Connector
Möglicherweise tritt eine Fehlermeldung oder ein anderes Problem im Directory Connector auf. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet der Connector Ihnen möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. Bevor Sie sich an den Support wenden, lesen Sie die folgenden Abschnitte über mögliche Probleme, mögliche Ursachen und vorgeschlagene Lösungen.
Installieren
Directory Connector funktioniert nicht mehr
Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber benachrichtigt wurden, dass Ihr Directory Connector nicht funktioniert.
-
Der Directory Connector ist möglicherweise nicht korrekt installiert.
-
Directory Connector wird möglicherweise nicht ausgeführt.
-
Das Netzwerk ist möglicherweise nicht verfügbar.
Gehen Sie wie folgt vor:
-
Öffnen Sie . Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
-
Öffnen Sie den Dienst und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status Gestartet angezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
-
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, über Internetzugang verfügt.
Fehler bei erneuter Installation
Problem: Wenn Sie sofort einen neuen Connector installieren, nachdem Sie einen alten deinstalliert haben, wird möglicherweise eine Fehlermeldung angezeigt.
Mögliche Ursache: In Windows Server 2012 benötigt der Client zur Deinstallation Zeit, um das Dienstkonto aus der Dienstliste zu löschen.
Lösung: Versuchen Sie die Installation nach einiger Zeit erneut.
Anmelden
Directory Connector stürzt bei der SSO-Anmeldung ab
Problem
Der Directory Connector kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.
Lösung
Gehen Sie wie folgt vor:
Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:
-
Wechseln Sie zum Domänencontroller und öffnen Sie Group Policy Management (gpedit.msc).
-
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne, und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
-
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie Bearbeiten aus.
Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:
-
Gehen Sie zu , klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
-
Geben Sie unter Key Path die Option HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
-
Geben Sie
Disable Script Debuggerfür Value undnofür Value data ein.Die Einstellungen sollten mit diesem Screenshot übereinstimmen:
Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:
-
Gehen Sie zu , klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
-
Geben Sie unter SchlüsselpfadHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
-
Geben Sie
Disable Script Debuggerfür Value undnofür Value data ein.Die Einstellungen sollten mit diesem Screenshot übereinstimmen:
Die Änderungen werden wirksam, nachdem Sie gpupdate /force ausgeführt haben, die Maschine neu gestartet wurde (bei Änderungen am Computer) oder sich der Benutzer erneut anmeldet (bei Änderungen am Benutzer).
Cisco DirSync Service Connector konnte nicht registriert werden
Problem
Anmeldung fehlgeschlagen, und die folgende Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“
Lösung
Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.
Die Seite „Keine Anmeldung“ wird angezeigt
Problem
Sie haben den Verzeichniskonnektor geöffnet und die Anmeldeseite wurde nicht angezeigt.
Lösung
Gehen Sie wie folgt vor:
-
Navigieren Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie den Link in anderen Browsern wie Chrome und Firefox.
-
Wenn Internet Explorer den Link nicht aufrufen kann, andere Browser dies jedoch können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren .)
Anmeldeaufforderung wird angezeigt
Problem
Es wird eine Aufforderung angezeigt, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu bestehen.
Mögliche Ursache
Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.
Lösung
Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Übergabe der Sicherheit bereitstellen.
Verbindung zum Remote-Server nicht möglich
Problem
Während des normalen Betriebs wird die Fehlermeldung „Keine Verbindung zum Remote-Server möglich“ angezeigt.
Mögliche Ursache
Möglicherweise gibt es Proxy-Probleme, die behoben werden müssen.
Lösung
Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung mit Dienstkonto beheben .
Konnektor kann nicht registriert werden.
Problem
Es wird die Fehlermeldung „Der Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“
Mögliche Ursache
In den meisten Fällen liegt das Problem darin, dass der Directory Connector keine Berechtigung für eine Verbindung mit dem LDAP-Stammkontext hat.
Lösung
Gehen Sie wie folgt vor:
-
Führen Sie eine Eingabeaufforderung (cmd) aus, und geben Sie ldp.exe ein.
-
Klicken Sie auf , wählen Sie Als aktuell angemeldeten Benutzer binden und klicken Sie dann auf OK.
-
Klicken Sie auf , geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.
-
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall beim Support.
Synchronisierung
Avatare nicht synchronisiert
Problem
Der Cisco Directory Connector hat die Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatar-Daten erfolgreich synchronisiert.
Mögliche Ursache
Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache diese und vermeidet es, erneut zu senden, um Bandbreite zu sparen.
Lösung
Führen Sie die folgenden Schritte aus, um den lokalen Cache zu löschen:
-
Gehen Sie zu C:\Programme (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Löschen DirSyncPluginAvatar.dll-cache.bin.
-
Führen Sie die Avatar-Synchronisierung über den Cisco-Verzeichniskonnektor erneut aus.
In Konflikt stehende Benutzer-E-Mail-Konten
Problem
Die Synchronisierungsergebnisse können in Konflikt stehende Benutzer-E-Mail-Konten anzeigen.
-
Wenn Benutzer die kostenlose Version der Webex-App versucht haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.
-
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
-
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.
Lösung
Gehen Sie wie folgt vor:
-
Befolgen Sie die folgenden Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
-
Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
-
Deaktivieren Sie Cisco Directory Connector vorübergehend.
-
Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucherorganisation vorhanden sein könnten. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
-
Probelauf im Cisco Directory Connector durchführen und die Verzeichnissynchronisierung anschließend erneut aktivieren
-
-
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen.
Konvertierter Benutzer als inaktiv markiert
Problem
In Ihrer verzeichnissynchronisierten Umgebung haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.
Mögliche Ursache
Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer als 30 Tage lang als inaktiv markiert, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des Zeitraums von 30 Tagen zur Löschung markiert. Diese Situation tritt auf, da sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.
Lösung
Sie müssen entsprechende Maßnahmen ergreifen, wenn das Benutzerkonto nicht gelöscht werden soll. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.
Inkrementelle Synchronisierung schlägt fehl
Problem
Eine inkrementelle Synchronisierung schlägt fehl.
Dieses Problem kann unter folgenden Bedingungen auf Windows Server 2008 R2 auftreten:
-
Sie unterstützen inkrementelle Wertaktualisierungen.
-
Der Filter, den Sie verwenden, referenziert ein verknüpftes Werteattribut.
-
Die Ergebniswerte dieses Attributs wurden seit der letzten Durchführung einer vollständigen Synchronisierung aktualisiert.
Lösung
Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihren Windows Server auf mindestens 2012 R2 zu aktualisieren.
Ungültiger Wert für Merkmal
Problem
Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].
Mögliche Ursache
Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.
Lösung
Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.
Übereinstimmende Benutzer zum Löschen
Problem
Die übereinstimmenden Benutzer werden als gelöscht markiert.
Wenn Sie einen Probelauf zur Überprüfung der Daten zwischen Active Directory und der Cloud durchführen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Systemen angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.
Lösung
Wählen Sie eine geeignete Lösung:
-
Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen danach zu wiederholen, können Sie den Directory Connector für die Behebung verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.
-
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Support-Fall.
Attribut fehlt
Problem
Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.
Mögliche Ursache
Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsbenutzer,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert aufweisen.
Lösung
Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.
Verschachtelte Gruppe wird nicht synchronisiert
Problem
Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.
Mögliche Ursache
Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Beispiel: (Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)
Lösung
Sie müssen den Filter, der Gruppen synchronisiert, neu konfigurieren. Beispiel: |(Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)(Mitglied=CN=testSubGroup,CN=Benutzer,DC=rktest2008,DC=org)
Konflikt bei Benutzerbenennung
Problem
Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und des Benutzertyps [user_type].
Mögliche Ursache
Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.
Lösung
Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.
Control Hub
Benutzerliste fehlt in Control Hub
Problem
Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird Ihnen die Benutzerliste in Control Hub möglicherweise nicht angezeigt.
Lösung
Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Wechseln Sie in Control Hub zu Benutzer, klicken Sie auf Suchen und geben Sie dann Suchkriterien ein, um nach einem bestimmten Benutzer zu suchen.
Gruppen werden nicht mit Control Hub synchronisiert
Problem
Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.
Mögliche Ursache
Die Gruppe ist in Active Directory nicht als isCriticalSystemObject markiert.
Lösung
Stellen Sie sicher, dass das Attribut isCriticalSystemObject in Active Directory auf TRUE gesetzt ist.
Problembehandlung für den Directory Connector aktivieren
Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.
Die Protokolldateien, die sind: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Führen Sie die Datei |
| 2 |
Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten. |
| 3 |
Klicken Sie im Directory Connector auf Dashboard. |
| 4 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 5 |
Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können. |
| 6 |
Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt. Der Protokollordner speichert nur Dateien für die letzten 3 Tage. Der Inhalt in den Protokolldateien entspricht der Ausgabe des Ereignisprotokolls für das System. |
| 7 |
Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten. |
| 8 |
Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind. |
Starten der Ereignisanzeige
Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.
| 1 |
Wechseln Sie aus dem Directory Connector zu Dashboard und klicken Sie auf . Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails. |
| 2 |
Wechseln Sie in der Ereignisanzeige zu .
|
| 3 |
Klicken Sie unter Aktionen auf Alle Events speichern unter , um alle Protokolle als einzelne Events-Datei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren. |
Nächste Schritte
Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und fügen Sie dann die Events-Datei an Ihren Fall an.
In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Hilfe bei der Verwaltung des Netzwerkdatenverkehrs zu erhalten.
TLS in Internet Explorer aktivieren
Wenn Sie Single Sign-On (SSO)-Anbieter gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:
-
Bei der Anmeldung am Dienst ist ein Fehler aufgetreten
-
Im Skript auf dieser Seite ist ein Fehler aufgetreten
Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.
| 1 |
Öffnen Sie Internet Explorer und wählen Sie Werkzeuge aus. Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die aktiviert werden soll. Klicken Sie auf OK. Schließen Sie den Browser und öffnen Sie ihn erneut. |
| 2 |
Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , und scrollen Sie zu Sicherheit. |
| 3 |
Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden , und klicken Sie auf OK.
|
| 4 |
Starten Sie das System neu, damit die Änderungen übernommen werden. |
Anmeldeprobleme für Dienstkonten beheben
Wenn Sie sich nicht beim Cisco Directory Connector anmelden können oder keine Synchronisierung durchführen können, versuchen Sie anhand der folgenden Schritte, das Problem zu beheben, bevor Sie sich an den Support wenden.
| 1 |
Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen. |
| 2 |
Wählen Sie je nach den Ergebnissen eine Option:
|
| 3 |
Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (das unter den Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar- und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung für das Windows-Anmeldekonto. |
Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung
Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.
Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.
Vorbereitungen
Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.
| 1 |
Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste. |
| 2 |
Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wählen Sie eine Option:
|
Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.
Übersicht über Cisco Directory Connector
Directory Connector – Übersicht
Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.
Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur zentralen Informationsquelle wird. Wenn Sie eine Änderung lokal vornehmen, wird diese in die Cloud kopiert.
In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:
| Funktion | Beschreibung und Vorteil |
|---|---|
| Benutzerfreundliches Dashboard | Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden. |
| Probelauf, bevor die Synchronisierung in die Cloud durchgeführt wird | Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor sie in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen. |
| Vollständige und inkrementelle Synchronisierung | Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen. |
|
Synchronisieren mehrerer Domänen (einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) |
Directory Connector unterstützt mehrere Domänen entweder in einer einzelnen Gesamtstruktur oder in mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Der Control Hub spiegelt den Status wider, indem er den Synchronisierungsstatus für mehrere Directory Connectors anzeigt. Damit können Sie die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Directory Connector in einer Hochverfügbarkeitsbereitstellung deaktivieren. |
| Geplante Synchronisierung | Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest. |
| LDAP-Filter (Lightweight Directory Access Protocol) | Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit. |
| Active Directory-Attributzuordnung | Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um die Cloud zuzuordnen. Die Attribute aus dem Standort bilden verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, Enteprise-Telefonnummern in Webex Teams, Raumressourcen-SIP-Adressen und andere Kontaktkartendaten des Benutzers (Stellenbezeichnung, Abteilung, Manager usw.). |
|
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung |
Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud-PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte haben, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten auf ihren Cisco Webex Calling (Cloud-PSTN)-Telefonen oder Raumressourcen durchsuchen.
|
| Ereignisanzeige | Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen. |
| Diagnose-Tool und Fehlerbehebung | Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können. |
| Automatisches Upgrade | Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird. |
| Hohe Verfügbarkeit | Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt. |
Directory Connector ist in drei Bereiche unterteilt:
-
Control Hub ist die zentrale Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und die Einzelanmeldung (SSO) konfigurieren, wenn Ihre Benutzer sich über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App versenden möchten.
-
Die Directory Connector-Verwaltungsoberfläche ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und die Directory Connector-Dienste zu konfigurieren.
-
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory ab, um sie mit dem Connector-Dienst und dem Directory Connector zu synchronisieren.
Weitere Informationen zur Directory Connector-Architektur finden Sie in diesem Diagramm:
Vorbereiten Ihrer Umgebung für den Directory Connector
Anforderungen für den Directory Connector
Windows- und Active Directory-Anforderungen
Sie können Directory Connector auf den folgenden unterstützten Windows-Servern installieren:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die das Fix enthält – Windows Server 2012 R2 oder 2016.
Directory Connector wird von den folgenden Active Directory-Diensten unterstützt:
-
Active Directory 2016
(Directory Connector wird bei Verwendung der neuesten Version von Active Directory unter Windows Server 2019 unterstützt)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Beachten Sie die folgenden zusätzlichen Anforderungen:
-
Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
-
.NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, folgen Sie den Anweisungen unter Aktivieren Sie .NET Framework 3.5 mit dem Assistenten zum Hinzufügen von Rollen und Funktionen.)
-
.NET Framework v.4.5 (erforderlich für TLS1.2)
-
-
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)
Hardware-Anforderungen
Sie müssen Directory Connector auf einem Computer installieren, auf dem die folgenden Mindestanforderungen an die Hardware erfüllt sind:
-
8 GB RAM
-
50 GB Speicherplatz
-
Keine Mindestanforderung für die CPU
Netzwerk-Anforderungen
Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS-Zugriff (Port 443) auf das Internet verfügt.
Anforderungen der Webex-Organisation
-
Um von Control Hub aus auf die Directory Connector-Software zugreifen zu können, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem bezahlten Abonnement.
-
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Ihnen, Folgendes zu tun:
-
Fügen Sie Domänen hinzu, überprüfen und optional beanspruchen Sie sie , die die E-Mail-Adressen der Benutzer enthalten, die Sie mit der Cloud synchronisieren möchten.
-
Integrieren Sie Ihren Identitätsanbieter (IdP) mit Ihrer Webex-Organisation durch die einmalige Anmeldung (Single Sign-On, SSO).
-
Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)
-
Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.
Installationsanforderungen
-
In einer Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
-
Für die Anmeldung beim Connector ist kein Administratorkonto in Active Directory erforderlich. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer wie ein Volladministratorkonto in Control Hub ist.
Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computeranmeldekonto sollte ein Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer sein. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
-
Während der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector für den Zugriff auf Active Directory das lokale Systemkonto. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
-
Stellen Sie sicher, dass der Suchmodus für die Windows Safe Dynamic Link Library (DLL) mit diesem Verfahren aktiviert ist: Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung.
-
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, sollten Sie Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Computern installieren.
Mehrere Domänenanforderungen
Bevor Sie den Aufgaben im Ablauf der Bereitstellungsaufgabe für den Cisco-Verzeichniskonnektor folgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:
-
Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
-
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
-
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.)
-
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , damit Ihre Organisation in eine große Organisationsliste verschoben wird.
-
Bei Bedarf können Sie Informationen zu Raumressourcen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.)
Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung
Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.
Active Directory enthält zwei Arten von Gruppen:
-
Verteilergruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
-
Sicherheitsgruppen: Wird verwendet, um Berechtigungen für geteilte Ressourcen zuzuweisen.
Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:
-
Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienstleistung (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex Licensing usw.).
-
Verwenden Sie organisationsübergreifende Standard-Benennungskonventionen, um die Identifizierung wichtiger Informationen über eine Gruppe zu erleichtern. Gruppennamen können Details zur Gruppe enthalten, z. B. die Zugriffsstufe, die Art der Ressource, die Sicherheitsstufe, den Gruppenumfang, die E-Mail-Funktion usw. Der Gruppenname „GSG_Webex_Licensing_EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
-
Organisieren Sie Gruppen auf leicht verständliche Weise, z. B. nach Geografie oder Hierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
-
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die automatische Lizenzgruppenvorlage in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für die automatische Lizenzzuweisung einrichten .
Informationen zur Größe
Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Alle Beschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.
Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:
-
Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsjob dauert nicht so lange wie 50000.)
-
Netzwerkgeschwindigkeit und Bandbreite.
-
Systemauslastung und Spezifikationen.
Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.
Da bei der Synchronisierung mehrere Faktoren beteiligt sind und jede Bereitstellung abhängig von den oben genannten Faktoren variiert, können wir keine spezifischen Zeitwerte angeben, die angeben, wie lange eine Objektsynchronisierung dauern wird.
Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung
Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.
Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.
Vorbereitungen
Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.
| 1 |
Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste. |
| 2 |
Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wählen Sie eine Option:
|
Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.
Webproxy-Integration
Webproxy-Integration
Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.
Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector stellt eine Verbindung her und synchronisiert die Benutzer.
Sie können einen der folgenden Ansätze verwenden:
-
Expliziter Webproxy über Internet Explorer (der Connector erbt die Webproxy-Einstellungen)
-
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
-
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert
Webproxy über den Browser verwenden
Sie können den Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.
Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,
| 1 |
Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus. |
| 2 |
Verweisen Sie die Windows-Instanz, auf die der Connector installiert ist, auf Ihren Webproxy. Der Connector erbt diese Webproxy-Einstellungen. |
| 3 |
Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:
Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann. |
| 4 |
Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:
Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss. |
Webproxy über eine PAC-Datei konfigurieren
Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und die Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.
| 1 |
Damit der Connector sich erfolgreich mit der Webex Cloud verbinden und die Benutzerinformationen synchronisieren kann, müssen Sie die Proxy-Authentifizierung für |
| 2 |
Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:
Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann. |
| 3 |
Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:
Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss. |
NTLM-Proxy
Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.
NTLM-Design
In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.
Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus aus Herausforderung
und Antwort
:
-
Ein Benutzer meldet sich über ein Windows-Konto und ein Kennwort auf einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines reinen Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hash-Wert mit dem Hash-Wert des eingegebenen Passworts. Wenn beide gleich sind, wird die Authentifizierung erfolgreich ausgeführt.
Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im reinen Textformat.
-
Wenn der Server die Anforderung erhält, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Herausforderung auf dem Server gespeichert. Anschließend sendet der Server die Aufforderung im reinen Textformat an den Client.
-
Sobald der Client die vom Server gesendete Challenge erhält, verschlüsselt der Client die Challenge mit dem in Schritt 1 genannten Hash-Wert. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
-
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet er ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: der Kontoname, die verschlüsselte Aufforderung, die der Client gesendet hat, und die ursprüngliche einfache Aufforderung.
-
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.
Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Dadurch müssen Sie keine weitere Konfiguration abschließen.
Transparenten Proxy konfigurieren
In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.
| 1 |
Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann. |
| 2 |
Bestätigen Sie, dass der Proxy erfolgreich ist: Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt. |
Proxy-Authentifizierung festlegen
Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.
Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:
| 1 |
Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist. |
| 2 |
Legen Sie eine geschätzte Bandbreite für diese Verbindung fest (ca. 2 MB/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich. |
| 3 |
Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie Beispiel: access-list 2000 acl-inside extended permit TCP [IP des Connectors] cloudconnector.webex.com eq https |
| 4 |
Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt. |
| 5 |
Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren. |
Verzeichniskonnektor bereitstellen
Ablauf der Bereitstellungsaufgabe des Cisco-Verzeichniskonnektors
Vorbereitungen
| 1 |
Verzeichniskonnektor installieren In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen. Für eine neue Installation von Directory Connector gehen Sie immer zu Control Hub ( https://admin.webex.com), um die neueste Version der Software abzurufen, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar. |
| 2 |
Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administrator-Anmeldeinformationen an und führen Sie die Ersteinrichtung durch. |
| 3 |
Automatische Upgrades festlegen Es ist immer wichtig, dass Ihre Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind. |
| 4 |
Active Directory-Objekte zum Synchronisieren auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen. |
| 5 |
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist die *uid. |
| 6 |
Synchronisieren Sie Verzeichnis-Avatare mit einem der folgenden Verfahren:
Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass der Avatar jedes Benutzers angezeigt wird, wenn er sich bei der Anwendung anmeldet. Sie können Avatare von einem Active Directory-Attribut oder einem Ressourcenserver synchronisieren. |
| 7 |
Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Webex Room-Gerät oder Cisco Webex Board angezeigt. |
| 8 |
Um Benutzer Aus Active Directory In Control Hub Bereitzustellen, führen Sie die folgenden Schritte aus:
Folgen Sie dieser Sequenz, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wald- oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen. |
Verzeichniskonnektor installieren
In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen.
Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf der Synchronisierung mit mehreren Domänen:
Vorbereitungen
Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen:
-
Für die Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxy-Konfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Webproxy Im Browser verwenden
-
Bei Proxy-NTLM wird Ihnen möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser.
| 1 |
Wechseln Sie in Control Hub zu und wählen Sie Weiter aus. |
| 2 |
Klicken Sie auf den Link Herunterladen und installieren, um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die .zip-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert. Holen Sie sich für eine Neuinstallation die neueste Version der Software, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar. |
| 3 |
Entpacken Sie die MSI-Datei auf dem VMware- oder Windows-Server und führen Sie sie im Setup-Ordner aus, um den Setup-Assistenten zu starten. |
| 4 |
Klicken Sie auf Weiter, aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Weiter, bis der Bildschirm „Kontotyp“ angezeigt wird. |
| 5 |
Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto durch:
Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind:
|
| 6 |
Klicken Sie auf Installieren. Geben Sie nach der Ausführung des Netzwerktests Ihre grundlegenden Proxy-Anmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertig stellen. |
Nächste Schritte
Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Während des Neustarts der Maschine werden alle Daten aktualisiert, um ein exaktes Ergebnis im Bericht anzuzeigen.
Bei Directory Connector anmelden
Vorbereitungen
Stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen.
-
Für die Proxy-Basic-Auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
-
Öffnen Sie für Proxy-NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen, stellen Sie sicher, dass die Informationen zum Proxy-Server hinzugefügt wurden, und klicken Sie auf OK. Siehe Verwenden eines Webproxys über den Browser.
| 1 |
Öffnen Sie den Connector und fügen Sie |
| 2 |
Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich dann mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter. |
| 3 |
Bestätigen Sie Ihre Organisation und Ihre Domäne.
|
| 4 |
Nachdem der Bildschirm Organisation bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Wenn Sie AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Organisation bestätigen angezeigt. |
| 5 |
Klicken Sie auf Bestätigen. |
| 6 |
Wählen Sie eine der folgenden Optionen aus, abhängig von der Anzahl der Active Directory-Domänen, die Sie an den Directory Connector binden möchten:
|
Nächste Schritte
Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.
Directory Connector-Dashboard
Wenn Sie sich zum ersten Mal beim Directory Connector anmelden, wird das Dashboard angezeigt. Hier können Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken anzeigen, einen Probelauf für die Synchronisierung durchführen, eine vollständige oder inkrementelle Synchronisierung starten und die Event-Ansicht starten, um Fehlerinformationen anzuzeigen.
Sie können diese Aufgaben einfach über die Symbolleiste oder das Menü „Aktionen“ ausführen.
|
Komponente |
Beschreibung |
|---|---|
|
Aktuelle Synchronisierung |
Zeigt die Statusinformationen zur laufenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige inaktiv. |
|
Nächste Synchronisierung |
Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Zeitplan festgelegt ist, wird Nicht angesetzt angezeigt. |
|
Letzte Synchronisation |
Zeigt den Status der letzten beiden durchgeführten Synchronisierungen an. |
|
Aktueller Synchronisierungsstatus |
Zeigt den Gesamtstatus der Synchronisierung an. |
|
Konnektoren |
Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind. |
|
Cloud-Statistik |
Zeigt den Gesamtstatus der Synchronisierung an. |
|
Synchronisierungszeitplan |
Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung an. |
|
Konfigurationszusammenfassung |
Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten:
|
| Aktion | Beschreibung |
|---|---|
| Inkrementelle Synchronisierung starten |
Inkrementelle Synchronisierung manuell starten Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn noch keine vollständige Synchronisierung abgeschlossen wurde oder wenn eine Synchronisierung läuft. |
|
Probelauf synchronisieren |
Führen Sie einen Probelauf für die Synchronisierung durch. |
|
Ereignisanzeige starten |
Starten Sie die Microsoft-Ereignisanzeige. |
|
Aktualisieren |
Aktualisieren des Cisco Directory Connector-Dashboards |
|
Aktion |
Beschreibung |
|---|---|
| Jetzt synchronisieren |
Starten Sie sofort eine vollständige Synchronisierung. |
|
Synchronisierungsmodus |
Wählen Sie entweder den inkrementellen oder den vollständigen Synchronisierungsmodus aus. |
|
Geheimschlüssel für Konnektor zurücksetzen |
Stellen Sie eine Unterhaltung zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Durch Auswahl dieser Aktion wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert. |
|
Probelauf |
Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung durchführen. |
|
Fehlerbehebung |
Aktivieren/deaktivieren Sie die Fehlerbehebung. |
|
Aktualisieren |
Aktualisieren Sie den Cisco Directory Connector-Hauptbildschirm. |
|
Beenden |
Beenden Sie den Cisco Directory Connector. |
|
Tastenkombination |
Aktion |
|---|---|
|
Alt +A |
Das Menü Aktionen anzeigen |
|
|
Jetzt synchronisieren |
|
|
Geheimschlüssel für Konnektor zurücksetzen |
|
|
Probelauf |
|
|
Inkrementelle Synchronisierung |
|
|
Vollständige Synchronisierung |
|
|
Menü Hilfe anzeigen |
|
|
Hilfe |
|
|
Info |
|
|
häufig gestellte Fragen |
Automatische Upgrades festlegen
| 1 |
Wechseln Sie im Directory Connector zu und aktivieren Sie die Option Automatisch auf neue Cisco Directory Connector-Version aktualisieren. |
| 2 |
Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern. |
Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.
Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion.
Active Directory-Objekte zum Synchronisieren auswählen
Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.
Gruppen für die automatische Lizenzzuweisung
Mit Control Hub können Sie Lizenzzuweisungen auf Gruppenbasis verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Beim Erstellen eines Benutzers überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.
Wir empfehlen, einen LDAP-Filter zu verwenden, um nur relevante Gruppen mit der Cloud zu synchronisieren. Beispielsweise können Sie den Filter auf:
(&(cn=Beispiel)(objectclass=Gruppe))*
Dieser Filter synchronisiert alle Gruppen innerhalb des Basis-DN, bei dem der Name mit „Beispiel“ beginnt. Benutzern, die keinen Gruppen zugewiesen sind, werden Lizenzen über die automatische Standardlizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.
Gruppen für Hybrid-Datensicherheitsbereitstellungen
Im Directory Connector müssen Sie Gruppen aktivieren, wenn Sie Hybrid-Datensicherheit zum Konfigurieren einer Testgruppe für Pilotbenutzer verwenden. Anleitungen finden Sie im Bereitstellungsleitfaden für Hybrid-Datensicherheit. Diese Verzeichniskonnektor-Einstellung wirkt sich nicht auf die Synchronisierung anderer Benutzer in der Cloud aus.
| 1 |
Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl. |
| 2 |
Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und erwägen Sie, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die zur Beispiel-Manager-Gruppe gehören, verwenden Sie einen Filter wie diesen:
|
| 3 |
Aktivieren Sie das Kontrollkästchen Raum identifizieren, um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen, wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie lokale Rauminformationen von Active Directory mit der Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud. |
| 4 |
Aktivieren Sie Gruppen, wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie keinen LDAP-Filter für die Benutzersynchronisierung zum Feld „Gruppen“ hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren. Gruppen werden standardmäßig nicht für neue Kunden synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren. |
| 5 |
Aktivieren Sie Kontakte, wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten. Der Verzeichniskonnektor verwaltet nur Kontakte, die vom Konnektor synchronisiert wurden. Wenn bereits Kontakte in Control Hub vorhanden sind, werden die Kontakte durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsumfang entfernt werden, werden auch die Kontaktinformationen der Benutzer in Control Hub entfernt. |
| 6 |
Konfigurieren Sie die LDAP-Filter. Sie können erweiterte Filter hinzufügen, indem Sie einen gültigen LDAP-Filter bereitstellen. Weitere Informationen zum Konfigurieren von LDAP-Filtern finden Sie in diesem Artikel. |
| 7 |
Geben Sie die zu synchronisierenden lokalen Basis-DNs an, indem Sie auf Auswählen klicken, um die Baumstruktur Ihres Active Directory anzuzeigen. Von hier aus können Sie auswählen, welche Container gesucht werden sollen. |
| 8 |
Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten, und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container zur Synchronisierung auswählen. Wählen Sie einen übergeordneten Container aus, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird im übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container aktiviert wurde. Sie können dann auf Auswählen klicken, um die von Ihnen ausgewählten Active Directory-Container zu akzeptieren. Wenn Ihre Organisation alle Benutzer und Gruppen im Benutzer-Container platziert, müssen Sie keine anderen Container durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, stellen Sie sicher, dass Sie OUs auswählen. |
| 9 |
Klicken Sie auf Übernehmen. Wählen Sie eine Option:
Informationen zu Probeläufen finden Sie unter Durchführen einer Probelauf-Synchronisierung für Ihre Active Directory-Benutzer. Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen. |
Benutzerattribute zuordnen
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.
Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll – Sie können beispielsweise firstName lastName in Active Directory oder einen benutzerdefinierten Attributausdruck displayName in der Cloud zuordnen.
Konten in Active Directory müssen über eine E-Mail-Adresse verfügen; die uid wird standardmäßig dem Feld ad der E-Mail zugeordnet (nicht sAMAccountName).
Wenn Sie festlegen, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, ist Active Directory die einzige Informationsquelle: Benutzer können ihre Spracheinstellung in den Webex-Einstellungen nicht ändern, und Administratoren können die Einstellung in Control Hub nicht ändern.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet. |
| 2 |
Scrollen Sie zum Ende der Active Directory-Attributnamen und wählen Sie dann eines der folgenden Active Directory-Attribute aus, um das Cloud-Attribut uid zuzuordnen:
Sie können beliebige andere Active Directory-Attribute der uid zuordnen. Wir empfehlen jedoch, „mail“ oder „userPrincipalName“ zu verwenden, wie in den obigen Richtlinien beschrieben. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, mit welchen Attributen in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen im Directory Connector. Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen ausgewählte Active Directory-Attribut im E-Mail-Format vorliegt. Der Verzeichniskonnektor zeigt ein Popup-Fenster an, das Sie daran erinnert, wenn Sie eines der empfohlenen Attribute nicht auswählen. |
| 3 |
Wenn die vordefinierten Active Directory-Attribute in Ihrer Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können. Klicken Sie auf Hilfe, um weitere Informationen zu den Ausdrücken zu erhalten und Beispiele für die Funktionsweise von Ausdrücken anzuzeigen. Weitere Informationen finden Sie auch unter Ausdrücke für angepasste Attribute. Ordnen wir in diesem Beispiel die Active Directory-Attribute
Der Directory Connector überprüft den Attributwert von uid im Identitätsdienst und ruft 3 verfügbare Benutzer unter den aktuellen Benutzerfilteroptionen ab. Wenn alle diese 3 Benutzer ein gültiges E-Mail-Format haben, zeigt der Cisco Directory Connector die folgende Meldung an:
Wenn das Attribut nicht verifiziert werden kann, wird die folgende Warnung angezeigt und Sie können zu Active Directory zurückkehren, um die Benutzerdaten zu überprüfen und zu korrigieren:
|
| 4 |
(Optional) Wählen Sie Zuordnungen für Mobilgeräte und Telefonnummer aus, wenn Mobil- und Geschäftsnummern angezeigt werden sollen, beispielsweise in der Kontaktkarte des Benutzers in der Webex-App. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt. Weitere Informationen zu Anrufen über die Kontaktkarte eines Benutzers finden Sie im Bereitstellungshandbuch für Anrufe in Webex (Unified CM) (Administratoren). |
| 5 |
Wählen Sie zusätzliche Zuordnungen aus, um weitere Daten in der Kontaktkarte anzuzeigen:
Nach der Zuordnung der Attribute werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt:
Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren. Nachdem diese Attribute mit den einzelnen Benutzerkonten synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Benutzer der Webex-App mehr Informationen in ihren Profilen teilen und mehr voneinander erfahren. Weitere Informationen zur Funktion und zum Aktivieren finden Sie unter Profile für „People Insights“ für Webex, Jabber, Webex Meetings und Webex Events (Neu) in Control Hub. |
| 6 |
Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie auf Übernehmen. |
Alle in Active Directory enthaltenen Benutzerdaten überschreiben die diesem Benutzer entsprechenden Daten in der Cloud. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Alle Benutzer ohne entsprechende E-Mail-Adresse in Active Directory werden gelöscht.
Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.
Active Directory- und Cloud-Attribute
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattributzuordnung verwenden.
In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Verzeichniskonnektor. Sie können in den Dropdown-Menüs des Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloudattribut synchronisiert wird.
Betrachten Sie die Dropdown-Attribute als Voreinstellungen. Als Alternative zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory angeben (ein Ausdruck mit mehreren Attributen), um ein einzelnes Cloudattribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise haben Sie die Flexibilität, die Anzeigenamen Ihrer Benutzer zu bestimmen. Sie können beispielsweise einen Ausdruck hinzufügen, der basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory ein angepasstes Attribut erstellt.
Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.
Sie können auch alternative E-Mail-Adressen verwenden, z. B. wenn Sie den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall dem Attribut emails;type-work eine andere E-Mail-Adresse zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.
|
Active Directory-Attributnamen |
Webex-Cloud-Attributnamen |
Anmerkungen |
|---|---|---|
|
— |
Gebäudename |
— |
|
c |
c |
Dieses Attribut gibt die Länderabkürzung des Benutzers an. |
|
Abteilungsnummer |
Abteilungsnummer |
Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die auf der Kontaktkarte und People Insights angezeigt wird. |
|
Anzeigename |
Anzeigename |
Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird. |
|
BenutzerAccountControl |
ds-pwp-konto-deaktiviert |
Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist, andernfalls werden die Benutzer nicht ordnungsgemäß synchronisiert. |
|
Mitarbeiternummer |
Mitarbeiternummer |
— |
|
FaxTelefonnummer |
FaxTelefonnummer |
— |
|
— |
Jabber-ID |
Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert ist nicht identisch mit sipAddresses. |
|
l |
l |
Dieses Attribut gibt die Stadt des Benutzers an. |
|
— |
Ländereinstellung |
— |
|
Manager |
Manager |
Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der auf der Kontaktkarte und People Insights angezeigt wird. |
|
Mobil |
Mobil |
Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen. |
|
o |
o |
Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird auf der Kontaktkarte angezeigt. |
|
Ou |
Ou |
Dieses Attribut gibt den Namen der Organisationseinheit an. |
|
physischeLieferungBüroName |
physischeLieferungBüroName |
Dieses Attribut gibt den Bürostandort des Benutzers an. |
|
Postleitzahl |
Postleitzahl |
Dieses Attribut gibt die Postleitzahl des Benutzers für die physische Postzustellung an. |
|
bevorzugteSprache |
bevorzugteSprache |
Dieses Attribut legt die bevorzugte Sprache des Benutzers fest. Es werden die folgenden Formate unterstützt: xx_YY oder xx-YY. Hier einige Beispiele: de_US, de_GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format verwenden, wird die bevorzugte Sprache des Benutzers zur für die Organisation festgelegten Sprache geändert. |
|
MSRTCSIP-PrimäreBenutzeradresse IP-Telefon |
SIP-Adressen;type=Unternehmen |
Dieses Attribut wird verwendet, um lokale Rauminformationen aus Active Directory mit der Cisco Webex-Cloud zu synchronisieren. |
|
sn |
sn |
Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird. |
|
st |
st |
Dieses Attribut gibt das Bundesland des Benutzers an. |
|
Straßenadresse |
Straße |
Dieses Attribut gibt die Postanschrift des Benutzers für die physische Postzustellung an. |
|
Telefonnummer |
Telefonnummer |
Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die zum Anrufen des Benutzers über die Kontaktkarte verwendet wird. |
|
— |
Zeitzone |
Dieses Cloudattribut gibt die Zeitzone des Benutzers an. |
|
Titel |
Titel |
Dieses Attribut gibt den Titel des Benutzers an, der auf der Kontaktkarte und People Insights angezeigt wird. |
|
Typ |
Unternehmen |
— |
|
*userPrincipalName |
UID |
Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann sich dann mit einer dieser E-Mail-Adressen anmelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen dazu, wie Sie eine alternative E-Mail-Adresse zuordnen können, finden Sie im Beispiel-Attributzuordnung unten. |
|
*userPrincipalName <benutzerdefiniertes Attribut> |
E-Mails;Arbeit eingeben |
Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein. |
|
<Neues Attribut für Azure-Benutzer objectId> |
externe ID |
Erstellen Sie ein neues Active Directory-Attribut, um die Objekt-ID des Azure-Benutzers zu speichern, damit sie nicht mit einem vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen. |
Alternative E-Mail-Adresszuordnung
Ausdrücke für angepasste Attribute
|
Vermittler |
Beschreibung und Beispiel |
|---|---|
|
% |
Entfernt alle Zeichen vom Anfang bis zur Position des Zeichens oder des String-Arguments, falls diese übereinstimmen.
|
|
- |
Entfernt die Rückseite der Eingabezeichenfolge vom Ende der angegebenen Zeichenfolge.
|
|
+ |
Verkettet Eingabezeichenfolgen oder Ausdrücke.
|
|
| |
Evaluiert die getrennten Ausdrücke anhand einer leeren Zeichenkette und wählt das erste nicht-leere Ergebnis aus.
|
Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud
Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit diesem Verfahren können Sie Avatarrohdaten aus einem Active Directory-Attribut synchronisieren.
| 1 |
Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren. |
| 2 |
Wählen Sie für Avatar abrufen von die Option AD-Attribut und anschließend das Avatar-Attribut aus, das die Avatar-Rohdaten enthält, die Sie mit der Cloud synchronisieren möchten. |
| 3 |
Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar des Benutzers abrufen. Der Avatar wird rechts angezeigt. |
| 4 |
Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern. |
-
Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
-
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.
Nächste Schritte
Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.
Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud
Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit dieser Prozedur können Sie Avatare von einem Ressourcenserver synchronisieren.
Vorbereitungen
-
Das URI-Muster und der Variablenwert in dieser Prozedur sind Beispiele. Sie müssen tatsächliche URLs verwenden, unter denen sich Ihre Verzeichnis-Avatare befinden.
-
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht öffentlich im Internet zugänglich sein.
-
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass auf Avatar-Daten über die NTLM-Authentifizierung oder die Basic-Auth zugegriffen werden kann.
| 1 |
Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren. |
| 2 |
Wählen Sie unter Avatar abrufen von die Option Ressourcenserver aus, und geben Sie das Avatar-URI-Muster ein – zum Beispiel Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten:
|
| 3 |
(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen benötigt, aktivieren Sie die Option Benutzeranmeldeinformationen für Avatar festlegen. Wählen Sie anschließend Aktuellen Service-Anmeldebenutzer verwenden oder Diesen Benutzer verwenden aus, und geben Sie das Passwort ein. |
| 4 |
Geben Sie den Variablenwert ein, zum Beispiel: |
| 5 |
Klicken Sie auf Test, um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. Wenn in diesem Beispiel der E-Mail-Wert für einen AD-Eintrag |
| 6 |
Nachdem die URI-Informationen überprüft wurden und korrekt angezeigt wurden, klicken Sie auf Übernehmen. Detaillierte Informationen zur Verwendung regulärer Ausdrücke finden Sie in der Microsoft Regular Expression Language Quick Reference . |
-
Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
-
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.
Nächste Schritte
Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.
Synchronisieren von lokalen Rauminformationen mit der Webex Cloud
Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Webex-Geräten (Room, Desk und Board) angezeigt.
| 1 |
Wechseln Sie aus dem Directory Connector zu Synchronisieren, klicken Sie auf Mehr |
| 2 |
Aktivieren Sie das Kontrollkästchen Rauminformationen mit Cloud synchronisieren, um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf die gleiche Weise behandelt wie synchronisierte Benutzerdaten. |
| 3 |
Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=enterprise. Um die Wertevalidierung zu verwenden, sollte der Wert der SIP-Adresse Pattern.compile("^([^@])(.*)@(.*)$") lauten.
|
| 4 |
Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann zum Identifizieren von Räumen verwendet.
|
| 5 |
Navigieren Sie von Active Directory-Benutzern und -Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den vollständig qualifizierten SIP-URI mit dem Präfix sip hinzu:
|
| 6 |
Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden Objekte hinzugefügt aufgelistet, und übereinstimmende Raumobjekte werden im Probelauf-Bericht unter Übereinstimmende Objekte angezeigt. Alle Raumobjekte, die zum Löschen markiert sind, finden Sie unter Räume gelöscht.
In den Ergebnissen des Probelaufs werden alle abgestimmten Raumressourcen angezeigt.
Diese Einstellung trennt die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.
|
Nächste Schritte
Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Cloud registrierten Webex-Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde.
Über Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.
Der Endpunkt kann einen Rückruf nicht an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte lokal oder an einem anderen Ort als der Webex-App als SIP URI registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, dem Schreibtischgerät oder dem Webex Board für den Kalenderdienst befindet, wird der doppelte Eintrag in den Suchergebnissen nicht angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App angerufen und es wird kein SIP-Anruf getätigt.
E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisation senden
Standardmäßig erhalten die Organisationskontakte oder Administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen mit einer Zusammenfassung der Verzeichnissynchronisierungsberichte erhalten soll.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benachrichtigung aus. |
| 2 |
Klicken Sie im Directory Connector auf Einstellungen und aktivieren Sie neben E-Mail-Empfänger die Option Synchronisierung des Berichts aktivieren. |
| 3 |
Aktivieren Sie Benachrichtigung aktivieren, wenn Sie das Standard-Benachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten. |
| 4 |
Klicken Sie auf Hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können. |
| 5 |
Klicken Sie auf E-Mail hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können. |
| 6 |
Wenn Sie eingegebene E-Mail-Adressen bearbeiten müssen, doppelklicken Sie auf den E-Mail-Eintrag in der linken Spalte, und nehmen Sie dann die gewünschten Änderungen vor. |
| 7 |
Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Übernehmen. |
| 8 |
Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Speichern. |
Nächste Schritte
Wenn Sie festgelegt haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und klicken Sie dann auf Entfernen.
Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.
Bereitstellen von Benutzern Aus Active Directory In Control Hub
Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (entweder mit einer einzelnen Gesamtstruktur oder mit mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.
| 1 |
Durchführen eines Probelaufs für die Active Directory-Benutzer Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen. |
| 2 |
Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen. |
| 3 |
Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen auf verschiedene Weise zuweisen. Wir empfehlen Ihnen, eine Lizenzvorlage für die automatische Zuweisung einzurichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen. |
Durchführen eines Probelaufs für die Active Directory-Benutzer
Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.
Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel des Directory Connector ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud herzustellen.
Wenn Sie in einer oder mehreren Gesamtstrukturen mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.
Vorbereitungen
Möglicherweise befinden sich bereits einige Webex-App-Benutzer in Control Hub, bevor Sie den Verzeichniskonnektor verwendet haben. Einige der Benutzer in der Cloud können mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es können jedoch Testbenutzer sein, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Active Directory und Control Hub erstellen.
| 1 |
Eine Option auswählen:
Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt:
Die Zusammenfassung enthält Informationen über die Objektabgleich:
Der Probelauf identifiziert die Benutzer, indem er sie mit Domänenbenutzern vergleicht. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten möchten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory. |
| 2 |
Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option aus, je nachdem, ob Sie eine einzelne oder mehrere Domänen verwenden:
|
| 3 |
Klicken Sie in der Aufforderung Probelauf bestätigen auf Ja, um die Synchronisierung des Probelaufs erneut durchzuführen und das Dashboard anzuzeigen, um die Ergebnisse anzuzeigen. Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter Übereinstimmende Objekte angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Um die Details der synchronisierten Elemente anzuzeigen, klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched. Um die Zusammenfassungsinformationen zu speichern, klicken Sie auf Ergebnisse in Datei speichern. |
| 4 |
Wenn die Ergebnisse erwartet werden, gehen Sie zu und klicken Sie dann auf Jetzt aktivieren, um eine manuelle Synchronisierung durchzuführen und an diesem Punkt in den manuellen Modus zu versetzen. Nachdem Sie eine Synchronisierung mit der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte zwischen der Webex-Cloud und allen lokalen Active Directories vollständig übereinstimmen. |
Nächste Schritte
-
Alle nicht übereinstimmenden Benutzerobjekte, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen lokaler und Cloud-Umgebung besteht.
-
Wählen Sie einen Synchronisierungstyp:
-
Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben.
-
Wenn Sie über mehrere Domänen verfügen, wiederholen Sie diese Schritte auf einem anderen Directory Connector, den Sie installiert haben.
Zu beachtende Punkte
-
Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisation dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeberichte überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.
-
Wenn übereinstimmende Benutzer als gelöscht markiert sind und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und wenden Sie sich an den Support unter Fehlerbehebung und Fehlerbehebungen für Directory Connector.
Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.
Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen
Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
Wenn Sie über mehrere Domänen verfügen, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.
Directory Connector synchronisiert den Benutzerkontostatus: In Active Directory werden als deaktiviert gekennzeichnete Benutzer in der Cloud als inaktiv angezeigt.
Vorbereitungen
-
Wenn sich die Webex-App-Benutzerkonten nach der vollständigen Synchronisierung im Status „Aktiv“ befinden sollen, bevor sich die Benutzer zum ersten Mal anmelden, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:
-
Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Siehe
Einmalige Anmeldung mit Cisco Webex-Diensten und dem Identitätsanbieter Ihrer Organisation
um mehr zu erfahren. -
Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe
Hinzufügen, Überprüfen und Beanspruchen von Domänen
. -
Automatische E-Mail-Einladungen unterdrücken, sodass neue Benutzer die automatische E-Mail-Einladung zur Webex-App nicht erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
Aktivierte Benutzer, die sich nicht angemeldet haben, werden in Control Hub mit dem Status Verifiziert angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub.
-
-
Wenn Sie die Synchronisierung aktivieren, werden Sie vom Verzeichniskonnektor zuerst aufgefordert, einen Probelauf durchzuführen. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu ermitteln.
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Wenn Sie keine Lizenzvorlagen für die automatische Zuweisung verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie können dieselben kostenlosen Funktionen wie Benutzer mit kostenlosen Konten verwenden.
| 1 |
Eine Option auswählen:
|
| 2 |
Wechseln Sie im Directory Connector zu Synchronisieren, klicken Sie auf Mehr |
| 3 |
Bestätigen Sie den Start der Synchronisierung. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch bis zu 72 Stunden nach der Synchronisierung angezeigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
|
| 4 |
Klicken Sie auf Aktualisieren, wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik angezeigt.) |
| 5 |
Wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um weitere Informationen zu Fehlern zu erhalten, um die Fehlerprotokolle anzuzeigen. |
| 6 |
Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen mit der Cloud finden Sie unter Festlegen des Connector-Zeitplans und Ausführen einer inkrementellen Synchronisierung. |
-
Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung auf der Seite Einstellungen in Control Hub von Deaktiviert zu Betriebsbereit aktualisiert.
-
Wenn alle Daten zwischen lokaler und Cloud-Umgebung abgeglichen werden, wechselt der Verzeichniskonnektor vom manuellen Modus in den automatischen Synchronisierungsmodus.
-
Sofern Sie die Einzelanmeldung nicht integrieren, Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben und automatische E-Mails unterdrücken, bleiben die Benutzerkonten der Webex-App im Status „Nicht verifiziert“, bis sich die Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Eine Anleitung zur Synchronisierung der Konten als aktive Benutzer finden Sie im Abschnitt „Vorbereitungen“.
-
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf einem anderen installierten Directory Connector aus. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
-
Wenn Sie Single Sign-On in Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
-
Sie können Benutzer in Control Hub nicht manuell hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung wird die Benutzerverwaltung über den Cisco-Verzeichniskonnektor durchgeführt, und Active Directory ist die zentrale Informationsquelle.
-
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.
Nächste Schritte
-
Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung soft gelöscht. Der Benutzer wird inaktiv, aber das Cloud-Identitätsprofil wird sieben Tage lang beibehalten (um eine Wiederherstellung nach einer versehentlichen Löschung zu ermöglichen).
Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer nach der nächsten Synchronisierung inaktiv. Das Cloud-Identitätsprofil wird nach sieben Tagen nicht gelöscht, falls Sie den Benutzer erneut aktivieren möchten.
-
Beachten Sie diese Ausnahmen bei einer inkrementellen Synchronisierung (befolgen Sie stattdessen die obigen vollständigen Synchronisierungsschritte):
-
Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
-
Konfigurationsänderungen bei der Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.
-
Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen
Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco-Verzeichniskonnektor mit Control Hub abgeschlossen haben, können Sie mit Control Hub allen Ihren Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.
Nachdem Sie die vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Methoden in Control Hub verwenden, um all Ihren Benutzern – einzelnen Benutzern – über die CSV-Massenvorlage global Webex-Dienstlizenzen zuzuweisen oder neuen Benutzern automatisch zuzuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.
Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken, wenn Sie Ihre Benutzer direkt kontaktieren möchten.
Vorbereitungen
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
-
Führen Sie einen Probelauf für die Synchronisierung der Active Directory-Benutzer durch.
-
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung mit Ihren Active Directory-Benutzern durch.
Bei der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und es wird keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine Standard-Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreiches automatisches Abschließen der Zuweisung.
| 1 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , klicken Sie auf Benutzer verwalten, wählen Sie Alle synchronisierten Benutzer ändern und klicken Sie dann auf Weiter. |
| 2 |
Wählen Sie eine Option: |
Nächste Schritte
-
Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung gesendet, um Webex beizutreten und herunterzuladen.
-
Wenn Sie für alle Benutzer dieselben Webex-Dienste ausgewählt haben, können Sie anschließend die zugewiesene Lizenz einzeln oder gesammelt ändern.
Bekannte Probleme mit dem Directory Connector
-
Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das sich auf den Directory Connector auswirkt. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
-
Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.
Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
-
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, läutet der Anruf zu diesem Zeitpunkt unbegrenzt.
Benutzer der Webex-App verwalten
Durchführen einer inkrementellen Synchronisierung
Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen die Änderung der Attribution für Benutzer sowie den Zeitpunkt, zu dem ein Benutzer hinzugefügt oder gelöscht wird.
Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie die ursprüngliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.
Vorbereitungen
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
-
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen ):
-
Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
-
Bei neuen Konfigurationsänderungen für die Attributzuordnung, Basis-DN, Filter und die Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und erfordert eine vollständige Synchronisierung.
-
| 1 |
Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen. |
| 2 |
Klicken Sie unter Aktionen auf Synchronisierungsmodus > Synchronisierung aktivieren , falls dies noch nicht geschehen ist. Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen anhand des letzten Zeitstempels. |
| 3 |
Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.
|
| 4 |
Um weitere Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen auf Ereignisanzeige starten , um die Fehlerprotokolle anzuzeigen. |
Nächste Schritte
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.
Versehentlich gelöschte Benutzer wiederherstellen
Der Verzeichniskonnektor verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Die Funktion „Soft-Delete“ kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.
Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, beispielsweise aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung aus dem Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie einen nicht übereinstimmenden Objekthinweis sehen oder festgestellt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.
Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer bis zu 7 Tage lang bei. Während dieser Zeit können Sie weiterhin Cisco Directory Connector verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so bald wie möglich wiederherzustellen.
Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nach 7 Tagen nicht gelöscht.
| 1 | |
| 2 |
Wechseln Sie zu Benutzer und bestätigen Sie, ob sich ein bestimmtes Benutzerkonto im Status „Inaktiv“ befindet oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub. |
| 3 |
Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer im Status „Inaktiv“ bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Das Ziel mit Directory Connector ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu schaffen. |
| 4 |
Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten mit Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und Dienstzuweisungen. |
Nächste Schritte
Kehren Sie zu Control Hub zurück, gehen Sie zu und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.
Benutzer nach dem weichen Löschen dauerhaft löschen
Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung soft gelöscht wurden, dauerhaft löschen.
| 1 |
Wählen Sie nach Abschluss eines Probelaufs Weich gelöschte Objekte aus. |
| 2 |
Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten. |
| 3 |
Wählen Sie Fertig aus. |
Nächste Schritte
Bei der nächsten Synchronisierung werden die von Ihnen geprüften Benutzer dauerhaft gelöscht.
E-Mail-Adresse einer Webex-App ändern
Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren behandelt das Ändern der E-Mail-Adresse der Webex-App für eine einzelne Domäne und einen Prozess zum Ändern der Domäne.
Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto. Dabei gehen die Bereiche des Benutzers und andere Daten in der Cloud verloren.
Der Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch mit der Cloud resynchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung zu „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten.
Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre Webex-App-E-Mail-Adressen über die Seite mit den Kontoeinstellungen ändern. Unter E-Mail-Adresse für Ihr Konto ändern finden Sie Schritte, die Benutzer befolgen können, um ihre E-Mails zu ändern.
Active Directory-Domäne ändern
Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.
| 1 |
Richten Sie eine neue Active Directory (AD)-Domäne ein. |
| 2 |
Deaktivieren Sie die Synchronisierungen für all Ihre Konnektoren. |
| 3 |
Deinstallieren Sie alle Ihre Konnektoren. |
| 4 |
Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Fallübermittlung sicher, dass Sie die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall aufgelöst wurde. |
| 5 |
Nachdem der Fall behoben ist: Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen. |
Domänenanspruch
Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass ein Sideboarding-Konto in der zahlungspflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können eine Domäne nur über einen Support-Fall beanspruchen (weitere Informationen finden Sie unter dem folgenden Link).
Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, wie ein eingeladener Benutzer zu einem Webex-App-Bereich hinzugefügt werden kann, besteht darin, das Konto zunächst mithilfe des Directory Connectors in Control Hub bereitzustellen.
Benutzer der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis konvertieren
Sie können nur eindeutige E-Mail-Adressen im Webex-App-Verzeichnis verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App registriert haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Um Benutzer in dieser Organisation mithilfe des Verzeichniskonnektors zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie den Verzeichniskonnektor aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.
Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.
Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung konnte nicht konvertiert werden
angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.
Einige beanspruchte Benutzer werden bei einem Probelauf möglicherweise mit dem Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Gelöschte Objekte anstelle von Nicht übereinstimmendes Objekt angezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.
Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle in Ihrer Nähe gelöscht, die mit der Cloud synchronisiert werden.
| 1 |
Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector. |
| 2 |
Befolgen Sie das Verfahren Konvertieren von Benutzern ohne Lizenz in Control Hub , um den Benutzer von der kostenlosen Verbraucher-Organisation zur Enterprise-Organisation zu konvertieren. Bei diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind. |
| 3 |
Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und sich Konten nur in Control Hub befinden, wird bei Directory Connector die Groß- und Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, gehen alle ihre Webex-App-Bereiche verloren. |
| 4 |
Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren. |
Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die automatische Lizenzvorlage aktiviert und anschließend den Verzeichniskonnektor ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.
Sideboarding-Benutzerkonten für Webex-App
Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.
Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.
Benutzerformat der Webex-App nach der Verzeichnissynchronisierung ändern
Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.
Nach der Verzeichnissynchronisierung werden Benutzernamen möglicherweise im Format angezeigt.
Dieser Benutzername wird möglicherweise angezeigt, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud zu displayName zugeordnet wird, werden Namen in Control Hub im Format angezeigt.
So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) dem displayName in Cisco Cloud-Attributnamen zu.
Alternativ können Sie das Attribut sn givenName dem displayName zuordnen:
Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck displayName zuordnen möchten.
Geben Sie beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) als Ausdruck ein. Dadurch werden die beiden Attribute in Active Directory dem displayName in der Cloud zugeordnet.
Benutzer können Anzeigenamen in Webex Meetings ändern
Sie können die Zuordnung des displayName -Attributs der Synchronisierung mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern die Bearbeitung ihrer bevorzugten Anzeigenamen erlauben möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird, anstatt ihren Vor- und Nachnamen eingeben. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. |
| 2 |
Wählen Sie displayName unter Cisco Cloud-Attributname aus. |
| 3 |
Wählen Sie Dieses Attribut nicht synchronisieren aus. |
Nächste Schritte
Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.
Directory Connector – Problembehandlung
Upgrade auf die neueste Softwareversion
Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie kein Upgrade auf die neueste verfügbare Version durchführen, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische TLS 1.2-Anforderung nicht unterstützt.
Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.
Obwohl Sie Connector-Softwareaktualisierungen manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.
| 1 |
Klicken Sie in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten. |
| 2 |
Befolgen Sie die Anweisungen, um das Upgrade durchzuführen. |
| 3 |
Starten Sie den Connector neu, und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an. |
| 4 |
Überprüfen Sie die Versionsnummer der Software unter . |
Nächste Schritte
Für eine neue Installation von Directory Connector können Sie die ZIP-Datei herunterladen und dann die Installationsschritte in diesem Handbuch befolgen.
Konfigurieren von allgemeinen Einstellungen für Directory Connector
Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.
| 1 |
Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Allgemein. |
| 2 |
Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird. |
| 3 |
Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen:
Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf Fehler festlegen, werden nur Fehler im Synchronisierungsbericht gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“. Nach der vollständigen Synchronisierung erhalten Sie Synchronisierungsberichte. (Beachten Sie, dass für die inkrementelle Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.) |
| 4 |
Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen. |
| 5 |
Aktivieren Sie Automatisches Upgrade auf neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, dass Ihre Cisco Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind. |
| 6 |
Aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSL nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher. |
Connector-Richtlinie konfigurieren
Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.
Sie legen beispielsweise 1 als Schwellenwert für den Löschvorgang fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus. |
| 2 |
Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
|
| 3 |
Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20. Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen. |
| 4 |
Klicken Sie auf Übernehmen. |
Legen Sie den Connector-Zeitplan fest
Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Zeitplan aus. |
| 2 |
Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben. |
| 3 |
Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden. |
| 4 |
Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll. |
| 5 |
Geben Sie einen Wert für Failover-Intervall in Minuten an. |
| 6 |
Klicken Sie auf Übernehmen. |
Szenarien mit mehreren Domänen
Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.
Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.
Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.
Beispielanwendungen für mehrere Domänen
Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.
-
Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
-
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
-
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
-
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.
- Synchronisierung auf example1.com
-
Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.
Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.
User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.
- Synchronisierung für example1.com und example2.com
-
Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.
Stellen Sie sich das folgende Szenario vor:
- Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
- Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
- Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
- Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.
Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne
Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.
Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.
Domänenpriorität festlegen
Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.
Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.
Vorbereitungen
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie steht unter https://admin.webex.com zum Download bereit.
| 1 |
Klicken Sie im Cisco Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen. |
| 3 |
Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern. Die Domänen werden in absteigender Reihenfolge sortiert. |
Domäne wechseln
Mit diesem Verfahren können Sie den Cisco-Verzeichniskonnektor erneut an eine andere Domäne binden.
Vorbereitungen
-
Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
-
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie müssen sie über Control Hub herunterladen.
| 1 |
Klicken Sie im Cisco Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln. |
| 3 |
Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, die Registrierung anderer Domänen im Connector wird aufgehoben, und die Connector-Informationen auf diesem Computer werden gelöscht. |
| 4 |
Melden Sie sich erneut beim Cisco-Verzeichniskonnektor an, und binden Sie die Domäne erneut. |
Verzeichnissynchronisierung deaktivieren
Wenn Sie die Synchronisierung über den Verzeichniskonnektor beenden müssen, können Sie sie über Control Hub vorübergehend deaktivieren.
| 1 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:
|
| 2 |
Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten. Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren. |
Benutzerattributzuordnung entfernen
Verwenden Sie den Verzeichniskonnektor, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.
| 1 |
Klicken Sie in Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 3 |
Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus. |
| 4 |
Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus:
|
| 5 |
Klicken Sie auf Übernehmen. |
Profilbilder verwalten
Verwenden Sie den Verzeichniskonnektor, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.
| 1 |
Klicken Sie in Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 3 |
Wählen Sie unter Aktionen eine der folgenden Optionen aus:
|
| 4 |
Klicken Sie auf Übernehmen. |
Directory Connector deinstallieren und deaktivieren
Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:
-
Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
-
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
-
Sie möchten die Domäne ändern und einen anderen Connector installieren.
Vorbereitungen
-
Möglicherweise werden mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder Synchronisierung mit mehreren Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
-
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie den Directory Connector deinstallieren.
| 1 |
Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen. |
| 2 |
Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallieren aus und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen. |
| 3 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , blättern Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr |
| 4 |
Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren. Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung. |
Ausführen des Diagnosetools
Sie können das integrierte Diagnosetool verwenden, um Fehler bei der Directory Connector-Bereitstellung zu beheben. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.
Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.
-
So führen Sie Tests für Active Directory-Domänendienste aus:
-
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
-
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
Beheben von Problemen im Ciso Directory Connector
Fehlerbehebung und Fehlerbehebungen für den Directory Connector
Möglicherweise tritt eine Fehlermeldung oder ein anderes Problem im Directory Connector auf. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet der Connector Ihnen möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. Bevor Sie sich an den Support wenden, lesen Sie die folgenden Abschnitte über mögliche Probleme, mögliche Ursachen und vorgeschlagene Lösungen.
Installieren
Directory Connector funktioniert nicht mehr
Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber benachrichtigt wurden, dass Ihr Directory Connector nicht funktioniert.
-
Der Directory Connector ist möglicherweise nicht korrekt installiert.
-
Directory Connector wird möglicherweise nicht ausgeführt.
-
Das Netzwerk ist möglicherweise nicht verfügbar.
Gehen Sie wie folgt vor:
-
Öffnen Sie . Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
-
Öffnen Sie den Dienst und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status Gestartet angezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
-
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, über Internetzugang verfügt.
Fehler bei erneuter Installation
Problem: Wenn Sie sofort einen neuen Connector installieren, nachdem Sie einen alten deinstalliert haben, wird möglicherweise eine Fehlermeldung angezeigt.
Mögliche Ursache: In Windows Server 2012 benötigt der Client zur Deinstallation Zeit, um das Dienstkonto aus der Dienstliste zu löschen.
Lösung: Versuchen Sie die Installation nach einiger Zeit erneut.
Anmelden
Directory Connector stürzt bei der SSO-Anmeldung ab
Problem
Der Directory Connector kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.
Lösung
Gehen Sie wie folgt vor:
Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:
-
Wechseln Sie zum Domänencontroller und öffnen Sie Group Policy Management (gpedit.msc).
-
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne, und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
-
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie Bearbeiten aus.
Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:
-
Gehen Sie zu , klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
-
Geben Sie unter Key Path die Option HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
-
Geben Sie
Disable Script Debuggerfür Value undnofür Value data ein.Die Einstellungen sollten mit diesem Screenshot übereinstimmen:
Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:
-
Gehen Sie zu , klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
-
Geben Sie unter SchlüsselpfadHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
-
Geben Sie
Disable Script Debuggerfür Value undnofür Value data ein.Die Einstellungen sollten mit diesem Screenshot übereinstimmen:
Die Änderungen werden wirksam, nachdem Sie gpupdate /force ausgeführt haben, die Maschine neu gestartet wurde (bei Änderungen am Computer) oder sich der Benutzer erneut anmeldet (bei Änderungen am Benutzer).
Cisco DirSync Service Connector konnte nicht registriert werden
Problem
Anmeldung fehlgeschlagen, und die folgende Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“
Lösung
Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.
Die Seite „Keine Anmeldung“ wird angezeigt
Problem
Sie haben den Verzeichniskonnektor geöffnet und die Anmeldeseite wurde nicht angezeigt.
Lösung
Gehen Sie wie folgt vor:
-
Navigieren Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie den Link in anderen Browsern wie Chrome und Firefox.
-
Wenn Internet Explorer den Link nicht aufrufen kann, andere Browser dies jedoch können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren .)
Anmeldeaufforderung wird angezeigt
Problem
Es wird eine Aufforderung angezeigt, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu bestehen.
Mögliche Ursache
Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.
Lösung
Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Übergabe der Sicherheit bereitstellen.
Verbindung zum Remote-Server nicht möglich
Problem
Während des normalen Betriebs wird die Fehlermeldung „Keine Verbindung zum Remote-Server möglich“ angezeigt.
Mögliche Ursache
Möglicherweise gibt es Proxy-Probleme, die behoben werden müssen.
Lösung
Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung mit Dienstkonto beheben .
Konnektor kann nicht registriert werden.
Problem
Es wird die Fehlermeldung „Der Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“
Mögliche Ursache
In den meisten Fällen liegt das Problem darin, dass der Directory Connector keine Berechtigung für eine Verbindung mit dem LDAP-Stammkontext hat.
Lösung
Gehen Sie wie folgt vor:
-
Führen Sie eine Eingabeaufforderung (cmd) aus, und geben Sie ldp.exe ein.
-
Klicken Sie auf , wählen Sie Als aktuell angemeldeten Benutzer binden und klicken Sie dann auf OK.
-
Klicken Sie auf , geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.
-
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall beim Support.
Synchronisierung
Avatare nicht synchronisiert
Problem
Der Cisco Directory Connector hat die Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatar-Daten erfolgreich synchronisiert.
Mögliche Ursache
Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache diese und vermeidet es, erneut zu senden, um Bandbreite zu sparen.
Lösung
Führen Sie die folgenden Schritte aus, um den lokalen Cache zu löschen:
-
Gehen Sie zu C:\Programme (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Löschen DirSyncPluginAvatar.dll-cache.bin.
-
Führen Sie die Avatar-Synchronisierung über den Cisco-Verzeichniskonnektor erneut aus.
In Konflikt stehende Benutzer-E-Mail-Konten
Problem
Die Synchronisierungsergebnisse können in Konflikt stehende Benutzer-E-Mail-Konten anzeigen.
-
Wenn Benutzer die kostenlose Version der Webex-App versucht haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.
-
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
-
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.
Lösung
Gehen Sie wie folgt vor:
-
Befolgen Sie die folgenden Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
-
Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
-
Deaktivieren Sie Cisco Directory Connector vorübergehend.
-
Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucherorganisation vorhanden sein könnten. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
-
Probelauf im Cisco Directory Connector durchführen und die Verzeichnissynchronisierung anschließend erneut aktivieren
-
-
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen.
Konvertierter Benutzer als inaktiv markiert
Problem
In Ihrer verzeichnissynchronisierten Umgebung haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.
Mögliche Ursache
Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer als 30 Tage lang als inaktiv markiert, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des Zeitraums von 30 Tagen zur Löschung markiert. Diese Situation tritt auf, da sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.
Lösung
Sie müssen entsprechende Maßnahmen ergreifen, wenn das Benutzerkonto nicht gelöscht werden soll. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.
Inkrementelle Synchronisierung schlägt fehl
Problem
Eine inkrementelle Synchronisierung schlägt fehl.
Dieses Problem kann unter folgenden Bedingungen auf Windows Server 2008 R2 auftreten:
-
Sie unterstützen inkrementelle Wertaktualisierungen.
-
Der Filter, den Sie verwenden, referenziert ein verknüpftes Werteattribut.
-
Die Ergebniswerte dieses Attributs wurden seit der letzten Durchführung einer vollständigen Synchronisierung aktualisiert.
Lösung
Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihren Windows Server auf mindestens 2012 R2 zu aktualisieren.
Ungültiger Wert für Merkmal
Problem
Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].
Mögliche Ursache
Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.
Lösung
Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.
Übereinstimmende Benutzer zum Löschen
Problem
Die übereinstimmenden Benutzer werden als gelöscht markiert.
Wenn Sie einen Probelauf zur Überprüfung der Daten zwischen Active Directory und der Cloud durchführen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Systemen angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.
Lösung
Wählen Sie eine geeignete Lösung:
-
Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen danach zu wiederholen, können Sie den Directory Connector für die Behebung verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.
-
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Support-Fall.
Attribut fehlt
Problem
Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.
Mögliche Ursache
Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsbenutzer,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert aufweisen.
Lösung
Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.
Verschachtelte Gruppe wird nicht synchronisiert
Problem
Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.
Mögliche Ursache
Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Beispiel: (Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)
Lösung
Sie müssen den Filter, der Gruppen synchronisiert, neu konfigurieren. Beispiel: |(Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)(Mitglied=CN=testSubGroup,CN=Benutzer,DC=rktest2008,DC=org)
Konflikt bei Benutzerbenennung
Problem
Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und des Benutzertyps [user_type].
Mögliche Ursache
Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.
Lösung
Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.
Control Hub
Benutzerliste fehlt in Control Hub
Problem
Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird Ihnen die Benutzerliste in Control Hub möglicherweise nicht angezeigt.
Lösung
Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Wechseln Sie in Control Hub zu Benutzer, klicken Sie auf Suchen und geben Sie dann Suchkriterien ein, um nach einem bestimmten Benutzer zu suchen.
Gruppen werden nicht mit Control Hub synchronisiert
Problem
Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.
Mögliche Ursache
Die Gruppe ist in Active Directory nicht als isCriticalSystemObject markiert.
Lösung
Stellen Sie sicher, dass das Attribut isCriticalSystemObject in Active Directory auf TRUE gesetzt ist.
Problembehandlung für den Directory Connector aktivieren
Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.
Die Protokolldateien, die sind: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Führen Sie die Datei |
| 2 |
Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten. |
| 3 |
Klicken Sie im Directory Connector auf Dashboard. |
| 4 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 5 |
Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können. |
| 6 |
Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt. Der Protokollordner speichert nur Dateien für die letzten 3 Tage. Der Inhalt in den Protokolldateien entspricht der Ausgabe des Ereignisprotokolls für das System. |
| 7 |
Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten. |
| 8 |
Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind. |
Starten der Ereignisanzeige
Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.
| 1 |
Wechseln Sie aus dem Directory Connector zu Dashboard und klicken Sie auf . Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails. |
| 2 |
Wechseln Sie in der Ereignisanzeige zu .
|
| 3 |
Klicken Sie unter Aktionen auf Alle Events speichern unter , um alle Protokolle als einzelne Events-Datei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren. |
Nächste Schritte
Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und fügen Sie dann die Events-Datei an Ihren Fall an.
In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Hilfe bei der Verwaltung des Netzwerkdatenverkehrs zu erhalten.
TLS in Internet Explorer aktivieren
Wenn Sie Single Sign-On (SSO)-Anbieter gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:
-
Bei der Anmeldung am Dienst ist ein Fehler aufgetreten
-
Im Skript auf dieser Seite ist ein Fehler aufgetreten
Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.
| 1 |
Öffnen Sie Internet Explorer und wählen Sie Werkzeuge aus. Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die aktiviert werden soll. Klicken Sie auf OK. Schließen Sie den Browser und öffnen Sie ihn erneut. |
| 2 |
Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , und scrollen Sie zu Sicherheit. |
| 3 |
Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden , und klicken Sie auf OK.
|
| 4 |
Starten Sie das System neu, damit die Änderungen übernommen werden. |
Anmeldeprobleme für Dienstkonten beheben
Wenn Sie sich nicht beim Cisco Directory Connector anmelden können oder keine Synchronisierung durchführen können, versuchen Sie anhand der folgenden Schritte, das Problem zu beheben, bevor Sie sich an den Support wenden.
| 1 |
Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen. |
| 2 |
Wählen Sie je nach den Ergebnissen eine Option:
|
| 3 |
Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (das unter den Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar- und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung für das Windows-Anmeldekonto. |
Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung
Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.
Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.
Vorbereitungen
Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.
| 1 |
Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste. |
| 2 |
Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wählen Sie eine Option:
|
Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.
Übersicht über Cisco Directory Connector
Directory Connector – Übersicht
Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.
Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur zentralen Informationsquelle wird. Wenn Sie eine Änderung lokal vornehmen, wird diese in die Cloud kopiert.
In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:
| Funktion | Beschreibung und Vorteil |
|---|---|
| Benutzerfreundliches Dashboard | Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden. |
| Probelauf, bevor die Synchronisierung in die Cloud durchgeführt wird | Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor sie in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen. |
| Vollständige und inkrementelle Synchronisierung | Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen. |
|
Synchronisieren mehrerer Domänen (einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) |
Directory Connector unterstützt mehrere Domänen entweder in einer einzelnen Gesamtstruktur oder in mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Der Control Hub spiegelt den Status wider, indem er den Synchronisierungsstatus für mehrere Directory Connectors anzeigt. Damit können Sie die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Directory Connector in einer Hochverfügbarkeitsbereitstellung deaktivieren. |
| Geplante Synchronisierung | Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest. |
| LDAP-Filter (Lightweight Directory Access Protocol) | Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit. |
| Active Directory-Attributzuordnung | Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um die Cloud zuzuordnen. Die Attribute aus dem Standort bilden verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, Enteprise-Telefonnummern in Webex Teams, Raumressourcen-SIP-Adressen und andere Kontaktkartendaten des Benutzers (Stellenbezeichnung, Abteilung, Manager usw.). |
|
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung |
Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud-PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte haben, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten auf ihren Cisco Webex Calling (Cloud-PSTN)-Telefonen oder Raumressourcen durchsuchen.
|
| Ereignisanzeige | Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen. |
| Diagnose-Tool und Fehlerbehebung | Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können. |
| Automatisches Upgrade | Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird. |
| Hohe Verfügbarkeit | Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt. |
Directory Connector ist in drei Bereiche unterteilt:
-
Control Hub ist die zentrale Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und die Einzelanmeldung (SSO) konfigurieren, wenn Ihre Benutzer sich über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App versenden möchten.
-
Die Directory Connector-Verwaltungsoberfläche ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und die Directory Connector-Dienste zu konfigurieren.
-
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory ab, um sie mit dem Connector-Dienst und dem Directory Connector zu synchronisieren.
Weitere Informationen zur Directory Connector-Architektur finden Sie in diesem Diagramm:
Vorbereiten Ihrer Umgebung für den Directory Connector
Anforderungen für den Directory Connector
Windows- und Active Directory-Anforderungen
Sie können Directory Connector auf den folgenden unterstützten Windows-Servern installieren:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die das Fix enthält – Windows Server 2012 R2 oder 2016.
Directory Connector wird von den folgenden Active Directory-Diensten unterstützt:
-
Active Directory 2016
(Directory Connector wird bei Verwendung der neuesten Version von Active Directory unter Windows Server 2019 unterstützt)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Beachten Sie die folgenden zusätzlichen Anforderungen:
-
Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
-
.NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, folgen Sie den Anweisungen unter Aktivieren Sie .NET Framework 3.5 mit dem Assistenten zum Hinzufügen von Rollen und Funktionen.)
-
.NET Framework v.4.5 (erforderlich für TLS1.2)
-
-
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)
Hardware-Anforderungen
Sie müssen Directory Connector auf einem Computer installieren, auf dem die folgenden Mindestanforderungen an die Hardware erfüllt sind:
-
8 GB RAM
-
50 GB Speicherplatz
-
Keine Mindestanforderung für die CPU
Netzwerk-Anforderungen
Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS-Zugriff (Port 443) auf das Internet verfügt.
Anforderungen der Webex-Organisation
-
Um von Control Hub aus auf die Directory Connector-Software zugreifen zu können, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem bezahlten Abonnement.
-
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Ihnen, Folgendes zu tun:
-
Fügen Sie Domänen hinzu, überprüfen und optional beanspruchen Sie sie , die die E-Mail-Adressen der Benutzer enthalten, die Sie mit der Cloud synchronisieren möchten.
-
Integrieren Sie Ihren Identitätsanbieter (IdP) mit Ihrer Webex-Organisation durch die einmalige Anmeldung (Single Sign-On, SSO).
-
Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)
-
Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.
Installationsanforderungen
-
In einer Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
-
Für die Anmeldung beim Connector ist kein Administratorkonto in Active Directory erforderlich. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer wie ein Volladministratorkonto in Control Hub ist.
Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computeranmeldekonto sollte ein Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer sein. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
-
Während der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector für den Zugriff auf Active Directory das lokale Systemkonto. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
-
Stellen Sie sicher, dass der Suchmodus für die Windows Safe Dynamic Link Library (DLL) mit diesem Verfahren aktiviert ist: Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung.
-
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, sollten Sie Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Computern installieren.
Mehrere Domänenanforderungen
Bevor Sie den Aufgaben im Ablauf der Bereitstellungsaufgabe für den Cisco-Verzeichniskonnektor folgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:
-
Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
-
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
-
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.)
-
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , damit Ihre Organisation in eine große Organisationsliste verschoben wird.
-
Bei Bedarf können Sie Informationen zu Raumressourcen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.)
Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung
Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.
Active Directory enthält zwei Arten von Gruppen:
-
Verteilergruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
-
Sicherheitsgruppen: Wird verwendet, um Berechtigungen für geteilte Ressourcen zuzuweisen.
Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:
-
Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienstleistung (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex Licensing usw.).
-
Verwenden Sie organisationsübergreifende Standard-Benennungskonventionen, um die Identifizierung wichtiger Informationen über eine Gruppe zu erleichtern. Gruppennamen können Details zur Gruppe enthalten, z. B. die Zugriffsstufe, die Art der Ressource, die Sicherheitsstufe, den Gruppenumfang, die E-Mail-Funktion usw. Der Gruppenname „GSG_Webex_Licensing_EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
-
Organisieren Sie Gruppen auf leicht verständliche Weise, z. B. nach Geografie oder Hierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
-
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die automatische Lizenzgruppenvorlage in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für die automatische Lizenzzuweisung einrichten .
Informationen zur Größe
Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Alle Beschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.
Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:
-
Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsjob dauert nicht so lange wie 50000.)
-
Netzwerkgeschwindigkeit und Bandbreite.
-
Systemauslastung und Spezifikationen.
Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.
Da bei der Synchronisierung mehrere Faktoren beteiligt sind und jede Bereitstellung abhängig von den oben genannten Faktoren variiert, können wir keine spezifischen Zeitwerte angeben, die angeben, wie lange eine Objektsynchronisierung dauern wird.
Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung
Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.
Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.
Vorbereitungen
Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.
| 1 |
Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste. |
| 2 |
Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wählen Sie eine Option:
|
Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.
Webproxy-Integration
Webproxy-Integration
Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.
Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector stellt eine Verbindung her und synchronisiert die Benutzer.
Sie können einen der folgenden Ansätze verwenden:
-
Expliziter Webproxy über Internet Explorer (der Connector erbt die Webproxy-Einstellungen)
-
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
-
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert
Webproxy über den Browser verwenden
Sie können den Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.
Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,
| 1 |
Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus. |
| 2 |
Verweisen Sie die Windows-Instanz, auf die der Connector installiert ist, auf Ihren Webproxy. Der Connector erbt diese Webproxy-Einstellungen. |
| 3 |
Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:
Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann. |
| 4 |
Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:
Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss. |
Webproxy über eine PAC-Datei konfigurieren
Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und die Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.
| 1 |
Damit der Connector sich erfolgreich mit der Webex Cloud verbinden und die Benutzerinformationen synchronisieren kann, müssen Sie die Proxy-Authentifizierung für |
| 2 |
Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:
Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann. |
| 3 |
Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:
Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss. |
NTLM-Proxy
Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.
NTLM-Design
In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.
Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus aus Herausforderung
und Antwort
:
-
Ein Benutzer meldet sich über ein Windows-Konto und ein Kennwort auf einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines reinen Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hash-Wert mit dem Hash-Wert des eingegebenen Passworts. Wenn beide gleich sind, wird die Authentifizierung erfolgreich ausgeführt.
Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im reinen Textformat.
-
Wenn der Server die Anforderung erhält, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Herausforderung auf dem Server gespeichert. Anschließend sendet der Server die Aufforderung im reinen Textformat an den Client.
-
Sobald der Client die vom Server gesendete Challenge erhält, verschlüsselt der Client die Challenge mit dem in Schritt 1 genannten Hash-Wert. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
-
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet er ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: der Kontoname, die verschlüsselte Aufforderung, die der Client gesendet hat, und die ursprüngliche einfache Aufforderung.
-
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.
Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Dadurch müssen Sie keine weitere Konfiguration abschließen.
Transparenten Proxy konfigurieren
In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.
| 1 |
Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann. |
| 2 |
Bestätigen Sie, dass der Proxy erfolgreich ist: Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt. |
Proxy-Authentifizierung festlegen
Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.
Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:
| 1 |
Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist. |
| 2 |
Legen Sie eine geschätzte Bandbreite für diese Verbindung fest (ca. 2 MB/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich. |
| 3 |
Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie Beispiel: access-list 2000 acl-inside extended permit TCP [IP des Connectors] cloudconnector.webex.com eq https |
| 4 |
Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt. |
| 5 |
Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren. |
Verzeichniskonnektor bereitstellen
Ablauf der Bereitstellungsaufgabe des Cisco-Verzeichniskonnektors
Vorbereitungen
| 1 |
Verzeichniskonnektor installieren In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen. Für eine neue Installation von Directory Connector gehen Sie immer zu Control Hub ( https://admin.webex.com), um die neueste Version der Software abzurufen, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar. |
| 2 |
Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administrator-Anmeldeinformationen an und führen Sie die Ersteinrichtung durch. |
| 3 |
Automatische Upgrades festlegen Es ist immer wichtig, dass Ihre Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind. |
| 4 |
Active Directory-Objekte zum Synchronisieren auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen. |
| 5 |
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist die *uid. |
| 6 |
Synchronisieren Sie Verzeichnis-Avatare mit einem der folgenden Verfahren:
Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass der Avatar jedes Benutzers angezeigt wird, wenn er sich bei der Anwendung anmeldet. Sie können Avatare von einem Active Directory-Attribut oder einem Ressourcenserver synchronisieren. |
| 7 |
Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Webex Room-Gerät oder Cisco Webex Board angezeigt. |
| 8 |
Um Benutzer Aus Active Directory In Control Hub Bereitzustellen, führen Sie die folgenden Schritte aus:
Folgen Sie dieser Sequenz, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wald- oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen. |
Verzeichniskonnektor installieren
In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen.
Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf der Synchronisierung mit mehreren Domänen:
Vorbereitungen
Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen:
-
Für die Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxy-Konfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Webproxy Im Browser verwenden
-
Bei Proxy-NTLM wird Ihnen möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser.
| 1 |
Wechseln Sie in Control Hub zu und wählen Sie Weiter aus. |
| 2 |
Klicken Sie auf den Link Herunterladen und installieren, um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die .zip-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert. Holen Sie sich für eine Neuinstallation die neueste Version der Software, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar. |
| 3 |
Entpacken Sie die MSI-Datei auf dem VMware- oder Windows-Server und führen Sie sie im Setup-Ordner aus, um den Setup-Assistenten zu starten. |
| 4 |
Klicken Sie auf Weiter, aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Weiter, bis der Bildschirm „Kontotyp“ angezeigt wird. |
| 5 |
Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto durch:
Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind:
|
| 6 |
Klicken Sie auf Installieren. Geben Sie nach der Ausführung des Netzwerktests Ihre grundlegenden Proxy-Anmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertig stellen. |
Nächste Schritte
Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Während des Neustarts der Maschine werden alle Daten aktualisiert, um ein exaktes Ergebnis im Bericht anzuzeigen.
Bei Directory Connector anmelden
Vorbereitungen
Stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen.
-
Für die Proxy-Basic-Auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
-
Öffnen Sie für Proxy-NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen, stellen Sie sicher, dass die Informationen zum Proxy-Server hinzugefügt wurden, und klicken Sie auf OK. Siehe Verwenden eines Webproxys über den Browser.
| 1 |
Öffnen Sie den Connector und fügen Sie |
| 2 |
Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich dann mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter. |
| 3 |
Bestätigen Sie Ihre Organisation und Ihre Domäne.
|
| 4 |
Nachdem der Bildschirm Organisation bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Wenn Sie AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Organisation bestätigen angezeigt. |
| 5 |
Klicken Sie auf Bestätigen. |
| 6 |
Wählen Sie eine der folgenden Optionen aus, abhängig von der Anzahl der Active Directory-Domänen, die Sie an den Directory Connector binden möchten:
|
Nächste Schritte
Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.
Directory Connector-Dashboard
Wenn Sie sich zum ersten Mal beim Directory Connector anmelden, wird das Dashboard angezeigt. Hier können Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken anzeigen, einen Probelauf für die Synchronisierung durchführen, eine vollständige oder inkrementelle Synchronisierung starten und die Event-Ansicht starten, um Fehlerinformationen anzuzeigen.
Sie können diese Aufgaben einfach über die Symbolleiste oder das Menü „Aktionen“ ausführen.
|
Komponente |
Beschreibung |
|---|---|
|
Aktuelle Synchronisierung |
Zeigt die Statusinformationen zur laufenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige inaktiv. |
|
Nächste Synchronisierung |
Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Zeitplan festgelegt ist, wird Nicht angesetzt angezeigt. |
|
Letzte Synchronisation |
Zeigt den Status der letzten beiden durchgeführten Synchronisierungen an. |
|
Aktueller Synchronisierungsstatus |
Zeigt den Gesamtstatus der Synchronisierung an. |
|
Konnektoren |
Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind. |
|
Cloud-Statistik |
Zeigt den Gesamtstatus der Synchronisierung an. |
|
Synchronisierungszeitplan |
Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung an. |
|
Konfigurationszusammenfassung |
Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten:
|
| Aktion | Beschreibung |
|---|---|
| Inkrementelle Synchronisierung starten |
Inkrementelle Synchronisierung manuell starten Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn noch keine vollständige Synchronisierung abgeschlossen wurde oder wenn eine Synchronisierung läuft. |
|
Probelauf synchronisieren |
Führen Sie einen Probelauf für die Synchronisierung durch. |
|
Ereignisanzeige starten |
Starten Sie die Microsoft-Ereignisanzeige. |
|
Aktualisieren |
Aktualisieren des Cisco Directory Connector-Dashboards |
|
Aktion |
Beschreibung |
|---|---|
| Jetzt synchronisieren |
Starten Sie sofort eine vollständige Synchronisierung. |
|
Synchronisierungsmodus |
Wählen Sie entweder den inkrementellen oder den vollständigen Synchronisierungsmodus aus. |
|
Geheimschlüssel für Konnektor zurücksetzen |
Stellen Sie eine Unterhaltung zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Durch Auswahl dieser Aktion wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert. |
|
Probelauf |
Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung durchführen. |
|
Fehlerbehebung |
Aktivieren/deaktivieren Sie die Fehlerbehebung. |
|
Aktualisieren |
Aktualisieren Sie den Cisco Directory Connector-Hauptbildschirm. |
|
Beenden |
Beenden Sie den Cisco Directory Connector. |
|
Tastenkombination |
Aktion |
|---|---|
|
Alt +A |
Das Menü Aktionen anzeigen |
|
|
Jetzt synchronisieren |
|
|
Geheimschlüssel für Konnektor zurücksetzen |
|
|
Probelauf |
|
|
Inkrementelle Synchronisierung |
|
|
Vollständige Synchronisierung |
|
|
Menü Hilfe anzeigen |
|
|
Hilfe |
|
|
Info |
|
|
häufig gestellte Fragen |
Automatische Upgrades festlegen
| 1 |
Wechseln Sie im Directory Connector zu und aktivieren Sie die Option Automatisch auf neue Cisco Directory Connector-Version aktualisieren. |
| 2 |
Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern. |
Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.
Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion.
Active Directory-Objekte zum Synchronisieren auswählen
Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.
Gruppen für die automatische Lizenzzuweisung
Mit Control Hub können Sie Lizenzzuweisungen auf Gruppenbasis verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Beim Erstellen eines Benutzers überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.
Wir empfehlen, einen LDAP-Filter zu verwenden, um nur relevante Gruppen mit der Cloud zu synchronisieren. Beispielsweise können Sie den Filter auf:
(&(cn=Beispiel)(objectclass=Gruppe))*
Dieser Filter synchronisiert alle Gruppen innerhalb des Basis-DN, bei dem der Name mit „Beispiel“ beginnt. Benutzern, die keinen Gruppen zugewiesen sind, werden Lizenzen über die automatische Standardlizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.
Gruppen für Hybrid-Datensicherheitsbereitstellungen
Im Directory Connector müssen Sie Gruppen aktivieren, wenn Sie Hybrid-Datensicherheit zum Konfigurieren einer Testgruppe für Pilotbenutzer verwenden. Anleitungen finden Sie im Bereitstellungsleitfaden für Hybrid-Datensicherheit. Diese Verzeichniskonnektor-Einstellung wirkt sich nicht auf die Synchronisierung anderer Benutzer in der Cloud aus.
| 1 |
Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl. |
| 2 |
Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und erwägen Sie, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die zur Beispiel-Manager-Gruppe gehören, verwenden Sie einen Filter wie diesen:
|
| 3 |
Aktivieren Sie das Kontrollkästchen Raum identifizieren, um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen, wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie lokale Rauminformationen von Active Directory mit der Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud. |
| 4 |
Aktivieren Sie Gruppen, wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie keinen LDAP-Filter für die Benutzersynchronisierung zum Feld „Gruppen“ hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren. Gruppen werden standardmäßig nicht für neue Kunden synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren. |
| 5 |
Aktivieren Sie Kontakte, wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten. Der Verzeichniskonnektor verwaltet nur Kontakte, die vom Konnektor synchronisiert wurden. Wenn bereits Kontakte in Control Hub vorhanden sind, werden die Kontakte durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsumfang entfernt werden, werden auch die Kontaktinformationen der Benutzer in Control Hub entfernt. |
| 6 |
Konfigurieren Sie die LDAP-Filter. Sie können erweiterte Filter hinzufügen, indem Sie einen gültigen LDAP-Filter bereitstellen. Weitere Informationen zum Konfigurieren von LDAP-Filtern finden Sie in diesem Artikel. |
| 7 |
Geben Sie die zu synchronisierenden lokalen Basis-DNs an, indem Sie auf Auswählen klicken, um die Baumstruktur Ihres Active Directory anzuzeigen. Von hier aus können Sie auswählen, welche Container gesucht werden sollen. |
| 8 |
Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten, und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container zur Synchronisierung auswählen. Wählen Sie einen übergeordneten Container aus, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird im übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container aktiviert wurde. Sie können dann auf Auswählen klicken, um die von Ihnen ausgewählten Active Directory-Container zu akzeptieren. Wenn Ihre Organisation alle Benutzer und Gruppen im Benutzer-Container platziert, müssen Sie keine anderen Container durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, stellen Sie sicher, dass Sie OUs auswählen. |
| 9 |
Klicken Sie auf Übernehmen. Wählen Sie eine Option:
Informationen zu Probeläufen finden Sie unter Durchführen einer Probelauf-Synchronisierung für Ihre Active Directory-Benutzer. Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen. |
Benutzerattribute zuordnen
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.
Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll – Sie können beispielsweise firstName lastName in Active Directory oder einen benutzerdefinierten Attributausdruck displayName in der Cloud zuordnen.
Konten in Active Directory müssen über eine E-Mail-Adresse verfügen; die uid wird standardmäßig dem Feld ad der E-Mail zugeordnet (nicht sAMAccountName).
Wenn Sie festlegen, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, ist Active Directory die einzige Informationsquelle: Benutzer können ihre Spracheinstellung in den Webex-Einstellungen nicht ändern, und Administratoren können die Einstellung in Control Hub nicht ändern.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet. |
| 2 |
Scrollen Sie zum Ende der Active Directory-Attributnamen und wählen Sie dann eines der folgenden Active Directory-Attribute aus, um das Cloud-Attribut uid zuzuordnen:
Sie können beliebige andere Active Directory-Attribute der uid zuordnen. Wir empfehlen jedoch, „mail“ oder „userPrincipalName“ zu verwenden, wie in den obigen Richtlinien beschrieben. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, mit welchen Attributen in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen im Directory Connector. Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen ausgewählte Active Directory-Attribut im E-Mail-Format vorliegt. Der Verzeichniskonnektor zeigt ein Popup-Fenster an, das Sie daran erinnert, wenn Sie eines der empfohlenen Attribute nicht auswählen. |
| 3 |
Wenn die vordefinierten Active Directory-Attribute in Ihrer Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können. Klicken Sie auf Hilfe, um weitere Informationen zu den Ausdrücken zu erhalten und Beispiele für die Funktionsweise von Ausdrücken anzuzeigen. Weitere Informationen finden Sie auch unter Ausdrücke für angepasste Attribute. Ordnen wir in diesem Beispiel die Active Directory-Attribute
Der Directory Connector überprüft den Attributwert von uid im Identitätsdienst und ruft 3 verfügbare Benutzer unter den aktuellen Benutzerfilteroptionen ab. Wenn alle diese 3 Benutzer ein gültiges E-Mail-Format haben, zeigt der Cisco Directory Connector die folgende Meldung an:
Wenn das Attribut nicht verifiziert werden kann, wird die folgende Warnung angezeigt und Sie können zu Active Directory zurückkehren, um die Benutzerdaten zu überprüfen und zu korrigieren:
|
| 4 |
(Optional) Wählen Sie Zuordnungen für Mobilgeräte und Telefonnummer aus, wenn Mobil- und Geschäftsnummern angezeigt werden sollen, beispielsweise in der Kontaktkarte des Benutzers in der Webex-App. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt. Weitere Informationen zu Anrufen über die Kontaktkarte eines Benutzers finden Sie im Bereitstellungshandbuch für Anrufe in Webex (Unified CM) (Administratoren). |
| 5 |
Wählen Sie zusätzliche Zuordnungen aus, um weitere Daten in der Kontaktkarte anzuzeigen:
Nach der Zuordnung der Attribute werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt:
Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren. Nachdem diese Attribute mit den einzelnen Benutzerkonten synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Benutzer der Webex-App mehr Informationen in ihren Profilen teilen und mehr voneinander erfahren. Weitere Informationen zur Funktion und zum Aktivieren finden Sie unter Profile für „People Insights“ für Webex, Jabber, Webex Meetings und Webex Events (Neu) in Control Hub. |
| 6 |
Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie auf Übernehmen. |
Alle in Active Directory enthaltenen Benutzerdaten überschreiben die diesem Benutzer entsprechenden Daten in der Cloud. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Alle Benutzer ohne entsprechende E-Mail-Adresse in Active Directory werden gelöscht.
Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.
Active Directory- und Cloud-Attribute
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattributzuordnung verwenden.
In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Verzeichniskonnektor. Sie können in den Dropdown-Menüs des Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloudattribut synchronisiert wird.
Betrachten Sie die Dropdown-Attribute als Voreinstellungen. Als Alternative zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory angeben (ein Ausdruck mit mehreren Attributen), um ein einzelnes Cloudattribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise haben Sie die Flexibilität, die Anzeigenamen Ihrer Benutzer zu bestimmen. Sie können beispielsweise einen Ausdruck hinzufügen, der basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory ein angepasstes Attribut erstellt.
Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.
Sie können auch alternative E-Mail-Adressen verwenden, z. B. wenn Sie den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall dem Attribut emails;type-work eine andere E-Mail-Adresse zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.
|
Active Directory-Attributnamen |
Webex-Cloud-Attributnamen |
Anmerkungen |
|---|---|---|
|
— |
Gebäudename |
— |
|
c |
c |
Dieses Attribut gibt die Länderabkürzung des Benutzers an. |
|
Abteilungsnummer |
Abteilungsnummer |
Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die auf der Kontaktkarte und People Insights angezeigt wird. |
|
Anzeigename |
Anzeigename |
Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird. |
|
BenutzerAccountControl |
ds-pwp-konto-deaktiviert |
Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist, andernfalls werden die Benutzer nicht ordnungsgemäß synchronisiert. |
|
Mitarbeiternummer |
Mitarbeiternummer |
— |
|
FaxTelefonnummer |
FaxTelefonnummer |
— |
|
— |
Jabber-ID |
Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert ist nicht identisch mit sipAddresses. |
|
l |
l |
Dieses Attribut gibt die Stadt des Benutzers an. |
|
— |
Ländereinstellung |
— |
|
Manager |
Manager |
Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der auf der Kontaktkarte und People Insights angezeigt wird. |
|
Mobil |
Mobil |
Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen. |
|
o |
o |
Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird auf der Kontaktkarte angezeigt. |
|
Ou |
Ou |
Dieses Attribut gibt den Namen der Organisationseinheit an. |
|
physischeLieferungBüroName |
physischeLieferungBüroName |
Dieses Attribut gibt den Bürostandort des Benutzers an. |
|
Postleitzahl |
Postleitzahl |
Dieses Attribut gibt die Postleitzahl des Benutzers für die physische Postzustellung an. |
|
bevorzugteSprache |
bevorzugteSprache |
Dieses Attribut legt die bevorzugte Sprache des Benutzers fest. Es werden die folgenden Formate unterstützt: xx_YY oder xx-YY. Hier einige Beispiele: de_US, de_GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format verwenden, wird die bevorzugte Sprache des Benutzers zur für die Organisation festgelegten Sprache geändert. |
|
MSRTCSIP-PrimäreBenutzeradresse IP-Telefon |
SIP-Adressen;type=Unternehmen |
Dieses Attribut wird verwendet, um lokale Rauminformationen aus Active Directory mit der Cisco Webex-Cloud zu synchronisieren. |
|
sn |
sn |
Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird. |
|
st |
st |
Dieses Attribut gibt das Bundesland des Benutzers an. |
|
Straßenadresse |
Straße |
Dieses Attribut gibt die Postanschrift des Benutzers für die physische Postzustellung an. |
|
Telefonnummer |
Telefonnummer |
Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die zum Anrufen des Benutzers über die Kontaktkarte verwendet wird. |
|
— |
Zeitzone |
Dieses Cloudattribut gibt die Zeitzone des Benutzers an. |
|
Titel |
Titel |
Dieses Attribut gibt den Titel des Benutzers an, der auf der Kontaktkarte und People Insights angezeigt wird. |
|
Typ |
Unternehmen |
— |
|
*userPrincipalName |
UID |
Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann sich dann mit einer dieser E-Mail-Adressen anmelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen dazu, wie Sie eine alternative E-Mail-Adresse zuordnen können, finden Sie im Beispiel-Attributzuordnung unten. |
|
*userPrincipalName <benutzerdefiniertes Attribut> |
E-Mails;Arbeit eingeben |
Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein. |
|
<Neues Attribut für Azure-Benutzer objectId> |
externe ID |
Erstellen Sie ein neues Active Directory-Attribut, um die Objekt-ID des Azure-Benutzers zu speichern, damit sie nicht mit einem vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen. |
Alternative E-Mail-Adresszuordnung
Ausdrücke für angepasste Attribute
|
Vermittler |
Beschreibung und Beispiel |
|---|---|
|
% |
Entfernt alle Zeichen vom Anfang bis zur Position des Zeichens oder des String-Arguments, falls diese übereinstimmen.
|
|
- |
Entfernt die Rückseite der Eingabezeichenfolge vom Ende der angegebenen Zeichenfolge.
|
|
+ |
Verkettet Eingabezeichenfolgen oder Ausdrücke.
|
|
| |
Evaluiert die getrennten Ausdrücke anhand einer leeren Zeichenkette und wählt das erste nicht-leere Ergebnis aus.
|
Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud
Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit diesem Verfahren können Sie Avatarrohdaten aus einem Active Directory-Attribut synchronisieren.
| 1 |
Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren. |
| 2 |
Wählen Sie für Avatar abrufen von die Option AD-Attribut und anschließend das Avatar-Attribut aus, das die Avatar-Rohdaten enthält, die Sie mit der Cloud synchronisieren möchten. |
| 3 |
Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar des Benutzers abrufen. Der Avatar wird rechts angezeigt. |
| 4 |
Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern. |
-
Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
-
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.
Nächste Schritte
Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.
Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud
Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit dieser Prozedur können Sie Avatare von einem Ressourcenserver synchronisieren.
Vorbereitungen
-
Das URI-Muster und der Variablenwert in dieser Prozedur sind Beispiele. Sie müssen tatsächliche URLs verwenden, unter denen sich Ihre Verzeichnis-Avatare befinden.
-
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht öffentlich im Internet zugänglich sein.
-
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass auf Avatar-Daten über die NTLM-Authentifizierung oder die Basic-Auth zugegriffen werden kann.
| 1 |
Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren. |
| 2 |
Wählen Sie unter Avatar abrufen von die Option Ressourcenserver aus, und geben Sie das Avatar-URI-Muster ein – zum Beispiel Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten:
|
| 3 |
(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen benötigt, aktivieren Sie die Option Benutzeranmeldeinformationen für Avatar festlegen. Wählen Sie anschließend Aktuellen Service-Anmeldebenutzer verwenden oder Diesen Benutzer verwenden aus, und geben Sie das Passwort ein. |
| 4 |
Geben Sie den Variablenwert ein, zum Beispiel: |
| 5 |
Klicken Sie auf Test, um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. Wenn in diesem Beispiel der E-Mail-Wert für einen AD-Eintrag |
| 6 |
Nachdem die URI-Informationen überprüft wurden und korrekt angezeigt wurden, klicken Sie auf Übernehmen. Detaillierte Informationen zur Verwendung regulärer Ausdrücke finden Sie in der Microsoft Regular Expression Language Quick Reference . |
-
Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
-
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.
Nächste Schritte
Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.
Synchronisieren von lokalen Rauminformationen mit der Webex Cloud
Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Webex-Geräten (Room, Desk und Board) angezeigt.
| 1 |
Wechseln Sie aus dem Directory Connector zu Synchronisieren, klicken Sie auf Mehr |
| 2 |
Aktivieren Sie das Kontrollkästchen Rauminformationen mit Cloud synchronisieren, um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf die gleiche Weise behandelt wie synchronisierte Benutzerdaten. |
| 3 |
Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=enterprise. Um die Wertevalidierung zu verwenden, sollte der Wert der SIP-Adresse Pattern.compile("^([^@])(.*)@(.*)$") lauten.
|
| 4 |
Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann zum Identifizieren von Räumen verwendet.
|
| 5 |
Navigieren Sie von Active Directory-Benutzern und -Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den vollständig qualifizierten SIP-URI mit dem Präfix sip hinzu:
|
| 6 |
Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden Objekte hinzugefügt aufgelistet, und übereinstimmende Raumobjekte werden im Probelauf-Bericht unter Übereinstimmende Objekte angezeigt. Alle Raumobjekte, die zum Löschen markiert sind, finden Sie unter Räume gelöscht.
In den Ergebnissen des Probelaufs werden alle abgestimmten Raumressourcen angezeigt.
Diese Einstellung trennt die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.
|
Nächste Schritte
Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Cloud registrierten Webex-Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde.
Über Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.
Der Endpunkt kann einen Rückruf nicht an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte lokal oder an einem anderen Ort als der Webex-App als SIP URI registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, dem Schreibtischgerät oder dem Webex Board für den Kalenderdienst befindet, wird der doppelte Eintrag in den Suchergebnissen nicht angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App angerufen und es wird kein SIP-Anruf getätigt.
E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisation senden
Standardmäßig erhalten die Organisationskontakte oder Administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen mit einer Zusammenfassung der Verzeichnissynchronisierungsberichte erhalten soll.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benachrichtigung aus. |
| 2 |
Klicken Sie im Directory Connector auf Einstellungen und aktivieren Sie neben E-Mail-Empfänger die Option Synchronisierung des Berichts aktivieren. |
| 3 |
Aktivieren Sie Benachrichtigung aktivieren, wenn Sie das Standard-Benachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten. |
| 4 |
Klicken Sie auf Hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können. |
| 5 |
Klicken Sie auf E-Mail hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können. |
| 6 |
Wenn Sie eingegebene E-Mail-Adressen bearbeiten müssen, doppelklicken Sie auf den E-Mail-Eintrag in der linken Spalte, und nehmen Sie dann die gewünschten Änderungen vor. |
| 7 |
Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Übernehmen. |
| 8 |
Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Speichern. |
Nächste Schritte
Wenn Sie festgelegt haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und klicken Sie dann auf Entfernen.
Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.
Bereitstellen von Benutzern Aus Active Directory In Control Hub
Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (entweder mit einer einzelnen Gesamtstruktur oder mit mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.
| 1 |
Durchführen eines Probelaufs für die Active Directory-Benutzer Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen. |
| 2 |
Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen. |
| 3 |
Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen auf verschiedene Weise zuweisen. Wir empfehlen Ihnen, eine Lizenzvorlage für die automatische Zuweisung einzurichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen. |
Durchführen eines Probelaufs für die Active Directory-Benutzer
Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.
Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel des Directory Connector ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud herzustellen.
Wenn Sie in einer oder mehreren Gesamtstrukturen mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.
Vorbereitungen
Möglicherweise befinden sich bereits einige Webex-App-Benutzer in Control Hub, bevor Sie den Verzeichniskonnektor verwendet haben. Einige der Benutzer in der Cloud können mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es können jedoch Testbenutzer sein, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Active Directory und Control Hub erstellen.
| 1 |
Eine Option auswählen:
Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt:
Die Zusammenfassung enthält Informationen über die Objektabgleich:
Der Probelauf identifiziert die Benutzer, indem er sie mit Domänenbenutzern vergleicht. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten möchten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory. |
| 2 |
Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option aus, je nachdem, ob Sie eine einzelne oder mehrere Domänen verwenden:
|
| 3 |
Klicken Sie in der Aufforderung Probelauf bestätigen auf Ja, um die Synchronisierung des Probelaufs erneut durchzuführen und das Dashboard anzuzeigen, um die Ergebnisse anzuzeigen. Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter Übereinstimmende Objekte angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Um die Details der synchronisierten Elemente anzuzeigen, klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched. Um die Zusammenfassungsinformationen zu speichern, klicken Sie auf Ergebnisse in Datei speichern. |
| 4 |
Wenn die Ergebnisse erwartet werden, gehen Sie zu und klicken Sie dann auf Jetzt aktivieren, um eine manuelle Synchronisierung durchzuführen und an diesem Punkt in den manuellen Modus zu versetzen. Nachdem Sie eine Synchronisierung mit der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte zwischen der Webex-Cloud und allen lokalen Active Directories vollständig übereinstimmen. |
Nächste Schritte
-
Alle nicht übereinstimmenden Benutzerobjekte, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen lokaler und Cloud-Umgebung besteht.
-
Wählen Sie einen Synchronisierungstyp:
-
Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben.
-
Wenn Sie über mehrere Domänen verfügen, wiederholen Sie diese Schritte auf einem anderen Directory Connector, den Sie installiert haben.
Zu beachtende Punkte
-
Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisation dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeberichte überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.
-
Wenn übereinstimmende Benutzer als gelöscht markiert sind und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und wenden Sie sich an den Support unter Fehlerbehebung und Fehlerbehebungen für Directory Connector.
Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.
Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen
Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
Wenn Sie über mehrere Domänen verfügen, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.
Directory Connector synchronisiert den Benutzerkontostatus: In Active Directory werden als deaktiviert gekennzeichnete Benutzer in der Cloud als inaktiv angezeigt.
Vorbereitungen
-
Wenn sich die Webex-App-Benutzerkonten nach der vollständigen Synchronisierung im Status „Aktiv“ befinden sollen, bevor sich die Benutzer zum ersten Mal anmelden, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:
-
Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Siehe
Einmalige Anmeldung mit Cisco Webex-Diensten und dem Identitätsanbieter Ihrer Organisation
um mehr zu erfahren. -
Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe
Hinzufügen, Überprüfen und Beanspruchen von Domänen
. -
Automatische E-Mail-Einladungen unterdrücken, sodass neue Benutzer die automatische E-Mail-Einladung zur Webex-App nicht erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
Aktivierte Benutzer, die sich nicht angemeldet haben, werden in Control Hub mit dem Status Verifiziert angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub.
-
-
Wenn Sie die Synchronisierung aktivieren, werden Sie vom Verzeichniskonnektor zuerst aufgefordert, einen Probelauf durchzuführen. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu ermitteln.
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Wenn Sie keine Lizenzvorlagen für die automatische Zuweisung verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie können dieselben kostenlosen Funktionen wie Benutzer mit kostenlosen Konten verwenden.
| 1 |
Eine Option auswählen:
|
| 2 |
Wechseln Sie im Directory Connector zu Synchronisieren, klicken Sie auf Mehr |
| 3 |
Bestätigen Sie den Start der Synchronisierung. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch bis zu 72 Stunden nach der Synchronisierung angezeigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
|
| 4 |
Klicken Sie auf Aktualisieren, wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik angezeigt.) |
| 5 |
Wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um weitere Informationen zu Fehlern zu erhalten, um die Fehlerprotokolle anzuzeigen. |
| 6 |
Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen mit der Cloud finden Sie unter Festlegen des Connector-Zeitplans und Ausführen einer inkrementellen Synchronisierung. |
-
Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung auf der Seite Einstellungen in Control Hub von Deaktiviert zu Betriebsbereit aktualisiert.
-
Wenn alle Daten zwischen lokaler und Cloud-Umgebung abgeglichen werden, wechselt der Verzeichniskonnektor vom manuellen Modus in den automatischen Synchronisierungsmodus.
-
Sofern Sie die Einzelanmeldung nicht integrieren, Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben und automatische E-Mails unterdrücken, bleiben die Benutzerkonten der Webex-App im Status „Nicht verifiziert“, bis sich die Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Eine Anleitung zur Synchronisierung der Konten als aktive Benutzer finden Sie im Abschnitt „Vorbereitungen“.
-
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf einem anderen installierten Directory Connector aus. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
-
Wenn Sie Single Sign-On in Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
-
Sie können Benutzer in Control Hub nicht manuell hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung wird die Benutzerverwaltung über den Cisco-Verzeichniskonnektor durchgeführt, und Active Directory ist die zentrale Informationsquelle.
-
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.
Nächste Schritte
-
Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung soft gelöscht. Der Benutzer wird inaktiv, aber das Cloud-Identitätsprofil wird sieben Tage lang beibehalten (um eine Wiederherstellung nach einer versehentlichen Löschung zu ermöglichen).
Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer nach der nächsten Synchronisierung inaktiv. Das Cloud-Identitätsprofil wird nach sieben Tagen nicht gelöscht, falls Sie den Benutzer erneut aktivieren möchten.
-
Beachten Sie diese Ausnahmen bei einer inkrementellen Synchronisierung (befolgen Sie stattdessen die obigen vollständigen Synchronisierungsschritte):
-
Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
-
Konfigurationsänderungen bei der Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.
-
Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen
Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco-Verzeichniskonnektor mit Control Hub abgeschlossen haben, können Sie mit Control Hub allen Ihren Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.
Nachdem Sie die vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Methoden in Control Hub verwenden, um all Ihren Benutzern – einzelnen Benutzern – über die CSV-Massenvorlage global Webex-Dienstlizenzen zuzuweisen oder neuen Benutzern automatisch zuzuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.
Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken, wenn Sie Ihre Benutzer direkt kontaktieren möchten.
Vorbereitungen
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
-
Führen Sie einen Probelauf für die Synchronisierung der Active Directory-Benutzer durch.
-
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung mit Ihren Active Directory-Benutzern durch.
Bei der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und es wird keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine Standard-Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreiches automatisches Abschließen der Zuweisung.
| 1 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , klicken Sie auf Benutzer verwalten, wählen Sie Alle synchronisierten Benutzer ändern und klicken Sie dann auf Weiter. |
| 2 |
Wählen Sie eine Option: |
Nächste Schritte
-
Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung gesendet, um Webex beizutreten und herunterzuladen.
-
Wenn Sie für alle Benutzer dieselben Webex-Dienste ausgewählt haben, können Sie anschließend die zugewiesene Lizenz einzeln oder gesammelt ändern.
Bekannte Probleme mit dem Directory Connector
-
Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das sich auf den Directory Connector auswirkt. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
-
Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.
Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
-
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, läutet der Anruf zu diesem Zeitpunkt unbegrenzt.
Benutzer der Webex-App verwalten
Durchführen einer inkrementellen Synchronisierung
Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen die Änderung der Attribution für Benutzer sowie den Zeitpunkt, zu dem ein Benutzer hinzugefügt oder gelöscht wird.
Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie die ursprüngliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.
Vorbereitungen
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
-
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen ):
-
Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
-
Bei neuen Konfigurationsänderungen für die Attributzuordnung, Basis-DN, Filter und die Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und erfordert eine vollständige Synchronisierung.
-
| 1 |
Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen. |
| 2 |
Klicken Sie unter Aktionen auf Synchronisierungsmodus > Synchronisierung aktivieren , falls dies noch nicht geschehen ist. Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen anhand des letzten Zeitstempels. |
| 3 |
Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.
|
| 4 |
Um weitere Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen auf Ereignisanzeige starten , um die Fehlerprotokolle anzuzeigen. |
Nächste Schritte
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.
Versehentlich gelöschte Benutzer wiederherstellen
Der Verzeichniskonnektor verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Die Funktion „Soft-Delete“ kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.
Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, beispielsweise aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung aus dem Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie einen nicht übereinstimmenden Objekthinweis sehen oder festgestellt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.
Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer bis zu 7 Tage lang bei. Während dieser Zeit können Sie weiterhin Cisco Directory Connector verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so bald wie möglich wiederherzustellen.
Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nach 7 Tagen nicht gelöscht.
| 1 | |
| 2 |
Wechseln Sie zu Benutzer und bestätigen Sie, ob sich ein bestimmtes Benutzerkonto im Status „Inaktiv“ befindet oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub. |
| 3 |
Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer im Status „Inaktiv“ bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Das Ziel mit Directory Connector ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu schaffen. |
| 4 |
Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten mit Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und Dienstzuweisungen. |
Nächste Schritte
Kehren Sie zu Control Hub zurück, gehen Sie zu und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.
Benutzer nach dem weichen Löschen dauerhaft löschen
Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung soft gelöscht wurden, dauerhaft löschen.
| 1 |
Wählen Sie nach Abschluss eines Probelaufs Weich gelöschte Objekte aus. |
| 2 |
Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten. |
| 3 |
Wählen Sie Fertig aus. |
Nächste Schritte
Bei der nächsten Synchronisierung werden die von Ihnen geprüften Benutzer dauerhaft gelöscht.
E-Mail-Adresse einer Webex-App ändern
Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren behandelt das Ändern der E-Mail-Adresse der Webex-App für eine einzelne Domäne und einen Prozess zum Ändern der Domäne.
Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto. Dabei gehen die Bereiche des Benutzers und andere Daten in der Cloud verloren.
Der Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch mit der Cloud resynchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung zu „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten.
Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre Webex-App-E-Mail-Adressen über die Seite mit den Kontoeinstellungen ändern. Unter E-Mail-Adresse für Ihr Konto ändern finden Sie Schritte, die Benutzer befolgen können, um ihre E-Mails zu ändern.
Active Directory-Domäne ändern
Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.
| 1 |
Richten Sie eine neue Active Directory (AD)-Domäne ein. |
| 2 |
Deaktivieren Sie die Synchronisierungen für all Ihre Konnektoren. |
| 3 |
Deinstallieren Sie alle Ihre Konnektoren. |
| 4 |
Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Fallübermittlung sicher, dass Sie die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall aufgelöst wurde. |
| 5 |
Nachdem der Fall behoben ist: Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen. |
Domänenanspruch
Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass ein Sideboarding-Konto in der zahlungspflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können eine Domäne nur über einen Support-Fall beanspruchen (weitere Informationen finden Sie unter dem folgenden Link).
Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, wie ein eingeladener Benutzer zu einem Webex-App-Bereich hinzugefügt werden kann, besteht darin, das Konto zunächst mithilfe des Directory Connectors in Control Hub bereitzustellen.
Benutzer der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis konvertieren
Sie können nur eindeutige E-Mail-Adressen im Webex-App-Verzeichnis verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App registriert haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Um Benutzer in dieser Organisation mithilfe des Verzeichniskonnektors zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie den Verzeichniskonnektor aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.
Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.
Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung konnte nicht konvertiert werden
angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.
Einige beanspruchte Benutzer werden bei einem Probelauf möglicherweise mit dem Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Gelöschte Objekte anstelle von Nicht übereinstimmendes Objekt angezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.
Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle in Ihrer Nähe gelöscht, die mit der Cloud synchronisiert werden.
| 1 |
Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector. |
| 2 |
Befolgen Sie das Verfahren Konvertieren von Benutzern ohne Lizenz in Control Hub , um den Benutzer von der kostenlosen Verbraucher-Organisation zur Enterprise-Organisation zu konvertieren. Bei diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind. |
| 3 |
Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und sich Konten nur in Control Hub befinden, wird bei Directory Connector die Groß- und Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, gehen alle ihre Webex-App-Bereiche verloren. |
| 4 |
Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren. |
Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die automatische Lizenzvorlage aktiviert und anschließend den Verzeichniskonnektor ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.
Sideboarding-Benutzerkonten für Webex-App
Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.
Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.
Benutzerformat der Webex-App nach der Verzeichnissynchronisierung ändern
Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.
Nach der Verzeichnissynchronisierung werden Benutzernamen möglicherweise im Format angezeigt.
Dieser Benutzername wird möglicherweise angezeigt, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud zu displayName zugeordnet wird, werden Namen in Control Hub im Format angezeigt.
So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) dem displayName in Cisco Cloud-Attributnamen zu.
Alternativ können Sie das Attribut sn givenName dem displayName zuordnen:
Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck displayName zuordnen möchten.
Geben Sie beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) als Ausdruck ein. Dadurch werden die beiden Attribute in Active Directory dem displayName in der Cloud zugeordnet.
Benutzer können Anzeigenamen in Webex Meetings ändern
Sie können die Zuordnung des displayName -Attributs der Synchronisierung mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern die Bearbeitung ihrer bevorzugten Anzeigenamen erlauben möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird, anstatt ihren Vor- und Nachnamen eingeben. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. |
| 2 |
Wählen Sie displayName unter Cisco Cloud-Attributname aus. |
| 3 |
Wählen Sie Dieses Attribut nicht synchronisieren aus. |
Nächste Schritte
Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.
Directory Connector – Problembehandlung
Upgrade auf die neueste Softwareversion
Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie kein Upgrade auf die neueste verfügbare Version durchführen, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische TLS 1.2-Anforderung nicht unterstützt.
Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.
Obwohl Sie Connector-Softwareaktualisierungen manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.
| 1 |
Klicken Sie in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten. |
| 2 |
Befolgen Sie die Anweisungen, um das Upgrade durchzuführen. |
| 3 |
Starten Sie den Connector neu, und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an. |
| 4 |
Überprüfen Sie die Versionsnummer der Software unter . |
Nächste Schritte
Für eine neue Installation von Directory Connector können Sie die ZIP-Datei herunterladen und dann die Installationsschritte in diesem Handbuch befolgen.
Konfigurieren von allgemeinen Einstellungen für Directory Connector
Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.
| 1 |
Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Allgemein. |
| 2 |
Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird. |
| 3 |
Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen:
Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf Fehler festlegen, werden nur Fehler im Synchronisierungsbericht gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“. Nach der vollständigen Synchronisierung erhalten Sie Synchronisierungsberichte. (Beachten Sie, dass für die inkrementelle Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.) |
| 4 |
Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen. |
| 5 |
Aktivieren Sie Automatisches Upgrade auf neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, dass Ihre Cisco Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind. |
| 6 |
Aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSL nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher. |
Connector-Richtlinie konfigurieren
Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.
Sie legen beispielsweise 1 als Schwellenwert für den Löschvorgang fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus. |
| 2 |
Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
|
| 3 |
Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20. Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen. |
| 4 |
Klicken Sie auf Übernehmen. |
Legen Sie den Connector-Zeitplan fest
Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Zeitplan aus. |
| 2 |
Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben. |
| 3 |
Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden. |
| 4 |
Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll. |
| 5 |
Geben Sie einen Wert für Failover-Intervall in Minuten an. |
| 6 |
Klicken Sie auf Übernehmen. |
Szenarien mit mehreren Domänen
Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.
Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.
Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.
Beispielanwendungen für mehrere Domänen
Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.
-
Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
-
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
-
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
-
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.
- Synchronisierung auf example1.com
-
Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.
Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.
User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.
- Synchronisierung für example1.com und example2.com
-
Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.
Stellen Sie sich das folgende Szenario vor:
- Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
- Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
- Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
- Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.
Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne
Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.
Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.
Domänenpriorität festlegen
Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.
Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.
Vorbereitungen
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie steht unter https://admin.webex.com zum Download bereit.
| 1 |
Klicken Sie im Cisco Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen. |
| 3 |
Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern. Die Domänen werden in absteigender Reihenfolge sortiert. |
Domäne wechseln
Mit diesem Verfahren können Sie den Cisco-Verzeichniskonnektor erneut an eine andere Domäne binden.
Vorbereitungen
-
Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
-
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie müssen sie über Control Hub herunterladen.
| 1 |
Klicken Sie im Cisco Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln. |
| 3 |
Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, die Registrierung anderer Domänen im Connector wird aufgehoben, und die Connector-Informationen auf diesem Computer werden gelöscht. |
| 4 |
Melden Sie sich erneut beim Cisco-Verzeichniskonnektor an, und binden Sie die Domäne erneut. |
Verzeichnissynchronisierung deaktivieren
Wenn Sie die Synchronisierung über den Verzeichniskonnektor beenden müssen, können Sie sie über Control Hub vorübergehend deaktivieren.
| 1 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:
|
| 2 |
Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten. Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren. |
Benutzerattributzuordnung entfernen
Verwenden Sie den Verzeichniskonnektor, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.
| 1 |
Klicken Sie in Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 3 |
Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus. |
| 4 |
Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus:
|
| 5 |
Klicken Sie auf Übernehmen. |
Profilbilder verwalten
Verwenden Sie den Verzeichniskonnektor, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.
| 1 |
Klicken Sie in Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 3 |
Wählen Sie unter Aktionen eine der folgenden Optionen aus:
|
| 4 |
Klicken Sie auf Übernehmen. |
Directory Connector deinstallieren und deaktivieren
Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:
-
Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
-
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
-
Sie möchten die Domäne ändern und einen anderen Connector installieren.
Vorbereitungen
-
Möglicherweise werden mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder Synchronisierung mit mehreren Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
-
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie den Directory Connector deinstallieren.
| 1 |
Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen. |
| 2 |
Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallieren aus und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen. |
| 3 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , blättern Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr |
| 4 |
Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren. Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung. |
Ausführen des Diagnosetools
Sie können das integrierte Diagnosetool verwenden, um Fehler bei der Directory Connector-Bereitstellung zu beheben. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.
Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.
-
So führen Sie Tests für Active Directory-Domänendienste aus:
-
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
-
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
Beheben von Problemen im Ciso Directory Connector
Fehlerbehebung und Fehlerbehebungen für den Directory Connector
Möglicherweise tritt eine Fehlermeldung oder ein anderes Problem im Directory Connector auf. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet der Connector Ihnen möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. Bevor Sie sich an den Support wenden, lesen Sie die folgenden Abschnitte über mögliche Probleme, mögliche Ursachen und vorgeschlagene Lösungen.
Installieren
Directory Connector funktioniert nicht mehr
Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber benachrichtigt wurden, dass Ihr Directory Connector nicht funktioniert.
-
Der Directory Connector ist möglicherweise nicht korrekt installiert.
-
Directory Connector wird möglicherweise nicht ausgeführt.
-
Das Netzwerk ist möglicherweise nicht verfügbar.
Gehen Sie wie folgt vor:
-
Öffnen Sie . Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
-
Öffnen Sie den Dienst und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status Gestartet angezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
-
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, über Internetzugang verfügt.
Fehler bei erneuter Installation
Problem: Wenn Sie sofort einen neuen Connector installieren, nachdem Sie einen alten deinstalliert haben, wird möglicherweise eine Fehlermeldung angezeigt.
Mögliche Ursache: In Windows Server 2012 benötigt der Client zur Deinstallation Zeit, um das Dienstkonto aus der Dienstliste zu löschen.
Lösung: Versuchen Sie die Installation nach einiger Zeit erneut.
Anmelden
Directory Connector stürzt bei der SSO-Anmeldung ab
Problem
Der Directory Connector kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.
Lösung
Gehen Sie wie folgt vor:
Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:
-
Wechseln Sie zum Domänencontroller und öffnen Sie Group Policy Management (gpedit.msc).
-
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne, und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
-
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie Bearbeiten aus.
Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:
-
Gehen Sie zu , klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
-
Geben Sie unter Key Path die Option HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
-
Geben Sie
Disable Script Debuggerfür Value undnofür Value data ein.Die Einstellungen sollten mit diesem Screenshot übereinstimmen:
Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:
-
Gehen Sie zu , klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
-
Geben Sie unter SchlüsselpfadHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
-
Geben Sie
Disable Script Debuggerfür Value undnofür Value data ein.Die Einstellungen sollten mit diesem Screenshot übereinstimmen:
Die Änderungen werden wirksam, nachdem Sie gpupdate /force ausgeführt haben, die Maschine neu gestartet wurde (bei Änderungen am Computer) oder sich der Benutzer erneut anmeldet (bei Änderungen am Benutzer).
Cisco DirSync Service Connector konnte nicht registriert werden
Problem
Anmeldung fehlgeschlagen, und die folgende Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“
Lösung
Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.
Die Seite „Keine Anmeldung“ wird angezeigt
Problem
Sie haben den Verzeichniskonnektor geöffnet und die Anmeldeseite wurde nicht angezeigt.
Lösung
Gehen Sie wie folgt vor:
-
Navigieren Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie den Link in anderen Browsern wie Chrome und Firefox.
-
Wenn Internet Explorer den Link nicht aufrufen kann, andere Browser dies jedoch können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren .)
Anmeldeaufforderung wird angezeigt
Problem
Es wird eine Aufforderung angezeigt, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu bestehen.
Mögliche Ursache
Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.
Lösung
Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Übergabe der Sicherheit bereitstellen.
Verbindung zum Remote-Server nicht möglich
Problem
Während des normalen Betriebs wird die Fehlermeldung „Keine Verbindung zum Remote-Server möglich“ angezeigt.
Mögliche Ursache
Möglicherweise gibt es Proxy-Probleme, die behoben werden müssen.
Lösung
Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung mit Dienstkonto beheben .
Konnektor kann nicht registriert werden.
Problem
Es wird die Fehlermeldung „Der Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“
Mögliche Ursache
In den meisten Fällen liegt das Problem darin, dass der Directory Connector keine Berechtigung für eine Verbindung mit dem LDAP-Stammkontext hat.
Lösung
Gehen Sie wie folgt vor:
-
Führen Sie eine Eingabeaufforderung (cmd) aus, und geben Sie ldp.exe ein.
-
Klicken Sie auf , wählen Sie Als aktuell angemeldeten Benutzer binden und klicken Sie dann auf OK.
-
Klicken Sie auf , geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.
-
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall beim Support.
Synchronisierung
Avatare nicht synchronisiert
Problem
Der Cisco Directory Connector hat die Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatar-Daten erfolgreich synchronisiert.
Mögliche Ursache
Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache diese und vermeidet es, erneut zu senden, um Bandbreite zu sparen.
Lösung
Führen Sie die folgenden Schritte aus, um den lokalen Cache zu löschen:
-
Gehen Sie zu C:\Programme (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Löschen DirSyncPluginAvatar.dll-cache.bin.
-
Führen Sie die Avatar-Synchronisierung über den Cisco-Verzeichniskonnektor erneut aus.
In Konflikt stehende Benutzer-E-Mail-Konten
Problem
Die Synchronisierungsergebnisse können in Konflikt stehende Benutzer-E-Mail-Konten anzeigen.
-
Wenn Benutzer die kostenlose Version der Webex-App versucht haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.
-
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
-
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.
Lösung
Gehen Sie wie folgt vor:
-
Befolgen Sie die folgenden Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
-
Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
-
Deaktivieren Sie Cisco Directory Connector vorübergehend.
-
Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucherorganisation vorhanden sein könnten. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
-
Probelauf im Cisco Directory Connector durchführen und die Verzeichnissynchronisierung anschließend erneut aktivieren
-
-
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen.
Konvertierter Benutzer als inaktiv markiert
Problem
In Ihrer verzeichnissynchronisierten Umgebung haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.
Mögliche Ursache
Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer als 30 Tage lang als inaktiv markiert, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des Zeitraums von 30 Tagen zur Löschung markiert. Diese Situation tritt auf, da sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.
Lösung
Sie müssen entsprechende Maßnahmen ergreifen, wenn das Benutzerkonto nicht gelöscht werden soll. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.
Inkrementelle Synchronisierung schlägt fehl
Problem
Eine inkrementelle Synchronisierung schlägt fehl.
Dieses Problem kann unter folgenden Bedingungen auf Windows Server 2008 R2 auftreten:
-
Sie unterstützen inkrementelle Wertaktualisierungen.
-
Der Filter, den Sie verwenden, referenziert ein verknüpftes Werteattribut.
-
Die Ergebniswerte dieses Attributs wurden seit der letzten Durchführung einer vollständigen Synchronisierung aktualisiert.
Lösung
Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihren Windows Server auf mindestens 2012 R2 zu aktualisieren.
Ungültiger Wert für Merkmal
Problem
Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].
Mögliche Ursache
Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.
Lösung
Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.
Übereinstimmende Benutzer zum Löschen
Problem
Die übereinstimmenden Benutzer werden als gelöscht markiert.
Wenn Sie einen Probelauf zur Überprüfung der Daten zwischen Active Directory und der Cloud durchführen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Systemen angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.
Lösung
Wählen Sie eine geeignete Lösung:
-
Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen danach zu wiederholen, können Sie den Directory Connector für die Behebung verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.
-
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Support-Fall.
Attribut fehlt
Problem
Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.
Mögliche Ursache
Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsbenutzer,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert aufweisen.
Lösung
Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.
Verschachtelte Gruppe wird nicht synchronisiert
Problem
Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.
Mögliche Ursache
Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Beispiel: (Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)
Lösung
Sie müssen den Filter, der Gruppen synchronisiert, neu konfigurieren. Beispiel: |(Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)(Mitglied=CN=testSubGroup,CN=Benutzer,DC=rktest2008,DC=org)
Konflikt bei Benutzerbenennung
Problem
Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und des Benutzertyps [user_type].
Mögliche Ursache
Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.
Lösung
Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.
Control Hub
Benutzerliste fehlt in Control Hub
Problem
Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird Ihnen die Benutzerliste in Control Hub möglicherweise nicht angezeigt.
Lösung
Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Wechseln Sie in Control Hub zu Benutzer, klicken Sie auf Suchen und geben Sie dann Suchkriterien ein, um nach einem bestimmten Benutzer zu suchen.
Gruppen werden nicht mit Control Hub synchronisiert
Problem
Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.
Mögliche Ursache
Die Gruppe ist in Active Directory nicht als isCriticalSystemObject markiert.
Lösung
Stellen Sie sicher, dass das Attribut isCriticalSystemObject in Active Directory auf TRUE gesetzt ist.
Problembehandlung für den Directory Connector aktivieren
Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.
Die Protokolldateien, die sind: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Führen Sie die Datei |
| 2 |
Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten. |
| 3 |
Klicken Sie im Directory Connector auf Dashboard. |
| 4 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 5 |
Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können. |
| 6 |
Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt. Der Protokollordner speichert nur Dateien für die letzten 3 Tage. Der Inhalt in den Protokolldateien entspricht der Ausgabe des Ereignisprotokolls für das System. |
| 7 |
Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten. |
| 8 |
Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind. |
Starten der Ereignisanzeige
Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.
| 1 |
Wechseln Sie aus dem Directory Connector zu Dashboard und klicken Sie auf . Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails. |
| 2 |
Wechseln Sie in der Ereignisanzeige zu .
|
| 3 |
Klicken Sie unter Aktionen auf Alle Events speichern unter , um alle Protokolle als einzelne Events-Datei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren. |
Nächste Schritte
Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und fügen Sie dann die Events-Datei an Ihren Fall an.
In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Hilfe bei der Verwaltung des Netzwerkdatenverkehrs zu erhalten.
TLS in Internet Explorer aktivieren
Wenn Sie Single Sign-On (SSO)-Anbieter gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:
-
Bei der Anmeldung am Dienst ist ein Fehler aufgetreten
-
Im Skript auf dieser Seite ist ein Fehler aufgetreten
Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.
| 1 |
Öffnen Sie Internet Explorer und wählen Sie Werkzeuge aus. Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die aktiviert werden soll. Klicken Sie auf OK. Schließen Sie den Browser und öffnen Sie ihn erneut. |
| 2 |
Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , und scrollen Sie zu Sicherheit. |
| 3 |
Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden , und klicken Sie auf OK.
|
| 4 |
Starten Sie das System neu, damit die Änderungen übernommen werden. |
Anmeldeprobleme für Dienstkonten beheben
Wenn Sie sich nicht beim Cisco Directory Connector anmelden können oder keine Synchronisierung durchführen können, versuchen Sie anhand der folgenden Schritte, das Problem zu beheben, bevor Sie sich an den Support wenden.
| 1 |
Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen. |
| 2 |
Wählen Sie je nach den Ergebnissen eine Option:
|
| 3 |
Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (das unter den Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar- und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung für das Windows-Anmeldekonto. |
Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung
Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.
Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.
Vorbereitungen
Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.
| 1 |
Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste. |
| 2 |
Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wählen Sie eine Option:
|
Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.
Übersicht über Cisco Directory Connector
Directory Connector – Übersicht
Directory Connector ist eine lokale Anwendung für die Identitätssynchronisierung in der Cloud. Sie laden die Connector-Software von Control Hub herunter und installieren sie auf Ihrem lokalen Computer.
Mit Directory Connector können Sie Ihre Benutzerkonten und Daten im Active Directory verwalten, sodass Active Directory zur zentralen Informationsquelle wird. Wenn Sie eine Änderung lokal vornehmen, wird diese in die Cloud kopiert.
In der nachstehenden Tabelle finden Sie alle Funktionen, Beschreibungen und Vorteile:
| Funktion | Beschreibung und Vorteil |
|---|---|
| Benutzerfreundliches Dashboard | Das Dashboard bietet einen Synchronisierungszeitplan, eine Übersicht, den Synchronisierungsstatus und den Status des Directory Connectors. Sie können das Dashboard jederzeit anzeigen, wenn Sie sich anmelden. |
| Probelauf, bevor die Synchronisierung in die Cloud durchgeführt wird | Führen Sie einen Probelauf mit Änderungen am Verzeichnis durch, bevor sie in der Cloud implementiert werden. Führen Sie anschließend einen Bericht aus, um festzustellen, ob die geplanten Änderungen das erwartete Ergebnis herbeiführen. |
| Vollständige und inkrementelle Synchronisierung | Synchronisieren Sie das gesamte Verzeichnis. Oder synchronisieren Sie nur die inkrementellen Änderungen, um Rechenleistung einzusparen und die Synchronisierungszeit zu verkürzen. |
|
Synchronisieren mehrerer Domänen (einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) |
Directory Connector unterstützt mehrere Domänen entweder in einer einzelnen Gesamtstruktur oder in mehreren Gesamtstrukturen (ohne AD LDS). Für Unternehmen mit mehreren Active Directory-Domänen können Sie einen Directory Connector für jede Domäne installieren, jede Domäne an Ihre Organisation binden und dann jede Benutzerbasis in Webex synchronisieren. Der Control Hub spiegelt den Status wider, indem er den Synchronisierungsstatus für mehrere Directory Connectors anzeigt. Damit können Sie die Synchronisierung für eine bestimmte Domäne deaktivieren und einen Directory Connector in einer Hochverfügbarkeitsbereitstellung deaktivieren. |
| Geplante Synchronisierung | Legen Sie einen Synchronisierungszeitplan nach Tag, Stunde und Minute fest. |
| LDAP-Filter (Lightweight Directory Access Protocol) | Definieren Sie LDAP-Suchkriterien und stellen Sie effiziente Importe bereit. |
| Active Directory-Attributzuordnung | Ordnen Sie Microsoft Active Directory-Attribute den entsprechenden Webex-Cloud-Attributen zu. Sie können Attribute zuordnen, die für Ihre Active Directory-Konfiguration relevant sind, und auch benutzerdefinierte Attribute definieren, um die Cloud zuzuordnen. Die Attribute aus dem Standort bilden verschiedene Daten in der Cloud, z. B. Benutzerkontoinformationen, Enteprise-Telefonnummern in Webex Teams, Raumressourcen-SIP-Adressen und andere Kontaktkartendaten des Benutzers (Stellenbezeichnung, Abteilung, Manager usw.). |
|
Unternehmensverzeichnis für lokale Raumressourcen und Cisco Webex Calling (Cloud PSTN)-Benutzer und Unternehmenskontakte ohne Webex-Lizenzierung |
Wenn ein Teil Ihrer Organisation Cisco Webex Calling Cloud-PSTN für den Anrufdienst verwendet oder Sie lokale Raumgeräte haben, können Benutzer mit dieser Funktion das Verzeichnis nach Unternehmenskontakten auf ihren Cisco Webex Calling (Cloud-PSTN)-Telefonen oder Raumressourcen durchsuchen.
|
| Ereignisanzeige | Verwenden Sie die Ereignisanzeige, um zu ermitteln, ob Probleme mit der Synchronisierung bestehen. |
| Diagnose-Tool und Fehlerbehebung | Sie können das integrierte Diagnosetool verwenden, um Probleme bei Ihrer Cisco Verzeichniskonnektor beheben. Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu Active Directory, damit Sie Fehler selbst diagnostizieren können, bevor Sie sich an den Support wenden. Nachdem Sie die Fehlerbehebung im Directory Connector aktiviert haben, werden Protokolle geschrieben, die an den technischen Support gesendet werden können. |
| Automatisches Upgrade | Nachdem Sie Directory Connector installiert haben, erhalten Sie eine Benachrichtigung, wenn eine neue Softwareversion verfügbar ist. Sie können automatische Upgrades so einrichten, dass Sie immer auf der neuesten Version der Software sind, wenn eine neue Version veröffentlicht wird. |
| Hohe Verfügbarkeit | Konfigurieren Sie mehrere Connectoren, damit es eine Sicherung gibt, falls der Hauptconnector oder der hostende Computer ausfällt. |
Directory Connector ist in drei Bereiche unterteilt:
-
Control Hub ist die zentrale Schnittstelle, über die Sie alle Aspekte Ihrer Webex-Organisation verwalten können: Benutzer anzeigen, Lizenzen zuweisen, Directory Connector herunterladen und die Einzelanmeldung (SSO) konfigurieren, wenn Ihre Benutzer sich über ihren Unternehmensidentitätsanbieter authentifizieren sollen und Sie keine E-Mail-Einladungen für die Webex-App versenden möchten.
-
Die Directory Connector-Verwaltungsoberfläche ist die Software, die Sie von Control Hub herunterladen und auf einem vertrauenswürdigen Windows-Server installieren. Für mehrere Active Directory-Domänen können Sie eine Instanz der Software für jede Domäne installieren, die Sie synchronisieren möchten. Mit der Software können Sie eine Synchronisierung durchführen, um Ihre Active Directory-Benutzerkonten in Webex zu bringen, den Synchronisierungsstatus anzuzeigen und zu überwachen und die Directory Connector-Dienste zu konfigurieren.
-
Der Verzeichnissynchronisierungsdienst ruft Benutzer und Gruppen aus Ihrem Active Directory ab, um sie mit dem Connector-Dienst und dem Directory Connector zu synchronisieren.
Weitere Informationen zur Directory Connector-Architektur finden Sie in diesem Diagramm:
Vorbereiten Ihrer Umgebung für den Directory Connector
Anforderungen für den Directory Connector
Windows- und Active Directory-Anforderungen
Sie können Directory Connector auf den folgenden unterstützten Windows-Servern installieren:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Um ein Cookie-Problem zu beheben, empfehlen wir Ihnen, Ihren Domänencontroller auf eine Version zu aktualisieren, die das Fix enthält – Windows Server 2012 R2 oder 2016.
Directory Connector wird von den folgenden Active Directory-Diensten unterstützt:
-
Active Directory 2016
(Directory Connector wird bei Verwendung der neuesten Version von Active Directory unter Windows Server 2019 unterstützt)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Beachten Sie die folgenden zusätzlichen Anforderungen:
-
Directory Connector erfordert TLS1.2. Sie müssen Folgendes installieren:
-
.NET Framework v3.5 (erforderlich für die Directory Connector-Anwendung. Wenn Probleme auftreten, folgen Sie den Anweisungen unter Aktivieren Sie .NET Framework 3.5 mit dem Assistenten zum Hinzufügen von Rollen und Funktionen.)
-
.NET Framework v.4.5 (erforderlich für TLS1.2)
-
-
Funktionsebene 2 der Active Directory-Gesamtstruktur (Windows Server 2003) oder höher erforderlich. (Weitere Informationen finden Sie unter Was sind Active Directory-Funktionsebenen?.)
Hardware-Anforderungen
Sie müssen Directory Connector auf einem Computer installieren, auf dem die folgenden Mindestanforderungen an die Hardware erfüllt sind:
-
8 GB RAM
-
50 GB Speicherplatz
-
Keine Mindestanforderung für die CPU
Netzwerk-Anforderungen
Wenn sich Ihr Netzwerk hinter einer Firewall befindet, stellen Sie sicher, dass Ihr System über HTTPS-Zugriff (Port 443) auf das Internet verfügt.
Anforderungen der Webex-Organisation
-
Um von Control Hub aus auf die Directory Connector-Software zugreifen zu können, benötigen Sie eine Webex-Organisation mit einer Testversion oder einem bezahlten Abonnement.
-
(Optional) Wenn neue Webex-App-Benutzerkonten Aktiv sein sollen, bevor sie sich zum ersten Mal anmelden, empfehlen wir Ihnen, Folgendes zu tun:
-
Fügen Sie Domänen hinzu, überprüfen und optional beanspruchen Sie sie , die die E-Mail-Adressen der Benutzer enthalten, die Sie mit der Cloud synchronisieren möchten.
-
Integrieren Sie Ihren Identitätsanbieter (IdP) mit Ihrer Webex-Organisation durch die einmalige Anmeldung (Single Sign-On, SSO).
-
Automatische E-Mail-Einladungen unterdrücken, damit neue Benutzer die automatische E-Mail-Einladung nicht erhalten und Sie Ihre eigene E-Mail-Kampagne durchführen können. (Diese Funktion erfordert die SSO-Integration.)
-
Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub.
Installationsanforderungen
-
In einer Umgebung mit mehreren Domänen (entweder einzelne Gesamtstruktur oder mehrere Gesamtstrukturen) müssen Sie einen Directory Connector für jede Active Directory-Domäne installieren. Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren.
-
Für die Anmeldung beim Connector ist kein Administratorkonto in Active Directory erforderlich. Wir benötigen ein lokales Benutzerkonto, das derselbe Benutzer wie ein Volladministratorkonto in Control Hub ist.
Dieser lokale Benutzer muss auf diesem Windows-Computer über Berechtigungen verfügen, um eine Verbindung zum Domänencontroller herzustellen und Active Directory-Benutzerobjekte zu lesen. Das Computeranmeldekonto sollte ein Computeradministrator mit Berechtigungen zum Installieren von Software auf dem lokalen Computer sein. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
-
Während der Anmeldung beim Connector muss das Anmeldekonto mit dem vollständigen Administratorkonto für Control Hub identisch sein. Standardmäßig verwendet der Connector für den Zugriff auf Active Directory das lokale Systemkonto. Sie können jedoch Windows-Dienste verwenden, um ein anderes Konto für den Zugriff auf Active Directory zu konfigurieren. (Diese Informationen gelten auch für die Anmeldung einer virtuellen Maschine.)
-
Stellen Sie sicher, dass der Suchmodus für die Windows Safe Dynamic Link Library (DLL) mit diesem Verfahren aktiviert ist: Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung.
-
Wenn Sie AD LDS für mehrere Domänen in einem einzigen Wald verwenden, sollten Sie Directory Connector und Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) auf separaten Computern installieren.
Mehrere Domänenanforderungen
Bevor Sie den Aufgaben im Ablauf der Bereitstellungsaufgabe für den Cisco-Verzeichniskonnektor folgen, beachten Sie die folgenden Anforderungen und Empfehlungen, wenn Sie Active Directory-Informationen aus mehreren Domänen in die Cloud synchronisieren möchten:
-
Für jede Domäne ist eine separate Directory Connector-Instanz erforderlich.
-
Die Directory Connector-Software muss auf einem Host ausgeführt werden, der sich in derselben Domäne befindet, die synchronisiert wird.
-
Wir empfehlen Ihnen, Ihre Domänen in Control Hub zu verifizieren oder zu beanspruchen. (Siehe Hinzufügen, Überprüfen und Beanspruchen von Domänen.)
-
Wenn Sie mehr als 50 Domänen synchronisieren möchten, müssen Sie ein Ticket öffnen , damit Ihre Organisation in eine große Organisationsliste verschoben wird.
-
Bei Bedarf können Sie Informationen zu Raumressourcen mit Benutzerkonten synchronisieren. (Siehe Synchronisieren von lokalen Rauminformationen mit der Webex Cloud.)
Empfehlungen der Active Directory-Gruppe für die automatische Lizenzzuweisung
Active Directory-Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Die Arbeit mit Gruppen anstatt mit einzelnen Benutzern vereinfacht die Netzwerkwartung und -verwaltung.
Active Directory enthält zwei Arten von Gruppen:
-
Verteilergruppen – wird zum Erstellen von E-Mail-Verteilerlisten verwendet.
-
Sicherheitsgruppen: Wird verwendet, um Berechtigungen für geteilte Ressourcen zuzuweisen.
Beachten Sie die folgenden Richtlinien, wenn Sie Gruppen in Active Directory erstellen:
-
Erstellen Sie eine globale Gruppe für jede Rolle, Abteilung oder Dienstleistung (z. B. Vertrieb, Marketing, Manager, Buchhalter, Webex Licensing usw.).
-
Verwenden Sie organisationsübergreifende Standard-Benennungskonventionen, um die Identifizierung wichtiger Informationen über eine Gruppe zu erleichtern. Gruppennamen können Details zur Gruppe enthalten, z. B. die Zugriffsstufe, die Art der Ressource, die Sicherheitsstufe, den Gruppenumfang, die E-Mail-Funktion usw. Der Gruppenname „GSG_Webex_Licensing_EMEAR“ bezieht sich beispielsweise auf eine globale Sicherheitsgruppe für Webex Licensing-EMEAR-Benutzer.
-
Organisieren Sie Gruppen auf leicht verständliche Weise, z. B. nach Geografie oder Hierarchie. Verwenden Sie Gruppenbeschreibungen, um den Zweck der Gruppe vollständig zu beschreiben.
-
Bevor Sie Benutzer zu neu bereitgestellten Gruppen hinzufügen, definieren Sie die automatische Lizenzgruppenvorlage in Control Hub für diese Gruppen. Weitere Informationen finden Sie unter Vorlage für die automatische Lizenzzuweisung einrichten .
Informationen zur Größe
Directory Connector fungiert als Brücke zwischen dem lokalen Active Directory und der Webex-Cloud. Daher hat der Connector keine Obergrenze für die Anzahl der Active Directory-Objekte, die mit der Cloud synchronisiert werden können. Alle Beschränkungen lokaler Verzeichnisobjekte sind an die spezifische Version und die Spezifikationen für die Active Directory-Umgebung gebunden, die mit der Cloud synchronisiert wird, nicht an den Connector selbst.
Einige Faktoren können die Geschwindigkeit der Synchronisierung beeinflussen:
-
Die Gesamtzahl der Active Directory-Objekte. (Ein 5000-Benutzer-Synchronisierungsjob dauert nicht so lange wie 50000.)
-
Netzwerkgeschwindigkeit und Bandbreite.
-
Systemauslastung und Spezifikationen.
Wenn Sie mehr als 50000 Benutzer synchronisieren, empfehlen wir dringend, einen zweiten Connector für Failover und Redundanz zu verwenden.
Da bei der Synchronisierung mehrere Faktoren beteiligt sind und jede Bereitstellung abhängig von den oben genannten Faktoren variiert, können wir keine spezifischen Zeitwerte angeben, die angeben, wie lange eine Objektsynchronisierung dauern wird.
Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung
Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.
Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.
Vorbereitungen
Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.
| 1 |
Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste. |
| 2 |
Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wählen Sie eine Option:
|
Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.
Webproxy-Integration
Webproxy-Integration
Falls in Ihrer Umgebung Webproxy-Authentifizierung aktiviert ist, können Sie Directory Connector dennoch verwenden.
Wenn Ihre Organisation einen transparenten Webproxy verwendet, wird keine Authentifizierung unterstützt. Der Connector stellt eine Verbindung her und synchronisiert die Benutzer.
Sie können einen der folgenden Ansätze verwenden:
-
Expliziter Webproxy über Internet Explorer (der Connector erbt die Webproxy-Einstellungen)
-
Expliziter Webproxy über eine .pac-Datei (der Connector erbt die unternehmensspezifischen Proxyeinstellungen)
-
Transparenter Proxy, der ohne Änderungen mit dem Connector funktioniert
Webproxy über den Browser verwenden
Sie können den Directory Connector so einrichten, dass ein Webproxy über Internet Explorer verwendet wird.
Wenn der Cisco DirSync-Dienst mit einem anderen Konto als dem aktuell angemeldeten Benutzer ausgeführt wird, müssen Sie sich ebenfalls mit diesem Konto anmelden und den Webproxy konfigurieren,
| 1 |
Wechseln Sie von Internet Explorer zu Internetoptionen, klicken Sie auf Verbindungen und wählen Sie LAN-Einstellungen aus. |
| 2 |
Verweisen Sie die Windows-Instanz, auf die der Connector installiert ist, auf Ihren Webproxy. Der Connector erbt diese Webproxy-Einstellungen. |
| 3 |
Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:
Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann. |
| 4 |
Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:
Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss. |
Webproxy über eine PAC-Datei konfigurieren
Sie können einen Clientbrowser für die Verwendung einer .pac-Datei konfigurieren. Diese Datei enthält die Webproxy-Adresse und die Portinformationen. Directory Connector erbt die unternehmensspezifische Webproxy-Konfiguration direkt.
| 1 |
Damit der Connector sich erfolgreich mit der Webex Cloud verbinden und die Benutzerinformationen synchronisieren kann, müssen Sie die Proxy-Authentifizierung für |
| 2 |
Falls Ihre Umgebung Proxy-Authentifizierung verwendet, fügen Sie diese URLs zur Liste der erlaubten Sites hinzu:
Sie können diese Funktion entweder für die gesamte Site (für alle Hosts) durchführen oder nur für den Host, der über den Connector verfügt. Wenn Sie diese URLs zu einer erlaubten Liste hinzufügen, um Ihren Webproxy komplett zu umgehen, müssen Sie die ACL-Tabelle in Ihrer Firewall so aktualisieren, dass der Connector-Host direkt auf die URLs zugreifen kann. |
| 3 |
Wenn Ihre Umgebung Zertifikatssperrlisten von Zertifizierungsstellen anfordern muss, fügen Sie diese URLs zu Ihrer Positivliste hinzu:
Weitere Informationen finden Sie in diesem Artikel über Domänen und URLs, auf die für Webex-Dienste zugegriffen werden muss. |
NTLM-Proxy
Directory Connector unterstützt NT LAN Manager (NTLM). NTLM ist ein Ansatz, um die Windows-Authentifizierung zwischen den Domänengeräten zu unterstützen und deren Sicherheit zu gewährleisten.
NTLM-Design
In den meisten Fällen möchte ein Benutzer über einen Client-PC auf andere Workstation-Ressourcen zugreifen, was auf sichere Weise schwierig sein kann.
Im Allgemeinen basiert das technische Design von NTLM auf einem Mechanismus aus Herausforderung
und Antwort
:
-
Ein Benutzer meldet sich über ein Windows-Konto und ein Kennwort auf einem Client-PC an. Das Passwort wird nie lokal gespeichert. Anstelle eines reinen Text-Passworts wird ein Hash-Wert des Passworts lokal gespeichert. Wenn sich ein Benutzer über das Passwort beim Client anmeldet, vergleicht das Windows-Betriebssystem den gespeicherten Hash-Wert mit dem Hash-Wert des eingegebenen Passworts. Wenn beide gleich sind, wird die Authentifizierung erfolgreich ausgeführt.
Wenn der Benutzer auf eine Ressource auf einem anderen Server zugreifen möchte, sendet der Client eine Anforderung an den Server mit dem Kontonamen im reinen Textformat.
-
Wenn der Server die Anforderung erhält, generiert der Server einen 16-Bit-Zufallsschlüssel. Der Schlüssel heißt Challenge (oder Nonce). Bevor der Server an den Client zurücksendet, wird die Herausforderung auf dem Server gespeichert. Anschließend sendet der Server die Aufforderung im reinen Textformat an den Client.
-
Sobald der Client die vom Server gesendete Challenge erhält, verschlüsselt der Client die Challenge mit dem in Schritt 1 genannten Hash-Wert. Nach der Verschlüsselung wird der Wert zurück an den Server gesendet.
-
Wenn der Server den verschlüsselten Wert vom Client erhält, sendet er ihn zur Verifizierung an den Domänencontroller. Die Anforderung umfasst: der Kontoname, die verschlüsselte Aufforderung, die der Client gesendet hat, und die ursprüngliche einfache Aufforderung.
-
Der Domänencontroller kann die Hash-Werte des Passworts entsprechend dem Kontonamen abrufen. Und dann kann der Domänencontroller die ursprüngliche Herausforderung verschlüsseln. Der Doman-Controller kann dann mit dem empfangenen Hash-Wert und dem verschlüsselten Hash-Wert vergleichen. Wenn sie identisch sind, ist die Überprüfung erfolgreich.
Windows verfügt über eine in das Betriebssystem integrierte Sicherheitsauthentifizierung, sodass Anwendungen die Sicherheitsauthentifizierung einfacher unterstützen können. Dadurch müssen Sie keine weitere Konfiguration abschließen.
Transparenten Proxy konfigurieren
In diesem Szenario weiß der Browser nicht, dass ein transparenter Webproxy HTTP-Anforderungen (Port 80/Port 443) abfängt, und es ist keine Konfiguration auf dem Client erforderlich.
| 1 |
Stellen Sie einen transparenten Proxy bereit, damit der Connector Benutzer verbinden und synchronisieren kann. |
| 2 |
Bestätigen Sie, dass der Proxy erfolgreich ist: Beim Starten des Connectors wird ein erwartetes Popup-Fenster zur Browserauthentifizierung angezeigt. |
Proxy-Authentifizierung festlegen
Fügen Sie die URL cloudconnector.webex.com zu Ihrer Zulassungsliste hinzu, indem Sie eine Zugriffskontrollliste erstellen.
Gehen Sie auf Ihrem Enterprise-Firewall-Server folgendermaßen vor:
| 1 |
Aktivieren Sie die DNS-Suche, falls sie noch nicht aktiviert ist. |
| 2 |
Legen Sie eine geschätzte Bandbreite für diese Verbindung fest (ca. 2 MB/s oder weniger für den Connector). Diese Angabe ist möglicherweise nicht erforderlich. |
| 3 |
Erstellen Sie eine Zugriffskontrollliste, die auf den Connector-Host angewendet werden soll, und geben Sie Beispiel: access-list 2000 acl-inside extended permit TCP [IP des Connectors] cloudconnector.webex.com eq https |
| 4 |
Wenden Sie diese ACL auf die entsprechende Firewall-Schnittstelle an, die nur für diesen einzelnen Connector-Host gilt. |
| 5 |
Vergewissern Sie sich, dass die restlichen Hosts in Ihrem Unternehmen dennoch zur Nutzung Ihre Web-Proxys erforderlich sind, indem Sie die entsprechende implizite Verweigerungsanweisung konfigurieren. |
Verzeichniskonnektor bereitstellen
Ablauf der Bereitstellungsaufgabe des Cisco-Verzeichniskonnektors
Vorbereitungen
| 1 |
Verzeichniskonnektor installieren In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen. Für eine neue Installation von Directory Connector gehen Sie immer zu Control Hub ( https://admin.webex.com), um die neueste Version der Software abzurufen, damit Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar. |
| 2 |
Bei Directory Connector anmelden Melden Sie sich mit Ihren Webex-Administrator-Anmeldeinformationen an und führen Sie die Ersteinrichtung durch. |
| 3 |
Automatische Upgrades festlegen Es ist immer wichtig, dass Ihre Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, dieses Verfahren zu verwenden, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind. |
| 4 |
Active Directory-Objekte zum Synchronisieren auswählen Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen. |
| 5 |
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist die *uid. |
| 6 |
Synchronisieren Sie Verzeichnis-Avatare mit einem der folgenden Verfahren:
Sie können die Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass der Avatar jedes Benutzers angezeigt wird, wenn er sich bei der Anwendung anmeldet. Sie können Avatare von einem Active Directory-Attribut oder einem Ressourcenserver synchronisieren. |
| 7 |
Synchronisieren von lokalen Rauminformationen mit der Webex Cloud Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten wie einem Webex Room-Gerät oder Cisco Webex Board angezeigt. |
| 8 |
Um Benutzer Aus Active Directory In Control Hub Bereitzustellen, führen Sie die folgenden Schritte aus:
Folgen Sie dieser Sequenz, um Active Directory-Benutzer für Webex-App-Konten bereitzustellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Wald- oder mehreren Domänen für Directory Connector 3.0 und höher bereitstellen. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen. |
Verzeichniskonnektor installieren
In Control Hub wird die Verzeichnissynchronisation zunächst als deaktiviert angezeigt. Um die Verzeichnissynchronisation für Ihre Organisation zu aktivieren, müssen Sie den Verzeichniskonnektor installieren und konfigurieren und anschließend eine vollständige Synchronisierung erfolgreich durchführen.
Sie müssen für jede Active Directory-Domäne, die Sie synchronisieren möchten, einen Connector installieren. Eine einzelne Directory Connector-Instanz kann nur eine einzige Domäne bedienen. Im folgenden Diagramm finden Sie Informationen zum Ablauf der Synchronisierung mit mehreren Domänen:
Vorbereitungen
Wenn Sie sich über einen Proxy-Server authentifizieren, stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen:
-
Für die Proxy-Basisauthentifizierung geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie eine Instanz des Connectors installiert haben. Die Proxy-Konfiguration von Internet Explorer ist auch für die Basisauthentifizierung erforderlich. Siehe Webproxy Im Browser verwenden
-
Bei Proxy-NTLM wird Ihnen möglicherweise ein Fehler angezeigt, wenn Sie den Connector zum ersten Mal öffnen. Siehe Verwenden eines Webproxys über den Browser.
| 1 |
Wechseln Sie in Control Hub zu und wählen Sie Weiter aus. |
| 2 |
Klicken Sie auf den Link Herunterladen und installieren, um die neueste Version der .zip-Datei für die Connector-Installation auf Ihrem VMware- oder Windows-Server zu speichern. Sie können die .zip-Datei direkt über diesen Link abrufen, aber Sie müssen vollständigen administrativen Zugriff auf eine Control Hub-Organisation haben, damit diese Software funktioniert. Holen Sie sich für eine Neuinstallation die neueste Version der Software, sodass Sie die neuesten Funktionen und Fehlerbehebungen verwenden. Nach der Installation der Software werden Upgrades über die Software gemeldet und automatisch installiert, wenn verfügbar. |
| 3 |
Entpacken Sie die MSI-Datei auf dem VMware- oder Windows-Server und führen Sie sie im Setup-Ordner aus, um den Setup-Assistenten zu starten. |
| 4 |
Klicken Sie auf Weiter, aktivieren Sie das Kontrollkästchen, um die Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Weiter, bis der Bildschirm „Kontotyp“ angezeigt wird. |
| 5 |
Wählen Sie den Typ des Dienstkontos aus, das Sie verwenden möchten, und führen Sie die Installation mit einem Administratorkonto durch:
Um Fehler zu vermeiden, stellen Sie sicher, dass die folgenden Privilegien vorhanden sind:
|
| 6 |
Klicken Sie auf Installieren. Geben Sie nach der Ausführung des Netzwerktests Ihre grundlegenden Proxy-Anmeldeinformationen ein, klicken Sie auf OK und anschließend auf Fertig stellen. |
Nächste Schritte
Wir empfehlen, den Server nach der Installation neu zu starten. Der Probelauf-Bericht kann nicht das richtige Ergebnis anzeigen, wenn die Daten nicht freigegeben wurden. Während des Neustarts der Maschine werden alle Daten aktualisiert, um ein exaktes Ergebnis im Bericht anzuzeigen.
Bei Directory Connector anmelden
Vorbereitungen
Stellen Sie sicher, dass Sie über Ihre Proxy-Anmeldeinformationen verfügen.
-
Für die Proxy-Basic-Auth geben Sie den Benutzernamen und das Kennwort ein, nachdem Sie den Connector zum ersten Mal geöffnet haben.
-
Öffnen Sie für Proxy-NTLM den Internet Explorer, klicken Sie auf das Zahnradsymbol, gehen Sie zu Internetoptionen > Verbindungen > LAN-Einstellungen, stellen Sie sicher, dass die Informationen zum Proxy-Server hinzugefügt wurden, und klicken Sie auf OK. Siehe Verwenden eines Webproxys über den Browser.
| 1 |
Öffnen Sie den Connector und fügen Sie |
| 2 |
Wenn Sie dazu aufgefordert werden, melden Sie sich mit Ihren Proxy-Authentifizierungsanmeldeinformationen an, melden Sie sich dann mit Ihrem Administratorkonto bei Webex an und klicken Sie auf Weiter. |
| 3 |
Bestätigen Sie Ihre Organisation und Ihre Domäne.
|
| 4 |
Nachdem der Bildschirm Organisation bestätigen angezeigt wurde, klicken Sie auf Bestätigen. Wenn Sie AD DS/AD LDS bereits gebunden haben, wird der Bildschirm Organisation bestätigen angezeigt. |
| 5 |
Klicken Sie auf Bestätigen. |
| 6 |
Wählen Sie eine der folgenden Optionen aus, abhängig von der Anzahl der Active Directory-Domänen, die Sie an den Directory Connector binden möchten:
|
Nächste Schritte
Nachdem Sie sich angemeldet haben, werden Sie aufgefordert, einen Probelauf für die Synchronisierung durchzuführen.
Directory Connector-Dashboard
Wenn Sie sich zum ersten Mal beim Directory Connector anmelden, wird das Dashboard angezeigt. Hier können Sie eine Zusammenfassung aller Synchronisierungsaktivitäten und Cloud-Statistiken anzeigen, einen Probelauf für die Synchronisierung durchführen, eine vollständige oder inkrementelle Synchronisierung starten und die Event-Ansicht starten, um Fehlerinformationen anzuzeigen.
Sie können diese Aufgaben einfach über die Symbolleiste oder das Menü „Aktionen“ ausführen.
|
Komponente |
Beschreibung |
|---|---|
|
Aktuelle Synchronisierung |
Zeigt die Statusinformationen zur laufenden Synchronisierung an. Wenn keine Synchronisierung ausgeführt wird, ist die Statusanzeige inaktiv. |
|
Nächste Synchronisierung |
Zeigt die nächsten geplanten vollständigen und inkrementellen Synchronisierungen an. Wenn kein Zeitplan festgelegt ist, wird Nicht angesetzt angezeigt. |
|
Letzte Synchronisation |
Zeigt den Status der letzten beiden durchgeführten Synchronisierungen an. |
|
Aktueller Synchronisierungsstatus |
Zeigt den Gesamtstatus der Synchronisierung an. |
|
Konnektoren |
Zeigt die aktuellen lokalen Connectoren an, die für die Cloud verfügbar sind. |
|
Cloud-Statistik |
Zeigt den Gesamtstatus der Synchronisierung an. |
|
Synchronisierungszeitplan |
Zeigt den Synchronisierungszeitplan für die inkrementelle und vollständige Synchronisierung an. |
|
Konfigurationszusammenfassung |
Listet die Einstellungen auf, die Sie in der Konfiguration geändert haben. Die Zusammenfassung kann beispielsweise Folgendes enthalten:
|
| Aktion | Beschreibung |
|---|---|
| Inkrementelle Synchronisierung starten |
Inkrementelle Synchronisierung manuell starten Diese Aktion ist deaktiviert, wenn Sie die Synchronisierung anhalten oder deaktivieren, wenn noch keine vollständige Synchronisierung abgeschlossen wurde oder wenn eine Synchronisierung läuft. |
|
Probelauf synchronisieren |
Führen Sie einen Probelauf für die Synchronisierung durch. |
|
Ereignisanzeige starten |
Starten Sie die Microsoft-Ereignisanzeige. |
|
Aktualisieren |
Aktualisieren des Cisco Directory Connector-Dashboards |
|
Aktion |
Beschreibung |
|---|---|
| Jetzt synchronisieren |
Starten Sie sofort eine vollständige Synchronisierung. |
|
Synchronisierungsmodus |
Wählen Sie entweder den inkrementellen oder den vollständigen Synchronisierungsmodus aus. |
|
Geheimschlüssel für Konnektor zurücksetzen |
Stellen Sie eine Unterhaltung zwischen dem Cisco Directory Connector und dem Connector-Dienst her. Durch Auswahl dieser Aktion wird der geheime Schlüssel in der Cloud zurückgesetzt und lokal gespeichert. |
|
Probelauf |
Führen Sie einen Test des Synchronisierungsprozesses durch. Sie müssen einen Probelauf durchführen, bevor Sie eine vollständige Synchronisierung durchführen. |
|
Fehlerbehebung |
Aktivieren/deaktivieren Sie die Fehlerbehebung. |
|
Aktualisieren |
Aktualisieren Sie den Cisco Directory Connector-Hauptbildschirm. |
|
Beenden |
Beenden Sie den Cisco Directory Connector. |
|
Tastenkombination |
Aktion |
|---|---|
|
Alt +A |
Das Menü Aktionen anzeigen |
|
|
Jetzt synchronisieren |
|
|
Geheimschlüssel für Konnektor zurücksetzen |
|
|
Probelauf |
|
|
Inkrementelle Synchronisierung |
|
|
Vollständige Synchronisierung |
|
|
Menü Hilfe anzeigen |
|
|
Hilfe |
|
|
Info |
|
|
häufig gestellte Fragen |
Automatische Upgrades festlegen
| 1 |
Wechseln Sie im Directory Connector zu und aktivieren Sie die Option Automatisch auf neue Cisco Directory Connector-Version aktualisieren. |
| 2 |
Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern. |
Neue Versionen des Connectors werden automatisch installiert, sobald sie verfügbar sind.
Sie können Upgrades manuell verwalten, wenn Sie möchten. Weitere Informationen finden Sie unter Upgrade auf die neueste Softwareversion.
Active Directory-Objekte zum Synchronisieren auswählen
Standardmäßig synchronisiert Directory Connector alle Benutzer, die keine Computer sind, und alle Gruppen, die keine kritischen Systemobjekte für eine Domäne sind. Um mehr Kontrolle darüber zu erhalten, welche Objekte synchronisiert werden, können Sie auf der Seite "Objektauswahl" im Directory Connector bestimmte Benutzer zum Synchronisieren und Angeben von LDAP-Filtern auswählen.
Gruppen für die automatische Lizenzzuweisung
Mit Control Hub können Sie Lizenzzuweisungen auf Gruppenbasis verwalten. Sie können Lizenzvorlagen erstellen und sie Active Directory-Gruppen zuordnen, die Sie mit der Cloud synchronisieren. Beim Erstellen eines Benutzers überprüft Webex die Benutzermitgliedschaft und die Zuordnung der automatischen Lizenzvorlage für diesen neuen Benutzer.
Wir empfehlen, einen LDAP-Filter zu verwenden, um nur relevante Gruppen mit der Cloud zu synchronisieren. Beispielsweise können Sie den Filter auf:
(&(cn=Beispiel)(objectclass=Gruppe))*
Dieser Filter synchronisiert alle Gruppen innerhalb des Basis-DN, bei dem der Name mit „Beispiel“ beginnt. Benutzern, die keinen Gruppen zugewiesen sind, werden Lizenzen über die automatische Standardlizenzvorlage zugewiesen, die Sie in Control Hub konfiguriert haben.
Gruppen für Hybrid-Datensicherheitsbereitstellungen
Im Directory Connector müssen Sie Gruppen aktivieren, wenn Sie Hybrid-Datensicherheit zum Konfigurieren einer Testgruppe für Pilotbenutzer verwenden. Anleitungen finden Sie im Bereitstellungsleitfaden für Hybrid-Datensicherheit. Diese Verzeichniskonnektor-Einstellung wirkt sich nicht auf die Synchronisierung anderer Benutzer in der Cloud aus.
| 1 |
Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Objektauswahl. |
| 2 |
Aktivieren Sie im Abschnitt Objekttyp die Option Benutzer und erwägen Sie, die Anzahl der durchsuchbaren Container für Benutzer zu begrenzen. Wenn Sie beispielsweise nur Benutzer in einer bestimmten Gruppe synchronisieren möchten, müssen Sie einen LDAP-Filter in das Feld Benutzer LDAP-Filter eingeben. Wenn Sie Benutzer synchronisieren möchten, die zur Beispiel-Manager-Gruppe gehören, verwenden Sie einen Filter wie diesen:
|
| 3 |
Aktivieren Sie das Kontrollkästchen Raum identifizieren, um Raumdaten von Benutzerdaten zu trennen. Klicken Sie auf Anpassen, wenn Sie zusätzliche Attribute einrichten möchten, um Benutzerdaten als Raumdaten zu identifizieren. Verwenden Sie diese Einstellung, wenn Sie lokale Rauminformationen von Active Directory mit der Webex-Cloud synchronisieren möchten. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Raumgeräten angezeigt. Weitere Informationen finden Sie unter Synchronisieren von lokalen Rauminformationen mit der Webex Cloud. |
| 4 |
Aktivieren Sie Gruppen, wenn Sie Ihre Active Directory-Benutzergruppen mit der Cloud synchronisieren möchten. Fügen Sie keinen LDAP-Filter für die Benutzersynchronisierung zum Feld „Gruppen“ hinzu. Sie sollten nur das Feld „Gruppen“ verwenden, um die Gruppendaten selbst mit der Cloud zu synchronisieren. Gruppen werden standardmäßig nicht für neue Kunden synchronisiert. Sie müssen die Gruppensynchronisierung aktivieren. Sie müssen auch Sicherheitsgruppen synchronisieren. |
| 5 |
Aktivieren Sie Kontakte, wenn Sie die Kontaktinformationen der Benutzer mit der Cloud synchronisieren möchten. Der Verzeichniskonnektor verwaltet nur Kontakte, die vom Konnektor synchronisiert wurden. Wenn bereits Kontakte in Control Hub vorhanden sind, werden die Kontakte durch die Synchronisierung nicht gelöscht. Wenn Kontakte aus dem Synchronisierungsumfang entfernt werden, werden auch die Kontaktinformationen der Benutzer in Control Hub entfernt. |
| 6 |
Konfigurieren Sie die LDAP-Filter. Sie können erweiterte Filter hinzufügen, indem Sie einen gültigen LDAP-Filter bereitstellen. Weitere Informationen zum Konfigurieren von LDAP-Filtern finden Sie in diesem Artikel. |
| 7 |
Geben Sie die zu synchronisierenden lokalen Basis-DNs an, indem Sie auf Auswählen klicken, um die Baumstruktur Ihres Active Directory anzuzeigen. Von hier aus können Sie auswählen, welche Container gesucht werden sollen. |
| 8 |
Überprüfen Sie die Objekte, die Sie für diese Konfiguration hinzufügen möchten, und klicken Sie auf Auswählen. Sie können einzelne oder übergeordnete Container zur Synchronisierung auswählen. Wählen Sie einen übergeordneten Container aus, um alle untergeordneten Container zu aktivieren. Wenn Sie einen untergeordneten Container auswählen, wird im übergeordneten Container ein graues Häkchen angezeigt, das angibt, dass ein untergeordneter Container aktiviert wurde. Sie können dann auf Auswählen klicken, um die von Ihnen ausgewählten Active Directory-Container zu akzeptieren. Wenn Ihre Organisation alle Benutzer und Gruppen im Benutzer-Container platziert, müssen Sie keine anderen Container durchsuchen. Wenn Ihre Organisation in Organisationseinheiten unterteilt ist, stellen Sie sicher, dass Sie OUs auswählen. |
| 9 |
Klicken Sie auf Übernehmen. Wählen Sie eine Option:
Informationen zu Probeläufen finden Sie unter Durchführen einer Probelauf-Synchronisierung für Ihre Active Directory-Benutzer. Für die Gruppensynchronisierung müssen Sie eine vollständige Synchronisierung durchführen: Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen. |
Benutzerattribute zuordnen
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen. Das einzige erforderliche Feld ist *uid, eine eindeutige Kennung für jedes Benutzerkonto im Cloud-Identitätsdienst.
Sie können auswählen, welches Active Directory-Attribut der Cloud zugeordnet werden soll – Sie können beispielsweise firstName lastName in Active Directory oder einen benutzerdefinierten Attributausdruck displayName in der Cloud zuordnen.
Konten in Active Directory müssen über eine E-Mail-Adresse verfügen; die uid wird standardmäßig dem Feld ad der E-Mail zugeordnet (nicht sAMAccountName).
Wenn Sie festlegen, dass die bevorzugte Sprache aus Ihrem Active Directory stammt, ist Active Directory die einzige Informationsquelle: Benutzer können ihre Spracheinstellung in den Webex-Einstellungen nicht ändern, und Administratoren können die Einstellung in Control Hub nicht ändern.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. Auf dieser Seite werden die Attributnamen für Active Directory (links) und die Webex-Cloud (rechts) angezeigt. Alle erforderlichen Attribute sind mit einem roten Sternchen gekennzeichnet. |
| 2 |
Scrollen Sie zum Ende der Active Directory-Attributnamen und wählen Sie dann eines der folgenden Active Directory-Attribute aus, um das Cloud-Attribut uid zuzuordnen:
Sie können beliebige andere Active Directory-Attribute der uid zuordnen. Wir empfehlen jedoch, „mail“ oder „userPrincipalName“ zu verwenden, wie in den obigen Richtlinien beschrieben. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Informationen dazu, mit welchen Attributen in Active Directory in der Cloud übereinstimmen, finden Sie unter Zuordnen von Active Directory-Attributen im Directory Connector. Damit die Synchronisierung funktioniert, müssen Sie sicherstellen, dass das von Ihnen ausgewählte Active Directory-Attribut im E-Mail-Format vorliegt. Der Verzeichniskonnektor zeigt ein Popup-Fenster an, das Sie daran erinnert, wenn Sie eines der empfohlenen Attribute nicht auswählen. |
| 3 |
Wenn die vordefinierten Active Directory-Attribute in Ihrer Bereitstellung nicht funktionieren, klicken Sie auf das Attribut-Dropdown-Menü, blättern Sie nach unten und wählen Sie Attribut anpassen aus, um ein Fenster zu öffnen, in dem Sie einen Attributausdruck definieren können. Klicken Sie auf Hilfe, um weitere Informationen zu den Ausdrücken zu erhalten und Beispiele für die Funktionsweise von Ausdrücken anzuzeigen. Weitere Informationen finden Sie auch unter Ausdrücke für angepasste Attribute. Ordnen wir in diesem Beispiel die Active Directory-Attribute
Der Directory Connector überprüft den Attributwert von uid im Identitätsdienst und ruft 3 verfügbare Benutzer unter den aktuellen Benutzerfilteroptionen ab. Wenn alle diese 3 Benutzer ein gültiges E-Mail-Format haben, zeigt der Cisco Directory Connector die folgende Meldung an:
Wenn das Attribut nicht verifiziert werden kann, wird die folgende Warnung angezeigt und Sie können zu Active Directory zurückkehren, um die Benutzerdaten zu überprüfen und zu korrigieren:
|
| 4 |
(Optional) Wählen Sie Zuordnungen für Mobilgeräte und Telefonnummer aus, wenn Mobil- und Geschäftsnummern angezeigt werden sollen, beispielsweise in der Kontaktkarte des Benutzers in der Webex-App. Die Telefonnummerndaten werden in der Webex-App angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt. Weitere Informationen zu Anrufen über die Kontaktkarte eines Benutzers finden Sie im Bereitstellungshandbuch für Anrufe in Webex (Unified CM) (Administratoren). |
| 5 |
Wählen Sie zusätzliche Zuordnungen aus, um weitere Daten in der Kontaktkarte anzuzeigen:
Nach der Zuordnung der Attribute werden die Informationen angezeigt, wenn ein Benutzer den Mauszeiger über das Profilbild eines anderen Benutzers zeigt:
Weitere Informationen zur Kontaktkarte finden Sie unter Überprüfen, wen Sie kontaktieren. Nachdem diese Attribute mit den einzelnen Benutzerkonten synchronisiert wurden, können Sie People Insights auch in Control Hub aktivieren. Mit dieser Funktion können Benutzer der Webex-App mehr Informationen in ihren Profilen teilen und mehr voneinander erfahren. Weitere Informationen zur Funktion und zum Aktivieren finden Sie unter Profile für „People Insights“ für Webex, Jabber, Webex Meetings und Webex Events (Neu) in Control Hub. |
| 6 |
Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie auf Übernehmen. |
Alle in Active Directory enthaltenen Benutzerdaten überschreiben die diesem Benutzer entsprechenden Daten in der Cloud. Wenn Sie beispielsweise einen Benutzer manuell in Control Hub erstellt haben, muss die E-Mail-Adresse des Benutzers mit der E-Mail-Adresse in Active Directory identisch sein. Alle Benutzer ohne entsprechende E-Mail-Adresse in Active Directory werden gelöscht.
Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.
Active Directory- und Cloud-Attribute
Sie können Attribute aus Ihrem lokalen Active Directory den entsprechenden Attributen in der Cloud zuordnen, indem Sie die Registerkarte Benutzerattributzuordnung verwenden.
In dieser Tabelle wird die Zuordnung zwischen den Active Directory-Attributnamen und den Cisco Cloud-Attributnamen verglichen. Diese Werte und Zuordnungen sind die Standardeinstellung im Verzeichniskonnektor. Sie können in den Dropdown-Menüs des Active Directory verschiedene Attribute auswählen und bestimmen, welches lokale Attribut mit welchem Cloudattribut synchronisiert wird.
Betrachten Sie die Dropdown-Attribute als Voreinstellungen. Als Alternative zu den Werten in der Active Directory-Zeile können Sie auch ein benutzerdefiniertes Attribut, Ihre eigene Voreinstellung, in Active Directory angeben (ein Ausdruck mit mehreren Attributen), um ein einzelnes Cloudattribut in der entsprechenden Zeile zuzuordnen. Auf diese Weise haben Sie die Flexibilität, die Anzeigenamen Ihrer Benutzer zu bestimmen. Sie können beispielsweise einen Ausdruck hinzufügen, der basierend auf dem Mitarbeitertitel, dem Vornamen und dem Nachnamen in Active Directory ein angepasstes Attribut erstellt.
Sie können auch eines der Active Directory-Attribute angeben, die der UID in der Cloud zugeordnet werden. Sie müssen jedoch sicherstellen, dass das lokale Attribut einem gültigen E-Mail-Format folgt.
Sie können auch alternative E-Mail-Adressen verwenden, z. B. wenn Sie den userPrincipalName für die Anmeldung verwenden möchten, aber die E-Mail-Adresse eines Benutzers für die Verwaltung seines Kalenders verwendet wird. Ordnen Sie in diesem Fall dem Attribut emails;type-work eine andere E-Mail-Adresse zu. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein.
|
Active Directory-Attributnamen |
Webex-Cloud-Attributnamen |
Anmerkungen |
|---|---|---|
|
— |
Gebäudename |
— |
|
c |
c |
Dieses Attribut gibt die Länderabkürzung des Benutzers an. |
|
Abteilungsnummer |
Abteilungsnummer |
Dieses Attribut wird für die Abteilungsnummer des Benutzers verwendet, die auf der Kontaktkarte und People Insights angezeigt wird. |
|
Anzeigename |
Anzeigename |
Dieses Attribut wird für den Anzeigenamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird. |
|
BenutzerAccountControl |
ds-pwp-konto-deaktiviert |
Dieses Attribut wird für die Benutzersynchronisierung verwendet. Stellen Sie sicher, dass das Attribut userAccountControl dem Attribut ds-pwp-account-disabled zugeordnet ist, andernfalls werden die Benutzer nicht ordnungsgemäß synchronisiert. |
|
Mitarbeiternummer |
Mitarbeiternummer |
— |
|
FaxTelefonnummer |
FaxTelefonnummer |
— |
|
— |
Jabber-ID |
Dieses Cloud-Attribut bezieht sich auf IM-Adressen (XMPP-Typ), die von Jabber verwendet werden. Dieser Wert ist nicht identisch mit sipAddresses. |
|
l |
l |
Dieses Attribut gibt die Stadt des Benutzers an. |
|
— |
Ländereinstellung |
— |
|
Manager |
Manager |
Dieses Attribut wird für den Manager-Namen des Benutzers verwendet, der auf der Kontaktkarte und People Insights angezeigt wird. |
|
Mobil |
Mobil |
Dieses Attribut wird als Mobiltelefonnummer verwendet, die angezeigt wird, um den Benutzer über die Kontaktkarte anzurufen. |
|
o |
o |
Dieses Attribut gibt den Namen des Unternehmens oder der Organisation an und wird auf der Kontaktkarte angezeigt. |
|
Ou |
Ou |
Dieses Attribut gibt den Namen der Organisationseinheit an. |
|
physischeLieferungBüroName |
physischeLieferungBüroName |
Dieses Attribut gibt den Bürostandort des Benutzers an. |
|
Postleitzahl |
Postleitzahl |
Dieses Attribut gibt die Postleitzahl des Benutzers für die physische Postzustellung an. |
|
bevorzugteSprache |
bevorzugteSprache |
Dieses Attribut legt die bevorzugte Sprache des Benutzers fest. Es werden die folgenden Formate unterstützt: xx_YY oder xx-YY. Hier einige Beispiele: de_US, de_GB, fr-CA. Wenn Sie eine nicht unterstützte Sprache oder ein ungültiges Format verwenden, wird die bevorzugte Sprache des Benutzers zur für die Organisation festgelegten Sprache geändert. |
|
MSRTCSIP-PrimäreBenutzeradresse IP-Telefon |
SIP-Adressen;type=Unternehmen |
Dieses Attribut wird verwendet, um lokale Rauminformationen aus Active Directory mit der Cisco Webex-Cloud zu synchronisieren. |
|
sn |
sn |
Dieses Attribut wird für den Nachnamen des Benutzerkontos verwendet, der in Control Hub, die Kontaktkarte und People Insights angezeigt wird. |
|
st |
st |
Dieses Attribut gibt das Bundesland des Benutzers an. |
|
Straßenadresse |
Straße |
Dieses Attribut gibt die Postanschrift des Benutzers für die physische Postzustellung an. |
|
Telefonnummer |
Telefonnummer |
Dieses Attribut gibt die primäre (geschäftliche) Telefonnummer des Benutzers an, die zum Anrufen des Benutzers über die Kontaktkarte verwendet wird. |
|
— |
Zeitzone |
Dieses Cloudattribut gibt die Zeitzone des Benutzers an. |
|
Titel |
Titel |
Dieses Attribut gibt den Titel des Benutzers an, der auf der Kontaktkarte und People Insights angezeigt wird. |
|
Typ |
Unternehmen |
— |
|
*userPrincipalName |
UID |
Eine obligatorische Attributzuordnung. Für jedes Benutzerkonto wird der Active Directory-Wert einer eindeutigen UID in der Cloud zugeordnet. In einigen Fällen wird zum Anmelden der userPrincipalName verwendet, aber die E-Mail-Adresse eines Benutzers wird zum Verwalten seines Kalenders verwendet. Sie müssen sicherstellen, dass die E-Mail-Adresse für die Kalenderverwaltung dem Feld mit der primären E-Mail-Adresse in Webex zugeordnet wird. Fügen Sie den userPrincipalName als alternative E-Mail-Adresse hinzu. Der Benutzer kann sich dann mit einer dieser E-Mail-Adressen anmelden, solange die richtige SAML-Attributzuordnung vorhanden ist. Informationen dazu, wie Sie eine alternative E-Mail-Adresse zuordnen können, finden Sie im Beispiel-Attributzuordnung unten. |
|
*userPrincipalName <benutzerdefiniertes Attribut> |
E-Mails;Arbeit eingeben |
Diese Zuordnung ist optional. Verwenden Sie sie, wenn Sie alternative E-Mail-Adressen verwenden möchten. Dies ist die E-Mail, die für die Authentifizierung verwendet wird; sie wird nicht zur Verwaltung Ihres Kalenders verwendet. Die E-Mail-Adresse, die Sie aus AD zuordnen, muss aus einer verifizierten Domäne innerhalb Ihrer Organisation stammen. Sie muss eindeutig sein und darf keinem anderen Benutzer zugewiesen sein. |
|
<Neues Attribut für Azure-Benutzer objectId> |
externe ID |
Erstellen Sie ein neues Active Directory-Attribut, um die Objekt-ID des Azure-Benutzers zu speichern, damit sie nicht mit einem vorhandenen kollidiert. Dieses Attribut wird dann dem externalId-Attribut zugeordnet und stellt sicher, dass Webex-Benutzer beim Erstellen von Gruppen in Microsoft 365 automatisch Teams in Webex erstellen. |
Alternative E-Mail-Adresszuordnung
Ausdrücke für angepasste Attribute
|
Vermittler |
Beschreibung und Beispiel |
|---|---|
|
% |
Entfernt alle Zeichen vom Anfang bis zur Position des Zeichens oder des String-Arguments, falls diese übereinstimmen.
|
|
- |
Entfernt die Rückseite der Eingabezeichenfolge vom Ende der angegebenen Zeichenfolge.
|
|
+ |
Verkettet Eingabezeichenfolgen oder Ausdrücke.
|
|
| |
Evaluiert die getrennten Ausdrücke anhand einer leeren Zeichenkette und wählt das erste nicht-leere Ergebnis aus.
|
Synchronisieren von Verzeichnis-Avataren aus einem Active Directory-Attribut in die Cloud
Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit diesem Verfahren können Sie Avatarrohdaten aus einem Active Directory-Attribut synchronisieren.
| 1 |
Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren. |
| 2 |
Wählen Sie für Avatar abrufen von die Option AD-Attribut und anschließend das Avatar-Attribut aus, das die Avatar-Rohdaten enthält, die Sie mit der Cloud synchronisieren möchten. |
| 3 |
Um zu überprüfen, ob auf den Avatar richtig zugegriffen wird, geben Sie die E-Mail-Adresse eines Benutzers ein und klicken Sie dann auf Avatar des Benutzers abrufen. Der Avatar wird rechts angezeigt. |
| 4 |
Nachdem Sie überprüft haben, ob der Avatar korrekt angezeigt wurde, klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern. |
-
Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
-
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.
Nächste Schritte
Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.
Synchronisieren von Verzeichnis-Avataren von einem Ressourcenserver mit der Cloud
Sie können die Verzeichnis-Avatare Ihrer Benutzer mit der Cloud synchronisieren, sodass jeder Avatar bei der Webex-App angezeigt wird. Mit dieser Prozedur können Sie Avatare von einem Ressourcenserver synchronisieren.
Vorbereitungen
-
Das URI-Muster und der Variablenwert in dieser Prozedur sind Beispiele. Sie müssen tatsächliche URLs verwenden, unter denen sich Ihre Verzeichnis-Avatare befinden.
-
Das Avatar-URI-Muster und der Server, auf dem sich die Avatare befinden, müssen über die Directory Connector-Anwendung erreichbar sein. Der Connector benötigt einen http- oder https-Zugriff auf die Bilder, aber die Bilder müssen nicht öffentlich im Internet zugänglich sein.
-
Die Avatar-Datensynchronisierung wird von den Active Directory-Benutzerprofilen getrennt. Wenn Sie einen Proxy ausführen, müssen Sie sicherstellen, dass auf Avatar-Daten über die NTLM-Authentifizierung oder die Basic-Auth zugegriffen werden kann.
| 1 |
Wechseln Sie aus dem Directory Connector zu Konfiguration, klicken Sie auf Avatar und aktivieren Sie Aktivieren. |
| 2 |
Wählen Sie unter Avatar abrufen von die Option Ressourcenserver aus, und geben Sie das Avatar-URI-Muster ein – zum Beispiel Schauen wir uns jeden Teil des Avatar-URI-Musters an und was sie bedeuten:
|
| 3 |
(Optional) Wenn Ihr Ressourcenserver Anmeldeinformationen benötigt, aktivieren Sie die Option Benutzeranmeldeinformationen für Avatar festlegen. Wählen Sie anschließend Aktuellen Service-Anmeldebenutzer verwenden oder Diesen Benutzer verwenden aus, und geben Sie das Passwort ein. |
| 4 |
Geben Sie den Variablenwert ein, zum Beispiel: |
| 5 |
Klicken Sie auf Test, um sicherzustellen, dass das Avatar-URI-Muster korrekt funktioniert. Wenn in diesem Beispiel der E-Mail-Wert für einen AD-Eintrag |
| 6 |
Nachdem die URI-Informationen überprüft wurden und korrekt angezeigt wurden, klicken Sie auf Übernehmen. Detaillierte Informationen zur Verwendung regulärer Ausdrücke finden Sie in der Microsoft Regular Expression Language Quick Reference . |
-
Die synchronisierten Bilder werden zum Standard-Avatar für Benutzer in der Webex-App. Benutzer dürfen ihren eigenen Avatar nicht festlegen, nachdem diese Funktion über den Verzeichniskonnektor aktiviert wurde.
-
Die Benutzer-Avatare werden sowohl mit der Webex-App als auch mit allen übereinstimmenden Konten auf der Webex-Site synchronisiert.
Nächste Schritte
Führen Sie einen Probelauf für die Synchronisierung durch. Wenn es keine Probleme gibt, führen Sie eine vollständige Synchronisierung durch, damit Ihre Active Directory-Benutzerkonten und Avatare in der Cloud synchronisiert und in Control Hub angezeigt werden.
Synchronisieren von lokalen Rauminformationen mit der Webex Cloud
Mit dieser Prozedur können Sie lokale Rauminformationen aus Active Directory mit der Webex-Cloud synchronisieren. Nachdem Sie die Rauminformationen synchronisiert haben, werden die lokalen Raumgeräte mit einer konfigurierten, zugeordneten SIP-Adresse als durchsuchbare Einträge auf in der Cloud registrierten Webex-Geräten (Room, Desk und Board) angezeigt.
| 1 |
Wechseln Sie aus dem Directory Connector zu Synchronisieren, klicken Sie auf Mehr |
| 2 |
Aktivieren Sie das Kontrollkästchen Rauminformationen mit Cloud synchronisieren, um die Raumdaten während der Synchronisierung von den Benutzerdaten zu trennen. Wenn diese Einstellung deaktiviert ist, werden Raumdaten auf die gleiche Weise behandelt wie synchronisierte Benutzerdaten. |
| 3 |
Wechseln Sie zu Attributzuordnung und ändern Sie die Attributzuordnung für das Cloud-Attribut sipAddresses;type=enterprise. Um die Wertevalidierung zu verwenden, sollte der Wert der SIP-Adresse Pattern.compile("^([^@])(.*)@(.*)$") lauten.
|
| 4 |
Erstellen Sie eine Raumressourcen-Mailbox in Exchange. Dadurch wird das Attribut msExchResourceMetaData;ResourceType:Room hinzugefügt, das der Connector dann zum Identifizieren von Räumen verwendet.
|
| 5 |
Navigieren Sie von Active Directory-Benutzern und -Computern zu den Eigenschaften des Raums und bearbeiten Sie diese. Fügen Sie den vollständig qualifizierten SIP-URI mit dem Präfix sip hinzu:
|
| 6 |
Führen Sie eine Probelauf-Synchronisierung und anschließend eine vollständige Synchronisierung im Connector durch. Die neuen Raumobjekte werden Objekte hinzugefügt aufgelistet, und übereinstimmende Raumobjekte werden im Probelauf-Bericht unter Übereinstimmende Objekte angezeigt. Alle Raumobjekte, die zum Löschen markiert sind, finden Sie unter Räume gelöscht.
In den Ergebnissen des Probelaufs werden alle abgestimmten Raumressourcen angezeigt.
Diese Einstellung trennt die Active Directory-Raumdaten (einschließlich des Raumattributs) von den Benutzerdaten. Nach Abschluss der Synchronisierung zeigen die Cloud-Statistiken im Connector-Dashboard Raumdaten an, die mit der Cloud synchronisiert wurden.
|
Nächste Schritte
Nachdem Sie diese Schritte ausgeführt haben, werden bei einer Suche auf einem in der Cloud registrierten Webex-Gerät die synchronisierten Raumeinträge angezeigt, die mit SIP-Adressen konfiguriert sind. Wenn Sie einen Anruf von dem Webex-Gerät für diesen Eintrag tätigen, wird ein Anruf an die SIP-Adresse gesendet, die für den Raum konfiguriert wurde.
Über Control Hub können Sie Räume automatisch aus Ihrem Verzeichnis importieren und Arbeitsbereiche erstellen.
Der Endpunkt kann einen Rückruf nicht an die Webex-App schleifen. Für Test-Wählgeräte müssen diese Geräte lokal oder an einem anderen Ort als der Webex-App als SIP URI registriert sein. Wenn das Active Directory-Raumsystem, nach dem Sie suchen, bei Webex registriert ist und sich dieselbe E-Mail-Adresse auf dem Webex Room-Gerät, dem Schreibtischgerät oder dem Webex Board für den Kalenderdienst befindet, wird der doppelte Eintrag in den Suchergebnissen nicht angezeigt. Das Raum-, Schreibtisch- oder Board-Gerät wird direkt in der Webex-App angerufen und es wird kein SIP-Anruf getätigt.
E-Mail-Berichte zu den Ergebnissen der Verzeichnissynchronisation senden
Standardmäßig erhalten die Organisationskontakte oder Administratoren immer E-Mail-Benachrichtigungen. Mit dieser Einstellung können Sie anpassen, wer E-Mail-Benachrichtigungen mit einer Zusammenfassung der Verzeichnissynchronisierungsberichte erhalten soll.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benachrichtigung aus. |
| 2 |
Klicken Sie im Directory Connector auf Einstellungen und aktivieren Sie neben E-Mail-Empfänger die Option Synchronisierung des Berichts aktivieren. |
| 3 |
Aktivieren Sie Benachrichtigung aktivieren, wenn Sie das Standard-Benachrichtigungsverhalten überschreiben und einen oder mehrere E-Mail-Empfänger hinzufügen möchten. |
| 4 |
Klicken Sie auf Hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können. |
| 5 |
Klicken Sie auf E-Mail hinzufügen und geben Sie eine E-Mail-Adresse ein. Wenn Sie eine E-Mail-Adresse mit einem ungültigen Format eingeben, werden Sie in einer Meldung aufgefordert, das Problem zu beheben, bevor Sie die Änderungen speichern und anwenden können. |
| 6 |
Wenn Sie eingegebene E-Mail-Adressen bearbeiten müssen, doppelklicken Sie auf den E-Mail-Eintrag in der linken Spalte, und nehmen Sie dann die gewünschten Änderungen vor. |
| 7 |
Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Übernehmen. |
| 8 |
Nachdem Sie alle gültigen E-Mail-Adressen hinzugefügt haben, klicken Sie auf Speichern. |
Nächste Schritte
Wenn Sie festgelegt haben, dass Sie E-Mail-Adressen entfernen möchten, können Sie auf eine E-Mail klicken, um diesen Eintrag zu markieren, und klicken Sie dann auf Entfernen.
Wenn Sie sich entschieden haben, E-Mail-Adressen zu entfernen, können Sie neben bestimmten E-Mail-Adresseinträgen auf Entfernen klicken.
Bereitstellen von Benutzern Aus Active Directory In Control Hub
Führen Sie die folgenden Schritte aus, um Active Directory-Benutzer bereitzustellen und entsprechende Benutzerkonten in Control Hub zu erstellen. Sie können Benutzer aus einer Active Directory-Bereitstellung mit mehreren Domänen (entweder mit einer einzelnen Gesamtstruktur oder mit mehreren Gesamtstrukturen) bereitstellen, nachdem Sie einen Directory Connector pro Domäne installiert haben. Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud zu erzielen.
| 1 |
Durchführen eines Probelaufs für die Active Directory-Benutzer Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen. |
| 2 |
Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen. |
| 3 |
Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen Nachdem Sie eine vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Webex-Dienstlizenzen auf verschiedene Weise zuweisen. Wir empfehlen Ihnen, eine Lizenzvorlage für die automatische Zuweisung einzurichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie aus Active Directory synchronisiert haben. Nach diesem ersten Schritt können Sie auch individuelle Änderungen vornehmen. |
Durchführen eines Probelaufs für die Active Directory-Benutzer
Führen Sie einen Probelauf durch, um Objekte im lokalen Active Directory mit Objekten in der Webex-Cloud zu vergleichen. Bei einem Probelauf erkennen Sie, welche Objekte hinzugefügt, geändert oder gelöscht werden, bevor Sie eine vollständige oder inkrementelle Synchronisierung durchführen und einen Commit der Änderungen in der Cloud durchführen.
Während des Prozesses zum Onboarding von Benutzern aus verschiedenen Domänen müssen Sie entscheiden, ob Sie die Benutzerobjekte, die möglicherweise bereits in der Webex-Cloud vorhanden sind, beibehalten oder löschen möchten, z. B. Testkonten aus einer Testversion. Ziel des Directory Connector ist es, eine exakte Übereinstimmung zwischen Ihren Active Directories und der Webex-Cloud herzustellen.
Wenn Sie in einer oder mehreren Gesamtstrukturen mehrere Domänen haben, müssen Sie diesen Schritt auf jeder der Cisco Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.
Vorbereitungen
Möglicherweise befinden sich bereits einige Webex-App-Benutzer in Control Hub, bevor Sie den Verzeichniskonnektor verwendet haben. Einige der Benutzer in der Cloud können mit dem lokalen Active Directory-Objekt übereinstimmen und Lizenzen für Dienste zugewiesen werden. Es können jedoch Testbenutzer sein, die Sie während einer Synchronisierung löschen möchten. Sie müssen eine exakte Übereinstimmung zwischen Active Directory und Control Hub erstellen.
| 1 |
Eine Option auswählen:
Nach Abschluss des Probelaufs wird eines der folgenden Ergebnisse angezeigt:
Die Zusammenfassung enthält Informationen über die Objektabgleich:
Der Probelauf identifiziert die Benutzer, indem er sie mit Domänenbenutzern vergleicht. Die Anwendung kann die Benutzer identifizieren, wenn sie zur aktuellen Domäne gehören. Im nächsten Schritt müssen Sie entscheiden, ob Sie die Objekte löschen oder behalten möchten. Die nicht übereinstimmenden Objekte werden als bereits in der Webex-Cloud vorhanden identifiziert, aber nicht im lokalen Active Directory. |
| 2 |
Überprüfen Sie die Ergebnisse des Probelaufs und wählen Sie dann eine Option aus, je nachdem, ob Sie eine einzelne oder mehrere Domänen verwenden:
|
| 3 |
Klicken Sie in der Aufforderung Probelauf bestätigen auf Ja, um die Synchronisierung des Probelaufs erneut durchzuführen und das Dashboard anzuzeigen, um die Ergebnisse anzuzeigen. Alle Konten, die im Probelauf erfolgreich synchronisiert wurden, werden unter Übereinstimmende Objekte angezeigt. Wenn ein Benutzer in der Cloud keinen entsprechenden Benutzer mit derselben E-Mail-Adresse in Active Directory hat, wird der Eintrag unter Benutzer gelöscht aufgeführt. Um diese Löschmarkierung zu vermeiden, können Sie einen Benutzer in Active Directory mit derselben E-Mail-Adresse hinzufügen. Um die Details der synchronisierten Elemente anzuzeigen, klicken Sie auf die entsprechende Registerkarte für bestimmte Elemente oder auf Objects Matched. Um die Zusammenfassungsinformationen zu speichern, klicken Sie auf Ergebnisse in Datei speichern. |
| 4 |
Wenn die Ergebnisse erwartet werden, gehen Sie zu und klicken Sie dann auf Jetzt aktivieren, um eine manuelle Synchronisierung durchzuführen und an diesem Punkt in den manuellen Modus zu versetzen. Nachdem Sie eine Synchronisierung mit der letzten Active Directory-Domäne in Ihrer Bereitstellung mit mehreren Domänen durchgeführt haben, müssen Sie den automatischen Modus für Directory Connector aktivieren. Sie können den automatischen Modus nur aktivieren, wenn die Objekte zwischen der Webex-Cloud und allen lokalen Active Directories vollständig übereinstimmen. |
Nächste Schritte
-
Alle nicht übereinstimmenden Benutzerobjekte, die Sie beibehalten haben, müssen Sie sie zu Active Directory hinzufügen, damit eine exakte Übereinstimmung zwischen lokaler und Cloud-Umgebung besteht.
-
Wählen Sie einen Synchronisierungstyp:
-
Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben.
-
Wenn Sie über mehrere Domänen verfügen, wiederholen Sie diese Schritte auf einem anderen Directory Connector, den Sie installiert haben.
Zu beachtende Punkte
-
Führen Sie einen Probelauf durch, bevor Sie die vollständige Synchronisierung aktivieren oder wenn Sie die Synchronisierungsparameter ändern. Wenn der Probelauf durch eine Konfigurationsänderung initiiert wurde, können Sie die Einstellungen nach Abschluss des Probelaufs speichern. Wenn Sie Benutzer bereits manuell hinzugefügt haben, kann eine Active Directory-Synchronisation dazu führen, dass zuvor hinzugefügte Benutzer entfernt werden. Sie können die Verzeichniskonnektor-Probeberichte überprüfen, um sicherzustellen, dass alle erwarteten Benutzer vorhanden sind, bevor Sie die vollständige Synchronisierung mit der Cloud durchführen.
-
Wenn übereinstimmende Benutzer als gelöscht markiert sind und Sie nicht sicher sind, wie Sie fortfahren sollen, lesen Sie die Informationen zur Fehlerbehebung und wenden Sie sich an den Support unter Fehlerbehebung und Fehlerbehebungen für Directory Connector.
Gelöschte Benutzer werden 7 Tage lang im Cloud-Identitätsdienst aufbewahrt, bevor sie endgültig gelöscht werden.
Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen
Bei einer vollständigen Synchronisierung sendet der Connector-Dienst alle gefilterten Objekte aus Ihrem Active Directory (AD) in die Cloud. Der Connector-Dienst aktualisiert dann den Identitätsspeicher mit Ihren AD-Einträgen. Wenn Sie eine Lizenzvorlage für die automatische Zuweisung erstellt haben, können Sie diese den neu synchronisierten Benutzern zuweisen.
Wenn Sie über mehrere Domänen verfügen, müssen Sie diesen Schritt auf jeder der Directory Connector-Instanzen ausführen, die Sie für jede Active Directory-Domäne installiert haben.
Directory Connector synchronisiert den Benutzerkontostatus: In Active Directory werden als deaktiviert gekennzeichnete Benutzer in der Cloud als inaktiv angezeigt.
Vorbereitungen
-
Wenn sich die Webex-App-Benutzerkonten nach der vollständigen Synchronisierung im Status „Aktiv“ befinden sollen, bevor sich die Benutzer zum ersten Mal anmelden, müssen Sie die folgenden Schritte ausführen, um die E-Mail-Validierung zu umgehen:
-
Integrieren Sie Single Sign-On in Ihre Webex-Organisation. Siehe
Einmalige Anmeldung mit Cisco Webex-Diensten und dem Identitätsanbieter Ihrer Organisation
um mehr zu erfahren. -
Verwenden Sie Control Hub, um die in den E-Mail-Adressen enthaltenen Domänen zu verifizieren und optional zu beanspruchen. Siehe
Hinzufügen, Überprüfen und Beanspruchen von Domänen
. -
Automatische E-Mail-Einladungen unterdrücken, sodass neue Benutzer die automatische E-Mail-Einladung zur Webex-App nicht erhalten. (Sie können Ihre eigene E-Mail-Kampagne durchführen.)
Aktivierte Benutzer, die sich nicht angemeldet haben, werden in Control Hub mit dem Status Verifiziert angezeigt. Nach der Anmeldung werden sie als Aktiv angezeigt. Weitere Informationen zu Benutzerstatus finden Sie unter Benutzerstatus und Aktionen in Cisco Webex Control Hub.
-
-
Wenn Sie die Synchronisierung aktivieren, werden Sie vom Verzeichniskonnektor zuerst aufgefordert, einen Probelauf durchzuführen. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung einen Probelauf durchzuführen, um mögliche Fehler zu ermitteln.
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
Wenn Sie keine Lizenzvorlagen für die automatische Zuweisung verwenden, erhalten neu synchronisierte Benutzer automatisch kostenlose Lizenzen. Sie können dieselben kostenlosen Funktionen wie Benutzer mit kostenlosen Konten verwenden.
| 1 |
Eine Option auswählen:
|
| 2 |
Wechseln Sie im Directory Connector zu Synchronisieren, klicken Sie auf Mehr |
| 3 |
Bestätigen Sie den Start der Synchronisierung. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch bis zu 72 Stunden nach der Synchronisierung angezeigt. Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
|
| 4 |
Klicken Sie auf Aktualisieren, wenn Sie den Status der Synchronisierung aktualisieren möchten. (Synchronisierte Elemente werden unter Cloud-Statistik angezeigt.) |
| 5 |
Wählen Sie Ereignisanzeige starten in der Symbolleiste Aktionen aus, um weitere Informationen zu Fehlern zu erhalten, um die Fehlerprotokolle anzuzeigen. |
| 6 |
Informationen zum Festlegen eines Synchronisierungszeitplans für laufende inkrementelle Synchronisierungen mit der Cloud finden Sie unter Festlegen des Connector-Zeitplans und Ausführen einer inkrementellen Synchronisierung. |
-
Nach Abschluss der vollständigen Synchronisierung wird der Status für die Verzeichnissynchronisierung auf der Seite Einstellungen in Control Hub von Deaktiviert zu Betriebsbereit aktualisiert.
-
Wenn alle Daten zwischen lokaler und Cloud-Umgebung abgeglichen werden, wechselt der Verzeichniskonnektor vom manuellen Modus in den automatischen Synchronisierungsmodus.
-
Sofern Sie die Einzelanmeldung nicht integrieren, Domänen verifizieren und optional Domänen für die E-Mail-Konten beanspruchen, die Sie synchronisiert haben und automatische E-Mails unterdrücken, bleiben die Benutzerkonten der Webex-App im Status „Nicht verifiziert“, bis sich die Benutzer zum ersten Mal bei der Webex-App anmelden, um ihre Konten zu bestätigen. Eine Anleitung zur Synchronisierung der Konten als aktive Benutzer finden Sie im Abschnitt „Vorbereitungen“.
-
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf einem anderen installierten Directory Connector aus. Nach der Synchronisierung werden die Benutzer in allen von Ihnen hinzugefügten Domänen in Control Hub aufgeführt.
-
Wenn Sie Single Sign-On in Webex integriert und E-Mail-Benachrichtigungen unterdrückt haben, werden die E-Mail-Einladungen nicht an die neu synchronisierten Benutzer gesendet.
-
Sie können Benutzer in Control Hub nicht manuell hinzufügen, nachdem der Verzeichniskonnektor aktiviert wurde. Nach der Aktivierung wird die Benutzerverwaltung über den Cisco-Verzeichniskonnektor durchgeführt, und Active Directory ist die zentrale Informationsquelle.
-
Alle von Ihnen synchronisierten Gruppen werden in Control Hub angezeigt und Sie können eine Lizenzvorlage zuweisen, sodass Benutzern in dieser Gruppe Lizenzen zugewiesen werden.
Nächste Schritte
-
Wenn Sie einen Benutzer aus Active Directory entfernen, wird der Benutzer nach der nächsten Synchronisierung soft gelöscht. Der Benutzer wird inaktiv, aber das Cloud-Identitätsprofil wird sieben Tage lang beibehalten (um eine Wiederherstellung nach einer versehentlichen Löschung zu ermöglichen).
Wenn Sie die Option Konto ist deaktiviert in Active Directory aktivieren, wird der Benutzer nach der nächsten Synchronisierung inaktiv. Das Cloud-Identitätsprofil wird nach sieben Tagen nicht gelöscht, falls Sie den Benutzer erneut aktivieren möchten.
-
Beachten Sie diese Ausnahmen bei einer inkrementellen Synchronisierung (befolgen Sie stattdessen die obigen vollständigen Synchronisierungsschritte):
-
Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
-
Konfigurationsänderungen bei der Attributzuordnung, Basis-DN, Filter und Avatar-Einstellung erfordern eine vollständige Synchronisierung.
-
Webex-Dienste zu mit dem Verzeichnis synchronisierten Benutzern in Control Hub zuweisen
Nachdem Sie eine vollständige Benutzersynchronisierung vom Cisco-Verzeichniskonnektor mit Control Hub abgeschlossen haben, können Sie mit Control Hub allen Ihren Benutzern die gleichen Webex-Dienstlizenzen auf einmal zuweisen oder neuen Benutzern zusätzliche Lizenzen hinzufügen, wenn Sie bereits eine automatisch zugewiesene Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.
Nachdem Sie die vollständige Benutzersynchronisierung vom Directory Connector in Control Hub abgeschlossen haben, können Sie Methoden in Control Hub verwenden, um all Ihren Benutzern – einzelnen Benutzern – über die CSV-Massenvorlage global Webex-Dienstlizenzen zuzuweisen oder neuen Benutzern automatisch zuzuweisen, wenn Sie bereits eine automatische Lizenzvorlage konfiguriert haben. Nach diesem ersten Schritt können Sie individuelle Benutzerkontoänderungen vornehmen.
Wenn Sie einem Webex-App-Benutzer eine Lizenz zuweisen, erhält dieser Benutzer standardmäßig eine E-Mail, in der die Zuweisung bestätigt wird. Die E-Mail wird von einem Benachrichtigungsdienst in Control Hub gesendet. Wenn Sie Single Sign-On (SSO) in Ihre Webex-Organisation integriert haben, können Sie auch diese automatischen E-Mail-Benachrichtigungen unterdrücken, wenn Sie Ihre Benutzer direkt kontaktieren möchten.
Vorbereitungen
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten, bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
-
Führen Sie einen Probelauf für die Synchronisierung der Active Directory-Benutzer durch.
-
Nachdem Sie die Ergebnisse des Probelaufs bestätigt haben, führen Sie eine vollständige Synchronisierung mit Ihren Active Directory-Benutzern durch.
Bei der vollständigen Synchronisierung wird der Benutzer in der Cloud erstellt, es werden keine Dienstzuweisungen hinzugefügt und es wird keine Aktivierungs-E-Mail gesendet. Wenn E-Mails nicht unterdrückt werden, erhalten die neuen Benutzer eine Aktivierungs-E-Mail, wenn Sie Benutzern Dienste über eine Standard-Benutzerverwaltungsmethode in Control Hub zuweisen, z. B. CSV-Import, manuelle Benutzeraktualisierung oder durch erfolgreiches automatisches Abschließen der Zuweisung.
| 1 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , klicken Sie auf Benutzer verwalten, wählen Sie Alle synchronisierten Benutzer ändern und klicken Sie dann auf Weiter. |
| 2 |
Wählen Sie eine Option: |
Nächste Schritte
-
Wenn E-Mails nicht unterdrückt werden, wird eine E-Mail an jeden Benutzer mit einer Einladung gesendet, um Webex beizutreten und herunterzuladen.
-
Wenn Sie für alle Benutzer dieselben Webex-Dienste ausgewählt haben, können Sie anschließend die zugewiesene Lizenz einzeln oder gesammelt ändern.
Bekannte Probleme mit dem Directory Connector
-
Windows Server-Versionen vor 2012 R2 weisen ein Cookie-Problem auf, das sich auf den Directory Connector auswirkt. Dieses Problem wurde in den Versionen 2012 R2 und 2016 behoben.
-
Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.
Sie können versuchen, den lokalen Cache für die Webex-App zu leeren, indem Sie die folgenden Anweisungen befolgen: Windows oder Mac.
-
Wenn ein Benutzer die Webex-App auf dem Desktop oder Mobilgerät verwendet, um einen Raum zu suchen und anzurufen, der nur über einen synchronisierten SIP-URI verfügt, läutet der Anruf zu diesem Zeitpunkt unbegrenzt.
Benutzer der Webex-App verwalten
Durchführen einer inkrementellen Synchronisierung
Die inkrementelle Synchronisierung fragt Ihr Active Directory ab und sucht nach Änderungen, die seit der letzten Synchronisierung erfolgt sind. Bei diesem Schritt werden die Änderungen dann gebündelt und an den Connector-Dienst gesendet. Die Änderungen umfassen die Änderung der Attribution für Benutzer sowie den Zeitpunkt, zu dem ein Benutzer hinzugefügt oder gelöscht wird.
Diese Synchronisierung belastet die Server nicht so sehr und nimmt nicht so viel Zeit in Anspruch wie eine vollständige Synchronisierung. Nachdem Sie die ursprüngliche vollständige Synchronisierung durchgeführt haben, empfehlen wir die inkrementelle Option für nachfolgende Synchronisierungen.
Vorbereitungen
-
Sie müssen eine Vorlage für die automatische Lizenzzuweisung einrichten , bevor Sie sie für neue Webex-App-Benutzer verwenden, die Sie über Active Directory synchronisiert haben.
-
Beachten Sie diese Ausnahmen, die die inkrementelle Synchronisierung nicht unterstützt (folgen Sie stattdessen Vollständige Synchronisierung von Active Directory-Benutzern in der Cloud durchführen ):
-
Wenn ein aktualisierter Avatar, aber keine andere Attributänderung erfolgt, aktualisiert die inkrementelle Synchronisierung den Avatar des Benutzers nicht in die Cloud.
-
Bei neuen Konfigurationsänderungen für die Attributzuordnung, Basis-DN, Filter und die Avatar-Einstellung funktioniert die inkrementelle Synchronisierung nicht und erfordert eine vollständige Synchronisierung.
-
| 1 |
Klicken Sie in Directory Connector auf Dashboard. Wenn Sie die Synchronisierung aktivieren, werden Sie von Directory Connector aufgefordert, zunächst einen Probelauf durchzuführen. |
| 2 |
Klicken Sie unter Aktionen auf Synchronisierungsmodus > Synchronisierung aktivieren , falls dies noch nicht geschehen ist. Standardmäßig ist eine inkrementelle Synchronisierung so eingestellt, dass sie alle 30 Minuten (auf Version 3.4 und früher) oder alle 4 Stunden (auf Version 3.5 und höher) stattfindet. Sie können diesen Wert jedoch ändern. Die inkrementelle Synchronisierung erfolgt erst, nachdem Sie zunächst eine vollständige Synchronisierung durchgeführt haben. Wenn ein neues inkrementelles Zeitintervall aktiv ist, überprüft das Programm die Änderungen anhand des letzten Zeitstempels. |
| 3 |
Klicken Sie im Menü Aktionen auf Jetzt synchronisieren > Inkrementell. Für alle Änderungen, die Sie an Benutzern in Active Directory vornehmen (z. B. Anzeigename), spiegelt Control Hub die Änderung sofort wider, wenn Sie die Benutzeransicht aktualisieren. In der Webex-App werden die Änderungen jedoch 72 Stunden nach der Durchführung der Synchronisierung berücksichtigt.
|
| 4 |
Um weitere Informationen zu Fehlern zu erhalten, klicken Sie in der Symbolleiste Aktionen auf Ereignisanzeige starten , um die Fehlerprotokolle anzuzeigen. |
Nächste Schritte
Wenn Sie über mehrere Domänen verfügen, führen Sie diesen Schritt auf anderen Directory Connector-Instanzen aus, die Sie installiert haben.
Versehentlich gelöschte Benutzer wiederherstellen
Der Verzeichniskonnektor verfügt über Kontrollmechanismen, um das unbeabsichtigte Löschen von Benutzern zu verhindern. Leider passiert ein Unfälle; Sie haben möglicherweise einen LDAP-Filter in einem Active Directory, der einige Benutzer bei der Synchronisierung mit der Cloud gelöscht hat. Die Funktion „Soft-Delete“ kann Ihnen dabei helfen, sich von diesen Unfällen zu erholen und die Benutzerkonten in Control Hub wiederherzustellen.
Diese Funktion ist standardmäßig für alle Organisationen aktiviert. Wenn Benutzer in der Cloud gelöscht werden, beispielsweise aufgrund eines nicht übereinstimmenden Objektproblems nach einer Synchronisierung aus dem Directory Connector, können die Benutzer wiederhergestellt werden. Wenn Sie einen nicht übereinstimmenden Objekthinweis sehen oder festgestellt haben, dass Benutzer gelöscht wurden, können Sie diese möglicherweise wiederherstellen, wenn Sie schnell handeln.
Benutzer werden in Control Hub als inaktiv markiert, wenn die entsprechenden Konten in Active Directory gelöscht werden. Der Hintergrund-Cloud-Dienst behält die Benutzer bis zu 7 Tage lang bei. Während dieser Zeit können Sie weiterhin Cisco Directory Connector verwenden, um Benutzer wiederherzustellen. Wir empfehlen Ihnen, diese Benutzer so bald wie möglich wiederherzustellen.
Benutzer, die in Active Directory deaktiviert sind, werden in Control Hub ebenfalls als inaktiv markiert, aber das Benutzerkonto wird nach 7 Tagen nicht gelöscht.
| 1 | |
| 2 |
Wechseln Sie zu Benutzer und bestätigen Sie, ob sich ein bestimmtes Benutzerkonto im Status „Inaktiv“ befindet oder nicht aufgeführt ist. Weitere Informationen finden Sie unter Benutzerstatus und Aktionen in Control Hub. |
| 3 |
Wenn Benutzer in Control Hub gelöscht wurden oder Sie Benutzer im Status „Inaktiv“ bemerken, wechseln Sie zu Active Directory, fügen Sie die fehlenden Benutzerkonten hinzu und führen Sie einen Probelauf für die Synchronisierung im Directory Connector durch. Das Ziel mit Directory Connector ist es, eine exakte Übereinstimmung zwischen den Benutzerinformationen in Active Directory und in der Cloud zu schaffen. |
| 4 |
Führen Sie eine vollständige Synchronisierung durch, um die vorübergehend gelöschten Benutzerkonten mit Control Hub erneut zu synchronisieren. Die Benutzer werden wiederhergestellt und wechseln zum ursprünglichen Status, einschließlich ihres Kontostatus und Dienstzuweisungen. |
Nächste Schritte
Kehren Sie zu Control Hub zurück, gehen Sie zu und bestätigen Sie, dass die zuvor gelöschten Benutzerkonten in der Benutzerliste angezeigt werden.
Benutzer nach dem weichen Löschen dauerhaft löschen
Nach einem Probelauf können Sie Benutzer, die bei der nächsten Synchronisierung soft gelöscht wurden, dauerhaft löschen.
| 1 |
Wählen Sie nach Abschluss eines Probelaufs Weich gelöschte Objekte aus. |
| 2 |
Aktivieren Sie das Kontrollkästchen neben den Benutzern, die Sie löschen möchten. |
| 3 |
Wählen Sie Fertig aus. |
Nächste Schritte
Bei der nächsten Synchronisierung werden die von Ihnen geprüften Benutzer dauerhaft gelöscht.
E-Mail-Adresse einer Webex-App ändern
Wenn Sie die E-Mail-Adressen der Benutzer ändern möchten und Ihre Organisation den Directory Connector verwendet, ändern Sie diese E-Mail-Adressen in Active Directory. Dieses Verfahren behandelt das Ändern der E-Mail-Adresse der Webex-App für eine einzelne Domäne und einen Prozess zum Ändern der Domäne.
Wenn Sie nur die E-Mail-Adresse oder einen Wert für einen Benutzer ändern möchten, löschen Sie den Benutzer nicht aus Active Directory und erstellen Sie dann einen neuen Benutzer mit derselben E-Mail-Adresse neu. Die Cloud interpretiert diese Aktion als neues Benutzerkonto. Dabei gehen die Bereiche des Benutzers und andere Daten in der Cloud verloren.
Der Directory Connector schränkt die Änderung der E-Mail-Domäne nicht ein. Wenn sich der Benutzer jedoch mit der Cloud resynchronisiert, hängt der Benutzerstatus davon ab, ob die neue Domäne in Ihrer Organisation verifiziert ist. Wenn die Domäne in Ihrer Organisation nicht verifiziert ist, ändert sich der Status des Benutzers nach der vollständigen Synchronisierung zu „Ausstehend“. Weitere Informationen finden Sie unter Domänen verwalten.
Wenn Ihre Organisation den Directory Connector nicht verwendet, können Sie Ihre Webex-App-E-Mail-Adressen über die Seite mit den Kontoeinstellungen ändern. Unter E-Mail-Adresse für Ihr Konto ändern finden Sie Schritte, die Benutzer befolgen können, um ihre E-Mails zu ändern.
Active Directory-Domäne ändern
Mit diesem Vorgang können Sie neue Domänen und E-Mail-Adressen erstellen. Sie werden mit dem Identitätsdienst in der Cloud synchronisiert.
| 1 |
Richten Sie eine neue Active Directory (AD)-Domäne ein. |
| 2 |
Deaktivieren Sie die Synchronisierungen für all Ihre Konnektoren. |
| 3 |
Deinstallieren Sie alle Ihre Konnektoren. |
| 4 |
Öffnen Sie einen Fall, um die Domäne zu ändern. Stellen Sie bei der Fallübermittlung sicher, dass Sie die Entfernung der Domänenkonfiguration und aller Synchronisierungsattribute in Ihrer Organisation anfordern. Bevor Sie einen Fall zum Ändern der Domäne öffnen, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird. Ändern Sie keine Benutzer-E-Mail-Adressen in Active Directory, bis der Fall aufgelöst wurde. |
| 5 |
Nachdem der Fall behoben ist: Führen Sie einen Testlauf mit dem Directory Connector durch, bevor Sie die tatsächliche Synchronisierung durchführen. |
Domänenanspruch
Ein Domänenanspruch tritt auf, wenn Sie eine E-Mail-Domäne für eine Organisation beanspruchen, sodass ein Sideboarding-Konto in der zahlungspflichtigen Kundenorganisation und nicht in der kostenlosen Verbraucherorganisation erstellt wird. Sie können eine Domäne nur über einen Support-Fall beanspruchen (weitere Informationen finden Sie unter dem folgenden Link).
Wenn der Directory Connector aktiv ist und die Domäne beansprucht wird, werden weder in der Kundenorganisation noch in der kostenlosen Verbraucherorganisation Sideboarding-Konten erstellt. Nur der Directory Connector kann Konten für die Organisation aus Active Directory bereitstellen. Bei den im Active Directory gespeicherten Informationen handelt es sich um die ursprüngliche Quelle. Wenn Sie versuchen, ein Sideboarding-Konto zu erstellen, erhält der eingeladene Benutzer eine Fehlermeldung. Die einzige Möglichkeit, wie ein eingeladener Benutzer zu einem Webex-App-Bereich hinzugefügt werden kann, besteht darin, das Konto zunächst mithilfe des Directory Connectors in Control Hub bereitzustellen.
Benutzer der kostenlosen Webex-App in einer Organisation mit synchronisiertem Verzeichnis konvertieren
Sie können nur eindeutige E-Mail-Adressen im Webex-App-Verzeichnis verwenden. Wenn sich Ihre Benutzer für die kostenlose Version der Webex-App registriert haben, ist ihr Konto in der kostenlosen Verbraucherorganisation vorhanden. Um Benutzer in dieser Organisation mithilfe des Verzeichniskonnektors zu verwalten, migrieren (konvertieren) Sie sie in die Kundenorganisation, bevor Sie den Verzeichniskonnektor aktivieren. Anschließend fügen Sie die Benutzer zu Active Directory mit der genauen e-Mail-Adresse hinzu und synchronisieren dann mit der Cloud.
Wenn Sie die Konten vor der Aktivierung nicht konvertieren, deaktivieren Sie den Directory Connector, damit Sie sie konvertieren können.
Wenn Sie versuchen, einen Benutzer zu konvertieren, während die Verzeichnissynchronisierung aktiviert ist, wird die Fehlermeldung konnte nicht konvertiert werden
angezeigt. Um das Problem zu vermeiden, können Sie diese Schritte als Workaround verwenden.
Einige beanspruchte Benutzer werden bei einem Probelauf möglicherweise mit dem Attribut movedfrom angezeigt. Diese Benutzer werden in der Liste Gelöschte Objekte anstelle von Nicht übereinstimmendes Objekt angezeigt. Sie müssen diese Benutzer zu Ihrer AD-Liste hinzufügen, wenn Sie sie in Ihre Organisation verschieben möchten.
Wenn Sie diese Benutzer nicht hinzufügen, werden sie alle in Ihrer Nähe gelöscht, die mit der Cloud synchronisiert werden.
| 1 |
Deaktivieren Sie die Verzeichnissynchronisierung beim Directory Connector. |
| 2 |
Befolgen Sie das Verfahren Konvertieren von Benutzern ohne Lizenz in Control Hub , um den Benutzer von der kostenlosen Verbraucher-Organisation zur Enterprise-Organisation zu konvertieren. Bei diesem Schritt wird der Benutzer zu Ihrer Organisation hinzugefügt, und das Konto wird in Control Hub angezeigt. Der Directory Connector macht Active Directory zur zentralen Informationsquelle für Benutzerkonten. Ziel ist es, eine exakte Übereinstimmung zwischen Active Directory und Control Hub zu erzielen. Stellen Sie sicher, dass in der E-Active Directory für kürzlich konvertierte Benutzer übereinstimmen, bevor Sie die Synchronisierung erneut starten. Eine Dry Run-Synchronisierung kann verwendet werden, um sicherzustellen, dass keine verbleibenden unübertroffenen Benutzer verfügbar sind. |
| 3 |
Führen Sie auf dem Directory Connector einen Probelauf für die Synchronisierung durch. Überprüfen Sie nach Abschluss des Trockenlaufs die Registerkarte Objekte hinzufügen. Vergewissern Sie sich, das von den konvertierten Benutzern keine gelöscht wurden. Sie müssen einen Probelauf durchführen, bevor Sie die Synchronisierung erneut aktivieren, um sicherzustellen, dass alle konvertierten Benutzerkonten in Active Directory angezeigt werden. Wenn Sie die Synchronisierung aktivieren und sich Konten nur in Control Hub befinden, wird bei Directory Connector die Groß- und Kleinschreibung beachtet und konvertierte Benutzer gelöscht, die mit nicht übereinstimmenden E-Mail-Adressen erkannt werden (z. B. user1@example.com und User1@example.com). Wenn konvertierte Benutzer gelöscht werden, gehen alle ihre Webex-App-Bereiche verloren. |
| 4 |
Wenn Sie sicher sind, dass durch die nächste Synchronisierung keine Konten entfernt werden, können Sie die Verzeichnissynchronisierung beim Directory Connector wieder aktivieren. |
Konvertierte Benutzerkonten werden nicht automatisch aktiviert, wenn Sie eine Domäne nicht verifiziert haben. Wenn Sie beispielsweise die automatische Lizenzvorlage aktiviert und anschließend den Verzeichniskonnektor ohne Domänenverifizierung aktiviert haben, sind konvertierte Benutzer im Cloud-Backend inaktiv, bis sie ihre E-Mail-Adressen bestätigen.
Sideboarding-Benutzerkonten für Webex-App
Wenn Sie einen anderen Benutzer in einen Bereich in der Webex-App einladen und der eingeladene Benutzer kein Webex-App-Konto hat, wird für ihn ein Konto erstellt („Sideboarding“). Die dabei erstellten Konten werden standardmäßig zur kostenlosen Verbraucher-Organisation hinzugefügt.
Wenn Sie das Sideboarding-Konto mit dem Directory Connector verwalten möchten, müssen Sie das Konto konvertieren.
Benutzerformat der Webex-App nach der Verzeichnissynchronisierung ändern
Standardmäßig ordnet der Directory Connector das displayName-Attribut in Active Directory dem displayName-Attribut in der Cloud zu.
Nach der Verzeichnissynchronisierung werden Benutzernamen möglicherweise im Format angezeigt.
Dieser Benutzername wird möglicherweise angezeigt, wenn das Attribut displayName in Active Directory auf diese Weise konfiguriert ist. Wenn das Attribut in der Cloud zu displayName zugeordnet wird, werden Namen in Control Hub im Format angezeigt.
So ändern Sie das Format auf dem Attributszuordnungsbildschirm des Directory Connectors: ordnen Sie das Active Directory-Attribut givenName sn (oder sn givenName) dem displayName in Cisco Cloud-Attributnamen zu.
Alternativ können Sie das Attribut sn givenName dem displayName zuordnen:
Sie können auch die Option „Attribut anpassen“ verwenden, wenn Sie Ihren eigenen benutzerdefinierten Attributausdruck displayName zuordnen möchten.
Geben Sie beispielsweise givenName + "" + sn (Vorname, Leerzeichen, Nachname) als Ausdruck ein. Dadurch werden die beiden Attribute in Active Directory dem displayName in der Cloud zugeordnet.
Benutzer können Anzeigenamen in Webex Meetings ändern
Sie können die Zuordnung des displayName -Attributs der Synchronisierung mit der Cloud im Directory Connector aufheben, wenn Sie Benutzern die Bearbeitung ihrer bevorzugten Anzeigenamen erlauben möchten. Benutzer können einen Anzeigenamen eingeben, der während Webex-Meetings angezeigt wird, anstatt ihren Vor- und Nachnamen eingeben. Administratoren können den Anzeigenamen für einen Benutzer auch manuell in Control Hub ändern.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Benutzerattributzuordnung aus. |
| 2 |
Wählen Sie displayName unter Cisco Cloud-Attributname aus. |
| 3 |
Wählen Sie Dieses Attribut nicht synchronisieren aus. |
Nächste Schritte
Benutzer können jetzt ihre Anzeigenamen über ihre Webex-Site bearbeiten.
Directory Connector – Problembehandlung
Upgrade auf die neueste Softwareversion
Um Ihre Bereitstellung konform zu halten und die neuesten Funktionen, Funktionen, Fehlerbehebungen und Sicherheitsverbesserungen zu erhalten, müssen Sie immer auf die neueste Version von Directory Connector aktualisieren. Wenn Sie kein Upgrade auf die neueste verfügbare Version durchführen, können Probleme auftreten, z. B. wenn der Directory Connector nicht mehr ordnungsgemäß synchronisiert wird oder eine Version verwendet wird, die die obligatorische TLS 1.2-Anforderung nicht unterstützt.
Directory Connector benachrichtigt Sie automatisch, wenn eine neue Version verfügbar ist. Führen Sie immer ein Upgrade auf die neueste Version durch, um Probleme zu vermeiden. Ihnen wird außerdem eine Benachrichtigung in der Windows-Taskleiste angezeigt.
Obwohl Sie Connector-Softwareaktualisierungen manuell installieren können, empfehlen wir Ihnen, die Schritte unter Automatische Upgrades festlegen zu befolgen, damit die App Ihre Upgrades automatisch verwalten kann.
| 1 |
Klicken Sie in der Windows-Taskleiste auf die Benachrichtigung oder klicken Sie mit der rechten Maustaste auf das Directory Connector-Symbol in der Windows-Taskleiste, um den Upgrade-Prozess zu starten. |
| 2 |
Befolgen Sie die Anweisungen, um das Upgrade durchzuführen. |
| 3 |
Starten Sie den Connector neu, und melden Sie sich mit Ihren Administrator-Anmeldeinformationen an. |
| 4 |
Überprüfen Sie die Versionsnummer der Software unter . |
Nächste Schritte
Für eine neue Installation von Directory Connector können Sie die ZIP-Datei herunterladen und dann die Installationsschritte in diesem Handbuch befolgen.
Konfigurieren von allgemeinen Einstellungen für Directory Connector
Mit diesem Verfahren können Sie allgemeine Einstellungen konfigurieren, z. B. den Namen des Servers, auf dem Directory Connector ausgeführt wird, die Protokollstufen, automatische Upgrades und die bevorzugten Einstellungen für die Domänencontroller. Der Name des Connectors wird im Dashboard im Abschnitt Connectors zusammen mit allen anderen Connectoren angezeigt, die Sie ausführen.
| 1 |
Wechseln Sie im Directory Connector zu Konfiguration und klicken Sie auf Allgemein. |
| 2 |
Geben Sie in dem Feld Connectorname den Connector-Namen ein. In diesem Feld wird nur der Computername angezeigt, auf dem aktuell der Connector ausgeführt wird. |
| 3 |
Wählen Sie die Protokollebene aus dem Dropdownfeld aus. Standardmäßig ist die Protokollebene auf info festgelegt. Die verfügbaren Protokollstufen lauten folgendermaßen:
Diese Einstellungen wirken sich auf den Synchronisierungsbericht aus, der per E-Mail versendet wird. Wenn Sie die Protokollebene auf Fehler festlegen, werden nur Fehler im Synchronisierungsbericht gemeldet. Wenn keine Fehler vorhanden sind, wird der Synchronisierungsbericht nicht gesendet. Ändern Sie die Einstellung in „Info“. Nach der vollständigen Synchronisierung erhalten Sie Synchronisierungsberichte. (Beachten Sie, dass für die inkrementelle Synchronisierung keine Berichte gesendet werden, wenn keine Fehler gemeldet werden.) |
| 4 |
Wählen Sie die Bevorzugten Domänencontroller aus, um die Reihenfolge der Domänencontroller für die Synchronisierung der Identitäten festzulegen. Der Zugriff auf die Domänencontroller erfolgt von oben nach unten. Wenn der oberste Controller nicht verfügbar ist, wählen Sie den zweiten Controller in der Liste aus. Wenn kein Controller aufgeführt wird, können Sie auf den primären Controller zugreifen. |
| 5 |
Aktivieren Sie Automatisches Upgrade auf neue Cisco Directory Connector-Version , wenn automatische Upgrades durchgeführt werden sollen. Es ist immer wichtig, dass Ihre Cisco Directory Connector-Software auf der neuesten Version aktualisiert wird. Wir empfehlen Ihnen, diese Einstellung zu überprüfen, damit automatische Upgrades der Software unbeaufsichtigt installiert werden können, wenn sie verfügbar sind. |
| 6 |
Aktivieren Sie LDAP über SSL , um das sichere LDAP (LDAPS) als Verbindungsprotokoll zu verwenden. Wenn Sie LDAP über SSL nicht aktivieren, verwendet Directory Connector weiterhin das LDAP-Verbindungsprotokoll. LDAP (Lightweight Directory Application Protocol) und Secure LDAP (LDAPS) sind die Verbindungsprotokolle zwischen einer Anwendung und dem Domänencontroller in der Infrastruktur. LDAPS-Kommunikation ist verschlüsselt und sicher. |
Connector-Richtlinie konfigurieren
Sie können die maximale Anzahl von Löschvorgängen festlegen, die während der Synchronisierung auftreten dürfen. Bei der Synchronisierung werden keine Objekte aus Ihrem lokalen Active Directory gelöscht. Alle Objekte werden lediglich aus der Cloud gelöscht.
Sie legen beispielsweise 1 als Schwellenwert für den Löschvorgang fest. Wenn Sie eine vollständige oder inkrementelle Synchronisierung durchführen und dabei mehr Benutzer gelöscht werden sollen als in dieser Einstellung festgelegt, gibt der Directory Connector eine Warnung aus. Wenn Sie auf Grenzwert außer Kraft setzen klicken, wird die vollständige bzw. inkrementelle Synchronisierung erfolgreich gestartet, aber dieser Hinweis zur Außerkraftsetzung wird bei der nächsten Ausführung der Richtlinie angezeigt.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Richtlinie aus. |
| 2 |
Aktivieren Sie das Kontrollkästchen Schwellenwert-Auslöser, wenn Sie einen Schwellenwert-Auslöser hinzufügen möchten. Aktivieren Sie diese Option, wird eine Warnung ausgelöst, wenn die Anzahl der Löschvorgänge den Schwellenwert überschreitet. Wenn die Kontolöschung den von Ihnen definierten Wert überschreitet, schlägt die Synchronisierung fehl.
|
| 3 |
Geben Sie die maximal gewünschte Anzahl von Löschvorgängen ein. Der Standardwert lautet 20. Wir empfehlen Ihnen, den Standardwert nicht zu erhöhen. |
| 4 |
Klicken Sie auf Übernehmen. |
Legen Sie den Connector-Zeitplan fest
Legen Sie den Synchronisierungszeitpunkt in Active Directory fest. Failover wird für Hochverfügbarkeit (HA) verwendet. Wenn ein Connector ausfällt, wechseln wir nach dem vordefinierten Zeitintervall zu einem anderen Standby-Connector.
| 1 |
Klicken Sie im Directory Connector auf Konfiguration und wählen Sie Zeitplan aus. |
| 2 |
Geben Sie einen Wert für Inkrementelles Synchronisierungsintervall in Minuten an. Standardmäßig ist die inkrementelle Synchronisierung auf alle 30 Minuten festgelegt. Die vollständige inkrementelle Synchronisierung wird erst durchgeführt, nachdem Sie eine komplette Synchronisierung vorgenommen haben. |
| 3 |
Ändern Sie den Wert Berichte alle… senden, wenn Sie ändern möchten, wie oft Berichte gesendet werden. |
| 4 |
Aktivieren Sie Zeitplan zur vollständigen Synchronisierung aktivieren, um die Tage und Uhrzeiten anzugeben, zu denen eine vollständige Synchronisierung durchgeführt werden soll. |
| 5 |
Geben Sie einen Wert für Failover-Intervall in Minuten an. |
| 6 |
Klicken Sie auf Übernehmen. |
Szenarien mit mehreren Domänen
Mehrere Domänen basieren auf der Domänenpriorität. In Objekten, die denselben Schlüsselwert in unterschiedlichen Domänen haben, werden nach der Synchronisierung die Daten aus der Domäne mit niedrigerer Priorität mit den Daten aus der Domäne mit der höheren Priorität überschrieben.
Objekte, die denselben Schlüsselwert haben, werden in der Datenbank zu einem Datensatz verknüpft.
Der Schlüsselwert für „User“ ist die E-Mail-Adresse, und der Schlüsselwert für „Group“ ist der Gruppenname.
Beispielanwendungen für mehrere Domänen
Dieses Beispiel geht von einer Organisation mit zwei Domänen aus: example1.com und example2.com, in absteigender Priorität.
-
Fügen Sie user1(E-Mail: user@example1.com) zum Active Directory von example1.com hinzu.
-
Fügen Sie group1(Gruppenname: Test) zum Active Directory von example1.com hinzu.
-
Fügen Sie user2(E-Mail: user@example2.com) zum Active Directory von example2.com hinzu.
-
Fügen Sie group2(Gruppenname: Testen) zum Active Directory von example2.com hinzu.
- Synchronisierung auf example1.com
-
Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.
Wenn Sie eine vollständige oder inkrementelle Synchronisierung für example1.com ausführen, werden user1 und group1 synchronisiert. Außerdem werden user2 und group2 mit den Informationen von user1 und group1 überschrieben.
User1 verweist auf user2 als ein Eintrag in der Datenbank, group1 verweist auf group2 als ein Eintrag in der Datenbank.
- Synchronisierung für example1.com und example2.com
-
Angenommen, user2 und group2 werden mit der Cloud synchronisiert und daraufhin in https://admin.webex.com angezeigt, user1 und group1 dagegen nicht.
Stellen Sie sich das folgende Szenario vor:
- Löschen Sie user1 und group1 aus dem Active Directory für example1.com.
- Führen Sie eine vollständige oder inkrementelle Synchronisierung für example1.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert. User2 verweist nicht auf user1, und group2 verweist nicht auf group1.
- Führen Sie eine inkrementelle Synchronisierung für example2.com aus.
Ergebnis: Die Benutzerinformationen in https://admin.webex.com werden nicht geändert.
- Führen Sie eine vollständige Synchronisierung für example2.com aus.
Ergebnis: Die Informationen von user2 und group2 werden in https://admin.webex.com aufgelistet.
Synchronisieren einer neuen Domäne und Beibehalten einer vorhandenen Domäne
Wenn Sie eine neue Domäne (B) synchronisieren und dabei die synchronisierten Benutzerdaten in einer anderen vorhandenen Domäne (A) beibehalten möchten, sorgen Sie dafür, dass Sie Directory Connector für die Domänensynchronisierung (B) auf einem unterstützten Windows-Server installieren. Der Connector wird nach der Ersteinrichtung an die neue Domäne gebunden und die Benutzerinformationen unter Domäne (A) bleiben davon unbeeinträchtigt.
Jede Domäne muss über ihren eigenen aktiven Connector verfügen. Erwägen Sie zwei Domänen mit folgendem Aufbau: Domäne A mit Connectoren (ca1) und (ca2) für lokale Hochverfügbarkeit (HA); Domäne B mit Connector (cb1). (ca1) und (ca2) dienen für Domäne A. In diesem Szenario ist ein Connector aktiv und der andere im Standbymodus (HA). Durch diesen Aufbau bleibt die Domäne synchron, da ein Connector immer aktiv ist. Deshalb ist cb1 der aktive Connector für Domäne B, da Domäne A bereits über einen aktiven Connector (ca1 oder ca2) verfügt.
Domänenpriorität festlegen
Mit diesem Verfahren können Sie die Priorität Ihrer Active Directory-Domänen ändern. Mithilfe von Domänenpriorität können Sie die primäre Domäne, die sekundäre Domäne usw. bestimmen. Dies ist hilfreich, wenn zwei Benutzer aus zwei unterschiedlichen Domänen denselben E-Mail-Wert mit einer Organisation synchronisiert haben.
Wenden Sie dieses Verfahren nicht an, wenn Sie nur eine einzelne Domäne im Directory Connector aufgeführt haben. Wenn Sie es dennoch anwenden, zeigt der Connector eine Meldung an, die Sie darüber informiert, dass keine Domänenpriorität erforderlich ist.
Vorbereitungen
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie steht unter https://admin.webex.com zum Download bereit.
| 1 |
Klicken Sie im Cisco Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf Domänenpriorität festlegen. |
| 3 |
Markieren Sie eine Domäne in der Liste, klicken Sie auf Hoch oder Runter, um die Priorität dieser Domäne zu ändern und klicken Sie anschließend auf Speichern, um diese Änderung zu speichern. Die Domänen werden in absteigender Reihenfolge sortiert. |
Domäne wechseln
Mit diesem Verfahren können Sie den Cisco-Verzeichniskonnektor erneut an eine andere Domäne binden.
Vorbereitungen
-
Stellen Sie vor dem Wechseln von Domänen sicher, dass keine Synchronisierungsaufgaben ausgeführt werden.
-
Installieren Sie die neueste Version von Cisco Directory Connector bzw. führen Sie ein Upgrade auf diese durch, um Fehler zu vermeiden. Sie müssen sie über Control Hub herunterladen.
| 1 |
Klicken Sie im Cisco Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf Domäne wechseln. |
| 3 |
Lesen Sie den Warnhinweis. Wenn Sie den Vorgang in Anbetracht der Auswirkungen, die diese Änderung auf Ihre Bereitstellung hat, fortsetzen möchten, klicken Sie auf Ja. Wenn Sie eine Domäne wechseln, werden Sie vom aktuellen Cisco Directory Connector abgemeldet, die Registrierung anderer Domänen im Connector wird aufgehoben, und die Connector-Informationen auf diesem Computer werden gelöscht. |
| 4 |
Melden Sie sich erneut beim Cisco-Verzeichniskonnektor an, und binden Sie die Domäne erneut. |
Verzeichnissynchronisierung deaktivieren
Wenn Sie die Synchronisierung über den Verzeichniskonnektor beenden müssen, können Sie sie über Control Hub vorübergehend deaktivieren.
| 1 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , blättern Sie zu Verzeichnissynchronisierung und wählen Sie eine der folgenden Optionen aus:
|
| 2 |
Wenn Sie die Aufforderung gelesen haben, klicken Sie auf Ausschalten. Die Synchronisierung wird angehalten, bis Sie sie über den Directory Connector erneut aktivieren. |
Benutzerattributzuordnung entfernen
Verwenden Sie den Verzeichniskonnektor, um die Zuordnung für Active Directory-Attribute zu entfernen, die zuvor der Cloud zugeordnet und mit Webex synchronisiert wurden. Nachdem Sie die Attributzuordnung entfernt haben, werden die Attributwerte aus der Cloud entfernt und nicht mehr mit Webex synchronisiert. Diese Werte können dann manuell bearbeitet werden.
| 1 |
Klicken Sie in Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 3 |
Wählen Sie die zu entfernende Zuordnung aus der Liste Attributname aus. |
| 4 |
Wählen Sie unter Betroffener Benutzerbereich eine der folgenden Optionen aus:
|
| 5 |
Klicken Sie auf Übernehmen. |
Profilbilder verwalten
Verwenden Sie den Verzeichniskonnektor, um Benutzerprofilbilder zu aktualisieren oder leere Benutzerprofilbilder zu entfernen.
| 1 |
Klicken Sie in Directory Connector auf Dashboard. |
| 2 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 3 |
Wählen Sie unter Aktionen eine der folgenden Optionen aus:
|
| 4 |
Klicken Sie auf Übernehmen. |
Directory Connector deinstallieren und deaktivieren
Nachdem Sie eine Directory Connector-Instanz deinstalliert haben, müssen Sie deren Registrierung aufheben. In den folgenden Szenarien macht es Sinn, einen Directory Connector vollständig zu entfernen:
-
Sie möchten die Verzeichnissynchronisierung nicht mehr verwenden.
-
Sie möchten einen von mehreren Directory Connectoren (Hochverfügbarkeit) nicht mehr verwenden.
-
Sie möchten die Domäne ändern und einen anderen Connector installieren.
Vorbereitungen
-
Möglicherweise werden mehrere Directory Connector-Instanzen für Hochverfügbarkeit (HA) oder Synchronisierung mit mehreren Domänen eingerichtet. Deaktivieren Sie die Synchronisierung, falls Sie die einzige bzw. die letzte verbleibende Directory Connector-Instanz deinstallieren.
-
Speichern und schließen Sie alle wichtigen Arbeiten, bevor Sie den Directory Connector deinstallieren.
| 1 |
Öffnen Sie die Systemsteuerung auf Ihrem Windows-Computer und klicken Sie auf Programme und Funktionen. |
| 2 |
Klicken Sie in der Programmliste auf Directory Connector, wählen Sie Deinstallieren aus und folgen Sie den Anweisungen. Möglicherweise müssen Sie Ihr System neu starten, um die Deinstallation abzuschließen. |
| 3 |
Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu , blättern Sie zu Verzeichnissynchronisierung, klicken Sie auf Mehr |
| 4 |
Lesen Sie die Aufforderung und klicken Sie anschließend auf Deaktivieren. Die Benutzerkonten werden jetzt nicht mehr synchronisiert, es sei denn, es existiert ein anderer Directory Connector in einer Hochverfügbarkeitsbereitstellung. |
Ausführen des Diagnosetools
Sie können das integrierte Diagnosetool verwenden, um Fehler bei der Directory Connector-Bereitstellung zu beheben. Dieses Tool wird als Teil von Directory Connector 3.4 und höher installiert.
Wenn die Synchronisierung nicht ordnungsgemäß funktioniert hat, liegt möglicherweise ein Konfigurations- oder Netzwerkfehler vor. Dieses Tool testet Ihre Verbindung zu LDAP, damit Sie Fehler diagnostizieren können, bevor Sie sich an den Support wenden. Wenn das Tool einen Fehler zurückgibt, können Sie die detaillierten Protokollergebnisse an den Support senden.
-
So führen Sie Tests für Active Directory-Domänendienste aus:
-
So führen Sie Tests für Active Directory Lightweight Directory-Dienste aus:
-
So führen Sie Tests für das Lightweight Directory Access Protocol (LDAP) aus:
Beheben von Problemen im Ciso Directory Connector
Fehlerbehebung und Fehlerbehebungen für den Directory Connector
Möglicherweise tritt eine Fehlermeldung oder ein anderes Problem im Directory Connector auf. Nachdem der Directory Connector die Benutzerinformationen synchronisiert hat, sendet der Connector Ihnen möglicherweise einen E-Mail-Bericht, in dem Probleme mit der Synchronisierung aufgeführt sind. Bevor Sie sich an den Support wenden, lesen Sie die folgenden Abschnitte über mögliche Probleme, mögliche Ursachen und vorgeschlagene Lösungen.
Installieren
Directory Connector funktioniert nicht mehr
Sie haben E-Mail-Warnungen erhalten, in denen Sie darüber benachrichtigt wurden, dass Ihr Directory Connector nicht funktioniert.
-
Der Directory Connector ist möglicherweise nicht korrekt installiert.
-
Directory Connector wird möglicherweise nicht ausgeführt.
-
Das Netzwerk ist möglicherweise nicht verfügbar.
Gehen Sie wie folgt vor:
-
Öffnen Sie . Suchen Sie nach Directory Connector. Wenn sie nicht vorhanden ist, laden Sie die neueste Version von Control Hub herunter und installieren Sie sie.
-
Öffnen Sie den Dienst und suchen Sie den Cisco DirSync-Dienst. Stellen Sie sicher, dass der Status Gestartet angezeigt wird. Wenn der Dienst „Beendet“ ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Starten“, um den Dienst neu zu starten.
-
Stellen Sie sicher, dass der Server, auf dem Sie den Directory Connector installiert haben, über Internetzugang verfügt.
Fehler bei erneuter Installation
Problem: Wenn Sie sofort einen neuen Connector installieren, nachdem Sie einen alten deinstalliert haben, wird möglicherweise eine Fehlermeldung angezeigt.
Mögliche Ursache: In Windows Server 2012 benötigt der Client zur Deinstallation Zeit, um das Dienstkonto aus der Dienstliste zu löschen.
Lösung: Versuchen Sie die Installation nach einiger Zeit erneut.
Anmelden
Directory Connector stürzt bei der SSO-Anmeldung ab
Problem
Der Directory Connector kann abstürzen, nachdem Sie eine E-Mail-Adresse von einer SSO-Anmeldeseite eingegeben haben.
Lösung
Gehen Sie wie folgt vor:
Führen Sie die folgenden Schritte aus, um eine neue Gruppenrichtlinie zu konfigurieren:
-
Wechseln Sie zum Domänencontroller und öffnen Sie Group Policy Management (gpedit.msc).
-
Klicken Sie mit der rechten Maustaste auf eine bestimmte OU oder Domäne, und wählen Sie Erstellen Sie eine GPO in dieser Domäne und Verknüpfen Sie sie hier…
-
Geben Sie der Richtlinie einen Namen, klicken Sie dann mit der rechten Maustaste und wählen Sie Bearbeiten aus.
Führen Sie die folgenden Schritte aus, um die Richtlinie auf Maschinenebene zu ändern:
-
Gehen Sie zu , klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
-
Geben Sie unter Key Path die Option HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
-
Geben Sie
Disable Script Debuggerfür Value undnofür Value data ein.Die Einstellungen sollten mit diesem Screenshot übereinstimmen:
Führen Sie die folgenden Schritte aus, um die Richtlinie auf Benutzerebene zu ändern:
-
Gehen Sie zu , klicken Sie mit der rechten Maustaste auf Registrierung, wählen Sie Neu und anschließend Registrierungselement.
-
Geben Sie unter SchlüsselpfadHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main ein oder navigieren Sie zu diesem.
-
Geben Sie
Disable Script Debuggerfür Value undnofür Value data ein.Die Einstellungen sollten mit diesem Screenshot übereinstimmen:
Die Änderungen werden wirksam, nachdem Sie gpupdate /force ausgeführt haben, die Maschine neu gestartet wurde (bei Änderungen am Computer) oder sich der Benutzer erneut anmeldet (bei Änderungen am Benutzer).
Cisco DirSync Service Connector konnte nicht registriert werden
Problem
Anmeldung fehlgeschlagen, und die folgende Meldung wird angezeigt: „Der Cisco DirSync Service Connector konnte nicht registriert werden.“
Lösung
Das Windows-System, auf dem Directory Connector installiert ist, muss Mitglied von Active Directory sein.
Die Seite „Keine Anmeldung“ wird angezeigt
Problem
Sie haben den Verzeichniskonnektor geöffnet und die Anmeldeseite wurde nicht angezeigt.
Lösung
Gehen Sie wie folgt vor:
-
Navigieren Sie in Internet Explorer zu https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Versuchen Sie den Link in anderen Browsern wie Chrome und Firefox.
-
Wenn Internet Explorer den Link nicht aufrufen kann, andere Browser dies jedoch können, aktivieren Sie die Internet Explorer-Einstellungen und aktivieren Sie die Kontrollkästchen TLS 1.1 und 1.2. (Verwenden Sie das Verfahren TLS im Internet Explorer aktivieren .)
Anmeldeaufforderung wird angezeigt
Problem
Es wird eine Aufforderung angezeigt, den Benutzernamen und das Kennwort einzugeben, um die Authentifizierung zu bestehen.
Mögliche Ursache
Der Directory Connector schließt die NTLM-Sicherheitsauthentifizierung im Hintergrund mit dem Anmeldekonto ab. Wenn die Authentifizierung fehlschlägt, wird ein Dialogfeld angezeigt, in dem Sie nach dem Benutzernamen und dem Kennwort für die Authentifizierung fragen.
Lösung
Wenn das Popup-Fenster „Anmelden“ angezeigt wird, müssen Sie ein gültiges Konto mit der korrekten Authentifizierung für die Übergabe der Sicherheit bereitstellen.
Verbindung zum Remote-Server nicht möglich
Problem
Während des normalen Betriebs wird die Fehlermeldung „Keine Verbindung zum Remote-Server möglich“ angezeigt.
Mögliche Ursache
Möglicherweise gibt es Proxy-Probleme, die behoben werden müssen.
Lösung
Weitere Informationen zur Fehlerbehebung finden Sie unter Probleme bei der Anmeldung mit Dienstkonto beheben .
Konnektor kann nicht registriert werden.
Problem
Es wird die Fehlermeldung „Der Connector kann nicht registriert werden. Eine allgemeine Ausnahme ist aufgetreten.“
Mögliche Ursache
In den meisten Fällen liegt das Problem darin, dass der Directory Connector keine Berechtigung für eine Verbindung mit dem LDAP-Stammkontext hat.
Lösung
Gehen Sie wie folgt vor:
-
Führen Sie eine Eingabeaufforderung (cmd) aus, und geben Sie ldp.exe ein.
-
Klicken Sie auf , wählen Sie Als aktuell angemeldeten Benutzer binden und klicken Sie dann auf OK.
-
Klicken Sie auf , geben Sie DC=arbonneintl,DC=ad als BaseDN ein und klicken Sie dann auf OK.
-
Wenn das Problem weiterhin besteht, öffnen Sie einen Fall beim Support.
Synchronisierung
Avatare nicht synchronisiert
Problem
Der Cisco Directory Connector hat die Benutzer-AD-Daten mit der Webex-Cloud synchronisiert. Es wurden jedoch keine Avatar-Daten erfolgreich synchronisiert.
Mögliche Ursache
Wenn Sie einen vorhandenen Avatar-Server wiederverwendet haben und die Benutzer-Avatare bereits synchronisiert wurden, erfasst der lokale Cache diese und vermeidet es, erneut zu senden, um Bandbreite zu sparen.
Lösung
Führen Sie die folgenden Schritte aus, um den lokalen Cache zu löschen:
-
Gehen Sie zu C:\Programme (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Löschen DirSyncPluginAvatar.dll-cache.bin.
-
Führen Sie die Avatar-Synchronisierung über den Cisco-Verzeichniskonnektor erneut aus.
In Konflikt stehende Benutzer-E-Mail-Konten
Problem
Die Synchronisierungsergebnisse können in Konflikt stehende Benutzer-E-Mail-Konten anzeigen.
-
Wenn Benutzer die kostenlose Version der Webex-App versucht haben, befinden sich ihre E-Mail-Adressen in der kostenlosen Verbraucherorganisation.
-
Wenn Benutzer-E-Mails jemals in einer anderen Organisation synchronisiert wurden.
-
Wenn Benutzer-E-Mails in mehreren Domänen vorhanden sind, die zur Organisation gehören.
Lösung
Gehen Sie wie folgt vor:
-
Befolgen Sie die folgenden Schritte, wenn Sie versuchen, Benutzer zu beanspruchen:
-
Stellen Sie sicher, dass Sie die Domäne in Control Hub verifiziert haben.
-
Deaktivieren Sie Cisco Directory Connector vorübergehend.
-
Verwenden Sie die Option „Benutzer beanspruchen“ in Control Hub, um alle Konten zu beanspruchen, die in der kostenlosen Verbraucherorganisation vorhanden sein könnten. Weitere Informationen finden Sie unter Benutzer für Ihre Organisation beanspruchen (Benutzer konvertieren) .
-
Probelauf im Cisco Directory Connector durchführen und die Verzeichnissynchronisierung anschließend erneut aktivieren
-
-
Überprüfen Sie im letzten Fall die Benutzerdaten in Ihren Active Directory-Quellen.
Konvertierter Benutzer als inaktiv markiert
Problem
In Ihrer verzeichnissynchronisierten Umgebung haben Sie einen kostenlosen Benutzer (Verbraucherorganisation) in Ihre Unternehmensorganisation konvertiert, der konvertierte Benutzer kann sich jedoch nicht bei der Webex-App anmelden.
Mögliche Ursache
Wenn der kostenlose Benutzer in die Unternehmensorganisation konvertiert wird, wird der Benutzer als 30 Tage lang als inaktiv markiert, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Während dieses Zeitraums kann sich der Benutzer nicht bei der Webex-App anmelden und wird am Ende des Zeitraums von 30 Tagen zur Löschung markiert. Diese Situation tritt auf, da sich die kostenlosen Benutzerinformationen nicht in Active Directory befinden.
Lösung
Sie müssen entsprechende Maßnahmen ergreifen, wenn das Benutzerkonto nicht gelöscht werden soll. Um dieses Problem zu beheben, erstellen Sie in Ihrem lokalen Active Directory ein Benutzerkonto, das dem konvertierten kostenlosen Benutzerkonto entspricht. Führen Sie anschließend eine Synchronisierung über den Cisco Directory Connector durch. Anschließend kann sich der Benutzer erneut bei der Webex-App anmelden und das Konto wird nicht gelöscht.
Inkrementelle Synchronisierung schlägt fehl
Problem
Eine inkrementelle Synchronisierung schlägt fehl.
Dieses Problem kann unter folgenden Bedingungen auf Windows Server 2008 R2 auftreten:
-
Sie unterstützen inkrementelle Wertaktualisierungen.
-
Der Filter, den Sie verwenden, referenziert ein verknüpftes Werteattribut.
-
Die Ergebniswerte dieses Attributs wurden seit der letzten Durchführung einer vollständigen Synchronisierung aktualisiert.
Lösung
Windows Server 2008 R2 weist einen Fehler auf, der mit diesem Problem zusammenhängt. Der Fehler wurde in 2012 R2 und später behoben. Wir empfehlen Ihnen, Ihren Windows Server auf mindestens 2012 R2 zu aktualisieren.
Ungültiger Wert für Merkmal
Problem
Für [user dn (eindeutiger Name)] weist das Attribut [attribute name] folgenden ungültigen Wert auf [attribute value].
Mögliche Ursache
Für CN=b,OU=Mitarbeiter,OU=C Benutzer,DC=c,DC=com weist das Attribut [telephone number] folgenden ungültigen Wert auf: +. Dieses Attribut muss mindestens eine Ziffer enthalten.
Lösung
Ein Attribut für diesen Benutzer weist einen ungültigen Wert auf. Korrigieren Sie den Wert entsprechend der Beschreibung in der Warnmeldung. Führen Sie anschließend eine weitere Synchronisierung durch.
Übereinstimmende Benutzer zum Löschen
Problem
Die übereinstimmenden Benutzer werden als gelöscht markiert.
Wenn Sie einen Probelauf zur Überprüfung der Daten zwischen Active Directory und der Cloud durchführen, wird möglicherweise dieselbe E-Mail-Adresse in beiden Systemen angezeigt. Der Benutzer wird jedoch als zu löschendes Objekt markiert.
Lösung
Wählen Sie eine geeignete Lösung:
-
Wenn es in Ordnung ist, den Benutzer zu löschen und die Lizenzen danach zu wiederholen, können Sie den Directory Connector für die Behebung verwenden. Führen Sie eine Synchronisierung durch, um den Benutzer zu löschen, und führen Sie dann eine weitere Synchronisierung durch, um den Benutzer vom lokalen AD mit der Cloud zu synchronisieren.
-
Wenn Sie das Benutzerkonto nicht löschen und neu erstellen können, öffnen Sie einen Support-Fall.
Attribut fehlt
Problem
Das erforderliche Attribut [attribute_name] beim Hinzufügen eines lokalen Eintrags [user dn (eindeutiger Name)]. Der Eintrag wird erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert haben.
Mögliche Ursache
Die E-Mail-Adresse für das erforderliche Attribut fehlt. Beim Hinzufügen eines lokalen Eintrags [CN=Vertriebsbenutzer,OU=Ingenieure,OU=K,DC=k,DC=lokal] wird der Eintrag erst in Control Hub erstellt, wenn alle erforderlichen Attribute einen Wert aufweisen.
Lösung
Eines der erforderlichen Attribute fehlt für den Benutzer [user_email_address]. Geben Sie die erforderlichen Werte für den Benutzer ein.
Verschachtelte Gruppe wird nicht synchronisiert
Problem
Benutzer in einer verschachtelten Active Directory-Gruppe werden nicht ordnungsgemäß mit der Cloud synchronisiert.
Mögliche Ursache
Es wird ein Filter verwendet, der sowohl die untergeordnete als auch die übergeordnete Gruppe enthält, die nicht unterstützt wird. Beispiel: (Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)
Lösung
Sie müssen den Filter, der Gruppen synchronisiert, neu konfigurieren. Beispiel: |(Mitglied=CN=testgroup1,CN=Benutzer,DC=rktest2008,DC=org)(Mitglied=CN=testSubGroup,CN=Benutzer,DC=rktest2008,DC=org)
Konflikt bei Benutzerbenennung
Problem
Es gibt einen Benennungskonflikt für [user dn] für ein vorhandenes Cloud-Eintragsobjekt mit folgendem Namen: [Benutzer-E-Mail-Adresse] und des Benutzertyps [user_type].
Mögliche Ursache
Ein Benutzer mit dieser E-Mail-Adresse ist bereits in Control Hub vorhanden.
Lösung
Erstellen Sie in Ihrem Active Directory einen Benutzer mit derselben E-Mail-Adresse wie das Konto, das Sie über Control Hub registriert haben.
Control Hub
Benutzerliste fehlt in Control Hub
Problem
Wenn Sie eine Webex-Organisation mit mehr als 1000 synchronisierten Benutzern haben, wird Ihnen die Benutzerliste in Control Hub möglicherweise nicht angezeigt.
Lösung
Sie können die Suchfunktion verwenden, um ein Benutzerkonto zu finden. Wechseln Sie in Control Hub zu Benutzer, klicken Sie auf Suchen und geben Sie dann Suchkriterien ein, um nach einem bestimmten Benutzer zu suchen.
Gruppen werden nicht mit Control Hub synchronisiert
Problem
Benutzer in einer Verzeichnisgruppe werden nicht ordnungsgemäß mit Control Hub synchronisiert.
Mögliche Ursache
Die Gruppe ist in Active Directory nicht als isCriticalSystemObject markiert.
Lösung
Stellen Sie sicher, dass das Attribut isCriticalSystemObject in Active Directory auf TRUE gesetzt ist.
Problembehandlung für den Directory Connector aktivieren
Zur Unterstützung der Fehlerermittlung mit dem Directory Connector können Sie die Problembehandlung aktivieren. Mit dieser Funktion können Sie die Netzwerk-Datenverkehrsinformationen erfassen und in einer Datei speichern.
Die Protokolldateien, die sind: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Führen Sie die Datei |
| 2 |
Starten Sie den Dienst neu. Weitere Informationen finden Sie unter Starten von Diensten. |
| 3 |
Klicken Sie im Directory Connector auf Dashboard. |
| 4 |
Wechseln Sie zu Aktionen und klicken Sie auf . |
| 5 |
Wiederholen Sie bei aktivierter Problembehandlung die Aktionen, bei denen der Fehler aufgetreten ist, um den Datenverkehr zu erfassen und anschließend untersuchen zu können. |
| 6 |
Untersuchen Sie die Protokolldateien: Wenn die Datei leer ist, vergewissern Sie sich, dass das Konto über Zugriffsrechte auf Ihren AD DS oder AD LDS verfügt. Der Protokollordner speichert nur Dateien für die letzten 3 Tage. Der Inhalt in den Protokolldateien entspricht der Ausgabe des Ereignisprotokolls für das System. |
| 7 |
Falls notwendig, senden Sie die Protokolldatei an den Support, um Unterstützung zu erhalten. |
| 8 |
Deaktivieren Sie die Problembehandlungsfunktion, nachdem Sie fertig sind. |
Starten der Ereignisanzeige
Starten Sie die Ereignisanzeige, um die Ereignisse anzuzeigen, die während einer vollständigen oder inkrementellen Synchronisierung aufgetreten sind. Es wird eine Zusammenfassung der administrativen Ereignisse und Fehlerprotokolle angezeigt.
| 1 |
Wechseln Sie aus dem Directory Connector zu Dashboard und klicken Sie auf . Das Dialogfeld Ereigniseigenschaften enthält Details zum Synchronisierungsereignis sowie Fehlerdetails. |
| 2 |
Wechseln Sie in der Ereignisanzeige zu .
|
| 3 |
Klicken Sie unter Aktionen auf Alle Events speichern unter , um alle Protokolle als einzelne Events-Datei (*.evtx) oder ein anderes Format wie XML oder CSV zu exportieren. |
Nächste Schritte
Wenn Sie einen Fall öffnen müssen, wenden Sie sich an den Support, beschreiben Sie das Problem mit dem Connector und fügen Sie dann die Events-Datei an Ihren Fall an.
In den Ereignisprotokollen werden Benutzeraktivitäten erfasst. Aktivieren Sie die Fehlerbehebung auf dem Connector, um Hilfe bei der Verwaltung des Netzwerkdatenverkehrs zu erhalten.
TLS in Internet Explorer aktivieren
Wenn Sie Single Sign-On (SSO)-Anbieter gewechselt haben, werden möglicherweise die folgenden Fehlermeldungen vom Cisco Directory Connector angezeigt:
-
Bei der Anmeldung am Dienst ist ein Fehler aufgetreten
-
Im Skript auf dieser Seite ist ein Fehler aufgetreten
Wenn diese Fehler angezeigt werden, müssen Sie eine TLS-Einstellung in Ihrem Browser aktivieren.
| 1 |
Öffnen Sie Internet Explorer und wählen Sie Werkzeuge aus. Aktivieren Sie nun die Kontrollkästchen für die TLS/SSL-Version, die aktiviert werden soll. Klicken Sie auf OK. Schließen Sie den Browser und öffnen Sie ihn erneut. |
| 2 |
Klicken Sie auf Internetoptionen , gehen Sie zu Erweitert , und scrollen Sie zu Sicherheit. |
| 3 |
Aktivieren Sie die Kontrollkästchen TLS 1.1 verwenden und TLS 1.2 verwenden , und klicken Sie auf OK.
|
| 4 |
Starten Sie das System neu, damit die Änderungen übernommen werden. |
Anmeldeprobleme für Dienstkonten beheben
Wenn Sie sich nicht beim Cisco Directory Connector anmelden können oder keine Synchronisierung durchführen können, versuchen Sie anhand der folgenden Schritte, das Problem zu beheben, bevor Sie sich an den Support wenden.
| 1 |
Versuchen Sie, https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL in Ihrem Webbrowser aufzurufen. |
| 2 |
Wählen Sie je nach den Ergebnissen eine Option:
|
| 3 |
Stellen Sie mindestens sicher, dass das konfigurierte Konto für den Cisco DirSync-Dienst (das unter den Windows-Diensten zu finden ist) über eine Berechtigungsstufe verfügt, mit der auf Avatar- und AD-Daten zugegriffen werden kann. Standardmäßig nutzt der Dienst die Anmeldeinformationen und die Authentifizierung für das Windows-Anmeldekonto. |
Aktivieren Sie SafeDllSearchMode in der Windows-Registrierung
Der Suchmodus für die sichere dynamische Link-Bibliothek (DLL) ist standardmäßig in der Windows-Registrierung festgelegt und legt das aktuelle Verzeichnis des Benutzers später in die DLL-Suchreihenfolge. Wenn dieser Modus irgendwie deaktiviert war, könnte ein Angreifer eine bösartige DLL (benannt wie eine referenzierte DLL-Datei, die sich im Systemordner befindet) im aktuellen Arbeitsverzeichnis der Anwendung platzieren.
Normalerweise ist SafeDllSearchMode aktiviert, aber verwenden Sie dieses Verfahren, um die Registrierungseinstellungen zu überprüfen.
Vorbereitungen
Änderungen an der Windows-Registrierung sollten mit äußerster Vorsicht vorgenommen werden. Wir empfehlen Ihnen, eine Sicherung Ihrer Registrierung vorzunehmen, bevor Sie diese Schritte ausführen.
| 1 |
Geben Sie in der Windows-Suche oder im Fenster „Ausführen“ regedit ein, und drücken Sie die Eingabetaste. |
| 2 |
Gehen Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wählen Sie eine Option:
|
Weitere Informationen finden Sie unter Reihenfolge der Dynamic Link-Bibliothekssuche.
