- Hjem
- /
- Artikkel
I denne artikkelenOversikt over katalogkobling
Katalogkobling er et lokalt program for identitetssynkronisering i skyen. Du laster ned kontaktprogramvaren fra Control Hub og installerer den på din lokale maskin.
Med Directory Connector kan du vedlikeholde brukerkontoene og dataene i Active Directory, slik at Active Directory blir den eneste kilden til sannhet. Når du gjør en endring lokalt, blir den replikert til skyen.
Se alle funksjonene, beskrivelsene og fordelene i tabellen:
| Funksjon | Beskrivelse og fordel |
|---|---|
| Brukervennlig instrumentbord | Instrumentbordet inneholder en synkroniseringsplan, et sammendrag og status for synkroniseringen, og statusen for katalogkoblingen. Du kan vise instrumentbordet når du logger på. |
| Tørrkjør før synkronisering til skyen | Gjennomfør en tørrkjøring med endringer i katalogen før de implementeres i skyen. Kjør deretter en rapport for å se at endringene du vil gjøre, er de du forventer. |
| Full og trinnvis synkronisering | Synkroniser hele katalogen. Eller bare synkroniser de trinnvise endringene for å spare prosessorstrøm og forkorte synkroniseringstiden. |
Synkronisere flere domener (enkeltskog eller flere skoger) |
Katalogkobling støtter flere domener, enten under én enkelt skog eller under flere skoger (uten behov for AD LDS). For bedrifter med flere Active Directory -domener kan du installere en katalogkobling for hvert domene, binde hvert domene til organisasjonen og deretter synkronisere hver brukerbase til Webex. Control Hub gjenspeiler statusen ved å vise synkroniseringsstatusen for flere katalogkoblinger, lar deg slå av synkronisering for et bestemt domene og deaktivere en katalogkobling i en distribusjon med høy tilgjengelighet . |
| Planlagt synkronisering | Angi en synkroniseringsplan etter dag, time og minutt. |
| LDAP-filtre ( Lightweight Directory Access Protocol ). | Definer LDAP søkekriterier og gi effektiv import. |
| Active Directory -attributter | Tilordne Microsoft Active Directory -attributter til tilsvarende Webex-skyattributter. Du kan tilordne attributter som er relevante for Active Directory -konfigurasjonen din, og også definere egendefinerte attributter som skal tilordnes til skyen. Attributtene fra lokalene danner forskjellige data i skyen, for eksempel brukerkonto , bedriftstelefonnumre i Webex Teams, SIP-adresser for romressurser og andre kontaktkort for brukerkontakt (jobbtittel, avdeling, leder og så videre). |
Bedriftskatalog for lokale romressurser og brukere av Cisco Webex Calling (Cloud PSTN) og bedriftskontakter uten Webex-lisensiering |
Hvis en del av organisasjonen bruker Cisco Webex Calling sky PSTN for samtaletjeneste, eller du har lokale rom-enheter, lar denne funksjonen brukere søke i katalogen etter bedriftskontakter fra sine Cisco Webex Calling telefoner (PSTN i sky) eller romressurser.
|
| Hendelsesvisning | Bruk hendelsesvisningen til å finne ut om det var problemer med synkroniseringen. |
| Diagnoseverktøy og feilsøking | Du kan bruke det innebygde diagnoseverktøyet til å feilsøke distribusjonen av Cisco-registerkoblingen. Hvis synkroniseringen ikke fungerte som den skal, kan det hende du har en konfigurasjons- eller nettverksfeil. Dette verktøyet tester tilkoblingen til Active Directory, slik at du kan diagnostisere feil selv før du kontakter kundestøtte. Når du aktiverer feilsøking i Directory Connector, skrives det logger som kan sendes til teknisk støtte. |
| Automatisk oppgradering | Når du har installert Directory Connector, blir du sendt et varsel hver gang en ny versjon av programvaren er tilgjengelig. Du kan konfigurere automatiske oppgraderinger slik at du alltid bruker den nyeste versjonen av programvaren når en ny versjon utgis. |
| Høy tilgjengelighet | Konfigurer flere kontakter slik at det finnes en sikkerhetskopi, i tilfelle hovedkontakten eller maskinen som er vert for den, går ned. |
Katalogkobling er delt inn i tre områder:
Kontrollhub er det enkle grensesnittet som lar deg administrere alle aspekter av Webex-organisasjonen din: vise brukere, tilordne lisenser, laste ned Directory Connector og konfigurere engangspålogging (SSO) hvis du vil at brukerne skal autentisere seg gjennom bedriftsidentitetsleverandøren og du ikke vil sende e-postinvitasjoner for Webex-appen.
Administrasjonsgrensesnitt for katalogkobling er programvaren du laster ned fra Control Hub og installerer på en klarert Windows-server. For flere Active Directory -domener kan du installere ett øyeblikk av programvaren for hvert domene du vil synkronisere. Ved hjelp av programvaren kan du kjøre en synkronisering for å overføre Active Directory -brukerkontoene dine til Webex, vise og overvåke synkroniseringsstatus og konfigurere Directory Connector-tjenester.
Katalogsynkroniseringstjeneste spør Active Directory for å hente brukere og grupper som skal synkroniseres til koblingstjenesten og katalogkobling.
Se dette diagrammet for å forstå arkitekturen for katalogkobling:
Krav for katalogkobling
Krav til Windows og Active Directory
Du kan installere Directory Connector på disse støttede Windows-serverne:
Windows Server 2012
Windows Server 2019
Windows Server 2016
 | For å løse et problem med informasjonskapsler anbefaler vi at du oppgraderer domenekontrolleren til en versjon som inneholder feilrettingen— Windows Server 2012 R2 eller 2016 . |
Katalogkobling støttes med følgende Active Directory -tjenester:
Active Directory 2016
(Katalogkobling støttes når du bruker den nyeste versjonen av Active Directory på Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008
Vær oppmerksom på følgende tilleggskrav:
Katalogkobling krever TLS1.2. Du må installere følgende:
.NET Framework v3.5 (obligatorisk for Directory Connector-programmet. Hvis du støter på problemer, kan du bruke veiledningen i Aktiver .NET Framework 3.5 ved hjelp av veiviseren for å legge til roller og funksjoner .)
.NET Framework v.4.5 (obligatorisk for TLS1.2)
Active Directory -skogfunksjonsnivå 2 (Windows Server 2003) eller høyere er obligatorisk. (Se Hva er funksjonsnivåer i Active Directory ? for mer informasjon.)
Maskinvarekrav
Du må installere Directory Connector på en datamaskin med disse minimumskravene til maskinvare:
8 GB RAM
50 GB lagringsplass
Ingen minimum for CPU
Nettverkskrav
Hvis nettverket ditt er bak en brannmur, må du kontrollere at systemet har HTTPS-tilgang (port 443) til Internett.
Krav til Webex-organisasjon
For å få tilgang til Directory Connector-programvaren fra Control Hub trenger du en Webex-organisasjon med en prøveversjon eller et betalt abonnement.
(Valgfritt) Hvis du vil at nye brukerkontoer for Webex-appen skal være aktive før de logger på første gang, anbefaler vi at du gjør følgende:
Legg til, bekreft og eventuelt gjør krav på domener som inneholder brukerens e-postadresser du vil synkronisere til skyen.
Utfør SSO engangspålogging ). til identitetsleverandøren (IdP) med Webex-organisasjonen din.
Undertrykk automatiske e-postinvitasjoner , slik at nye brukere ikke mottar den automatiske e-postinvitasjonen, og du kan lage din egen e-postkampanje. (Denne funksjonen krever SSO-integrering.)
| Hvis du vil ha mer informasjon, se Brukerstatuser og handlinger i Control Hub . |
Installasjonskrav
For et miljø med flere domener (enten én skog eller flere skoger), må du installere én katalogkobling for hvert Active Directory -domene. Hvis du vil synkronisere et nytt domene (B) mens du opprettholder de synkroniserte brukerdataene på et annet eksisterende domene (A), må du kontrollere at du har en egen støttet Windows-server for å installere Directory Connector for domene (B)-synkronisering.
For å logge på koblingen krever vi ikke en administrativ konto i Active Directory. Vi krever en lokal brukerkonto som er den samme brukeren som en fullstendig administratorkonto i Control Hub.
Denne lokale brukeren må ha rettigheter på den Windows-maskinen for å koble til domenekontrolleren og lese Active Directory -brukerobjekter. Maskinens påloggingskonto må være en administrator med rettigheter til å installere programvare på den lokale maskinen. (Denne informasjonen gjelder også for pålogging for virtuell maskin.)
Når du logger på koblingen, må påloggingskontoen være den samme som den fullstendige administratorkontoen for Control Hub. Som standard bruker koblingen den lokale systemkontoen for å få tilgang til Active Directory. Du kan imidlertid bruke Windows-tjenester til å konfigurere en annen konto for å få tilgang til Active Directory. (Denne informasjonen gjelder også for pålogging for virtuell maskin.)
Kontroller at søkemodusen for Windows Safe DLL (dynamic link library) er aktivert ved hjelp av denne fremgangsmåten: Sjekk SafeDllSearchMode i Windows-registeret .
Hvis du bruker AD LDS for flere domener i én enkelt skog, anbefaler vi at du installerer katalogkobling og Active Directory Domain Service/ Active Directory Lightweight Directory Services (AD DS/AD LDS) på separate maskiner.
Krav til flere domener
Før du følger oppgavene i Oppgaveflyt for distribusjon av Cisco-katalogkontakt , må du huske på følgende krav og anbefalinger hvis du skal synkronisere Active Directory -informasjon fra flere domener til skyen:
Det kreves en egen forekomst av Directory Connector for hvert domene.
Katalogkoblingsprogramvaren må kjøres på en vert som er på samme domene som den skal synkronisere.
Vi anbefaler at du bekrefter eller gjør krav på domenene dine i Control Hub. (Se Legg til, bekreft og gjør krav på domener .)
Hvis du vil synkronisere mer enn 50 domener, må du åpne en billett for å få organisasjonen flyttet til en stor organisasjonsliste.
Om ønskelig kan du synkronisere romressursinformasjon sammen med brukerkontoer. (Se Synkronisere lokal rominformasjon til Webex Cloud .)
Anbefalinger for Active Directory gruppe for automatisk lisenstilordning
Active Directory -grupper brukes til å samle brukerkontoer, datakontoer og andre grupper i administrerbare enheter. Arbeid med grupper i stedet for med individuelle brukere bidrar til å forenkle nettverksvedlikehold og -administrasjon.
Det finnes to typer grupper i Active Directory:
Distribusjonsgrupper – Brukes til å opprette distribusjonslister for e-post.
Sikkerhetsgrupper – Brukes til å tilordne tillatelser til delte ressurser.
Vurder følgende retningslinjer når du oppretter grupper i Active Directory:
Opprett en global gruppe for hver rolle, avdeling eller tjeneste (for eksempel salg, markedsføring, ledere, regnskapsførere, Webex-lisensiering og så videre).
Bruk standard navnekonvensjoner på tvers av organisasjonen for å gjøre det enkelt å identifisere viktig informasjon om en gruppe. Gruppenavn kan inneholde detaljer om gruppen, for eksempel tilgangsnivå, ressurstype, sikkerhetsnivå, gruppeomfang, e-postfunksjon og så videre. for eksempel gruppenavn «GSG_ Webex_ Licensing_ EMEAR» refererer til en global sikkerhetsgruppe for EMEAR-brukere med Webex-lisensiering.
Organiser grupper på en lettfattelig måte, for eksempel etter geografi eller lederhierarki. Bruk gruppebeskrivelser for å fullstendig beskrive formålet med gruppen.
Før du legger til brukere i nylig klargjorte grupper, må du definere malen for automatisk lisensgruppe i Control Hub for disse gruppene. Se Konfigurer malen for automatisk lisenstildeling hvis du vil ha mer informasjon.
Størrelsesinformasjon
Katalogkobling fungerer som en bro mellom den lokale Active Directory og Webex-skyen. Som sådan har ikke koblingen en øvre grense for hvor mange Active Directory -objekter som kan synkroniseres til skyen. Eventuelle begrensninger for lokale katalogobjekter er knyttet til den spesifikke versjonen av og spesifikasjonene for Active Directory -miljøet som synkroniseres til skyen, ikke til selve koblingen.
Noen få faktorer kan påvirke hastigheten på synkroniseringen:
Totalt antall Active Directory -objekter. (En synkroniseringsjobb på 5000 brukere vil ikke ta så lang tid som 50000.)
Nettverkshastighet og båndbredde.
Systemarbeidsmengde og spesifikasjoner.
 | Hvis du synkroniserer mer enn 50 000 brukere, anbefaler vi på det sterkeste at du bruker en ny kontakt for failover og redundans. |
| Siden flere faktorer er involvert i synkronisering, og fordi hver distribusjon varierer avhengig av faktorene ovenfor, kan vi ikke oppgi spesifikke tidsverdier for hvor lang tid en objektsynkronisering vil ta. |
Sjekk SafeDllSearchMode i Windows-registeret
Søkemodus for Safe dynamic link library (DLL) angis som standard i Windows-registret og plasserer brukerens gjeldende katalog senere i DLL-søkefølgen. Hvis denne modusen på en eller annen måte ble deaktivert, kan en angriper plassere en skadelig DLL (kalt det samme som en referert DLL-fil som ligger i systemmappen) i gjeldende arbeidskatalog for programmet.
Vanligvis er SafeDllSearchMode aktivert, men bruk denne fremgangsmåten til å dobbeltsjekke registerinnstillingene.
Før du starter
 | Endringer i Windows-registret bør gjøres med ekstrem forsiktighet. Vi anbefaler at du tar en sikkerhetskopi av registeret før du bruker disse trinnene. |
| 1 | I Windows-søk eller Kjør-vinduet skriver du inn regedit og trykk deretter på Gå inn . |
| 2 | Gå til HKEY_ LOKALT_ MASKIN\System\CurrentControlSet\Control\Session Manager . |
| 3 | Velg én:
|
Hvis du vil ha mer informasjon, se Søkerekkefølge for dynamisk koblingsbibliotek .
Web-proxy-integrering
Web-proxy-integrering
Hvis nettproxy-autentisering er aktivert i miljøet ditt, kan du fortsatt bruke Katalogkobling.
Hvis organisasjonen bruker en gjennomsiktig nettproxy, støtter den ikke autentisering. Kontakten kobler til og synkroniserer brukere.
Du kan bruke en av disse tilnærmingene:
Eksplisitt nettproxy via Internet Explorer (koblingen arver innstillingene for nettproxy)
Eksplisitt nettproxy via en .pac-fil (koblingen arver bedriftsspesifikke proxy-innstillinger)
Gjennomsiktig proxy som fungerer med kontakten uten endringer
Bruke en nettproxy via nettleseren
Du kan konfigurere Directory Connector til å bruke en web-proxy via Internet Explorer.
Hvis Cisco DirSync-tjenesten kjører fra en annen konto enn den nåværende påloggede brukeren, må du også logge på med denne kontoen og konfigurere nettproxy.
| 1 | Fra Internet Explorer går du til Alternativer for Internett , klikk Tilkoblinger , og velg deretter LAN-innstillinger . | ||
| 2 | Pek på Windows-forekomsten der kontakten er installert på nettproxyen. Koblingen arver disse nettproxy-innstillingene. | ||
| 3 | Hvis miljøet ditt bruker proxy-autentisering, legger du til disse nettadressene i den tillatte listen:
Du kan utføre dette enten for hele nettstedet (for alle verter) eller bare for verten som har koblingen.
| ||
| 4 | Hvis miljøet ditt trenger å be om lister over tilbakekall av sertifikater fra sertifiseringsinstanser, legger du til disse nettadressene i den tillatte listen:
Hvis du vil ha mer informasjon, kan du se denne artikkelen om domener og URL-er som må ha tilgang til for Webex-tjenester . |
Konfigurere Web-proxy gjennom en PAC-fil
Du kan konfigurere en klientnettleser til å bruke en .pac-fil. Denne filen inneholder nettproxyadressen og portinformasjonen. Katalogkobling arver den bedriftsspesifikke nettproxy-konfigurasjonen direkte.
| 1 | For at koblingen skal kunne koble til og synkronisere brukerinformasjon til Webex-skyen, må du kontrollere at proxy-autentisering er deaktivert for | ||
| 2 | Hvis miljøet ditt bruker proxy-autentisering, legger du til disse nettadressene i den tillatte listen:
Du kan utføre dette enten for hele nettstedet (for alle verter) eller bare for verten som har koblingen.
| ||
| 3 | Hvis miljøet ditt trenger å be om lister over tilbakekall av sertifikater fra sertifiseringsinstanser, legger du til disse nettadressene i den tillatte listen:
Hvis du vil ha mer informasjon, kan du se denne artikkelen om domener og URL-er som må ha tilgang til for Webex-tjenester . |
NTLM-proxy
Katalogkobling støtter NT LAN Manager (NTLM) . NTLM er en tilnærming for å støtte Windows-godkjenning mellom domeneenhetene og sikre deres sikkerhet.
NTLM-design
I de fleste tilfeller ønsker en bruker å få tilgang til en annen arbeidsstasjonsressurser via en klient-PC, noe som kan være vanskelig å gjøre på en sikker måte.
Generelt er den tekniske utformingen av NTLM basert på en mekanisme for Utfordring
og Svar
:
En bruker logger på en klient-PC via en Windows-konto og et passord. Passordet lagres aldri lokalt. I stedet for et passord i ren tekst, lagres en hash-verdi for passordet lokalt. Når en bruker logger på klienten via passordet, sammenligner Windows OS den lagrede hashverdien og hashverdien fra inndatapassordet. Hvis begge er like, godkjennes godkjenningen.
Når brukeren ønsker å få tilgang til en ressurs på en annen server, sender klienten en forespørsel til serveren med kontonavn i ren tekst.
Når serveren mottar forespørselen, genererer serveren en 16-biters tilfeldig nøkkel. Nøkkelen heter Challenge (eller Nonce). Før serveren sender tilbake til klienten, lagres utfordringen på serveren. Og så sender serveren utfordringen til klienten i ren tekst.
Så snart klienten mottar utfordringen sendt fra serveren, krypterer klienten utfordringen med hash-verdien som ble nevnt i trinn 1. Etter kryptering sendes verdien tilbake til serveren.
Når serveren mottar den krypterte verdien fra klienten, sender serveren den til domenekontrolleren for verifisering. Forespørselen inkluderer: kontonavn, kryptert utfordring som klienten sendte, og den opprinnelige vanlige utfordringen.
Domenekontrolleren kan hente hashverdiene for passord i henhold til kontonavn. Og så kan domenekontrolleren kryptere på den opprinnelige utfordringen. Doman-kontrolleren kan deretter sammenligne med den mottatte hashverdien og den krypterte hashverdien. Hvis de er de samme, er bekreftelsen vellykket.
| Windows har sikkerhetsautentisering innebygd i operativsystem, noe som gjør det enklere for programmer å støtte sikkerhetsautentisering. Som et resultat av dette trenger du ikke fullføre ytterligere konfigurasjon. |
Konfigurer gjennomsiktig proxy
I dette scenariet er nettleseren ikke klar over at en gjennomsiktig nettproxy fanger opp http-forespørsler (port 80/port 443), og det kreves ingen konfigurasjon på klientsiden.
| 1 | Distribuer en gjennomsiktig proxy, slik at koblingen kan koble til og synkronisere brukere. |
| 2 | Bekreft at proxyen er vellykket – du ser et forventet hurtigmenyvindu for nettleserautentisering når du starter koblingen. |
Angi proxy-autentisering
Legg til nettadressen cloudconnector.webex.com til den tillatte listen ved å opprette en tilgangskontrollliste.
På bedriftens brannmurserver:
| 1 | Aktiver DNS-oppslag hvis det ikke allerede er aktivert. |
| 2 | Bestem en estimert båndbredde for denne tilkoblingen (ca. 2 MB/s eller mindre for kontakten). Dette er kanskje ikke nødvendig. |
| 3 | Opprett en tilgangskontrollliste som skal brukes på koblingsverten, og angi For eksempel: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
| 4 | Bruk denne tilgangskontrollisten på riktig brannmurgrensesnitt, som bare gjelder for denne verten med én kobling. |
| 5 | Kontroller at resten av vertene i bedriften fortsatt er pålagt å bruke nettproxyen ved å konfigurere den riktige implisitte deny-setningen. |
Oppgaveflyt for distribusjon av Cisco-katalogkontakt
Før du starter
| 1 | Installere Directory Connector Control Hub viser først katalogsynkronisering som deaktivert. Hvis du vil aktivere katalogsynkronisering for organisasjonen, må du installere og konfigurere Katalogkobling, og deretter utføre en fullstendig synkronisering. For en ny installasjon av Directory Connector går du alltid til Control Hub (https://admin.webex.com ) for å få den nyeste versjonen av programvaren, slik at du bruker de nyeste funksjonene og feilrettingene. Når du har installert programvaren, rapporteres oppgraderinger gjennom programvaren og installeres automatisk når de er tilgjengelige. |
| 2 |
Logg på med Webex- administrator og utfør det første oppsettet. |
| 3 | Angi automatiske oppgraderinger Det er alltid viktig å holde Directory Connector-programvaren oppdatert til den nyeste versjonen. Vi anbefaler at du bruker denne fremgangsmåten for å la automatiske oppgraderinger av programvaren installeres lydløst når de er tilgjengelige. |
| 4 | Velg Active Directory -objekter som skal synkroniseres Som standard synkroniserer Katalogkobling alle brukere som ikke er datamaskiner, og alle grupper som ikke er kritiske systemobjekter for et domene. Hvis du vil ha mer kontroll over hvilke objekter som skal synkroniseres, kan du velge bestemte brukere som skal synkroniseres og angi LDAP-filtre ved hjelp av siden Objektvalg i Katalogkobling. |
| 5 |
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen. Det eneste obligatorisk felt er *uid. |
| 6 | Synkroniser katalogavatarer ved hjelp av en av følgende fremgangsmåter:
Du kan synkronisere brukernes avatarer til skyen, slik at hver brukers avatar vises når de logger på applikasjonen. Du kan synkronisere avatarer fra et Active Directory -attributt eller en ressursserver. |
| 7 | Synkronisere lokal rominformasjon til Webex Cloud Bruk denne fremgangsmåten til å synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte romenheter, for eksempel en Webex Room-enhet eller Cisco Webex Board |
| 8 | Til Klargjøre brukere fra Active Directory til Control Hub , utfør disse trinnene:
Følg denne sekvensen for å klargjøre Active Directory -brukere for Webex-appkontoer. Du kan klargjøre brukere fra Active Directory -distribusjon for flere skoger eller flere domener for Directory Connector 3.0 og nyere. I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Målet er å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen. |
Installere Directory Connector
Control Hub viser først katalogsynkronisering som deaktivert. Hvis du vil aktivere katalogsynkronisering for organisasjonen, må du installere og konfigurere Katalogkobling, og deretter utføre en fullstendig synkronisering.
Du må installere én kobling for hvert Active Directory -domene du vil synkronisere. En enkelt Directory Connector-forekomst kan bare betjene ett enkelt domene. Se diagrammet nedenfor for å forstå flyten for domenesynkronisering:
Før du starter
Hvis du autentiserer via en proxy-server, må du kontrollere at du har proxy-legitimasjonen din:
For grunnleggende proxy-godkjenning skriver du inn brukernavn og passord etter at du har installert en forekomst av koblingen. Proxykonfigurasjon for Internet Explorer er også nødvendig for grunnleggende godkjenning. se Bruke en nettproxy via nettleseren
For proxy NTLM kan det hende at du ser en feilmelding når du åpner kontakten for første gang. Se Bruke en nettproxy via nettleseren .
| 1 | I Kontrollhub , gå til , og velg Neste . | ||
| 2 | Klikk på Last ned og installer koblingen for å lagre den nyeste versjonen av .zip-filen for connectorinstallasjon på VMware- eller Windows-serveren. Du kan hente ZIP-filen direkte fra denne koblingen , men du må ha full administrativ tilgang til en Control Hub-organisasjon for at denne programvaren skal fungere.
| ||
| 3 | På VMware- eller Windows-serveren pakker du ut og kjører .msi-filen i installasjonsmappen for å starte installasjonsveiviseren. | ||
| 4 | Klikk på Neste , merk av i boksen for å godta lisensavtale, og klikk deretter på Neste til du ser skjermen for kontotype. | ||
| 5 | Velg typen tjenestekonto du vil bruke, og utfør installasjonen med en administratorkonto:
For å unngå feil må du kontrollere at følgende rettigheter er på plass:
| ||
| 6 | Klikk på Installer. Når nettverkstesten er kjørt, og hvis du blir bedt om det, skriver du inn den grunnleggende legitimasjonen for proxyen, klikker på OK , og klikk deretter Fullfør . |
Hva nå?
Vi anbefaler at du starter serveren på nytt etter installasjonen. Tørrkjøringsrapporten kan ikke vise riktig resultat når dataene ikke ble utgitt. Under omstart av maskinen oppdateres alle data for å vise et nøyaktig resultat i rapporten.
Logg på katalogkobling
Før du starter
Kontroller at du har proxy-legitimasjonen din.
For proxy basic-auth skriver du inn brukernavn og passord etter at du åpner koblingen for første gang.
For proxy-NTLM åpner du Internet Explorer, klikker på tannhjulikonet og går til Alternativer for Internett > Tilkoblinger > LAN-innstillinger , kontroller at informasjonen om proxy-server er lagt til, og klikk deretter på OK . Se Bruke en nettproxy via nettleseren .
| 1 | Åpne kontakten, og legg til | ||||
| 2 | Hvis du blir bedt om det, logger du på med påloggingsinformasjonen for proxy-autentisering, og deretter logger du på Webex ved hjelp av administratorkontoen din og klikker på Neste . | ||||
| 3 | Bekreft organisasjonen og domenet.
| ||||
| 4 | Etter at Bekreft organisasjon skjermen vises, klikker du på Bekreft . Hvis du allerede har bundet AD DS/AD LDS, vil Bekreft organisasjon skjermen vises. | ||||
| 5 | Klikk på Bekreft . | ||||
| 6 | Velg ett, avhengig av hvor mange Active Directory -domener du vil binde til Directory Connector:
|
Hva nå?
Når du har logget på, blir du bedt om å utføre en tørrkjøringssynkronisering.
Instrumentbord for katalogkobling
Første gang du logger deg på Directory Connector, vises instrumentbordet. Her kan du vise et sammendrag av alle synkroniseringsaktiviteter, vise skystatistikk, utføre en tørrkjøringssynkronisering, starte en full eller trinnvis synkronisering og starte hendelsesvisningen for å se feilinformasjon.
| Hvis økten blir tidsavbrutt, må du logge på igjen. |
Du kan enkelt kjøre disse oppgavene fra verktøylinjen for handlinger eller menyen for handlinger.
Komponent | Beskrivelse |
|---|---|
Gjeldende synkronisering |
Viser statusinformasjonen om synkroniseringen som pågår for øyeblikket. Når ingen synkronisering kjøres, er statusvisningen inaktiv. |
Neste Synkronisering |
Viser de neste planlagte fullstendige og trinnvise synkroniseringene. Hvis det ikke er angitt noen tidsplan, Ikke planlagt vises. |
Siste synkronisering |
Viser statusen for de to siste synkroniseringene som ble utført. |
Gjeldende synkroniseringsstatus |
Viser den generelle statusen for synkroniseringen. |
Koblinger |
Viser de gjeldende lokale kontaktene som er tilgjengelige for skyen. |
Skystatistikk |
Viser den generelle statusen for synkroniseringen. |
Tidsplan for synkronisering |
Viser synkroniseringsplanen for trinnvis og full synkronisering. |
Sammendrag av konfigurasjon |
Viser innstillingene du endret i konfigurasjonen. Sammendraget kan for eksempel inneholde følgende:
|
| Handling | Beskrivelse | ||
|---|---|---|---|
| Start trinnvis synkronisering | Start en trinnvis synkronisering manuelt
|
||
Synkroniser tørrkjøring |
Utfør en tørrkjøringssynkronisering. |
||
Start Event Viewer |
Start Microsoft Event Viewer. |
||
Oppdater |
Oppdater instrumentbordet for Cisco-registerkontakt |
Handling | Beskrivelse |
|---|---|
| Synkroniser nå | Start en full synkronisering umiddelbart. |
Synkroniseringsmodus |
Velg enten trinnvis eller full synkroniseringsmodus. |
Tilbakestill kontakthemmeligheten |
Etablere en samtale mellom Cisco-registerkontakt og kontakttjenesten. Hvis du velger denne handlingen, tilbakestilles hemmeligheten i skyen, og deretter lagres hemmeligheten lokalt. |
Tomkjøring |
Utfør en test av synkroniseringsprosessen. Du må gjøre en tørrkjøring før du utfører en full synkronisering. |
Feilsøking |
Slå feilsøking på/av. |
Oppdater |
Oppdater hovedskjerm for Cisco-katalogkontakt. |
Avslutt |
Avslutt Cisco-katalogkontakt. |
Tastekombinasjon | Handling |
|---|---|
Alt +A |
Vis Handlinger -menyen |
|
Synkronisering nå |
|
Tilbakestill kontakthemmeligheten |
|
Tørrløp |
|
Inkrementell synkronisering |
|
Full synkronisering |
|
Vis Hjelp -menyen |
|
Hjelp |
|
Om |
|
Vanlige spørsmål |
Angi automatiske oppgraderinger
| 1 | Fra Katalogkobling går du til , og kontroller Oppgrader automatisk til den nye versjonen av Cisco Directory Connector . |
| 2 | Klikk på Bruk for å lagre endringene. |
Nye versjoner av kontakten installeres automatisk når de er tilgjengelige.
| Du kan administrere oppgraderinger manuelt hvis du foretrekker det. Se Oppgrader til den nyeste programvareversjonen hvis du vil ha mer informasjon. |
Velg Active Directory -objekter som skal synkroniseres
Som standard synkroniserer Katalogkobling alle brukere som ikke er datamaskiner, og alle grupper som ikke er kritiske systemobjekter for et domene. Hvis du vil ha mer kontroll over hvilke objekter som skal synkroniseres, kan du velge bestemte brukere som skal synkroniseres og angi LDAP-filtre ved hjelp av siden Objektvalg i Katalogkobling.
Grupper for automatisk lisenstilordning
Control Hub lar deg administrere lisenstildelinger for hver gruppe. Du kan opprette lisensmaler og tilordne dem til Active Directory -grupper som du synkroniserer til skyen. Når brukeren opprettes, kontrollerer Webex brukermedlemskap og automatisk tilordning av lisensmaler for den nye brukeren.
Vi anbefaler at du bruker et LDAP-filter for bare å synkronisere relevante grupper til skyen. Du kan for eksempel angi filteret til:
(&(cn=Example)(objectclass=Group))*
Dette filteret synkroniserer alle grupper i base-DN der navnet begynner med Eksempel. Brukere som ikke er tilordnet grupper, tilordnes lisenser fra den standard automatiske lisensmalen du konfigurerte i Control Hub.
Grupper for hybrid distribusjon av datasikkerhet
I Katalogkobling må du sjekke Grupper hvis du bruker Hybrid Data Security til å konfigurere en prøvegruppe for pilotbrukere. Se Distribusjonsveiledning for hybrid datasikkerhet for veiledning. Denne Katalogkobling-innstillingen påvirker ikke andre brukeres synkronisering til skyen.
| 1 | Fra Katalogkobling går du til Konfigurasjon , og klikk deretter Objektvalg . | ||
| 2 | I Objekttype seksjon, sjekk Brukere , og vurder å begrense antall søkbare beholdere for brukere. Hvis du for eksempel bare vil synkronisere brukere i en bestemt gruppe, må du angi et LDAP-filter i Brukere Felt for LDAP-filtre. Hvis du vil synkronisere brukere som er i Eksempelbehandler-gruppen, bruker du et filter som dette:
| ||
| 3 | Sjekk Identifiser rom for å skille romdata fra brukerdata. Klikk på Tilpass hvis du vil konfigurere flere attributter for å identifisere brukerdata som romdata. Bruk denne innstillingen hvis du vil synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte romenheter. Hvis du vil ha mer informasjon, se Synkronisere lokal rominformasjon til Webex Cloud . | ||
| 4 | Sjekk Grupper hvis du vil synkronisere Active Directory -brukergruppene til skyen. Ikke legg til et LDAP-filter for brukersynkronisering i Grupper-feltet. Du bør bare bruke Grupper-feltet til å synkronisere selve gruppedataene til skyen.
| ||
| 5 | Sjekk Kontakter hvis du vil synkronisere kontaktinformasjon til brukerne til skyen.
| ||
| 6 | Konfigurer LDAP filtre. Du kan legge til utvidede filtre ved å oppgi et gyldig LDAP-filter. Se denne artikkelen hvis du vil ha mer informasjon om konfigurering av LDAP-filtre. | ||
| 7 | Angi On Premises base-DN-er som skal synkroniseres ved å klikke Velg for å se trestrukturen til Active Directory. Herfra kan du velge eller oppheve merkingen av hvilke beholdere du vil søke på. | ||
| 8 | Kontroller at objektene du vil legge til for denne konfigurasjonen, og klikk på Velg . Du kan velge individuelle eller overordnede beholdere som skal brukes til synkronisering. Velg en overordnet beholder for å aktivere alle underordnede beholdere. Hvis du velger en underordnet beholder, viser den overordnede beholderen en grå hake som angir at en underordnet beholder er blitt kontrollert. Deretter kan du klikke Velg for å godta Active Directory -beholderne du sjekket. Hvis organisasjonen plasserer alle brukere og grupper i Brukere-beholderen, trenger du ikke å søke i andre beholdere. Hvis organisasjonen er delt inn i organisasjonsenheter, må du kontrollere at du velger OE . | ||
| 9 | Klikk på Bruk. Velg et alternativ:
Hvis du vil ha informasjon om tørrkjøringer, se Utfør en tørrkjøringssynkronisering på Active Directory -brukere . For gruppesynkronisering må du utføre en full synkronisering: Utfør en fullstendig synkronisering av Active Directory -brukere til skyen . |
Tilordne brukerattributter
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen. Det eneste obligatorisk felt er *uid, en unik identifikator for hver brukerkonto i skyidentitetstjenesten.
Du kan velge hvilket Active Directory -attributt som skal tilordnes til skyen – du kan for eksempel tilordne firstName lastName i Active Directory eller et egendefinert attributtuttrykk til displayName i skyen.
| Kontoer i Active Directory må ha en e-postadresse. uid-en tilordnes som standard til |
Hvis du velger å la det foretrukne språket komme fra Active Directory, er Active Directory den eneste kilden til sannhet: brukere vil ikke kunne endre språkinnstillingen i Webex-innstillinger, og administratorer vil ikke kunne endre innstillingen i Control Hub.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tilordning av brukerattributter . Denne siden viser attributtnavnene for Active Directory (til venstre) og Webex-skyen (til høyre). Alle obligatoriske attributter er merket med en rød stjerne. | ||||
| 2 | Bla ned til bunnen av Active Directory -attributtnavn , og velg deretter ett av disse Active Directory -attributtene som skal tilordnes til skyattributtet uid :
Du kan tilordne alle de andre Active Directory -attributtene til uid, men vi anbefaler at du bruker e-post eller userPrincipalName, som dekket i retningslinjene ovenfor. I noen tilfeller brukes userPrincipalName til pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. Du må sørge for at e-postadresse for kalenderbehandling er tilordnet til det primære e-postadresse i Webex. Legg til userPrincipalName som en alternativ e-postadresse. Hvis du vil se hvilke attributter i Active Directory tilsvarer i skyen, kan du se Tilordning av Active Directory -attributter i Directory Connector .
| ||||
| 3 | Hvis de forhåndsdefinerte Active Directory -attributtene ikke fungerer for distribusjonen, klikker du på rullegardinlisten for attributt, blar til bunnen og velger Tilpass attributt for å åpne et vindu som lar deg definere et attributtuttrykk.
I dette eksemplet skal vi tilordne Active Directory -attributtene
| ||||
| 4 | (Valgfritt) Velg tilordninger for mobil og telefonnummer hvis du vil at mobil- og jobbnumre skal vises, for eksempel i brukerens kontaktkort i Webex-appen. telefonnummer vises i Webex-appen når en bruker holder pekeren over en annen brukers profilbilde. Hvis du vil ha mer informasjon om å ringe fra en brukers kontaktkort, se Installasjonsveiledning for å anrope Webex (Unified CM) . (administratorer). | ||||
| 5 | Velg flere tilordninger for at flere data skal vises i kontaktkort:
Etter at attributtene er tilordnet, vises informasjonen når en bruker holder pekeren over en annen brukers profilbilde:
Hvis du vil ha mer informasjon om kontaktkort, kan du se Bekreft hvem du kontakter . Når disse attributtene er synkronisert til hver brukerkonto, kan du også slå på People Insights i Control Hub. Denne funksjonen lar brukere av Webex-appen dele mer informasjon i profilene sine og lære mer om hverandre. Hvis du vil ha mer informasjon om funksjonen og hvordan du aktiverer den, kan du se People Insights -profiler for Webex, Jabber, Webex Meetings og Webex Events (ny) i Control Hub | ||||
| 6 | Når du har gjort valgene, klikker du Bruk . |
Alle brukerdata som finnes i Active Directory, overskriver dataene i skyen som tilsvarer denne brukeren. Hvis du for eksempel opprettet en bruker manuelt i Control Hub, må brukerens e-postadresse være identisk med e-postadressen i Active Directory. Alle brukere som ikke har en tilsvarende e-postadresse i Active Directory , slettes.
| Slettede brukere beholdes i skyidentitetstjenesten i syv dager før de slettes permanent. |
Active Directory og skyattributter
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen ved hjelp av Tilordning av brukerattributter -fanen.
Denne tabellen sammenligner tilordningen mellom Active Directory -attributtnavn og Cisco Cloud -attributtnavn. Disse verdiene og tilordningene er standardinnstilling i Katalogkobling. Du kan velge forskjellige attributter i Active Directory -rullegardinlistene og bestemme hvilket lokale attributt som skal synkroniseres med hvilket skyattributt.
Se på rullegardinattributtene som forhåndsinnstillinger. Som et alternativ til verdiene i Active Directory -raden kan du også angi et tilpasset attributt, din egen forhåndsinnstilling, i Active Directory (et uttrykk med flere attributter) for å tilordne et enkelt skyattributt i den tilsvarende raden. På denne måten har du fleksibilitet til å bestemme visningsnavnene til brukerne dine – du kan for eksempel legge til et uttrykk som oppretter et tilpasset attributt basert på ansatttittel, fornavn og etternavn i Active Directory.
Du kan også angi hvilke som helst av Active Directory -attributtene som skal tilordnes til uid i skyen. Du må imidlertid sørge for at det lokale attributtet følger et gyldig e-postformat.
| Du kan også bruke alternative e-postadresser, hvis du for eksempel vil bruke userPrincipalName for pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. I dette tilfellet tilordner du en annen e-postadresse til e-poster;type-arbeid attributtet. Dette er e-postadressen som brukes til autentisering. den brukes ikke til å administrere kalenderen din. e-postadresse du tilordner fra AD, må være fra et bekreftet domene i organisasjonen din, og den må være unik og ikke tilordnet en annen bruker. |
Navn på Active Directory -attributter | Navn på Webex-skyattributter | Merknader |
|---|---|---|
— |
buildingName |
— |
c |
c |
Dette attributtet angir brukerens landsforkortelse. |
avdelingsnummer |
avdelingsnummer |
Dette attributtet brukes for brukerens avdelingsnummer som vises i kontaktkort og personinnsikt . |
visningsnavn |
visningsnavn |
Dette attributtet brukes for visningsnavn for brukerkonto som vises i Control Hub, den kontaktkort , og personinnsikt . |
userAccountControl |
ds-pwp-account-disabled |
Dette attributtet brukes til brukersynkronisering. Kontroller at userAccountControl attributtet er tilordnet til ds-pwp-account-disabled ellers blir ikke brukerne synkronisert riktig. |
ansattnummer |
ansattnummer |
— |
ansattType |
ansattType |
Denne verdien brukes for ansatttypen bruker som vises i kontaktkort og personinnsikt . |
fakstelefonnummer |
fakstelefonnummer |
— |
givenName |
givenName |
Dette attributtet brukes for brukerkonto fornavn som vises i Control Hub, den kontaktkort , og personinnsikt . |
— |
jabberID |
Dette skyattributtet er relatert til direktemeldingsadresser (XMPP-type) som brukes av Jabber. Denne verdien er ikke det samme som sipAddresses. |
l |
l |
Dette attributtet angir byen til brukeren. |
— |
språk |
— |
administrator |
administrator |
Dette attributtet brukes for brukerens ledernavn som vises i kontaktkort og personinnsikt . |
Mobil |
Mobil |
Dette attributtet brukes som mobilnummer som vises for ringe brukeren fra kontaktkort . |
o |
o |
Dette attributtet angir navnet på selskapet eller organisasjonen. |
ou |
ou |
Dette attributtet angir navnet på organisasjonsenheten. |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Dette attributtet angir brukerens kontorplassering. |
postnummer |
postnummer |
Dette attributtet angir brukerens postnummer eller postnummer for fysisk postlevering. |
foretrukket språk |
foretrukket språk |
Dette attributtet angir brukerens foretrukne språk, og følgende formater støttes: xx_YY eller xx-YY. Her er noen eksempler: en_USA,en_ GB, fr-CA. Hvis du bruker et språk som ikke støttes eller ugyldig format, endres brukernes foretrukne språk til språket som er angitt for organisasjonen. |
MSRTCSIP-PrimaryUserAddress iPhone |
SipAddresses;type=bedrift |
Dette attributtet brukes til å synkronisere lokal rominformasjon fra Active Directory til Cisco Webex skyen. |
sn |
sn |
Dette attributtet brukes for brukerkonto etternavn som vises i Control Hub, den kontaktkort , og personinnsikt . |
st |
st |
Dette attributtet angir delstaten eller provinsen til brukeren. |
gateadresse |
gate |
Dette attributtet angir gateadressen til brukeren for fysisk postlevering. |
telefonnummer |
telefonnummer |
Dette attributtet angir brukerens primære telefonnummer (jobb) som brukes til ringe brukeren fra kontaktkort . |
— |
tidssonen |
Dette skyattributtet angir brukerens tidssone. |
tittel |
tittel |
Dette attributtet angir brukertittelen som vises i kontaktkort og personinnsikt . |
type |
bedrift |
— |
*e-post *userPrincipalName |
uid |
En obligatorisk attributtilordning. For hver brukerkonto tilordnes Active Directory -verdien til en unik uid i skyen. I noen tilfeller brukes userPrincipalName til pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. Du må sørge for at e-postadresse for kalenderbehandling er tilordnet til det primære e-postadresse i Webex. Legg til userPrincipalName som en alternativ e-postadresse. Brukeren kan deretter bruke en av disse e-postadressene til å logge på, så lenge de er riktige SAML-attributtilordning er på plass. Se eksempel på attributtilordning nedenfor for hvordan du kan tilordne en alternativ e-postadresse. |
*userPrincipalName *e-post <custom attribute=""> |
e-poster;type-arbeid |
Denne tilordningen er valgfri. Bruk den hvis du vil bruke alternative e-postadresser. Dette er e-postadressen som brukes til autentisering. den brukes ikke til å administrere kalenderen din. e-postadresse du tilordner fra AD, må være fra et bekreftet domene i organisasjonen din, og den må være unik og ikke tilordnet en annen bruker. |
<New attribute="" for="" Azure="" user="" objectId=""> |
ekstern ID |
Opprett et nytt Active Directory -attributt for å holde Azure-brukerobjekt-ID-en, slik at den ikke kolliderer med en eksisterende. Dette attributtet tilordnes deretter til externalId-attributtet, og sikrer at når Webex-brukere opprette grupper i Microsoft 365, oppretter de automatisk team i Webex . |
Alternativ e-postadresse
Uttrykk for tilpassede attributter
Operatør | Beskrivelse og eksempel |
|---|---|
% | Fjerner alle tegn fra begynnelsen av strengen til plasseringen av tegnet eller strengargumentet, hvis det samsvarer.
|
– | Fjerner baksiden av inndatastrengen fra enden av den angitte strengen.
|
+ | Setter sammen inndatastrenger eller -uttrykk.
|
| | Evaluerer de atskilte uttrykkene mot den tomme strengen, og velger det første ikke-tomme resultatet.
|
Synkronisere katalogavatarer fra et Active Directory -attributt til skyen
Du kan synkronisere brukernes katalogavatarer til skyen, slik at hver avatar vises når de logger på Webex-appen. Bruk denne fremgangsmåten til å synkronisere rå avatardata fra et Active Directory -attributt.
| 1 | Fra Katalogkobling går du til Konfigurasjon , klikk Avatar , og kontroller Aktiver . |
| 2 | For Hent avatar fra , velg AD-attributt , og velg deretter Avatar-attributt som inneholder råavatardataene du vil synkronisere til skyen. |
| 3 | Hvis du vil bekrefte at avataren brukes på riktig måte, skriver du inn en brukers e-postadresse og klikker på Hent brukerens avatar . Avataren vises til høyre. |
| 4 | Når du har bekreftet at avataren ble vist riktig, klikker du Bruk for å lagre endringene. |
Bildene som synkroniseres, blir standardavatar for brukere i Webex-appen. Brukere har ikke tillatelse til å angi sin egen avatar etter at denne funksjonen er aktivert fra Katalogkobling.
Brukeravatarene synkroniseres til både Webex-appen og eventuelle samsvarende kontoer på Webex-nettsted.
Hva nå?
Gjør en tørrkjøringssynkronisering; Hvis det ikke er noen problemer, kan du utføre en fullstendig synkronisering for å få Active Directory -brukerkontoene og avatarene til å synkroniseres til skyen og vises i Control Hub.
Synkronisere katalogavatarer fra en ressursserver til skyen
Du kan synkronisere brukernes katalogavatarer til skyen, slik at hver avatar vises når de logger på Webex-appen. Bruk denne fremgangsmåten til å synkronisere avatarer fra en ressursserver.
Før du starter
URI-mønsteret og variabelverdien i denne prosedyren er eksempler. Du må bruke faktiske nettadresser der katalogavatarene dine er plassert.
Avatar-URI-mønsteret og serveren der avatarene ligger, må kunne nås fra Directory Connector-programmet. Koblingen trenger http- eller https-tilgang til bildene, men bildene trenger ikke å være offentlig tilgjengelige på Internett.
Synkroniseringen av avatardata er atskilt fra Active Directory -brukerprofilene. Hvis du kjører en proxy, må du sørge for at avatardataene er tilgjengelige via NTLM-autentisering eller basic-auth.
| 1 | Fra Katalogkobling går du til Konfigurasjon , klikk Avatar , og kontroller Aktiver . |
| 2 | For Hent avatar fra , velg Ressursserver og angi deretter Avatar-URI-mønster – For eksempel La oss se på hver del av avatarens URI-mønster og hva de betyr:
|
| 3 | (Valgfritt) Hvis ressursserveren krever legitimasjon, kontrollerer du Angi påloggingsinformasjon for avatar , og velg deretter enten Bruk gjeldende bruker for tjenestepålogging eller Bruk denne brukeren og angi passordet. |
| 4 | Skriv inn Variabelverdi – For eksempel: |
| 5 | Klikk på Test for å kontrollere at avatarens URI-mønster fungerer som det skal. I dette eksemplet, hvis e-postverdien for én AD-oppføring er |
| 6 | Når URI-informasjonen er bekreftet og ser riktig ut, klikker du Bruk . Hvis du vil ha detaljert informasjon om bruk av regulære uttrykk, kan du se hurtigreferanse for Microsoft Regular Expression-språk . |
Bildene som synkroniseres, blir standardavatar for brukere i Webex-appen. Brukere har ikke tillatelse til å angi sin egen avatar etter at denne funksjonen er aktivert fra Katalogkobling.
Brukeravatarene synkroniseres til både Webex-appen og eventuelle samsvarende kontoer på Webex-nettsted.
Hva nå?
Gjør en tørrkjøringssynkronisering; Hvis det ikke er noen problemer, kan du utføre en fullstendig synkronisering for å få Active Directory -brukerkontoene og avatarene til å synkroniseres til skyen og vises i Control Hub.
Synkronisere lokal rominformasjon til Webex Cloud
Bruk denne fremgangsmåten til å synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte Webex-enheter (Room, Desk og Board).
| 1 | Fra Katalogkobling går du til Synkroniser , klikk på mer | ||
| 2 | Sjekk Synkroniser rominformasjon til skyen for å skille romdataene fra brukerdataene under synkronisering. Når denne innstillingen er deaktivert, behandles romdata på samme måte som brukersynkroniserte data. | ||
| 3 | Gå til Attributttilordning , og endre deretter attributttilordningen for skyattributtet sipAddresses;type=bedrift .
| ||
| 4 | Opprett en romressurs-postboks i Exchange. Dette legger til msExchResourceMetaData;ResourceType:Room -attributtet som koblingen deretter bruker til å identifisere rom.
| ||
| 5 | Gå til og rediger egenskapene for rommet fra Active Directory -brukere og datamaskiner. Legg til den fullstendige SIP-URI med prefikset sip:
| ||
| 6 | Utfør en tørrkjøringssynkronisering og deretter en fullstendig synkroniseringskjøring i kontakten. De nye romobjektene vises Objekter lagt til og samsvarende romobjekter vises i Objekter matchet i tørrkjøringsrapporten. Alle romobjekter som er flagget for sletting, er under Rom slettet .
Tørrkjøringsresultatene viser eventuelle romressurser som ble matchet.
Denne innstillingen skiller Active Directory -romdata (inkludert rommets attributt) fra brukerdata. Når synkroniseringen er fullført, viser skystatistikken på koblingsinstrumentbordet romdata som ble synkronisert til skyen.
|
Hva nå?
Nå som du har gjort disse trinnene, vil du se de synkroniserte romoppføringene som er konfigurert med SIP-adresser, når du gjør et søk på en Webex-skyregistrert enhet. Når du foretar et anrop fra Webex-enheten på den oppføringen, foretas et anrop til SIP-adressen som ble konfigurert for rommet.
Fra Control Hub kan du importere rom fra katalogen automatisk og opprette arbeidsområder.
| Endepunktet kan ikke sløyfe et tilbakeringing til Webex-appen. For testoppringingsenheter må disse enhetene være registrert som en SIP-URI lokalt eller et annet sted enn Webex-appen. Hvis romsystem for Active Directory du søker etter er registrert for Webex og den samme e-postadresse finnes på Webex Room-enhet, Skrivebordsenhet eller Webex Board for Calendar Service, viser ikke søkeresultatene den dupliserte oppføringen. Rom-, skrivebords- eller tavleenheten ringes opp direkte i Webex-appen, og det foretas ingen SIP-samtale . |
Send e-postrapporter om katalogsynkroniseringsresultater
Som standard mottar organisasjonens kontakter eller administratorer alltid e-postvarsler. Med denne innstillingen kan du tilpasse hvem som skal motta e-postvarsler som oppsummerer katalogsynkroniseringsrapporter.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Varsel . |
| 2 | Fra Katalogkobling klikker du på Innstillinger , og ved siden av E-postmottaker , slå på Aktiver synkronisering av rapport . |
| 3 | Sjekk Aktiver varsling hvis du vil overstyre standard varslingsatferd og legge til én eller flere e-postmottakere. |
| 4 | Klikk på Legg til og angi en e-postadresse. Hvis du skriver inn en e-postadresse med ugyldig format, vises en melding som ber deg om å løse problemet før du kan lagre og bruke endringene. |
| 5 | Klikk på Legg til e-post og angi en e-postadresse. Hvis du skriver inn en e-postadresse med ugyldig format, vises en melding som ber deg om å løse problemet før du kan lagre og bruke endringene. |
| 6 | Hvis du må redigere e-postadresser du oppga, dobbeltklikk du på e-postoppføringen i venstre kolonne, og deretter gjør du eventuelle endringer. |
| 7 | Når du har lagt til alle de gyldige e-postadressene, klikker du på Bruk . |
| 8 | Når du har lagt til alle de gyldige e-postadressene, klikker du på Lagre . |
Hva nå?
Hvis du bestemte deg for at du vil fjerne e-postadresser, kan du klikke på en e-post for å utheve denne oppføringen og deretter klikke Fjern .
Hvis du bestemte deg for at du vil fjerne e-postadresser, kan du klikke på Fjern ved siden av bestemte e-postadresse .
Klargjøre brukere fra Active Directory til Control Hub
Følg denne fremgangsmåten for å klargjøre Active Directory -brukere og opprette tilsvarende brukerkontoer i Control Hub. Du kan klargjøre brukere fra en Active Directory -distribusjon for flere domener (med enten én enkelt skog eller flere skoger) etter at du har installert en katalogkobling per domene. I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Målet er å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen.
| 1 | Utfør en tørrkjøringssynkronisering på Active Directory -brukere Utfør en tørrkjøring for å sammenligne objekter i den lokale Active Directory og objekter i Webex-skyen. En tørrkjøring lar deg se hvilke objekter som vil bli lagt til, endret eller slettet før du kjører en fullstendig eller trinnvis synkronisering og utfører endringene i skyen. |
| 2 | Utfør en fullstendig synkronisering av Active Directory -brukere til skyen Når du kjører en full synkronisering, sender koblingstjenesten alle filtrerte objekter fra Active Directory (AD) til skyen. Connector-tjenesten oppdaterer deretter identitetslageret med AD-oppføringene dine. Hvis du opprettet en mal for automatisk tilordning av lisenser, kan du tilordne den til de nylig synkroniserte brukerne. |
| 3 | Tilordne Webex-tjenester til katalogsynkroniserte brukere i Control Hub Når du har fullført en fullstendig brukersynkronisering fra Directory Connector til Control Hub, kan du tilordne Webex-tjenestelisenser ved hjelp av en rekke forskjellige metoder. Vi anbefaler at du konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory. Du kan også gjøre individuelle endringer etter dette første trinnet. |
Utfør en tørrkjøringssynkronisering på Active Directory -brukere
Utfør en tørrkjøring for å sammenligne objekter i den lokale Active Directory og objekter i Webex-skyen. En tørrkjøring lar deg se hvilke objekter som vil bli lagt til, endret eller slettet før du kjører en fullstendig eller trinnvis synkronisering og utfører endringene i skyen.
I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Med Katalogkobling er målet å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen.
Hvis du har flere domener i én enkelt skog eller flere skoger, må du gjøre dette trinnet på hver av Cisco-katalogkoblingsforekomstene du har installert for hvert Active Directory -domene.
Før du starter
Du kan allerede ha noen Webex-appbrukere i Control Hub før du brukte Katalogkobling. Blant brukerne i skyen kan noen samsvare med det lokale Active Directory -objektet og bli tildelt lisenser for tjenester. Men noen kan være testbrukere som du vil slette mens du foretar en synkronisering. Du må opprette et nøyaktig samsvar mellom Active Directory og Control Hub.
| 1 | Velg én:
Når tørrkjøringen er fullført, ser du ett av følgende resultater:
Sammendraget inneholder informasjon om objektsamsvar:
Tørrkjøringen identifiserer brukerne ved å sammenligne dem med domenebrukere. Applikasjonen kan identifisere brukerne hvis de tilhører det gjeldende domenet. I neste trinn må du bestemme om du vil slette objektene eller beholde dem. De feilaktige objektene identifiseres som allerede eksisterende i Webex-skyen, men ikke eksisterende i den lokale Active Directory. | ||
| 2 | Se gjennom resultatene av tørrkjøringen, og velg deretter et alternativ avhengig av om du bruker ett enkelt domene eller flere domener:
| ||
| 3 | I Bekreft tørrkjøring ledetekst, klikker du Ja for å gjøre om tørrkjøringssynkroniseringen og vise instrumentbordet for å se resultatene. Alle kontoer som ble synkronisert i tørrkjøringen, vises under Objekter matchet . Hvis en bruker i skyen ikke har en tilsvarende bruker med samme e-postadresse i Active Directory, er oppføringen oppført under Brukere slettet . Hvis du vil unngå dette sletteflagget, kan du legge til en bruker i Active Directory med samme e-postadresse. Hvis du vil vise detaljene for elementene som ble synkronisert, klikker du på den tilsvarende fanen for bestemte elementer eller Objekter matchet . Hvis du vil lagre sammendragsinformasjonen, klikker du på Lagre resultater til fil . | ||
| 4 | Hvis resultatene forventes, går du til , og klikk deretter Aktiver nå for å gjøre en manuell synkronisering og sette i manuell modus på dette tidspunktet.
|
Hva nå?
For eventuelle feilaktige brukerobjekter som du beholder, må du legge dem til i Active Directory slik at det er nøyaktig samsvar mellom lokale og skyen.
Velg en synkroniseringstype:
Utfør en fullstendig synkronisering av Active Directory -brukere til skyen for første gang du synkroniserer nye brukere til skyen. Du gjør det fra , og deretter synkroniseres brukere fra det gjeldende domenet.
Angi tidsplan for kobling og Kjør en trinnvis synkronisering etter at du har kjørt en fullstendig synkronisering, og hvis du ønsker å plukke opp endringer etter den første synkroniseringen. Denne typen synkronisering anbefales for å fange opp små endringer som er gjort i Active Directory -brukerkilden.
Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt (på versjon 3.4 og tidligere) eller hver fjerde time (på versjon 3.5 og nyere), men du kan endre denne verdien. Den trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering.
Hvis du har flere domener, gjentar du disse trinnene på en hvilken som helst annen katalogkobling du har installert.
Ting du bør huske på
Utfør en tørrkjøring før du aktiverer full synkronisering, eller når du endrer synkroniseringsparametrene. Hvis tørrkjøringen ble startet av en konfigurasjonsendring, kan du lagre innstillingene etter at tørrkjøringen er fullført. Hvis du allerede har lagt til brukere manuelt, kan utføring av en Active Directory -synkronisering føre til at tidligere lagt til brukere blir fjernet. Du kan sjekke tørrkjøringsrapporter for Directory Connector for å bekrefte at alle forventede brukere er til stede før du synkroniserer fullstendig til skyen.
Hvis matchede brukere er merket som sletting og du ikke er sikker på hvordan du går frem, kan du se feilsøkingsinformasjon og hvordan du kontakter kundestøtte i Feilsøking og rettelser for Directory Connector .
Slettede brukere beholdes i skyidentitetstjenesten i syv dager før de slettes permanent.
Utfør en fullstendig synkronisering av Active Directory -brukere til skyen
Når du kjører en full synkronisering, sender koblingstjenesten alle filtrerte objekter fra Active Directory (AD) til skyen. Connector-tjenesten oppdaterer deretter identitetslageret med AD-oppføringene dine. Hvis du opprettet en mal for automatisk tilordning av lisenser, kan du tilordne den til de nylig synkroniserte brukerne.
Hvis du har flere domener, må du gjøre dette trinnet på hver av Directory Connector-forekomstene du har installert for hvert Active Directory -domene.
Katalogkobling synkroniserer brukerkonto – I Active Directory vises også alle brukere som er merket som deaktivert som inaktive i skyen.
Før du starter
Hvis du vil at brukerkontoene for Webex-appen skal ha statusen Aktiv etter full synkronisering og før brukerne logger på for første gang, må du gjøre følgende for å omgå e-postvalideringen:
Integrer engangspålogging med Webex-organisasjonen din. Se
Engangspålogging med Cisco Webex Services og organisasjonens identitetsleverandør
hvis du vil ha mer informasjon.Bruk Control Hub til å bekrefte og eventuelt gjøre krav på domener som finnes i e-postadressene. Se
Legg til, bekreft og gjør krav på domener
.Undertrykk automatiske e-postinvitasjoner , slik at nye brukere ikke mottar den automatiske e-postinvitasjonen til Webex-appen. (Du kan lage din egen e-postkampanje.)
Aktiverte brukere som ikke har logget på, vises med en Verifisert status i Control Hub. Når de har logget på, vises de som Aktive. Hvis du vil ha mer informasjon om brukerstatuser, kan du se Brukerstatuser og handlinger i Cisco Webex Control Hub.
Når du aktiverer synkronisering, ber Directory Connector deg om å utføre en tørrkjøring først. Vi anbefaler at du tar en tørrkjøring før en full synkronisering for å fange opp eventuelle feil.
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Hvis du ikke bruker automatisk tilordnede lisensmaler, får nylig synkroniserte brukere automatisk gratislisenser. De vil kunne bruke de samme gratisfunksjonene som de med gratis kontoer.
| 1 | Velg én:
| ||
| 2 | Fra Katalogkobling går du til Synkroniser , klikk på mer | ||
| 3 | Bekreft starten på synkroniseringen. For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene i opptil 72 timer etter at du har utført synkroniseringen.
| ||
| 4 | Klikk på Oppdater hvis du vil oppdatere statusen for synkroniseringen. (Synkroniserte elementer vises under Skystatistikk .) | ||
| 5 | Hvis du vil ha informasjon om feil, velger du Start Event Viewer fra Handlinger verktøylinjen for å vise feilloggene. | ||
| 6 | Hvis du vil angi en synkroniseringsplan for pågående trinnvise synkroniseringer til skyen, kan du se Angi tidsplan for kobling og Kjør en trinnvis synkronisering . |
Når full synkronisering er fullført, oppdateres statusen for katalogsynkronisering fra Deaktivert til Driftsmessig på Innstillinger siden i Control Hub.
Når alle data matches mellom lokale og skyen, endres Katalogkobling fra manuell modus til automatisk synkroniseringsmodus.
Med mindre du integrere engangspålogging , bekrefte domener, og eventuelt gjøre krav på domener for e-postkontoene du synkroniserte , og undertrykke automatiserte e-postmeldinger , forblir brukerkontoene for Webex-appen i tilstanden Ikke bekreftet til brukerne logger på Webex-appen for første gang for å bekrefte kontoene sine. Se delen Før du begynner for veiledning om hvordan du synkroniserer kontoene som aktive brukere.
Hvis du har flere domener, gjør du dette trinnet på en annen katalogkobling du har installert. Etter synkroniseringen vises brukerne på alle domenene du la til i Control Hub.
Hvis du integrerte engangspålogging med Webex og undertrykte e-postvarsler , sendes ikke e-postinvitasjonene til de nylig synkroniserte brukerne.
Du kan ikke legge til brukere manuelt i Control Hub etter at Directory Connector er aktivert. Når den er aktivert, utføres brukeradministrasjon fra Cisco-registerkobling, og Active Directory er den eneste kilden til sannhet.
Alle grupper du synkroniserte, vises i Control Hub, og du kan tilordne en lisensmal slik at brukere i den gruppen tilordnes lisenser.
Hva nå?
Når du fjerner en bruker fra Active Directory, blir brukeren myk slettet etter neste synkronisering. Brukeren blir
Inactivemen skyidentitetsprofilen beholdes i syv dager (for å tillate gjenoppretting etter utilsiktet sletting).Når du sjekker Kontoen er deaktivert i Active Directory blir brukeren
Inactiveetter neste synkronisering. Skyidentitetsprofilen slettes ikke etter syv dager, i tilfelle du vil aktivere brukeren på nytt.Vær oppmerksom på disse unntakene fra en trinnvis synkronisering (følg de fullstendige synkroniseringstrinnene ovenfor i stedet):
Hvis det gjelder en oppdatert avatar, men ingen andre attributter endres, oppdaterer ikke trinnvis synkronisering brukerens avatar til skyen.
Konfigurasjonsendringer for attributtilordning, base-DN, filter og avatarinnstillinger krever full synkronisering.
Tilordne Webex-tjenester til katalogsynkroniserte brukere i Control Hub
Når du har fullført en fullstendig brukersynkronisering fra Cisco-registerconnector til Control Hub, kan du bruke Control Hub til å tilordne de samme Webex-tjenestelisensene til alle brukerne samtidig eller legge til flere lisenser til nye brukere hvis du allerede har konfigurert en automatisk tilordnet lisensmal. Du kan gjøre individuelle endringer i brukerkonto etter dette første trinnet.
Når du har fullført en fullstendig brukersynkronisering fra Directory Connector til Control Hub, kan du bruke metoder i Control Hub til å globalt tilordne Webex-tjenestelisenser til alle brukerne, enkeltbrukere, gjennom CSV-malen for mengde eller automatisk til nye brukere hvis du har allerede konfigurert en mal for automatisk tildeling av lisenser. Du kan gjøre individuelle endringer i brukerkonto etter dette første trinnet.
Når du tilordner en lisens til en Webex-appbruker, mottar denne brukeren en e-post som bekrefter tilordningen, som standard. E-posten sendes av en varslingstjeneste i Control Hub. Hvis du integrerte engangspålogging (SSO) med Webex-organisasjonen din, kan du også undertrykke disse automatiske e-postvarslene hvis du foretrekker å kontakte brukerne dine direkte.
Før du starter
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Gjør en tørrkjøringssynkronisering på Active Directory brukerne dine.
Når du har bekreftet resultatene av tørrkjøringen, utfører du en fullstendig synkronisering på Active Directory -brukerne.
| På tidspunktet for full synkronisering opprettes brukeren i skyen, ingen tjenestetilordninger legges til, og det sendes ingen aktiverings-e-post. Hvis e-postene ikke undertrykkes, mottar de nye brukerne en aktiverings-e-post når du tilordner tjenester til brukere ved hjelp av en standard brukeradministrasjonsmetode i Control Hub, for eksempel CSV-import, manuell brukeroppdatering eller vellykket fullføring av automatisk tilordning. |
| 1 | Fra kundevisningen ihttps://admin.webex.com , gå til , klikk Behandle brukere , velg Endre alle synkroniserte brukere , og klikk deretter Neste . |
| 2 | Velg et alternativ:
|
Hva nå?
Hvis e-postene ikke undertrykkes, sendes en e-postmelding til hver bruker med en invitasjon til å bli med og laste ned Webex.
Hvis du valgte de samme Webex-tjenestene for alle brukerne, kan du etterpå endre lisensen som er tilordnet individuelt eller samtidig.
Kjente problemer med katalogkobling
Windows Server-versjoner før 2012 R2 har et problem med informasjonskapsler som påvirker katalogkoblingen. Dette problemet er løst i versjoner 2012 R2 og 2016 .
For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene 72 timer fra du utfører synkroniseringen.
Du kan prøve å tømme den lokale hurtigbufferen for Webex-appen ved å følge disse instruksjonene: Windows eller Mac .
Når en bruker bruker Webex-appen på skrivebordet eller mobilen til å søke og ringe et rom som bare har en synkronisert SIP-URI, ringer anropet på ubestemt tid på dette tidspunktet.
Kjør en trinnvis synkronisering
En trinnvis synkronisering spør etter Active Directory og ser etter endringer som har skjedd siden forrige synkronisering. Dette trinnet grupperer deretter disse endringene og sender dem til koblingstjenesten. Endringene inkluderer endring av brukerattribusjon og når en bruker legges til eller slettes.
Denne synkroniseringen legger ikke like mye belastning på serverne og tar ikke like mye tid som en full synkronisering. Når du har utført den første fullstendige synkroniseringen, anbefaler vi det trinnvise alternativet for etterfølgende synkroniseringer.
Før du starter
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Merk disse unntakene som trinnvis synkronisering ikke støtter (følg Utfør en fullstendig synkronisering av Active Directory -brukere til skyen i stedet):
Hvis det gjelder en oppdatert avatar, men ingen andre attributter endres, oppdaterer ikke trinnvis synkronisering brukerens avatar til skyen.
For nye konfigurasjonsendringer for attributtilordning, base-DN, filter og avatarinnstilling fungerer ikke trinnvis synkronisering, og disse krever full synkronisering.
| 1 | Fra Katalogkobling klikker du på Instrumentbord .
| ||
| 2 | Fra Handlinger , klikk Synkroniseringsmodus > Aktiver synkronisering hvis det ikke allerede er aktivert. Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt (på versjon 3.4 og tidligere) eller hver fjerde time (på versjon 3.5 og nyere), men du kan endre denne verdien. Den trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering. Når et nytt trinnvis tidsintervall er ute, kontrollerer programmet endringene basert på det siste tidsstemplet. | ||
| 3 | Fra Handlinger , klikk Synkroniser nå > Inkrementell . For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene 72 timer fra du utfører synkroniseringen.
| ||
| 4 | Hvis du vil ha informasjon om feil, klikker du på Start Event Viewer fra Handlinger verktøylinjen for å vise feilloggene. |
Hva nå?
Hvis du har flere domener, gjør du dette trinnet på andre Directory Connector-forekomster du har installert.
Gjenopprett brukere som er slettet ved et uhell
Katalogkobling har kontroller og saldoer for å forhindre utilsiktet sletting av brukere. Dessverre skjer ulykker. Du kan ha konfigurert et LDAP-filter i Active Directory på feil måte, noe som slettet noen brukere da de ble synkronisert til skyen. Den myke slettefunksjonen kan hjelpe deg med å komme deg etter disse ulykkene og gjenopprette brukerkontoene i Control Hub.
Som standard er denne funksjonen aktivert for alle organisasjoner. Når brukere slettes i skyen, for eksempel på grunn av et problem med feilaktige objekter etter en synkronisering fra Directory Connector, kan brukerne gjenopprettes. Hvis du så et objekt som ikke samsvarte, eller la merke til at brukere ble slettet, kan det hende du kan gjenopprette dem hvis du handler raskt.
| Brukere merkes som inaktive i Control Hub når de tilsvarende kontoene slettes i Active Directory. Bakgrunnsskytjenesten beholder brukerne i opptil 7 dager. I løpet av denne perioden kan du fortsatt bruke Cisco-registerkobling til å gjenopprette brukere. Vi anbefaler at du gjenoppretter disse brukerne så snart som mulig. Brukere som er deaktivert i Active Directory , er også merket som inaktive i Control Hub, men brukerkonto slettes ikke etter 7 dager. |
| 1 | Logg på Kontrollhub . |
| 2 | Gå til Brukere og kontroller om en bestemt brukerkonto er i en inaktiv tilstand eller ikke er oppført. Hvis du vil ha mer informasjon, se Brukerstatuser og handlinger i Control Hub . |
| 3 | Hvis brukere ble slettet i Control Hub eller du legger merke til at brukere er i en inaktiv tilstand, går du til Active Directory, legger til de manglende brukerkontoene, og deretter utfører du en tørrkjøringssynkronisering i Directory Connector. Målet med Directory Connector er å opprette et nøyaktig samsvar mellom brukerinformasjon i Active Directory og i skyen. |
| 4 | Utfør en fullstendig synkronisering for å resynkronisere de midlertidig slettede brukerkontoene til Control Hub. Brukerne gjenopprettes og går til den opprinnelige statusen, inkludert kontostatus og tjenestetilordninger. |
Hva nå?
Gå tilbake til Control Hub, gå til , og bekreft at de tidligere slettede brukerkontoene vises i brukerliste.
Slett brukere permanent etter myk sletting
Etter å ha utført en tørrkjøring, kan du velge å permanent slette brukere som ble myk slettet ved neste synkronisering.
| 1 | Når en tørrkjøring er fullført, velger du Myk-slettede objekter . |
| 2 | Merk av i avmerkingsboksen ved siden av brukerne du vil slette. |
| 3 | Velg Ferdig. |
Hva nå?
Ved neste synkronisering blir brukerne du sjekket, slettet permanent.
Endre en e-postadresse for Webex-appen
Hvis du vil endre e-postadresser for brukere og organisasjonen bruker katalogkoblingen, endrer du disse e-postadressene i Active Directory. Denne fremgangsmåten dekker hvordan du endrer en e-postadresse for Webex-appen for ett enkelt domene og en prosess for å endre domenet.
| Hvis du bare vil endre e-post eller verdier for én bruker, må du ikke slette brukeren fra Active Directory og deretter opprette en ny med den samme e-postadressen. Skyen tolker denne handlingen som en ny brukerkonto, og brukerens områder og andre data i skyen vil gå tapt. |
Slik endrer du brukerens e-postadresser uten å endre domenet:
Gjenoppta synkroniseringen på katalogkoblingen.
Etter neste synkronisering vises endringene i brukerliste i Control Hub og for brukere i Webex-appen etter at hurtigbufferen er oppdatert.
Det er ikke tap av data eller områder ved hjelp av denne metoden. Brukerens unike identifikator angis i skyen etter den første synkroniseringen. Alle etterfølgende synkroniseringer er basert på denne identifikatoren.
Hvis du vil endre brukerens e-postadresser mens du endrer domenet i en distribusjon med flere domener med Directory Connector (vurder på example1.com, det gamle domenet og example2.com som det nye domenet):
På Directory Connector gjenopptar du synkroniseringen for example2.com
Før du fortsetter, må du kontrollere at kontoen bruker1@example2.com synkroniseres til Control Hub. Vi anbefaler at du ber brukeren om å bekrefte e-postendringen i Webex-appen, og at alle data (områder, meldinger, møter, filer og så videre) beholdes.
Det er ingen tap av data eller områder ved hjelp av denne metoden, men i den nye brukerkonto må du sørge for at Active Directory -attributtet som tilordnes til sky-uid-attributtet, er bevart fra den gamle brukerkonto. Hvis du endrer Active Directory -verdien, beholder ikke den nye kontoen dataene fra den gamle kontoen.
Når du har bekreftet e-postadresse og dataene er intakte, sletter du den gamle brukerkonto på example1.com, og deretter bruker du Directory Connector til å gjenoppta synkroniseringen for example1.com.
På dette tidspunktet kan du trygt oppdatere e-postadresse i det nye Active Directory -domenet for bruker1@example2.com.
Katalogkobling begrenser ikke endringen av e-postdomene. Når brukeren resynkroniserer til skyen, avhenger imidlertid brukerstatusen av om det nye domenet er bekreftet i organisasjonen din. Hvis domenet ikke er bekreftet i organisasjonen din, endres brukerens status til Venter etter full synkronisering. Hvis du vil ha mer informasjon, se Administrer domenene dine .
Hvis organisasjonen din ikke bruker katalogkobling, kan du endre e-postadressene for Webex-appen via siden med kontoinnstillinger . Se Endre e-postadressen for kontoen din for trinn som brukere kan følge for å endre e-postadressene sine.
Endre Active Directory -domenet
Du kan bruke denne fremgangsmåten til å opprette nye domener og e-postadresser. De synkroniseres med identitetstjenesten i skyen.
| 1 | Konfigurer et nytt AD-domene ( Active Directory ). | ||
| 2 | Deaktiver synkroniseringer på alle kontaktene dine. | ||
| 3 | Avinstaller alle kontaktene dine. | ||
| 4 | Åpne store og små bokstaver for å endre domenet . I saksinnsendingen må du sørge for å be om fjerning av domenekonfigurasjonen og alle synkroniseringsattributter i organisasjonen.
| ||
| 5 | Etter at saken er løst: Utfør en testkjøring med Directory Connector før du utfører selve synkroniseringen. |
Domenekrav
Et domenekrav oppstår hvis du gjør krav på et e-postdomene for en organisasjon, slik at en eventuell skjenkkonto opprettes i den betalte kundeorganisasjonen og ikke i den gratis forbrukerorganisasjonen. Du kan bare gjøre et domenekrav gjennom en støttesak (se koblingen nedenfor for mer informasjon).
Hvis katalogkoblingen er aktiv og domenet gjøres krav på, opprettes ikke skjenkkontoer verken i kundeorganisasjonen eller i den gratis forbrukerorganisasjonen. Bare katalogkoblingen kan klargjøre kontoer for organisasjonen fra Active Directory. Informasjonen som er lagret i Active Directory , er den opprinnelige kilden. Hvis du prøver å legge inn en konto på skjenk, mottar den inviterte brukeren en feilmelding. Den eneste måten en invitert bruker kan legges til i et Webex-appområde, er først å bruke katalogkoblingen til å klargjøre kontoen i Control Hub.
Konverter gratis brukere av Webex-appen i en katalogsynkronisert organisasjon
Du kan bare bruke unike e-postadresser i katalogen for Webex-appen. Hvis brukerne dine har registrert seg for gratisversjonen av Webex-appen, finnes kontoen deres i den gratis forbrukerorganisasjonen. Hvis du vil administrere brukere i denne organisasjonen ved hjelp av Katalogkobling, må du overføre (konvertere) dem til kundeorganisasjonen før du slår på Katalogkobling. Deretter legger du til brukerne i Active Directory med den nøyaktige e-postadresse og synkroniserer til skyen.
Hvis du ikke konverterer kontoene før aktivering, må du slå av katalogkoblingen for å konvertere dem.
Hvis du prøver å konvertere en bruker mens katalogsynkronisering er aktivert, vises feilmelding<email address=""> kunne ikke konverteres
vises. Hvis du vil unngå problemet, kan du bruke disse trinnene som en løsning.
| Noen påståtte brukere kan dukke opp med Hvis du ikke legger til disse brukerne, blir alle slettet neste gang du synkroniserer til skyen. |
| 1 | Deaktiver katalogsynkroniseringen fra katalogkoblingen. | ||
| 2 | Følg Konverter ulisensierte brukere i Control Hub prosedyre for å konvertere brukeren fra den gratis forbrukerorganisasjonen til bedriftsorganisasjonen. Dette trinnet legger til brukeren i organisasjonen, og kontoen vises i Control Hub. Katalogkobling gjør Active Directory til den eneste sannheten for brukerkontoer, og målet er å ha nøyaktig samsvar mellom Active Directory og Control Hub. Kontroller at det finnes samsvarende brukere i Active Directory for eventuelle nylig konverterte brukere før du aktiverer synkroniseringen på nytt. En testsynkronisering kan brukes til å sikre at det ikke finnes gjenværende brukere uten samsvar. | ||
| 3 | Utfør en tørrkjøringssynkronisering på Directory Connector. Når testkjøringen er fullført, kontrollerer du fanen Legg til objekter. Kontroller at brukere du konverterte, ikke har blitt slettet.
| ||
| 4 | Når du er sikker på at neste synkronisering ikke fjerner noen kontoer, aktiverer du katalogsynkronisering på nytt fra Katalogkobling. |
Konverterte brukerkontoer aktiveres ikke automatisk hvis du ikke har bekreftet et domene. Hvis du for eksempel har aktivert malen for automatisk tilordning av lisenser og deretter aktivert Katalogkobling uten domenebekreftelse, er konverterte brukere inaktive i skyserveren til de bekrefter e-postadressene sine.
Brukerkontoer for Webex-appen med skjenk
Når du inviterer en annen bruker til et område i Webex-appen, og den inviterte brukeren ikke har en Webex-appkonto, opprettes det en konto for brukeren ("skjekk"). Som standard legges kontoer som opprettes på denne måten til i den gratis forbrukerorganisasjonen.
Hvis du vil administrere den skjenkede kontoen ved hjelp av Directory Connector, må du konvertere kontoen .
Endre format for brukernavn for Webex-appen etter katalogsynkronisering
Som standard tilordner Directory Connector attributtet displayName i Active Directory til displayName-attributtet i skyen.
Etter at du har utført en katalogsynkronisering, kan du oppleve at brukernavn vises i formatet<lastName, firstName=""> .
Dette brukernavnet kan vises hvis displayName-attributtet i Active Directory er konfigurert på denne måten. Når attributtet er tilordnet til displayName i skyen vises navn i formatet<lastName, firstName=""> i Control Hub.
Hvis du vil endre formatet, i skjermbildet for tilordning av attributter for Directory Connector: tilordne Active Directory -attributtet givenName sn(eller sn givenName) til displayName i Cisco Cloud Attribute Names.
Du kan også tilordne attributtet sn givenName til displayName:
Du kan også bruke alternativet Tilpass attributt hvis du vil tilordne ditt eget tilpassede attributtuttrykk til displayName.
Angi for eksempel givenName + "" + sn(fornavn, mellomrom, etternavn) som uttrykk. Dette tilordner de to attributtene i Active Directory til displayName i skyen.
Tillat brukere å endre visningsnavn i Webex Meetings
Du kan oppheve tilordningen av displayName-attributtet fra synkronisering til skyen i Directory Connector hvis du vil la brukere redigere sine foretrukne visningsnavn. Brukere kan angi et visningsnavn som skal vises under Webex-møter i stedet for for- og etternavnet. Administratorer kan også endre visningsnavn for en bruker manuelt i Control Hub.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tilordning av brukerattributter . |
| 2 | Velg visningsnavn under Navn på Cisco Cloud . |
| 3 | Velg Ikke synkroniser dette attributtet . |
Hva nå?
Brukere kan nå redigere visningsnavnene fra Webex-nettsted .
Oppgrader til den nyeste programvareversjonen
For å holde distribusjonen i samsvar og få de nyeste funksjonene, funksjonaliteten, feilrettinger og sikkerhetsforbedringer, må du alltid oppgradere til den nyeste versjonen av Directory Connector. Hvis du ikke oppgraderer til den nyeste versjonen som er tilgjengelig, kan du få problemer, for eksempel at Directory Connector ikke lenger synkroniserer riktig eller bruker en versjon som ikke støtter det obligatoriske TLS 1.2-krav .
Katalogkobling varsler deg automatisk når en ny versjon er tilgjengelig. Oppgrader alltid til den nyeste versjonen for å unngå problemer. Du ser også et varsel på oppgavelinjen i Windows.
| Selv om du kan installere oppdateringer for koblingsprogramvare manuelt, anbefaler vi at du følger trinnene i Angi automatiske oppgraderinger for å la appen administrere oppgraderingene dine automatisk. |
| 1 | Klikk på varselet på oppgavelinjen i Windows, eller høyreklikk på Katalogkobling-ikonet på oppgavelinjen i Windows for å starte oppgraderingsprosessen. |
| 2 | Følg instruksjonene for å fullføre oppgraderingen. |
| 3 | Start koblingen på nytt, og logg på med administratorlegitimasjonen din. |
| 4 | Kontroller versjonsnummeret til programvaren under . |
Hva nå?
For en ny installasjon av Directory Connector kan du laste ned zip-filen og følg deretter installasjonstrinnene i denne veiledningen.
Konfigurer generelle innstillinger for Directory Connector
Bruk denne fremgangsmåten til å konfigurere generelle innstillinger, for eksempel navnet på serveren som kjører Directory Connector, loggnivåer, automatiske oppgraderinger og foretrukne innstillinger for domenekontrollerne. Navnet på kontakten vises på instrumentbordet i koblingsdelen, sammen med eventuelle andre kontakter som kjører.
| 1 | Fra Katalogkobling går du til Konfigurasjon , og klikk deretter Generelt . | ||
| 2 | I Koblingsnavn -feltet, skriver du inn kontaktnavnet. Dette feltet viser bare datamaskinnavnet som for øyeblikket kjører kontakten. | ||
| 3 | Velg loggnivå fra rullegardinlisten. Som standard er loggnivået satt til info . De tilgjengelige loggnivåene er:
| ||
| 4 | Velg Foretrukne domenekontrollere for å angi rekkefølgen på domenekontrollere for synkronisering av identiteter. Domenekontrollerne er tilgjengelige fra topp til bunn. Hvis den øverste kontrolleren ikke er tilgjengelig, velger du den andre kontrolleren på listen. Hvis ingen kontroller er oppført, har du tilgang til primærkontrolleren. | ||
| 5 | Sjekk Oppgrader automatisk til den nye versjonen av Cisco Directory Connector hvis du vil at automatiske oppgraderinger skal skje. Det er alltid viktig å holde Cisco Directory Connector-programvaren oppdatert til den nyeste versjonen. Vi anbefaler at du kontrollerer denne innstillingen for å tillate at automatiske oppgraderinger av programvaren installeres stille når de er tilgjengelige. | ||
| 6 | Sjekk LDAP over SSL for å bruke sikker LDAP (LDAPS) som tilkoblingsprotokoll.
LDAP (Lightweight Directory Application Protocol) og Secure LDAP (LDAPS) er tilkoblingsprotokollene som brukes mellom et program og domenekontrolleren i infrastrukturen. LDAPS-kommunikasjon er kryptert og sikker. |
Konfigurer koblingspolicyen
Du kan angi maksimalt antall slettinger som kan skje under synkronisering. Når du kjører synkronisering, slettes ikke objekter fra den lokale Active Directory. Alle objekter slettes bare fra skyen.
Du angir for eksempel 1 som utløserverdi for sletteterskel. Når du foretar full eller trinnvis synkronisering, og antallet brukere du vil slette er mer enn innstillingen, viser katalogkontakten en advarsel. Hvis du klikker Overstyr terskel , kan du starte full eller trinnvis synkronisering, men du vil se dette overstyringsvarselet neste gang du kjører policyen.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Retningslinjer . | ||
| 2 | Sjekk Aktiver utløser for sletteterskel hvis du vil legge til en terskelutløser. Hvis du velger dette alternativet, utløses et varsel hvis antall slettinger overskrider terskelen. Når slettekontoen overskrider den du angir, mislykkes synkroniseringen.
| ||
| 3 | Angi maksimalt antall slettinger du vil bruke. Standarden er 20.
| ||
| 4 | Klikk på Bruk. |
Angi tidsplan for kobling
Angi tidspunkt for synkronisering i Active Directory. Failover brukes for høy tilgjengelighet (HA). Hvis én kontakt er nede, bytter vi til en annen standby-kontakt etter det forhåndsdefinerte intervallet.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tidsplan . |
| 2 | Angi Inkrementelt synkroniseringsintervall på minutter. Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt. Den fullstendige trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering. |
| 3 | Endre Send rapporter per… gang verdi hvis du vil endre hvor ofte rapporter sendes. |
| 4 | Sjekk Aktiver tidsplan for full synkronisering for å angi dagene og tidspunktene du vil at en full synkronisering skal skje. |
| 5 | Angi Failover-intervall på minutter. |
| 6 | Klikk på Bruk. |
Flere domenescenarier
Flere domener er basert på domeneprioritet. For objekter som har samme nøkkelverdi i forskjellige domener, etter synkronisering, vil dataene fra domenet med høyere prioritet skrive om dataene fra domenet med lavere prioritet.
Objekter som har samme nøkkelverdi, kobles til én oppføring i databasen.
Nøkkelverdien for «Bruker» er E-postadresse ; nøkkelverdien for «Gruppe» er Gruppenavn .
Eksempel på bruksanvisning for flere domener
Dette eksemplet forutsetter en organisasjon med to domener – eksempel1.com og eksempel2.com, i prioritert rekkefølge.
Legg til bruker1(e-post: bruker@example1.com) til Active Directory for eksempel1.com.
Legg til gruppe1(Gruppenavn: Test) til Active Directory for example1.com.
Legg til bruker2(e-post: bruker@example2.com) til Active Directory for eksempel2.com.
Legg til gruppe2(Gruppenavn: Test) til Active Directory for example2.com.
- Synkronisering på example1.com
-
Som et brukscase er bruker2 og gruppe2 synkronisert til skyen og vises ihttps://admin.webex.com , mens bruker1 og gruppe1 ikke er det.
Hvis du utfører en fullstendig eller trinnvis synkronisering for example1.com, synkroniseres bruker1 og gruppe1. Dessuten overskrives bruker2 og gruppe2 av informasjonen til bruker1 og gruppe1.
Bruker1 kobler til bruker2 som den samme oppføringen i databasen; gruppe1 kobler gruppe2 som den samme oppføringen i databasen.
- Synkronisering på example1.com og example2.com
-
Som et brukscase er bruker2 og gruppe2 synkronisert til skyen og vises ihttps://admin.webex.com , mens bruker1 og gruppe1 ikke er det.
Vurder disse trinnene:
- Slett bruker1 og gruppe1 i Active Directory for example1.com.
- Utfør en fullstendig eller trinnvis synkronisering for eksempel1.com.
Resultat: brukerens informasjon endres ikke ihttps://admin.webex.com . Bruker2 er ikke koblet til bruker1, og gruppe2 er ikke koblet til gruppe1.
- Utfør en trinnvis synkronisering for example2.com.
Resultat: brukerens informasjon endres ikke ihttps://admin.webex.com .
- Utfør en fullstendig synkronisering for example2.com.
Resultat: Informasjonen til bruker2 og gruppe2 er oppført ihttps://admin.webex.com .
Synkronisere et nytt domene og behold et eksisterende domene
Hvis du vil synkronisere et nytt domene (B) mens du opprettholder de synkroniserte brukerdataene på et annet eksisterende domene (A), må du sørge for at du installerer Directory Connector for domene (B)-synkronisering på en støttet Windows-server. Koblingen bindes til det nye domenet etter det første oppsettet, og brukerinformasjon under domene (A) forblir upåvirket.
Hvert domene må ha sin egen aktive kobling. Vurder to domener med følgende oppsett: domene A med kontakter (ca1) og (ca2) for lokal høy tilgjengelighet (HA); domene B med kontakt (cb1). (ca1) og (ca2) betjener domene A. I dette scenariet er én kontakt aktiv og den andre i ventemodus (HA). Denne utformingen holder domenet synkronisert, fordi én kobling alltid er aktiv. Så cb1 er den aktive kontakten for domene B, fordi domene A allerede har en aktiv kontakt (ca1 eller ca2).
Angi domeneprioritet
Bruk denne fremgangsmåten til å endre prioriteten til Active Directory -domenene dine. Domeneprioritet lar deg bestemme primærdomenet, sekundært domene og så videre. Dette hjelper når to brukere fra to forskjellige domener har samme e-postverdi synkronisert til én organisasjon.
Ikke bruk denne fremgangsmåten hvis du har ett enkelt domene oppført i katalogkoblingen. Hvis du prøver, viser koblingen deg en melding om at domeneprioritet ikke er nødvendig.
Før du starter
Hvis du vil unngå feil, installerer eller oppgraderer du til den nyeste versjonen av Cisco-katalogkontakt. Du må laste den ned frahttps://admin.webex.com .
| 1 | Fra Cisco-katalogkontakt klikker du på Instrumentbord . | ||
| 2 | Gå til Handlinger , og klikk deretter Angi domeneprioritet . | ||
| 3 | Uthev ett domene i listen, klikk på Opp eller Ned for å endre dette domenets prioritet, og klikk deretter på Lagre for å lagre denne endringen.
|
Bytt domener
Bruk denne fremgangsmåten til å koble Cisco-katalogkontakten til et annet domene på nytt.
Før du starter
Kontroller at ingen synkroniseringsoppgaver kjører før du bytter domener.
Hvis du vil unngå feil, installerer eller oppgraderer du til den nyeste versjonen av Cisco-katalogkontakt. Du må laste den ned fra Kontrollhub .
| 1 | Fra Cisco-katalogkontakt klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter Bytt domene . |
| 3 | Når du har lest advarselen, hvis du forstår hvilken innvirkning denne endringen har på distribusjonen, og du fortsatt er sikker, klikker du på Ja . Hvis du bytter domene, blir du logget av den gjeldende Cisco-katalogkontakten, andre domener i kontakten blir avregistrert, og kontaktinformasjonen på den datamaskinen slettes. |
| 4 | Logg på Cisco-katalogkontakten igjen, og bind domenet på nytt. |
Slå av katalogsynkronisering
Hvis du må stoppe synkroniseringen fra Directory Connector, kan du midlertidig slå den av fra Control Hub.
| 1 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Katalogsynkronisering , og velg deretter én:
|
| 2 | Når du har lest ledeteksten, klikker du på Slå av . Synkroniseringen stopper til du aktiverer den på nytt fra Katalogkobling. |
Fjern tilordning av brukerattributter
Bruk Katalogkobling til å fjerne tilordningen for Active Directory -attributter som tidligere var tilordnet til skyen og synkronisert til Webex. Når du har fjernet attributtilordningen, fjernes attributtverdiene fra skyen og synkroniseres ikke lenger til Webex. Disse verdiene kan deretter redigeres manuelt.
| 1 | Fra Katalogkobling klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter . |
| 3 | Velg tilordningen som skal fjernes fra Attributtnavn listen. |
| 4 | Under Berørt brukeromfang , velger du ett av følgende:
|
| 5 | Klikk på Bruk. |
Behandle profilbilder
Bruk Katalogkobling til å oppdatere brukerprofil eller til å fjerne tomme brukerprofil .
| 1 | Fra Katalogkobling klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter . |
| 3 | Under Handlinger , velger du ett av følgende:
|
| 4 | Klikk på Bruk. |
Avinstaller og deaktiver katalogkobling
Når du har avinstallert en forekomst av Directory Connector, må du avregistrere den. Fjern en katalogkobling fullstendig for disse scenariene:
Du vil ikke bruke katalogsynkronisering lenger.
Du vil ikke bruke én av flere katalogkoblinger (høy tilgjengelighet).
Du vil endre domenet og installere en annen kobling.
Før du starter
Du kan ha flere forekomster av Directory Connector konfigurert for synkronisering med høy tilgjengelighet (HA) eller flere domenesynkronisering. Deaktiver synkroniseringen hvis du avinstallerer den eneste eller siste gjenværende forekomsten av Directory Connector.
Lagre og lukk viktig arbeid før du avinstallerer Directory Connector.
| 1 | Fra Windows-maskinen går du til Kontrollpanel, og klikker deretter på Programmer og funksjoner . |
| 2 | Fra programlisten klikker du på Katalogkobling , velg Avinstaller , og følg deretter ledeteksten. Du må kanskje starte systemet på nytt for å fullføre avinstallasjonen. |
| 3 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Katalogsynkronisering , klikk mer |
| 4 | Når du har lest ledeteksten, klikker du på Deaktiver . Med mindre det finnes en annen katalogkobling i en distribusjon med høy tilgjengelighet (HA), synkroniseres ikke brukerkontoer lenger. |
Kjør diagnoseverktøyet
Du kan bruke det innebygde feilsøkingsverktøyet til å feilsøke Directory Connector-distribusjonen. Dette verktøyet er installert som en del av Directory Connector 3.4 og nyere.
Hvis synkroniseringen ikke fungerte som den skal, kan det hende du har en konfigurasjons- eller nettverksfeil. Dette verktøyet tester tilkoblingen din til LDAP slik at du kan diagnostisere feil selv før du kontakter kundestøtte. Hvis verktøyet returnerer en feil, kan du sende de detaljerte loggresultatene til kundestøtte.
Slik kjører du tester for Active Directory -domenetjenester:
Slik kjører du tester for Active Directory Lightweight Directory-tjenester:
Slik kjører du tester for LDAP ( Lightweight Directory Access Protocol ):
Feilsøking og rettelser for Directory Connector
Du kan støte på en feilmelding eller et annet problem i Directory Connector. Etter at Directory Connector synkroniserer brukerinformasjon, kan det også hende at koblingen sender deg en e-postrapport som viser eventuelle problemer med synkroniseringen. Se avsnittene nedenfor for problemer som kan oppstå, mulige årsaker og forslag til løsninger du kan prøve før du kontakter kundestøtte.
Installerer
Katalogkobling sluttet å fungere
Du mottok e-postvarsel som varsler deg om at katalogkoblingen ikke fungerer.
Katalogkobling er kanskje ikke riktig installert.
Directory Connector kjører kanskje ikke.
Nettverket er kanskje ikke tilgjengelig.
Prøv følgende:
Åpne . Finn Katalogkobling. Hvis den ikke er der, laster du ned den nyeste versjonen fra Control Hub og installerer den.
Åpne Tjeneste og finn Cisco DirSync-tjeneste. Kontroller at den viser statusen som Startet . Hvis tjenesten er stoppet, høyreklikk du og velger Start for å starte tjenesten på nytt.
Kontroller at serveren du installerte katalogkoblingen på, har tilgang til Internett.
Feil ved reinstallasjon
Problem –Hvis du umiddelbart installerer en ny kontakt etter at du har avinstallert en gammel, kan det hende at du ser en feilmelding.
Mulig årsak – I Windows Server 2012 trenger avinstallasjonsklienten tid til å slette tjenestekonto fra tjenestelisten.
Løsning – Når det har gått litt tid, kan du prøve installasjonen på nytt.
Logg på
Katalogkobling krasjer under SSO-pålogging
Problem
Katalogkobling kan krasje etter at du angir en e-postadresse fra en SSO-påloggingsside.
Løsning
Prøv følgende:
Gjør følgende for å konfigurere en ny gruppepolicy:
Gå til domenekontrolleren og åpne administrasjon av gruppepolicy (gpedit.msc).
Høyreklikk på en bestemt organisasjonsenhet eller et bestemt domene, og velg Opprett et GPO på dette domenet , og Koble den her…
Gi retningslinjen et navn, høyreklikk og velg Rediger .
Gjør følgende for å endre policyen på maskinnivå:
Gå til , høyreklikk Register , velg Nyhet , og deretter Registerelement .
For Nøkkelbane , angi eller gå til HKEY_ LOKALT_ MASKIN\SOFTWARE\Microsoft\ Internet Explorer\Main .
Oppgi
Disable Script Debuggerfor Verdi , og anginofor Verdidata .Innstillingene skal samsvare med dette skjermbildet:
Gjør følgende for å endre retningslinjene på brukernivå:
Gå til , høyreklikk Register , velg Nyhet , og deretter Registerelement .
For Nøkkelbane , angi eller gå til HKEY_ GJELDENDE_ BRUKER\SOFTWARE\Microsoft\ Internet Explorer\Main .
Oppgi
Disable Script Debuggerfor Verdi , og anginofor Verdidata .Innstillingene skal samsvare med dette skjermbildet:
| Endringene trer i kraft etter at du har kjørt |
Kunne ikke registrere Cisco DirSync Service Connector
Problem
Pålogging mislykkes, og denne meldingen vises: «Kunne ikke registrere Cisco DirSync Service Connector.»
Løsning
Windows-systemet som Directory Connector er installert på, må være medlem av Active Directory.
Det vises ingen påloggingsside
Problem
Du åpnet Directory Connector, og påloggingssiden ble ikke vist.
Løsning
Prøv følgende trinn:
I Internet Explorer går du tilhttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL . Prøv koblingen i andre nettlesere som Chrome og Firefox.
Hvis Internet Explorer ikke kan besøke koblingen, men andre nettlesere kan, kontrollerer du innstillingene for Internet Explorer og merker av for TLS 1.1 og 1.2. (Bruk Aktiver TLS i Internet Explorer prosedyre.)
Melding om pålogging vises
Problem
Det vises en melding som ber deg om å angi brukernavn og passord for å sende godkjenningen.
Mulig årsak
Katalogkoblingen fullfører NTLM-sikkerhetsgodkjenning lydløst med påloggingskontoen. Hvis autentiseringen mislykkes, vises en dialogboks der du blir bedt om brukernavn og passord for autentiseringen.
Løsning
Når du ser popup-vinduet for pålogging, må du oppgi en gyldig konto med riktig autentisering for å sende sikkerhet.
Kan ikke koble til den eksterne serveren
Problem
Under normal drift vises feilmelding : «Kan ikke koble til den eksterne serveren.»
Mulig årsak
Du kan ha proxy-problemer som må løses.
Løsning
Se Feilsøke innloggingsproblemer for tjenestekonto for mer feilsøkingsinformasjon.
Kan ikke registrere koblingen
Problem
Du ser feilmelding «Kan ikke registrere kontakten. Det oppstod et generelt unntak.»
Mulig årsak
I de fleste tilfeller skyldes problemet at katalogkoblingen ikke har tillatelse til å koble til LDAP-rotkontekst.
Løsning
Prøv følgende:
Kjør en ledetekst (cmd), og skriv deretter inn ldp.exe .
Klikk på , velg Bind som pålogget bruker , og klikk deretter OK .
Klikk på , angi DC=arbonneintl,DC=ad som BaseDN, og klikk deretter OK .
Hvis problemet vedvarer, åpne en sak med støtte .
Synkronisering
Avatarer ikke synkronisert
Problem
Cisco-katalogkoblingen synkroniserte bruker-AD-data til Webex-skyen. Men ingen avatardata ble synkronisert.
Mulig årsak
Hvis du brukte en eksisterende avatarserver på nytt og brukeravatarene allerede var synkronisert, registrerer den lokale hurtigbufferen dem og unngår å sende på nytt for å spare båndbredde.
Løsning
Slett den lokale hurtigbufferen ved å følge denne fremgangsmåten:
Gå til C:\Program Files (x86)\ Cisco Systems\Cisco Directory Connector\Plugins\
Slett DirSyncPluginAvatar.dll-cache.bin .
Kjør avatarsynkroniseringen på nytt fra Cisco-katalogkontakten.
Motstridende e-postkontoer for brukere
Problem
Synkroniseringsresultater kan vise motstridende e-postkontoer for brukere.
Hvis brukere prøvde gratisversjonen av Webex-appen, ligger e-postadressene deres i den gratis forbrukerorganisasjonen.
Hvis brukere-e-poster noen gang ble synkronisert i en annen organisasjon.
Hvis e-postadresser for brukere finnes i flere domener som tilhører organisasjonen.
Løsning
Prøv følgende:
Følg denne fremgangsmåten hvis du prøver å gjøre krav på brukere:
Kontroller at du har bekreftet domenet i Control Hub .
Deaktiver Cisco-registerkobling midlertidig.
Bruk alternativet Krev bruker i Control Hub til å gjøre krav på alle kontoer som finnes i den gratis forbrukerorganisasjonen. Se Krev brukere til organisasjonen din (Konverter brukere) hvis du vil ha mer informasjon.
Gjør en tørrkjøring i Cisco Directory Connector, og aktiver deretter katalogsynkronisering på nytt
I det siste tilfellet dobbeltsjekker du brukerdataene i Active Directory -kildene.
Konvertert bruker merket som inaktiv
Problem
I det synkroniserte katalogmiljøet konverterte du en gratis bruker (forbrukerorganisasjon) til bedriftsorganisasjonen, men den konverterte brukeren kan ikke logge på Webex-appen.
Mulig årsak
Når den gratis brukeren konverteres til bedriftsorganisasjonen, merkes brukeren som inaktiv status i 30 dager som et sikkerhetstiltak. I løpet av denne perioden kan ikke brukeren logge på Webex-appen og merkes for sletting på slutten av 30-dagersperioden. Denne situasjonen oppstår fordi den gratis brukerinformasjon ikke finnes i Active Directory.
Løsning
Du må iverksette tiltak hvis du ikke vil at brukerkonto skal slettes. Du kan løse dette problemet ved å opprette en brukerkonto i den lokale Active Directory som tilsvarer den konverterte gratis brukerkonto. Deretter utfører du en synkronisering fra Cisco-registerkoblingen. Deretter kan brukeren logge på Webex-appen igjen, og kontoen blir ikke slettet.
Inkrementell synkronisering mislykkes
Problem
En trinnvis synkronisering mislykkes.
Dette problemet kan oppstå på Windows Server 2008 R2 under følgende forhold:
Du støtter trinnvise verdioppdateringer.
Filteret du bruker, refererer til et koblet verdiattributt.
Resultatverdiene for dette attributtet ble oppdatert siden forrige gang en full synkronisering ble utført.
Løsning
Windows Server 2008 R2 har en feil som er relatert til dette problemet. Feilen er rettet i 2012 R2 og nyere. Vi anbefaler at du oppgraderer Windows Server til minst 2012 R2.
Ugyldig verdi for attributt
Problem
For [user dn (distinguished name)] har attributtet [attribute name] følgende ugyldig verdi [attributtverdi].
Mulig årsak
For CN=b,OU=Employees,OU=C Users,DC=c,DC=com, har attributtet [telefonnummer] følgende ugyldig verdi: +. Dette attributtet må inneholde minst ett tall.
Løsning
Et attributt for denne brukeren har ikke en gyldig verdi. Rett verdien i henhold til beskrivelsen i advarselsmelding. Utfør deretter en ny synkronisering.
Samsvarende brukere som skal slettes
Problem
De samsvarende brukerne er merket for å bli slettet.
Når du utfører en tørrkjøringssynkronisering for å sjekke dataene mellom Active Directory og skyen, kan det hende du ser den samme e-postadresse i begge. Brukeren er imidlertid merket som et objekt som skal slettes.
Løsning
Velg en passende løsning:
Hvis det er greit å slette brukeren og gjøre om lisensene etterpå, kan du bruke Katalogkobling for å løse problemet. Utfør en synkronisering for å slette brukeren, og utfør deretter en ny synkronisering for å synkronisere brukeren fra lokal AD til skyen.
Hvis du ikke kan slette og opprette brukerkonto på nytt, åpne en sak med støtte .
Mangler attributt
Problem
Det obligatoriske attributtet [attribute_name ] når du legger til en lokal oppføring [user dn (distinguished name)]. Oppføringen opprettes ikke i Control Hub før alle obligatoriske attributter har en verdi.
Mulig årsak
E- e-postadresse for det obligatoriske attributtet mangler. Når du legger til den lokale oppføringen [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], opprettes ikke oppføringen i Control Hub før alle obligatoriske attributter har en verdi.
Løsning
Ett av de obligatoriske attributtene mangler for brukeren [user_email_address ]. Angi de nødvendige verdiene for denne brukeren.
Nestet gruppe vil ikke synkroniseres
Problem
Brukere i en nestet Active Directory -gruppe synkroniseres ikke riktig til skyen.
Mulig årsak
Det brukes et filter som inkluderer både den underordnede gruppen og den overordnet gruppe, noe som ikke støttes. For eksempel: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Løsning
Du må konfigurere filteret som synkroniserer grupper på nytt. For eksempel: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
Brukernavnekonflikt
Problem
Det er en navnekonflikt for [user dn] for et eksisterende skyoppføringsobjekt med navnet: [user e-postadresse], og av brukertype [user_type ].
Mulig årsak
En bruker med den e-postadresse finnes allerede i Control Hub.
Løsning
Opprett en bruker i Active Directory med samme e-postadresse som kontoen du registrerte via Control Hub.
Control Hub
Brukerliste mangler i Control Hub
Problem
Hvis du har en Webex-organisasjon med mer enn 1000 synkroniserte brukere, kan det hende at du ikke ser brukerliste i Control Hub.
Løsning
Du kan bruke søkefunksjonen til å finne en brukerkonto. I Control Hub går du til Brukere , klikk på søk
, og angi deretter søkekriterier for å finne en bestemt bruker.
Grupper vil ikke synkroniseres til Control Hub
Problem
Brukere i en kataloggruppe synkroniseres ikke riktig til Control Hub.
Mulig årsak
Gruppen er ikke merket som isCriticalSystemObject i Active Directory.
Løsning
Kontroller at attributtet isCriticalSystemObject er angitt til TRUE i Active Directory.
Aktiver feilsøking for katalogkobling
Du kan aktivere feilsøking for å diagnostisere eventuelle feil du støter på i Directory Connector. Feilsøking lar deg fange opp informasjon om nettverkstrafikken og lagre den i en fil.
Loggfilene som er: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 | Kjør | ||
| 2 | Start tjenesten på nytt. Se Slik starter du tjenester for veiledning. | ||
| 3 | I Katalogkobling klikker du på Instrumentbord . | ||
| 4 | Gå til Handlinger , og klikk deretter . | ||
| 5 | Når feilsøking er aktivert, gjentar du handlingene som forårsaket feilen. dette fanger opp trafikkdataene slik at de kan undersøkes. | ||
| 6 | Undersøk loggfilene: Hvis filen er tom, må du kontrollere at kontoen har tilgangsrettigheter til AD DS eller AD LDS.
| ||
| 7 | Send om nødvendig loggfil til kundestøtte for å få hjelp. | ||
| 8 | Deaktiver feilsøkingsfunksjonen når du er ferdig. |
Start Event Viewer
Hvis du vil se hendelsene som oppstod under en fullstendig eller trinnvis synkronisering, starter du Hendelsesliste. Den viser et sammendrag av administrative hendelser og feillogger.
| 1 | Fra Katalogkobling går du til Instrumentbord , og klikk deretter . Dialogboksen Egenskaper for hendelse viser detaljene for synkroniseringshendelsen og feilinformasjonen. |
| 2 | Fra Event Viewer, gå til .
|
| 3 | Under Handlinger , klikk Lagre alle hendelser som for å eksportere alle loggene som én enkelt hendelsesfil (*.evtx) eller et annet format, for eksempel xml eller csv. |
Hva nå?
Hvis du må åpne en sak, ta kontakt med kundestøtte , beskriv problemet med kontakten, og legg deretter ved hendelser-filen til saken.
| Hendelseslogger registrerer brukerhandlinger. Hvis du vil ha hjelp til å administrere nettverkstrafikk, aktiverer du feilsøking på kontakten. |
Aktiver TLS i Internet Explorer
Hvis du byttet leverandør av engangspålogging (SSO), kan det hende du ser følgende feilmeldinger fra Cisco-katalogkontakt:
Det oppstod en feil ved pålogging til tjenesten
Det har oppstått en feil i skriptet på denne siden
Hvis du ser disse feilene, må du aktivere en TLS-innstilling i nettleseren.
| 1 | Åpne Internet Explorer, og velg deretter Verktøy . Nå merker du av for TLS/SSL-versjonen du vil aktivere. Klikk på OK Lukk nettleseren og åpne den på nytt |
| 2 | Klikk på Alternativer for Internett , gå til Avansert , bla til Sikkerhet . |
| 3 | Sjekk Bruk TLS 1.1 og Bruk TLS 1.2 avmerkingsboksene, og klikk deretter på OK .
|
| 4 | Start systemet på nytt for at endringene skal tre i kraft. |
Feilsøke innloggingsproblemer for tjenestekonto
Hvis du ikke kan logge på Cisco-registerkontakt eller ikke kan kjøre en synkronisering, bruker du disse trinnene for å prøve å løse problemet før du kontakter kundestøtte.
| 1 | Prøv å besøkehttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL i nettleseren din. | ||
| 2 | Velg én, avhengig av resultatene:
| ||
| 3 | Kontroller som et minimum at den konfigurerte kontoen for Cisco DirSync-tjenesten (som finnes i Windows-tjenester) har et rettighetsnivå som gir den tilgang til avatardata og AD-data. Som standard bruker tjenesten påloggingsinformasjonen og autentiseringen for Windows-påloggingskontoen. |
Sjekk SafeDllSearchMode i Windows-registeret
Søkemodus for Safe dynamic link library (DLL) angis som standard i Windows-registret og plasserer brukerens gjeldende katalog senere i DLL-søkefølgen. Hvis denne modusen på en eller annen måte ble deaktivert, kan en angriper plassere en skadelig DLL (kalt det samme som en referert DLL-fil som ligger i systemmappen) i gjeldende arbeidskatalog for programmet.
Vanligvis er SafeDllSearchMode aktivert, men bruk denne fremgangsmåten til å dobbeltsjekke registerinnstillingene.
Før du starter
| Endringer i Windows-registret bør gjøres med ekstrem forsiktighet. Vi anbefaler at du tar en sikkerhetskopi av registeret før du bruker disse trinnene. |
| 1 | I Windows-søk eller Kjør-vinduet skriver du inn regedit og trykk deretter på Gå inn . |
| 2 | Gå til HKEY_ LOKALT_ MASKIN\System\CurrentControlSet\Control\Session Manager . |
| 3 | Velg én:
|
Hvis du vil ha mer informasjon, se Søkerekkefølge for dynamisk koblingsbibliotek .
Oversikt over katalogkobling
Katalogkobling er et lokalt program for identitetssynkronisering i skyen. Du laster ned kontaktprogramvaren fra Control Hub og installerer den på din lokale maskin.
Med Directory Connector kan du vedlikeholde brukerkontoene og dataene i Active Directory, slik at Active Directory blir den eneste kilden til sannhet. Når du gjør en endring lokalt, blir den replikert til skyen.
Se alle funksjonene, beskrivelsene og fordelene i tabellen:
| Funksjon | Beskrivelse og fordel |
|---|---|
| Brukervennlig instrumentbord | Instrumentbordet inneholder en synkroniseringsplan, et sammendrag og status for synkroniseringen, og statusen for katalogkoblingen. Du kan vise instrumentbordet når du logger på. |
| Tørrkjør før synkronisering til skyen | Gjennomfør en tørrkjøring med endringer i katalogen før de implementeres i skyen. Kjør deretter en rapport for å se at endringene du vil gjøre, er de du forventer. |
| Full og trinnvis synkronisering | Synkroniser hele katalogen. Eller bare synkroniser de trinnvise endringene for å spare prosessorstrøm og forkorte synkroniseringstiden. |
Synkronisere flere domener (enkeltskog eller flere skoger) |
Katalogkobling støtter flere domener, enten under én enkelt skog eller under flere skoger (uten behov for AD LDS). For bedrifter med flere Active Directory -domener kan du installere en katalogkobling for hvert domene, binde hvert domene til organisasjonen og deretter synkronisere hver brukerbase til Webex. Control Hub gjenspeiler statusen ved å vise synkroniseringsstatusen for flere katalogkoblinger, lar deg slå av synkronisering for et bestemt domene og deaktivere en katalogkobling i en distribusjon med høy tilgjengelighet . |
| Planlagt synkronisering | Angi en synkroniseringsplan etter dag, time og minutt. |
| LDAP-filtre ( Lightweight Directory Access Protocol ). | Definer LDAP søkekriterier og gi effektiv import. |
| Active Directory -attributter | Tilordne Microsoft Active Directory -attributter til tilsvarende Webex-skyattributter. Du kan tilordne attributter som er relevante for Active Directory -konfigurasjonen din, og også definere egendefinerte attributter som skal tilordnes til skyen. Attributtene fra lokalene danner forskjellige data i skyen, for eksempel brukerkonto , bedriftstelefonnumre i Webex Teams, SIP-adresser for romressurser og andre kontaktkort for brukerkontakt (jobbtittel, avdeling, leder og så videre). |
Bedriftskatalog for lokale romressurser og brukere av Cisco Webex Calling (Cloud PSTN) og bedriftskontakter uten Webex-lisensiering |
Hvis en del av organisasjonen bruker Cisco Webex Calling sky PSTN for samtaletjeneste, eller du har lokale rom-enheter, lar denne funksjonen brukere søke i katalogen etter bedriftskontakter fra sine Cisco Webex Calling telefoner (PSTN i sky) eller romressurser.
|
| Hendelsesvisning | Bruk hendelsesvisningen til å finne ut om det var problemer med synkroniseringen. |
| Diagnoseverktøy og feilsøking | Du kan bruke det innebygde diagnoseverktøyet til å feilsøke distribusjonen av Cisco-registerkoblingen. Hvis synkroniseringen ikke fungerte som den skal, kan det hende du har en konfigurasjons- eller nettverksfeil. Dette verktøyet tester tilkoblingen til Active Directory, slik at du kan diagnostisere feil selv før du kontakter kundestøtte. Når du aktiverer feilsøking i Directory Connector, skrives det logger som kan sendes til teknisk støtte. |
| Automatisk oppgradering | Når du har installert Directory Connector, blir du sendt et varsel hver gang en ny versjon av programvaren er tilgjengelig. Du kan konfigurere automatiske oppgraderinger slik at du alltid bruker den nyeste versjonen av programvaren når en ny versjon utgis. |
| Høy tilgjengelighet | Konfigurer flere kontakter slik at det finnes en sikkerhetskopi, i tilfelle hovedkontakten eller maskinen som er vert for den, går ned. |
Katalogkobling er delt inn i tre områder:
Kontrollhub er det enkle grensesnittet som lar deg administrere alle aspekter av Webex-organisasjonen din: vise brukere, tilordne lisenser, laste ned Directory Connector og konfigurere engangspålogging (SSO) hvis du vil at brukerne skal autentisere seg gjennom bedriftsidentitetsleverandøren og du ikke vil sende e-postinvitasjoner for Webex-appen.
Administrasjonsgrensesnitt for katalogkobling er programvaren du laster ned fra Control Hub og installerer på en klarert Windows-server. For flere Active Directory -domener kan du installere ett øyeblikk av programvaren for hvert domene du vil synkronisere. Ved hjelp av programvaren kan du kjøre en synkronisering for å overføre Active Directory -brukerkontoene dine til Webex, vise og overvåke synkroniseringsstatus og konfigurere Directory Connector-tjenester.
Katalogsynkroniseringstjeneste spør Active Directory for å hente brukere og grupper som skal synkroniseres til koblingstjenesten og katalogkobling.
Se dette diagrammet for å forstå arkitekturen for katalogkobling:
Krav for katalogkobling
Krav til Windows og Active Directory
Du kan installere Directory Connector på disse støttede Windows-serverne:
Windows Server 2012
Windows Server 2019
Windows Server 2016
| For å løse et problem med informasjonskapsler anbefaler vi at du oppgraderer domenekontrolleren til en versjon som inneholder feilrettingen— Windows Server 2012 R2 eller 2016 . |
Katalogkobling støttes med følgende Active Directory -tjenester:
Active Directory 2016
(Katalogkobling støttes når du bruker den nyeste versjonen av Active Directory på Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008
Vær oppmerksom på følgende tilleggskrav:
Katalogkobling krever TLS1.2. Du må installere følgende:
.NET Framework v3.5 (obligatorisk for Directory Connector-programmet. Hvis du støter på problemer, kan du bruke veiledningen i Aktiver .NET Framework 3.5 ved hjelp av veiviseren for å legge til roller og funksjoner .)
.NET Framework v.4.5 (obligatorisk for TLS1.2)
Active Directory -skogfunksjonsnivå 2 (Windows Server 2003) eller høyere er obligatorisk. (Se Hva er funksjonsnivåer i Active Directory ? for mer informasjon.)
Maskinvarekrav
Du må installere Directory Connector på en datamaskin med disse minimumskravene til maskinvare:
8 GB RAM
50 GB lagringsplass
Ingen minimum for CPU
Nettverkskrav
Hvis nettverket ditt er bak en brannmur, må du kontrollere at systemet har HTTPS-tilgang (port 443) til Internett.
Krav til Webex-organisasjon
For å få tilgang til Directory Connector-programvaren fra Control Hub trenger du en Webex-organisasjon med en prøveversjon eller et betalt abonnement.
(Valgfritt) Hvis du vil at nye brukerkontoer for Webex-appen skal være aktive før de logger på første gang, anbefaler vi at du gjør følgende:
Legg til, bekreft og eventuelt gjør krav på domener som inneholder brukerens e-postadresser du vil synkronisere til skyen.
Utfør SSO engangspålogging ). til identitetsleverandøren (IdP) med Webex-organisasjonen din.
Undertrykk automatiske e-postinvitasjoner , slik at nye brukere ikke mottar den automatiske e-postinvitasjonen, og du kan lage din egen e-postkampanje. (Denne funksjonen krever SSO-integrering.)
| Hvis du vil ha mer informasjon, se Brukerstatuser og handlinger i Control Hub . |
Installasjonskrav
For et miljø med flere domener (enten én skog eller flere skoger), må du installere én katalogkobling for hvert Active Directory -domene. Hvis du vil synkronisere et nytt domene (B) mens du opprettholder de synkroniserte brukerdataene på et annet eksisterende domene (A), må du kontrollere at du har en egen støttet Windows-server for å installere Directory Connector for domene (B)-synkronisering.
For å logge på koblingen krever vi ikke en administrativ konto i Active Directory. Vi krever en lokal brukerkonto som er den samme brukeren som en fullstendig administratorkonto i Control Hub.
Denne lokale brukeren må ha rettigheter på den Windows-maskinen for å koble til domenekontrolleren og lese Active Directory -brukerobjekter. Maskinens påloggingskonto må være en administrator med rettigheter til å installere programvare på den lokale maskinen. (Denne informasjonen gjelder også for pålogging for virtuell maskin.)
Når du logger på koblingen, må påloggingskontoen være den samme som den fullstendige administratorkontoen for Control Hub. Som standard bruker koblingen den lokale systemkontoen for å få tilgang til Active Directory. Du kan imidlertid bruke Windows-tjenester til å konfigurere en annen konto for å få tilgang til Active Directory. (Denne informasjonen gjelder også for pålogging for virtuell maskin.)
Kontroller at søkemodusen for Windows Safe DLL (dynamic link library) er aktivert ved hjelp av denne fremgangsmåten: Sjekk SafeDllSearchMode i Windows-registeret .
Hvis du bruker AD LDS for flere domener i én enkelt skog, anbefaler vi at du installerer katalogkobling og Active Directory Domain Service/ Active Directory Lightweight Directory Services (AD DS/AD LDS) på separate maskiner.
Krav til flere domener
Før du følger oppgavene i Oppgaveflyt for distribusjon av Cisco-katalogkontakt , må du huske på følgende krav og anbefalinger hvis du skal synkronisere Active Directory -informasjon fra flere domener til skyen:
Det kreves en egen forekomst av Directory Connector for hvert domene.
Katalogkoblingsprogramvaren må kjøres på en vert som er på samme domene som den skal synkronisere.
Vi anbefaler at du bekrefter eller gjør krav på domenene dine i Control Hub. (Se Legg til, bekreft og gjør krav på domener .)
Hvis du vil synkronisere mer enn 50 domener, må du åpne en billett for å få organisasjonen flyttet til en stor organisasjonsliste.
Om ønskelig kan du synkronisere romressursinformasjon sammen med brukerkontoer. (Se Synkronisere lokal rominformasjon til Webex Cloud .)
Anbefalinger for Active Directory gruppe for automatisk lisenstilordning
Active Directory -grupper brukes til å samle brukerkontoer, datakontoer og andre grupper i administrerbare enheter. Arbeid med grupper i stedet for med individuelle brukere bidrar til å forenkle nettverksvedlikehold og -administrasjon.
Det finnes to typer grupper i Active Directory:
Distribusjonsgrupper – Brukes til å opprette distribusjonslister for e-post.
Sikkerhetsgrupper – Brukes til å tilordne tillatelser til delte ressurser.
Vurder følgende retningslinjer når du oppretter grupper i Active Directory:
Opprett en global gruppe for hver rolle, avdeling eller tjeneste (for eksempel salg, markedsføring, ledere, regnskapsførere, Webex-lisensiering og så videre).
Bruk standard navnekonvensjoner på tvers av organisasjonen for å gjøre det enkelt å identifisere viktig informasjon om en gruppe. Gruppenavn kan inneholde detaljer om gruppen, for eksempel tilgangsnivå, ressurstype, sikkerhetsnivå, gruppeomfang, e-postfunksjon og så videre. for eksempel gruppenavn «GSG_ Webex_ Licensing_ EMEAR» refererer til en global sikkerhetsgruppe for EMEAR-brukere med Webex-lisensiering.
Organiser grupper på en lettfattelig måte, for eksempel etter geografi eller lederhierarki. Bruk gruppebeskrivelser for å fullstendig beskrive formålet med gruppen.
Før du legger til brukere i nylig klargjorte grupper, må du definere malen for automatisk lisensgruppe i Control Hub for disse gruppene. Se Konfigurer malen for automatisk lisenstildeling hvis du vil ha mer informasjon.
Størrelsesinformasjon
Katalogkobling fungerer som en bro mellom den lokale Active Directory og Webex-skyen. Som sådan har ikke koblingen en øvre grense for hvor mange Active Directory -objekter som kan synkroniseres til skyen. Eventuelle begrensninger for lokale katalogobjekter er knyttet til den spesifikke versjonen av og spesifikasjonene for Active Directory -miljøet som synkroniseres til skyen, ikke til selve koblingen.
Noen få faktorer kan påvirke hastigheten på synkroniseringen:
Totalt antall Active Directory -objekter. (En synkroniseringsjobb på 5000 brukere vil ikke ta så lang tid som 50000.)
Nettverkshastighet og båndbredde.
Systemarbeidsmengde og spesifikasjoner.
| Hvis du synkroniserer mer enn 50 000 brukere, anbefaler vi på det sterkeste at du bruker en ny kontakt for failover og redundans. |
| Siden flere faktorer er involvert i synkronisering, og fordi hver distribusjon varierer avhengig av faktorene ovenfor, kan vi ikke oppgi spesifikke tidsverdier for hvor lang tid en objektsynkronisering vil ta. |
Sjekk SafeDllSearchMode i Windows-registeret
Søkemodus for Safe dynamic link library (DLL) angis som standard i Windows-registret og plasserer brukerens gjeldende katalog senere i DLL-søkefølgen. Hvis denne modusen på en eller annen måte ble deaktivert, kan en angriper plassere en skadelig DLL (kalt det samme som en referert DLL-fil som ligger i systemmappen) i gjeldende arbeidskatalog for programmet.
Vanligvis er SafeDllSearchMode aktivert, men bruk denne fremgangsmåten til å dobbeltsjekke registerinnstillingene.
Før du starter
| Endringer i Windows-registret bør gjøres med ekstrem forsiktighet. Vi anbefaler at du tar en sikkerhetskopi av registeret før du bruker disse trinnene. |
| 1 | I Windows-søk eller Kjør-vinduet skriver du inn regedit og trykk deretter på Gå inn . |
| 2 | Gå til HKEY_ LOKALT_ MASKIN\System\CurrentControlSet\Control\Session Manager . |
| 3 | Velg én:
|
Hvis du vil ha mer informasjon, se Søkerekkefølge for dynamisk koblingsbibliotek .
Web-proxy-integrering
Web-proxy-integrering
Hvis nettproxy-autentisering er aktivert i miljøet ditt, kan du fortsatt bruke Katalogkobling.
Hvis organisasjonen bruker en gjennomsiktig nettproxy, støtter den ikke autentisering. Kontakten kobler til og synkroniserer brukere.
Du kan bruke en av disse tilnærmingene:
Eksplisitt nettproxy via Internet Explorer (koblingen arver innstillingene for nettproxy)
Eksplisitt nettproxy via en .pac-fil (koblingen arver bedriftsspesifikke proxy-innstillinger)
Gjennomsiktig proxy som fungerer med kontakten uten endringer
Bruke en nettproxy via nettleseren
Du kan konfigurere Directory Connector til å bruke en web-proxy via Internet Explorer.
Hvis Cisco DirSync-tjenesten kjører fra en annen konto enn den nåværende påloggede brukeren, må du også logge på med denne kontoen og konfigurere nettproxy.
| 1 | Fra Internet Explorer går du til Alternativer for Internett , klikk Tilkoblinger , og velg deretter LAN-innstillinger . | ||
| 2 | Pek på Windows-forekomsten der kontakten er installert på nettproxyen. Koblingen arver disse nettproxy-innstillingene. | ||
| 3 | Hvis miljøet ditt bruker proxy-autentisering, legger du til disse nettadressene i den tillatte listen:
Du kan utføre dette enten for hele nettstedet (for alle verter) eller bare for verten som har koblingen.
| ||
| 4 | Hvis miljøet ditt trenger å be om lister over tilbakekall av sertifikater fra sertifiseringsinstanser, legger du til disse nettadressene i den tillatte listen:
Hvis du vil ha mer informasjon, kan du se denne artikkelen om domener og URL-er som må ha tilgang til for Webex-tjenester . |
Konfigurere Web-proxy gjennom en PAC-fil
Du kan konfigurere en klientnettleser til å bruke en .pac-fil. Denne filen inneholder nettproxyadressen og portinformasjonen. Katalogkobling arver den bedriftsspesifikke nettproxy-konfigurasjonen direkte.
| 1 | For at koblingen skal kunne koble til og synkronisere brukerinformasjon til Webex-skyen, må du kontrollere at proxy-autentisering er deaktivert for | ||
| 2 | Hvis miljøet ditt bruker proxy-autentisering, legger du til disse nettadressene i den tillatte listen:
Du kan utføre dette enten for hele nettstedet (for alle verter) eller bare for verten som har koblingen.
| ||
| 3 | Hvis miljøet ditt trenger å be om lister over tilbakekall av sertifikater fra sertifiseringsinstanser, legger du til disse nettadressene i den tillatte listen:
Hvis du vil ha mer informasjon, kan du se denne artikkelen om domener og URL-er som må ha tilgang til for Webex-tjenester . |
NTLM-proxy
Katalogkobling støtter NT LAN Manager (NTLM) . NTLM er en tilnærming for å støtte Windows-godkjenning mellom domeneenhetene og sikre deres sikkerhet.
NTLM-design
I de fleste tilfeller ønsker en bruker å få tilgang til en annen arbeidsstasjonsressurser via en klient-PC, noe som kan være vanskelig å gjøre på en sikker måte.
Generelt er den tekniske utformingen av NTLM basert på en mekanisme for Utfordring
og Svar
:
En bruker logger på en klient-PC via en Windows-konto og et passord. Passordet lagres aldri lokalt. I stedet for et passord i ren tekst, lagres en hash-verdi for passordet lokalt. Når en bruker logger på klienten via passordet, sammenligner Windows OS den lagrede hashverdien og hashverdien fra inndatapassordet. Hvis begge er like, godkjennes godkjenningen.
Når brukeren ønsker å få tilgang til en ressurs på en annen server, sender klienten en forespørsel til serveren med kontonavn i ren tekst.
Når serveren mottar forespørselen, genererer serveren en 16-biters tilfeldig nøkkel. Nøkkelen heter Challenge (eller Nonce). Før serveren sender tilbake til klienten, lagres utfordringen på serveren. Og så sender serveren utfordringen til klienten i ren tekst.
Så snart klienten mottar utfordringen sendt fra serveren, krypterer klienten utfordringen med hash-verdien som ble nevnt i trinn 1. Etter kryptering sendes verdien tilbake til serveren.
Når serveren mottar den krypterte verdien fra klienten, sender serveren den til domenekontrolleren for verifisering. Forespørselen inkluderer: kontonavn, kryptert utfordring som klienten sendte, og den opprinnelige vanlige utfordringen.
Domenekontrolleren kan hente hashverdiene for passord i henhold til kontonavn. Og så kan domenekontrolleren kryptere på den opprinnelige utfordringen. Doman-kontrolleren kan deretter sammenligne med den mottatte hashverdien og den krypterte hashverdien. Hvis de er de samme, er bekreftelsen vellykket.
| Windows har sikkerhetsautentisering innebygd i operativsystem, noe som gjør det enklere for programmer å støtte sikkerhetsautentisering. Som et resultat av dette trenger du ikke fullføre ytterligere konfigurasjon. |
Konfigurer gjennomsiktig proxy
I dette scenariet er nettleseren ikke klar over at en gjennomsiktig nettproxy fanger opp http-forespørsler (port 80/port 443), og det kreves ingen konfigurasjon på klientsiden.
| 1 | Distribuer en gjennomsiktig proxy, slik at koblingen kan koble til og synkronisere brukere. |
| 2 | Bekreft at proxyen er vellykket – du ser et forventet hurtigmenyvindu for nettleserautentisering når du starter koblingen. |
Angi proxy-autentisering
Legg til nettadressen cloudconnector.webex.com til den tillatte listen ved å opprette en tilgangskontrollliste.
På bedriftens brannmurserver:
| 1 | Aktiver DNS-oppslag hvis det ikke allerede er aktivert. |
| 2 | Bestem en estimert båndbredde for denne tilkoblingen (ca. 2 MB/s eller mindre for kontakten). Dette er kanskje ikke nødvendig. |
| 3 | Opprett en tilgangskontrollliste som skal brukes på koblingsverten, og angi For eksempel: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
| 4 | Bruk denne tilgangskontrollisten på riktig brannmurgrensesnitt, som bare gjelder for denne verten med én kobling. |
| 5 | Kontroller at resten av vertene i bedriften fortsatt er pålagt å bruke nettproxyen ved å konfigurere den riktige implisitte deny-setningen. |
Oppgaveflyt for distribusjon av Cisco-katalogkontakt
Før du starter
| 1 | Installere Directory Connector Control Hub viser først katalogsynkronisering som deaktivert. Hvis du vil aktivere katalogsynkronisering for organisasjonen, må du installere og konfigurere Katalogkobling, og deretter utføre en fullstendig synkronisering. For en ny installasjon av Directory Connector går du alltid til Control Hub (https://admin.webex.com ) for å få den nyeste versjonen av programvaren, slik at du bruker de nyeste funksjonene og feilrettingene. Når du har installert programvaren, rapporteres oppgraderinger gjennom programvaren og installeres automatisk når de er tilgjengelige. |
| 2 |
Logg på med Webex- administrator og utfør det første oppsettet. |
| 3 | Angi automatiske oppgraderinger Det er alltid viktig å holde Directory Connector-programvaren oppdatert til den nyeste versjonen. Vi anbefaler at du bruker denne fremgangsmåten for å la automatiske oppgraderinger av programvaren installeres lydløst når de er tilgjengelige. |
| 4 | Velg Active Directory -objekter som skal synkroniseres Som standard synkroniserer Katalogkobling alle brukere som ikke er datamaskiner, og alle grupper som ikke er kritiske systemobjekter for et domene. Hvis du vil ha mer kontroll over hvilke objekter som skal synkroniseres, kan du velge bestemte brukere som skal synkroniseres og angi LDAP-filtre ved hjelp av siden Objektvalg i Katalogkobling. |
| 5 |
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen. Det eneste obligatorisk felt er *uid. |
| 6 | Synkroniser katalogavatarer ved hjelp av en av følgende fremgangsmåter:
Du kan synkronisere brukernes avatarer til skyen, slik at hver brukers avatar vises når de logger på applikasjonen. Du kan synkronisere avatarer fra et Active Directory -attributt eller en ressursserver. |
| 7 | Synkronisere lokal rominformasjon til Webex Cloud Bruk denne fremgangsmåten til å synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte romenheter, for eksempel en Webex Room-enhet eller Cisco Webex Board |
| 8 | Til Klargjøre brukere fra Active Directory til Control Hub , utfør disse trinnene:
Følg denne sekvensen for å klargjøre Active Directory -brukere for Webex-appkontoer. Du kan klargjøre brukere fra Active Directory -distribusjon for flere skoger eller flere domener for Directory Connector 3.0 og nyere. I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Målet er å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen. |
Installere Directory Connector
Control Hub viser først katalogsynkronisering som deaktivert. Hvis du vil aktivere katalogsynkronisering for organisasjonen, må du installere og konfigurere Katalogkobling, og deretter utføre en fullstendig synkronisering.
Du må installere én kobling for hvert Active Directory -domene du vil synkronisere. En enkelt Directory Connector-forekomst kan bare betjene ett enkelt domene. Se diagrammet nedenfor for å forstå flyten for domenesynkronisering:
Før du starter
Hvis du autentiserer via en proxy-server, må du kontrollere at du har proxy-legitimasjonen din:
For grunnleggende proxy-godkjenning skriver du inn brukernavn og passord etter at du har installert en forekomst av koblingen. Proxykonfigurasjon for Internet Explorer er også nødvendig for grunnleggende godkjenning. se Bruke en nettproxy via nettleseren
For proxy NTLM kan det hende at du ser en feilmelding når du åpner kontakten for første gang. Se Bruke en nettproxy via nettleseren .
| 1 | I Kontrollhub , gå til , og velg Neste . | ||
| 2 | Klikk på Last ned og installer koblingen for å lagre den nyeste versjonen av .zip-filen for connectorinstallasjon på VMware- eller Windows-serveren. Du kan hente ZIP-filen direkte fra denne koblingen , men du må ha full administrativ tilgang til en Control Hub-organisasjon for at denne programvaren skal fungere.
| ||
| 3 | På VMware- eller Windows-serveren pakker du ut og kjører .msi-filen i installasjonsmappen for å starte installasjonsveiviseren. | ||
| 4 | Klikk på Neste , merk av i boksen for å godta lisensavtale, og klikk deretter på Neste til du ser skjermen for kontotype. | ||
| 5 | Velg typen tjenestekonto du vil bruke, og utfør installasjonen med en administratorkonto:
For å unngå feil må du kontrollere at følgende rettigheter er på plass:
| ||
| 6 | Klikk på Installer. Når nettverkstesten er kjørt, og hvis du blir bedt om det, skriver du inn den grunnleggende legitimasjonen for proxyen, klikker på OK , og klikk deretter Fullfør . |
Hva nå?
Vi anbefaler at du starter serveren på nytt etter installasjonen. Tørrkjøringsrapporten kan ikke vise riktig resultat når dataene ikke ble utgitt. Under omstart av maskinen oppdateres alle data for å vise et nøyaktig resultat i rapporten.
Logg på katalogkobling
Før du starter
Kontroller at du har proxy-legitimasjonen din.
For proxy basic-auth skriver du inn brukernavn og passord etter at du åpner koblingen for første gang.
For proxy-NTLM åpner du Internet Explorer, klikker på tannhjulikonet og går til Alternativer for Internett > Tilkoblinger > LAN-innstillinger , kontroller at informasjonen om proxy-server er lagt til, og klikk deretter på OK . Se Bruke en nettproxy via nettleseren .
| 1 | Åpne kontakten, og legg til | ||||
| 2 | Hvis du blir bedt om det, logger du på med påloggingsinformasjonen for proxy-autentisering, og deretter logger du på Webex ved hjelp av administratorkontoen din og klikker på Neste . | ||||
| 3 | Bekreft organisasjonen og domenet.
| ||||
| 4 | Etter at Bekreft organisasjon skjermen vises, klikker du på Bekreft . Hvis du allerede har bundet AD DS/AD LDS, vil Bekreft organisasjon skjermen vises. | ||||
| 5 | Klikk på Bekreft . | ||||
| 6 | Velg ett, avhengig av hvor mange Active Directory -domener du vil binde til Directory Connector:
|
Hva nå?
Når du har logget på, blir du bedt om å utføre en tørrkjøringssynkronisering.
Instrumentbord for katalogkobling
Første gang du logger deg på Directory Connector, vises instrumentbordet. Her kan du vise et sammendrag av alle synkroniseringsaktiviteter, vise skystatistikk, utføre en tørrkjøringssynkronisering, starte en full eller trinnvis synkronisering og starte hendelsesvisningen for å se feilinformasjon.
| Hvis økten blir tidsavbrutt, må du logge på igjen. |
Du kan enkelt kjøre disse oppgavene fra verktøylinjen for handlinger eller menyen for handlinger.
Komponent | Beskrivelse |
|---|---|
Gjeldende synkronisering |
Viser statusinformasjonen om synkroniseringen som pågår for øyeblikket. Når ingen synkronisering kjøres, er statusvisningen inaktiv. |
Neste Synkronisering |
Viser de neste planlagte fullstendige og trinnvise synkroniseringene. Hvis det ikke er angitt noen tidsplan, Ikke planlagt vises. |
Siste synkronisering |
Viser statusen for de to siste synkroniseringene som ble utført. |
Gjeldende synkroniseringsstatus |
Viser den generelle statusen for synkroniseringen. |
Koblinger |
Viser de gjeldende lokale kontaktene som er tilgjengelige for skyen. |
Skystatistikk |
Viser den generelle statusen for synkroniseringen. |
Tidsplan for synkronisering |
Viser synkroniseringsplanen for trinnvis og full synkronisering. |
Sammendrag av konfigurasjon |
Viser innstillingene du endret i konfigurasjonen. Sammendraget kan for eksempel inneholde følgende:
|
| Handling | Beskrivelse | ||
|---|---|---|---|
| Start trinnvis synkronisering | Start en trinnvis synkronisering manuelt
|
||
Synkroniser tørrkjøring |
Utfør en tørrkjøringssynkronisering. |
||
Start Event Viewer |
Start Microsoft Event Viewer. |
||
Oppdater |
Oppdater instrumentbordet for Cisco-registerkontakt |
Handling | Beskrivelse |
|---|---|
| Synkroniser nå | Start en full synkronisering umiddelbart. |
Synkroniseringsmodus |
Velg enten trinnvis eller full synkroniseringsmodus. |
Tilbakestill kontakthemmeligheten |
Etablere en samtale mellom Cisco-registerkontakt og kontakttjenesten. Hvis du velger denne handlingen, tilbakestilles hemmeligheten i skyen, og deretter lagres hemmeligheten lokalt. |
Tomkjøring |
Utfør en test av synkroniseringsprosessen. Du må gjøre en tørrkjøring før du utfører en full synkronisering. |
Feilsøking |
Slå feilsøking på/av. |
Oppdater |
Oppdater hovedskjerm for Cisco-katalogkontakt. |
Avslutt |
Avslutt Cisco-katalogkontakt. |
Tastekombinasjon | Handling |
|---|---|
Alt +A |
Vis Handlinger -menyen |
|
Synkronisering nå |
|
Tilbakestill kontakthemmeligheten |
|
Tørrløp |
|
Inkrementell synkronisering |
|
Full synkronisering |
|
Vis Hjelp -menyen |
|
Hjelp |
|
Om |
|
Vanlige spørsmål |
Angi automatiske oppgraderinger
| 1 | Fra Katalogkobling går du til , og kontroller Oppgrader automatisk til den nye versjonen av Cisco Directory Connector . |
| 2 | Klikk på Bruk for å lagre endringene. |
Nye versjoner av kontakten installeres automatisk når de er tilgjengelige.
| Du kan administrere oppgraderinger manuelt hvis du foretrekker det. Se Oppgrader til den nyeste programvareversjonen hvis du vil ha mer informasjon. |
Velg Active Directory -objekter som skal synkroniseres
Som standard synkroniserer Katalogkobling alle brukere som ikke er datamaskiner, og alle grupper som ikke er kritiske systemobjekter for et domene. Hvis du vil ha mer kontroll over hvilke objekter som skal synkroniseres, kan du velge bestemte brukere som skal synkroniseres og angi LDAP-filtre ved hjelp av siden Objektvalg i Katalogkobling.
Grupper for automatisk lisenstilordning
Control Hub lar deg administrere lisenstildelinger for hver gruppe. Du kan opprette lisensmaler og tilordne dem til Active Directory -grupper som du synkroniserer til skyen. Når brukeren opprettes, kontrollerer Webex brukermedlemskap og automatisk tilordning av lisensmaler for den nye brukeren.
Vi anbefaler at du bruker et LDAP-filter for bare å synkronisere relevante grupper til skyen. Du kan for eksempel angi filteret til:
(&(cn=Example)(objectclass=Group))*
Dette filteret synkroniserer alle grupper i base-DN der navnet begynner med Eksempel. Brukere som ikke er tilordnet grupper, tilordnes lisenser fra den standard automatiske lisensmalen du konfigurerte i Control Hub.
Grupper for hybrid distribusjon av datasikkerhet
I Katalogkobling må du sjekke Grupper hvis du bruker Hybrid Data Security til å konfigurere en prøvegruppe for pilotbrukere. Se Distribusjonsveiledning for hybrid datasikkerhet for veiledning. Denne Katalogkobling-innstillingen påvirker ikke andre brukeres synkronisering til skyen.
| 1 | Fra Katalogkobling går du til Konfigurasjon , og klikk deretter Objektvalg . | ||
| 2 | I Objekttype seksjon, sjekk Brukere , og vurder å begrense antall søkbare beholdere for brukere. Hvis du for eksempel bare vil synkronisere brukere i en bestemt gruppe, må du angi et LDAP-filter i Brukere Felt for LDAP-filtre. Hvis du vil synkronisere brukere som er i Eksempelbehandler-gruppen, bruker du et filter som dette:
| ||
| 3 | Sjekk Identifiser rom for å skille romdata fra brukerdata. Klikk på Tilpass hvis du vil konfigurere flere attributter for å identifisere brukerdata som romdata. Bruk denne innstillingen hvis du vil synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte romenheter. Hvis du vil ha mer informasjon, se Synkronisere lokal rominformasjon til Webex Cloud . | ||
| 4 | Sjekk Grupper hvis du vil synkronisere Active Directory -brukergruppene til skyen. Ikke legg til et LDAP-filter for brukersynkronisering i Grupper-feltet. Du bør bare bruke Grupper-feltet til å synkronisere selve gruppedataene til skyen.
| ||
| 5 | Sjekk Kontakter hvis du vil synkronisere kontaktinformasjon til brukerne til skyen.
| ||
| 6 | Konfigurer LDAP filtre. Du kan legge til utvidede filtre ved å oppgi et gyldig LDAP-filter. Se denne artikkelen hvis du vil ha mer informasjon om konfigurering av LDAP-filtre. | ||
| 7 | Angi On Premises base-DN-er som skal synkroniseres ved å klikke Velg for å se trestrukturen til Active Directory. Herfra kan du velge eller oppheve merkingen av hvilke beholdere du vil søke på. | ||
| 8 | Kontroller at objektene du vil legge til for denne konfigurasjonen, og klikk på Velg . Du kan velge individuelle eller overordnede beholdere som skal brukes til synkronisering. Velg en overordnet beholder for å aktivere alle underordnede beholdere. Hvis du velger en underordnet beholder, viser den overordnede beholderen en grå hake som angir at en underordnet beholder er blitt kontrollert. Deretter kan du klikke Velg for å godta Active Directory -beholderne du sjekket. Hvis organisasjonen plasserer alle brukere og grupper i Brukere-beholderen, trenger du ikke å søke i andre beholdere. Hvis organisasjonen er delt inn i organisasjonsenheter, må du kontrollere at du velger OE . | ||
| 9 | Klikk på Bruk. Velg et alternativ:
Hvis du vil ha informasjon om tørrkjøringer, se Utfør en tørrkjøringssynkronisering på Active Directory -brukere . For gruppesynkronisering må du utføre en full synkronisering: Utfør en fullstendig synkronisering av Active Directory -brukere til skyen . |
Tilordne brukerattributter
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen. Det eneste obligatorisk felt er *uid, en unik identifikator for hver brukerkonto i skyidentitetstjenesten.
Du kan velge hvilket Active Directory -attributt som skal tilordnes til skyen – du kan for eksempel tilordne firstName lastName i Active Directory eller et egendefinert attributtuttrykk til displayName i skyen.
| Kontoer i Active Directory må ha en e-postadresse. uid-en tilordnes som standard til |
Hvis du velger å la det foretrukne språket komme fra Active Directory, er Active Directory den eneste kilden til sannhet: brukere vil ikke kunne endre språkinnstillingen i Webex-innstillinger, og administratorer vil ikke kunne endre innstillingen i Control Hub.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tilordning av brukerattributter . Denne siden viser attributtnavnene for Active Directory (til venstre) og Webex-skyen (til høyre). Alle obligatoriske attributter er merket med en rød stjerne. | ||||
| 2 | Bla ned til bunnen av Active Directory -attributtnavn , og velg deretter ett av disse Active Directory -attributtene som skal tilordnes til skyattributtet uid :
Du kan tilordne alle de andre Active Directory -attributtene til uid, men vi anbefaler at du bruker e-post eller userPrincipalName, som dekket i retningslinjene ovenfor. I noen tilfeller brukes userPrincipalName til pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. Du må sørge for at e-postadresse for kalenderbehandling er tilordnet til det primære e-postadresse i Webex. Legg til userPrincipalName som en alternativ e-postadresse. Hvis du vil se hvilke attributter i Active Directory tilsvarer i skyen, kan du se Tilordning av Active Directory -attributter i Directory Connector .
| ||||
| 3 | Hvis de forhåndsdefinerte Active Directory -attributtene ikke fungerer for distribusjonen, klikker du på rullegardinlisten for attributt, blar til bunnen og velger Tilpass attributt for å åpne et vindu som lar deg definere et attributtuttrykk.
I dette eksemplet skal vi tilordne Active Directory -attributtene
| ||||
| 4 | (Valgfritt) Velg tilordninger for mobil og telefonnummer hvis du vil at mobil- og jobbnumre skal vises, for eksempel i brukerens kontaktkort i Webex-appen. telefonnummer vises i Webex-appen når en bruker holder pekeren over en annen brukers profilbilde. Hvis du vil ha mer informasjon om å ringe fra en brukers kontaktkort, se Installasjonsveiledning for å anrope Webex (Unified CM) . (administratorer). | ||||
| 5 | Velg flere tilordninger for at flere data skal vises i kontaktkort:
Etter at attributtene er tilordnet, vises informasjonen når en bruker holder pekeren over en annen brukers profilbilde:
Hvis du vil ha mer informasjon om kontaktkort, kan du se Bekreft hvem du kontakter . Når disse attributtene er synkronisert til hver brukerkonto, kan du også slå på People Insights i Control Hub. Denne funksjonen lar brukere av Webex-appen dele mer informasjon i profilene sine og lære mer om hverandre. Hvis du vil ha mer informasjon om funksjonen og hvordan du aktiverer den, kan du se People Insights -profiler for Webex, Jabber, Webex Meetings og Webex Events (ny) i Control Hub | ||||
| 6 | Når du har gjort valgene, klikker du Bruk . |
Alle brukerdata som finnes i Active Directory, overskriver dataene i skyen som tilsvarer denne brukeren. Hvis du for eksempel opprettet en bruker manuelt i Control Hub, må brukerens e-postadresse være identisk med e-postadressen i Active Directory. Alle brukere som ikke har en tilsvarende e-postadresse i Active Directory , slettes.
| Slettede brukere beholdes i skyidentitetstjenesten i syv dager før de slettes permanent. |
Active Directory og skyattributter
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen ved hjelp av Tilordning av brukerattributter -fanen.
Denne tabellen sammenligner tilordningen mellom Active Directory -attributtnavn og Cisco Cloud -attributtnavn. Disse verdiene og tilordningene er standardinnstilling i Katalogkobling. Du kan velge forskjellige attributter i Active Directory -rullegardinlistene og bestemme hvilket lokale attributt som skal synkroniseres med hvilket skyattributt.
Se på rullegardinattributtene som forhåndsinnstillinger. Som et alternativ til verdiene i Active Directory -raden kan du også angi et tilpasset attributt, din egen forhåndsinnstilling, i Active Directory (et uttrykk med flere attributter) for å tilordne et enkelt skyattributt i den tilsvarende raden. På denne måten har du fleksibilitet til å bestemme visningsnavnene til brukerne dine – du kan for eksempel legge til et uttrykk som oppretter et tilpasset attributt basert på ansatttittel, fornavn og etternavn i Active Directory.
Du kan også angi hvilke som helst av Active Directory -attributtene som skal tilordnes til uid i skyen. Du må imidlertid sørge for at det lokale attributtet følger et gyldig e-postformat.
| Du kan også bruke alternative e-postadresser, hvis du for eksempel vil bruke userPrincipalName for pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. I dette tilfellet tilordner du en annen e-postadresse til e-poster;type-arbeid attributtet. Dette er e-postadressen som brukes til autentisering. den brukes ikke til å administrere kalenderen din. e-postadresse du tilordner fra AD, må være fra et bekreftet domene i organisasjonen din, og den må være unik og ikke tilordnet en annen bruker. |
Navn på Active Directory -attributter | Navn på Webex-skyattributter | Merknader |
|---|---|---|
— |
buildingName |
— |
c |
c |
Dette attributtet angir brukerens landsforkortelse. |
avdelingsnummer |
avdelingsnummer |
Dette attributtet brukes for brukerens avdelingsnummer som vises i kontaktkort og personinnsikt . |
visningsnavn |
visningsnavn |
Dette attributtet brukes for visningsnavn for brukerkonto som vises i Control Hub, den kontaktkort , og personinnsikt . |
userAccountControl |
ds-pwp-account-disabled |
Dette attributtet brukes til brukersynkronisering. Kontroller at userAccountControl attributtet er tilordnet til ds-pwp-account-disabled ellers blir ikke brukerne synkronisert riktig. |
ansattnummer |
ansattnummer |
— |
ansattType |
ansattType |
Denne verdien brukes for ansatttypen bruker som vises i kontaktkort og personinnsikt . |
fakstelefonnummer |
fakstelefonnummer |
— |
givenName |
givenName |
Dette attributtet brukes for brukerkonto fornavn som vises i Control Hub, den kontaktkort , og personinnsikt . |
— |
jabberID |
Dette skyattributtet er relatert til direktemeldingsadresser (XMPP-type) som brukes av Jabber. Denne verdien er ikke det samme som sipAddresses. |
l |
l |
Dette attributtet angir byen til brukeren. |
— |
språk |
— |
administrator |
administrator |
Dette attributtet brukes for brukerens ledernavn som vises i kontaktkort og personinnsikt . |
Mobil |
Mobil |
Dette attributtet brukes som mobilnummer som vises for ringe brukeren fra kontaktkort . |
o |
o |
Dette attributtet angir navnet på selskapet eller organisasjonen. |
ou |
ou |
Dette attributtet angir navnet på organisasjonsenheten. |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Dette attributtet angir brukerens kontorplassering. |
postnummer |
postnummer |
Dette attributtet angir brukerens postnummer eller postnummer for fysisk postlevering. |
foretrukket språk |
foretrukket språk |
Dette attributtet angir brukerens foretrukne språk, og følgende formater støttes: xx_YY eller xx-YY. Her er noen eksempler: en_USA,en_ GB, fr-CA. Hvis du bruker et språk som ikke støttes eller ugyldig format, endres brukernes foretrukne språk til språket som er angitt for organisasjonen. |
MSRTCSIP-PrimaryUserAddress iPhone |
SipAddresses;type=bedrift |
Dette attributtet brukes til å synkronisere lokal rominformasjon fra Active Directory til Cisco Webex skyen. |
sn |
sn |
Dette attributtet brukes for brukerkonto etternavn som vises i Control Hub, den kontaktkort , og personinnsikt . |
st |
st |
Dette attributtet angir delstaten eller provinsen til brukeren. |
gateadresse |
gate |
Dette attributtet angir gateadressen til brukeren for fysisk postlevering. |
telefonnummer |
telefonnummer |
Dette attributtet angir brukerens primære telefonnummer (jobb) som brukes til ringe brukeren fra kontaktkort . |
— |
tidssonen |
Dette skyattributtet angir brukerens tidssone. |
tittel |
tittel |
Dette attributtet angir brukertittelen som vises i kontaktkort og personinnsikt . |
type |
bedrift |
— |
*e-post *userPrincipalName |
uid |
En obligatorisk attributtilordning. For hver brukerkonto tilordnes Active Directory -verdien til en unik uid i skyen. I noen tilfeller brukes userPrincipalName til pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. Du må sørge for at e-postadresse for kalenderbehandling er tilordnet til det primære e-postadresse i Webex. Legg til userPrincipalName som en alternativ e-postadresse. Brukeren kan deretter bruke en av disse e-postadressene til å logge på, så lenge de er riktige SAML-attributtilordning er på plass. Se eksempel på attributtilordning nedenfor for hvordan du kan tilordne en alternativ e-postadresse. |
*userPrincipalName *e-post <custom attribute=""> |
e-poster;type-arbeid |
Denne tilordningen er valgfri. Bruk den hvis du vil bruke alternative e-postadresser. Dette er e-postadressen som brukes til autentisering. den brukes ikke til å administrere kalenderen din. e-postadresse du tilordner fra AD, må være fra et bekreftet domene i organisasjonen din, og den må være unik og ikke tilordnet en annen bruker. |
<New attribute="" for="" Azure="" user="" objectId=""> |
ekstern ID |
Opprett et nytt Active Directory -attributt for å holde Azure-brukerobjekt-ID-en, slik at den ikke kolliderer med en eksisterende. Dette attributtet tilordnes deretter til externalId-attributtet, og sikrer at når Webex-brukere opprette grupper i Microsoft 365, oppretter de automatisk team i Webex . |
Alternativ e-postadresse
Uttrykk for tilpassede attributter
Operatør | Beskrivelse og eksempel |
|---|---|
% | Fjerner alle tegn fra begynnelsen av strengen til plasseringen av tegnet eller strengargumentet, hvis det samsvarer.
|
– | Fjerner baksiden av inndatastrengen fra enden av den angitte strengen.
|
+ | Setter sammen inndatastrenger eller -uttrykk.
|
| | Evaluerer de atskilte uttrykkene mot den tomme strengen, og velger det første ikke-tomme resultatet.
|
Synkronisere katalogavatarer fra et Active Directory -attributt til skyen
Du kan synkronisere brukernes katalogavatarer til skyen, slik at hver avatar vises når de logger på Webex-appen. Bruk denne fremgangsmåten til å synkronisere rå avatardata fra et Active Directory -attributt.
| 1 | Fra Katalogkobling går du til Konfigurasjon , klikk Avatar , og kontroller Aktiver . |
| 2 | For Hent avatar fra , velg AD-attributt , og velg deretter Avatar-attributt som inneholder råavatardataene du vil synkronisere til skyen. |
| 3 | Hvis du vil bekrefte at avataren brukes på riktig måte, skriver du inn en brukers e-postadresse og klikker på Hent brukerens avatar . Avataren vises til høyre. |
| 4 | Når du har bekreftet at avataren ble vist riktig, klikker du Bruk for å lagre endringene. |
Bildene som synkroniseres, blir standardavatar for brukere i Webex-appen. Brukere har ikke tillatelse til å angi sin egen avatar etter at denne funksjonen er aktivert fra Katalogkobling.
Brukeravatarene synkroniseres til både Webex-appen og eventuelle samsvarende kontoer på Webex-nettsted.
Hva nå?
Gjør en tørrkjøringssynkronisering; Hvis det ikke er noen problemer, kan du utføre en fullstendig synkronisering for å få Active Directory -brukerkontoene og avatarene til å synkroniseres til skyen og vises i Control Hub.
Synkronisere katalogavatarer fra en ressursserver til skyen
Du kan synkronisere brukernes katalogavatarer til skyen, slik at hver avatar vises når de logger på Webex-appen. Bruk denne fremgangsmåten til å synkronisere avatarer fra en ressursserver.
Før du starter
URI-mønsteret og variabelverdien i denne prosedyren er eksempler. Du må bruke faktiske nettadresser der katalogavatarene dine er plassert.
Avatar-URI-mønsteret og serveren der avatarene ligger, må kunne nås fra Directory Connector-programmet. Koblingen trenger http- eller https-tilgang til bildene, men bildene trenger ikke å være offentlig tilgjengelige på Internett.
Synkroniseringen av avatardata er atskilt fra Active Directory -brukerprofilene. Hvis du kjører en proxy, må du sørge for at avatardataene er tilgjengelige via NTLM-autentisering eller basic-auth.
| 1 | Fra Katalogkobling går du til Konfigurasjon , klikk Avatar , og kontroller Aktiver . |
| 2 | For Hent avatar fra , velg Ressursserver og angi deretter Avatar-URI-mønster – For eksempel La oss se på hver del av avatarens URI-mønster og hva de betyr:
|
| 3 | (Valgfritt) Hvis ressursserveren krever legitimasjon, kontrollerer du Angi påloggingsinformasjon for avatar , og velg deretter enten Bruk gjeldende bruker for tjenestepålogging eller Bruk denne brukeren og angi passordet. |
| 4 | Skriv inn Variabelverdi – For eksempel: |
| 5 | Klikk på Test for å kontrollere at avatarens URI-mønster fungerer som det skal. I dette eksemplet, hvis e-postverdien for én AD-oppføring er |
| 6 | Når URI-informasjonen er bekreftet og ser riktig ut, klikker du Bruk . Hvis du vil ha detaljert informasjon om bruk av regulære uttrykk, kan du se hurtigreferanse for Microsoft Regular Expression-språk . |
Bildene som synkroniseres, blir standardavatar for brukere i Webex-appen. Brukere har ikke tillatelse til å angi sin egen avatar etter at denne funksjonen er aktivert fra Katalogkobling.
Brukeravatarene synkroniseres til både Webex-appen og eventuelle samsvarende kontoer på Webex-nettsted.
Hva nå?
Gjør en tørrkjøringssynkronisering; Hvis det ikke er noen problemer, kan du utføre en fullstendig synkronisering for å få Active Directory -brukerkontoene og avatarene til å synkroniseres til skyen og vises i Control Hub.
Synkronisere lokal rominformasjon til Webex Cloud
Bruk denne fremgangsmåten til å synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte Webex-enheter (Room, Desk og Board).
| 1 | Fra Katalogkobling går du til Synkroniser , klikk på mer | ||
| 2 | Sjekk Synkroniser rominformasjon til skyen for å skille romdataene fra brukerdataene under synkronisering. Når denne innstillingen er deaktivert, behandles romdata på samme måte som brukersynkroniserte data. | ||
| 3 | Gå til Attributttilordning , og endre deretter attributttilordningen for skyattributtet sipAddresses;type=bedrift .
| ||
| 4 | Opprett en romressurs-postboks i Exchange. Dette legger til msExchResourceMetaData;ResourceType:Room -attributtet som koblingen deretter bruker til å identifisere rom.
| ||
| 5 | Gå til og rediger egenskapene for rommet fra Active Directory -brukere og datamaskiner. Legg til den fullstendige SIP-URI med prefikset sip:
| ||
| 6 | Utfør en tørrkjøringssynkronisering og deretter en fullstendig synkroniseringskjøring i kontakten. De nye romobjektene vises Objekter lagt til og samsvarende romobjekter vises i Objekter matchet i tørrkjøringsrapporten. Alle romobjekter som er flagget for sletting, er under Rom slettet .
Tørrkjøringsresultatene viser eventuelle romressurser som ble matchet.
Denne innstillingen skiller Active Directory -romdata (inkludert rommets attributt) fra brukerdata. Når synkroniseringen er fullført, viser skystatistikken på koblingsinstrumentbordet romdata som ble synkronisert til skyen.
|
Hva nå?
Nå som du har gjort disse trinnene, vil du se de synkroniserte romoppføringene som er konfigurert med SIP-adresser, når du gjør et søk på en Webex-skyregistrert enhet. Når du foretar et anrop fra Webex-enheten på den oppføringen, foretas et anrop til SIP-adressen som ble konfigurert for rommet.
Fra Control Hub kan du importere rom fra katalogen automatisk og opprette arbeidsområder.
| Endepunktet kan ikke sløyfe et tilbakeringing til Webex-appen. For testoppringingsenheter må disse enhetene være registrert som en SIP-URI lokalt eller et annet sted enn Webex-appen. Hvis romsystem for Active Directory du søker etter er registrert for Webex og den samme e-postadresse finnes på Webex Room-enhet, Skrivebordsenhet eller Webex Board for Calendar Service, viser ikke søkeresultatene den dupliserte oppføringen. Rom-, skrivebords- eller tavleenheten ringes opp direkte i Webex-appen, og det foretas ingen SIP-samtale . |
Send e-postrapporter om katalogsynkroniseringsresultater
Som standard mottar organisasjonens kontakter eller administratorer alltid e-postvarsler. Med denne innstillingen kan du tilpasse hvem som skal motta e-postvarsler som oppsummerer katalogsynkroniseringsrapporter.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Varsel . |
| 2 | Fra Katalogkobling klikker du på Innstillinger , og ved siden av E-postmottaker , slå på Aktiver synkronisering av rapport . |
| 3 | Sjekk Aktiver varsling hvis du vil overstyre standard varslingsatferd og legge til én eller flere e-postmottakere. |
| 4 | Klikk på Legg til og angi en e-postadresse. Hvis du skriver inn en e-postadresse med ugyldig format, vises en melding som ber deg om å løse problemet før du kan lagre og bruke endringene. |
| 5 | Klikk på Legg til e-post og angi en e-postadresse. Hvis du skriver inn en e-postadresse med ugyldig format, vises en melding som ber deg om å løse problemet før du kan lagre og bruke endringene. |
| 6 | Hvis du må redigere e-postadresser du oppga, dobbeltklikk du på e-postoppføringen i venstre kolonne, og deretter gjør du eventuelle endringer. |
| 7 | Når du har lagt til alle de gyldige e-postadressene, klikker du på Bruk . |
| 8 | Når du har lagt til alle de gyldige e-postadressene, klikker du på Lagre . |
Hva nå?
Hvis du bestemte deg for at du vil fjerne e-postadresser, kan du klikke på en e-post for å utheve denne oppføringen og deretter klikke Fjern .
Hvis du bestemte deg for at du vil fjerne e-postadresser, kan du klikke på Fjern ved siden av bestemte e-postadresse .
Klargjøre brukere fra Active Directory til Control Hub
Følg denne fremgangsmåten for å klargjøre Active Directory -brukere og opprette tilsvarende brukerkontoer i Control Hub. Du kan klargjøre brukere fra en Active Directory -distribusjon for flere domener (med enten én enkelt skog eller flere skoger) etter at du har installert en katalogkobling per domene. I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Målet er å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen.
| 1 | Utfør en tørrkjøringssynkronisering på Active Directory -brukere Utfør en tørrkjøring for å sammenligne objekter i den lokale Active Directory og objekter i Webex-skyen. En tørrkjøring lar deg se hvilke objekter som vil bli lagt til, endret eller slettet før du kjører en fullstendig eller trinnvis synkronisering og utfører endringene i skyen. |
| 2 | Utfør en fullstendig synkronisering av Active Directory -brukere til skyen Når du kjører en full synkronisering, sender koblingstjenesten alle filtrerte objekter fra Active Directory (AD) til skyen. Connector-tjenesten oppdaterer deretter identitetslageret med AD-oppføringene dine. Hvis du opprettet en mal for automatisk tilordning av lisenser, kan du tilordne den til de nylig synkroniserte brukerne. |
| 3 | Tilordne Webex-tjenester til katalogsynkroniserte brukere i Control Hub Når du har fullført en fullstendig brukersynkronisering fra Directory Connector til Control Hub, kan du tilordne Webex-tjenestelisenser ved hjelp av en rekke forskjellige metoder. Vi anbefaler at du konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory. Du kan også gjøre individuelle endringer etter dette første trinnet. |
Utfør en tørrkjøringssynkronisering på Active Directory -brukere
Utfør en tørrkjøring for å sammenligne objekter i den lokale Active Directory og objekter i Webex-skyen. En tørrkjøring lar deg se hvilke objekter som vil bli lagt til, endret eller slettet før du kjører en fullstendig eller trinnvis synkronisering og utfører endringene i skyen.
I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Med Katalogkobling er målet å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen.
Hvis du har flere domener i én enkelt skog eller flere skoger, må du gjøre dette trinnet på hver av Cisco-katalogkoblingsforekomstene du har installert for hvert Active Directory -domene.
Før du starter
Du kan allerede ha noen Webex-appbrukere i Control Hub før du brukte Katalogkobling. Blant brukerne i skyen kan noen samsvare med det lokale Active Directory -objektet og bli tildelt lisenser for tjenester. Men noen kan være testbrukere som du vil slette mens du foretar en synkronisering. Du må opprette et nøyaktig samsvar mellom Active Directory og Control Hub.
| 1 | Velg én:
Når tørrkjøringen er fullført, ser du ett av følgende resultater:
Sammendraget inneholder informasjon om objektsamsvar:
Tørrkjøringen identifiserer brukerne ved å sammenligne dem med domenebrukere. Applikasjonen kan identifisere brukerne hvis de tilhører det gjeldende domenet. I neste trinn må du bestemme om du vil slette objektene eller beholde dem. De feilaktige objektene identifiseres som allerede eksisterende i Webex-skyen, men ikke eksisterende i den lokale Active Directory. | ||
| 2 | Se gjennom resultatene av tørrkjøringen, og velg deretter et alternativ avhengig av om du bruker ett enkelt domene eller flere domener:
| ||
| 3 | I Bekreft tørrkjøring ledetekst, klikker du Ja for å gjøre om tørrkjøringssynkroniseringen og vise instrumentbordet for å se resultatene. Alle kontoer som ble synkronisert i tørrkjøringen, vises under Objekter matchet . Hvis en bruker i skyen ikke har en tilsvarende bruker med samme e-postadresse i Active Directory, er oppføringen oppført under Brukere slettet . Hvis du vil unngå dette sletteflagget, kan du legge til en bruker i Active Directory med samme e-postadresse. Hvis du vil vise detaljene for elementene som ble synkronisert, klikker du på den tilsvarende fanen for bestemte elementer eller Objekter matchet . Hvis du vil lagre sammendragsinformasjonen, klikker du på Lagre resultater til fil . | ||
| 4 | Hvis resultatene forventes, går du til , og klikk deretter Aktiver nå for å gjøre en manuell synkronisering og sette i manuell modus på dette tidspunktet.
|
Hva nå?
For eventuelle feilaktige brukerobjekter som du beholder, må du legge dem til i Active Directory slik at det er nøyaktig samsvar mellom lokale og skyen.
Velg en synkroniseringstype:
Utfør en fullstendig synkronisering av Active Directory -brukere til skyen for første gang du synkroniserer nye brukere til skyen. Du gjør det fra , og deretter synkroniseres brukere fra det gjeldende domenet.
Angi tidsplan for kobling og Kjør en trinnvis synkronisering etter at du har kjørt en fullstendig synkronisering, og hvis du ønsker å plukke opp endringer etter den første synkroniseringen. Denne typen synkronisering anbefales for å fange opp små endringer som er gjort i Active Directory -brukerkilden.
Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt (på versjon 3.4 og tidligere) eller hver fjerde time (på versjon 3.5 og nyere), men du kan endre denne verdien. Den trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering.
Hvis du har flere domener, gjentar du disse trinnene på en hvilken som helst annen katalogkobling du har installert.
Ting du bør huske på
Utfør en tørrkjøring før du aktiverer full synkronisering, eller når du endrer synkroniseringsparametrene. Hvis tørrkjøringen ble startet av en konfigurasjonsendring, kan du lagre innstillingene etter at tørrkjøringen er fullført. Hvis du allerede har lagt til brukere manuelt, kan utføring av en Active Directory -synkronisering føre til at tidligere lagt til brukere blir fjernet. Du kan sjekke tørrkjøringsrapporter for Directory Connector for å bekrefte at alle forventede brukere er til stede før du synkroniserer fullstendig til skyen.
Hvis matchede brukere er merket som sletting og du ikke er sikker på hvordan du går frem, kan du se feilsøkingsinformasjon og hvordan du kontakter kundestøtte i Feilsøking og rettelser for Directory Connector .
Slettede brukere beholdes i skyidentitetstjenesten i syv dager før de slettes permanent.
Utfør en fullstendig synkronisering av Active Directory -brukere til skyen
Når du kjører en full synkronisering, sender koblingstjenesten alle filtrerte objekter fra Active Directory (AD) til skyen. Connector-tjenesten oppdaterer deretter identitetslageret med AD-oppføringene dine. Hvis du opprettet en mal for automatisk tilordning av lisenser, kan du tilordne den til de nylig synkroniserte brukerne.
Hvis du har flere domener, må du gjøre dette trinnet på hver av Directory Connector-forekomstene du har installert for hvert Active Directory -domene.
Katalogkobling synkroniserer brukerkonto – I Active Directory vises også alle brukere som er merket som deaktivert som inaktive i skyen.
Før du starter
Hvis du vil at brukerkontoene for Webex-appen skal ha statusen Aktiv etter full synkronisering og før brukerne logger på for første gang, må du gjøre følgende for å omgå e-postvalideringen:
Integrer engangspålogging med Webex-organisasjonen din. Se
Engangspålogging med Cisco Webex Services og organisasjonens identitetsleverandør
hvis du vil ha mer informasjon.Bruk Control Hub til å bekrefte og eventuelt gjøre krav på domener som finnes i e-postadressene. Se
Legg til, bekreft og gjør krav på domener
.Undertrykk automatiske e-postinvitasjoner , slik at nye brukere ikke mottar den automatiske e-postinvitasjonen til Webex-appen. (Du kan lage din egen e-postkampanje.)
Aktiverte brukere som ikke har logget på, vises med en Verifisert status i Control Hub. Når de har logget på, vises de som Aktive. Hvis du vil ha mer informasjon om brukerstatuser, kan du se Brukerstatuser og handlinger i Cisco Webex Control Hub.
Når du aktiverer synkronisering, ber Directory Connector deg om å utføre en tørrkjøring først. Vi anbefaler at du tar en tørrkjøring før en full synkronisering for å fange opp eventuelle feil.
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Hvis du ikke bruker automatisk tilordnede lisensmaler, får nylig synkroniserte brukere automatisk gratislisenser. De vil kunne bruke de samme gratisfunksjonene som de med gratis kontoer.
| 1 | Velg én:
| ||
| 2 | Fra Katalogkobling går du til Synkroniser , klikk på mer | ||
| 3 | Bekreft starten på synkroniseringen. For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene i opptil 72 timer etter at du har utført synkroniseringen.
| ||
| 4 | Klikk på Oppdater hvis du vil oppdatere statusen for synkroniseringen. (Synkroniserte elementer vises under Skystatistikk .) | ||
| 5 | Hvis du vil ha informasjon om feil, velger du Start Event Viewer fra Handlinger verktøylinjen for å vise feilloggene. | ||
| 6 | Hvis du vil angi en synkroniseringsplan for pågående trinnvise synkroniseringer til skyen, kan du se Angi tidsplan for kobling og Kjør en trinnvis synkronisering . |
Når full synkronisering er fullført, oppdateres statusen for katalogsynkronisering fra Deaktivert til Driftsmessig på Innstillinger siden i Control Hub.
Når alle data matches mellom lokale og skyen, endres Katalogkobling fra manuell modus til automatisk synkroniseringsmodus.
Med mindre du integrere engangspålogging , bekrefte domener, og eventuelt gjøre krav på domener for e-postkontoene du synkroniserte , og undertrykke automatiserte e-postmeldinger , forblir brukerkontoene for Webex-appen i tilstanden Ikke bekreftet til brukerne logger på Webex-appen for første gang for å bekrefte kontoene sine. Se delen Før du begynner for veiledning om hvordan du synkroniserer kontoene som aktive brukere.
Hvis du har flere domener, gjør du dette trinnet på en annen katalogkobling du har installert. Etter synkroniseringen vises brukerne på alle domenene du la til i Control Hub.
Hvis du integrerte engangspålogging med Webex og undertrykte e-postvarsler , sendes ikke e-postinvitasjonene til de nylig synkroniserte brukerne.
Du kan ikke legge til brukere manuelt i Control Hub etter at Directory Connector er aktivert. Når den er aktivert, utføres brukeradministrasjon fra Cisco-registerkobling, og Active Directory er den eneste kilden til sannhet.
Alle grupper du synkroniserte, vises i Control Hub, og du kan tilordne en lisensmal slik at brukere i den gruppen tilordnes lisenser.
Hva nå?
Når du fjerner en bruker fra Active Directory, blir brukeren myk slettet etter neste synkronisering. Brukeren blir
Inactivemen skyidentitetsprofilen beholdes i syv dager (for å tillate gjenoppretting etter utilsiktet sletting).Når du sjekker Kontoen er deaktivert i Active Directory blir brukeren
Inactiveetter neste synkronisering. Skyidentitetsprofilen slettes ikke etter syv dager, i tilfelle du vil aktivere brukeren på nytt.Vær oppmerksom på disse unntakene fra en trinnvis synkronisering (følg de fullstendige synkroniseringstrinnene ovenfor i stedet):
Hvis det gjelder en oppdatert avatar, men ingen andre attributter endres, oppdaterer ikke trinnvis synkronisering brukerens avatar til skyen.
Konfigurasjonsendringer for attributtilordning, base-DN, filter og avatarinnstillinger krever full synkronisering.
Tilordne Webex-tjenester til katalogsynkroniserte brukere i Control Hub
Når du har fullført en fullstendig brukersynkronisering fra Cisco-registerconnector til Control Hub, kan du bruke Control Hub til å tilordne de samme Webex-tjenestelisensene til alle brukerne samtidig eller legge til flere lisenser til nye brukere hvis du allerede har konfigurert en automatisk tilordnet lisensmal. Du kan gjøre individuelle endringer i brukerkonto etter dette første trinnet.
Når du har fullført en fullstendig brukersynkronisering fra Directory Connector til Control Hub, kan du bruke metoder i Control Hub til å globalt tilordne Webex-tjenestelisenser til alle brukerne, enkeltbrukere, gjennom CSV-malen for mengde eller automatisk til nye brukere hvis du har allerede konfigurert en mal for automatisk tildeling av lisenser. Du kan gjøre individuelle endringer i brukerkonto etter dette første trinnet.
Når du tilordner en lisens til en Webex-appbruker, mottar denne brukeren en e-post som bekrefter tilordningen, som standard. E-posten sendes av en varslingstjeneste i Control Hub. Hvis du integrerte engangspålogging (SSO) med Webex-organisasjonen din, kan du også undertrykke disse automatiske e-postvarslene hvis du foretrekker å kontakte brukerne dine direkte.
Før du starter
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Gjør en tørrkjøringssynkronisering på Active Directory brukerne dine.
Når du har bekreftet resultatene av tørrkjøringen, utfører du en fullstendig synkronisering på Active Directory -brukerne.
| På tidspunktet for full synkronisering opprettes brukeren i skyen, ingen tjenestetilordninger legges til, og det sendes ingen aktiverings-e-post. Hvis e-postene ikke undertrykkes, mottar de nye brukerne en aktiverings-e-post når du tilordner tjenester til brukere ved hjelp av en standard brukeradministrasjonsmetode i Control Hub, for eksempel CSV-import, manuell brukeroppdatering eller vellykket fullføring av automatisk tilordning. |
| 1 | Fra kundevisningen ihttps://admin.webex.com , gå til , klikk Behandle brukere , velg Endre alle synkroniserte brukere , og klikk deretter Neste . |
| 2 | Velg et alternativ:
|
Hva nå?
Hvis e-postene ikke undertrykkes, sendes en e-postmelding til hver bruker med en invitasjon til å bli med og laste ned Webex.
Hvis du valgte de samme Webex-tjenestene for alle brukerne, kan du etterpå endre lisensen som er tilordnet individuelt eller samtidig.
Kjente problemer med katalogkobling
Windows Server-versjoner før 2012 R2 har et problem med informasjonskapsler som påvirker katalogkoblingen. Dette problemet er løst i versjoner 2012 R2 og 2016 .
For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene 72 timer fra du utfører synkroniseringen.
Du kan prøve å tømme den lokale hurtigbufferen for Webex-appen ved å følge disse instruksjonene: Windows eller Mac .
Når en bruker bruker Webex-appen på skrivebordet eller mobilen til å søke og ringe et rom som bare har en synkronisert SIP-URI, ringer anropet på ubestemt tid på dette tidspunktet.
Kjør en trinnvis synkronisering
En trinnvis synkronisering spør etter Active Directory og ser etter endringer som har skjedd siden forrige synkronisering. Dette trinnet grupperer deretter disse endringene og sender dem til koblingstjenesten. Endringene inkluderer endring av brukerattribusjon og når en bruker legges til eller slettes.
Denne synkroniseringen legger ikke like mye belastning på serverne og tar ikke like mye tid som en full synkronisering. Når du har utført den første fullstendige synkroniseringen, anbefaler vi det trinnvise alternativet for etterfølgende synkroniseringer.
Før du starter
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Merk disse unntakene som trinnvis synkronisering ikke støtter (følg Utfør en fullstendig synkronisering av Active Directory -brukere til skyen i stedet):
Hvis det gjelder en oppdatert avatar, men ingen andre attributter endres, oppdaterer ikke trinnvis synkronisering brukerens avatar til skyen.
For nye konfigurasjonsendringer for attributtilordning, base-DN, filter og avatarinnstilling fungerer ikke trinnvis synkronisering, og disse krever full synkronisering.
| 1 | Fra Katalogkobling klikker du på Instrumentbord .
| ||
| 2 | Fra Handlinger , klikk Synkroniseringsmodus > Aktiver synkronisering hvis det ikke allerede er aktivert. Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt (på versjon 3.4 og tidligere) eller hver fjerde time (på versjon 3.5 og nyere), men du kan endre denne verdien. Den trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering. Når et nytt trinnvis tidsintervall er ute, kontrollerer programmet endringene basert på det siste tidsstemplet. | ||
| 3 | Fra Handlinger , klikk Synkroniser nå > Inkrementell . For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene 72 timer fra du utfører synkroniseringen.
| ||
| 4 | Hvis du vil ha informasjon om feil, klikker du på Start Event Viewer fra Handlinger verktøylinjen for å vise feilloggene. |
Hva nå?
Hvis du har flere domener, gjør du dette trinnet på andre Directory Connector-forekomster du har installert.
Gjenopprett brukere som er slettet ved et uhell
Katalogkobling har kontroller og saldoer for å forhindre utilsiktet sletting av brukere. Dessverre skjer ulykker. Du kan ha konfigurert et LDAP-filter i Active Directory på feil måte, noe som slettet noen brukere da de ble synkronisert til skyen. Den myke slettefunksjonen kan hjelpe deg med å komme deg etter disse ulykkene og gjenopprette brukerkontoene i Control Hub.
Som standard er denne funksjonen aktivert for alle organisasjoner. Når brukere slettes i skyen, for eksempel på grunn av et problem med feilaktige objekter etter en synkronisering fra Directory Connector, kan brukerne gjenopprettes. Hvis du så et objekt som ikke samsvarte, eller la merke til at brukere ble slettet, kan det hende du kan gjenopprette dem hvis du handler raskt.
| Brukere merkes som inaktive i Control Hub når de tilsvarende kontoene slettes i Active Directory. Bakgrunnsskytjenesten beholder brukerne i opptil 7 dager. I løpet av denne perioden kan du fortsatt bruke Cisco-registerkobling til å gjenopprette brukere. Vi anbefaler at du gjenoppretter disse brukerne så snart som mulig. Brukere som er deaktivert i Active Directory , er også merket som inaktive i Control Hub, men brukerkonto slettes ikke etter 7 dager. |
| 1 | Logg på Kontrollhub . |
| 2 | Gå til Brukere og kontroller om en bestemt brukerkonto er i en inaktiv tilstand eller ikke er oppført. Hvis du vil ha mer informasjon, se Brukerstatuser og handlinger i Control Hub . |
| 3 | Hvis brukere ble slettet i Control Hub eller du legger merke til at brukere er i en inaktiv tilstand, går du til Active Directory, legger til de manglende brukerkontoene, og deretter utfører du en tørrkjøringssynkronisering i Directory Connector. Målet med Directory Connector er å opprette et nøyaktig samsvar mellom brukerinformasjon i Active Directory og i skyen. |
| 4 | Utfør en fullstendig synkronisering for å resynkronisere de midlertidig slettede brukerkontoene til Control Hub. Brukerne gjenopprettes og går til den opprinnelige statusen, inkludert kontostatus og tjenestetilordninger. |
Hva nå?
Gå tilbake til Control Hub, gå til , og bekreft at de tidligere slettede brukerkontoene vises i brukerliste.
Slett brukere permanent etter myk sletting
Etter å ha utført en tørrkjøring, kan du velge å permanent slette brukere som ble myk slettet ved neste synkronisering.
| 1 | Når en tørrkjøring er fullført, velger du Myk-slettede objekter . |
| 2 | Merk av i avmerkingsboksen ved siden av brukerne du vil slette. |
| 3 | Velg Ferdig. |
Hva nå?
Ved neste synkronisering blir brukerne du sjekket, slettet permanent.
Endre en e-postadresse for Webex-appen
Hvis du vil endre e-postadresser for brukere og organisasjonen bruker katalogkoblingen, endrer du disse e-postadressene i Active Directory. Denne fremgangsmåten dekker hvordan du endrer en e-postadresse for Webex-appen for ett enkelt domene og en prosess for å endre domenet.
| Hvis du bare vil endre e-post eller verdier for én bruker, må du ikke slette brukeren fra Active Directory og deretter opprette en ny med den samme e-postadressen. Skyen tolker denne handlingen som en ny brukerkonto, og brukerens områder og andre data i skyen vil gå tapt. |
Slik endrer du brukerens e-postadresser uten å endre domenet:
Gjenoppta synkroniseringen på katalogkoblingen.
Etter neste synkronisering vises endringene i brukerliste i Control Hub og for brukere i Webex-appen etter at hurtigbufferen er oppdatert.
Det er ikke tap av data eller områder ved hjelp av denne metoden. Brukerens unike identifikator angis i skyen etter den første synkroniseringen. Alle etterfølgende synkroniseringer er basert på denne identifikatoren.
Hvis du vil endre brukerens e-postadresser mens du endrer domenet i en distribusjon med flere domener med Directory Connector (vurder på example1.com, det gamle domenet og example2.com som det nye domenet):
På Directory Connector gjenopptar du synkroniseringen for example2.com
Før du fortsetter, må du kontrollere at kontoen bruker1@example2.com synkroniseres til Control Hub. Vi anbefaler at du ber brukeren om å bekrefte e-postendringen i Webex-appen, og at alle data (områder, meldinger, møter, filer og så videre) beholdes.
Det er ingen tap av data eller områder ved hjelp av denne metoden, men i den nye brukerkonto må du sørge for at Active Directory -attributtet som tilordnes til sky-uid-attributtet, er bevart fra den gamle brukerkonto. Hvis du endrer Active Directory -verdien, beholder ikke den nye kontoen dataene fra den gamle kontoen.
Når du har bekreftet e-postadresse og dataene er intakte, sletter du den gamle brukerkonto på example1.com, og deretter bruker du Directory Connector til å gjenoppta synkroniseringen for example1.com.
På dette tidspunktet kan du trygt oppdatere e-postadresse i det nye Active Directory -domenet for bruker1@example2.com.
Katalogkobling begrenser ikke endringen av e-postdomene. Når brukeren resynkroniserer til skyen, avhenger imidlertid brukerstatusen av om det nye domenet er bekreftet i organisasjonen din. Hvis domenet ikke er bekreftet i organisasjonen din, endres brukerens status til Venter etter full synkronisering. Hvis du vil ha mer informasjon, se Administrer domenene dine .
Hvis organisasjonen din ikke bruker katalogkobling, kan du endre e-postadressene for Webex-appen via siden med kontoinnstillinger . Se Endre e-postadressen for kontoen din for trinn som brukere kan følge for å endre e-postadressene sine.
Endre Active Directory -domenet
Du kan bruke denne fremgangsmåten til å opprette nye domener og e-postadresser. De synkroniseres med identitetstjenesten i skyen.
| 1 | Konfigurer et nytt AD-domene ( Active Directory ). | ||
| 2 | Deaktiver synkroniseringer på alle kontaktene dine. | ||
| 3 | Avinstaller alle kontaktene dine. | ||
| 4 | Åpne store og små bokstaver for å endre domenet . I saksinnsendingen må du sørge for å be om fjerning av domenekonfigurasjonen og alle synkroniseringsattributter i organisasjonen.
| ||
| 5 | Etter at saken er løst: Utfør en testkjøring med Directory Connector før du utfører selve synkroniseringen. |
Domenekrav
Et domenekrav oppstår hvis du gjør krav på et e-postdomene for en organisasjon, slik at en eventuell skjenkkonto opprettes i den betalte kundeorganisasjonen og ikke i den gratis forbrukerorganisasjonen. Du kan bare gjøre et domenekrav gjennom en støttesak (se koblingen nedenfor for mer informasjon).
Hvis katalogkoblingen er aktiv og domenet gjøres krav på, opprettes ikke skjenkkontoer verken i kundeorganisasjonen eller i den gratis forbrukerorganisasjonen. Bare katalogkoblingen kan klargjøre kontoer for organisasjonen fra Active Directory. Informasjonen som er lagret i Active Directory , er den opprinnelige kilden. Hvis du prøver å legge inn en konto på skjenk, mottar den inviterte brukeren en feilmelding. Den eneste måten en invitert bruker kan legges til i et Webex-appområde, er først å bruke katalogkoblingen til å klargjøre kontoen i Control Hub.
Konverter gratis brukere av Webex-appen i en katalogsynkronisert organisasjon
Du kan bare bruke unike e-postadresser i katalogen for Webex-appen. Hvis brukerne dine har registrert seg for gratisversjonen av Webex-appen, finnes kontoen deres i den gratis forbrukerorganisasjonen. Hvis du vil administrere brukere i denne organisasjonen ved hjelp av Katalogkobling, må du overføre (konvertere) dem til kundeorganisasjonen før du slår på Katalogkobling. Deretter legger du til brukerne i Active Directory med den nøyaktige e-postadresse og synkroniserer til skyen.
Hvis du ikke konverterer kontoene før aktivering, må du slå av katalogkoblingen for å konvertere dem.
Hvis du prøver å konvertere en bruker mens katalogsynkronisering er aktivert, vises feilmelding<email address=""> kunne ikke konverteres
vises. Hvis du vil unngå problemet, kan du bruke disse trinnene som en løsning.
| Noen påståtte brukere kan dukke opp med Hvis du ikke legger til disse brukerne, blir alle slettet neste gang du synkroniserer til skyen. |
| 1 | Deaktiver katalogsynkroniseringen fra katalogkoblingen. | ||
| 2 | Følg Konverter ulisensierte brukere i Control Hub prosedyre for å konvertere brukeren fra den gratis forbrukerorganisasjonen til bedriftsorganisasjonen. Dette trinnet legger til brukeren i organisasjonen, og kontoen vises i Control Hub. Katalogkobling gjør Active Directory til den eneste sannheten for brukerkontoer, og målet er å ha nøyaktig samsvar mellom Active Directory og Control Hub. Kontroller at det finnes samsvarende brukere i Active Directory for eventuelle nylig konverterte brukere før du aktiverer synkroniseringen på nytt. En testsynkronisering kan brukes til å sikre at det ikke finnes gjenværende brukere uten samsvar. | ||
| 3 | Utfør en tørrkjøringssynkronisering på Directory Connector. Når testkjøringen er fullført, kontrollerer du fanen Legg til objekter. Kontroller at brukere du konverterte, ikke har blitt slettet.
| ||
| 4 | Når du er sikker på at neste synkronisering ikke fjerner noen kontoer, aktiverer du katalogsynkronisering på nytt fra Katalogkobling. |
Konverterte brukerkontoer aktiveres ikke automatisk hvis du ikke har bekreftet et domene. Hvis du for eksempel har aktivert malen for automatisk tilordning av lisenser og deretter aktivert Katalogkobling uten domenebekreftelse, er konverterte brukere inaktive i skyserveren til de bekrefter e-postadressene sine.
Brukerkontoer for Webex-appen med skjenk
Når du inviterer en annen bruker til et område i Webex-appen, og den inviterte brukeren ikke har en Webex-appkonto, opprettes det en konto for brukeren ("skjekk"). Som standard legges kontoer som opprettes på denne måten til i den gratis forbrukerorganisasjonen.
Hvis du vil administrere den skjenkede kontoen ved hjelp av Directory Connector, må du konvertere kontoen .
Endre format for brukernavn for Webex-appen etter katalogsynkronisering
Som standard tilordner Directory Connector attributtet displayName i Active Directory til displayName-attributtet i skyen.
Etter at du har utført en katalogsynkronisering, kan du oppleve at brukernavn vises i formatet<lastName, firstName=""> .
Dette brukernavnet kan vises hvis displayName-attributtet i Active Directory er konfigurert på denne måten. Når attributtet er tilordnet til displayName i skyen vises navn i formatet<lastName, firstName=""> i Control Hub.
Hvis du vil endre formatet, i skjermbildet for tilordning av attributter for Directory Connector: tilordne Active Directory -attributtet givenName sn(eller sn givenName) til displayName i Cisco Cloud Attribute Names.
Du kan også tilordne attributtet sn givenName til displayName:
Du kan også bruke alternativet Tilpass attributt hvis du vil tilordne ditt eget tilpassede attributtuttrykk til displayName.
Angi for eksempel givenName + "" + sn(fornavn, mellomrom, etternavn) som uttrykk. Dette tilordner de to attributtene i Active Directory til displayName i skyen.
Tillat brukere å endre visningsnavn i Webex Meetings
Du kan oppheve tilordningen av displayName-attributtet fra synkronisering til skyen i Directory Connector hvis du vil la brukere redigere sine foretrukne visningsnavn. Brukere kan angi et visningsnavn som skal vises under Webex-møter i stedet for for- og etternavnet. Administratorer kan også endre visningsnavn for en bruker manuelt i Control Hub.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tilordning av brukerattributter . |
| 2 | Velg visningsnavn under Navn på Cisco Cloud . |
| 3 | Velg Ikke synkroniser dette attributtet . |
Hva nå?
Brukere kan nå redigere visningsnavnene fra Webex-nettsted .
Oppgrader til den nyeste programvareversjonen
For å holde distribusjonen i samsvar og få de nyeste funksjonene, funksjonaliteten, feilrettinger og sikkerhetsforbedringer, må du alltid oppgradere til den nyeste versjonen av Directory Connector. Hvis du ikke oppgraderer til den nyeste versjonen som er tilgjengelig, kan du få problemer, for eksempel at Directory Connector ikke lenger synkroniserer riktig eller bruker en versjon som ikke støtter det obligatoriske TLS 1.2-krav .
Katalogkobling varsler deg automatisk når en ny versjon er tilgjengelig. Oppgrader alltid til den nyeste versjonen for å unngå problemer. Du ser også et varsel på oppgavelinjen i Windows.
| Selv om du kan installere oppdateringer for koblingsprogramvare manuelt, anbefaler vi at du følger trinnene i Angi automatiske oppgraderinger for å la appen administrere oppgraderingene dine automatisk. |
| 1 | Klikk på varselet på oppgavelinjen i Windows, eller høyreklikk på Katalogkobling-ikonet på oppgavelinjen i Windows for å starte oppgraderingsprosessen. |
| 2 | Følg instruksjonene for å fullføre oppgraderingen. |
| 3 | Start koblingen på nytt, og logg på med administratorlegitimasjonen din. |
| 4 | Kontroller versjonsnummeret til programvaren under . |
Hva nå?
For en ny installasjon av Directory Connector kan du laste ned zip-filen og følg deretter installasjonstrinnene i denne veiledningen.
Konfigurer generelle innstillinger for Directory Connector
Bruk denne fremgangsmåten til å konfigurere generelle innstillinger, for eksempel navnet på serveren som kjører Directory Connector, loggnivåer, automatiske oppgraderinger og foretrukne innstillinger for domenekontrollerne. Navnet på kontakten vises på instrumentbordet i koblingsdelen, sammen med eventuelle andre kontakter som kjører.
| 1 | Fra Katalogkobling går du til Konfigurasjon , og klikk deretter Generelt . | ||
| 2 | I Koblingsnavn -feltet, skriver du inn kontaktnavnet. Dette feltet viser bare datamaskinnavnet som for øyeblikket kjører kontakten. | ||
| 3 | Velg loggnivå fra rullegardinlisten. Som standard er loggnivået satt til info . De tilgjengelige loggnivåene er:
| ||
| 4 | Velg Foretrukne domenekontrollere for å angi rekkefølgen på domenekontrollere for synkronisering av identiteter. Domenekontrollerne er tilgjengelige fra topp til bunn. Hvis den øverste kontrolleren ikke er tilgjengelig, velger du den andre kontrolleren på listen. Hvis ingen kontroller er oppført, har du tilgang til primærkontrolleren. | ||
| 5 | Sjekk Oppgrader automatisk til den nye versjonen av Cisco Directory Connector hvis du vil at automatiske oppgraderinger skal skje. Det er alltid viktig å holde Cisco Directory Connector-programvaren oppdatert til den nyeste versjonen. Vi anbefaler at du kontrollerer denne innstillingen for å tillate at automatiske oppgraderinger av programvaren installeres stille når de er tilgjengelige. | ||
| 6 | Sjekk LDAP over SSL for å bruke sikker LDAP (LDAPS) som tilkoblingsprotokoll.
LDAP (Lightweight Directory Application Protocol) og Secure LDAP (LDAPS) er tilkoblingsprotokollene som brukes mellom et program og domenekontrolleren i infrastrukturen. LDAPS-kommunikasjon er kryptert og sikker. |
Konfigurer koblingspolicyen
Du kan angi maksimalt antall slettinger som kan skje under synkronisering. Når du kjører synkronisering, slettes ikke objekter fra den lokale Active Directory. Alle objekter slettes bare fra skyen.
Du angir for eksempel 1 som utløserverdi for sletteterskel. Når du foretar full eller trinnvis synkronisering, og antallet brukere du vil slette er mer enn innstillingen, viser katalogkontakten en advarsel. Hvis du klikker Overstyr terskel , kan du starte full eller trinnvis synkronisering, men du vil se dette overstyringsvarselet neste gang du kjører policyen.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Retningslinjer . | ||
| 2 | Sjekk Aktiver utløser for sletteterskel hvis du vil legge til en terskelutløser. Hvis du velger dette alternativet, utløses et varsel hvis antall slettinger overskrider terskelen. Når slettekontoen overskrider den du angir, mislykkes synkroniseringen.
| ||
| 3 | Angi maksimalt antall slettinger du vil bruke. Standarden er 20.
| ||
| 4 | Klikk på Bruk. |
Angi tidsplan for kobling
Angi tidspunkt for synkronisering i Active Directory. Failover brukes for høy tilgjengelighet (HA). Hvis én kontakt er nede, bytter vi til en annen standby-kontakt etter det forhåndsdefinerte intervallet.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tidsplan . |
| 2 | Angi Inkrementelt synkroniseringsintervall på minutter. Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt. Den fullstendige trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering. |
| 3 | Endre Send rapporter per… gang verdi hvis du vil endre hvor ofte rapporter sendes. |
| 4 | Sjekk Aktiver tidsplan for full synkronisering for å angi dagene og tidspunktene du vil at en full synkronisering skal skje. |
| 5 | Angi Failover-intervall på minutter. |
| 6 | Klikk på Bruk. |
Flere domenescenarier
Flere domener er basert på domeneprioritet. For objekter som har samme nøkkelverdi i forskjellige domener, etter synkronisering, vil dataene fra domenet med høyere prioritet skrive om dataene fra domenet med lavere prioritet.
Objekter som har samme nøkkelverdi, kobles til én oppføring i databasen.
Nøkkelverdien for «Bruker» er E-postadresse ; nøkkelverdien for «Gruppe» er Gruppenavn .
Eksempel på bruksanvisning for flere domener
Dette eksemplet forutsetter en organisasjon med to domener – eksempel1.com og eksempel2.com, i prioritert rekkefølge.
Legg til bruker1(e-post: bruker@example1.com) til Active Directory for eksempel1.com.
Legg til gruppe1(Gruppenavn: Test) til Active Directory for example1.com.
Legg til bruker2(e-post: bruker@example2.com) til Active Directory for eksempel2.com.
Legg til gruppe2(Gruppenavn: Test) til Active Directory for example2.com.
- Synkronisering på example1.com
-
Som et brukscase er bruker2 og gruppe2 synkronisert til skyen og vises ihttps://admin.webex.com , mens bruker1 og gruppe1 ikke er det.
Hvis du utfører en fullstendig eller trinnvis synkronisering for example1.com, synkroniseres bruker1 og gruppe1. Dessuten overskrives bruker2 og gruppe2 av informasjonen til bruker1 og gruppe1.
Bruker1 kobler til bruker2 som den samme oppføringen i databasen; gruppe1 kobler gruppe2 som den samme oppføringen i databasen.
- Synkronisering på example1.com og example2.com
-
Som et brukscase er bruker2 og gruppe2 synkronisert til skyen og vises ihttps://admin.webex.com , mens bruker1 og gruppe1 ikke er det.
Vurder disse trinnene:
- Slett bruker1 og gruppe1 i Active Directory for example1.com.
- Utfør en fullstendig eller trinnvis synkronisering for eksempel1.com.
Resultat: brukerens informasjon endres ikke ihttps://admin.webex.com . Bruker2 er ikke koblet til bruker1, og gruppe2 er ikke koblet til gruppe1.
- Utfør en trinnvis synkronisering for example2.com.
Resultat: brukerens informasjon endres ikke ihttps://admin.webex.com .
- Utfør en fullstendig synkronisering for example2.com.
Resultat: Informasjonen til bruker2 og gruppe2 er oppført ihttps://admin.webex.com .
Synkronisere et nytt domene og behold et eksisterende domene
Hvis du vil synkronisere et nytt domene (B) mens du opprettholder de synkroniserte brukerdataene på et annet eksisterende domene (A), må du sørge for at du installerer Directory Connector for domene (B)-synkronisering på en støttet Windows-server. Koblingen bindes til det nye domenet etter det første oppsettet, og brukerinformasjon under domene (A) forblir upåvirket.
Hvert domene må ha sin egen aktive kobling. Vurder to domener med følgende oppsett: domene A med kontakter (ca1) og (ca2) for lokal høy tilgjengelighet (HA); domene B med kontakt (cb1). (ca1) og (ca2) betjener domene A. I dette scenariet er én kontakt aktiv og den andre i ventemodus (HA). Denne utformingen holder domenet synkronisert, fordi én kobling alltid er aktiv. Så cb1 er den aktive kontakten for domene B, fordi domene A allerede har en aktiv kontakt (ca1 eller ca2).
Angi domeneprioritet
Bruk denne fremgangsmåten til å endre prioriteten til Active Directory -domenene dine. Domeneprioritet lar deg bestemme primærdomenet, sekundært domene og så videre. Dette hjelper når to brukere fra to forskjellige domener har samme e-postverdi synkronisert til én organisasjon.
Ikke bruk denne fremgangsmåten hvis du har ett enkelt domene oppført i katalogkoblingen. Hvis du prøver, viser koblingen deg en melding om at domeneprioritet ikke er nødvendig.
Før du starter
Hvis du vil unngå feil, installerer eller oppgraderer du til den nyeste versjonen av Cisco-katalogkontakt. Du må laste den ned frahttps://admin.webex.com .
| 1 | Fra Cisco-katalogkontakt klikker du på Instrumentbord . | ||
| 2 | Gå til Handlinger , og klikk deretter Angi domeneprioritet . | ||
| 3 | Uthev ett domene i listen, klikk på Opp eller Ned for å endre dette domenets prioritet, og klikk deretter på Lagre for å lagre denne endringen.
|
Bytt domener
Bruk denne fremgangsmåten til å koble Cisco-katalogkontakten til et annet domene på nytt.
Før du starter
Kontroller at ingen synkroniseringsoppgaver kjører før du bytter domener.
Hvis du vil unngå feil, installerer eller oppgraderer du til den nyeste versjonen av Cisco-katalogkontakt. Du må laste den ned fra Kontrollhub .
| 1 | Fra Cisco-katalogkontakt klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter Bytt domene . |
| 3 | Når du har lest advarselen, hvis du forstår hvilken innvirkning denne endringen har på distribusjonen, og du fortsatt er sikker, klikker du på Ja . Hvis du bytter domene, blir du logget av den gjeldende Cisco-katalogkontakten, andre domener i kontakten blir avregistrert, og kontaktinformasjonen på den datamaskinen slettes. |
| 4 | Logg på Cisco-katalogkontakten igjen, og bind domenet på nytt. |
Slå av katalogsynkronisering
Hvis du må stoppe synkroniseringen fra Directory Connector, kan du midlertidig slå den av fra Control Hub.
| 1 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Katalogsynkronisering , og velg deretter én:
|
| 2 | Når du har lest ledeteksten, klikker du på Slå av . Synkroniseringen stopper til du aktiverer den på nytt fra Katalogkobling. |
Fjern tilordning av brukerattributter
Bruk Katalogkobling til å fjerne tilordningen for Active Directory -attributter som tidligere var tilordnet til skyen og synkronisert til Webex. Når du har fjernet attributtilordningen, fjernes attributtverdiene fra skyen og synkroniseres ikke lenger til Webex. Disse verdiene kan deretter redigeres manuelt.
| 1 | Fra Katalogkobling klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter . |
| 3 | Velg tilordningen som skal fjernes fra Attributtnavn listen. |
| 4 | Under Berørt brukeromfang , velger du ett av følgende:
|
| 5 | Klikk på Bruk. |
Behandle profilbilder
Bruk Katalogkobling til å oppdatere brukerprofil eller til å fjerne tomme brukerprofil .
| 1 | Fra Katalogkobling klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter . |
| 3 | Under Handlinger , velger du ett av følgende:
|
| 4 | Klikk på Bruk. |
Avinstaller og deaktiver katalogkobling
Når du har avinstallert en forekomst av Directory Connector, må du avregistrere den. Fjern en katalogkobling fullstendig for disse scenariene:
Du vil ikke bruke katalogsynkronisering lenger.
Du vil ikke bruke én av flere katalogkoblinger (høy tilgjengelighet).
Du vil endre domenet og installere en annen kobling.
Før du starter
Du kan ha flere forekomster av Directory Connector konfigurert for synkronisering med høy tilgjengelighet (HA) eller flere domenesynkronisering. Deaktiver synkroniseringen hvis du avinstallerer den eneste eller siste gjenværende forekomsten av Directory Connector.
Lagre og lukk viktig arbeid før du avinstallerer Directory Connector.
| 1 | Fra Windows-maskinen går du til Kontrollpanel, og klikker deretter på Programmer og funksjoner . |
| 2 | Fra programlisten klikker du på Katalogkobling , velg Avinstaller , og følg deretter ledeteksten. Du må kanskje starte systemet på nytt for å fullføre avinstallasjonen. |
| 3 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Katalogsynkronisering , klikk mer |
| 4 | Når du har lest ledeteksten, klikker du på Deaktiver . Med mindre det finnes en annen katalogkobling i en distribusjon med høy tilgjengelighet (HA), synkroniseres ikke brukerkontoer lenger. |
Kjør diagnoseverktøyet
Du kan bruke det innebygde feilsøkingsverktøyet til å feilsøke Directory Connector-distribusjonen. Dette verktøyet er installert som en del av Directory Connector 3.4 og nyere.
Hvis synkroniseringen ikke fungerte som den skal, kan det hende du har en konfigurasjons- eller nettverksfeil. Dette verktøyet tester tilkoblingen din til LDAP slik at du kan diagnostisere feil selv før du kontakter kundestøtte. Hvis verktøyet returnerer en feil, kan du sende de detaljerte loggresultatene til kundestøtte.
Slik kjører du tester for Active Directory -domenetjenester:
Slik kjører du tester for Active Directory Lightweight Directory-tjenester:
Slik kjører du tester for LDAP ( Lightweight Directory Access Protocol ):
Feilsøking og rettelser for Directory Connector
Du kan støte på en feilmelding eller et annet problem i Directory Connector. Etter at Directory Connector synkroniserer brukerinformasjon, kan det også hende at koblingen sender deg en e-postrapport som viser eventuelle problemer med synkroniseringen. Se avsnittene nedenfor for problemer som kan oppstå, mulige årsaker og forslag til løsninger du kan prøve før du kontakter kundestøtte.
Installerer
Katalogkobling sluttet å fungere
Du mottok e-postvarsel som varsler deg om at katalogkoblingen ikke fungerer.
Katalogkobling er kanskje ikke riktig installert.
Directory Connector kjører kanskje ikke.
Nettverket er kanskje ikke tilgjengelig.
Prøv følgende:
Åpne . Finn Katalogkobling. Hvis den ikke er der, laster du ned den nyeste versjonen fra Control Hub og installerer den.
Åpne Tjeneste og finn Cisco DirSync-tjeneste. Kontroller at den viser statusen som Startet . Hvis tjenesten er stoppet, høyreklikk du og velger Start for å starte tjenesten på nytt.
Kontroller at serveren du installerte katalogkoblingen på, har tilgang til Internett.
Feil ved reinstallasjon
Problem –Hvis du umiddelbart installerer en ny kontakt etter at du har avinstallert en gammel, kan det hende at du ser en feilmelding.
Mulig årsak – I Windows Server 2012 trenger avinstallasjonsklienten tid til å slette tjenestekonto fra tjenestelisten.
Løsning – Når det har gått litt tid, kan du prøve installasjonen på nytt.
Logg på
Katalogkobling krasjer under SSO-pålogging
Problem
Katalogkobling kan krasje etter at du angir en e-postadresse fra en SSO-påloggingsside.
Løsning
Prøv følgende:
Gjør følgende for å konfigurere en ny gruppepolicy:
Gå til domenekontrolleren og åpne administrasjon av gruppepolicy (gpedit.msc).
Høyreklikk på en bestemt organisasjonsenhet eller et bestemt domene, og velg Opprett et GPO på dette domenet , og Koble den her…
Gi retningslinjen et navn, høyreklikk og velg Rediger .
Gjør følgende for å endre policyen på maskinnivå:
Gå til , høyreklikk Register , velg Nyhet , og deretter Registerelement .
For Nøkkelbane , angi eller gå til HKEY_ LOKALT_ MASKIN\SOFTWARE\Microsoft\ Internet Explorer\Main .
Oppgi
Disable Script Debuggerfor Verdi , og anginofor Verdidata .Innstillingene skal samsvare med dette skjermbildet:
Gjør følgende for å endre retningslinjene på brukernivå:
Gå til , høyreklikk Register , velg Nyhet , og deretter Registerelement .
For Nøkkelbane , angi eller gå til HKEY_ GJELDENDE_ BRUKER\SOFTWARE\Microsoft\ Internet Explorer\Main .
Oppgi
Disable Script Debuggerfor Verdi , og anginofor Verdidata .Innstillingene skal samsvare med dette skjermbildet:
| Endringene trer i kraft etter at du har kjørt |
Kunne ikke registrere Cisco DirSync Service Connector
Problem
Pålogging mislykkes, og denne meldingen vises: «Kunne ikke registrere Cisco DirSync Service Connector.»
Løsning
Windows-systemet som Directory Connector er installert på, må være medlem av Active Directory.
Det vises ingen påloggingsside
Problem
Du åpnet Directory Connector, og påloggingssiden ble ikke vist.
Løsning
Prøv følgende trinn:
I Internet Explorer går du tilhttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL . Prøv koblingen i andre nettlesere som Chrome og Firefox.
Hvis Internet Explorer ikke kan besøke koblingen, men andre nettlesere kan, kontrollerer du innstillingene for Internet Explorer og merker av for TLS 1.1 og 1.2. (Bruk Aktiver TLS i Internet Explorer prosedyre.)
Melding om pålogging vises
Problem
Det vises en melding som ber deg om å angi brukernavn og passord for å sende godkjenningen.
Mulig årsak
Katalogkoblingen fullfører NTLM-sikkerhetsgodkjenning lydløst med påloggingskontoen. Hvis autentiseringen mislykkes, vises en dialogboks der du blir bedt om brukernavn og passord for autentiseringen.
Løsning
Når du ser popup-vinduet for pålogging, må du oppgi en gyldig konto med riktig autentisering for å sende sikkerhet.
Kan ikke koble til den eksterne serveren
Problem
Under normal drift vises feilmelding : «Kan ikke koble til den eksterne serveren.»
Mulig årsak
Du kan ha proxy-problemer som må løses.
Løsning
Se Feilsøke innloggingsproblemer for tjenestekonto for mer feilsøkingsinformasjon.
Kan ikke registrere koblingen
Problem
Du ser feilmelding «Kan ikke registrere kontakten. Det oppstod et generelt unntak.»
Mulig årsak
I de fleste tilfeller skyldes problemet at katalogkoblingen ikke har tillatelse til å koble til LDAP-rotkontekst.
Løsning
Prøv følgende:
Kjør en ledetekst (cmd), og skriv deretter inn ldp.exe .
Klikk på , velg Bind som pålogget bruker , og klikk deretter OK .
Klikk på , angi DC=arbonneintl,DC=ad som BaseDN, og klikk deretter OK .
Hvis problemet vedvarer, åpne en sak med støtte .
Synkronisering
Avatarer ikke synkronisert
Problem
Cisco-katalogkoblingen synkroniserte bruker-AD-data til Webex-skyen. Men ingen avatardata ble synkronisert.
Mulig årsak
Hvis du brukte en eksisterende avatarserver på nytt og brukeravatarene allerede var synkronisert, registrerer den lokale hurtigbufferen dem og unngår å sende på nytt for å spare båndbredde.
Løsning
Slett den lokale hurtigbufferen ved å følge denne fremgangsmåten:
Gå til C:\Program Files (x86)\ Cisco Systems\Cisco Directory Connector\Plugins\
Slett DirSyncPluginAvatar.dll-cache.bin .
Kjør avatarsynkroniseringen på nytt fra Cisco-katalogkontakten.
Motstridende e-postkontoer for brukere
Problem
Synkroniseringsresultater kan vise motstridende e-postkontoer for brukere.
Hvis brukere prøvde gratisversjonen av Webex-appen, ligger e-postadressene deres i den gratis forbrukerorganisasjonen.
Hvis brukere-e-poster noen gang ble synkronisert i en annen organisasjon.
Hvis e-postadresser for brukere finnes i flere domener som tilhører organisasjonen.
Løsning
Prøv følgende:
Følg denne fremgangsmåten hvis du prøver å gjøre krav på brukere:
Kontroller at du har bekreftet domenet i Control Hub .
Deaktiver Cisco-registerkobling midlertidig.
Bruk alternativet Krev bruker i Control Hub til å gjøre krav på alle kontoer som finnes i den gratis forbrukerorganisasjonen. Se Krev brukere til organisasjonen din (Konverter brukere) hvis du vil ha mer informasjon.
Gjør en tørrkjøring i Cisco Directory Connector, og aktiver deretter katalogsynkronisering på nytt
I det siste tilfellet dobbeltsjekker du brukerdataene i Active Directory -kildene.
Konvertert bruker merket som inaktiv
Problem
I det synkroniserte katalogmiljøet konverterte du en gratis bruker (forbrukerorganisasjon) til bedriftsorganisasjonen, men den konverterte brukeren kan ikke logge på Webex-appen.
Mulig årsak
Når den gratis brukeren konverteres til bedriftsorganisasjonen, merkes brukeren som inaktiv status i 30 dager som et sikkerhetstiltak. I løpet av denne perioden kan ikke brukeren logge på Webex-appen og merkes for sletting på slutten av 30-dagersperioden. Denne situasjonen oppstår fordi den gratis brukerinformasjon ikke finnes i Active Directory.
Løsning
Du må iverksette tiltak hvis du ikke vil at brukerkonto skal slettes. Du kan løse dette problemet ved å opprette en brukerkonto i den lokale Active Directory som tilsvarer den konverterte gratis brukerkonto. Deretter utfører du en synkronisering fra Cisco-registerkoblingen. Deretter kan brukeren logge på Webex-appen igjen, og kontoen blir ikke slettet.
Inkrementell synkronisering mislykkes
Problem
En trinnvis synkronisering mislykkes.
Dette problemet kan oppstå på Windows Server 2008 R2 under følgende forhold:
Du støtter trinnvise verdioppdateringer.
Filteret du bruker, refererer til et koblet verdiattributt.
Resultatverdiene for dette attributtet ble oppdatert siden forrige gang en full synkronisering ble utført.
Løsning
Windows Server 2008 R2 har en feil som er relatert til dette problemet. Feilen er rettet i 2012 R2 og nyere. Vi anbefaler at du oppgraderer Windows Server til minst 2012 R2.
Ugyldig verdi for attributt
Problem
For [user dn (distinguished name)] har attributtet [attribute name] følgende ugyldig verdi [attributtverdi].
Mulig årsak
For CN=b,OU=Employees,OU=C Users,DC=c,DC=com, har attributtet [telefonnummer] følgende ugyldig verdi: +. Dette attributtet må inneholde minst ett tall.
Løsning
Et attributt for denne brukeren har ikke en gyldig verdi. Rett verdien i henhold til beskrivelsen i advarselsmelding. Utfør deretter en ny synkronisering.
Samsvarende brukere som skal slettes
Problem
De samsvarende brukerne er merket for å bli slettet.
Når du utfører en tørrkjøringssynkronisering for å sjekke dataene mellom Active Directory og skyen, kan det hende du ser den samme e-postadresse i begge. Brukeren er imidlertid merket som et objekt som skal slettes.
Løsning
Velg en passende løsning:
Hvis det er greit å slette brukeren og gjøre om lisensene etterpå, kan du bruke Katalogkobling for å løse problemet. Utfør en synkronisering for å slette brukeren, og utfør deretter en ny synkronisering for å synkronisere brukeren fra lokal AD til skyen.
Hvis du ikke kan slette og opprette brukerkonto på nytt, åpne en sak med støtte .
Mangler attributt
Problem
Det obligatoriske attributtet [attribute_name ] når du legger til en lokal oppføring [user dn (distinguished name)]. Oppføringen opprettes ikke i Control Hub før alle obligatoriske attributter har en verdi.
Mulig årsak
E- e-postadresse for det obligatoriske attributtet mangler. Når du legger til den lokale oppføringen [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], opprettes ikke oppføringen i Control Hub før alle obligatoriske attributter har en verdi.
Løsning
Ett av de obligatoriske attributtene mangler for brukeren [user_email_address ]. Angi de nødvendige verdiene for denne brukeren.
Nestet gruppe vil ikke synkroniseres
Problem
Brukere i en nestet Active Directory -gruppe synkroniseres ikke riktig til skyen.
Mulig årsak
Det brukes et filter som inkluderer både den underordnede gruppen og den overordnet gruppe, noe som ikke støttes. For eksempel: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Løsning
Du må konfigurere filteret som synkroniserer grupper på nytt. For eksempel: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
Brukernavnekonflikt
Problem
Det er en navnekonflikt for [user dn] for et eksisterende skyoppføringsobjekt med navnet: [user e-postadresse], og av brukertype [user_type ].
Mulig årsak
En bruker med den e-postadresse finnes allerede i Control Hub.
Løsning
Opprett en bruker i Active Directory med samme e-postadresse som kontoen du registrerte via Control Hub.
Control Hub
Brukerliste mangler i Control Hub
Problem
Hvis du har en Webex-organisasjon med mer enn 1000 synkroniserte brukere, kan det hende at du ikke ser brukerliste i Control Hub.
Løsning
Du kan bruke søkefunksjonen til å finne en brukerkonto. I Control Hub går du til Brukere , klikk på søk , og angi deretter søkekriterier for å finne en bestemt bruker.
Grupper vil ikke synkroniseres til Control Hub
Problem
Brukere i en kataloggruppe synkroniseres ikke riktig til Control Hub.
Mulig årsak
Gruppen er ikke merket som isCriticalSystemObject i Active Directory.
Løsning
Kontroller at attributtet isCriticalSystemObject er angitt til TRUE i Active Directory.
Aktiver feilsøking for katalogkobling
Du kan aktivere feilsøking for å diagnostisere eventuelle feil du støter på i Directory Connector. Feilsøking lar deg fange opp informasjon om nettverkstrafikken og lagre den i en fil.
Loggfilene som er: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 | Kjør | ||
| 2 | Start tjenesten på nytt. Se Slik starter du tjenester for veiledning. | ||
| 3 | I Katalogkobling klikker du på Instrumentbord . | ||
| 4 | Gå til Handlinger , og klikk deretter . | ||
| 5 | Når feilsøking er aktivert, gjentar du handlingene som forårsaket feilen. dette fanger opp trafikkdataene slik at de kan undersøkes. | ||
| 6 | Undersøk loggfilene: Hvis filen er tom, må du kontrollere at kontoen har tilgangsrettigheter til AD DS eller AD LDS.
| ||
| 7 | Send om nødvendig loggfil til kundestøtte for å få hjelp. | ||
| 8 | Deaktiver feilsøkingsfunksjonen når du er ferdig. |
Start Event Viewer
Hvis du vil se hendelsene som oppstod under en fullstendig eller trinnvis synkronisering, starter du Hendelsesliste. Den viser et sammendrag av administrative hendelser og feillogger.
| 1 | Fra Katalogkobling går du til Instrumentbord , og klikk deretter . Dialogboksen Egenskaper for hendelse viser detaljene for synkroniseringshendelsen og feilinformasjonen. |
| 2 | Fra Event Viewer, gå til .
|
| 3 | Under Handlinger , klikk Lagre alle hendelser som for å eksportere alle loggene som én enkelt hendelsesfil (*.evtx) eller et annet format, for eksempel xml eller csv. |
Hva nå?
Hvis du må åpne en sak, ta kontakt med kundestøtte , beskriv problemet med kontakten, og legg deretter ved hendelser-filen til saken.
| Hendelseslogger registrerer brukerhandlinger. Hvis du vil ha hjelp til å administrere nettverkstrafikk, aktiverer du feilsøking på kontakten. |
Aktiver TLS i Internet Explorer
Hvis du byttet leverandør av engangspålogging (SSO), kan det hende du ser følgende feilmeldinger fra Cisco-katalogkontakt:
Det oppstod en feil ved pålogging til tjenesten
Det har oppstått en feil i skriptet på denne siden
Hvis du ser disse feilene, må du aktivere en TLS-innstilling i nettleseren.
| 1 | Åpne Internet Explorer, og velg deretter Verktøy . Nå merker du av for TLS/SSL-versjonen du vil aktivere. Klikk på OK Lukk nettleseren og åpne den på nytt |
| 2 | Klikk på Alternativer for Internett , gå til Avansert , bla til Sikkerhet . |
| 3 | Sjekk Bruk TLS 1.1 og Bruk TLS 1.2 avmerkingsboksene, og klikk deretter på OK .
|
| 4 | Start systemet på nytt for at endringene skal tre i kraft. |
Feilsøke innloggingsproblemer for tjenestekonto
Hvis du ikke kan logge på Cisco-registerkontakt eller ikke kan kjøre en synkronisering, bruker du disse trinnene for å prøve å løse problemet før du kontakter kundestøtte.
| 1 | Prøv å besøkehttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL i nettleseren din. | ||
| 2 | Velg én, avhengig av resultatene:
| ||
| 3 | Kontroller som et minimum at den konfigurerte kontoen for Cisco DirSync-tjenesten (som finnes i Windows-tjenester) har et rettighetsnivå som gir den tilgang til avatardata og AD-data. Som standard bruker tjenesten påloggingsinformasjonen og autentiseringen for Windows-påloggingskontoen. |
Sjekk SafeDllSearchMode i Windows-registeret
Søkemodus for Safe dynamic link library (DLL) angis som standard i Windows-registret og plasserer brukerens gjeldende katalog senere i DLL-søkefølgen. Hvis denne modusen på en eller annen måte ble deaktivert, kan en angriper plassere en skadelig DLL (kalt det samme som en referert DLL-fil som ligger i systemmappen) i gjeldende arbeidskatalog for programmet.
Vanligvis er SafeDllSearchMode aktivert, men bruk denne fremgangsmåten til å dobbeltsjekke registerinnstillingene.
Før du starter
| Endringer i Windows-registret bør gjøres med ekstrem forsiktighet. Vi anbefaler at du tar en sikkerhetskopi av registeret før du bruker disse trinnene. |
| 1 | I Windows-søk eller Kjør-vinduet skriver du inn regedit og trykk deretter på Gå inn . |
| 2 | Gå til HKEY_ LOKALT_ MASKIN\System\CurrentControlSet\Control\Session Manager . |
| 3 | Velg én:
|
Hvis du vil ha mer informasjon, se Søkerekkefølge for dynamisk koblingsbibliotek .
Oversikt over katalogkobling
Katalogkobling er et lokalt program for identitetssynkronisering i skyen. Du laster ned kontaktprogramvaren fra Control Hub og installerer den på din lokale maskin.
Med Directory Connector kan du vedlikeholde brukerkontoene og dataene i Active Directory, slik at Active Directory blir den eneste kilden til sannhet. Når du gjør en endring lokalt, blir den replikert til skyen.
Se alle funksjonene, beskrivelsene og fordelene i tabellen:
| Funksjon | Beskrivelse og fordel |
|---|---|
| Brukervennlig instrumentbord | Instrumentbordet inneholder en synkroniseringsplan, et sammendrag og status for synkroniseringen, og statusen for katalogkoblingen. Du kan vise instrumentbordet når du logger på. |
| Tørrkjør før synkronisering til skyen | Gjennomfør en tørrkjøring med endringer i katalogen før de implementeres i skyen. Kjør deretter en rapport for å se at endringene du vil gjøre, er de du forventer. |
| Full og trinnvis synkronisering | Synkroniser hele katalogen. Eller bare synkroniser de trinnvise endringene for å spare prosessorstrøm og forkorte synkroniseringstiden. |
Synkronisere flere domener (enkeltskog eller flere skoger) |
Katalogkobling støtter flere domener, enten under én enkelt skog eller under flere skoger (uten behov for AD LDS). For bedrifter med flere Active Directory -domener kan du installere en katalogkobling for hvert domene, binde hvert domene til organisasjonen og deretter synkronisere hver brukerbase til Webex. Control Hub gjenspeiler statusen ved å vise synkroniseringsstatusen for flere katalogkoblinger, lar deg slå av synkronisering for et bestemt domene og deaktivere en katalogkobling i en distribusjon med høy tilgjengelighet . |
| Planlagt synkronisering | Angi en synkroniseringsplan etter dag, time og minutt. |
| LDAP-filtre ( Lightweight Directory Access Protocol ). | Definer LDAP søkekriterier og gi effektiv import. |
| Active Directory -attributter | Tilordne Microsoft Active Directory -attributter til tilsvarende Webex-skyattributter. Du kan tilordne attributter som er relevante for Active Directory -konfigurasjonen din, og også definere egendefinerte attributter som skal tilordnes til skyen. Attributtene fra lokalene danner forskjellige data i skyen, for eksempel brukerkonto , bedriftstelefonnumre i Webex Teams, SIP-adresser for romressurser og andre kontaktkort for brukerkontakt (jobbtittel, avdeling, leder og så videre). |
Bedriftskatalog for lokale romressurser og brukere av Cisco Webex Calling (Cloud PSTN) og bedriftskontakter uten Webex-lisensiering |
Hvis en del av organisasjonen bruker Cisco Webex Calling sky PSTN for samtaletjeneste, eller du har lokale rom-enheter, lar denne funksjonen brukere søke i katalogen etter bedriftskontakter fra sine Cisco Webex Calling telefoner (PSTN i sky) eller romressurser.
|
| Hendelsesvisning | Bruk hendelsesvisningen til å finne ut om det var problemer med synkroniseringen. |
| Diagnoseverktøy og feilsøking | Du kan bruke det innebygde diagnoseverktøyet til å feilsøke distribusjonen av Cisco-registerkoblingen. Hvis synkroniseringen ikke fungerte som den skal, kan det hende du har en konfigurasjons- eller nettverksfeil. Dette verktøyet tester tilkoblingen til Active Directory, slik at du kan diagnostisere feil selv før du kontakter kundestøtte. Når du aktiverer feilsøking i Directory Connector, skrives det logger som kan sendes til teknisk støtte. |
| Automatisk oppgradering | Når du har installert Directory Connector, blir du sendt et varsel hver gang en ny versjon av programvaren er tilgjengelig. Du kan konfigurere automatiske oppgraderinger slik at du alltid bruker den nyeste versjonen av programvaren når en ny versjon utgis. |
| Høy tilgjengelighet | Konfigurer flere kontakter slik at det finnes en sikkerhetskopi, i tilfelle hovedkontakten eller maskinen som er vert for den, går ned. |
Katalogkobling er delt inn i tre områder:
Kontrollhub er det enkle grensesnittet som lar deg administrere alle aspekter av Webex-organisasjonen din: vise brukere, tilordne lisenser, laste ned Directory Connector og konfigurere engangspålogging (SSO) hvis du vil at brukerne skal autentisere seg gjennom bedriftsidentitetsleverandøren og du ikke vil sende e-postinvitasjoner for Webex-appen.
Administrasjonsgrensesnitt for katalogkobling er programvaren du laster ned fra Control Hub og installerer på en klarert Windows-server. For flere Active Directory -domener kan du installere ett øyeblikk av programvaren for hvert domene du vil synkronisere. Ved hjelp av programvaren kan du kjøre en synkronisering for å overføre Active Directory -brukerkontoene dine til Webex, vise og overvåke synkroniseringsstatus og konfigurere Directory Connector-tjenester.
Katalogsynkroniseringstjeneste spør Active Directory for å hente brukere og grupper som skal synkroniseres til koblingstjenesten og katalogkobling.
Se dette diagrammet for å forstå arkitekturen for katalogkobling:
Krav for katalogkobling
Krav til Windows og Active Directory
Du kan installere Directory Connector på disse støttede Windows-serverne:
Windows Server 2012
Windows Server 2019
Windows Server 2016
| For å løse et problem med informasjonskapsler anbefaler vi at du oppgraderer domenekontrolleren til en versjon som inneholder feilrettingen— Windows Server 2012 R2 eller 2016 . |
Katalogkobling støttes med følgende Active Directory -tjenester:
Active Directory 2016
(Katalogkobling støttes når du bruker den nyeste versjonen av Active Directory på Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008
Vær oppmerksom på følgende tilleggskrav:
Katalogkobling krever TLS1.2. Du må installere følgende:
.NET Framework v3.5 (obligatorisk for Directory Connector-programmet. Hvis du støter på problemer, kan du bruke veiledningen i Aktiver .NET Framework 3.5 ved hjelp av veiviseren for å legge til roller og funksjoner .)
.NET Framework v.4.5 (obligatorisk for TLS1.2)
Active Directory -skogfunksjonsnivå 2 (Windows Server 2003) eller høyere er obligatorisk. (Se Hva er funksjonsnivåer i Active Directory ? for mer informasjon.)
Maskinvarekrav
Du må installere Directory Connector på en datamaskin med disse minimumskravene til maskinvare:
8 GB RAM
50 GB lagringsplass
Ingen minimum for CPU
Nettverkskrav
Hvis nettverket ditt er bak en brannmur, må du kontrollere at systemet har HTTPS-tilgang (port 443) til Internett.
Krav til Webex-organisasjon
For å få tilgang til Directory Connector-programvaren fra Control Hub trenger du en Webex-organisasjon med en prøveversjon eller et betalt abonnement.
(Valgfritt) Hvis du vil at nye brukerkontoer for Webex-appen skal være aktive før de logger på første gang, anbefaler vi at du gjør følgende:
Legg til, bekreft og eventuelt gjør krav på domener som inneholder brukerens e-postadresser du vil synkronisere til skyen.
Utfør SSO engangspålogging ). til identitetsleverandøren (IdP) med Webex-organisasjonen din.
Undertrykk automatiske e-postinvitasjoner , slik at nye brukere ikke mottar den automatiske e-postinvitasjonen, og du kan lage din egen e-postkampanje. (Denne funksjonen krever SSO-integrering.)
| Hvis du vil ha mer informasjon, se Brukerstatuser og handlinger i Control Hub . |
Installasjonskrav
For et miljø med flere domener (enten én skog eller flere skoger), må du installere én katalogkobling for hvert Active Directory -domene. Hvis du vil synkronisere et nytt domene (B) mens du opprettholder de synkroniserte brukerdataene på et annet eksisterende domene (A), må du kontrollere at du har en egen støttet Windows-server for å installere Directory Connector for domene (B)-synkronisering.
For å logge på koblingen krever vi ikke en administrativ konto i Active Directory. Vi krever en lokal brukerkonto som er den samme brukeren som en fullstendig administratorkonto i Control Hub.
Denne lokale brukeren må ha rettigheter på den Windows-maskinen for å koble til domenekontrolleren og lese Active Directory -brukerobjekter. Maskinens påloggingskonto må være en administrator med rettigheter til å installere programvare på den lokale maskinen. (Denne informasjonen gjelder også for pålogging for virtuell maskin.)
Når du logger på koblingen, må påloggingskontoen være den samme som den fullstendige administratorkontoen for Control Hub. Som standard bruker koblingen den lokale systemkontoen for å få tilgang til Active Directory. Du kan imidlertid bruke Windows-tjenester til å konfigurere en annen konto for å få tilgang til Active Directory. (Denne informasjonen gjelder også for pålogging for virtuell maskin.)
Kontroller at søkemodusen for Windows Safe DLL (dynamic link library) er aktivert ved hjelp av denne fremgangsmåten: Sjekk SafeDllSearchMode i Windows-registeret .
Hvis du bruker AD LDS for flere domener i én enkelt skog, anbefaler vi at du installerer katalogkobling og Active Directory Domain Service/ Active Directory Lightweight Directory Services (AD DS/AD LDS) på separate maskiner.
Krav til flere domener
Før du følger oppgavene i Oppgaveflyt for distribusjon av Cisco-katalogkontakt , må du huske på følgende krav og anbefalinger hvis du skal synkronisere Active Directory -informasjon fra flere domener til skyen:
Det kreves en egen forekomst av Directory Connector for hvert domene.
Katalogkoblingsprogramvaren må kjøres på en vert som er på samme domene som den skal synkronisere.
Vi anbefaler at du bekrefter eller gjør krav på domenene dine i Control Hub. (Se Legg til, bekreft og gjør krav på domener .)
Hvis du vil synkronisere mer enn 50 domener, må du åpne en billett for å få organisasjonen flyttet til en stor organisasjonsliste.
Om ønskelig kan du synkronisere romressursinformasjon sammen med brukerkontoer. (Se Synkronisere lokal rominformasjon til Webex Cloud .)
Anbefalinger for Active Directory gruppe for automatisk lisenstilordning
Active Directory -grupper brukes til å samle brukerkontoer, datakontoer og andre grupper i administrerbare enheter. Arbeid med grupper i stedet for med individuelle brukere bidrar til å forenkle nettverksvedlikehold og -administrasjon.
Det finnes to typer grupper i Active Directory:
Distribusjonsgrupper – Brukes til å opprette distribusjonslister for e-post.
Sikkerhetsgrupper – Brukes til å tilordne tillatelser til delte ressurser.
Vurder følgende retningslinjer når du oppretter grupper i Active Directory:
Opprett en global gruppe for hver rolle, avdeling eller tjeneste (for eksempel salg, markedsføring, ledere, regnskapsførere, Webex-lisensiering og så videre).
Bruk standard navnekonvensjoner på tvers av organisasjonen for å gjøre det enkelt å identifisere viktig informasjon om en gruppe. Gruppenavn kan inneholde detaljer om gruppen, for eksempel tilgangsnivå, ressurstype, sikkerhetsnivå, gruppeomfang, e-postfunksjon og så videre. for eksempel gruppenavn «GSG_ Webex_ Licensing_ EMEAR» refererer til en global sikkerhetsgruppe for EMEAR-brukere med Webex-lisensiering.
Organiser grupper på en lettfattelig måte, for eksempel etter geografi eller lederhierarki. Bruk gruppebeskrivelser for å fullstendig beskrive formålet med gruppen.
Før du legger til brukere i nylig klargjorte grupper, må du definere malen for automatisk lisensgruppe i Control Hub for disse gruppene. Se Konfigurer malen for automatisk lisenstildeling hvis du vil ha mer informasjon.
Størrelsesinformasjon
Katalogkobling fungerer som en bro mellom den lokale Active Directory og Webex-skyen. Som sådan har ikke koblingen en øvre grense for hvor mange Active Directory -objekter som kan synkroniseres til skyen. Eventuelle begrensninger for lokale katalogobjekter er knyttet til den spesifikke versjonen av og spesifikasjonene for Active Directory -miljøet som synkroniseres til skyen, ikke til selve koblingen.
Noen få faktorer kan påvirke hastigheten på synkroniseringen:
Totalt antall Active Directory -objekter. (En synkroniseringsjobb på 5000 brukere vil ikke ta så lang tid som 50000.)
Nettverkshastighet og båndbredde.
Systemarbeidsmengde og spesifikasjoner.
| Hvis du synkroniserer mer enn 50 000 brukere, anbefaler vi på det sterkeste at du bruker en ny kontakt for failover og redundans. |
| Siden flere faktorer er involvert i synkronisering, og fordi hver distribusjon varierer avhengig av faktorene ovenfor, kan vi ikke oppgi spesifikke tidsverdier for hvor lang tid en objektsynkronisering vil ta. |
Sjekk SafeDllSearchMode i Windows-registeret
Søkemodus for Safe dynamic link library (DLL) angis som standard i Windows-registret og plasserer brukerens gjeldende katalog senere i DLL-søkefølgen. Hvis denne modusen på en eller annen måte ble deaktivert, kan en angriper plassere en skadelig DLL (kalt det samme som en referert DLL-fil som ligger i systemmappen) i gjeldende arbeidskatalog for programmet.
Vanligvis er SafeDllSearchMode aktivert, men bruk denne fremgangsmåten til å dobbeltsjekke registerinnstillingene.
Før du starter
| Endringer i Windows-registret bør gjøres med ekstrem forsiktighet. Vi anbefaler at du tar en sikkerhetskopi av registeret før du bruker disse trinnene. |
| 1 | I Windows-søk eller Kjør-vinduet skriver du inn regedit og trykk deretter på Gå inn . |
| 2 | Gå til HKEY_ LOKALT_ MASKIN\System\CurrentControlSet\Control\Session Manager . |
| 3 | Velg én:
|
Hvis du vil ha mer informasjon, se Søkerekkefølge for dynamisk koblingsbibliotek .
Web-proxy-integrering
Web-proxy-integrering
Hvis nettproxy-autentisering er aktivert i miljøet ditt, kan du fortsatt bruke Katalogkobling.
Hvis organisasjonen bruker en gjennomsiktig nettproxy, støtter den ikke autentisering. Kontakten kobler til og synkroniserer brukere.
Du kan bruke en av disse tilnærmingene:
Eksplisitt nettproxy via Internet Explorer (koblingen arver innstillingene for nettproxy)
Eksplisitt nettproxy via en .pac-fil (koblingen arver bedriftsspesifikke proxy-innstillinger)
Gjennomsiktig proxy som fungerer med kontakten uten endringer
Bruke en nettproxy via nettleseren
Du kan konfigurere Directory Connector til å bruke en web-proxy via Internet Explorer.
Hvis Cisco DirSync-tjenesten kjører fra en annen konto enn den nåværende påloggede brukeren, må du også logge på med denne kontoen og konfigurere nettproxy.
| 1 | Fra Internet Explorer går du til Alternativer for Internett , klikk Tilkoblinger , og velg deretter LAN-innstillinger . | ||
| 2 | Pek på Windows-forekomsten der kontakten er installert på nettproxyen. Koblingen arver disse nettproxy-innstillingene. | ||
| 3 | Hvis miljøet ditt bruker proxy-autentisering, legger du til disse nettadressene i den tillatte listen:
Du kan utføre dette enten for hele nettstedet (for alle verter) eller bare for verten som har koblingen.
| ||
| 4 | Hvis miljøet ditt trenger å be om lister over tilbakekall av sertifikater fra sertifiseringsinstanser, legger du til disse nettadressene i den tillatte listen:
Hvis du vil ha mer informasjon, kan du se denne artikkelen om domener og URL-er som må ha tilgang til for Webex-tjenester . |
Konfigurere Web-proxy gjennom en PAC-fil
Du kan konfigurere en klientnettleser til å bruke en .pac-fil. Denne filen inneholder nettproxyadressen og portinformasjonen. Katalogkobling arver den bedriftsspesifikke nettproxy-konfigurasjonen direkte.
| 1 | For at koblingen skal kunne koble til og synkronisere brukerinformasjon til Webex-skyen, må du kontrollere at proxy-autentisering er deaktivert for | ||
| 2 | Hvis miljøet ditt bruker proxy-autentisering, legger du til disse nettadressene i den tillatte listen:
Du kan utføre dette enten for hele nettstedet (for alle verter) eller bare for verten som har koblingen.
| ||
| 3 | Hvis miljøet ditt trenger å be om lister over tilbakekall av sertifikater fra sertifiseringsinstanser, legger du til disse nettadressene i den tillatte listen:
Hvis du vil ha mer informasjon, kan du se denne artikkelen om domener og URL-er som må ha tilgang til for Webex-tjenester . |
NTLM-proxy
Katalogkobling støtter NT LAN Manager (NTLM) . NTLM er en tilnærming for å støtte Windows-godkjenning mellom domeneenhetene og sikre deres sikkerhet.
NTLM-design
I de fleste tilfeller ønsker en bruker å få tilgang til en annen arbeidsstasjonsressurser via en klient-PC, noe som kan være vanskelig å gjøre på en sikker måte.
Generelt er den tekniske utformingen av NTLM basert på en mekanisme for Utfordring
og Svar
:
En bruker logger på en klient-PC via en Windows-konto og et passord. Passordet lagres aldri lokalt. I stedet for et passord i ren tekst, lagres en hash-verdi for passordet lokalt. Når en bruker logger på klienten via passordet, sammenligner Windows OS den lagrede hashverdien og hashverdien fra inndatapassordet. Hvis begge er like, godkjennes godkjenningen.
Når brukeren ønsker å få tilgang til en ressurs på en annen server, sender klienten en forespørsel til serveren med kontonavn i ren tekst.
Når serveren mottar forespørselen, genererer serveren en 16-biters tilfeldig nøkkel. Nøkkelen heter Challenge (eller Nonce). Før serveren sender tilbake til klienten, lagres utfordringen på serveren. Og så sender serveren utfordringen til klienten i ren tekst.
Så snart klienten mottar utfordringen sendt fra serveren, krypterer klienten utfordringen med hash-verdien som ble nevnt i trinn 1. Etter kryptering sendes verdien tilbake til serveren.
Når serveren mottar den krypterte verdien fra klienten, sender serveren den til domenekontrolleren for verifisering. Forespørselen inkluderer: kontonavn, kryptert utfordring som klienten sendte, og den opprinnelige vanlige utfordringen.
Domenekontrolleren kan hente hashverdiene for passord i henhold til kontonavn. Og så kan domenekontrolleren kryptere på den opprinnelige utfordringen. Doman-kontrolleren kan deretter sammenligne med den mottatte hashverdien og den krypterte hashverdien. Hvis de er de samme, er bekreftelsen vellykket.
| Windows har sikkerhetsautentisering innebygd i operativsystem, noe som gjør det enklere for programmer å støtte sikkerhetsautentisering. Som et resultat av dette trenger du ikke fullføre ytterligere konfigurasjon. |
Konfigurer gjennomsiktig proxy
I dette scenariet er nettleseren ikke klar over at en gjennomsiktig nettproxy fanger opp http-forespørsler (port 80/port 443), og det kreves ingen konfigurasjon på klientsiden.
| 1 | Distribuer en gjennomsiktig proxy, slik at koblingen kan koble til og synkronisere brukere. |
| 2 | Bekreft at proxyen er vellykket – du ser et forventet hurtigmenyvindu for nettleserautentisering når du starter koblingen. |
Angi proxy-autentisering
Legg til nettadressen cloudconnector.webex.com til den tillatte listen ved å opprette en tilgangskontrollliste.
På bedriftens brannmurserver:
| 1 | Aktiver DNS-oppslag hvis det ikke allerede er aktivert. |
| 2 | Bestem en estimert båndbredde for denne tilkoblingen (ca. 2 MB/s eller mindre for kontakten). Dette er kanskje ikke nødvendig. |
| 3 | Opprett en tilgangskontrollliste som skal brukes på koblingsverten, og angi For eksempel: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
| 4 | Bruk denne tilgangskontrollisten på riktig brannmurgrensesnitt, som bare gjelder for denne verten med én kobling. |
| 5 | Kontroller at resten av vertene i bedriften fortsatt er pålagt å bruke nettproxyen ved å konfigurere den riktige implisitte deny-setningen. |
Oppgaveflyt for distribusjon av Cisco-katalogkontakt
Før du starter
| 1 | Installere Directory Connector Control Hub viser først katalogsynkronisering som deaktivert. Hvis du vil aktivere katalogsynkronisering for organisasjonen, må du installere og konfigurere Katalogkobling, og deretter utføre en fullstendig synkronisering. For en ny installasjon av Directory Connector går du alltid til Control Hub (https://admin.webex.com ) for å få den nyeste versjonen av programvaren, slik at du bruker de nyeste funksjonene og feilrettingene. Når du har installert programvaren, rapporteres oppgraderinger gjennom programvaren og installeres automatisk når de er tilgjengelige. |
| 2 |
Logg på med Webex- administrator og utfør det første oppsettet. |
| 3 | Angi automatiske oppgraderinger Det er alltid viktig å holde Directory Connector-programvaren oppdatert til den nyeste versjonen. Vi anbefaler at du bruker denne fremgangsmåten for å la automatiske oppgraderinger av programvaren installeres lydløst når de er tilgjengelige. |
| 4 | Velg Active Directory -objekter som skal synkroniseres Som standard synkroniserer Katalogkobling alle brukere som ikke er datamaskiner, og alle grupper som ikke er kritiske systemobjekter for et domene. Hvis du vil ha mer kontroll over hvilke objekter som skal synkroniseres, kan du velge bestemte brukere som skal synkroniseres og angi LDAP-filtre ved hjelp av siden Objektvalg i Katalogkobling. |
| 5 |
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen. Det eneste obligatorisk felt er *uid. |
| 6 | Synkroniser katalogavatarer ved hjelp av en av følgende fremgangsmåter:
Du kan synkronisere brukernes avatarer til skyen, slik at hver brukers avatar vises når de logger på applikasjonen. Du kan synkronisere avatarer fra et Active Directory -attributt eller en ressursserver. |
| 7 | Synkronisere lokal rominformasjon til Webex Cloud Bruk denne fremgangsmåten til å synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte romenheter, for eksempel en Webex Room-enhet eller Cisco Webex Board |
| 8 | Til Klargjøre brukere fra Active Directory til Control Hub , utfør disse trinnene:
Følg denne sekvensen for å klargjøre Active Directory -brukere for Webex-appkontoer. Du kan klargjøre brukere fra Active Directory -distribusjon for flere skoger eller flere domener for Directory Connector 3.0 og nyere. I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Målet er å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen. |
Installere Directory Connector
Control Hub viser først katalogsynkronisering som deaktivert. Hvis du vil aktivere katalogsynkronisering for organisasjonen, må du installere og konfigurere Katalogkobling, og deretter utføre en fullstendig synkronisering.
Du må installere én kobling for hvert Active Directory -domene du vil synkronisere. En enkelt Directory Connector-forekomst kan bare betjene ett enkelt domene. Se diagrammet nedenfor for å forstå flyten for domenesynkronisering:
Før du starter
Hvis du autentiserer via en proxy-server, må du kontrollere at du har proxy-legitimasjonen din:
For grunnleggende proxy-godkjenning skriver du inn brukernavn og passord etter at du har installert en forekomst av koblingen. Proxykonfigurasjon for Internet Explorer er også nødvendig for grunnleggende godkjenning. se Bruke en nettproxy via nettleseren
For proxy NTLM kan det hende at du ser en feilmelding når du åpner kontakten for første gang. Se Bruke en nettproxy via nettleseren .
| 1 | I Kontrollhub , gå til , og velg Neste . | ||
| 2 | Klikk på Last ned og installer koblingen for å lagre den nyeste versjonen av .zip-filen for connectorinstallasjon på VMware- eller Windows-serveren. Du kan hente ZIP-filen direkte fra denne koblingen , men du må ha full administrativ tilgang til en Control Hub-organisasjon for at denne programvaren skal fungere.
| ||
| 3 | På VMware- eller Windows-serveren pakker du ut og kjører .msi-filen i installasjonsmappen for å starte installasjonsveiviseren. | ||
| 4 | Klikk på Neste , merk av i boksen for å godta lisensavtale, og klikk deretter på Neste til du ser skjermen for kontotype. | ||
| 5 | Velg typen tjenestekonto du vil bruke, og utfør installasjonen med en administratorkonto:
For å unngå feil må du kontrollere at følgende rettigheter er på plass:
| ||
| 6 | Klikk på Installer. Når nettverkstesten er kjørt, og hvis du blir bedt om det, skriver du inn den grunnleggende legitimasjonen for proxyen, klikker på OK , og klikk deretter Fullfør . |
Hva nå?
Vi anbefaler at du starter serveren på nytt etter installasjonen. Tørrkjøringsrapporten kan ikke vise riktig resultat når dataene ikke ble utgitt. Under omstart av maskinen oppdateres alle data for å vise et nøyaktig resultat i rapporten.
Logg på katalogkobling
Før du starter
Kontroller at du har proxy-legitimasjonen din.
For proxy basic-auth skriver du inn brukernavn og passord etter at du åpner koblingen for første gang.
For proxy-NTLM åpner du Internet Explorer, klikker på tannhjulikonet og går til Alternativer for Internett > Tilkoblinger > LAN-innstillinger , kontroller at informasjonen om proxy-server er lagt til, og klikk deretter på OK . Se Bruke en nettproxy via nettleseren .
| 1 | Åpne kontakten, og legg til | ||||
| 2 | Hvis du blir bedt om det, logger du på med påloggingsinformasjonen for proxy-autentisering, og deretter logger du på Webex ved hjelp av administratorkontoen din og klikker på Neste . | ||||
| 3 | Bekreft organisasjonen og domenet.
| ||||
| 4 | Etter at Bekreft organisasjon skjermen vises, klikker du på Bekreft . Hvis du allerede har bundet AD DS/AD LDS, vil Bekreft organisasjon skjermen vises. | ||||
| 5 | Klikk på Bekreft . | ||||
| 6 | Velg ett, avhengig av hvor mange Active Directory -domener du vil binde til Directory Connector:
|
Hva nå?
Når du har logget på, blir du bedt om å utføre en tørrkjøringssynkronisering.
Instrumentbord for katalogkobling
Første gang du logger deg på Directory Connector, vises instrumentbordet. Her kan du vise et sammendrag av alle synkroniseringsaktiviteter, vise skystatistikk, utføre en tørrkjøringssynkronisering, starte en full eller trinnvis synkronisering og starte hendelsesvisningen for å se feilinformasjon.
| Hvis økten blir tidsavbrutt, må du logge på igjen. |
Du kan enkelt kjøre disse oppgavene fra verktøylinjen for handlinger eller menyen for handlinger.
Komponent | Beskrivelse |
|---|---|
Gjeldende synkronisering |
Viser statusinformasjonen om synkroniseringen som pågår for øyeblikket. Når ingen synkronisering kjøres, er statusvisningen inaktiv. |
Neste Synkronisering |
Viser de neste planlagte fullstendige og trinnvise synkroniseringene. Hvis det ikke er angitt noen tidsplan, Ikke planlagt vises. |
Siste synkronisering |
Viser statusen for de to siste synkroniseringene som ble utført. |
Gjeldende synkroniseringsstatus |
Viser den generelle statusen for synkroniseringen. |
Koblinger |
Viser de gjeldende lokale kontaktene som er tilgjengelige for skyen. |
Skystatistikk |
Viser den generelle statusen for synkroniseringen. |
Tidsplan for synkronisering |
Viser synkroniseringsplanen for trinnvis og full synkronisering. |
Sammendrag av konfigurasjon |
Viser innstillingene du endret i konfigurasjonen. Sammendraget kan for eksempel inneholde følgende:
|
| Handling | Beskrivelse | ||
|---|---|---|---|
| Start trinnvis synkronisering | Start en trinnvis synkronisering manuelt
|
||
Synkroniser tørrkjøring |
Utfør en tørrkjøringssynkronisering. |
||
Start Event Viewer |
Start Microsoft Event Viewer. |
||
Oppdater |
Oppdater instrumentbordet for Cisco-registerkontakt |
Handling | Beskrivelse |
|---|---|
| Synkroniser nå | Start en full synkronisering umiddelbart. |
Synkroniseringsmodus |
Velg enten trinnvis eller full synkroniseringsmodus. |
Tilbakestill kontakthemmeligheten |
Etablere en samtale mellom Cisco-registerkontakt og kontakttjenesten. Hvis du velger denne handlingen, tilbakestilles hemmeligheten i skyen, og deretter lagres hemmeligheten lokalt. |
Tomkjøring |
Utfør en test av synkroniseringsprosessen. Du må gjøre en tørrkjøring før du utfører en full synkronisering. |
Feilsøking |
Slå feilsøking på/av. |
Oppdater |
Oppdater hovedskjerm for Cisco-katalogkontakt. |
Avslutt |
Avslutt Cisco-katalogkontakt. |
Tastekombinasjon | Handling |
|---|---|
Alt +A |
Vis Handlinger -menyen |
|
Synkronisering nå |
|
Tilbakestill kontakthemmeligheten |
|
Tørrløp |
|
Inkrementell synkronisering |
|
Full synkronisering |
|
Vis Hjelp -menyen |
|
Hjelp |
|
Om |
|
Vanlige spørsmål |
Angi automatiske oppgraderinger
| 1 | Fra Katalogkobling går du til , og kontroller Oppgrader automatisk til den nye versjonen av Cisco Directory Connector . |
| 2 | Klikk på Bruk for å lagre endringene. |
Nye versjoner av kontakten installeres automatisk når de er tilgjengelige.
| Du kan administrere oppgraderinger manuelt hvis du foretrekker det. Se Oppgrader til den nyeste programvareversjonen hvis du vil ha mer informasjon. |
Velg Active Directory -objekter som skal synkroniseres
Som standard synkroniserer Katalogkobling alle brukere som ikke er datamaskiner, og alle grupper som ikke er kritiske systemobjekter for et domene. Hvis du vil ha mer kontroll over hvilke objekter som skal synkroniseres, kan du velge bestemte brukere som skal synkroniseres og angi LDAP-filtre ved hjelp av siden Objektvalg i Katalogkobling.
Grupper for automatisk lisenstilordning
Control Hub lar deg administrere lisenstildelinger for hver gruppe. Du kan opprette lisensmaler og tilordne dem til Active Directory -grupper som du synkroniserer til skyen. Når brukeren opprettes, kontrollerer Webex brukermedlemskap og automatisk tilordning av lisensmaler for den nye brukeren.
Vi anbefaler at du bruker et LDAP-filter for bare å synkronisere relevante grupper til skyen. Du kan for eksempel angi filteret til:
(&(cn=Example)(objectclass=Group))*
Dette filteret synkroniserer alle grupper i base-DN der navnet begynner med Eksempel. Brukere som ikke er tilordnet grupper, tilordnes lisenser fra den standard automatiske lisensmalen du konfigurerte i Control Hub.
Grupper for hybrid distribusjon av datasikkerhet
I Katalogkobling må du sjekke Grupper hvis du bruker Hybrid Data Security til å konfigurere en prøvegruppe for pilotbrukere. Se Distribusjonsveiledning for hybrid datasikkerhet for veiledning. Denne Katalogkobling-innstillingen påvirker ikke andre brukeres synkronisering til skyen.
| 1 | Fra Katalogkobling går du til Konfigurasjon , og klikk deretter Objektvalg . | ||
| 2 | I Objekttype seksjon, sjekk Brukere , og vurder å begrense antall søkbare beholdere for brukere. Hvis du for eksempel bare vil synkronisere brukere i en bestemt gruppe, må du angi et LDAP-filter i Brukere Felt for LDAP-filtre. Hvis du vil synkronisere brukere som er i Eksempelbehandler-gruppen, bruker du et filter som dette:
| ||
| 3 | Sjekk Identifiser rom for å skille romdata fra brukerdata. Klikk på Tilpass hvis du vil konfigurere flere attributter for å identifisere brukerdata som romdata. Bruk denne innstillingen hvis du vil synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte romenheter. Hvis du vil ha mer informasjon, se Synkronisere lokal rominformasjon til Webex Cloud . | ||
| 4 | Sjekk Grupper hvis du vil synkronisere Active Directory -brukergruppene til skyen. Ikke legg til et LDAP-filter for brukersynkronisering i Grupper-feltet. Du bør bare bruke Grupper-feltet til å synkronisere selve gruppedataene til skyen.
| ||
| 5 | Sjekk Kontakter hvis du vil synkronisere kontaktinformasjon til brukerne til skyen.
| ||
| 6 | Konfigurer LDAP filtre. Du kan legge til utvidede filtre ved å oppgi et gyldig LDAP-filter. Se denne artikkelen hvis du vil ha mer informasjon om konfigurering av LDAP-filtre. | ||
| 7 | Angi On Premises base-DN-er som skal synkroniseres ved å klikke Velg for å se trestrukturen til Active Directory. Herfra kan du velge eller oppheve merkingen av hvilke beholdere du vil søke på. | ||
| 8 | Kontroller at objektene du vil legge til for denne konfigurasjonen, og klikk på Velg . Du kan velge individuelle eller overordnede beholdere som skal brukes til synkronisering. Velg en overordnet beholder for å aktivere alle underordnede beholdere. Hvis du velger en underordnet beholder, viser den overordnede beholderen en grå hake som angir at en underordnet beholder er blitt kontrollert. Deretter kan du klikke Velg for å godta Active Directory -beholderne du sjekket. Hvis organisasjonen plasserer alle brukere og grupper i Brukere-beholderen, trenger du ikke å søke i andre beholdere. Hvis organisasjonen er delt inn i organisasjonsenheter, må du kontrollere at du velger OE . | ||
| 9 | Klikk på Bruk. Velg et alternativ:
Hvis du vil ha informasjon om tørrkjøringer, se Utfør en tørrkjøringssynkronisering på Active Directory -brukere . For gruppesynkronisering må du utføre en full synkronisering: Utfør en fullstendig synkronisering av Active Directory -brukere til skyen . |
Tilordne brukerattributter
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen. Det eneste obligatorisk felt er *uid, en unik identifikator for hver brukerkonto i skyidentitetstjenesten.
Du kan velge hvilket Active Directory -attributt som skal tilordnes til skyen – du kan for eksempel tilordne firstName lastName i Active Directory eller et egendefinert attributtuttrykk til displayName i skyen.
| Kontoer i Active Directory må ha en e-postadresse. uid-en tilordnes som standard til |
Hvis du velger å la det foretrukne språket komme fra Active Directory, er Active Directory den eneste kilden til sannhet: brukere vil ikke kunne endre språkinnstillingen i Webex-innstillinger, og administratorer vil ikke kunne endre innstillingen i Control Hub.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tilordning av brukerattributter . Denne siden viser attributtnavnene for Active Directory (til venstre) og Webex-skyen (til høyre). Alle obligatoriske attributter er merket med en rød stjerne. | ||||
| 2 | Bla ned til bunnen av Active Directory -attributtnavn , og velg deretter ett av disse Active Directory -attributtene som skal tilordnes til skyattributtet uid :
Du kan tilordne alle de andre Active Directory -attributtene til uid, men vi anbefaler at du bruker e-post eller userPrincipalName, som dekket i retningslinjene ovenfor. I noen tilfeller brukes userPrincipalName til pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. Du må sørge for at e-postadresse for kalenderbehandling er tilordnet til det primære e-postadresse i Webex. Legg til userPrincipalName som en alternativ e-postadresse. Hvis du vil se hvilke attributter i Active Directory tilsvarer i skyen, kan du se Tilordning av Active Directory -attributter i Directory Connector .
| ||||
| 3 | Hvis de forhåndsdefinerte Active Directory -attributtene ikke fungerer for distribusjonen, klikker du på rullegardinlisten for attributt, blar til bunnen og velger Tilpass attributt for å åpne et vindu som lar deg definere et attributtuttrykk.
I dette eksemplet skal vi tilordne Active Directory -attributtene
| ||||
| 4 | (Valgfritt) Velg tilordninger for mobil og telefonnummer hvis du vil at mobil- og jobbnumre skal vises, for eksempel i brukerens kontaktkort i Webex-appen. telefonnummer vises i Webex-appen når en bruker holder pekeren over en annen brukers profilbilde. Hvis du vil ha mer informasjon om å ringe fra en brukers kontaktkort, se Installasjonsveiledning for å anrope Webex (Unified CM) . (administratorer). | ||||
| 5 | Velg flere tilordninger for at flere data skal vises i kontaktkort:
Etter at attributtene er tilordnet, vises informasjonen når en bruker holder pekeren over en annen brukers profilbilde:
Hvis du vil ha mer informasjon om kontaktkort, kan du se Bekreft hvem du kontakter . Når disse attributtene er synkronisert til hver brukerkonto, kan du også slå på People Insights i Control Hub. Denne funksjonen lar brukere av Webex-appen dele mer informasjon i profilene sine og lære mer om hverandre. Hvis du vil ha mer informasjon om funksjonen og hvordan du aktiverer den, kan du se People Insights -profiler for Webex, Jabber, Webex Meetings og Webex Events (ny) i Control Hub | ||||
| 6 | Når du har gjort valgene, klikker du Bruk . |
Alle brukerdata som finnes i Active Directory, overskriver dataene i skyen som tilsvarer denne brukeren. Hvis du for eksempel opprettet en bruker manuelt i Control Hub, må brukerens e-postadresse være identisk med e-postadressen i Active Directory. Alle brukere som ikke har en tilsvarende e-postadresse i Active Directory , slettes.
| Slettede brukere beholdes i skyidentitetstjenesten i syv dager før de slettes permanent. |
Active Directory og skyattributter
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen ved hjelp av Tilordning av brukerattributter -fanen.
Denne tabellen sammenligner tilordningen mellom Active Directory -attributtnavn og Cisco Cloud -attributtnavn. Disse verdiene og tilordningene er standardinnstilling i Katalogkobling. Du kan velge forskjellige attributter i Active Directory -rullegardinlistene og bestemme hvilket lokale attributt som skal synkroniseres med hvilket skyattributt.
Se på rullegardinattributtene som forhåndsinnstillinger. Som et alternativ til verdiene i Active Directory -raden kan du også angi et tilpasset attributt, din egen forhåndsinnstilling, i Active Directory (et uttrykk med flere attributter) for å tilordne et enkelt skyattributt i den tilsvarende raden. På denne måten har du fleksibilitet til å bestemme visningsnavnene til brukerne dine – du kan for eksempel legge til et uttrykk som oppretter et tilpasset attributt basert på ansatttittel, fornavn og etternavn i Active Directory.
Du kan også angi hvilke som helst av Active Directory -attributtene som skal tilordnes til uid i skyen. Du må imidlertid sørge for at det lokale attributtet følger et gyldig e-postformat.
| Du kan også bruke alternative e-postadresser, hvis du for eksempel vil bruke userPrincipalName for pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. I dette tilfellet tilordner du en annen e-postadresse til e-poster;type-arbeid attributtet. Dette er e-postadressen som brukes til autentisering. den brukes ikke til å administrere kalenderen din. e-postadresse du tilordner fra AD, må være fra et bekreftet domene i organisasjonen din, og den må være unik og ikke tilordnet en annen bruker. |
Navn på Active Directory -attributter | Navn på Webex-skyattributter | Merknader |
|---|---|---|
— |
buildingName |
— |
c |
c |
Dette attributtet angir brukerens landsforkortelse. |
avdelingsnummer |
avdelingsnummer |
Dette attributtet brukes for brukerens avdelingsnummer som vises i kontaktkort og personinnsikt . |
visningsnavn |
visningsnavn |
Dette attributtet brukes for visningsnavn for brukerkonto som vises i Control Hub, den kontaktkort , og personinnsikt . |
userAccountControl |
ds-pwp-account-disabled |
Dette attributtet brukes til brukersynkronisering. Kontroller at userAccountControl attributtet er tilordnet til ds-pwp-account-disabled ellers blir ikke brukerne synkronisert riktig. |
ansattnummer |
ansattnummer |
— |
ansattType |
ansattType |
Denne verdien brukes for ansatttypen bruker som vises i kontaktkort og personinnsikt . |
fakstelefonnummer |
fakstelefonnummer |
— |
givenName |
givenName |
Dette attributtet brukes for brukerkonto fornavn som vises i Control Hub, den kontaktkort , og personinnsikt . |
— |
jabberID |
Dette skyattributtet er relatert til direktemeldingsadresser (XMPP-type) som brukes av Jabber. Denne verdien er ikke det samme som sipAddresses. |
l |
l |
Dette attributtet angir byen til brukeren. |
— |
språk |
— |
administrator |
administrator |
Dette attributtet brukes for brukerens ledernavn som vises i kontaktkort og personinnsikt . |
Mobil |
Mobil |
Dette attributtet brukes som mobilnummer som vises for ringe brukeren fra kontaktkort . |
o |
o |
Dette attributtet angir navnet på selskapet eller organisasjonen. |
ou |
ou |
Dette attributtet angir navnet på organisasjonsenheten. |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Dette attributtet angir brukerens kontorplassering. |
postnummer |
postnummer |
Dette attributtet angir brukerens postnummer eller postnummer for fysisk postlevering. |
foretrukket språk |
foretrukket språk |
Dette attributtet angir brukerens foretrukne språk, og følgende formater støttes: xx_YY eller xx-YY. Her er noen eksempler: en_USA,en_ GB, fr-CA. Hvis du bruker et språk som ikke støttes eller ugyldig format, endres brukernes foretrukne språk til språket som er angitt for organisasjonen. |
MSRTCSIP-PrimaryUserAddress iPhone |
SipAddresses;type=bedrift |
Dette attributtet brukes til å synkronisere lokal rominformasjon fra Active Directory til Cisco Webex skyen. |
sn |
sn |
Dette attributtet brukes for brukerkonto etternavn som vises i Control Hub, den kontaktkort , og personinnsikt . |
st |
st |
Dette attributtet angir delstaten eller provinsen til brukeren. |
gateadresse |
gate |
Dette attributtet angir gateadressen til brukeren for fysisk postlevering. |
telefonnummer |
telefonnummer |
Dette attributtet angir brukerens primære telefonnummer (jobb) som brukes til ringe brukeren fra kontaktkort . |
— |
tidssonen |
Dette skyattributtet angir brukerens tidssone. |
tittel |
tittel |
Dette attributtet angir brukertittelen som vises i kontaktkort og personinnsikt . |
type |
bedrift |
— |
*e-post *userPrincipalName |
uid |
En obligatorisk attributtilordning. For hver brukerkonto tilordnes Active Directory -verdien til en unik uid i skyen. I noen tilfeller brukes userPrincipalName til pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. Du må sørge for at e-postadresse for kalenderbehandling er tilordnet til det primære e-postadresse i Webex. Legg til userPrincipalName som en alternativ e-postadresse. Brukeren kan deretter bruke en av disse e-postadressene til å logge på, så lenge de er riktige SAML-attributtilordning er på plass. Se eksempel på attributtilordning nedenfor for hvordan du kan tilordne en alternativ e-postadresse. |
*userPrincipalName *e-post <custom attribute=""> |
e-poster;type-arbeid |
Denne tilordningen er valgfri. Bruk den hvis du vil bruke alternative e-postadresser. Dette er e-postadressen som brukes til autentisering. den brukes ikke til å administrere kalenderen din. e-postadresse du tilordner fra AD, må være fra et bekreftet domene i organisasjonen din, og den må være unik og ikke tilordnet en annen bruker. |
<New attribute="" for="" Azure="" user="" objectId=""> |
ekstern ID |
Opprett et nytt Active Directory -attributt for å holde Azure-brukerobjekt-ID-en, slik at den ikke kolliderer med en eksisterende. Dette attributtet tilordnes deretter til externalId-attributtet, og sikrer at når Webex-brukere opprette grupper i Microsoft 365, oppretter de automatisk team i Webex . |
Alternativ e-postadresse
Uttrykk for tilpassede attributter
Operatør | Beskrivelse og eksempel |
|---|---|
% | Fjerner alle tegn fra begynnelsen av strengen til plasseringen av tegnet eller strengargumentet, hvis det samsvarer.
|
– | Fjerner baksiden av inndatastrengen fra enden av den angitte strengen.
|
+ | Setter sammen inndatastrenger eller -uttrykk.
|
| | Evaluerer de atskilte uttrykkene mot den tomme strengen, og velger det første ikke-tomme resultatet.
|
Synkronisere katalogavatarer fra et Active Directory -attributt til skyen
Du kan synkronisere brukernes katalogavatarer til skyen, slik at hver avatar vises når de logger på Webex-appen. Bruk denne fremgangsmåten til å synkronisere rå avatardata fra et Active Directory -attributt.
| 1 | Fra Katalogkobling går du til Konfigurasjon , klikk Avatar , og kontroller Aktiver . |
| 2 | For Hent avatar fra , velg AD-attributt , og velg deretter Avatar-attributt som inneholder råavatardataene du vil synkronisere til skyen. |
| 3 | Hvis du vil bekrefte at avataren brukes på riktig måte, skriver du inn en brukers e-postadresse og klikker på Hent brukerens avatar . Avataren vises til høyre. |
| 4 | Når du har bekreftet at avataren ble vist riktig, klikker du Bruk for å lagre endringene. |
Bildene som synkroniseres, blir standardavatar for brukere i Webex-appen. Brukere har ikke tillatelse til å angi sin egen avatar etter at denne funksjonen er aktivert fra Katalogkobling.
Brukeravatarene synkroniseres til både Webex-appen og eventuelle samsvarende kontoer på Webex-nettsted.
Hva nå?
Gjør en tørrkjøringssynkronisering; Hvis det ikke er noen problemer, kan du utføre en fullstendig synkronisering for å få Active Directory -brukerkontoene og avatarene til å synkroniseres til skyen og vises i Control Hub.
Synkronisere katalogavatarer fra en ressursserver til skyen
Du kan synkronisere brukernes katalogavatarer til skyen, slik at hver avatar vises når de logger på Webex-appen. Bruk denne fremgangsmåten til å synkronisere avatarer fra en ressursserver.
Før du starter
URI-mønsteret og variabelverdien i denne prosedyren er eksempler. Du må bruke faktiske nettadresser der katalogavatarene dine er plassert.
Avatar-URI-mønsteret og serveren der avatarene ligger, må kunne nås fra Directory Connector-programmet. Koblingen trenger http- eller https-tilgang til bildene, men bildene trenger ikke å være offentlig tilgjengelige på Internett.
Synkroniseringen av avatardata er atskilt fra Active Directory -brukerprofilene. Hvis du kjører en proxy, må du sørge for at avatardataene er tilgjengelige via NTLM-autentisering eller basic-auth.
| 1 | Fra Katalogkobling går du til Konfigurasjon , klikk Avatar , og kontroller Aktiver . |
| 2 | For Hent avatar fra , velg Ressursserver og angi deretter Avatar-URI-mønster – For eksempel La oss se på hver del av avatarens URI-mønster og hva de betyr:
|
| 3 | (Valgfritt) Hvis ressursserveren krever legitimasjon, kontrollerer du Angi påloggingsinformasjon for avatar , og velg deretter enten Bruk gjeldende bruker for tjenestepålogging eller Bruk denne brukeren og angi passordet. |
| 4 | Skriv inn Variabelverdi – For eksempel: |
| 5 | Klikk på Test for å kontrollere at avatarens URI-mønster fungerer som det skal. I dette eksemplet, hvis e-postverdien for én AD-oppføring er |
| 6 | Når URI-informasjonen er bekreftet og ser riktig ut, klikker du Bruk . Hvis du vil ha detaljert informasjon om bruk av regulære uttrykk, kan du se hurtigreferanse for Microsoft Regular Expression-språk . |
Bildene som synkroniseres, blir standardavatar for brukere i Webex-appen. Brukere har ikke tillatelse til å angi sin egen avatar etter at denne funksjonen er aktivert fra Katalogkobling.
Brukeravatarene synkroniseres til både Webex-appen og eventuelle samsvarende kontoer på Webex-nettsted.
Hva nå?
Gjør en tørrkjøringssynkronisering; Hvis det ikke er noen problemer, kan du utføre en fullstendig synkronisering for å få Active Directory -brukerkontoene og avatarene til å synkroniseres til skyen og vises i Control Hub.
Synkronisere lokal rominformasjon til Webex Cloud
Bruk denne fremgangsmåten til å synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte Webex-enheter (Room, Desk og Board).
| 1 | Fra Katalogkobling går du til Synkroniser , klikk på mer | ||
| 2 | Sjekk Synkroniser rominformasjon til skyen for å skille romdataene fra brukerdataene under synkronisering. Når denne innstillingen er deaktivert, behandles romdata på samme måte som brukersynkroniserte data. | ||
| 3 | Gå til Attributttilordning , og endre deretter attributttilordningen for skyattributtet sipAddresses;type=bedrift .
| ||
| 4 | Opprett en romressurs-postboks i Exchange. Dette legger til msExchResourceMetaData;ResourceType:Room -attributtet som koblingen deretter bruker til å identifisere rom.
| ||
| 5 | Gå til og rediger egenskapene for rommet fra Active Directory -brukere og datamaskiner. Legg til den fullstendige SIP-URI med prefikset sip:
| ||
| 6 | Utfør en tørrkjøringssynkronisering og deretter en fullstendig synkroniseringskjøring i kontakten. De nye romobjektene vises Objekter lagt til og samsvarende romobjekter vises i Objekter matchet i tørrkjøringsrapporten. Alle romobjekter som er flagget for sletting, er under Rom slettet .
Tørrkjøringsresultatene viser eventuelle romressurser som ble matchet.
Denne innstillingen skiller Active Directory -romdata (inkludert rommets attributt) fra brukerdata. Når synkroniseringen er fullført, viser skystatistikken på koblingsinstrumentbordet romdata som ble synkronisert til skyen.
|
Hva nå?
Nå som du har gjort disse trinnene, vil du se de synkroniserte romoppføringene som er konfigurert med SIP-adresser, når du gjør et søk på en Webex-skyregistrert enhet. Når du foretar et anrop fra Webex-enheten på den oppføringen, foretas et anrop til SIP-adressen som ble konfigurert for rommet.
Fra Control Hub kan du importere rom fra katalogen automatisk og opprette arbeidsområder.
| Endepunktet kan ikke sløyfe et tilbakeringing til Webex-appen. For testoppringingsenheter må disse enhetene være registrert som en SIP-URI lokalt eller et annet sted enn Webex-appen. Hvis romsystem for Active Directory du søker etter er registrert for Webex og den samme e-postadresse finnes på Webex Room-enhet, Skrivebordsenhet eller Webex Board for Calendar Service, viser ikke søkeresultatene den dupliserte oppføringen. Rom-, skrivebords- eller tavleenheten ringes opp direkte i Webex-appen, og det foretas ingen SIP-samtale . |
Send e-postrapporter om katalogsynkroniseringsresultater
Som standard mottar organisasjonens kontakter eller administratorer alltid e-postvarsler. Med denne innstillingen kan du tilpasse hvem som skal motta e-postvarsler som oppsummerer katalogsynkroniseringsrapporter.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Varsel . |
| 2 | Fra Katalogkobling klikker du på Innstillinger , og ved siden av E-postmottaker , slå på Aktiver synkronisering av rapport . |
| 3 | Sjekk Aktiver varsling hvis du vil overstyre standard varslingsatferd og legge til én eller flere e-postmottakere. |
| 4 | Klikk på Legg til og angi en e-postadresse. Hvis du skriver inn en e-postadresse med ugyldig format, vises en melding som ber deg om å løse problemet før du kan lagre og bruke endringene. |
| 5 | Klikk på Legg til e-post og angi en e-postadresse. Hvis du skriver inn en e-postadresse med ugyldig format, vises en melding som ber deg om å løse problemet før du kan lagre og bruke endringene. |
| 6 | Hvis du må redigere e-postadresser du oppga, dobbeltklikk du på e-postoppføringen i venstre kolonne, og deretter gjør du eventuelle endringer. |
| 7 | Når du har lagt til alle de gyldige e-postadressene, klikker du på Bruk . |
| 8 | Når du har lagt til alle de gyldige e-postadressene, klikker du på Lagre . |
Hva nå?
Hvis du bestemte deg for at du vil fjerne e-postadresser, kan du klikke på en e-post for å utheve denne oppføringen og deretter klikke Fjern .
Hvis du bestemte deg for at du vil fjerne e-postadresser, kan du klikke på Fjern ved siden av bestemte e-postadresse .
Klargjøre brukere fra Active Directory til Control Hub
Følg denne fremgangsmåten for å klargjøre Active Directory -brukere og opprette tilsvarende brukerkontoer i Control Hub. Du kan klargjøre brukere fra en Active Directory -distribusjon for flere domener (med enten én enkelt skog eller flere skoger) etter at du har installert en katalogkobling per domene. I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Målet er å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen.
| 1 | Utfør en tørrkjøringssynkronisering på Active Directory -brukere Utfør en tørrkjøring for å sammenligne objekter i den lokale Active Directory og objekter i Webex-skyen. En tørrkjøring lar deg se hvilke objekter som vil bli lagt til, endret eller slettet før du kjører en fullstendig eller trinnvis synkronisering og utfører endringene i skyen. |
| 2 | Utfør en fullstendig synkronisering av Active Directory -brukere til skyen Når du kjører en full synkronisering, sender koblingstjenesten alle filtrerte objekter fra Active Directory (AD) til skyen. Connector-tjenesten oppdaterer deretter identitetslageret med AD-oppføringene dine. Hvis du opprettet en mal for automatisk tilordning av lisenser, kan du tilordne den til de nylig synkroniserte brukerne. |
| 3 | Tilordne Webex-tjenester til katalogsynkroniserte brukere i Control Hub Når du har fullført en fullstendig brukersynkronisering fra Directory Connector til Control Hub, kan du tilordne Webex-tjenestelisenser ved hjelp av en rekke forskjellige metoder. Vi anbefaler at du konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory. Du kan også gjøre individuelle endringer etter dette første trinnet. |
Utfør en tørrkjøringssynkronisering på Active Directory -brukere
Utfør en tørrkjøring for å sammenligne objekter i den lokale Active Directory og objekter i Webex-skyen. En tørrkjøring lar deg se hvilke objekter som vil bli lagt til, endret eller slettet før du kjører en fullstendig eller trinnvis synkronisering og utfører endringene i skyen.
I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Med Katalogkobling er målet å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen.
Hvis du har flere domener i én enkelt skog eller flere skoger, må du gjøre dette trinnet på hver av Cisco-katalogkoblingsforekomstene du har installert for hvert Active Directory -domene.
Før du starter
Du kan allerede ha noen Webex-appbrukere i Control Hub før du brukte Katalogkobling. Blant brukerne i skyen kan noen samsvare med det lokale Active Directory -objektet og bli tildelt lisenser for tjenester. Men noen kan være testbrukere som du vil slette mens du foretar en synkronisering. Du må opprette et nøyaktig samsvar mellom Active Directory og Control Hub.
| 1 | Velg én:
Når tørrkjøringen er fullført, ser du ett av følgende resultater:
Sammendraget inneholder informasjon om objektsamsvar:
Tørrkjøringen identifiserer brukerne ved å sammenligne dem med domenebrukere. Applikasjonen kan identifisere brukerne hvis de tilhører det gjeldende domenet. I neste trinn må du bestemme om du vil slette objektene eller beholde dem. De feilaktige objektene identifiseres som allerede eksisterende i Webex-skyen, men ikke eksisterende i den lokale Active Directory. | ||
| 2 | Se gjennom resultatene av tørrkjøringen, og velg deretter et alternativ avhengig av om du bruker ett enkelt domene eller flere domener:
| ||
| 3 | I Bekreft tørrkjøring ledetekst, klikker du Ja for å gjøre om tørrkjøringssynkroniseringen og vise instrumentbordet for å se resultatene. Alle kontoer som ble synkronisert i tørrkjøringen, vises under Objekter matchet . Hvis en bruker i skyen ikke har en tilsvarende bruker med samme e-postadresse i Active Directory, er oppføringen oppført under Brukere slettet . Hvis du vil unngå dette sletteflagget, kan du legge til en bruker i Active Directory med samme e-postadresse. Hvis du vil vise detaljene for elementene som ble synkronisert, klikker du på den tilsvarende fanen for bestemte elementer eller Objekter matchet . Hvis du vil lagre sammendragsinformasjonen, klikker du på Lagre resultater til fil . | ||
| 4 | Hvis resultatene forventes, går du til , og klikk deretter Aktiver nå for å gjøre en manuell synkronisering og sette i manuell modus på dette tidspunktet.
|
Hva nå?
For eventuelle feilaktige brukerobjekter som du beholder, må du legge dem til i Active Directory slik at det er nøyaktig samsvar mellom lokale og skyen.
Velg en synkroniseringstype:
Utfør en fullstendig synkronisering av Active Directory -brukere til skyen for første gang du synkroniserer nye brukere til skyen. Du gjør det fra , og deretter synkroniseres brukere fra det gjeldende domenet.
Angi tidsplan for kobling og Kjør en trinnvis synkronisering etter at du har kjørt en fullstendig synkronisering, og hvis du ønsker å plukke opp endringer etter den første synkroniseringen. Denne typen synkronisering anbefales for å fange opp små endringer som er gjort i Active Directory -brukerkilden.
Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt (på versjon 3.4 og tidligere) eller hver fjerde time (på versjon 3.5 og nyere), men du kan endre denne verdien. Den trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering.
Hvis du har flere domener, gjentar du disse trinnene på en hvilken som helst annen katalogkobling du har installert.
Ting du bør huske på
Utfør en tørrkjøring før du aktiverer full synkronisering, eller når du endrer synkroniseringsparametrene. Hvis tørrkjøringen ble startet av en konfigurasjonsendring, kan du lagre innstillingene etter at tørrkjøringen er fullført. Hvis du allerede har lagt til brukere manuelt, kan utføring av en Active Directory -synkronisering føre til at tidligere lagt til brukere blir fjernet. Du kan sjekke tørrkjøringsrapporter for Directory Connector for å bekrefte at alle forventede brukere er til stede før du synkroniserer fullstendig til skyen.
Hvis matchede brukere er merket som sletting og du ikke er sikker på hvordan du går frem, kan du se feilsøkingsinformasjon og hvordan du kontakter kundestøtte i Feilsøking og rettelser for Directory Connector .
Slettede brukere beholdes i skyidentitetstjenesten i syv dager før de slettes permanent.
Utfør en fullstendig synkronisering av Active Directory -brukere til skyen
Når du kjører en full synkronisering, sender koblingstjenesten alle filtrerte objekter fra Active Directory (AD) til skyen. Connector-tjenesten oppdaterer deretter identitetslageret med AD-oppføringene dine. Hvis du opprettet en mal for automatisk tilordning av lisenser, kan du tilordne den til de nylig synkroniserte brukerne.
Hvis du har flere domener, må du gjøre dette trinnet på hver av Directory Connector-forekomstene du har installert for hvert Active Directory -domene.
Katalogkobling synkroniserer brukerkonto – I Active Directory vises også alle brukere som er merket som deaktivert som inaktive i skyen.
Før du starter
Hvis du vil at brukerkontoene for Webex-appen skal ha statusen Aktiv etter full synkronisering og før brukerne logger på for første gang, må du gjøre følgende for å omgå e-postvalideringen:
Integrer engangspålogging med Webex-organisasjonen din. Se
Engangspålogging med Cisco Webex Services og organisasjonens identitetsleverandør
hvis du vil ha mer informasjon.Bruk Control Hub til å bekrefte og eventuelt gjøre krav på domener som finnes i e-postadressene. Se
Legg til, bekreft og gjør krav på domener
.Undertrykk automatiske e-postinvitasjoner , slik at nye brukere ikke mottar den automatiske e-postinvitasjonen til Webex-appen. (Du kan lage din egen e-postkampanje.)
Aktiverte brukere som ikke har logget på, vises med en Verifisert status i Control Hub. Når de har logget på, vises de som Aktive. Hvis du vil ha mer informasjon om brukerstatuser, kan du se Brukerstatuser og handlinger i Cisco Webex Control Hub.
Når du aktiverer synkronisering, ber Directory Connector deg om å utføre en tørrkjøring først. Vi anbefaler at du tar en tørrkjøring før en full synkronisering for å fange opp eventuelle feil.
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Hvis du ikke bruker automatisk tilordnede lisensmaler, får nylig synkroniserte brukere automatisk gratislisenser. De vil kunne bruke de samme gratisfunksjonene som de med gratis kontoer.
| 1 | Velg én:
| ||
| 2 | Fra Katalogkobling går du til Synkroniser , klikk på mer | ||
| 3 | Bekreft starten på synkroniseringen. For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene i opptil 72 timer etter at du har utført synkroniseringen.
| ||
| 4 | Klikk på Oppdater hvis du vil oppdatere statusen for synkroniseringen. (Synkroniserte elementer vises under Skystatistikk .) | ||
| 5 | Hvis du vil ha informasjon om feil, velger du Start Event Viewer fra Handlinger verktøylinjen for å vise feilloggene. | ||
| 6 | Hvis du vil angi en synkroniseringsplan for pågående trinnvise synkroniseringer til skyen, kan du se Angi tidsplan for kobling og Kjør en trinnvis synkronisering . |
Når full synkronisering er fullført, oppdateres statusen for katalogsynkronisering fra Deaktivert til Driftsmessig på Innstillinger siden i Control Hub.
Når alle data matches mellom lokale og skyen, endres Katalogkobling fra manuell modus til automatisk synkroniseringsmodus.
Med mindre du integrere engangspålogging , bekrefte domener, og eventuelt gjøre krav på domener for e-postkontoene du synkroniserte , og undertrykke automatiserte e-postmeldinger , forblir brukerkontoene for Webex-appen i tilstanden Ikke bekreftet til brukerne logger på Webex-appen for første gang for å bekrefte kontoene sine. Se delen Før du begynner for veiledning om hvordan du synkroniserer kontoene som aktive brukere.
Hvis du har flere domener, gjør du dette trinnet på en annen katalogkobling du har installert. Etter synkroniseringen vises brukerne på alle domenene du la til i Control Hub.
Hvis du integrerte engangspålogging med Webex og undertrykte e-postvarsler , sendes ikke e-postinvitasjonene til de nylig synkroniserte brukerne.
Du kan ikke legge til brukere manuelt i Control Hub etter at Directory Connector er aktivert. Når den er aktivert, utføres brukeradministrasjon fra Cisco-registerkobling, og Active Directory er den eneste kilden til sannhet.
Alle grupper du synkroniserte, vises i Control Hub, og du kan tilordne en lisensmal slik at brukere i den gruppen tilordnes lisenser.
Hva nå?
Når du fjerner en bruker fra Active Directory, blir brukeren myk slettet etter neste synkronisering. Brukeren blir
Inactivemen skyidentitetsprofilen beholdes i syv dager (for å tillate gjenoppretting etter utilsiktet sletting).Når du sjekker Kontoen er deaktivert i Active Directory blir brukeren
Inactiveetter neste synkronisering. Skyidentitetsprofilen slettes ikke etter syv dager, i tilfelle du vil aktivere brukeren på nytt.Vær oppmerksom på disse unntakene fra en trinnvis synkronisering (følg de fullstendige synkroniseringstrinnene ovenfor i stedet):
Hvis det gjelder en oppdatert avatar, men ingen andre attributter endres, oppdaterer ikke trinnvis synkronisering brukerens avatar til skyen.
Konfigurasjonsendringer for attributtilordning, base-DN, filter og avatarinnstillinger krever full synkronisering.
Tilordne Webex-tjenester til katalogsynkroniserte brukere i Control Hub
Når du har fullført en fullstendig brukersynkronisering fra Cisco-registerconnector til Control Hub, kan du bruke Control Hub til å tilordne de samme Webex-tjenestelisensene til alle brukerne samtidig eller legge til flere lisenser til nye brukere hvis du allerede har konfigurert en automatisk tilordnet lisensmal. Du kan gjøre individuelle endringer i brukerkonto etter dette første trinnet.
Når du har fullført en fullstendig brukersynkronisering fra Directory Connector til Control Hub, kan du bruke metoder i Control Hub til å globalt tilordne Webex-tjenestelisenser til alle brukerne, enkeltbrukere, gjennom CSV-malen for mengde eller automatisk til nye brukere hvis du har allerede konfigurert en mal for automatisk tildeling av lisenser. Du kan gjøre individuelle endringer i brukerkonto etter dette første trinnet.
Når du tilordner en lisens til en Webex-appbruker, mottar denne brukeren en e-post som bekrefter tilordningen, som standard. E-posten sendes av en varslingstjeneste i Control Hub. Hvis du integrerte engangspålogging (SSO) med Webex-organisasjonen din, kan du også undertrykke disse automatiske e-postvarslene hvis du foretrekker å kontakte brukerne dine direkte.
Før du starter
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Gjør en tørrkjøringssynkronisering på Active Directory brukerne dine.
Når du har bekreftet resultatene av tørrkjøringen, utfører du en fullstendig synkronisering på Active Directory -brukerne.
| På tidspunktet for full synkronisering opprettes brukeren i skyen, ingen tjenestetilordninger legges til, og det sendes ingen aktiverings-e-post. Hvis e-postene ikke undertrykkes, mottar de nye brukerne en aktiverings-e-post når du tilordner tjenester til brukere ved hjelp av en standard brukeradministrasjonsmetode i Control Hub, for eksempel CSV-import, manuell brukeroppdatering eller vellykket fullføring av automatisk tilordning. |
| 1 | Fra kundevisningen ihttps://admin.webex.com , gå til , klikk Behandle brukere , velg Endre alle synkroniserte brukere , og klikk deretter Neste . |
| 2 | Velg et alternativ:
|
Hva nå?
Hvis e-postene ikke undertrykkes, sendes en e-postmelding til hver bruker med en invitasjon til å bli med og laste ned Webex.
Hvis du valgte de samme Webex-tjenestene for alle brukerne, kan du etterpå endre lisensen som er tilordnet individuelt eller samtidig.
Kjente problemer med katalogkobling
Windows Server-versjoner før 2012 R2 har et problem med informasjonskapsler som påvirker katalogkoblingen. Dette problemet er løst i versjoner 2012 R2 og 2016 .
For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene 72 timer fra du utfører synkroniseringen.
Du kan prøve å tømme den lokale hurtigbufferen for Webex-appen ved å følge disse instruksjonene: Windows eller Mac .
Når en bruker bruker Webex-appen på skrivebordet eller mobilen til å søke og ringe et rom som bare har en synkronisert SIP-URI, ringer anropet på ubestemt tid på dette tidspunktet.
Kjør en trinnvis synkronisering
En trinnvis synkronisering spør etter Active Directory og ser etter endringer som har skjedd siden forrige synkronisering. Dette trinnet grupperer deretter disse endringene og sender dem til koblingstjenesten. Endringene inkluderer endring av brukerattribusjon og når en bruker legges til eller slettes.
Denne synkroniseringen legger ikke like mye belastning på serverne og tar ikke like mye tid som en full synkronisering. Når du har utført den første fullstendige synkroniseringen, anbefaler vi det trinnvise alternativet for etterfølgende synkroniseringer.
Før du starter
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Merk disse unntakene som trinnvis synkronisering ikke støtter (følg Utfør en fullstendig synkronisering av Active Directory -brukere til skyen i stedet):
Hvis det gjelder en oppdatert avatar, men ingen andre attributter endres, oppdaterer ikke trinnvis synkronisering brukerens avatar til skyen.
For nye konfigurasjonsendringer for attributtilordning, base-DN, filter og avatarinnstilling fungerer ikke trinnvis synkronisering, og disse krever full synkronisering.
| 1 | Fra Katalogkobling klikker du på Instrumentbord .
| ||
| 2 | Fra Handlinger , klikk Synkroniseringsmodus > Aktiver synkronisering hvis det ikke allerede er aktivert. Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt (på versjon 3.4 og tidligere) eller hver fjerde time (på versjon 3.5 og nyere), men du kan endre denne verdien. Den trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering. Når et nytt trinnvis tidsintervall er ute, kontrollerer programmet endringene basert på det siste tidsstemplet. | ||
| 3 | Fra Handlinger , klikk Synkroniser nå > Inkrementell . For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene 72 timer fra du utfører synkroniseringen.
| ||
| 4 | Hvis du vil ha informasjon om feil, klikker du på Start Event Viewer fra Handlinger verktøylinjen for å vise feilloggene. |
Hva nå?
Hvis du har flere domener, gjør du dette trinnet på andre Directory Connector-forekomster du har installert.
Gjenopprett brukere som er slettet ved et uhell
Katalogkobling har kontroller og saldoer for å forhindre utilsiktet sletting av brukere. Dessverre skjer ulykker. Du kan ha konfigurert et LDAP-filter i Active Directory på feil måte, noe som slettet noen brukere da de ble synkronisert til skyen. Den myke slettefunksjonen kan hjelpe deg med å komme deg etter disse ulykkene og gjenopprette brukerkontoene i Control Hub.
Som standard er denne funksjonen aktivert for alle organisasjoner. Når brukere slettes i skyen, for eksempel på grunn av et problem med feilaktige objekter etter en synkronisering fra Directory Connector, kan brukerne gjenopprettes. Hvis du så et objekt som ikke samsvarte, eller la merke til at brukere ble slettet, kan det hende du kan gjenopprette dem hvis du handler raskt.
| Brukere merkes som inaktive i Control Hub når de tilsvarende kontoene slettes i Active Directory. Bakgrunnsskytjenesten beholder brukerne i opptil 7 dager. I løpet av denne perioden kan du fortsatt bruke Cisco-registerkobling til å gjenopprette brukere. Vi anbefaler at du gjenoppretter disse brukerne så snart som mulig. Brukere som er deaktivert i Active Directory , er også merket som inaktive i Control Hub, men brukerkonto slettes ikke etter 7 dager. |
| 1 | Logg på Kontrollhub . |
| 2 | Gå til Brukere og kontroller om en bestemt brukerkonto er i en inaktiv tilstand eller ikke er oppført. Hvis du vil ha mer informasjon, se Brukerstatuser og handlinger i Control Hub . |
| 3 | Hvis brukere ble slettet i Control Hub eller du legger merke til at brukere er i en inaktiv tilstand, går du til Active Directory, legger til de manglende brukerkontoene, og deretter utfører du en tørrkjøringssynkronisering i Directory Connector. Målet med Directory Connector er å opprette et nøyaktig samsvar mellom brukerinformasjon i Active Directory og i skyen. |
| 4 | Utfør en fullstendig synkronisering for å resynkronisere de midlertidig slettede brukerkontoene til Control Hub. Brukerne gjenopprettes og går til den opprinnelige statusen, inkludert kontostatus og tjenestetilordninger. |
Hva nå?
Gå tilbake til Control Hub, gå til , og bekreft at de tidligere slettede brukerkontoene vises i brukerliste.
Slett brukere permanent etter myk sletting
Etter å ha utført en tørrkjøring, kan du velge å permanent slette brukere som ble myk slettet ved neste synkronisering.
| 1 | Når en tørrkjøring er fullført, velger du Myk-slettede objekter . |
| 2 | Merk av i avmerkingsboksen ved siden av brukerne du vil slette. |
| 3 | Velg Ferdig. |
Hva nå?
Ved neste synkronisering blir brukerne du sjekket, slettet permanent.
Endre en e-postadresse for Webex-appen
Hvis du vil endre e-postadresser for brukere og organisasjonen bruker katalogkoblingen, endrer du disse e-postadressene i Active Directory. Denne fremgangsmåten dekker hvordan du endrer en e-postadresse for Webex-appen for ett enkelt domene og en prosess for å endre domenet.
| Hvis du bare vil endre e-post eller verdier for én bruker, må du ikke slette brukeren fra Active Directory og deretter opprette en ny med den samme e-postadressen. Skyen tolker denne handlingen som en ny brukerkonto, og brukerens områder og andre data i skyen vil gå tapt. |
Slik endrer du brukerens e-postadresser uten å endre domenet:
Gjenoppta synkroniseringen på katalogkoblingen.
Etter neste synkronisering vises endringene i brukerliste i Control Hub og for brukere i Webex-appen etter at hurtigbufferen er oppdatert.
Det er ikke tap av data eller områder ved hjelp av denne metoden. Brukerens unike identifikator angis i skyen etter den første synkroniseringen. Alle etterfølgende synkroniseringer er basert på denne identifikatoren.
Hvis du vil endre brukerens e-postadresser mens du endrer domenet i en distribusjon med flere domener med Directory Connector (vurder på example1.com, det gamle domenet og example2.com som det nye domenet):
På Directory Connector gjenopptar du synkroniseringen for example2.com
Før du fortsetter, må du kontrollere at kontoen bruker1@example2.com synkroniseres til Control Hub. Vi anbefaler at du ber brukeren om å bekrefte e-postendringen i Webex-appen, og at alle data (områder, meldinger, møter, filer og så videre) beholdes.
Det er ingen tap av data eller områder ved hjelp av denne metoden, men i den nye brukerkonto må du sørge for at Active Directory -attributtet som tilordnes til sky-uid-attributtet, er bevart fra den gamle brukerkonto. Hvis du endrer Active Directory -verdien, beholder ikke den nye kontoen dataene fra den gamle kontoen.
Når du har bekreftet e-postadresse og dataene er intakte, sletter du den gamle brukerkonto på example1.com, og deretter bruker du Directory Connector til å gjenoppta synkroniseringen for example1.com.
På dette tidspunktet kan du trygt oppdatere e-postadresse i det nye Active Directory -domenet for bruker1@example2.com.
Katalogkobling begrenser ikke endringen av e-postdomene. Når brukeren resynkroniserer til skyen, avhenger imidlertid brukerstatusen av om det nye domenet er bekreftet i organisasjonen din. Hvis domenet ikke er bekreftet i organisasjonen din, endres brukerens status til Venter etter full synkronisering. Hvis du vil ha mer informasjon, se Administrer domenene dine .
Hvis organisasjonen din ikke bruker katalogkobling, kan du endre e-postadressene for Webex-appen via siden med kontoinnstillinger . Se Endre e-postadressen for kontoen din for trinn som brukere kan følge for å endre e-postadressene sine.
Endre Active Directory -domenet
Du kan bruke denne fremgangsmåten til å opprette nye domener og e-postadresser. De synkroniseres med identitetstjenesten i skyen.
| 1 | Konfigurer et nytt AD-domene ( Active Directory ). | ||
| 2 | Deaktiver synkroniseringer på alle kontaktene dine. | ||
| 3 | Avinstaller alle kontaktene dine. | ||
| 4 | Åpne store og små bokstaver for å endre domenet . I saksinnsendingen må du sørge for å be om fjerning av domenekonfigurasjonen og alle synkroniseringsattributter i organisasjonen.
| ||
| 5 | Etter at saken er løst: Utfør en testkjøring med Directory Connector før du utfører selve synkroniseringen. |
Domenekrav
Et domenekrav oppstår hvis du gjør krav på et e-postdomene for en organisasjon, slik at en eventuell skjenkkonto opprettes i den betalte kundeorganisasjonen og ikke i den gratis forbrukerorganisasjonen. Du kan bare gjøre et domenekrav gjennom en støttesak (se koblingen nedenfor for mer informasjon).
Hvis katalogkoblingen er aktiv og domenet gjøres krav på, opprettes ikke skjenkkontoer verken i kundeorganisasjonen eller i den gratis forbrukerorganisasjonen. Bare katalogkoblingen kan klargjøre kontoer for organisasjonen fra Active Directory. Informasjonen som er lagret i Active Directory , er den opprinnelige kilden. Hvis du prøver å legge inn en konto på skjenk, mottar den inviterte brukeren en feilmelding. Den eneste måten en invitert bruker kan legges til i et Webex-appområde, er først å bruke katalogkoblingen til å klargjøre kontoen i Control Hub.
Konverter gratis brukere av Webex-appen i en katalogsynkronisert organisasjon
Du kan bare bruke unike e-postadresser i katalogen for Webex-appen. Hvis brukerne dine har registrert seg for gratisversjonen av Webex-appen, finnes kontoen deres i den gratis forbrukerorganisasjonen. Hvis du vil administrere brukere i denne organisasjonen ved hjelp av Katalogkobling, må du overføre (konvertere) dem til kundeorganisasjonen før du slår på Katalogkobling. Deretter legger du til brukerne i Active Directory med den nøyaktige e-postadresse og synkroniserer til skyen.
Hvis du ikke konverterer kontoene før aktivering, må du slå av katalogkoblingen for å konvertere dem.
Hvis du prøver å konvertere en bruker mens katalogsynkronisering er aktivert, vises feilmelding<email address=""> kunne ikke konverteres
vises. Hvis du vil unngå problemet, kan du bruke disse trinnene som en løsning.
| Noen påståtte brukere kan dukke opp med Hvis du ikke legger til disse brukerne, blir alle slettet neste gang du synkroniserer til skyen. |
| 1 | Deaktiver katalogsynkroniseringen fra katalogkoblingen. | ||
| 2 | Følg Konverter ulisensierte brukere i Control Hub prosedyre for å konvertere brukeren fra den gratis forbrukerorganisasjonen til bedriftsorganisasjonen. Dette trinnet legger til brukeren i organisasjonen, og kontoen vises i Control Hub. Katalogkobling gjør Active Directory til den eneste sannheten for brukerkontoer, og målet er å ha nøyaktig samsvar mellom Active Directory og Control Hub. Kontroller at det finnes samsvarende brukere i Active Directory for eventuelle nylig konverterte brukere før du aktiverer synkroniseringen på nytt. En testsynkronisering kan brukes til å sikre at det ikke finnes gjenværende brukere uten samsvar. | ||
| 3 | Utfør en tørrkjøringssynkronisering på Directory Connector. Når testkjøringen er fullført, kontrollerer du fanen Legg til objekter. Kontroller at brukere du konverterte, ikke har blitt slettet.
| ||
| 4 | Når du er sikker på at neste synkronisering ikke fjerner noen kontoer, aktiverer du katalogsynkronisering på nytt fra Katalogkobling. |
Konverterte brukerkontoer aktiveres ikke automatisk hvis du ikke har bekreftet et domene. Hvis du for eksempel har aktivert malen for automatisk tilordning av lisenser og deretter aktivert Katalogkobling uten domenebekreftelse, er konverterte brukere inaktive i skyserveren til de bekrefter e-postadressene sine.
Brukerkontoer for Webex-appen med skjenk
Når du inviterer en annen bruker til et område i Webex-appen, og den inviterte brukeren ikke har en Webex-appkonto, opprettes det en konto for brukeren ("skjekk"). Som standard legges kontoer som opprettes på denne måten til i den gratis forbrukerorganisasjonen.
Hvis du vil administrere den skjenkede kontoen ved hjelp av Directory Connector, må du konvertere kontoen .
Endre format for brukernavn for Webex-appen etter katalogsynkronisering
Som standard tilordner Directory Connector attributtet displayName i Active Directory til displayName-attributtet i skyen.
Etter at du har utført en katalogsynkronisering, kan du oppleve at brukernavn vises i formatet<lastName, firstName=""> .
Dette brukernavnet kan vises hvis displayName-attributtet i Active Directory er konfigurert på denne måten. Når attributtet er tilordnet til displayName i skyen vises navn i formatet<lastName, firstName=""> i Control Hub.
Hvis du vil endre formatet, i skjermbildet for tilordning av attributter for Directory Connector: tilordne Active Directory -attributtet givenName sn(eller sn givenName) til displayName i Cisco Cloud Attribute Names.
Du kan også tilordne attributtet sn givenName til displayName:
Du kan også bruke alternativet Tilpass attributt hvis du vil tilordne ditt eget tilpassede attributtuttrykk til displayName.
Angi for eksempel givenName + "" + sn(fornavn, mellomrom, etternavn) som uttrykk. Dette tilordner de to attributtene i Active Directory til displayName i skyen.
Tillat brukere å endre visningsnavn i Webex Meetings
Du kan oppheve tilordningen av displayName-attributtet fra synkronisering til skyen i Directory Connector hvis du vil la brukere redigere sine foretrukne visningsnavn. Brukere kan angi et visningsnavn som skal vises under Webex-møter i stedet for for- og etternavnet. Administratorer kan også endre visningsnavn for en bruker manuelt i Control Hub.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tilordning av brukerattributter . |
| 2 | Velg visningsnavn under Navn på Cisco Cloud . |
| 3 | Velg Ikke synkroniser dette attributtet . |
Hva nå?
Brukere kan nå redigere visningsnavnene fra Webex-nettsted .
Oppgrader til den nyeste programvareversjonen
For å holde distribusjonen i samsvar og få de nyeste funksjonene, funksjonaliteten, feilrettinger og sikkerhetsforbedringer, må du alltid oppgradere til den nyeste versjonen av Directory Connector. Hvis du ikke oppgraderer til den nyeste versjonen som er tilgjengelig, kan du få problemer, for eksempel at Directory Connector ikke lenger synkroniserer riktig eller bruker en versjon som ikke støtter det obligatoriske TLS 1.2-krav .
Katalogkobling varsler deg automatisk når en ny versjon er tilgjengelig. Oppgrader alltid til den nyeste versjonen for å unngå problemer. Du ser også et varsel på oppgavelinjen i Windows.
| Selv om du kan installere oppdateringer for koblingsprogramvare manuelt, anbefaler vi at du følger trinnene i Angi automatiske oppgraderinger for å la appen administrere oppgraderingene dine automatisk. |
| 1 | Klikk på varselet på oppgavelinjen i Windows, eller høyreklikk på Katalogkobling-ikonet på oppgavelinjen i Windows for å starte oppgraderingsprosessen. |
| 2 | Følg instruksjonene for å fullføre oppgraderingen. |
| 3 | Start koblingen på nytt, og logg på med administratorlegitimasjonen din. |
| 4 | Kontroller versjonsnummeret til programvaren under . |
Hva nå?
For en ny installasjon av Directory Connector kan du laste ned zip-filen og følg deretter installasjonstrinnene i denne veiledningen.
Konfigurer generelle innstillinger for Directory Connector
Bruk denne fremgangsmåten til å konfigurere generelle innstillinger, for eksempel navnet på serveren som kjører Directory Connector, loggnivåer, automatiske oppgraderinger og foretrukne innstillinger for domenekontrollerne. Navnet på kontakten vises på instrumentbordet i koblingsdelen, sammen med eventuelle andre kontakter som kjører.
| 1 | Fra Katalogkobling går du til Konfigurasjon , og klikk deretter Generelt . | ||
| 2 | I Koblingsnavn -feltet, skriver du inn kontaktnavnet. Dette feltet viser bare datamaskinnavnet som for øyeblikket kjører kontakten. | ||
| 3 | Velg loggnivå fra rullegardinlisten. Som standard er loggnivået satt til info . De tilgjengelige loggnivåene er:
| ||
| 4 | Velg Foretrukne domenekontrollere for å angi rekkefølgen på domenekontrollere for synkronisering av identiteter. Domenekontrollerne er tilgjengelige fra topp til bunn. Hvis den øverste kontrolleren ikke er tilgjengelig, velger du den andre kontrolleren på listen. Hvis ingen kontroller er oppført, har du tilgang til primærkontrolleren. | ||
| 5 | Sjekk Oppgrader automatisk til den nye versjonen av Cisco Directory Connector hvis du vil at automatiske oppgraderinger skal skje. Det er alltid viktig å holde Cisco Directory Connector-programvaren oppdatert til den nyeste versjonen. Vi anbefaler at du kontrollerer denne innstillingen for å tillate at automatiske oppgraderinger av programvaren installeres stille når de er tilgjengelige. | ||
| 6 | Sjekk LDAP over SSL for å bruke sikker LDAP (LDAPS) som tilkoblingsprotokoll.
LDAP (Lightweight Directory Application Protocol) og Secure LDAP (LDAPS) er tilkoblingsprotokollene som brukes mellom et program og domenekontrolleren i infrastrukturen. LDAPS-kommunikasjon er kryptert og sikker. |
Konfigurer koblingspolicyen
Du kan angi maksimalt antall slettinger som kan skje under synkronisering. Når du kjører synkronisering, slettes ikke objekter fra den lokale Active Directory. Alle objekter slettes bare fra skyen.
Du angir for eksempel 1 som utløserverdi for sletteterskel. Når du foretar full eller trinnvis synkronisering, og antallet brukere du vil slette er mer enn innstillingen, viser katalogkontakten en advarsel. Hvis du klikker Overstyr terskel , kan du starte full eller trinnvis synkronisering, men du vil se dette overstyringsvarselet neste gang du kjører policyen.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Retningslinjer . | ||
| 2 | Sjekk Aktiver utløser for sletteterskel hvis du vil legge til en terskelutløser. Hvis du velger dette alternativet, utløses et varsel hvis antall slettinger overskrider terskelen. Når slettekontoen overskrider den du angir, mislykkes synkroniseringen.
| ||
| 3 | Angi maksimalt antall slettinger du vil bruke. Standarden er 20.
| ||
| 4 | Klikk på Bruk. |
Angi tidsplan for kobling
Angi tidspunkt for synkronisering i Active Directory. Failover brukes for høy tilgjengelighet (HA). Hvis én kontakt er nede, bytter vi til en annen standby-kontakt etter det forhåndsdefinerte intervallet.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tidsplan . |
| 2 | Angi Inkrementelt synkroniseringsintervall på minutter. Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt. Den fullstendige trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering. |
| 3 | Endre Send rapporter per… gang verdi hvis du vil endre hvor ofte rapporter sendes. |
| 4 | Sjekk Aktiver tidsplan for full synkronisering for å angi dagene og tidspunktene du vil at en full synkronisering skal skje. |
| 5 | Angi Failover-intervall på minutter. |
| 6 | Klikk på Bruk. |
Flere domenescenarier
Flere domener er basert på domeneprioritet. For objekter som har samme nøkkelverdi i forskjellige domener, etter synkronisering, vil dataene fra domenet med høyere prioritet skrive om dataene fra domenet med lavere prioritet.
Objekter som har samme nøkkelverdi, kobles til én oppføring i databasen.
Nøkkelverdien for «Bruker» er E-postadresse ; nøkkelverdien for «Gruppe» er Gruppenavn .
Eksempel på bruksanvisning for flere domener
Dette eksemplet forutsetter en organisasjon med to domener – eksempel1.com og eksempel2.com, i prioritert rekkefølge.
Legg til bruker1(e-post: bruker@example1.com) til Active Directory for eksempel1.com.
Legg til gruppe1(Gruppenavn: Test) til Active Directory for example1.com.
Legg til bruker2(e-post: bruker@example2.com) til Active Directory for eksempel2.com.
Legg til gruppe2(Gruppenavn: Test) til Active Directory for example2.com.
- Synkronisering på example1.com
-
Som et brukscase er bruker2 og gruppe2 synkronisert til skyen og vises ihttps://admin.webex.com , mens bruker1 og gruppe1 ikke er det.
Hvis du utfører en fullstendig eller trinnvis synkronisering for example1.com, synkroniseres bruker1 og gruppe1. Dessuten overskrives bruker2 og gruppe2 av informasjonen til bruker1 og gruppe1.
Bruker1 kobler til bruker2 som den samme oppføringen i databasen; gruppe1 kobler gruppe2 som den samme oppføringen i databasen.
- Synkronisering på example1.com og example2.com
-
Som et brukscase er bruker2 og gruppe2 synkronisert til skyen og vises ihttps://admin.webex.com , mens bruker1 og gruppe1 ikke er det.
Vurder disse trinnene:
- Slett bruker1 og gruppe1 i Active Directory for example1.com.
- Utfør en fullstendig eller trinnvis synkronisering for eksempel1.com.
Resultat: brukerens informasjon endres ikke ihttps://admin.webex.com . Bruker2 er ikke koblet til bruker1, og gruppe2 er ikke koblet til gruppe1.
- Utfør en trinnvis synkronisering for example2.com.
Resultat: brukerens informasjon endres ikke ihttps://admin.webex.com .
- Utfør en fullstendig synkronisering for example2.com.
Resultat: Informasjonen til bruker2 og gruppe2 er oppført ihttps://admin.webex.com .
Synkronisere et nytt domene og behold et eksisterende domene
Hvis du vil synkronisere et nytt domene (B) mens du opprettholder de synkroniserte brukerdataene på et annet eksisterende domene (A), må du sørge for at du installerer Directory Connector for domene (B)-synkronisering på en støttet Windows-server. Koblingen bindes til det nye domenet etter det første oppsettet, og brukerinformasjon under domene (A) forblir upåvirket.
Hvert domene må ha sin egen aktive kobling. Vurder to domener med følgende oppsett: domene A med kontakter (ca1) og (ca2) for lokal høy tilgjengelighet (HA); domene B med kontakt (cb1). (ca1) og (ca2) betjener domene A. I dette scenariet er én kontakt aktiv og den andre i ventemodus (HA). Denne utformingen holder domenet synkronisert, fordi én kobling alltid er aktiv. Så cb1 er den aktive kontakten for domene B, fordi domene A allerede har en aktiv kontakt (ca1 eller ca2).
Angi domeneprioritet
Bruk denne fremgangsmåten til å endre prioriteten til Active Directory -domenene dine. Domeneprioritet lar deg bestemme primærdomenet, sekundært domene og så videre. Dette hjelper når to brukere fra to forskjellige domener har samme e-postverdi synkronisert til én organisasjon.
Ikke bruk denne fremgangsmåten hvis du har ett enkelt domene oppført i katalogkoblingen. Hvis du prøver, viser koblingen deg en melding om at domeneprioritet ikke er nødvendig.
Før du starter
Hvis du vil unngå feil, installerer eller oppgraderer du til den nyeste versjonen av Cisco-katalogkontakt. Du må laste den ned frahttps://admin.webex.com .
| 1 | Fra Cisco-katalogkontakt klikker du på Instrumentbord . | ||
| 2 | Gå til Handlinger , og klikk deretter Angi domeneprioritet . | ||
| 3 | Uthev ett domene i listen, klikk på Opp eller Ned for å endre dette domenets prioritet, og klikk deretter på Lagre for å lagre denne endringen.
|
Bytt domener
Bruk denne fremgangsmåten til å koble Cisco-katalogkontakten til et annet domene på nytt.
Før du starter
Kontroller at ingen synkroniseringsoppgaver kjører før du bytter domener.
Hvis du vil unngå feil, installerer eller oppgraderer du til den nyeste versjonen av Cisco-katalogkontakt. Du må laste den ned fra Kontrollhub .
| 1 | Fra Cisco-katalogkontakt klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter Bytt domene . |
| 3 | Når du har lest advarselen, hvis du forstår hvilken innvirkning denne endringen har på distribusjonen, og du fortsatt er sikker, klikker du på Ja . Hvis du bytter domene, blir du logget av den gjeldende Cisco-katalogkontakten, andre domener i kontakten blir avregistrert, og kontaktinformasjonen på den datamaskinen slettes. |
| 4 | Logg på Cisco-katalogkontakten igjen, og bind domenet på nytt. |
Slå av katalogsynkronisering
Hvis du må stoppe synkroniseringen fra Directory Connector, kan du midlertidig slå den av fra Control Hub.
| 1 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Katalogsynkronisering , og velg deretter én:
|
| 2 | Når du har lest ledeteksten, klikker du på Slå av . Synkroniseringen stopper til du aktiverer den på nytt fra Katalogkobling. |
Fjern tilordning av brukerattributter
Bruk Katalogkobling til å fjerne tilordningen for Active Directory -attributter som tidligere var tilordnet til skyen og synkronisert til Webex. Når du har fjernet attributtilordningen, fjernes attributtverdiene fra skyen og synkroniseres ikke lenger til Webex. Disse verdiene kan deretter redigeres manuelt.
| 1 | Fra Katalogkobling klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter . |
| 3 | Velg tilordningen som skal fjernes fra Attributtnavn listen. |
| 4 | Under Berørt brukeromfang , velger du ett av følgende:
|
| 5 | Klikk på Bruk. |
Behandle profilbilder
Bruk Katalogkobling til å oppdatere brukerprofil eller til å fjerne tomme brukerprofil .
| 1 | Fra Katalogkobling klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter . |
| 3 | Under Handlinger , velger du ett av følgende:
|
| 4 | Klikk på Bruk. |
Avinstaller og deaktiver katalogkobling
Når du har avinstallert en forekomst av Directory Connector, må du avregistrere den. Fjern en katalogkobling fullstendig for disse scenariene:
Du vil ikke bruke katalogsynkronisering lenger.
Du vil ikke bruke én av flere katalogkoblinger (høy tilgjengelighet).
Du vil endre domenet og installere en annen kobling.
Før du starter
Du kan ha flere forekomster av Directory Connector konfigurert for synkronisering med høy tilgjengelighet (HA) eller flere domenesynkronisering. Deaktiver synkroniseringen hvis du avinstallerer den eneste eller siste gjenværende forekomsten av Directory Connector.
Lagre og lukk viktig arbeid før du avinstallerer Directory Connector.
| 1 | Fra Windows-maskinen går du til Kontrollpanel, og klikker deretter på Programmer og funksjoner . |
| 2 | Fra programlisten klikker du på Katalogkobling , velg Avinstaller , og følg deretter ledeteksten. Du må kanskje starte systemet på nytt for å fullføre avinstallasjonen. |
| 3 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Katalogsynkronisering , klikk mer |
| 4 | Når du har lest ledeteksten, klikker du på Deaktiver . Med mindre det finnes en annen katalogkobling i en distribusjon med høy tilgjengelighet (HA), synkroniseres ikke brukerkontoer lenger. |
Kjør diagnoseverktøyet
Du kan bruke det innebygde feilsøkingsverktøyet til å feilsøke Directory Connector-distribusjonen. Dette verktøyet er installert som en del av Directory Connector 3.4 og nyere.
Hvis synkroniseringen ikke fungerte som den skal, kan det hende du har en konfigurasjons- eller nettverksfeil. Dette verktøyet tester tilkoblingen din til LDAP slik at du kan diagnostisere feil selv før du kontakter kundestøtte. Hvis verktøyet returnerer en feil, kan du sende de detaljerte loggresultatene til kundestøtte.
Slik kjører du tester for Active Directory -domenetjenester:
Slik kjører du tester for Active Directory Lightweight Directory-tjenester:
Slik kjører du tester for LDAP ( Lightweight Directory Access Protocol ):
Feilsøking og rettelser for Directory Connector
Du kan støte på en feilmelding eller et annet problem i Directory Connector. Etter at Directory Connector synkroniserer brukerinformasjon, kan det også hende at koblingen sender deg en e-postrapport som viser eventuelle problemer med synkroniseringen. Se avsnittene nedenfor for problemer som kan oppstå, mulige årsaker og forslag til løsninger du kan prøve før du kontakter kundestøtte.
Installerer
Katalogkobling sluttet å fungere
Du mottok e-postvarsel som varsler deg om at katalogkoblingen ikke fungerer.
Katalogkobling er kanskje ikke riktig installert.
Directory Connector kjører kanskje ikke.
Nettverket er kanskje ikke tilgjengelig.
Prøv følgende:
Åpne . Finn Katalogkobling. Hvis den ikke er der, laster du ned den nyeste versjonen fra Control Hub og installerer den.
Åpne Tjeneste og finn Cisco DirSync-tjeneste. Kontroller at den viser statusen som Startet . Hvis tjenesten er stoppet, høyreklikk du og velger Start for å starte tjenesten på nytt.
Kontroller at serveren du installerte katalogkoblingen på, har tilgang til Internett.
Feil ved reinstallasjon
Problem –Hvis du umiddelbart installerer en ny kontakt etter at du har avinstallert en gammel, kan det hende at du ser en feilmelding.
Mulig årsak – I Windows Server 2012 trenger avinstallasjonsklienten tid til å slette tjenestekonto fra tjenestelisten.
Løsning – Når det har gått litt tid, kan du prøve installasjonen på nytt.
Logg på
Katalogkobling krasjer under SSO-pålogging
Problem
Katalogkobling kan krasje etter at du angir en e-postadresse fra en SSO-påloggingsside.
Løsning
Prøv følgende:
Gjør følgende for å konfigurere en ny gruppepolicy:
Gå til domenekontrolleren og åpne administrasjon av gruppepolicy (gpedit.msc).
Høyreklikk på en bestemt organisasjonsenhet eller et bestemt domene, og velg Opprett et GPO på dette domenet , og Koble den her…
Gi retningslinjen et navn, høyreklikk og velg Rediger .
Gjør følgende for å endre policyen på maskinnivå:
Gå til , høyreklikk Register , velg Nyhet , og deretter Registerelement .
For Nøkkelbane , angi eller gå til HKEY_ LOKALT_ MASKIN\SOFTWARE\Microsoft\ Internet Explorer\Main .
Oppgi
Disable Script Debuggerfor Verdi , og anginofor Verdidata .Innstillingene skal samsvare med dette skjermbildet:
Gjør følgende for å endre retningslinjene på brukernivå:
Gå til , høyreklikk Register , velg Nyhet , og deretter Registerelement .
For Nøkkelbane , angi eller gå til HKEY_ GJELDENDE_ BRUKER\SOFTWARE\Microsoft\ Internet Explorer\Main .
Oppgi
Disable Script Debuggerfor Verdi , og anginofor Verdidata .Innstillingene skal samsvare med dette skjermbildet:
| Endringene trer i kraft etter at du har kjørt |
Kunne ikke registrere Cisco DirSync Service Connector
Problem
Pålogging mislykkes, og denne meldingen vises: «Kunne ikke registrere Cisco DirSync Service Connector.»
Løsning
Windows-systemet som Directory Connector er installert på, må være medlem av Active Directory.
Det vises ingen påloggingsside
Problem
Du åpnet Directory Connector, og påloggingssiden ble ikke vist.
Løsning
Prøv følgende trinn:
I Internet Explorer går du tilhttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL . Prøv koblingen i andre nettlesere som Chrome og Firefox.
Hvis Internet Explorer ikke kan besøke koblingen, men andre nettlesere kan, kontrollerer du innstillingene for Internet Explorer og merker av for TLS 1.1 og 1.2. (Bruk Aktiver TLS i Internet Explorer prosedyre.)
Melding om pålogging vises
Problem
Det vises en melding som ber deg om å angi brukernavn og passord for å sende godkjenningen.
Mulig årsak
Katalogkoblingen fullfører NTLM-sikkerhetsgodkjenning lydløst med påloggingskontoen. Hvis autentiseringen mislykkes, vises en dialogboks der du blir bedt om brukernavn og passord for autentiseringen.
Løsning
Når du ser popup-vinduet for pålogging, må du oppgi en gyldig konto med riktig autentisering for å sende sikkerhet.
Kan ikke koble til den eksterne serveren
Problem
Under normal drift vises feilmelding : «Kan ikke koble til den eksterne serveren.»
Mulig årsak
Du kan ha proxy-problemer som må løses.
Løsning
Se Feilsøke innloggingsproblemer for tjenestekonto for mer feilsøkingsinformasjon.
Kan ikke registrere koblingen
Problem
Du ser feilmelding «Kan ikke registrere kontakten. Det oppstod et generelt unntak.»
Mulig årsak
I de fleste tilfeller skyldes problemet at katalogkoblingen ikke har tillatelse til å koble til LDAP-rotkontekst.
Løsning
Prøv følgende:
Kjør en ledetekst (cmd), og skriv deretter inn ldp.exe .
Klikk på , velg Bind som pålogget bruker , og klikk deretter OK .
Klikk på , angi DC=arbonneintl,DC=ad som BaseDN, og klikk deretter OK .
Hvis problemet vedvarer, åpne en sak med støtte .
Synkronisering
Avatarer ikke synkronisert
Problem
Cisco-katalogkoblingen synkroniserte bruker-AD-data til Webex-skyen. Men ingen avatardata ble synkronisert.
Mulig årsak
Hvis du brukte en eksisterende avatarserver på nytt og brukeravatarene allerede var synkronisert, registrerer den lokale hurtigbufferen dem og unngår å sende på nytt for å spare båndbredde.
Løsning
Slett den lokale hurtigbufferen ved å følge denne fremgangsmåten:
Gå til C:\Program Files (x86)\ Cisco Systems\Cisco Directory Connector\Plugins\
Slett DirSyncPluginAvatar.dll-cache.bin .
Kjør avatarsynkroniseringen på nytt fra Cisco-katalogkontakten.
Motstridende e-postkontoer for brukere
Problem
Synkroniseringsresultater kan vise motstridende e-postkontoer for brukere.
Hvis brukere prøvde gratisversjonen av Webex-appen, ligger e-postadressene deres i den gratis forbrukerorganisasjonen.
Hvis brukere-e-poster noen gang ble synkronisert i en annen organisasjon.
Hvis e-postadresser for brukere finnes i flere domener som tilhører organisasjonen.
Løsning
Prøv følgende:
Følg denne fremgangsmåten hvis du prøver å gjøre krav på brukere:
Kontroller at du har bekreftet domenet i Control Hub .
Deaktiver Cisco-registerkobling midlertidig.
Bruk alternativet Krev bruker i Control Hub til å gjøre krav på alle kontoer som finnes i den gratis forbrukerorganisasjonen. Se Krev brukere til organisasjonen din (Konverter brukere) hvis du vil ha mer informasjon.
Gjør en tørrkjøring i Cisco Directory Connector, og aktiver deretter katalogsynkronisering på nytt
I det siste tilfellet dobbeltsjekker du brukerdataene i Active Directory -kildene.
Konvertert bruker merket som inaktiv
Problem
I det synkroniserte katalogmiljøet konverterte du en gratis bruker (forbrukerorganisasjon) til bedriftsorganisasjonen, men den konverterte brukeren kan ikke logge på Webex-appen.
Mulig årsak
Når den gratis brukeren konverteres til bedriftsorganisasjonen, merkes brukeren som inaktiv status i 30 dager som et sikkerhetstiltak. I løpet av denne perioden kan ikke brukeren logge på Webex-appen og merkes for sletting på slutten av 30-dagersperioden. Denne situasjonen oppstår fordi den gratis brukerinformasjon ikke finnes i Active Directory.
Løsning
Du må iverksette tiltak hvis du ikke vil at brukerkonto skal slettes. Du kan løse dette problemet ved å opprette en brukerkonto i den lokale Active Directory som tilsvarer den konverterte gratis brukerkonto. Deretter utfører du en synkronisering fra Cisco-registerkoblingen. Deretter kan brukeren logge på Webex-appen igjen, og kontoen blir ikke slettet.
Inkrementell synkronisering mislykkes
Problem
En trinnvis synkronisering mislykkes.
Dette problemet kan oppstå på Windows Server 2008 R2 under følgende forhold:
Du støtter trinnvise verdioppdateringer.
Filteret du bruker, refererer til et koblet verdiattributt.
Resultatverdiene for dette attributtet ble oppdatert siden forrige gang en full synkronisering ble utført.
Løsning
Windows Server 2008 R2 har en feil som er relatert til dette problemet. Feilen er rettet i 2012 R2 og nyere. Vi anbefaler at du oppgraderer Windows Server til minst 2012 R2.
Ugyldig verdi for attributt
Problem
For [user dn (distinguished name)] har attributtet [attribute name] følgende ugyldig verdi [attributtverdi].
Mulig årsak
For CN=b,OU=Employees,OU=C Users,DC=c,DC=com, har attributtet [telefonnummer] følgende ugyldig verdi: +. Dette attributtet må inneholde minst ett tall.
Løsning
Et attributt for denne brukeren har ikke en gyldig verdi. Rett verdien i henhold til beskrivelsen i advarselsmelding. Utfør deretter en ny synkronisering.
Samsvarende brukere som skal slettes
Problem
De samsvarende brukerne er merket for å bli slettet.
Når du utfører en tørrkjøringssynkronisering for å sjekke dataene mellom Active Directory og skyen, kan det hende du ser den samme e-postadresse i begge. Brukeren er imidlertid merket som et objekt som skal slettes.
Løsning
Velg en passende løsning:
Hvis det er greit å slette brukeren og gjøre om lisensene etterpå, kan du bruke Katalogkobling for å løse problemet. Utfør en synkronisering for å slette brukeren, og utfør deretter en ny synkronisering for å synkronisere brukeren fra lokal AD til skyen.
Hvis du ikke kan slette og opprette brukerkonto på nytt, åpne en sak med støtte .
Mangler attributt
Problem
Det obligatoriske attributtet [attribute_name ] når du legger til en lokal oppføring [user dn (distinguished name)]. Oppføringen opprettes ikke i Control Hub før alle obligatoriske attributter har en verdi.
Mulig årsak
E- e-postadresse for det obligatoriske attributtet mangler. Når du legger til den lokale oppføringen [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], opprettes ikke oppføringen i Control Hub før alle obligatoriske attributter har en verdi.
Løsning
Ett av de obligatoriske attributtene mangler for brukeren [user_email_address ]. Angi de nødvendige verdiene for denne brukeren.
Nestet gruppe vil ikke synkroniseres
Problem
Brukere i en nestet Active Directory -gruppe synkroniseres ikke riktig til skyen.
Mulig årsak
Det brukes et filter som inkluderer både den underordnede gruppen og den overordnet gruppe, noe som ikke støttes. For eksempel: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Løsning
Du må konfigurere filteret som synkroniserer grupper på nytt. For eksempel: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
Brukernavnekonflikt
Problem
Det er en navnekonflikt for [user dn] for et eksisterende skyoppføringsobjekt med navnet: [user e-postadresse], og av brukertype [user_type ].
Mulig årsak
En bruker med den e-postadresse finnes allerede i Control Hub.
Løsning
Opprett en bruker i Active Directory med samme e-postadresse som kontoen du registrerte via Control Hub.
Control Hub
Brukerliste mangler i Control Hub
Problem
Hvis du har en Webex-organisasjon med mer enn 1000 synkroniserte brukere, kan det hende at du ikke ser brukerliste i Control Hub.
Løsning
Du kan bruke søkefunksjonen til å finne en brukerkonto. I Control Hub går du til Brukere , klikk på søk , og angi deretter søkekriterier for å finne en bestemt bruker.
Grupper vil ikke synkroniseres til Control Hub
Problem
Brukere i en kataloggruppe synkroniseres ikke riktig til Control Hub.
Mulig årsak
Gruppen er ikke merket som isCriticalSystemObject i Active Directory.
Løsning
Kontroller at attributtet isCriticalSystemObject er angitt til TRUE i Active Directory.
Aktiver feilsøking for katalogkobling
Du kan aktivere feilsøking for å diagnostisere eventuelle feil du støter på i Directory Connector. Feilsøking lar deg fange opp informasjon om nettverkstrafikken og lagre den i en fil.
Loggfilene som er: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 | Kjør | ||
| 2 | Start tjenesten på nytt. Se Slik starter du tjenester for veiledning. | ||
| 3 | I Katalogkobling klikker du på Instrumentbord . | ||
| 4 | Gå til Handlinger , og klikk deretter . | ||
| 5 | Når feilsøking er aktivert, gjentar du handlingene som forårsaket feilen. dette fanger opp trafikkdataene slik at de kan undersøkes. | ||
| 6 | Undersøk loggfilene: Hvis filen er tom, må du kontrollere at kontoen har tilgangsrettigheter til AD DS eller AD LDS.
| ||
| 7 | Send om nødvendig loggfil til kundestøtte for å få hjelp. | ||
| 8 | Deaktiver feilsøkingsfunksjonen når du er ferdig. |
Start Event Viewer
Hvis du vil se hendelsene som oppstod under en fullstendig eller trinnvis synkronisering, starter du Hendelsesliste. Den viser et sammendrag av administrative hendelser og feillogger.
| 1 | Fra Katalogkobling går du til Instrumentbord , og klikk deretter . Dialogboksen Egenskaper for hendelse viser detaljene for synkroniseringshendelsen og feilinformasjonen. |
| 2 | Fra Event Viewer, gå til .
|
| 3 | Under Handlinger , klikk Lagre alle hendelser som for å eksportere alle loggene som én enkelt hendelsesfil (*.evtx) eller et annet format, for eksempel xml eller csv. |
Hva nå?
Hvis du må åpne en sak, ta kontakt med kundestøtte , beskriv problemet med kontakten, og legg deretter ved hendelser-filen til saken.
| Hendelseslogger registrerer brukerhandlinger. Hvis du vil ha hjelp til å administrere nettverkstrafikk, aktiverer du feilsøking på kontakten. |
Aktiver TLS i Internet Explorer
Hvis du byttet leverandør av engangspålogging (SSO), kan det hende du ser følgende feilmeldinger fra Cisco-katalogkontakt:
Det oppstod en feil ved pålogging til tjenesten
Det har oppstått en feil i skriptet på denne siden
Hvis du ser disse feilene, må du aktivere en TLS-innstilling i nettleseren.
| 1 | Åpne Internet Explorer, og velg deretter Verktøy . Nå merker du av for TLS/SSL-versjonen du vil aktivere. Klikk på OK Lukk nettleseren og åpne den på nytt |
| 2 | Klikk på Alternativer for Internett , gå til Avansert , bla til Sikkerhet . |
| 3 | Sjekk Bruk TLS 1.1 og Bruk TLS 1.2 avmerkingsboksene, og klikk deretter på OK .
|
| 4 | Start systemet på nytt for at endringene skal tre i kraft. |
Feilsøke innloggingsproblemer for tjenestekonto
Hvis du ikke kan logge på Cisco-registerkontakt eller ikke kan kjøre en synkronisering, bruker du disse trinnene for å prøve å løse problemet før du kontakter kundestøtte.
| 1 | Prøv å besøkehttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL i nettleseren din. | ||
| 2 | Velg én, avhengig av resultatene:
| ||
| 3 | Kontroller som et minimum at den konfigurerte kontoen for Cisco DirSync-tjenesten (som finnes i Windows-tjenester) har et rettighetsnivå som gir den tilgang til avatardata og AD-data. Som standard bruker tjenesten påloggingsinformasjonen og autentiseringen for Windows-påloggingskontoen. |
Sjekk SafeDllSearchMode i Windows-registeret
Søkemodus for Safe dynamic link library (DLL) angis som standard i Windows-registret og plasserer brukerens gjeldende katalog senere i DLL-søkefølgen. Hvis denne modusen på en eller annen måte ble deaktivert, kan en angriper plassere en skadelig DLL (kalt det samme som en referert DLL-fil som ligger i systemmappen) i gjeldende arbeidskatalog for programmet.
Vanligvis er SafeDllSearchMode aktivert, men bruk denne fremgangsmåten til å dobbeltsjekke registerinnstillingene.
Før du starter
| Endringer i Windows-registret bør gjøres med ekstrem forsiktighet. Vi anbefaler at du tar en sikkerhetskopi av registeret før du bruker disse trinnene. |
| 1 | I Windows-søk eller Kjør-vinduet skriver du inn regedit og trykk deretter på Gå inn . |
| 2 | Gå til HKEY_ LOKALT_ MASKIN\System\CurrentControlSet\Control\Session Manager . |
| 3 | Velg én:
|
Hvis du vil ha mer informasjon, se Søkerekkefølge for dynamisk koblingsbibliotek .
Oversikt over katalogkobling
Katalogkobling er et lokalt program for identitetssynkronisering i skyen. Du laster ned kontaktprogramvaren fra Control Hub og installerer den på din lokale maskin.
Med Directory Connector kan du vedlikeholde brukerkontoene og dataene i Active Directory, slik at Active Directory blir den eneste kilden til sannhet. Når du gjør en endring lokalt, blir den replikert til skyen.
Se alle funksjonene, beskrivelsene og fordelene i tabellen:
| Funksjon | Beskrivelse og fordel |
|---|---|
| Brukervennlig instrumentbord | Instrumentbordet inneholder en synkroniseringsplan, et sammendrag og status for synkroniseringen, og statusen for katalogkoblingen. Du kan vise instrumentbordet når du logger på. |
| Tørrkjør før synkronisering til skyen | Gjennomfør en tørrkjøring med endringer i katalogen før de implementeres i skyen. Kjør deretter en rapport for å se at endringene du vil gjøre, er de du forventer. |
| Full og trinnvis synkronisering | Synkroniser hele katalogen. Eller bare synkroniser de trinnvise endringene for å spare prosessorstrøm og forkorte synkroniseringstiden. |
Synkronisere flere domener (enkeltskog eller flere skoger) |
Katalogkobling støtter flere domener, enten under én enkelt skog eller under flere skoger (uten behov for AD LDS). For bedrifter med flere Active Directory -domener kan du installere en katalogkobling for hvert domene, binde hvert domene til organisasjonen og deretter synkronisere hver brukerbase til Webex. Control Hub gjenspeiler statusen ved å vise synkroniseringsstatusen for flere katalogkoblinger, lar deg slå av synkronisering for et bestemt domene og deaktivere en katalogkobling i en distribusjon med høy tilgjengelighet . |
| Planlagt synkronisering | Angi en synkroniseringsplan etter dag, time og minutt. |
| LDAP-filtre ( Lightweight Directory Access Protocol ). | Definer LDAP søkekriterier og gi effektiv import. |
| Active Directory -attributter | Tilordne Microsoft Active Directory -attributter til tilsvarende Webex-skyattributter. Du kan tilordne attributter som er relevante for Active Directory -konfigurasjonen din, og også definere egendefinerte attributter som skal tilordnes til skyen. Attributtene fra lokalene danner forskjellige data i skyen, for eksempel brukerkonto , bedriftstelefonnumre i Webex Teams, SIP-adresser for romressurser og andre kontaktkort for brukerkontakt (jobbtittel, avdeling, leder og så videre). |
Bedriftskatalog for lokale romressurser og brukere av Cisco Webex Calling (Cloud PSTN) og bedriftskontakter uten Webex-lisensiering |
Hvis en del av organisasjonen bruker Cisco Webex Calling sky PSTN for samtaletjeneste, eller du har lokale rom-enheter, lar denne funksjonen brukere søke i katalogen etter bedriftskontakter fra sine Cisco Webex Calling telefoner (PSTN i sky) eller romressurser.
|
| Hendelsesvisning | Bruk hendelsesvisningen til å finne ut om det var problemer med synkroniseringen. |
| Diagnoseverktøy og feilsøking | Du kan bruke det innebygde diagnoseverktøyet til å feilsøke distribusjonen av Cisco-registerkoblingen. Hvis synkroniseringen ikke fungerte som den skal, kan det hende du har en konfigurasjons- eller nettverksfeil. Dette verktøyet tester tilkoblingen til Active Directory, slik at du kan diagnostisere feil selv før du kontakter kundestøtte. Når du aktiverer feilsøking i Directory Connector, skrives det logger som kan sendes til teknisk støtte. |
| Automatisk oppgradering | Når du har installert Directory Connector, blir du sendt et varsel hver gang en ny versjon av programvaren er tilgjengelig. Du kan konfigurere automatiske oppgraderinger slik at du alltid bruker den nyeste versjonen av programvaren når en ny versjon utgis. |
| Høy tilgjengelighet | Konfigurer flere kontakter slik at det finnes en sikkerhetskopi, i tilfelle hovedkontakten eller maskinen som er vert for den, går ned. |
Katalogkobling er delt inn i tre områder:
Kontrollhub er det enkle grensesnittet som lar deg administrere alle aspekter av Webex-organisasjonen din: vise brukere, tilordne lisenser, laste ned Directory Connector og konfigurere engangspålogging (SSO) hvis du vil at brukerne skal autentisere seg gjennom bedriftsidentitetsleverandøren og du ikke vil sende e-postinvitasjoner for Webex-appen.
Administrasjonsgrensesnitt for katalogkobling er programvaren du laster ned fra Control Hub og installerer på en klarert Windows-server. For flere Active Directory -domener kan du installere ett øyeblikk av programvaren for hvert domene du vil synkronisere. Ved hjelp av programvaren kan du kjøre en synkronisering for å overføre Active Directory -brukerkontoene dine til Webex, vise og overvåke synkroniseringsstatus og konfigurere Directory Connector-tjenester.
Katalogsynkroniseringstjeneste spør Active Directory for å hente brukere og grupper som skal synkroniseres til koblingstjenesten og katalogkobling.
Se dette diagrammet for å forstå arkitekturen for katalogkobling:
Krav for katalogkobling
Krav til Windows og Active Directory
Du kan installere Directory Connector på disse støttede Windows-serverne:
Windows Server 2012
Windows Server 2019
Windows Server 2016
| For å løse et problem med informasjonskapsler anbefaler vi at du oppgraderer domenekontrolleren til en versjon som inneholder feilrettingen— Windows Server 2012 R2 eller 2016 . |
Katalogkobling støttes med følgende Active Directory -tjenester:
Active Directory 2016
(Katalogkobling støttes når du bruker den nyeste versjonen av Active Directory på Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008
Vær oppmerksom på følgende tilleggskrav:
Katalogkobling krever TLS1.2. Du må installere følgende:
.NET Framework v3.5 (obligatorisk for Directory Connector-programmet. Hvis du støter på problemer, kan du bruke veiledningen i Aktiver .NET Framework 3.5 ved hjelp av veiviseren for å legge til roller og funksjoner .)
.NET Framework v.4.5 (obligatorisk for TLS1.2)
Active Directory -skogfunksjonsnivå 2 (Windows Server 2003) eller høyere er obligatorisk. (Se Hva er funksjonsnivåer i Active Directory ? for mer informasjon.)
Maskinvarekrav
Du må installere Directory Connector på en datamaskin med disse minimumskravene til maskinvare:
8 GB RAM
50 GB lagringsplass
Ingen minimum for CPU
Nettverkskrav
Hvis nettverket ditt er bak en brannmur, må du kontrollere at systemet har HTTPS-tilgang (port 443) til Internett.
Krav til Webex-organisasjon
For å få tilgang til Directory Connector-programvaren fra Control Hub trenger du en Webex-organisasjon med en prøveversjon eller et betalt abonnement.
(Valgfritt) Hvis du vil at nye brukerkontoer for Webex-appen skal være aktive før de logger på første gang, anbefaler vi at du gjør følgende:
Legg til, bekreft og eventuelt gjør krav på domener som inneholder brukerens e-postadresser du vil synkronisere til skyen.
Utfør SSO engangspålogging ). til identitetsleverandøren (IdP) med Webex-organisasjonen din.
Undertrykk automatiske e-postinvitasjoner , slik at nye brukere ikke mottar den automatiske e-postinvitasjonen, og du kan lage din egen e-postkampanje. (Denne funksjonen krever SSO-integrering.)
| Hvis du vil ha mer informasjon, se Brukerstatuser og handlinger i Control Hub . |
Installasjonskrav
For et miljø med flere domener (enten én skog eller flere skoger), må du installere én katalogkobling for hvert Active Directory -domene. Hvis du vil synkronisere et nytt domene (B) mens du opprettholder de synkroniserte brukerdataene på et annet eksisterende domene (A), må du kontrollere at du har en egen støttet Windows-server for å installere Directory Connector for domene (B)-synkronisering.
For å logge på koblingen krever vi ikke en administrativ konto i Active Directory. Vi krever en lokal brukerkonto som er den samme brukeren som en fullstendig administratorkonto i Control Hub.
Denne lokale brukeren må ha rettigheter på den Windows-maskinen for å koble til domenekontrolleren og lese Active Directory -brukerobjekter. Maskinens påloggingskonto må være en administrator med rettigheter til å installere programvare på den lokale maskinen. (Denne informasjonen gjelder også for pålogging for virtuell maskin.)
Når du logger på koblingen, må påloggingskontoen være den samme som den fullstendige administratorkontoen for Control Hub. Som standard bruker koblingen den lokale systemkontoen for å få tilgang til Active Directory. Du kan imidlertid bruke Windows-tjenester til å konfigurere en annen konto for å få tilgang til Active Directory. (Denne informasjonen gjelder også for pålogging for virtuell maskin.)
Kontroller at søkemodusen for Windows Safe DLL (dynamic link library) er aktivert ved hjelp av denne fremgangsmåten: Sjekk SafeDllSearchMode i Windows-registeret .
Hvis du bruker AD LDS for flere domener i én enkelt skog, anbefaler vi at du installerer katalogkobling og Active Directory Domain Service/ Active Directory Lightweight Directory Services (AD DS/AD LDS) på separate maskiner.
Krav til flere domener
Før du følger oppgavene i Oppgaveflyt for distribusjon av Cisco-katalogkontakt , må du huske på følgende krav og anbefalinger hvis du skal synkronisere Active Directory -informasjon fra flere domener til skyen:
Det kreves en egen forekomst av Directory Connector for hvert domene.
Katalogkoblingsprogramvaren må kjøres på en vert som er på samme domene som den skal synkronisere.
Vi anbefaler at du bekrefter eller gjør krav på domenene dine i Control Hub. (Se Legg til, bekreft og gjør krav på domener .)
Hvis du vil synkronisere mer enn 50 domener, må du åpne en billett for å få organisasjonen flyttet til en stor organisasjonsliste.
Om ønskelig kan du synkronisere romressursinformasjon sammen med brukerkontoer. (Se Synkronisere lokal rominformasjon til Webex Cloud .)
Anbefalinger for Active Directory gruppe for automatisk lisenstilordning
Active Directory -grupper brukes til å samle brukerkontoer, datakontoer og andre grupper i administrerbare enheter. Arbeid med grupper i stedet for med individuelle brukere bidrar til å forenkle nettverksvedlikehold og -administrasjon.
Det finnes to typer grupper i Active Directory:
Distribusjonsgrupper – Brukes til å opprette distribusjonslister for e-post.
Sikkerhetsgrupper – Brukes til å tilordne tillatelser til delte ressurser.
Vurder følgende retningslinjer når du oppretter grupper i Active Directory:
Opprett en global gruppe for hver rolle, avdeling eller tjeneste (for eksempel salg, markedsføring, ledere, regnskapsførere, Webex-lisensiering og så videre).
Bruk standard navnekonvensjoner på tvers av organisasjonen for å gjøre det enkelt å identifisere viktig informasjon om en gruppe. Gruppenavn kan inneholde detaljer om gruppen, for eksempel tilgangsnivå, ressurstype, sikkerhetsnivå, gruppeomfang, e-postfunksjon og så videre. for eksempel gruppenavn «GSG_ Webex_ Licensing_ EMEAR» refererer til en global sikkerhetsgruppe for EMEAR-brukere med Webex-lisensiering.
Organiser grupper på en lettfattelig måte, for eksempel etter geografi eller lederhierarki. Bruk gruppebeskrivelser for å fullstendig beskrive formålet med gruppen.
Før du legger til brukere i nylig klargjorte grupper, må du definere malen for automatisk lisensgruppe i Control Hub for disse gruppene. Se Konfigurer malen for automatisk lisenstildeling hvis du vil ha mer informasjon.
Størrelsesinformasjon
Katalogkobling fungerer som en bro mellom den lokale Active Directory og Webex-skyen. Som sådan har ikke koblingen en øvre grense for hvor mange Active Directory -objekter som kan synkroniseres til skyen. Eventuelle begrensninger for lokale katalogobjekter er knyttet til den spesifikke versjonen av og spesifikasjonene for Active Directory -miljøet som synkroniseres til skyen, ikke til selve koblingen.
Noen få faktorer kan påvirke hastigheten på synkroniseringen:
Totalt antall Active Directory -objekter. (En synkroniseringsjobb på 5000 brukere vil ikke ta så lang tid som 50000.)
Nettverkshastighet og båndbredde.
Systemarbeidsmengde og spesifikasjoner.
| Hvis du synkroniserer mer enn 50 000 brukere, anbefaler vi på det sterkeste at du bruker en ny kontakt for failover og redundans. |
| Siden flere faktorer er involvert i synkronisering, og fordi hver distribusjon varierer avhengig av faktorene ovenfor, kan vi ikke oppgi spesifikke tidsverdier for hvor lang tid en objektsynkronisering vil ta. |
Sjekk SafeDllSearchMode i Windows-registeret
Søkemodus for Safe dynamic link library (DLL) angis som standard i Windows-registret og plasserer brukerens gjeldende katalog senere i DLL-søkefølgen. Hvis denne modusen på en eller annen måte ble deaktivert, kan en angriper plassere en skadelig DLL (kalt det samme som en referert DLL-fil som ligger i systemmappen) i gjeldende arbeidskatalog for programmet.
Vanligvis er SafeDllSearchMode aktivert, men bruk denne fremgangsmåten til å dobbeltsjekke registerinnstillingene.
Før du starter
| Endringer i Windows-registret bør gjøres med ekstrem forsiktighet. Vi anbefaler at du tar en sikkerhetskopi av registeret før du bruker disse trinnene. |
| 1 | I Windows-søk eller Kjør-vinduet skriver du inn regedit og trykk deretter på Gå inn . |
| 2 | Gå til HKEY_ LOKALT_ MASKIN\System\CurrentControlSet\Control\Session Manager . |
| 3 | Velg én:
|
Hvis du vil ha mer informasjon, se Søkerekkefølge for dynamisk koblingsbibliotek .
Web-proxy-integrering
Web-proxy-integrering
Hvis nettproxy-autentisering er aktivert i miljøet ditt, kan du fortsatt bruke Katalogkobling.
Hvis organisasjonen bruker en gjennomsiktig nettproxy, støtter den ikke autentisering. Kontakten kobler til og synkroniserer brukere.
Du kan bruke en av disse tilnærmingene:
Eksplisitt nettproxy via Internet Explorer (koblingen arver innstillingene for nettproxy)
Eksplisitt nettproxy via en .pac-fil (koblingen arver bedriftsspesifikke proxy-innstillinger)
Gjennomsiktig proxy som fungerer med kontakten uten endringer
Bruke en nettproxy via nettleseren
Du kan konfigurere Directory Connector til å bruke en web-proxy via Internet Explorer.
Hvis Cisco DirSync-tjenesten kjører fra en annen konto enn den nåværende påloggede brukeren, må du også logge på med denne kontoen og konfigurere nettproxy.
| 1 | Fra Internet Explorer går du til Alternativer for Internett , klikk Tilkoblinger , og velg deretter LAN-innstillinger . | ||
| 2 | Pek på Windows-forekomsten der kontakten er installert på nettproxyen. Koblingen arver disse nettproxy-innstillingene. | ||
| 3 | Hvis miljøet ditt bruker proxy-autentisering, legger du til disse nettadressene i den tillatte listen:
Du kan utføre dette enten for hele nettstedet (for alle verter) eller bare for verten som har koblingen.
| ||
| 4 | Hvis miljøet ditt trenger å be om lister over tilbakekall av sertifikater fra sertifiseringsinstanser, legger du til disse nettadressene i den tillatte listen:
Hvis du vil ha mer informasjon, kan du se denne artikkelen om domener og URL-er som må ha tilgang til for Webex-tjenester . |
Konfigurere Web-proxy gjennom en PAC-fil
Du kan konfigurere en klientnettleser til å bruke en .pac-fil. Denne filen inneholder nettproxyadressen og portinformasjonen. Katalogkobling arver den bedriftsspesifikke nettproxy-konfigurasjonen direkte.
| 1 | For at koblingen skal kunne koble til og synkronisere brukerinformasjon til Webex-skyen, må du kontrollere at proxy-autentisering er deaktivert for | ||
| 2 | Hvis miljøet ditt bruker proxy-autentisering, legger du til disse nettadressene i den tillatte listen:
Du kan utføre dette enten for hele nettstedet (for alle verter) eller bare for verten som har koblingen.
| ||
| 3 | Hvis miljøet ditt trenger å be om lister over tilbakekall av sertifikater fra sertifiseringsinstanser, legger du til disse nettadressene i den tillatte listen:
Hvis du vil ha mer informasjon, kan du se denne artikkelen om domener og URL-er som må ha tilgang til for Webex-tjenester . |
NTLM-proxy
Katalogkobling støtter NT LAN Manager (NTLM) . NTLM er en tilnærming for å støtte Windows-godkjenning mellom domeneenhetene og sikre deres sikkerhet.
NTLM-design
I de fleste tilfeller ønsker en bruker å få tilgang til en annen arbeidsstasjonsressurser via en klient-PC, noe som kan være vanskelig å gjøre på en sikker måte.
Generelt er den tekniske utformingen av NTLM basert på en mekanisme for Utfordring
og Svar
:
En bruker logger på en klient-PC via en Windows-konto og et passord. Passordet lagres aldri lokalt. I stedet for et passord i ren tekst, lagres en hash-verdi for passordet lokalt. Når en bruker logger på klienten via passordet, sammenligner Windows OS den lagrede hashverdien og hashverdien fra inndatapassordet. Hvis begge er like, godkjennes godkjenningen.
Når brukeren ønsker å få tilgang til en ressurs på en annen server, sender klienten en forespørsel til serveren med kontonavn i ren tekst.
Når serveren mottar forespørselen, genererer serveren en 16-biters tilfeldig nøkkel. Nøkkelen heter Challenge (eller Nonce). Før serveren sender tilbake til klienten, lagres utfordringen på serveren. Og så sender serveren utfordringen til klienten i ren tekst.
Så snart klienten mottar utfordringen sendt fra serveren, krypterer klienten utfordringen med hash-verdien som ble nevnt i trinn 1. Etter kryptering sendes verdien tilbake til serveren.
Når serveren mottar den krypterte verdien fra klienten, sender serveren den til domenekontrolleren for verifisering. Forespørselen inkluderer: kontonavn, kryptert utfordring som klienten sendte, og den opprinnelige vanlige utfordringen.
Domenekontrolleren kan hente hashverdiene for passord i henhold til kontonavn. Og så kan domenekontrolleren kryptere på den opprinnelige utfordringen. Doman-kontrolleren kan deretter sammenligne med den mottatte hashverdien og den krypterte hashverdien. Hvis de er de samme, er bekreftelsen vellykket.
| Windows har sikkerhetsautentisering innebygd i operativsystem, noe som gjør det enklere for programmer å støtte sikkerhetsautentisering. Som et resultat av dette trenger du ikke fullføre ytterligere konfigurasjon. |
Konfigurer gjennomsiktig proxy
I dette scenariet er nettleseren ikke klar over at en gjennomsiktig nettproxy fanger opp http-forespørsler (port 80/port 443), og det kreves ingen konfigurasjon på klientsiden.
| 1 | Distribuer en gjennomsiktig proxy, slik at koblingen kan koble til og synkronisere brukere. |
| 2 | Bekreft at proxyen er vellykket – du ser et forventet hurtigmenyvindu for nettleserautentisering når du starter koblingen. |
Angi proxy-autentisering
Legg til nettadressen cloudconnector.webex.com til den tillatte listen ved å opprette en tilgangskontrollliste.
På bedriftens brannmurserver:
| 1 | Aktiver DNS-oppslag hvis det ikke allerede er aktivert. |
| 2 | Bestem en estimert båndbredde for denne tilkoblingen (ca. 2 MB/s eller mindre for kontakten). Dette er kanskje ikke nødvendig. |
| 3 | Opprett en tilgangskontrollliste som skal brukes på koblingsverten, og angi For eksempel: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
| 4 | Bruk denne tilgangskontrollisten på riktig brannmurgrensesnitt, som bare gjelder for denne verten med én kobling. |
| 5 | Kontroller at resten av vertene i bedriften fortsatt er pålagt å bruke nettproxyen ved å konfigurere den riktige implisitte deny-setningen. |
Oppgaveflyt for distribusjon av Cisco-katalogkontakt
Før du starter
| 1 | Installere Directory Connector Control Hub viser først katalogsynkronisering som deaktivert. Hvis du vil aktivere katalogsynkronisering for organisasjonen, må du installere og konfigurere Katalogkobling, og deretter utføre en fullstendig synkronisering. For en ny installasjon av Directory Connector går du alltid til Control Hub (https://admin.webex.com ) for å få den nyeste versjonen av programvaren, slik at du bruker de nyeste funksjonene og feilrettingene. Når du har installert programvaren, rapporteres oppgraderinger gjennom programvaren og installeres automatisk når de er tilgjengelige. |
| 2 |
Logg på med Webex- administrator og utfør det første oppsettet. |
| 3 | Angi automatiske oppgraderinger Det er alltid viktig å holde Directory Connector-programvaren oppdatert til den nyeste versjonen. Vi anbefaler at du bruker denne fremgangsmåten for å la automatiske oppgraderinger av programvaren installeres lydløst når de er tilgjengelige. |
| 4 | Velg Active Directory -objekter som skal synkroniseres Som standard synkroniserer Katalogkobling alle brukere som ikke er datamaskiner, og alle grupper som ikke er kritiske systemobjekter for et domene. Hvis du vil ha mer kontroll over hvilke objekter som skal synkroniseres, kan du velge bestemte brukere som skal synkroniseres og angi LDAP-filtre ved hjelp av siden Objektvalg i Katalogkobling. |
| 5 |
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen. Det eneste obligatorisk felt er *uid. |
| 6 | Synkroniser katalogavatarer ved hjelp av en av følgende fremgangsmåter:
Du kan synkronisere brukernes avatarer til skyen, slik at hver brukers avatar vises når de logger på applikasjonen. Du kan synkronisere avatarer fra et Active Directory -attributt eller en ressursserver. |
| 7 | Synkronisere lokal rominformasjon til Webex Cloud Bruk denne fremgangsmåten til å synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte romenheter, for eksempel en Webex Room-enhet eller Cisco Webex Board |
| 8 | Til Klargjøre brukere fra Active Directory til Control Hub , utfør disse trinnene:
Følg denne sekvensen for å klargjøre Active Directory -brukere for Webex-appkontoer. Du kan klargjøre brukere fra Active Directory -distribusjon for flere skoger eller flere domener for Directory Connector 3.0 og nyere. I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Målet er å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen. |
Installere Directory Connector
Control Hub viser først katalogsynkronisering som deaktivert. Hvis du vil aktivere katalogsynkronisering for organisasjonen, må du installere og konfigurere Katalogkobling, og deretter utføre en fullstendig synkronisering.
Du må installere én kobling for hvert Active Directory -domene du vil synkronisere. En enkelt Directory Connector-forekomst kan bare betjene ett enkelt domene. Se diagrammet nedenfor for å forstå flyten for domenesynkronisering:
Før du starter
Hvis du autentiserer via en proxy-server, må du kontrollere at du har proxy-legitimasjonen din:
For grunnleggende proxy-godkjenning skriver du inn brukernavn og passord etter at du har installert en forekomst av koblingen. Proxykonfigurasjon for Internet Explorer er også nødvendig for grunnleggende godkjenning. se Bruke en nettproxy via nettleseren
For proxy NTLM kan det hende at du ser en feilmelding når du åpner kontakten for første gang. Se Bruke en nettproxy via nettleseren .
| 1 | I Kontrollhub , gå til , og velg Neste . | ||
| 2 | Klikk på Last ned og installer koblingen for å lagre den nyeste versjonen av .zip-filen for connectorinstallasjon på VMware- eller Windows-serveren. Du kan hente ZIP-filen direkte fra denne koblingen , men du må ha full administrativ tilgang til en Control Hub-organisasjon for at denne programvaren skal fungere.
| ||
| 3 | På VMware- eller Windows-serveren pakker du ut og kjører .msi-filen i installasjonsmappen for å starte installasjonsveiviseren. | ||
| 4 | Klikk på Neste , merk av i boksen for å godta lisensavtale, og klikk deretter på Neste til du ser skjermen for kontotype. | ||
| 5 | Velg typen tjenestekonto du vil bruke, og utfør installasjonen med en administratorkonto:
For å unngå feil må du kontrollere at følgende rettigheter er på plass:
| ||
| 6 | Klikk på Installer. Når nettverkstesten er kjørt, og hvis du blir bedt om det, skriver du inn den grunnleggende legitimasjonen for proxyen, klikker på OK , og klikk deretter Fullfør . |
Hva nå?
Vi anbefaler at du starter serveren på nytt etter installasjonen. Tørrkjøringsrapporten kan ikke vise riktig resultat når dataene ikke ble utgitt. Under omstart av maskinen oppdateres alle data for å vise et nøyaktig resultat i rapporten.
Logg på katalogkobling
Før du starter
Kontroller at du har proxy-legitimasjonen din.
For proxy basic-auth skriver du inn brukernavn og passord etter at du åpner koblingen for første gang.
For proxy-NTLM åpner du Internet Explorer, klikker på tannhjulikonet og går til Alternativer for Internett > Tilkoblinger > LAN-innstillinger , kontroller at informasjonen om proxy-server er lagt til, og klikk deretter på OK . Se Bruke en nettproxy via nettleseren .
| 1 | Åpne kontakten, og legg til | ||||
| 2 | Hvis du blir bedt om det, logger du på med påloggingsinformasjonen for proxy-autentisering, og deretter logger du på Webex ved hjelp av administratorkontoen din og klikker på Neste . | ||||
| 3 | Bekreft organisasjonen og domenet.
| ||||
| 4 | Etter at Bekreft organisasjon skjermen vises, klikker du på Bekreft . Hvis du allerede har bundet AD DS/AD LDS, vil Bekreft organisasjon skjermen vises. | ||||
| 5 | Klikk på Bekreft . | ||||
| 6 | Velg ett, avhengig av hvor mange Active Directory -domener du vil binde til Directory Connector:
|
Hva nå?
Når du har logget på, blir du bedt om å utføre en tørrkjøringssynkronisering.
Instrumentbord for katalogkobling
Første gang du logger deg på Directory Connector, vises instrumentbordet. Her kan du vise et sammendrag av alle synkroniseringsaktiviteter, vise skystatistikk, utføre en tørrkjøringssynkronisering, starte en full eller trinnvis synkronisering og starte hendelsesvisningen for å se feilinformasjon.
| Hvis økten blir tidsavbrutt, må du logge på igjen. |
Du kan enkelt kjøre disse oppgavene fra verktøylinjen for handlinger eller menyen for handlinger.
Komponent | Beskrivelse |
|---|---|
Gjeldende synkronisering |
Viser statusinformasjonen om synkroniseringen som pågår for øyeblikket. Når ingen synkronisering kjøres, er statusvisningen inaktiv. |
Neste Synkronisering |
Viser de neste planlagte fullstendige og trinnvise synkroniseringene. Hvis det ikke er angitt noen tidsplan, Ikke planlagt vises. |
Siste synkronisering |
Viser statusen for de to siste synkroniseringene som ble utført. |
Gjeldende synkroniseringsstatus |
Viser den generelle statusen for synkroniseringen. |
Koblinger |
Viser de gjeldende lokale kontaktene som er tilgjengelige for skyen. |
Skystatistikk |
Viser den generelle statusen for synkroniseringen. |
Tidsplan for synkronisering |
Viser synkroniseringsplanen for trinnvis og full synkronisering. |
Sammendrag av konfigurasjon |
Viser innstillingene du endret i konfigurasjonen. Sammendraget kan for eksempel inneholde følgende:
|
| Handling | Beskrivelse | ||
|---|---|---|---|
| Start trinnvis synkronisering | Start en trinnvis synkronisering manuelt
|
||
Synkroniser tørrkjøring |
Utfør en tørrkjøringssynkronisering. |
||
Start Event Viewer |
Start Microsoft Event Viewer. |
||
Oppdater |
Oppdater instrumentbordet for Cisco-registerkontakt |
Handling | Beskrivelse |
|---|---|
| Synkroniser nå | Start en full synkronisering umiddelbart. |
Synkroniseringsmodus |
Velg enten trinnvis eller full synkroniseringsmodus. |
Tilbakestill kontakthemmeligheten |
Etablere en samtale mellom Cisco-registerkontakt og kontakttjenesten. Hvis du velger denne handlingen, tilbakestilles hemmeligheten i skyen, og deretter lagres hemmeligheten lokalt. |
Tomkjøring |
Utfør en test av synkroniseringsprosessen. Du må gjøre en tørrkjøring før du utfører en full synkronisering. |
Feilsøking |
Slå feilsøking på/av. |
Oppdater |
Oppdater hovedskjerm for Cisco-katalogkontakt. |
Avslutt |
Avslutt Cisco-katalogkontakt. |
Tastekombinasjon | Handling |
|---|---|
Alt +A |
Vis Handlinger -menyen |
|
Synkronisering nå |
|
Tilbakestill kontakthemmeligheten |
|
Tørrløp |
|
Inkrementell synkronisering |
|
Full synkronisering |
|
Vis Hjelp -menyen |
|
Hjelp |
|
Om |
|
Vanlige spørsmål |
Angi automatiske oppgraderinger
| 1 | Fra Katalogkobling går du til , og kontroller Oppgrader automatisk til den nye versjonen av Cisco Directory Connector . |
| 2 | Klikk på Bruk for å lagre endringene. |
Nye versjoner av kontakten installeres automatisk når de er tilgjengelige.
| Du kan administrere oppgraderinger manuelt hvis du foretrekker det. Se Oppgrader til den nyeste programvareversjonen hvis du vil ha mer informasjon. |
Velg Active Directory -objekter som skal synkroniseres
Som standard synkroniserer Katalogkobling alle brukere som ikke er datamaskiner, og alle grupper som ikke er kritiske systemobjekter for et domene. Hvis du vil ha mer kontroll over hvilke objekter som skal synkroniseres, kan du velge bestemte brukere som skal synkroniseres og angi LDAP-filtre ved hjelp av siden Objektvalg i Katalogkobling.
Grupper for automatisk lisenstilordning
Control Hub lar deg administrere lisenstildelinger for hver gruppe. Du kan opprette lisensmaler og tilordne dem til Active Directory -grupper som du synkroniserer til skyen. Når brukeren opprettes, kontrollerer Webex brukermedlemskap og automatisk tilordning av lisensmaler for den nye brukeren.
Vi anbefaler at du bruker et LDAP-filter for bare å synkronisere relevante grupper til skyen. Du kan for eksempel angi filteret til:
(&(cn=Example)(objectclass=Group))*
Dette filteret synkroniserer alle grupper i base-DN der navnet begynner med Eksempel. Brukere som ikke er tilordnet grupper, tilordnes lisenser fra den standard automatiske lisensmalen du konfigurerte i Control Hub.
Grupper for hybrid distribusjon av datasikkerhet
I Katalogkobling må du sjekke Grupper hvis du bruker Hybrid Data Security til å konfigurere en prøvegruppe for pilotbrukere. Se Distribusjonsveiledning for hybrid datasikkerhet for veiledning. Denne Katalogkobling-innstillingen påvirker ikke andre brukeres synkronisering til skyen.
| 1 | Fra Katalogkobling går du til Konfigurasjon , og klikk deretter Objektvalg . | ||
| 2 | I Objekttype seksjon, sjekk Brukere , og vurder å begrense antall søkbare beholdere for brukere. Hvis du for eksempel bare vil synkronisere brukere i en bestemt gruppe, må du angi et LDAP-filter i Brukere Felt for LDAP-filtre. Hvis du vil synkronisere brukere som er i Eksempelbehandler-gruppen, bruker du et filter som dette:
| ||
| 3 | Sjekk Identifiser rom for å skille romdata fra brukerdata. Klikk på Tilpass hvis du vil konfigurere flere attributter for å identifisere brukerdata som romdata. Bruk denne innstillingen hvis du vil synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte romenheter. Hvis du vil ha mer informasjon, se Synkronisere lokal rominformasjon til Webex Cloud . | ||
| 4 | Sjekk Grupper hvis du vil synkronisere Active Directory -brukergruppene til skyen. Ikke legg til et LDAP-filter for brukersynkronisering i Grupper-feltet. Du bør bare bruke Grupper-feltet til å synkronisere selve gruppedataene til skyen.
| ||
| 5 | Sjekk Kontakter hvis du vil synkronisere kontaktinformasjon til brukerne til skyen.
| ||
| 6 | Konfigurer LDAP filtre. Du kan legge til utvidede filtre ved å oppgi et gyldig LDAP-filter. Se denne artikkelen hvis du vil ha mer informasjon om konfigurering av LDAP-filtre. | ||
| 7 | Angi On Premises base-DN-er som skal synkroniseres ved å klikke Velg for å se trestrukturen til Active Directory. Herfra kan du velge eller oppheve merkingen av hvilke beholdere du vil søke på. | ||
| 8 | Kontroller at objektene du vil legge til for denne konfigurasjonen, og klikk på Velg . Du kan velge individuelle eller overordnede beholdere som skal brukes til synkronisering. Velg en overordnet beholder for å aktivere alle underordnede beholdere. Hvis du velger en underordnet beholder, viser den overordnede beholderen en grå hake som angir at en underordnet beholder er blitt kontrollert. Deretter kan du klikke Velg for å godta Active Directory -beholderne du sjekket. Hvis organisasjonen plasserer alle brukere og grupper i Brukere-beholderen, trenger du ikke å søke i andre beholdere. Hvis organisasjonen er delt inn i organisasjonsenheter, må du kontrollere at du velger OE . | ||
| 9 | Klikk på Bruk. Velg et alternativ:
Hvis du vil ha informasjon om tørrkjøringer, se Utfør en tørrkjøringssynkronisering på Active Directory -brukere . For gruppesynkronisering må du utføre en full synkronisering: Utfør en fullstendig synkronisering av Active Directory -brukere til skyen . |
Tilordne brukerattributter
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen. Det eneste obligatorisk felt er *uid, en unik identifikator for hver brukerkonto i skyidentitetstjenesten.
Du kan velge hvilket Active Directory -attributt som skal tilordnes til skyen – du kan for eksempel tilordne firstName lastName i Active Directory eller et egendefinert attributtuttrykk til displayName i skyen.
| Kontoer i Active Directory må ha en e-postadresse. uid-en tilordnes som standard til |
Hvis du velger å la det foretrukne språket komme fra Active Directory, er Active Directory den eneste kilden til sannhet: brukere vil ikke kunne endre språkinnstillingen i Webex-innstillinger, og administratorer vil ikke kunne endre innstillingen i Control Hub.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tilordning av brukerattributter . Denne siden viser attributtnavnene for Active Directory (til venstre) og Webex-skyen (til høyre). Alle obligatoriske attributter er merket med en rød stjerne. | ||||
| 2 | Bla ned til bunnen av Active Directory -attributtnavn , og velg deretter ett av disse Active Directory -attributtene som skal tilordnes til skyattributtet uid :
Du kan tilordne alle de andre Active Directory -attributtene til uid, men vi anbefaler at du bruker e-post eller userPrincipalName, som dekket i retningslinjene ovenfor. I noen tilfeller brukes userPrincipalName til pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. Du må sørge for at e-postadresse for kalenderbehandling er tilordnet til det primære e-postadresse i Webex. Legg til userPrincipalName som en alternativ e-postadresse. Hvis du vil se hvilke attributter i Active Directory tilsvarer i skyen, kan du se Tilordning av Active Directory -attributter i Directory Connector .
| ||||
| 3 | Hvis de forhåndsdefinerte Active Directory -attributtene ikke fungerer for distribusjonen, klikker du på rullegardinlisten for attributt, blar til bunnen og velger Tilpass attributt for å åpne et vindu som lar deg definere et attributtuttrykk.
I dette eksemplet skal vi tilordne Active Directory -attributtene
| ||||
| 4 | (Valgfritt) Velg tilordninger for mobil og telefonnummer hvis du vil at mobil- og jobbnumre skal vises, for eksempel i brukerens kontaktkort i Webex-appen. telefonnummer vises i Webex-appen når en bruker holder pekeren over en annen brukers profilbilde. Hvis du vil ha mer informasjon om å ringe fra en brukers kontaktkort, se Installasjonsveiledning for å anrope Webex (Unified CM) . (administratorer). | ||||
| 5 | Velg flere tilordninger for at flere data skal vises i kontaktkort:
Etter at attributtene er tilordnet, vises informasjonen når en bruker holder pekeren over en annen brukers profilbilde:
Hvis du vil ha mer informasjon om kontaktkort, kan du se Bekreft hvem du kontakter . Når disse attributtene er synkronisert til hver brukerkonto, kan du også slå på People Insights i Control Hub. Denne funksjonen lar brukere av Webex-appen dele mer informasjon i profilene sine og lære mer om hverandre. Hvis du vil ha mer informasjon om funksjonen og hvordan du aktiverer den, kan du se People Insights -profiler for Webex, Jabber, Webex Meetings og Webex Events (ny) i Control Hub | ||||
| 6 | Når du har gjort valgene, klikker du Bruk . |
Alle brukerdata som finnes i Active Directory, overskriver dataene i skyen som tilsvarer denne brukeren. Hvis du for eksempel opprettet en bruker manuelt i Control Hub, må brukerens e-postadresse være identisk med e-postadressen i Active Directory. Alle brukere som ikke har en tilsvarende e-postadresse i Active Directory , slettes.
| Slettede brukere beholdes i skyidentitetstjenesten i syv dager før de slettes permanent. |
Active Directory og skyattributter
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen ved hjelp av Tilordning av brukerattributter -fanen.
Denne tabellen sammenligner tilordningen mellom Active Directory -attributtnavn og Cisco Cloud -attributtnavn. Disse verdiene og tilordningene er standardinnstilling i Katalogkobling. Du kan velge forskjellige attributter i Active Directory -rullegardinlistene og bestemme hvilket lokale attributt som skal synkroniseres med hvilket skyattributt.
Se på rullegardinattributtene som forhåndsinnstillinger. Som et alternativ til verdiene i Active Directory -raden kan du også angi et tilpasset attributt, din egen forhåndsinnstilling, i Active Directory (et uttrykk med flere attributter) for å tilordne et enkelt skyattributt i den tilsvarende raden. På denne måten har du fleksibilitet til å bestemme visningsnavnene til brukerne dine – du kan for eksempel legge til et uttrykk som oppretter et tilpasset attributt basert på ansatttittel, fornavn og etternavn i Active Directory.
Du kan også angi hvilke som helst av Active Directory -attributtene som skal tilordnes til uid i skyen. Du må imidlertid sørge for at det lokale attributtet følger et gyldig e-postformat.
| Du kan også bruke alternative e-postadresser, hvis du for eksempel vil bruke userPrincipalName for pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. I dette tilfellet tilordner du en annen e-postadresse til e-poster;type-arbeid attributtet. Dette er e-postadressen som brukes til autentisering. den brukes ikke til å administrere kalenderen din. e-postadresse du tilordner fra AD, må være fra et bekreftet domene i organisasjonen din, og den må være unik og ikke tilordnet en annen bruker. |
Navn på Active Directory -attributter | Navn på Webex-skyattributter | Merknader |
|---|---|---|
— |
buildingName |
— |
c |
c |
Dette attributtet angir brukerens landsforkortelse. |
avdelingsnummer |
avdelingsnummer |
Dette attributtet brukes for brukerens avdelingsnummer som vises i kontaktkort og personinnsikt . |
visningsnavn |
visningsnavn |
Dette attributtet brukes for visningsnavn for brukerkonto som vises i Control Hub, den kontaktkort , og personinnsikt . |
userAccountControl |
ds-pwp-account-disabled |
Dette attributtet brukes til brukersynkronisering. Kontroller at userAccountControl attributtet er tilordnet til ds-pwp-account-disabled ellers blir ikke brukerne synkronisert riktig. |
ansattnummer |
ansattnummer |
— |
ansattType |
ansattType |
Denne verdien brukes for ansatttypen bruker som vises i kontaktkort og personinnsikt . |
fakstelefonnummer |
fakstelefonnummer |
— |
givenName |
givenName |
Dette attributtet brukes for brukerkonto fornavn som vises i Control Hub, den kontaktkort , og personinnsikt . |
— |
jabberID |
Dette skyattributtet er relatert til direktemeldingsadresser (XMPP-type) som brukes av Jabber. Denne verdien er ikke det samme som sipAddresses. |
l |
l |
Dette attributtet angir byen til brukeren. |
— |
språk |
— |
administrator |
administrator |
Dette attributtet brukes for brukerens ledernavn som vises i kontaktkort og personinnsikt . |
Mobil |
Mobil |
Dette attributtet brukes som mobilnummer som vises for ringe brukeren fra kontaktkort . |
o |
o |
Dette attributtet angir navnet på selskapet eller organisasjonen. |
ou |
ou |
Dette attributtet angir navnet på organisasjonsenheten. |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Dette attributtet angir brukerens kontorplassering. |
postnummer |
postnummer |
Dette attributtet angir brukerens postnummer eller postnummer for fysisk postlevering. |
foretrukket språk |
foretrukket språk |
Dette attributtet angir brukerens foretrukne språk, og følgende formater støttes: xx_YY eller xx-YY. Her er noen eksempler: en_USA,en_ GB, fr-CA. Hvis du bruker et språk som ikke støttes eller ugyldig format, endres brukernes foretrukne språk til språket som er angitt for organisasjonen. |
MSRTCSIP-PrimaryUserAddress iPhone |
SipAddresses;type=bedrift |
Dette attributtet brukes til å synkronisere lokal rominformasjon fra Active Directory til Cisco Webex skyen. |
sn |
sn |
Dette attributtet brukes for brukerkonto etternavn som vises i Control Hub, den kontaktkort , og personinnsikt . |
st |
st |
Dette attributtet angir delstaten eller provinsen til brukeren. |
gateadresse |
gate |
Dette attributtet angir gateadressen til brukeren for fysisk postlevering. |
telefonnummer |
telefonnummer |
Dette attributtet angir brukerens primære telefonnummer (jobb) som brukes til ringe brukeren fra kontaktkort . |
— |
tidssonen |
Dette skyattributtet angir brukerens tidssone. |
tittel |
tittel |
Dette attributtet angir brukertittelen som vises i kontaktkort og personinnsikt . |
type |
bedrift |
— |
*e-post *userPrincipalName |
uid |
En obligatorisk attributtilordning. For hver brukerkonto tilordnes Active Directory -verdien til en unik uid i skyen. I noen tilfeller brukes userPrincipalName til pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. Du må sørge for at e-postadresse for kalenderbehandling er tilordnet til det primære e-postadresse i Webex. Legg til userPrincipalName som en alternativ e-postadresse. Brukeren kan deretter bruke en av disse e-postadressene til å logge på, så lenge de er riktige SAML-attributtilordning er på plass. Se eksempel på attributtilordning nedenfor for hvordan du kan tilordne en alternativ e-postadresse. |
*userPrincipalName *e-post <custom attribute=""> |
e-poster;type-arbeid |
Denne tilordningen er valgfri. Bruk den hvis du vil bruke alternative e-postadresser. Dette er e-postadressen som brukes til autentisering. den brukes ikke til å administrere kalenderen din. e-postadresse du tilordner fra AD, må være fra et bekreftet domene i organisasjonen din, og den må være unik og ikke tilordnet en annen bruker. |
<New attribute="" for="" Azure="" user="" objectId=""> |
ekstern ID |
Opprett et nytt Active Directory -attributt for å holde Azure-brukerobjekt-ID-en, slik at den ikke kolliderer med en eksisterende. Dette attributtet tilordnes deretter til externalId-attributtet, og sikrer at når Webex-brukere opprette grupper i Microsoft 365, oppretter de automatisk team i Webex . |
Alternativ e-postadresse
Uttrykk for tilpassede attributter
Operatør | Beskrivelse og eksempel |
|---|---|
% | Fjerner alle tegn fra begynnelsen av strengen til plasseringen av tegnet eller strengargumentet, hvis det samsvarer.
|
– | Fjerner baksiden av inndatastrengen fra enden av den angitte strengen.
|
+ | Setter sammen inndatastrenger eller -uttrykk.
|
| | Evaluerer de atskilte uttrykkene mot den tomme strengen, og velger det første ikke-tomme resultatet.
|
Synkronisere katalogavatarer fra et Active Directory -attributt til skyen
Du kan synkronisere brukernes katalogavatarer til skyen, slik at hver avatar vises når de logger på Webex-appen. Bruk denne fremgangsmåten til å synkronisere rå avatardata fra et Active Directory -attributt.
| 1 | Fra Katalogkobling går du til Konfigurasjon , klikk Avatar , og kontroller Aktiver . |
| 2 | For Hent avatar fra , velg AD-attributt , og velg deretter Avatar-attributt som inneholder råavatardataene du vil synkronisere til skyen. |
| 3 | Hvis du vil bekrefte at avataren brukes på riktig måte, skriver du inn en brukers e-postadresse og klikker på Hent brukerens avatar . Avataren vises til høyre. |
| 4 | Når du har bekreftet at avataren ble vist riktig, klikker du Bruk for å lagre endringene. |
Bildene som synkroniseres, blir standardavatar for brukere i Webex-appen. Brukere har ikke tillatelse til å angi sin egen avatar etter at denne funksjonen er aktivert fra Katalogkobling.
Brukeravatarene synkroniseres til både Webex-appen og eventuelle samsvarende kontoer på Webex-nettsted.
Hva nå?
Gjør en tørrkjøringssynkronisering; Hvis det ikke er noen problemer, kan du utføre en fullstendig synkronisering for å få Active Directory -brukerkontoene og avatarene til å synkroniseres til skyen og vises i Control Hub.
Synkronisere katalogavatarer fra en ressursserver til skyen
Du kan synkronisere brukernes katalogavatarer til skyen, slik at hver avatar vises når de logger på Webex-appen. Bruk denne fremgangsmåten til å synkronisere avatarer fra en ressursserver.
Før du starter
URI-mønsteret og variabelverdien i denne prosedyren er eksempler. Du må bruke faktiske nettadresser der katalogavatarene dine er plassert.
Avatar-URI-mønsteret og serveren der avatarene ligger, må kunne nås fra Directory Connector-programmet. Koblingen trenger http- eller https-tilgang til bildene, men bildene trenger ikke å være offentlig tilgjengelige på Internett.
Synkroniseringen av avatardata er atskilt fra Active Directory -brukerprofilene. Hvis du kjører en proxy, må du sørge for at avatardataene er tilgjengelige via NTLM-autentisering eller basic-auth.
| 1 | Fra Katalogkobling går du til Konfigurasjon , klikk Avatar , og kontroller Aktiver . |
| 2 | For Hent avatar fra , velg Ressursserver og angi deretter Avatar-URI-mønster – For eksempel La oss se på hver del av avatarens URI-mønster og hva de betyr:
|
| 3 | (Valgfritt) Hvis ressursserveren krever legitimasjon, kontrollerer du Angi påloggingsinformasjon for avatar , og velg deretter enten Bruk gjeldende bruker for tjenestepålogging eller Bruk denne brukeren og angi passordet. |
| 4 | Skriv inn Variabelverdi – For eksempel: |
| 5 | Klikk på Test for å kontrollere at avatarens URI-mønster fungerer som det skal. I dette eksemplet, hvis e-postverdien for én AD-oppføring er |
| 6 | Når URI-informasjonen er bekreftet og ser riktig ut, klikker du Bruk . Hvis du vil ha detaljert informasjon om bruk av regulære uttrykk, kan du se hurtigreferanse for Microsoft Regular Expression-språk . |
Bildene som synkroniseres, blir standardavatar for brukere i Webex-appen. Brukere har ikke tillatelse til å angi sin egen avatar etter at denne funksjonen er aktivert fra Katalogkobling.
Brukeravatarene synkroniseres til både Webex-appen og eventuelle samsvarende kontoer på Webex-nettsted.
Hva nå?
Gjør en tørrkjøringssynkronisering; Hvis det ikke er noen problemer, kan du utføre en fullstendig synkronisering for å få Active Directory -brukerkontoene og avatarene til å synkroniseres til skyen og vises i Control Hub.
Synkronisere lokal rominformasjon til Webex Cloud
Bruk denne fremgangsmåten til å synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte Webex-enheter (Room, Desk og Board).
| 1 | Fra Katalogkobling går du til Synkroniser , klikk på mer | ||
| 2 | Sjekk Synkroniser rominformasjon til skyen for å skille romdataene fra brukerdataene under synkronisering. Når denne innstillingen er deaktivert, behandles romdata på samme måte som brukersynkroniserte data. | ||
| 3 | Gå til Attributttilordning , og endre deretter attributttilordningen for skyattributtet sipAddresses;type=bedrift .
| ||
| 4 | Opprett en romressurs-postboks i Exchange. Dette legger til msExchResourceMetaData;ResourceType:Room -attributtet som koblingen deretter bruker til å identifisere rom.
| ||
| 5 | Gå til og rediger egenskapene for rommet fra Active Directory -brukere og datamaskiner. Legg til den fullstendige SIP-URI med prefikset sip:
| ||
| 6 | Utfør en tørrkjøringssynkronisering og deretter en fullstendig synkroniseringskjøring i kontakten. De nye romobjektene vises Objekter lagt til og samsvarende romobjekter vises i Objekter matchet i tørrkjøringsrapporten. Alle romobjekter som er flagget for sletting, er under Rom slettet .
Tørrkjøringsresultatene viser eventuelle romressurser som ble matchet.
Denne innstillingen skiller Active Directory -romdata (inkludert rommets attributt) fra brukerdata. Når synkroniseringen er fullført, viser skystatistikken på koblingsinstrumentbordet romdata som ble synkronisert til skyen.
|
Hva nå?
Nå som du har gjort disse trinnene, vil du se de synkroniserte romoppføringene som er konfigurert med SIP-adresser, når du gjør et søk på en Webex-skyregistrert enhet. Når du foretar et anrop fra Webex-enheten på den oppføringen, foretas et anrop til SIP-adressen som ble konfigurert for rommet.
Fra Control Hub kan du importere rom fra katalogen automatisk og opprette arbeidsområder.
| Endepunktet kan ikke sløyfe et tilbakeringing til Webex-appen. For testoppringingsenheter må disse enhetene være registrert som en SIP-URI lokalt eller et annet sted enn Webex-appen. Hvis romsystem for Active Directory du søker etter er registrert for Webex og den samme e-postadresse finnes på Webex Room-enhet, Skrivebordsenhet eller Webex Board for Calendar Service, viser ikke søkeresultatene den dupliserte oppføringen. Rom-, skrivebords- eller tavleenheten ringes opp direkte i Webex-appen, og det foretas ingen SIP-samtale . |
Send e-postrapporter om katalogsynkroniseringsresultater
Som standard mottar organisasjonens kontakter eller administratorer alltid e-postvarsler. Med denne innstillingen kan du tilpasse hvem som skal motta e-postvarsler som oppsummerer katalogsynkroniseringsrapporter.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Varsel . |
| 2 | Fra Katalogkobling klikker du på Innstillinger , og ved siden av E-postmottaker , slå på Aktiver synkronisering av rapport . |
| 3 | Sjekk Aktiver varsling hvis du vil overstyre standard varslingsatferd og legge til én eller flere e-postmottakere. |
| 4 | Klikk på Legg til og angi en e-postadresse. Hvis du skriver inn en e-postadresse med ugyldig format, vises en melding som ber deg om å løse problemet før du kan lagre og bruke endringene. |
| 5 | Klikk på Legg til e-post og angi en e-postadresse. Hvis du skriver inn en e-postadresse med ugyldig format, vises en melding som ber deg om å løse problemet før du kan lagre og bruke endringene. |
| 6 | Hvis du må redigere e-postadresser du oppga, dobbeltklikk du på e-postoppføringen i venstre kolonne, og deretter gjør du eventuelle endringer. |
| 7 | Når du har lagt til alle de gyldige e-postadressene, klikker du på Bruk . |
| 8 | Når du har lagt til alle de gyldige e-postadressene, klikker du på Lagre . |
Hva nå?
Hvis du bestemte deg for at du vil fjerne e-postadresser, kan du klikke på en e-post for å utheve denne oppføringen og deretter klikke Fjern .
Hvis du bestemte deg for at du vil fjerne e-postadresser, kan du klikke på Fjern ved siden av bestemte e-postadresse .
Klargjøre brukere fra Active Directory til Control Hub
Følg denne fremgangsmåten for å klargjøre Active Directory -brukere og opprette tilsvarende brukerkontoer i Control Hub. Du kan klargjøre brukere fra en Active Directory -distribusjon for flere domener (med enten én enkelt skog eller flere skoger) etter at du har installert en katalogkobling per domene. I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Målet er å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen.
| 1 | Utfør en tørrkjøringssynkronisering på Active Directory -brukere Utfør en tørrkjøring for å sammenligne objekter i den lokale Active Directory og objekter i Webex-skyen. En tørrkjøring lar deg se hvilke objekter som vil bli lagt til, endret eller slettet før du kjører en fullstendig eller trinnvis synkronisering og utfører endringene i skyen. |
| 2 | Utfør en fullstendig synkronisering av Active Directory -brukere til skyen Når du kjører en full synkronisering, sender koblingstjenesten alle filtrerte objekter fra Active Directory (AD) til skyen. Connector-tjenesten oppdaterer deretter identitetslageret med AD-oppføringene dine. Hvis du opprettet en mal for automatisk tilordning av lisenser, kan du tilordne den til de nylig synkroniserte brukerne. |
| 3 | Tilordne Webex-tjenester til katalogsynkroniserte brukere i Control Hub Når du har fullført en fullstendig brukersynkronisering fra Directory Connector til Control Hub, kan du tilordne Webex-tjenestelisenser ved hjelp av en rekke forskjellige metoder. Vi anbefaler at du konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory. Du kan også gjøre individuelle endringer etter dette første trinnet. |
Utfør en tørrkjøringssynkronisering på Active Directory -brukere
Utfør en tørrkjøring for å sammenligne objekter i den lokale Active Directory og objekter i Webex-skyen. En tørrkjøring lar deg se hvilke objekter som vil bli lagt til, endret eller slettet før du kjører en fullstendig eller trinnvis synkronisering og utfører endringene i skyen.
I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Med Katalogkobling er målet å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen.
Hvis du har flere domener i én enkelt skog eller flere skoger, må du gjøre dette trinnet på hver av Cisco-katalogkoblingsforekomstene du har installert for hvert Active Directory -domene.
Før du starter
Du kan allerede ha noen Webex-appbrukere i Control Hub før du brukte Katalogkobling. Blant brukerne i skyen kan noen samsvare med det lokale Active Directory -objektet og bli tildelt lisenser for tjenester. Men noen kan være testbrukere som du vil slette mens du foretar en synkronisering. Du må opprette et nøyaktig samsvar mellom Active Directory og Control Hub.
| 1 | Velg én:
Når tørrkjøringen er fullført, ser du ett av følgende resultater:
Sammendraget inneholder informasjon om objektsamsvar:
Tørrkjøringen identifiserer brukerne ved å sammenligne dem med domenebrukere. Applikasjonen kan identifisere brukerne hvis de tilhører det gjeldende domenet. I neste trinn må du bestemme om du vil slette objektene eller beholde dem. De feilaktige objektene identifiseres som allerede eksisterende i Webex-skyen, men ikke eksisterende i den lokale Active Directory. | ||
| 2 | Se gjennom resultatene av tørrkjøringen, og velg deretter et alternativ avhengig av om du bruker ett enkelt domene eller flere domener:
| ||
| 3 | I Bekreft tørrkjøring ledetekst, klikker du Ja for å gjøre om tørrkjøringssynkroniseringen og vise instrumentbordet for å se resultatene. Alle kontoer som ble synkronisert i tørrkjøringen, vises under Objekter matchet . Hvis en bruker i skyen ikke har en tilsvarende bruker med samme e-postadresse i Active Directory, er oppføringen oppført under Brukere slettet . Hvis du vil unngå dette sletteflagget, kan du legge til en bruker i Active Directory med samme e-postadresse. Hvis du vil vise detaljene for elementene som ble synkronisert, klikker du på den tilsvarende fanen for bestemte elementer eller Objekter matchet . Hvis du vil lagre sammendragsinformasjonen, klikker du på Lagre resultater til fil . | ||
| 4 | Hvis resultatene forventes, går du til , og klikk deretter Aktiver nå for å gjøre en manuell synkronisering og sette i manuell modus på dette tidspunktet.
|
Hva nå?
For eventuelle feilaktige brukerobjekter som du beholder, må du legge dem til i Active Directory slik at det er nøyaktig samsvar mellom lokale og skyen.
Velg en synkroniseringstype:
Utfør en fullstendig synkronisering av Active Directory -brukere til skyen for første gang du synkroniserer nye brukere til skyen. Du gjør det fra , og deretter synkroniseres brukere fra det gjeldende domenet.
Angi tidsplan for kobling og Kjør en trinnvis synkronisering etter at du har kjørt en fullstendig synkronisering, og hvis du ønsker å plukke opp endringer etter den første synkroniseringen. Denne typen synkronisering anbefales for å fange opp små endringer som er gjort i Active Directory -brukerkilden.
Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt (på versjon 3.4 og tidligere) eller hver fjerde time (på versjon 3.5 og nyere), men du kan endre denne verdien. Den trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering.
Hvis du har flere domener, gjentar du disse trinnene på en hvilken som helst annen katalogkobling du har installert.
Ting du bør huske på
Utfør en tørrkjøring før du aktiverer full synkronisering, eller når du endrer synkroniseringsparametrene. Hvis tørrkjøringen ble startet av en konfigurasjonsendring, kan du lagre innstillingene etter at tørrkjøringen er fullført. Hvis du allerede har lagt til brukere manuelt, kan utføring av en Active Directory -synkronisering føre til at tidligere lagt til brukere blir fjernet. Du kan sjekke tørrkjøringsrapporter for Directory Connector for å bekrefte at alle forventede brukere er til stede før du synkroniserer fullstendig til skyen.
Hvis matchede brukere er merket som sletting og du ikke er sikker på hvordan du går frem, kan du se feilsøkingsinformasjon og hvordan du kontakter kundestøtte i Feilsøking og rettelser for Directory Connector .
Slettede brukere beholdes i skyidentitetstjenesten i syv dager før de slettes permanent.
Utfør en fullstendig synkronisering av Active Directory -brukere til skyen
Når du kjører en full synkronisering, sender koblingstjenesten alle filtrerte objekter fra Active Directory (AD) til skyen. Connector-tjenesten oppdaterer deretter identitetslageret med AD-oppføringene dine. Hvis du opprettet en mal for automatisk tilordning av lisenser, kan du tilordne den til de nylig synkroniserte brukerne.
Hvis du har flere domener, må du gjøre dette trinnet på hver av Directory Connector-forekomstene du har installert for hvert Active Directory -domene.
Katalogkobling synkroniserer brukerkonto – I Active Directory vises også alle brukere som er merket som deaktivert som inaktive i skyen.
Før du starter
Hvis du vil at brukerkontoene for Webex-appen skal ha statusen Aktiv etter full synkronisering og før brukerne logger på for første gang, må du gjøre følgende for å omgå e-postvalideringen:
Integrer engangspålogging med Webex-organisasjonen din. Se
Engangspålogging med Cisco Webex Services og organisasjonens identitetsleverandør
hvis du vil ha mer informasjon.Bruk Control Hub til å bekrefte og eventuelt gjøre krav på domener som finnes i e-postadressene. Se
Legg til, bekreft og gjør krav på domener
.Undertrykk automatiske e-postinvitasjoner , slik at nye brukere ikke mottar den automatiske e-postinvitasjonen til Webex-appen. (Du kan lage din egen e-postkampanje.)
Aktiverte brukere som ikke har logget på, vises med en Verifisert status i Control Hub. Når de har logget på, vises de som Aktive. Hvis du vil ha mer informasjon om brukerstatuser, kan du se Brukerstatuser og handlinger i Cisco Webex Control Hub.
Når du aktiverer synkronisering, ber Directory Connector deg om å utføre en tørrkjøring først. Vi anbefaler at du tar en tørrkjøring før en full synkronisering for å fange opp eventuelle feil.
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Hvis du ikke bruker automatisk tilordnede lisensmaler, får nylig synkroniserte brukere automatisk gratislisenser. De vil kunne bruke de samme gratisfunksjonene som de med gratis kontoer.
| 1 | Velg én:
| ||
| 2 | Fra Katalogkobling går du til Synkroniser , klikk på mer | ||
| 3 | Bekreft starten på synkroniseringen. For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene i opptil 72 timer etter at du har utført synkroniseringen.
| ||
| 4 | Klikk på Oppdater hvis du vil oppdatere statusen for synkroniseringen. (Synkroniserte elementer vises under Skystatistikk .) | ||
| 5 | Hvis du vil ha informasjon om feil, velger du Start Event Viewer fra Handlinger verktøylinjen for å vise feilloggene. | ||
| 6 | Hvis du vil angi en synkroniseringsplan for pågående trinnvise synkroniseringer til skyen, kan du se Angi tidsplan for kobling og Kjør en trinnvis synkronisering . |
Når full synkronisering er fullført, oppdateres statusen for katalogsynkronisering fra Deaktivert til Driftsmessig på Innstillinger siden i Control Hub.
Når alle data matches mellom lokale og skyen, endres Katalogkobling fra manuell modus til automatisk synkroniseringsmodus.
Med mindre du integrere engangspålogging , bekrefte domener, og eventuelt gjøre krav på domener for e-postkontoene du synkroniserte , og undertrykke automatiserte e-postmeldinger , forblir brukerkontoene for Webex-appen i tilstanden Ikke bekreftet til brukerne logger på Webex-appen for første gang for å bekrefte kontoene sine. Se delen Før du begynner for veiledning om hvordan du synkroniserer kontoene som aktive brukere.
Hvis du har flere domener, gjør du dette trinnet på en annen katalogkobling du har installert. Etter synkroniseringen vises brukerne på alle domenene du la til i Control Hub.
Hvis du integrerte engangspålogging med Webex og undertrykte e-postvarsler , sendes ikke e-postinvitasjonene til de nylig synkroniserte brukerne.
Du kan ikke legge til brukere manuelt i Control Hub etter at Directory Connector er aktivert. Når den er aktivert, utføres brukeradministrasjon fra Cisco-registerkobling, og Active Directory er den eneste kilden til sannhet.
Alle grupper du synkroniserte, vises i Control Hub, og du kan tilordne en lisensmal slik at brukere i den gruppen tilordnes lisenser.
Hva nå?
Når du fjerner en bruker fra Active Directory, blir brukeren myk slettet etter neste synkronisering. Brukeren blir
Inactivemen skyidentitetsprofilen beholdes i syv dager (for å tillate gjenoppretting etter utilsiktet sletting).Når du sjekker Kontoen er deaktivert i Active Directory blir brukeren
Inactiveetter neste synkronisering. Skyidentitetsprofilen slettes ikke etter syv dager, i tilfelle du vil aktivere brukeren på nytt.Vær oppmerksom på disse unntakene fra en trinnvis synkronisering (følg de fullstendige synkroniseringstrinnene ovenfor i stedet):
Hvis det gjelder en oppdatert avatar, men ingen andre attributter endres, oppdaterer ikke trinnvis synkronisering brukerens avatar til skyen.
Konfigurasjonsendringer for attributtilordning, base-DN, filter og avatarinnstillinger krever full synkronisering.
Tilordne Webex-tjenester til katalogsynkroniserte brukere i Control Hub
Når du har fullført en fullstendig brukersynkronisering fra Cisco-registerconnector til Control Hub, kan du bruke Control Hub til å tilordne de samme Webex-tjenestelisensene til alle brukerne samtidig eller legge til flere lisenser til nye brukere hvis du allerede har konfigurert en automatisk tilordnet lisensmal. Du kan gjøre individuelle endringer i brukerkonto etter dette første trinnet.
Når du har fullført en fullstendig brukersynkronisering fra Directory Connector til Control Hub, kan du bruke metoder i Control Hub til å globalt tilordne Webex-tjenestelisenser til alle brukerne, enkeltbrukere, gjennom CSV-malen for mengde eller automatisk til nye brukere hvis du har allerede konfigurert en mal for automatisk tildeling av lisenser. Du kan gjøre individuelle endringer i brukerkonto etter dette første trinnet.
Når du tilordner en lisens til en Webex-appbruker, mottar denne brukeren en e-post som bekrefter tilordningen, som standard. E-posten sendes av en varslingstjeneste i Control Hub. Hvis du integrerte engangspålogging (SSO) med Webex-organisasjonen din, kan du også undertrykke disse automatiske e-postvarslene hvis du foretrekker å kontakte brukerne dine direkte.
Før du starter
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Gjør en tørrkjøringssynkronisering på Active Directory brukerne dine.
Når du har bekreftet resultatene av tørrkjøringen, utfører du en fullstendig synkronisering på Active Directory -brukerne.
| På tidspunktet for full synkronisering opprettes brukeren i skyen, ingen tjenestetilordninger legges til, og det sendes ingen aktiverings-e-post. Hvis e-postene ikke undertrykkes, mottar de nye brukerne en aktiverings-e-post når du tilordner tjenester til brukere ved hjelp av en standard brukeradministrasjonsmetode i Control Hub, for eksempel CSV-import, manuell brukeroppdatering eller vellykket fullføring av automatisk tilordning. |
| 1 | Fra kundevisningen ihttps://admin.webex.com , gå til , klikk Behandle brukere , velg Endre alle synkroniserte brukere , og klikk deretter Neste . |
| 2 | Velg et alternativ:
|
Hva nå?
Hvis e-postene ikke undertrykkes, sendes en e-postmelding til hver bruker med en invitasjon til å bli med og laste ned Webex.
Hvis du valgte de samme Webex-tjenestene for alle brukerne, kan du etterpå endre lisensen som er tilordnet individuelt eller samtidig.
Kjente problemer med katalogkobling
Windows Server-versjoner før 2012 R2 har et problem med informasjonskapsler som påvirker katalogkoblingen. Dette problemet er løst i versjoner 2012 R2 og 2016 .
For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene 72 timer fra du utfører synkroniseringen.
Du kan prøve å tømme den lokale hurtigbufferen for Webex-appen ved å følge disse instruksjonene: Windows eller Mac .
Når en bruker bruker Webex-appen på skrivebordet eller mobilen til å søke og ringe et rom som bare har en synkronisert SIP-URI, ringer anropet på ubestemt tid på dette tidspunktet.
Kjør en trinnvis synkronisering
En trinnvis synkronisering spør etter Active Directory og ser etter endringer som har skjedd siden forrige synkronisering. Dette trinnet grupperer deretter disse endringene og sender dem til koblingstjenesten. Endringene inkluderer endring av brukerattribusjon og når en bruker legges til eller slettes.
Denne synkroniseringen legger ikke like mye belastning på serverne og tar ikke like mye tid som en full synkronisering. Når du har utført den første fullstendige synkroniseringen, anbefaler vi det trinnvise alternativet for etterfølgende synkroniseringer.
Før du starter
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Merk disse unntakene som trinnvis synkronisering ikke støtter (følg Utfør en fullstendig synkronisering av Active Directory -brukere til skyen i stedet):
Hvis det gjelder en oppdatert avatar, men ingen andre attributter endres, oppdaterer ikke trinnvis synkronisering brukerens avatar til skyen.
For nye konfigurasjonsendringer for attributtilordning, base-DN, filter og avatarinnstilling fungerer ikke trinnvis synkronisering, og disse krever full synkronisering.
| 1 | Fra Katalogkobling klikker du på Instrumentbord .
| ||
| 2 | Fra Handlinger , klikk Synkroniseringsmodus > Aktiver synkronisering hvis det ikke allerede er aktivert. Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt (på versjon 3.4 og tidligere) eller hver fjerde time (på versjon 3.5 og nyere), men du kan endre denne verdien. Den trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering. Når et nytt trinnvis tidsintervall er ute, kontrollerer programmet endringene basert på det siste tidsstemplet. | ||
| 3 | Fra Handlinger , klikk Synkroniser nå > Inkrementell . For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene 72 timer fra du utfører synkroniseringen.
| ||
| 4 | Hvis du vil ha informasjon om feil, klikker du på Start Event Viewer fra Handlinger verktøylinjen for å vise feilloggene. |
Hva nå?
Hvis du har flere domener, gjør du dette trinnet på andre Directory Connector-forekomster du har installert.
Gjenopprett brukere som er slettet ved et uhell
Katalogkobling har kontroller og saldoer for å forhindre utilsiktet sletting av brukere. Dessverre skjer ulykker. Du kan ha konfigurert et LDAP-filter i Active Directory på feil måte, noe som slettet noen brukere da de ble synkronisert til skyen. Den myke slettefunksjonen kan hjelpe deg med å komme deg etter disse ulykkene og gjenopprette brukerkontoene i Control Hub.
Som standard er denne funksjonen aktivert for alle organisasjoner. Når brukere slettes i skyen, for eksempel på grunn av et problem med feilaktige objekter etter en synkronisering fra Directory Connector, kan brukerne gjenopprettes. Hvis du så et objekt som ikke samsvarte, eller la merke til at brukere ble slettet, kan det hende du kan gjenopprette dem hvis du handler raskt.
| Brukere merkes som inaktive i Control Hub når de tilsvarende kontoene slettes i Active Directory. Bakgrunnsskytjenesten beholder brukerne i opptil 7 dager. I løpet av denne perioden kan du fortsatt bruke Cisco-registerkobling til å gjenopprette brukere. Vi anbefaler at du gjenoppretter disse brukerne så snart som mulig. Brukere som er deaktivert i Active Directory , er også merket som inaktive i Control Hub, men brukerkonto slettes ikke etter 7 dager. |
| 1 | Logg på Kontrollhub . |
| 2 | Gå til Brukere og kontroller om en bestemt brukerkonto er i en inaktiv tilstand eller ikke er oppført. Hvis du vil ha mer informasjon, se Brukerstatuser og handlinger i Control Hub . |
| 3 | Hvis brukere ble slettet i Control Hub eller du legger merke til at brukere er i en inaktiv tilstand, går du til Active Directory, legger til de manglende brukerkontoene, og deretter utfører du en tørrkjøringssynkronisering i Directory Connector. Målet med Directory Connector er å opprette et nøyaktig samsvar mellom brukerinformasjon i Active Directory og i skyen. |
| 4 | Utfør en fullstendig synkronisering for å resynkronisere de midlertidig slettede brukerkontoene til Control Hub. Brukerne gjenopprettes og går til den opprinnelige statusen, inkludert kontostatus og tjenestetilordninger. |
Hva nå?
Gå tilbake til Control Hub, gå til , og bekreft at de tidligere slettede brukerkontoene vises i brukerliste.
Slett brukere permanent etter myk sletting
Etter å ha utført en tørrkjøring, kan du velge å permanent slette brukere som ble myk slettet ved neste synkronisering.
| 1 | Når en tørrkjøring er fullført, velger du Myk-slettede objekter . |
| 2 | Merk av i avmerkingsboksen ved siden av brukerne du vil slette. |
| 3 | Velg Ferdig. |
Hva nå?
Ved neste synkronisering blir brukerne du sjekket, slettet permanent.
Endre en e-postadresse for Webex-appen
Hvis du vil endre e-postadresser for brukere og organisasjonen bruker katalogkoblingen, endrer du disse e-postadressene i Active Directory. Denne fremgangsmåten dekker hvordan du endrer en e-postadresse for Webex-appen for ett enkelt domene og en prosess for å endre domenet.
| Hvis du bare vil endre e-post eller verdier for én bruker, må du ikke slette brukeren fra Active Directory og deretter opprette en ny med den samme e-postadressen. Skyen tolker denne handlingen som en ny brukerkonto, og brukerens områder og andre data i skyen vil gå tapt. |
Slik endrer du brukerens e-postadresser uten å endre domenet:
Gjenoppta synkroniseringen på katalogkoblingen.
Etter neste synkronisering vises endringene i brukerliste i Control Hub og for brukere i Webex-appen etter at hurtigbufferen er oppdatert.
Det er ikke tap av data eller områder ved hjelp av denne metoden. Brukerens unike identifikator angis i skyen etter den første synkroniseringen. Alle etterfølgende synkroniseringer er basert på denne identifikatoren.
Hvis du vil endre brukerens e-postadresser mens du endrer domenet i en distribusjon med flere domener med Directory Connector (vurder på example1.com, det gamle domenet og example2.com som det nye domenet):
På Directory Connector gjenopptar du synkroniseringen for example2.com
Før du fortsetter, må du kontrollere at kontoen bruker1@example2.com synkroniseres til Control Hub. Vi anbefaler at du ber brukeren om å bekrefte e-postendringen i Webex-appen, og at alle data (områder, meldinger, møter, filer og så videre) beholdes.
Det er ingen tap av data eller områder ved hjelp av denne metoden, men i den nye brukerkonto må du sørge for at Active Directory -attributtet som tilordnes til sky-uid-attributtet, er bevart fra den gamle brukerkonto. Hvis du endrer Active Directory -verdien, beholder ikke den nye kontoen dataene fra den gamle kontoen.
Når du har bekreftet e-postadresse og dataene er intakte, sletter du den gamle brukerkonto på example1.com, og deretter bruker du Directory Connector til å gjenoppta synkroniseringen for example1.com.
På dette tidspunktet kan du trygt oppdatere e-postadresse i det nye Active Directory -domenet for bruker1@example2.com.
Katalogkobling begrenser ikke endringen av e-postdomene. Når brukeren resynkroniserer til skyen, avhenger imidlertid brukerstatusen av om det nye domenet er bekreftet i organisasjonen din. Hvis domenet ikke er bekreftet i organisasjonen din, endres brukerens status til Venter etter full synkronisering. Hvis du vil ha mer informasjon, se Administrer domenene dine .
Hvis organisasjonen din ikke bruker katalogkobling, kan du endre e-postadressene for Webex-appen via siden med kontoinnstillinger . Se Endre e-postadressen for kontoen din for trinn som brukere kan følge for å endre e-postadressene sine.
Endre Active Directory -domenet
Du kan bruke denne fremgangsmåten til å opprette nye domener og e-postadresser. De synkroniseres med identitetstjenesten i skyen.
| 1 | Konfigurer et nytt AD-domene ( Active Directory ). | ||
| 2 | Deaktiver synkroniseringer på alle kontaktene dine. | ||
| 3 | Avinstaller alle kontaktene dine. | ||
| 4 | Åpne store og små bokstaver for å endre domenet . I saksinnsendingen må du sørge for å be om fjerning av domenekonfigurasjonen og alle synkroniseringsattributter i organisasjonen.
| ||
| 5 | Etter at saken er løst: Utfør en testkjøring med Directory Connector før du utfører selve synkroniseringen. |
Domenekrav
Et domenekrav oppstår hvis du gjør krav på et e-postdomene for en organisasjon, slik at en eventuell skjenkkonto opprettes i den betalte kundeorganisasjonen og ikke i den gratis forbrukerorganisasjonen. Du kan bare gjøre et domenekrav gjennom en støttesak (se koblingen nedenfor for mer informasjon).
Hvis katalogkoblingen er aktiv og domenet gjøres krav på, opprettes ikke skjenkkontoer verken i kundeorganisasjonen eller i den gratis forbrukerorganisasjonen. Bare katalogkoblingen kan klargjøre kontoer for organisasjonen fra Active Directory. Informasjonen som er lagret i Active Directory , er den opprinnelige kilden. Hvis du prøver å legge inn en konto på skjenk, mottar den inviterte brukeren en feilmelding. Den eneste måten en invitert bruker kan legges til i et Webex-appområde, er først å bruke katalogkoblingen til å klargjøre kontoen i Control Hub.
Konverter gratis brukere av Webex-appen i en katalogsynkronisert organisasjon
Du kan bare bruke unike e-postadresser i katalogen for Webex-appen. Hvis brukerne dine har registrert seg for gratisversjonen av Webex-appen, finnes kontoen deres i den gratis forbrukerorganisasjonen. Hvis du vil administrere brukere i denne organisasjonen ved hjelp av Katalogkobling, må du overføre (konvertere) dem til kundeorganisasjonen før du slår på Katalogkobling. Deretter legger du til brukerne i Active Directory med den nøyaktige e-postadresse og synkroniserer til skyen.
Hvis du ikke konverterer kontoene før aktivering, må du slå av katalogkoblingen for å konvertere dem.
Hvis du prøver å konvertere en bruker mens katalogsynkronisering er aktivert, vises feilmelding<email address=""> kunne ikke konverteres
vises. Hvis du vil unngå problemet, kan du bruke disse trinnene som en løsning.
| Noen påståtte brukere kan dukke opp med Hvis du ikke legger til disse brukerne, blir alle slettet neste gang du synkroniserer til skyen. |
| 1 | Deaktiver katalogsynkroniseringen fra katalogkoblingen. | ||
| 2 | Følg Konverter ulisensierte brukere i Control Hub prosedyre for å konvertere brukeren fra den gratis forbrukerorganisasjonen til bedriftsorganisasjonen. Dette trinnet legger til brukeren i organisasjonen, og kontoen vises i Control Hub. Katalogkobling gjør Active Directory til den eneste sannheten for brukerkontoer, og målet er å ha nøyaktig samsvar mellom Active Directory og Control Hub. Kontroller at det finnes samsvarende brukere i Active Directory for eventuelle nylig konverterte brukere før du aktiverer synkroniseringen på nytt. En testsynkronisering kan brukes til å sikre at det ikke finnes gjenværende brukere uten samsvar. | ||
| 3 | Utfør en tørrkjøringssynkronisering på Directory Connector. Når testkjøringen er fullført, kontrollerer du fanen Legg til objekter. Kontroller at brukere du konverterte, ikke har blitt slettet.
| ||
| 4 | Når du er sikker på at neste synkronisering ikke fjerner noen kontoer, aktiverer du katalogsynkronisering på nytt fra Katalogkobling. |
Konverterte brukerkontoer aktiveres ikke automatisk hvis du ikke har bekreftet et domene. Hvis du for eksempel har aktivert malen for automatisk tilordning av lisenser og deretter aktivert Katalogkobling uten domenebekreftelse, er konverterte brukere inaktive i skyserveren til de bekrefter e-postadressene sine.
Brukerkontoer for Webex-appen med skjenk
Når du inviterer en annen bruker til et område i Webex-appen, og den inviterte brukeren ikke har en Webex-appkonto, opprettes det en konto for brukeren ("skjekk"). Som standard legges kontoer som opprettes på denne måten til i den gratis forbrukerorganisasjonen.
Hvis du vil administrere den skjenkede kontoen ved hjelp av Directory Connector, må du konvertere kontoen .
Endre format for brukernavn for Webex-appen etter katalogsynkronisering
Som standard tilordner Directory Connector attributtet displayName i Active Directory til displayName-attributtet i skyen.
Etter at du har utført en katalogsynkronisering, kan du oppleve at brukernavn vises i formatet<lastName, firstName=""> .
Dette brukernavnet kan vises hvis displayName-attributtet i Active Directory er konfigurert på denne måten. Når attributtet er tilordnet til displayName i skyen vises navn i formatet<lastName, firstName=""> i Control Hub.
Hvis du vil endre formatet, i skjermbildet for tilordning av attributter for Directory Connector: tilordne Active Directory -attributtet givenName sn(eller sn givenName) til displayName i Cisco Cloud Attribute Names.
Du kan også tilordne attributtet sn givenName til displayName:
Du kan også bruke alternativet Tilpass attributt hvis du vil tilordne ditt eget tilpassede attributtuttrykk til displayName.
Angi for eksempel givenName + "" + sn(fornavn, mellomrom, etternavn) som uttrykk. Dette tilordner de to attributtene i Active Directory til displayName i skyen.
Tillat brukere å endre visningsnavn i Webex Meetings
Du kan oppheve tilordningen av displayName-attributtet fra synkronisering til skyen i Directory Connector hvis du vil la brukere redigere sine foretrukne visningsnavn. Brukere kan angi et visningsnavn som skal vises under Webex-møter i stedet for for- og etternavnet. Administratorer kan også endre visningsnavn for en bruker manuelt i Control Hub.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tilordning av brukerattributter . |
| 2 | Velg visningsnavn under Navn på Cisco Cloud . |
| 3 | Velg Ikke synkroniser dette attributtet . |
Hva nå?
Brukere kan nå redigere visningsnavnene fra Webex-nettsted .
Oppgrader til den nyeste programvareversjonen
For å holde distribusjonen i samsvar og få de nyeste funksjonene, funksjonaliteten, feilrettinger og sikkerhetsforbedringer, må du alltid oppgradere til den nyeste versjonen av Directory Connector. Hvis du ikke oppgraderer til den nyeste versjonen som er tilgjengelig, kan du få problemer, for eksempel at Directory Connector ikke lenger synkroniserer riktig eller bruker en versjon som ikke støtter det obligatoriske TLS 1.2-krav .
Katalogkobling varsler deg automatisk når en ny versjon er tilgjengelig. Oppgrader alltid til den nyeste versjonen for å unngå problemer. Du ser også et varsel på oppgavelinjen i Windows.
| Selv om du kan installere oppdateringer for koblingsprogramvare manuelt, anbefaler vi at du følger trinnene i Angi automatiske oppgraderinger for å la appen administrere oppgraderingene dine automatisk. |
| 1 | Klikk på varselet på oppgavelinjen i Windows, eller høyreklikk på Katalogkobling-ikonet på oppgavelinjen i Windows for å starte oppgraderingsprosessen. |
| 2 | Følg instruksjonene for å fullføre oppgraderingen. |
| 3 | Start koblingen på nytt, og logg på med administratorlegitimasjonen din. |
| 4 | Kontroller versjonsnummeret til programvaren under . |
Hva nå?
For en ny installasjon av Directory Connector kan du laste ned zip-filen og følg deretter installasjonstrinnene i denne veiledningen.
Konfigurer generelle innstillinger for Directory Connector
Bruk denne fremgangsmåten til å konfigurere generelle innstillinger, for eksempel navnet på serveren som kjører Directory Connector, loggnivåer, automatiske oppgraderinger og foretrukne innstillinger for domenekontrollerne. Navnet på kontakten vises på instrumentbordet i koblingsdelen, sammen med eventuelle andre kontakter som kjører.
| 1 | Fra Katalogkobling går du til Konfigurasjon , og klikk deretter Generelt . | ||
| 2 | I Koblingsnavn -feltet, skriver du inn kontaktnavnet. Dette feltet viser bare datamaskinnavnet som for øyeblikket kjører kontakten. | ||
| 3 | Velg loggnivå fra rullegardinlisten. Som standard er loggnivået satt til info . De tilgjengelige loggnivåene er:
| ||
| 4 | Velg Foretrukne domenekontrollere for å angi rekkefølgen på domenekontrollere for synkronisering av identiteter. Domenekontrollerne er tilgjengelige fra topp til bunn. Hvis den øverste kontrolleren ikke er tilgjengelig, velger du den andre kontrolleren på listen. Hvis ingen kontroller er oppført, har du tilgang til primærkontrolleren. | ||
| 5 | Sjekk Oppgrader automatisk til den nye versjonen av Cisco Directory Connector hvis du vil at automatiske oppgraderinger skal skje. Det er alltid viktig å holde Cisco Directory Connector-programvaren oppdatert til den nyeste versjonen. Vi anbefaler at du kontrollerer denne innstillingen for å tillate at automatiske oppgraderinger av programvaren installeres stille når de er tilgjengelige. | ||
| 6 | Sjekk LDAP over SSL for å bruke sikker LDAP (LDAPS) som tilkoblingsprotokoll.
LDAP (Lightweight Directory Application Protocol) og Secure LDAP (LDAPS) er tilkoblingsprotokollene som brukes mellom et program og domenekontrolleren i infrastrukturen. LDAPS-kommunikasjon er kryptert og sikker. |
Konfigurer koblingspolicyen
Du kan angi maksimalt antall slettinger som kan skje under synkronisering. Når du kjører synkronisering, slettes ikke objekter fra den lokale Active Directory. Alle objekter slettes bare fra skyen.
Du angir for eksempel 1 som utløserverdi for sletteterskel. Når du foretar full eller trinnvis synkronisering, og antallet brukere du vil slette er mer enn innstillingen, viser katalogkontakten en advarsel. Hvis du klikker Overstyr terskel , kan du starte full eller trinnvis synkronisering, men du vil se dette overstyringsvarselet neste gang du kjører policyen.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Retningslinjer . | ||
| 2 | Sjekk Aktiver utløser for sletteterskel hvis du vil legge til en terskelutløser. Hvis du velger dette alternativet, utløses et varsel hvis antall slettinger overskrider terskelen. Når slettekontoen overskrider den du angir, mislykkes synkroniseringen.
| ||
| 3 | Angi maksimalt antall slettinger du vil bruke. Standarden er 20.
| ||
| 4 | Klikk på Bruk. |
Angi tidsplan for kobling
Angi tidspunkt for synkronisering i Active Directory. Failover brukes for høy tilgjengelighet (HA). Hvis én kontakt er nede, bytter vi til en annen standby-kontakt etter det forhåndsdefinerte intervallet.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tidsplan . |
| 2 | Angi Inkrementelt synkroniseringsintervall på minutter. Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt. Den fullstendige trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering. |
| 3 | Endre Send rapporter per… gang verdi hvis du vil endre hvor ofte rapporter sendes. |
| 4 | Sjekk Aktiver tidsplan for full synkronisering for å angi dagene og tidspunktene du vil at en full synkronisering skal skje. |
| 5 | Angi Failover-intervall på minutter. |
| 6 | Klikk på Bruk. |
Flere domenescenarier
Flere domener er basert på domeneprioritet. For objekter som har samme nøkkelverdi i forskjellige domener, etter synkronisering, vil dataene fra domenet med høyere prioritet skrive om dataene fra domenet med lavere prioritet.
Objekter som har samme nøkkelverdi, kobles til én oppføring i databasen.
Nøkkelverdien for «Bruker» er E-postadresse ; nøkkelverdien for «Gruppe» er Gruppenavn .
Eksempel på bruksanvisning for flere domener
Dette eksemplet forutsetter en organisasjon med to domener – eksempel1.com og eksempel2.com, i prioritert rekkefølge.
Legg til bruker1(e-post: bruker@example1.com) til Active Directory for eksempel1.com.
Legg til gruppe1(Gruppenavn: Test) til Active Directory for example1.com.
Legg til bruker2(e-post: bruker@example2.com) til Active Directory for eksempel2.com.
Legg til gruppe2(Gruppenavn: Test) til Active Directory for example2.com.
- Synkronisering på example1.com
-
Som et brukscase er bruker2 og gruppe2 synkronisert til skyen og vises ihttps://admin.webex.com , mens bruker1 og gruppe1 ikke er det.
Hvis du utfører en fullstendig eller trinnvis synkronisering for example1.com, synkroniseres bruker1 og gruppe1. Dessuten overskrives bruker2 og gruppe2 av informasjonen til bruker1 og gruppe1.
Bruker1 kobler til bruker2 som den samme oppføringen i databasen; gruppe1 kobler gruppe2 som den samme oppføringen i databasen.
- Synkronisering på example1.com og example2.com
-
Som et brukscase er bruker2 og gruppe2 synkronisert til skyen og vises ihttps://admin.webex.com , mens bruker1 og gruppe1 ikke er det.
Vurder disse trinnene:
- Slett bruker1 og gruppe1 i Active Directory for example1.com.
- Utfør en fullstendig eller trinnvis synkronisering for eksempel1.com.
Resultat: brukerens informasjon endres ikke ihttps://admin.webex.com . Bruker2 er ikke koblet til bruker1, og gruppe2 er ikke koblet til gruppe1.
- Utfør en trinnvis synkronisering for example2.com.
Resultat: brukerens informasjon endres ikke ihttps://admin.webex.com .
- Utfør en fullstendig synkronisering for example2.com.
Resultat: Informasjonen til bruker2 og gruppe2 er oppført ihttps://admin.webex.com .
Synkronisere et nytt domene og behold et eksisterende domene
Hvis du vil synkronisere et nytt domene (B) mens du opprettholder de synkroniserte brukerdataene på et annet eksisterende domene (A), må du sørge for at du installerer Directory Connector for domene (B)-synkronisering på en støttet Windows-server. Koblingen bindes til det nye domenet etter det første oppsettet, og brukerinformasjon under domene (A) forblir upåvirket.
Hvert domene må ha sin egen aktive kobling. Vurder to domener med følgende oppsett: domene A med kontakter (ca1) og (ca2) for lokal høy tilgjengelighet (HA); domene B med kontakt (cb1). (ca1) og (ca2) betjener domene A. I dette scenariet er én kontakt aktiv og den andre i ventemodus (HA). Denne utformingen holder domenet synkronisert, fordi én kobling alltid er aktiv. Så cb1 er den aktive kontakten for domene B, fordi domene A allerede har en aktiv kontakt (ca1 eller ca2).
Angi domeneprioritet
Bruk denne fremgangsmåten til å endre prioriteten til Active Directory -domenene dine. Domeneprioritet lar deg bestemme primærdomenet, sekundært domene og så videre. Dette hjelper når to brukere fra to forskjellige domener har samme e-postverdi synkronisert til én organisasjon.
Ikke bruk denne fremgangsmåten hvis du har ett enkelt domene oppført i katalogkoblingen. Hvis du prøver, viser koblingen deg en melding om at domeneprioritet ikke er nødvendig.
Før du starter
Hvis du vil unngå feil, installerer eller oppgraderer du til den nyeste versjonen av Cisco-katalogkontakt. Du må laste den ned frahttps://admin.webex.com .
| 1 | Fra Cisco-katalogkontakt klikker du på Instrumentbord . | ||
| 2 | Gå til Handlinger , og klikk deretter Angi domeneprioritet . | ||
| 3 | Uthev ett domene i listen, klikk på Opp eller Ned for å endre dette domenets prioritet, og klikk deretter på Lagre for å lagre denne endringen.
|
Bytt domener
Bruk denne fremgangsmåten til å koble Cisco-katalogkontakten til et annet domene på nytt.
Før du starter
Kontroller at ingen synkroniseringsoppgaver kjører før du bytter domener.
Hvis du vil unngå feil, installerer eller oppgraderer du til den nyeste versjonen av Cisco-katalogkontakt. Du må laste den ned fra Kontrollhub .
| 1 | Fra Cisco-katalogkontakt klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter Bytt domene . |
| 3 | Når du har lest advarselen, hvis du forstår hvilken innvirkning denne endringen har på distribusjonen, og du fortsatt er sikker, klikker du på Ja . Hvis du bytter domene, blir du logget av den gjeldende Cisco-katalogkontakten, andre domener i kontakten blir avregistrert, og kontaktinformasjonen på den datamaskinen slettes. |
| 4 | Logg på Cisco-katalogkontakten igjen, og bind domenet på nytt. |
Slå av katalogsynkronisering
Hvis du må stoppe synkroniseringen fra Directory Connector, kan du midlertidig slå den av fra Control Hub.
| 1 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Katalogsynkronisering , og velg deretter én:
|
| 2 | Når du har lest ledeteksten, klikker du på Slå av . Synkroniseringen stopper til du aktiverer den på nytt fra Katalogkobling. |
Fjern tilordning av brukerattributter
Bruk Katalogkobling til å fjerne tilordningen for Active Directory -attributter som tidligere var tilordnet til skyen og synkronisert til Webex. Når du har fjernet attributtilordningen, fjernes attributtverdiene fra skyen og synkroniseres ikke lenger til Webex. Disse verdiene kan deretter redigeres manuelt.
| 1 | Fra Katalogkobling klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter . |
| 3 | Velg tilordningen som skal fjernes fra Attributtnavn listen. |
| 4 | Under Berørt brukeromfang , velger du ett av følgende:
|
| 5 | Klikk på Bruk. |
Behandle profilbilder
Bruk Katalogkobling til å oppdatere brukerprofil eller til å fjerne tomme brukerprofil .
| 1 | Fra Katalogkobling klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter . |
| 3 | Under Handlinger , velger du ett av følgende:
|
| 4 | Klikk på Bruk. |
Avinstaller og deaktiver katalogkobling
Når du har avinstallert en forekomst av Directory Connector, må du avregistrere den. Fjern en katalogkobling fullstendig for disse scenariene:
Du vil ikke bruke katalogsynkronisering lenger.
Du vil ikke bruke én av flere katalogkoblinger (høy tilgjengelighet).
Du vil endre domenet og installere en annen kobling.
Før du starter
Du kan ha flere forekomster av Directory Connector konfigurert for synkronisering med høy tilgjengelighet (HA) eller flere domenesynkronisering. Deaktiver synkroniseringen hvis du avinstallerer den eneste eller siste gjenværende forekomsten av Directory Connector.
Lagre og lukk viktig arbeid før du avinstallerer Directory Connector.
| 1 | Fra Windows-maskinen går du til Kontrollpanel, og klikker deretter på Programmer og funksjoner . |
| 2 | Fra programlisten klikker du på Katalogkobling , velg Avinstaller , og følg deretter ledeteksten. Du må kanskje starte systemet på nytt for å fullføre avinstallasjonen. |
| 3 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Katalogsynkronisering , klikk mer |
| 4 | Når du har lest ledeteksten, klikker du på Deaktiver . Med mindre det finnes en annen katalogkobling i en distribusjon med høy tilgjengelighet (HA), synkroniseres ikke brukerkontoer lenger. |
Kjør diagnoseverktøyet
Du kan bruke det innebygde feilsøkingsverktøyet til å feilsøke Directory Connector-distribusjonen. Dette verktøyet er installert som en del av Directory Connector 3.4 og nyere.
Hvis synkroniseringen ikke fungerte som den skal, kan det hende du har en konfigurasjons- eller nettverksfeil. Dette verktøyet tester tilkoblingen din til LDAP slik at du kan diagnostisere feil selv før du kontakter kundestøtte. Hvis verktøyet returnerer en feil, kan du sende de detaljerte loggresultatene til kundestøtte.
Slik kjører du tester for Active Directory -domenetjenester:
Slik kjører du tester for Active Directory Lightweight Directory-tjenester:
Slik kjører du tester for LDAP ( Lightweight Directory Access Protocol ):
Feilsøking og rettelser for Directory Connector
Du kan støte på en feilmelding eller et annet problem i Directory Connector. Etter at Directory Connector synkroniserer brukerinformasjon, kan det også hende at koblingen sender deg en e-postrapport som viser eventuelle problemer med synkroniseringen. Se avsnittene nedenfor for problemer som kan oppstå, mulige årsaker og forslag til løsninger du kan prøve før du kontakter kundestøtte.
Installerer
Katalogkobling sluttet å fungere
Du mottok e-postvarsel som varsler deg om at katalogkoblingen ikke fungerer.
Katalogkobling er kanskje ikke riktig installert.
Directory Connector kjører kanskje ikke.
Nettverket er kanskje ikke tilgjengelig.
Prøv følgende:
Åpne . Finn Katalogkobling. Hvis den ikke er der, laster du ned den nyeste versjonen fra Control Hub og installerer den.
Åpne Tjeneste og finn Cisco DirSync-tjeneste. Kontroller at den viser statusen som Startet . Hvis tjenesten er stoppet, høyreklikk du og velger Start for å starte tjenesten på nytt.
Kontroller at serveren du installerte katalogkoblingen på, har tilgang til Internett.
Feil ved reinstallasjon
Problem –Hvis du umiddelbart installerer en ny kontakt etter at du har avinstallert en gammel, kan det hende at du ser en feilmelding.
Mulig årsak – I Windows Server 2012 trenger avinstallasjonsklienten tid til å slette tjenestekonto fra tjenestelisten.
Løsning – Når det har gått litt tid, kan du prøve installasjonen på nytt.
Logg på
Katalogkobling krasjer under SSO-pålogging
Problem
Katalogkobling kan krasje etter at du angir en e-postadresse fra en SSO-påloggingsside.
Løsning
Prøv følgende:
Gjør følgende for å konfigurere en ny gruppepolicy:
Gå til domenekontrolleren og åpne administrasjon av gruppepolicy (gpedit.msc).
Høyreklikk på en bestemt organisasjonsenhet eller et bestemt domene, og velg Opprett et GPO på dette domenet , og Koble den her…
Gi retningslinjen et navn, høyreklikk og velg Rediger .
Gjør følgende for å endre policyen på maskinnivå:
Gå til , høyreklikk Register , velg Nyhet , og deretter Registerelement .
For Nøkkelbane , angi eller gå til HKEY_ LOKALT_ MASKIN\SOFTWARE\Microsoft\ Internet Explorer\Main .
Oppgi
Disable Script Debuggerfor Verdi , og anginofor Verdidata .Innstillingene skal samsvare med dette skjermbildet:
Gjør følgende for å endre retningslinjene på brukernivå:
Gå til , høyreklikk Register , velg Nyhet , og deretter Registerelement .
For Nøkkelbane , angi eller gå til HKEY_ GJELDENDE_ BRUKER\SOFTWARE\Microsoft\ Internet Explorer\Main .
Oppgi
Disable Script Debuggerfor Verdi , og anginofor Verdidata .Innstillingene skal samsvare med dette skjermbildet:
| Endringene trer i kraft etter at du har kjørt |
Kunne ikke registrere Cisco DirSync Service Connector
Problem
Pålogging mislykkes, og denne meldingen vises: «Kunne ikke registrere Cisco DirSync Service Connector.»
Løsning
Windows-systemet som Directory Connector er installert på, må være medlem av Active Directory.
Det vises ingen påloggingsside
Problem
Du åpnet Directory Connector, og påloggingssiden ble ikke vist.
Løsning
Prøv følgende trinn:
I Internet Explorer går du tilhttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL . Prøv koblingen i andre nettlesere som Chrome og Firefox.
Hvis Internet Explorer ikke kan besøke koblingen, men andre nettlesere kan, kontrollerer du innstillingene for Internet Explorer og merker av for TLS 1.1 og 1.2. (Bruk Aktiver TLS i Internet Explorer prosedyre.)
Melding om pålogging vises
Problem
Det vises en melding som ber deg om å angi brukernavn og passord for å sende godkjenningen.
Mulig årsak
Katalogkoblingen fullfører NTLM-sikkerhetsgodkjenning lydløst med påloggingskontoen. Hvis autentiseringen mislykkes, vises en dialogboks der du blir bedt om brukernavn og passord for autentiseringen.
Løsning
Når du ser popup-vinduet for pålogging, må du oppgi en gyldig konto med riktig autentisering for å sende sikkerhet.
Kan ikke koble til den eksterne serveren
Problem
Under normal drift vises feilmelding : «Kan ikke koble til den eksterne serveren.»
Mulig årsak
Du kan ha proxy-problemer som må løses.
Løsning
Se Feilsøke innloggingsproblemer for tjenestekonto for mer feilsøkingsinformasjon.
Kan ikke registrere koblingen
Problem
Du ser feilmelding «Kan ikke registrere kontakten. Det oppstod et generelt unntak.»
Mulig årsak
I de fleste tilfeller skyldes problemet at katalogkoblingen ikke har tillatelse til å koble til LDAP-rotkontekst.
Løsning
Prøv følgende:
Kjør en ledetekst (cmd), og skriv deretter inn ldp.exe .
Klikk på , velg Bind som pålogget bruker , og klikk deretter OK .
Klikk på , angi DC=arbonneintl,DC=ad som BaseDN, og klikk deretter OK .
Hvis problemet vedvarer, åpne en sak med støtte .
Synkronisering
Avatarer ikke synkronisert
Problem
Cisco-katalogkoblingen synkroniserte bruker-AD-data til Webex-skyen. Men ingen avatardata ble synkronisert.
Mulig årsak
Hvis du brukte en eksisterende avatarserver på nytt og brukeravatarene allerede var synkronisert, registrerer den lokale hurtigbufferen dem og unngår å sende på nytt for å spare båndbredde.
Løsning
Slett den lokale hurtigbufferen ved å følge denne fremgangsmåten:
Gå til C:\Program Files (x86)\ Cisco Systems\Cisco Directory Connector\Plugins\
Slett DirSyncPluginAvatar.dll-cache.bin .
Kjør avatarsynkroniseringen på nytt fra Cisco-katalogkontakten.
Motstridende e-postkontoer for brukere
Problem
Synkroniseringsresultater kan vise motstridende e-postkontoer for brukere.
Hvis brukere prøvde gratisversjonen av Webex-appen, ligger e-postadressene deres i den gratis forbrukerorganisasjonen.
Hvis brukere-e-poster noen gang ble synkronisert i en annen organisasjon.
Hvis e-postadresser for brukere finnes i flere domener som tilhører organisasjonen.
Løsning
Prøv følgende:
Følg denne fremgangsmåten hvis du prøver å gjøre krav på brukere:
Kontroller at du har bekreftet domenet i Control Hub .
Deaktiver Cisco-registerkobling midlertidig.
Bruk alternativet Krev bruker i Control Hub til å gjøre krav på alle kontoer som finnes i den gratis forbrukerorganisasjonen. Se Krev brukere til organisasjonen din (Konverter brukere) hvis du vil ha mer informasjon.
Gjør en tørrkjøring i Cisco Directory Connector, og aktiver deretter katalogsynkronisering på nytt
I det siste tilfellet dobbeltsjekker du brukerdataene i Active Directory -kildene.
Konvertert bruker merket som inaktiv
Problem
I det synkroniserte katalogmiljøet konverterte du en gratis bruker (forbrukerorganisasjon) til bedriftsorganisasjonen, men den konverterte brukeren kan ikke logge på Webex-appen.
Mulig årsak
Når den gratis brukeren konverteres til bedriftsorganisasjonen, merkes brukeren som inaktiv status i 30 dager som et sikkerhetstiltak. I løpet av denne perioden kan ikke brukeren logge på Webex-appen og merkes for sletting på slutten av 30-dagersperioden. Denne situasjonen oppstår fordi den gratis brukerinformasjon ikke finnes i Active Directory.
Løsning
Du må iverksette tiltak hvis du ikke vil at brukerkonto skal slettes. Du kan løse dette problemet ved å opprette en brukerkonto i den lokale Active Directory som tilsvarer den konverterte gratis brukerkonto. Deretter utfører du en synkronisering fra Cisco-registerkoblingen. Deretter kan brukeren logge på Webex-appen igjen, og kontoen blir ikke slettet.
Inkrementell synkronisering mislykkes
Problem
En trinnvis synkronisering mislykkes.
Dette problemet kan oppstå på Windows Server 2008 R2 under følgende forhold:
Du støtter trinnvise verdioppdateringer.
Filteret du bruker, refererer til et koblet verdiattributt.
Resultatverdiene for dette attributtet ble oppdatert siden forrige gang en full synkronisering ble utført.
Løsning
Windows Server 2008 R2 har en feil som er relatert til dette problemet. Feilen er rettet i 2012 R2 og nyere. Vi anbefaler at du oppgraderer Windows Server til minst 2012 R2.
Ugyldig verdi for attributt
Problem
For [user dn (distinguished name)] har attributtet [attribute name] følgende ugyldig verdi [attributtverdi].
Mulig årsak
For CN=b,OU=Employees,OU=C Users,DC=c,DC=com, har attributtet [telefonnummer] følgende ugyldig verdi: +. Dette attributtet må inneholde minst ett tall.
Løsning
Et attributt for denne brukeren har ikke en gyldig verdi. Rett verdien i henhold til beskrivelsen i advarselsmelding. Utfør deretter en ny synkronisering.
Samsvarende brukere som skal slettes
Problem
De samsvarende brukerne er merket for å bli slettet.
Når du utfører en tørrkjøringssynkronisering for å sjekke dataene mellom Active Directory og skyen, kan det hende du ser den samme e-postadresse i begge. Brukeren er imidlertid merket som et objekt som skal slettes.
Løsning
Velg en passende løsning:
Hvis det er greit å slette brukeren og gjøre om lisensene etterpå, kan du bruke Katalogkobling for å løse problemet. Utfør en synkronisering for å slette brukeren, og utfør deretter en ny synkronisering for å synkronisere brukeren fra lokal AD til skyen.
Hvis du ikke kan slette og opprette brukerkonto på nytt, åpne en sak med støtte .
Mangler attributt
Problem
Det obligatoriske attributtet [attribute_name ] når du legger til en lokal oppføring [user dn (distinguished name)]. Oppføringen opprettes ikke i Control Hub før alle obligatoriske attributter har en verdi.
Mulig årsak
E- e-postadresse for det obligatoriske attributtet mangler. Når du legger til den lokale oppføringen [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], opprettes ikke oppføringen i Control Hub før alle obligatoriske attributter har en verdi.
Løsning
Ett av de obligatoriske attributtene mangler for brukeren [user_email_address ]. Angi de nødvendige verdiene for denne brukeren.
Nestet gruppe vil ikke synkroniseres
Problem
Brukere i en nestet Active Directory -gruppe synkroniseres ikke riktig til skyen.
Mulig årsak
Det brukes et filter som inkluderer både den underordnede gruppen og den overordnet gruppe, noe som ikke støttes. For eksempel: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Løsning
Du må konfigurere filteret som synkroniserer grupper på nytt. For eksempel: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
Brukernavnekonflikt
Problem
Det er en navnekonflikt for [user dn] for et eksisterende skyoppføringsobjekt med navnet: [user e-postadresse], og av brukertype [user_type ].
Mulig årsak
En bruker med den e-postadresse finnes allerede i Control Hub.
Løsning
Opprett en bruker i Active Directory med samme e-postadresse som kontoen du registrerte via Control Hub.
Control Hub
Brukerliste mangler i Control Hub
Problem
Hvis du har en Webex-organisasjon med mer enn 1000 synkroniserte brukere, kan det hende at du ikke ser brukerliste i Control Hub.
Løsning
Du kan bruke søkefunksjonen til å finne en brukerkonto. I Control Hub går du til Brukere , klikk på søk , og angi deretter søkekriterier for å finne en bestemt bruker.
Grupper vil ikke synkroniseres til Control Hub
Problem
Brukere i en kataloggruppe synkroniseres ikke riktig til Control Hub.
Mulig årsak
Gruppen er ikke merket som isCriticalSystemObject i Active Directory.
Løsning
Kontroller at attributtet isCriticalSystemObject er angitt til TRUE i Active Directory.
Aktiver feilsøking for katalogkobling
Du kan aktivere feilsøking for å diagnostisere eventuelle feil du støter på i Directory Connector. Feilsøking lar deg fange opp informasjon om nettverkstrafikken og lagre den i en fil.
Loggfilene som er: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 | Kjør | ||
| 2 | Start tjenesten på nytt. Se Slik starter du tjenester for veiledning. | ||
| 3 | I Katalogkobling klikker du på Instrumentbord . | ||
| 4 | Gå til Handlinger , og klikk deretter . | ||
| 5 | Når feilsøking er aktivert, gjentar du handlingene som forårsaket feilen. dette fanger opp trafikkdataene slik at de kan undersøkes. | ||
| 6 | Undersøk loggfilene: Hvis filen er tom, må du kontrollere at kontoen har tilgangsrettigheter til AD DS eller AD LDS.
| ||
| 7 | Send om nødvendig loggfil til kundestøtte for å få hjelp. | ||
| 8 | Deaktiver feilsøkingsfunksjonen når du er ferdig. |
Start Event Viewer
Hvis du vil se hendelsene som oppstod under en fullstendig eller trinnvis synkronisering, starter du Hendelsesliste. Den viser et sammendrag av administrative hendelser og feillogger.
| 1 | Fra Katalogkobling går du til Instrumentbord , og klikk deretter . Dialogboksen Egenskaper for hendelse viser detaljene for synkroniseringshendelsen og feilinformasjonen. |
| 2 | Fra Event Viewer, gå til .
|
| 3 | Under Handlinger , klikk Lagre alle hendelser som for å eksportere alle loggene som én enkelt hendelsesfil (*.evtx) eller et annet format, for eksempel xml eller csv. |
Hva nå?
Hvis du må åpne en sak, ta kontakt med kundestøtte , beskriv problemet med kontakten, og legg deretter ved hendelser-filen til saken.
| Hendelseslogger registrerer brukerhandlinger. Hvis du vil ha hjelp til å administrere nettverkstrafikk, aktiverer du feilsøking på kontakten. |
Aktiver TLS i Internet Explorer
Hvis du byttet leverandør av engangspålogging (SSO), kan det hende du ser følgende feilmeldinger fra Cisco-katalogkontakt:
Det oppstod en feil ved pålogging til tjenesten
Det har oppstått en feil i skriptet på denne siden
Hvis du ser disse feilene, må du aktivere en TLS-innstilling i nettleseren.
| 1 | Åpne Internet Explorer, og velg deretter Verktøy . Nå merker du av for TLS/SSL-versjonen du vil aktivere. Klikk på OK Lukk nettleseren og åpne den på nytt |
| 2 | Klikk på Alternativer for Internett , gå til Avansert , bla til Sikkerhet . |
| 3 | Sjekk Bruk TLS 1.1 og Bruk TLS 1.2 avmerkingsboksene, og klikk deretter på OK .
|
| 4 | Start systemet på nytt for at endringene skal tre i kraft. |
Feilsøke innloggingsproblemer for tjenestekonto
Hvis du ikke kan logge på Cisco-registerkontakt eller ikke kan kjøre en synkronisering, bruker du disse trinnene for å prøve å løse problemet før du kontakter kundestøtte.
| 1 | Prøv å besøkehttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL i nettleseren din. | ||
| 2 | Velg én, avhengig av resultatene:
| ||
| 3 | Kontroller som et minimum at den konfigurerte kontoen for Cisco DirSync-tjenesten (som finnes i Windows-tjenester) har et rettighetsnivå som gir den tilgang til avatardata og AD-data. Som standard bruker tjenesten påloggingsinformasjonen og autentiseringen for Windows-påloggingskontoen. |
Sjekk SafeDllSearchMode i Windows-registeret
Søkemodus for Safe dynamic link library (DLL) angis som standard i Windows-registret og plasserer brukerens gjeldende katalog senere i DLL-søkefølgen. Hvis denne modusen på en eller annen måte ble deaktivert, kan en angriper plassere en skadelig DLL (kalt det samme som en referert DLL-fil som ligger i systemmappen) i gjeldende arbeidskatalog for programmet.
Vanligvis er SafeDllSearchMode aktivert, men bruk denne fremgangsmåten til å dobbeltsjekke registerinnstillingene.
Før du starter
| Endringer i Windows-registret bør gjøres med ekstrem forsiktighet. Vi anbefaler at du tar en sikkerhetskopi av registeret før du bruker disse trinnene. |
| 1 | I Windows-søk eller Kjør-vinduet skriver du inn regedit og trykk deretter på Gå inn . |
| 2 | Gå til HKEY_ LOKALT_ MASKIN\System\CurrentControlSet\Control\Session Manager . |
| 3 | Velg én:
|
Hvis du vil ha mer informasjon, se Søkerekkefølge for dynamisk koblingsbibliotek .
Oversikt over katalogkobling
Katalogkobling er et lokalt program for identitetssynkronisering i skyen. Du laster ned kontaktprogramvaren fra Control Hub og installerer den på din lokale maskin.
Med Directory Connector kan du vedlikeholde brukerkontoene og dataene i Active Directory, slik at Active Directory blir den eneste kilden til sannhet. Når du gjør en endring lokalt, blir den replikert til skyen.
Se alle funksjonene, beskrivelsene og fordelene i tabellen:
| Funksjon | Beskrivelse og fordel |
|---|---|
| Brukervennlig instrumentbord | Instrumentbordet inneholder en synkroniseringsplan, et sammendrag og status for synkroniseringen, og statusen for katalogkoblingen. Du kan vise instrumentbordet når du logger på. |
| Tørrkjør før synkronisering til skyen | Gjennomfør en tørrkjøring med endringer i katalogen før de implementeres i skyen. Kjør deretter en rapport for å se at endringene du vil gjøre, er de du forventer. |
| Full og trinnvis synkronisering | Synkroniser hele katalogen. Eller bare synkroniser de trinnvise endringene for å spare prosessorstrøm og forkorte synkroniseringstiden. |
Synkronisere flere domener (enkeltskog eller flere skoger) |
Katalogkobling støtter flere domener, enten under én enkelt skog eller under flere skoger (uten behov for AD LDS). For bedrifter med flere Active Directory -domener kan du installere en katalogkobling for hvert domene, binde hvert domene til organisasjonen og deretter synkronisere hver brukerbase til Webex. Control Hub gjenspeiler statusen ved å vise synkroniseringsstatusen for flere katalogkoblinger, lar deg slå av synkronisering for et bestemt domene og deaktivere en katalogkobling i en distribusjon med høy tilgjengelighet . |
| Planlagt synkronisering | Angi en synkroniseringsplan etter dag, time og minutt. |
| LDAP-filtre ( Lightweight Directory Access Protocol ). | Definer LDAP søkekriterier og gi effektiv import. |
| Active Directory -attributter | Tilordne Microsoft Active Directory -attributter til tilsvarende Webex-skyattributter. Du kan tilordne attributter som er relevante for Active Directory -konfigurasjonen din, og også definere egendefinerte attributter som skal tilordnes til skyen. Attributtene fra lokalene danner forskjellige data i skyen, for eksempel brukerkonto , bedriftstelefonnumre i Webex Teams, SIP-adresser for romressurser og andre kontaktkort for brukerkontakt (jobbtittel, avdeling, leder og så videre). |
Bedriftskatalog for lokale romressurser og brukere av Cisco Webex Calling (Cloud PSTN) og bedriftskontakter uten Webex-lisensiering |
Hvis en del av organisasjonen bruker Cisco Webex Calling sky PSTN for samtaletjeneste, eller du har lokale rom-enheter, lar denne funksjonen brukere søke i katalogen etter bedriftskontakter fra sine Cisco Webex Calling telefoner (PSTN i sky) eller romressurser.
|
| Hendelsesvisning | Bruk hendelsesvisningen til å finne ut om det var problemer med synkroniseringen. |
| Diagnoseverktøy og feilsøking | Du kan bruke det innebygde diagnoseverktøyet til å feilsøke distribusjonen av Cisco-registerkoblingen. Hvis synkroniseringen ikke fungerte som den skal, kan det hende du har en konfigurasjons- eller nettverksfeil. Dette verktøyet tester tilkoblingen til Active Directory, slik at du kan diagnostisere feil selv før du kontakter kundestøtte. Når du aktiverer feilsøking i Directory Connector, skrives det logger som kan sendes til teknisk støtte. |
| Automatisk oppgradering | Når du har installert Directory Connector, blir du sendt et varsel hver gang en ny versjon av programvaren er tilgjengelig. Du kan konfigurere automatiske oppgraderinger slik at du alltid bruker den nyeste versjonen av programvaren når en ny versjon utgis. |
| Høy tilgjengelighet | Konfigurer flere kontakter slik at det finnes en sikkerhetskopi, i tilfelle hovedkontakten eller maskinen som er vert for den, går ned. |
Katalogkobling er delt inn i tre områder:
Kontrollhub er det enkle grensesnittet som lar deg administrere alle aspekter av Webex-organisasjonen din: vise brukere, tilordne lisenser, laste ned Directory Connector og konfigurere engangspålogging (SSO) hvis du vil at brukerne skal autentisere seg gjennom bedriftsidentitetsleverandøren og du ikke vil sende e-postinvitasjoner for Webex-appen.
Administrasjonsgrensesnitt for katalogkobling er programvaren du laster ned fra Control Hub og installerer på en klarert Windows-server. For flere Active Directory -domener kan du installere ett øyeblikk av programvaren for hvert domene du vil synkronisere. Ved hjelp av programvaren kan du kjøre en synkronisering for å overføre Active Directory -brukerkontoene dine til Webex, vise og overvåke synkroniseringsstatus og konfigurere Directory Connector-tjenester.
Katalogsynkroniseringstjeneste spør Active Directory for å hente brukere og grupper som skal synkroniseres til koblingstjenesten og katalogkobling.
Se dette diagrammet for å forstå arkitekturen for katalogkobling:
Krav for katalogkobling
Krav til Windows og Active Directory
Du kan installere Directory Connector på disse støttede Windows-serverne:
Windows Server 2012
Windows Server 2019
Windows Server 2016
| For å løse et problem med informasjonskapsler anbefaler vi at du oppgraderer domenekontrolleren til en versjon som inneholder feilrettingen— Windows Server 2012 R2 eller 2016 . |
Katalogkobling støttes med følgende Active Directory -tjenester:
Active Directory 2016
(Katalogkobling støttes når du bruker den nyeste versjonen av Active Directory på Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008
Vær oppmerksom på følgende tilleggskrav:
Katalogkobling krever TLS1.2. Du må installere følgende:
.NET Framework v3.5 (obligatorisk for Directory Connector-programmet. Hvis du støter på problemer, kan du bruke veiledningen i Aktiver .NET Framework 3.5 ved hjelp av veiviseren for å legge til roller og funksjoner .)
.NET Framework v.4.5 (obligatorisk for TLS1.2)
Active Directory -skogfunksjonsnivå 2 (Windows Server 2003) eller høyere er obligatorisk. (Se Hva er funksjonsnivåer i Active Directory ? for mer informasjon.)
Maskinvarekrav
Du må installere Directory Connector på en datamaskin med disse minimumskravene til maskinvare:
8 GB RAM
50 GB lagringsplass
Ingen minimum for CPU
Nettverkskrav
Hvis nettverket ditt er bak en brannmur, må du kontrollere at systemet har HTTPS-tilgang (port 443) til Internett.
Krav til Webex-organisasjon
For å få tilgang til Directory Connector-programvaren fra Control Hub trenger du en Webex-organisasjon med en prøveversjon eller et betalt abonnement.
(Valgfritt) Hvis du vil at nye brukerkontoer for Webex-appen skal være aktive før de logger på første gang, anbefaler vi at du gjør følgende:
Legg til, bekreft og eventuelt gjør krav på domener som inneholder brukerens e-postadresser du vil synkronisere til skyen.
Utfør SSO engangspålogging ). til identitetsleverandøren (IdP) med Webex-organisasjonen din.
Undertrykk automatiske e-postinvitasjoner , slik at nye brukere ikke mottar den automatiske e-postinvitasjonen, og du kan lage din egen e-postkampanje. (Denne funksjonen krever SSO-integrering.)
| Hvis du vil ha mer informasjon, se Brukerstatuser og handlinger i Control Hub . |
Installasjonskrav
For et miljø med flere domener (enten én skog eller flere skoger), må du installere én katalogkobling for hvert Active Directory -domene. Hvis du vil synkronisere et nytt domene (B) mens du opprettholder de synkroniserte brukerdataene på et annet eksisterende domene (A), må du kontrollere at du har en egen støttet Windows-server for å installere Directory Connector for domene (B)-synkronisering.
For å logge på koblingen krever vi ikke en administrativ konto i Active Directory. Vi krever en lokal brukerkonto som er den samme brukeren som en fullstendig administratorkonto i Control Hub.
Denne lokale brukeren må ha rettigheter på den Windows-maskinen for å koble til domenekontrolleren og lese Active Directory -brukerobjekter. Maskinens påloggingskonto må være en administrator med rettigheter til å installere programvare på den lokale maskinen. (Denne informasjonen gjelder også for pålogging for virtuell maskin.)
Når du logger på koblingen, må påloggingskontoen være den samme som den fullstendige administratorkontoen for Control Hub. Som standard bruker koblingen den lokale systemkontoen for å få tilgang til Active Directory. Du kan imidlertid bruke Windows-tjenester til å konfigurere en annen konto for å få tilgang til Active Directory. (Denne informasjonen gjelder også for pålogging for virtuell maskin.)
Kontroller at søkemodusen for Windows Safe DLL (dynamic link library) er aktivert ved hjelp av denne fremgangsmåten: Sjekk SafeDllSearchMode i Windows-registeret .
Hvis du bruker AD LDS for flere domener i én enkelt skog, anbefaler vi at du installerer katalogkobling og Active Directory Domain Service/ Active Directory Lightweight Directory Services (AD DS/AD LDS) på separate maskiner.
Krav til flere domener
Før du følger oppgavene i Oppgaveflyt for distribusjon av Cisco-katalogkontakt , må du huske på følgende krav og anbefalinger hvis du skal synkronisere Active Directory -informasjon fra flere domener til skyen:
Det kreves en egen forekomst av Directory Connector for hvert domene.
Katalogkoblingsprogramvaren må kjøres på en vert som er på samme domene som den skal synkronisere.
Vi anbefaler at du bekrefter eller gjør krav på domenene dine i Control Hub. (Se Legg til, bekreft og gjør krav på domener .)
Hvis du vil synkronisere mer enn 50 domener, må du åpne en billett for å få organisasjonen flyttet til en stor organisasjonsliste.
Om ønskelig kan du synkronisere romressursinformasjon sammen med brukerkontoer. (Se Synkronisere lokal rominformasjon til Webex Cloud .)
Anbefalinger for Active Directory gruppe for automatisk lisenstilordning
Active Directory -grupper brukes til å samle brukerkontoer, datakontoer og andre grupper i administrerbare enheter. Arbeid med grupper i stedet for med individuelle brukere bidrar til å forenkle nettverksvedlikehold og -administrasjon.
Det finnes to typer grupper i Active Directory:
Distribusjonsgrupper – Brukes til å opprette distribusjonslister for e-post.
Sikkerhetsgrupper – Brukes til å tilordne tillatelser til delte ressurser.
Vurder følgende retningslinjer når du oppretter grupper i Active Directory:
Opprett en global gruppe for hver rolle, avdeling eller tjeneste (for eksempel salg, markedsføring, ledere, regnskapsførere, Webex-lisensiering og så videre).
Bruk standard navnekonvensjoner på tvers av organisasjonen for å gjøre det enkelt å identifisere viktig informasjon om en gruppe. Gruppenavn kan inneholde detaljer om gruppen, for eksempel tilgangsnivå, ressurstype, sikkerhetsnivå, gruppeomfang, e-postfunksjon og så videre. for eksempel gruppenavn «GSG_ Webex_ Licensing_ EMEAR» refererer til en global sikkerhetsgruppe for EMEAR-brukere med Webex-lisensiering.
Organiser grupper på en lettfattelig måte, for eksempel etter geografi eller lederhierarki. Bruk gruppebeskrivelser for å fullstendig beskrive formålet med gruppen.
Før du legger til brukere i nylig klargjorte grupper, må du definere malen for automatisk lisensgruppe i Control Hub for disse gruppene. Se Konfigurer malen for automatisk lisenstildeling hvis du vil ha mer informasjon.
Størrelsesinformasjon
Katalogkobling fungerer som en bro mellom den lokale Active Directory og Webex-skyen. Som sådan har ikke koblingen en øvre grense for hvor mange Active Directory -objekter som kan synkroniseres til skyen. Eventuelle begrensninger for lokale katalogobjekter er knyttet til den spesifikke versjonen av og spesifikasjonene for Active Directory -miljøet som synkroniseres til skyen, ikke til selve koblingen.
Noen få faktorer kan påvirke hastigheten på synkroniseringen:
Totalt antall Active Directory -objekter. (En synkroniseringsjobb på 5000 brukere vil ikke ta så lang tid som 50000.)
Nettverkshastighet og båndbredde.
Systemarbeidsmengde og spesifikasjoner.
| Hvis du synkroniserer mer enn 50 000 brukere, anbefaler vi på det sterkeste at du bruker en ny kontakt for failover og redundans. |
| Siden flere faktorer er involvert i synkronisering, og fordi hver distribusjon varierer avhengig av faktorene ovenfor, kan vi ikke oppgi spesifikke tidsverdier for hvor lang tid en objektsynkronisering vil ta. |
Sjekk SafeDllSearchMode i Windows-registeret
Søkemodus for Safe dynamic link library (DLL) angis som standard i Windows-registret og plasserer brukerens gjeldende katalog senere i DLL-søkefølgen. Hvis denne modusen på en eller annen måte ble deaktivert, kan en angriper plassere en skadelig DLL (kalt det samme som en referert DLL-fil som ligger i systemmappen) i gjeldende arbeidskatalog for programmet.
Vanligvis er SafeDllSearchMode aktivert, men bruk denne fremgangsmåten til å dobbeltsjekke registerinnstillingene.
Før du starter
| Endringer i Windows-registret bør gjøres med ekstrem forsiktighet. Vi anbefaler at du tar en sikkerhetskopi av registeret før du bruker disse trinnene. |
| 1 | I Windows-søk eller Kjør-vinduet skriver du inn regedit og trykk deretter på Gå inn . |
| 2 | Gå til HKEY_ LOKALT_ MASKIN\System\CurrentControlSet\Control\Session Manager . |
| 3 | Velg én:
|
Hvis du vil ha mer informasjon, se Søkerekkefølge for dynamisk koblingsbibliotek .
Web-proxy-integrering
Web-proxy-integrering
Hvis nettproxy-autentisering er aktivert i miljøet ditt, kan du fortsatt bruke Katalogkobling.
Hvis organisasjonen bruker en gjennomsiktig nettproxy, støtter den ikke autentisering. Kontakten kobler til og synkroniserer brukere.
Du kan bruke en av disse tilnærmingene:
Eksplisitt nettproxy via Internet Explorer (koblingen arver innstillingene for nettproxy)
Eksplisitt nettproxy via en .pac-fil (koblingen arver bedriftsspesifikke proxy-innstillinger)
Gjennomsiktig proxy som fungerer med kontakten uten endringer
Bruke en nettproxy via nettleseren
Du kan konfigurere Directory Connector til å bruke en web-proxy via Internet Explorer.
Hvis Cisco DirSync-tjenesten kjører fra en annen konto enn den nåværende påloggede brukeren, må du også logge på med denne kontoen og konfigurere nettproxy.
| 1 | Fra Internet Explorer går du til Alternativer for Internett , klikk Tilkoblinger , og velg deretter LAN-innstillinger . | ||
| 2 | Pek på Windows-forekomsten der kontakten er installert på nettproxyen. Koblingen arver disse nettproxy-innstillingene. | ||
| 3 | Hvis miljøet ditt bruker proxy-autentisering, legger du til disse nettadressene i den tillatte listen:
Du kan utføre dette enten for hele nettstedet (for alle verter) eller bare for verten som har koblingen.
| ||
| 4 | Hvis miljøet ditt trenger å be om lister over tilbakekall av sertifikater fra sertifiseringsinstanser, legger du til disse nettadressene i den tillatte listen:
Hvis du vil ha mer informasjon, kan du se denne artikkelen om domener og URL-er som må ha tilgang til for Webex-tjenester . |
Konfigurere Web-proxy gjennom en PAC-fil
Du kan konfigurere en klientnettleser til å bruke en .pac-fil. Denne filen inneholder nettproxyadressen og portinformasjonen. Katalogkobling arver den bedriftsspesifikke nettproxy-konfigurasjonen direkte.
| 1 | For at koblingen skal kunne koble til og synkronisere brukerinformasjon til Webex-skyen, må du kontrollere at proxy-autentisering er deaktivert for | ||
| 2 | Hvis miljøet ditt bruker proxy-autentisering, legger du til disse nettadressene i den tillatte listen:
Du kan utføre dette enten for hele nettstedet (for alle verter) eller bare for verten som har koblingen.
| ||
| 3 | Hvis miljøet ditt trenger å be om lister over tilbakekall av sertifikater fra sertifiseringsinstanser, legger du til disse nettadressene i den tillatte listen:
Hvis du vil ha mer informasjon, kan du se denne artikkelen om domener og URL-er som må ha tilgang til for Webex-tjenester . |
NTLM-proxy
Katalogkobling støtter NT LAN Manager (NTLM) . NTLM er en tilnærming for å støtte Windows-godkjenning mellom domeneenhetene og sikre deres sikkerhet.
NTLM-design
I de fleste tilfeller ønsker en bruker å få tilgang til en annen arbeidsstasjonsressurser via en klient-PC, noe som kan være vanskelig å gjøre på en sikker måte.
Generelt er den tekniske utformingen av NTLM basert på en mekanisme for Utfordring
og Svar
:
En bruker logger på en klient-PC via en Windows-konto og et passord. Passordet lagres aldri lokalt. I stedet for et passord i ren tekst, lagres en hash-verdi for passordet lokalt. Når en bruker logger på klienten via passordet, sammenligner Windows OS den lagrede hashverdien og hashverdien fra inndatapassordet. Hvis begge er like, godkjennes godkjenningen.
Når brukeren ønsker å få tilgang til en ressurs på en annen server, sender klienten en forespørsel til serveren med kontonavn i ren tekst.
Når serveren mottar forespørselen, genererer serveren en 16-biters tilfeldig nøkkel. Nøkkelen heter Challenge (eller Nonce). Før serveren sender tilbake til klienten, lagres utfordringen på serveren. Og så sender serveren utfordringen til klienten i ren tekst.
Så snart klienten mottar utfordringen sendt fra serveren, krypterer klienten utfordringen med hash-verdien som ble nevnt i trinn 1. Etter kryptering sendes verdien tilbake til serveren.
Når serveren mottar den krypterte verdien fra klienten, sender serveren den til domenekontrolleren for verifisering. Forespørselen inkluderer: kontonavn, kryptert utfordring som klienten sendte, og den opprinnelige vanlige utfordringen.
Domenekontrolleren kan hente hashverdiene for passord i henhold til kontonavn. Og så kan domenekontrolleren kryptere på den opprinnelige utfordringen. Doman-kontrolleren kan deretter sammenligne med den mottatte hashverdien og den krypterte hashverdien. Hvis de er de samme, er bekreftelsen vellykket.
| Windows har sikkerhetsautentisering innebygd i operativsystem, noe som gjør det enklere for programmer å støtte sikkerhetsautentisering. Som et resultat av dette trenger du ikke fullføre ytterligere konfigurasjon. |
Konfigurer gjennomsiktig proxy
I dette scenariet er nettleseren ikke klar over at en gjennomsiktig nettproxy fanger opp http-forespørsler (port 80/port 443), og det kreves ingen konfigurasjon på klientsiden.
| 1 | Distribuer en gjennomsiktig proxy, slik at koblingen kan koble til og synkronisere brukere. |
| 2 | Bekreft at proxyen er vellykket – du ser et forventet hurtigmenyvindu for nettleserautentisering når du starter koblingen. |
Angi proxy-autentisering
Legg til nettadressen cloudconnector.webex.com til den tillatte listen ved å opprette en tilgangskontrollliste.
På bedriftens brannmurserver:
| 1 | Aktiver DNS-oppslag hvis det ikke allerede er aktivert. |
| 2 | Bestem en estimert båndbredde for denne tilkoblingen (ca. 2 MB/s eller mindre for kontakten). Dette er kanskje ikke nødvendig. |
| 3 | Opprett en tilgangskontrollliste som skal brukes på koblingsverten, og angi For eksempel: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
| 4 | Bruk denne tilgangskontrollisten på riktig brannmurgrensesnitt, som bare gjelder for denne verten med én kobling. |
| 5 | Kontroller at resten av vertene i bedriften fortsatt er pålagt å bruke nettproxyen ved å konfigurere den riktige implisitte deny-setningen. |
Oppgaveflyt for distribusjon av Cisco-katalogkontakt
Før du starter
| 1 | Installere Directory Connector Control Hub viser først katalogsynkronisering som deaktivert. Hvis du vil aktivere katalogsynkronisering for organisasjonen, må du installere og konfigurere Katalogkobling, og deretter utføre en fullstendig synkronisering. For en ny installasjon av Directory Connector går du alltid til Control Hub (https://admin.webex.com ) for å få den nyeste versjonen av programvaren, slik at du bruker de nyeste funksjonene og feilrettingene. Når du har installert programvaren, rapporteres oppgraderinger gjennom programvaren og installeres automatisk når de er tilgjengelige. |
| 2 |
Logg på med Webex- administrator og utfør det første oppsettet. |
| 3 | Angi automatiske oppgraderinger Det er alltid viktig å holde Directory Connector-programvaren oppdatert til den nyeste versjonen. Vi anbefaler at du bruker denne fremgangsmåten for å la automatiske oppgraderinger av programvaren installeres lydløst når de er tilgjengelige. |
| 4 | Velg Active Directory -objekter som skal synkroniseres Som standard synkroniserer Katalogkobling alle brukere som ikke er datamaskiner, og alle grupper som ikke er kritiske systemobjekter for et domene. Hvis du vil ha mer kontroll over hvilke objekter som skal synkroniseres, kan du velge bestemte brukere som skal synkroniseres og angi LDAP-filtre ved hjelp av siden Objektvalg i Katalogkobling. |
| 5 |
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen. Det eneste obligatorisk felt er *uid. |
| 6 | Synkroniser katalogavatarer ved hjelp av en av følgende fremgangsmåter:
Du kan synkronisere brukernes avatarer til skyen, slik at hver brukers avatar vises når de logger på applikasjonen. Du kan synkronisere avatarer fra et Active Directory -attributt eller en ressursserver. |
| 7 | Synkronisere lokal rominformasjon til Webex Cloud Bruk denne fremgangsmåten til å synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte romenheter, for eksempel en Webex Room-enhet eller Cisco Webex Board |
| 8 | Til Klargjøre brukere fra Active Directory til Control Hub , utfør disse trinnene:
Følg denne sekvensen for å klargjøre Active Directory -brukere for Webex-appkontoer. Du kan klargjøre brukere fra Active Directory -distribusjon for flere skoger eller flere domener for Directory Connector 3.0 og nyere. I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Målet er å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen. |
Installere Directory Connector
Control Hub viser først katalogsynkronisering som deaktivert. Hvis du vil aktivere katalogsynkronisering for organisasjonen, må du installere og konfigurere Katalogkobling, og deretter utføre en fullstendig synkronisering.
Du må installere én kobling for hvert Active Directory -domene du vil synkronisere. En enkelt Directory Connector-forekomst kan bare betjene ett enkelt domene. Se diagrammet nedenfor for å forstå flyten for domenesynkronisering:
Før du starter
Hvis du autentiserer via en proxy-server, må du kontrollere at du har proxy-legitimasjonen din:
For grunnleggende proxy-godkjenning skriver du inn brukernavn og passord etter at du har installert en forekomst av koblingen. Proxykonfigurasjon for Internet Explorer er også nødvendig for grunnleggende godkjenning. se Bruke en nettproxy via nettleseren
For proxy NTLM kan det hende at du ser en feilmelding når du åpner kontakten for første gang. Se Bruke en nettproxy via nettleseren .
| 1 | I Kontrollhub , gå til , og velg Neste . | ||
| 2 | Klikk på Last ned og installer koblingen for å lagre den nyeste versjonen av .zip-filen for connectorinstallasjon på VMware- eller Windows-serveren. Du kan hente ZIP-filen direkte fra denne koblingen , men du må ha full administrativ tilgang til en Control Hub-organisasjon for at denne programvaren skal fungere.
| ||
| 3 | På VMware- eller Windows-serveren pakker du ut og kjører .msi-filen i installasjonsmappen for å starte installasjonsveiviseren. | ||
| 4 | Klikk på Neste , merk av i boksen for å godta lisensavtale, og klikk deretter på Neste til du ser skjermen for kontotype. | ||
| 5 | Velg typen tjenestekonto du vil bruke, og utfør installasjonen med en administratorkonto:
For å unngå feil må du kontrollere at følgende rettigheter er på plass:
| ||
| 6 | Klikk på Installer. Når nettverkstesten er kjørt, og hvis du blir bedt om det, skriver du inn den grunnleggende legitimasjonen for proxyen, klikker på OK , og klikk deretter Fullfør . |
Hva nå?
Vi anbefaler at du starter serveren på nytt etter installasjonen. Tørrkjøringsrapporten kan ikke vise riktig resultat når dataene ikke ble utgitt. Under omstart av maskinen oppdateres alle data for å vise et nøyaktig resultat i rapporten.
Logg på katalogkobling
Før du starter
Kontroller at du har proxy-legitimasjonen din.
For proxy basic-auth skriver du inn brukernavn og passord etter at du åpner koblingen for første gang.
For proxy-NTLM åpner du Internet Explorer, klikker på tannhjulikonet og går til Alternativer for Internett > Tilkoblinger > LAN-innstillinger , kontroller at informasjonen om proxy-server er lagt til, og klikk deretter på OK . Se Bruke en nettproxy via nettleseren .
| 1 | Åpne kontakten, og legg til | ||||
| 2 | Hvis du blir bedt om det, logger du på med påloggingsinformasjonen for proxy-autentisering, og deretter logger du på Webex ved hjelp av administratorkontoen din og klikker på Neste . | ||||
| 3 | Bekreft organisasjonen og domenet.
| ||||
| 4 | Etter at Bekreft organisasjon skjermen vises, klikker du på Bekreft . Hvis du allerede har bundet AD DS/AD LDS, vil Bekreft organisasjon skjermen vises. | ||||
| 5 | Klikk på Bekreft . | ||||
| 6 | Velg ett, avhengig av hvor mange Active Directory -domener du vil binde til Directory Connector:
|
Hva nå?
Når du har logget på, blir du bedt om å utføre en tørrkjøringssynkronisering.
Instrumentbord for katalogkobling
Første gang du logger deg på Directory Connector, vises instrumentbordet. Her kan du vise et sammendrag av alle synkroniseringsaktiviteter, vise skystatistikk, utføre en tørrkjøringssynkronisering, starte en full eller trinnvis synkronisering og starte hendelsesvisningen for å se feilinformasjon.
| Hvis økten blir tidsavbrutt, må du logge på igjen. |
Du kan enkelt kjøre disse oppgavene fra verktøylinjen for handlinger eller menyen for handlinger.
Komponent | Beskrivelse |
|---|---|
Gjeldende synkronisering |
Viser statusinformasjonen om synkroniseringen som pågår for øyeblikket. Når ingen synkronisering kjøres, er statusvisningen inaktiv. |
Neste Synkronisering |
Viser de neste planlagte fullstendige og trinnvise synkroniseringene. Hvis det ikke er angitt noen tidsplan, Ikke planlagt vises. |
Siste synkronisering |
Viser statusen for de to siste synkroniseringene som ble utført. |
Gjeldende synkroniseringsstatus |
Viser den generelle statusen for synkroniseringen. |
Koblinger |
Viser de gjeldende lokale kontaktene som er tilgjengelige for skyen. |
Skystatistikk |
Viser den generelle statusen for synkroniseringen. |
Tidsplan for synkronisering |
Viser synkroniseringsplanen for trinnvis og full synkronisering. |
Sammendrag av konfigurasjon |
Viser innstillingene du endret i konfigurasjonen. Sammendraget kan for eksempel inneholde følgende:
|
| Handling | Beskrivelse | ||
|---|---|---|---|
| Start trinnvis synkronisering | Start en trinnvis synkronisering manuelt
|
||
Synkroniser tørrkjøring |
Utfør en tørrkjøringssynkronisering. |
||
Start Event Viewer |
Start Microsoft Event Viewer. |
||
Oppdater |
Oppdater instrumentbordet for Cisco-registerkontakt |
Handling | Beskrivelse |
|---|---|
| Synkroniser nå | Start en full synkronisering umiddelbart. |
Synkroniseringsmodus |
Velg enten trinnvis eller full synkroniseringsmodus. |
Tilbakestill kontakthemmeligheten |
Etablere en samtale mellom Cisco-registerkontakt og kontakttjenesten. Hvis du velger denne handlingen, tilbakestilles hemmeligheten i skyen, og deretter lagres hemmeligheten lokalt. |
Tomkjøring |
Utfør en test av synkroniseringsprosessen. Du må gjøre en tørrkjøring før du utfører en full synkronisering. |
Feilsøking |
Slå feilsøking på/av. |
Oppdater |
Oppdater hovedskjerm for Cisco-katalogkontakt. |
Avslutt |
Avslutt Cisco-katalogkontakt. |
Tastekombinasjon | Handling |
|---|---|
Alt +A |
Vis Handlinger -menyen |
|
Synkronisering nå |
|
Tilbakestill kontakthemmeligheten |
|
Tørrløp |
|
Inkrementell synkronisering |
|
Full synkronisering |
|
Vis Hjelp -menyen |
|
Hjelp |
|
Om |
|
Vanlige spørsmål |
Angi automatiske oppgraderinger
| 1 | Fra Katalogkobling går du til , og kontroller Oppgrader automatisk til den nye versjonen av Cisco Directory Connector . |
| 2 | Klikk på Bruk for å lagre endringene. |
Nye versjoner av kontakten installeres automatisk når de er tilgjengelige.
| Du kan administrere oppgraderinger manuelt hvis du foretrekker det. Se Oppgrader til den nyeste programvareversjonen hvis du vil ha mer informasjon. |
Velg Active Directory -objekter som skal synkroniseres
Som standard synkroniserer Katalogkobling alle brukere som ikke er datamaskiner, og alle grupper som ikke er kritiske systemobjekter for et domene. Hvis du vil ha mer kontroll over hvilke objekter som skal synkroniseres, kan du velge bestemte brukere som skal synkroniseres og angi LDAP-filtre ved hjelp av siden Objektvalg i Katalogkobling.
Grupper for automatisk lisenstilordning
Control Hub lar deg administrere lisenstildelinger for hver gruppe. Du kan opprette lisensmaler og tilordne dem til Active Directory -grupper som du synkroniserer til skyen. Når brukeren opprettes, kontrollerer Webex brukermedlemskap og automatisk tilordning av lisensmaler for den nye brukeren.
Vi anbefaler at du bruker et LDAP-filter for bare å synkronisere relevante grupper til skyen. Du kan for eksempel angi filteret til:
(&(cn=Example)(objectclass=Group))*
Dette filteret synkroniserer alle grupper i base-DN der navnet begynner med Eksempel. Brukere som ikke er tilordnet grupper, tilordnes lisenser fra den standard automatiske lisensmalen du konfigurerte i Control Hub.
Grupper for hybrid distribusjon av datasikkerhet
I Katalogkobling må du sjekke Grupper hvis du bruker Hybrid Data Security til å konfigurere en prøvegruppe for pilotbrukere. Se Distribusjonsveiledning for hybrid datasikkerhet for veiledning. Denne Katalogkobling-innstillingen påvirker ikke andre brukeres synkronisering til skyen.
| 1 | Fra Katalogkobling går du til Konfigurasjon , og klikk deretter Objektvalg . | ||
| 2 | I Objekttype seksjon, sjekk Brukere , og vurder å begrense antall søkbare beholdere for brukere. Hvis du for eksempel bare vil synkronisere brukere i en bestemt gruppe, må du angi et LDAP-filter i Brukere Felt for LDAP-filtre. Hvis du vil synkronisere brukere som er i Eksempelbehandler-gruppen, bruker du et filter som dette:
| ||
| 3 | Sjekk Identifiser rom for å skille romdata fra brukerdata. Klikk på Tilpass hvis du vil konfigurere flere attributter for å identifisere brukerdata som romdata. Bruk denne innstillingen hvis du vil synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte romenheter. Hvis du vil ha mer informasjon, se Synkronisere lokal rominformasjon til Webex Cloud . | ||
| 4 | Sjekk Grupper hvis du vil synkronisere Active Directory -brukergruppene til skyen. Ikke legg til et LDAP-filter for brukersynkronisering i Grupper-feltet. Du bør bare bruke Grupper-feltet til å synkronisere selve gruppedataene til skyen.
| ||
| 5 | Sjekk Kontakter hvis du vil synkronisere kontaktinformasjon til brukerne til skyen.
| ||
| 6 | Konfigurer LDAP filtre. Du kan legge til utvidede filtre ved å oppgi et gyldig LDAP-filter. Se denne artikkelen hvis du vil ha mer informasjon om konfigurering av LDAP-filtre. | ||
| 7 | Angi On Premises base-DN-er som skal synkroniseres ved å klikke Velg for å se trestrukturen til Active Directory. Herfra kan du velge eller oppheve merkingen av hvilke beholdere du vil søke på. | ||
| 8 | Kontroller at objektene du vil legge til for denne konfigurasjonen, og klikk på Velg . Du kan velge individuelle eller overordnede beholdere som skal brukes til synkronisering. Velg en overordnet beholder for å aktivere alle underordnede beholdere. Hvis du velger en underordnet beholder, viser den overordnede beholderen en grå hake som angir at en underordnet beholder er blitt kontrollert. Deretter kan du klikke Velg for å godta Active Directory -beholderne du sjekket. Hvis organisasjonen plasserer alle brukere og grupper i Brukere-beholderen, trenger du ikke å søke i andre beholdere. Hvis organisasjonen er delt inn i organisasjonsenheter, må du kontrollere at du velger OE . | ||
| 9 | Klikk på Bruk. Velg et alternativ:
Hvis du vil ha informasjon om tørrkjøringer, se Utfør en tørrkjøringssynkronisering på Active Directory -brukere . For gruppesynkronisering må du utføre en full synkronisering: Utfør en fullstendig synkronisering av Active Directory -brukere til skyen . |
Tilordne brukerattributter
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen. Det eneste obligatorisk felt er *uid, en unik identifikator for hver brukerkonto i skyidentitetstjenesten.
Du kan velge hvilket Active Directory -attributt som skal tilordnes til skyen – du kan for eksempel tilordne firstName lastName i Active Directory eller et egendefinert attributtuttrykk til displayName i skyen.
| Kontoer i Active Directory må ha en e-postadresse. uid-en tilordnes som standard til |
Hvis du velger å la det foretrukne språket komme fra Active Directory, er Active Directory den eneste kilden til sannhet: brukere vil ikke kunne endre språkinnstillingen i Webex-innstillinger, og administratorer vil ikke kunne endre innstillingen i Control Hub.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tilordning av brukerattributter . Denne siden viser attributtnavnene for Active Directory (til venstre) og Webex-skyen (til høyre). Alle obligatoriske attributter er merket med en rød stjerne. | ||||
| 2 | Bla ned til bunnen av Active Directory -attributtnavn , og velg deretter ett av disse Active Directory -attributtene som skal tilordnes til skyattributtet uid :
Du kan tilordne alle de andre Active Directory -attributtene til uid, men vi anbefaler at du bruker e-post eller userPrincipalName, som dekket i retningslinjene ovenfor. I noen tilfeller brukes userPrincipalName til pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. Du må sørge for at e-postadresse for kalenderbehandling er tilordnet til det primære e-postadresse i Webex. Legg til userPrincipalName som en alternativ e-postadresse. Hvis du vil se hvilke attributter i Active Directory tilsvarer i skyen, kan du se Tilordning av Active Directory -attributter i Directory Connector .
| ||||
| 3 | Hvis de forhåndsdefinerte Active Directory -attributtene ikke fungerer for distribusjonen, klikker du på rullegardinlisten for attributt, blar til bunnen og velger Tilpass attributt for å åpne et vindu som lar deg definere et attributtuttrykk.
I dette eksemplet skal vi tilordne Active Directory -attributtene
| ||||
| 4 | (Valgfritt) Velg tilordninger for mobil og telefonnummer hvis du vil at mobil- og jobbnumre skal vises, for eksempel i brukerens kontaktkort i Webex-appen. telefonnummer vises i Webex-appen når en bruker holder pekeren over en annen brukers profilbilde. Hvis du vil ha mer informasjon om å ringe fra en brukers kontaktkort, se Installasjonsveiledning for å anrope Webex (Unified CM) . (administratorer). | ||||
| 5 | Velg flere tilordninger for at flere data skal vises i kontaktkort:
Etter at attributtene er tilordnet, vises informasjonen når en bruker holder pekeren over en annen brukers profilbilde:
Hvis du vil ha mer informasjon om kontaktkort, kan du se Bekreft hvem du kontakter . Når disse attributtene er synkronisert til hver brukerkonto, kan du også slå på People Insights i Control Hub. Denne funksjonen lar brukere av Webex-appen dele mer informasjon i profilene sine og lære mer om hverandre. Hvis du vil ha mer informasjon om funksjonen og hvordan du aktiverer den, kan du se People Insights -profiler for Webex, Jabber, Webex Meetings og Webex Events (ny) i Control Hub | ||||
| 6 | Når du har gjort valgene, klikker du Bruk . |
Alle brukerdata som finnes i Active Directory, overskriver dataene i skyen som tilsvarer denne brukeren. Hvis du for eksempel opprettet en bruker manuelt i Control Hub, må brukerens e-postadresse være identisk med e-postadressen i Active Directory. Alle brukere som ikke har en tilsvarende e-postadresse i Active Directory , slettes.
| Slettede brukere beholdes i skyidentitetstjenesten i syv dager før de slettes permanent. |
Active Directory og skyattributter
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen ved hjelp av Tilordning av brukerattributter -fanen.
Denne tabellen sammenligner tilordningen mellom Active Directory -attributtnavn og Cisco Cloud -attributtnavn. Disse verdiene og tilordningene er standardinnstilling i Katalogkobling. Du kan velge forskjellige attributter i Active Directory -rullegardinlistene og bestemme hvilket lokale attributt som skal synkroniseres med hvilket skyattributt.
Se på rullegardinattributtene som forhåndsinnstillinger. Som et alternativ til verdiene i Active Directory -raden kan du også angi et tilpasset attributt, din egen forhåndsinnstilling, i Active Directory (et uttrykk med flere attributter) for å tilordne et enkelt skyattributt i den tilsvarende raden. På denne måten har du fleksibilitet til å bestemme visningsnavnene til brukerne dine – du kan for eksempel legge til et uttrykk som oppretter et tilpasset attributt basert på ansatttittel, fornavn og etternavn i Active Directory.
Du kan også angi hvilke som helst av Active Directory -attributtene som skal tilordnes til uid i skyen. Du må imidlertid sørge for at det lokale attributtet følger et gyldig e-postformat.
| Du kan også bruke alternative e-postadresser, hvis du for eksempel vil bruke userPrincipalName for pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. I dette tilfellet tilordner du en annen e-postadresse til e-poster;type-arbeid attributtet. Dette er e-postadressen som brukes til autentisering. den brukes ikke til å administrere kalenderen din. e-postadresse du tilordner fra AD, må være fra et bekreftet domene i organisasjonen din, og den må være unik og ikke tilordnet en annen bruker. |
Navn på Active Directory -attributter | Navn på Webex-skyattributter | Merknader |
|---|---|---|
— |
buildingName |
— |
c |
c |
Dette attributtet angir brukerens landsforkortelse. |
avdelingsnummer |
avdelingsnummer |
Dette attributtet brukes for brukerens avdelingsnummer som vises i kontaktkort og personinnsikt . |
visningsnavn |
visningsnavn |
Dette attributtet brukes for visningsnavn for brukerkonto som vises i Control Hub, den kontaktkort , og personinnsikt . |
userAccountControl |
ds-pwp-account-disabled |
Dette attributtet brukes til brukersynkronisering. Kontroller at userAccountControl attributtet er tilordnet til ds-pwp-account-disabled ellers blir ikke brukerne synkronisert riktig. |
ansattnummer |
ansattnummer |
— |
ansattType |
ansattType |
Denne verdien brukes for ansatttypen bruker som vises i kontaktkort og personinnsikt . |
fakstelefonnummer |
fakstelefonnummer |
— |
givenName |
givenName |
Dette attributtet brukes for brukerkonto fornavn som vises i Control Hub, den kontaktkort , og personinnsikt . |
— |
jabberID |
Dette skyattributtet er relatert til direktemeldingsadresser (XMPP-type) som brukes av Jabber. Denne verdien er ikke det samme som sipAddresses. |
l |
l |
Dette attributtet angir byen til brukeren. |
— |
språk |
— |
administrator |
administrator |
Dette attributtet brukes for brukerens ledernavn som vises i kontaktkort og personinnsikt . |
Mobil |
Mobil |
Dette attributtet brukes som mobilnummer som vises for ringe brukeren fra kontaktkort . |
o |
o |
Dette attributtet angir navnet på selskapet eller organisasjonen. |
ou |
ou |
Dette attributtet angir navnet på organisasjonsenheten. |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Dette attributtet angir brukerens kontorplassering. |
postnummer |
postnummer |
Dette attributtet angir brukerens postnummer eller postnummer for fysisk postlevering. |
foretrukket språk |
foretrukket språk |
Dette attributtet angir brukerens foretrukne språk, og følgende formater støttes: xx_YY eller xx-YY. Her er noen eksempler: en_USA,en_ GB, fr-CA. Hvis du bruker et språk som ikke støttes eller ugyldig format, endres brukernes foretrukne språk til språket som er angitt for organisasjonen. |
MSRTCSIP-PrimaryUserAddress iPhone |
SipAddresses;type=bedrift |
Dette attributtet brukes til å synkronisere lokal rominformasjon fra Active Directory til Cisco Webex skyen. |
sn |
sn |
Dette attributtet brukes for brukerkonto etternavn som vises i Control Hub, den kontaktkort , og personinnsikt . |
st |
st |
Dette attributtet angir delstaten eller provinsen til brukeren. |
gateadresse |
gate |
Dette attributtet angir gateadressen til brukeren for fysisk postlevering. |
telefonnummer |
telefonnummer |
Dette attributtet angir brukerens primære telefonnummer (jobb) som brukes til ringe brukeren fra kontaktkort . |
— |
tidssonen |
Dette skyattributtet angir brukerens tidssone. |
tittel |
tittel |
Dette attributtet angir brukertittelen som vises i kontaktkort og personinnsikt . |
type |
bedrift |
— |
*e-post *userPrincipalName |
uid |
En obligatorisk attributtilordning. For hver brukerkonto tilordnes Active Directory -verdien til en unik uid i skyen. I noen tilfeller brukes userPrincipalName til pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. Du må sørge for at e-postadresse for kalenderbehandling er tilordnet til det primære e-postadresse i Webex. Legg til userPrincipalName som en alternativ e-postadresse. Brukeren kan deretter bruke en av disse e-postadressene til å logge på, så lenge de er riktige SAML-attributtilordning er på plass. Se eksempel på attributtilordning nedenfor for hvordan du kan tilordne en alternativ e-postadresse. |
*userPrincipalName *e-post <custom attribute=""> |
e-poster;type-arbeid |
Denne tilordningen er valgfri. Bruk den hvis du vil bruke alternative e-postadresser. Dette er e-postadressen som brukes til autentisering. den brukes ikke til å administrere kalenderen din. e-postadresse du tilordner fra AD, må være fra et bekreftet domene i organisasjonen din, og den må være unik og ikke tilordnet en annen bruker. |
<New attribute="" for="" Azure="" user="" objectId=""> |
ekstern ID |
Opprett et nytt Active Directory -attributt for å holde Azure-brukerobjekt-ID-en, slik at den ikke kolliderer med en eksisterende. Dette attributtet tilordnes deretter til externalId-attributtet, og sikrer at når Webex-brukere opprette grupper i Microsoft 365, oppretter de automatisk team i Webex . |
Alternativ e-postadresse
Uttrykk for tilpassede attributter
Operatør | Beskrivelse og eksempel |
|---|---|
% | Fjerner alle tegn fra begynnelsen av strengen til plasseringen av tegnet eller strengargumentet, hvis det samsvarer.
|
– | Fjerner baksiden av inndatastrengen fra enden av den angitte strengen.
|
+ | Setter sammen inndatastrenger eller -uttrykk.
|
| | Evaluerer de atskilte uttrykkene mot den tomme strengen, og velger det første ikke-tomme resultatet.
|
Synkronisere katalogavatarer fra et Active Directory -attributt til skyen
Du kan synkronisere brukernes katalogavatarer til skyen, slik at hver avatar vises når de logger på Webex-appen. Bruk denne fremgangsmåten til å synkronisere rå avatardata fra et Active Directory -attributt.
| 1 | Fra Katalogkobling går du til Konfigurasjon , klikk Avatar , og kontroller Aktiver . |
| 2 | For Hent avatar fra , velg AD-attributt , og velg deretter Avatar-attributt som inneholder råavatardataene du vil synkronisere til skyen. |
| 3 | Hvis du vil bekrefte at avataren brukes på riktig måte, skriver du inn en brukers e-postadresse og klikker på Hent brukerens avatar . Avataren vises til høyre. |
| 4 | Når du har bekreftet at avataren ble vist riktig, klikker du Bruk for å lagre endringene. |
Bildene som synkroniseres, blir standardavatar for brukere i Webex-appen. Brukere har ikke tillatelse til å angi sin egen avatar etter at denne funksjonen er aktivert fra Katalogkobling.
Brukeravatarene synkroniseres til både Webex-appen og eventuelle samsvarende kontoer på Webex-nettsted.
Hva nå?
Gjør en tørrkjøringssynkronisering; Hvis det ikke er noen problemer, kan du utføre en fullstendig synkronisering for å få Active Directory -brukerkontoene og avatarene til å synkroniseres til skyen og vises i Control Hub.
Synkronisere katalogavatarer fra en ressursserver til skyen
Du kan synkronisere brukernes katalogavatarer til skyen, slik at hver avatar vises når de logger på Webex-appen. Bruk denne fremgangsmåten til å synkronisere avatarer fra en ressursserver.
Før du starter
URI-mønsteret og variabelverdien i denne prosedyren er eksempler. Du må bruke faktiske nettadresser der katalogavatarene dine er plassert.
Avatar-URI-mønsteret og serveren der avatarene ligger, må kunne nås fra Directory Connector-programmet. Koblingen trenger http- eller https-tilgang til bildene, men bildene trenger ikke å være offentlig tilgjengelige på Internett.
Synkroniseringen av avatardata er atskilt fra Active Directory -brukerprofilene. Hvis du kjører en proxy, må du sørge for at avatardataene er tilgjengelige via NTLM-autentisering eller basic-auth.
| 1 | Fra Katalogkobling går du til Konfigurasjon , klikk Avatar , og kontroller Aktiver . |
| 2 | For Hent avatar fra , velg Ressursserver og angi deretter Avatar-URI-mønster – For eksempel La oss se på hver del av avatarens URI-mønster og hva de betyr:
|
| 3 | (Valgfritt) Hvis ressursserveren krever legitimasjon, kontrollerer du Angi påloggingsinformasjon for avatar , og velg deretter enten Bruk gjeldende bruker for tjenestepålogging eller Bruk denne brukeren og angi passordet. |
| 4 | Skriv inn Variabelverdi – For eksempel: |
| 5 | Klikk på Test for å kontrollere at avatarens URI-mønster fungerer som det skal. I dette eksemplet, hvis e-postverdien for én AD-oppføring er |
| 6 | Når URI-informasjonen er bekreftet og ser riktig ut, klikker du Bruk . Hvis du vil ha detaljert informasjon om bruk av regulære uttrykk, kan du se hurtigreferanse for Microsoft Regular Expression-språk . |
Bildene som synkroniseres, blir standardavatar for brukere i Webex-appen. Brukere har ikke tillatelse til å angi sin egen avatar etter at denne funksjonen er aktivert fra Katalogkobling.
Brukeravatarene synkroniseres til både Webex-appen og eventuelle samsvarende kontoer på Webex-nettsted.
Hva nå?
Gjør en tørrkjøringssynkronisering; Hvis det ikke er noen problemer, kan du utføre en fullstendig synkronisering for å få Active Directory -brukerkontoene og avatarene til å synkroniseres til skyen og vises i Control Hub.
Synkronisere lokal rominformasjon til Webex Cloud
Bruk denne fremgangsmåten til å synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte Webex-enheter (Room, Desk og Board).
| 1 | Fra Katalogkobling går du til Synkroniser , klikk på mer | ||
| 2 | Sjekk Synkroniser rominformasjon til skyen for å skille romdataene fra brukerdataene under synkronisering. Når denne innstillingen er deaktivert, behandles romdata på samme måte som brukersynkroniserte data. | ||
| 3 | Gå til Attributttilordning , og endre deretter attributttilordningen for skyattributtet sipAddresses;type=bedrift .
| ||
| 4 | Opprett en romressurs-postboks i Exchange. Dette legger til msExchResourceMetaData;ResourceType:Room -attributtet som koblingen deretter bruker til å identifisere rom.
| ||
| 5 | Gå til og rediger egenskapene for rommet fra Active Directory -brukere og datamaskiner. Legg til den fullstendige SIP-URI med prefikset sip:
| ||
| 6 | Utfør en tørrkjøringssynkronisering og deretter en fullstendig synkroniseringskjøring i kontakten. De nye romobjektene vises Objekter lagt til og samsvarende romobjekter vises i Objekter matchet i tørrkjøringsrapporten. Alle romobjekter som er flagget for sletting, er under Rom slettet .
Tørrkjøringsresultatene viser eventuelle romressurser som ble matchet.
Denne innstillingen skiller Active Directory -romdata (inkludert rommets attributt) fra brukerdata. Når synkroniseringen er fullført, viser skystatistikken på koblingsinstrumentbordet romdata som ble synkronisert til skyen.
|
Hva nå?
Nå som du har gjort disse trinnene, vil du se de synkroniserte romoppføringene som er konfigurert med SIP-adresser, når du gjør et søk på en Webex-skyregistrert enhet. Når du foretar et anrop fra Webex-enheten på den oppføringen, foretas et anrop til SIP-adressen som ble konfigurert for rommet.
Fra Control Hub kan du importere rom fra katalogen automatisk og opprette arbeidsområder.
| Endepunktet kan ikke sløyfe et tilbakeringing til Webex-appen. For testoppringingsenheter må disse enhetene være registrert som en SIP-URI lokalt eller et annet sted enn Webex-appen. Hvis romsystem for Active Directory du søker etter er registrert for Webex og den samme e-postadresse finnes på Webex Room-enhet, Skrivebordsenhet eller Webex Board for Calendar Service, viser ikke søkeresultatene den dupliserte oppføringen. Rom-, skrivebords- eller tavleenheten ringes opp direkte i Webex-appen, og det foretas ingen SIP-samtale . |
Send e-postrapporter om katalogsynkroniseringsresultater
Som standard mottar organisasjonens kontakter eller administratorer alltid e-postvarsler. Med denne innstillingen kan du tilpasse hvem som skal motta e-postvarsler som oppsummerer katalogsynkroniseringsrapporter.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Varsel . |
| 2 | Fra Katalogkobling klikker du på Innstillinger , og ved siden av E-postmottaker , slå på Aktiver synkronisering av rapport . |
| 3 | Sjekk Aktiver varsling hvis du vil overstyre standard varslingsatferd og legge til én eller flere e-postmottakere. |
| 4 | Klikk på Legg til og angi en e-postadresse. Hvis du skriver inn en e-postadresse med ugyldig format, vises en melding som ber deg om å løse problemet før du kan lagre og bruke endringene. |
| 5 | Klikk på Legg til e-post og angi en e-postadresse. Hvis du skriver inn en e-postadresse med ugyldig format, vises en melding som ber deg om å løse problemet før du kan lagre og bruke endringene. |
| 6 | Hvis du må redigere e-postadresser du oppga, dobbeltklikk du på e-postoppføringen i venstre kolonne, og deretter gjør du eventuelle endringer. |
| 7 | Når du har lagt til alle de gyldige e-postadressene, klikker du på Bruk . |
| 8 | Når du har lagt til alle de gyldige e-postadressene, klikker du på Lagre . |
Hva nå?
Hvis du bestemte deg for at du vil fjerne e-postadresser, kan du klikke på en e-post for å utheve denne oppføringen og deretter klikke Fjern .
Hvis du bestemte deg for at du vil fjerne e-postadresser, kan du klikke på Fjern ved siden av bestemte e-postadresse .
Klargjøre brukere fra Active Directory til Control Hub
Følg denne fremgangsmåten for å klargjøre Active Directory -brukere og opprette tilsvarende brukerkontoer i Control Hub. Du kan klargjøre brukere fra en Active Directory -distribusjon for flere domener (med enten én enkelt skog eller flere skoger) etter at du har installert en katalogkobling per domene. I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Målet er å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen.
| 1 | Utfør en tørrkjøringssynkronisering på Active Directory -brukere Utfør en tørrkjøring for å sammenligne objekter i den lokale Active Directory og objekter i Webex-skyen. En tørrkjøring lar deg se hvilke objekter som vil bli lagt til, endret eller slettet før du kjører en fullstendig eller trinnvis synkronisering og utfører endringene i skyen. |
| 2 | Utfør en fullstendig synkronisering av Active Directory -brukere til skyen Når du kjører en full synkronisering, sender koblingstjenesten alle filtrerte objekter fra Active Directory (AD) til skyen. Connector-tjenesten oppdaterer deretter identitetslageret med AD-oppføringene dine. Hvis du opprettet en mal for automatisk tilordning av lisenser, kan du tilordne den til de nylig synkroniserte brukerne. |
| 3 | Tilordne Webex-tjenester til katalogsynkroniserte brukere i Control Hub Når du har fullført en fullstendig brukersynkronisering fra Directory Connector til Control Hub, kan du tilordne Webex-tjenestelisenser ved hjelp av en rekke forskjellige metoder. Vi anbefaler at du konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory. Du kan også gjøre individuelle endringer etter dette første trinnet. |
Utfør en tørrkjøringssynkronisering på Active Directory -brukere
Utfør en tørrkjøring for å sammenligne objekter i den lokale Active Directory og objekter i Webex-skyen. En tørrkjøring lar deg se hvilke objekter som vil bli lagt til, endret eller slettet før du kjører en fullstendig eller trinnvis synkronisering og utfører endringene i skyen.
I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Med Katalogkobling er målet å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen.
Hvis du har flere domener i én enkelt skog eller flere skoger, må du gjøre dette trinnet på hver av Cisco-katalogkoblingsforekomstene du har installert for hvert Active Directory -domene.
Før du starter
Du kan allerede ha noen Webex-appbrukere i Control Hub før du brukte Katalogkobling. Blant brukerne i skyen kan noen samsvare med det lokale Active Directory -objektet og bli tildelt lisenser for tjenester. Men noen kan være testbrukere som du vil slette mens du foretar en synkronisering. Du må opprette et nøyaktig samsvar mellom Active Directory og Control Hub.
| 1 | Velg én:
Når tørrkjøringen er fullført, ser du ett av følgende resultater:
Sammendraget inneholder informasjon om objektsamsvar:
Tørrkjøringen identifiserer brukerne ved å sammenligne dem med domenebrukere. Applikasjonen kan identifisere brukerne hvis de tilhører det gjeldende domenet. I neste trinn må du bestemme om du vil slette objektene eller beholde dem. De feilaktige objektene identifiseres som allerede eksisterende i Webex-skyen, men ikke eksisterende i den lokale Active Directory. | ||
| 2 | Se gjennom resultatene av tørrkjøringen, og velg deretter et alternativ avhengig av om du bruker ett enkelt domene eller flere domener:
| ||
| 3 | I Bekreft tørrkjøring ledetekst, klikker du Ja for å gjøre om tørrkjøringssynkroniseringen og vise instrumentbordet for å se resultatene. Alle kontoer som ble synkronisert i tørrkjøringen, vises under Objekter matchet . Hvis en bruker i skyen ikke har en tilsvarende bruker med samme e-postadresse i Active Directory, er oppføringen oppført under Brukere slettet . Hvis du vil unngå dette sletteflagget, kan du legge til en bruker i Active Directory med samme e-postadresse. Hvis du vil vise detaljene for elementene som ble synkronisert, klikker du på den tilsvarende fanen for bestemte elementer eller Objekter matchet . Hvis du vil lagre sammendragsinformasjonen, klikker du på Lagre resultater til fil . | ||
| 4 | Hvis resultatene forventes, går du til , og klikk deretter Aktiver nå for å gjøre en manuell synkronisering og sette i manuell modus på dette tidspunktet.
|
Hva nå?
For eventuelle feilaktige brukerobjekter som du beholder, må du legge dem til i Active Directory slik at det er nøyaktig samsvar mellom lokale og skyen.
Velg en synkroniseringstype:
Utfør en fullstendig synkronisering av Active Directory -brukere til skyen for første gang du synkroniserer nye brukere til skyen. Du gjør det fra , og deretter synkroniseres brukere fra det gjeldende domenet.
Angi tidsplan for kobling og Kjør en trinnvis synkronisering etter at du har kjørt en fullstendig synkronisering, og hvis du ønsker å plukke opp endringer etter den første synkroniseringen. Denne typen synkronisering anbefales for å fange opp små endringer som er gjort i Active Directory -brukerkilden.
Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt (på versjon 3.4 og tidligere) eller hver fjerde time (på versjon 3.5 og nyere), men du kan endre denne verdien. Den trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering.
Hvis du har flere domener, gjentar du disse trinnene på en hvilken som helst annen katalogkobling du har installert.
Ting du bør huske på
Utfør en tørrkjøring før du aktiverer full synkronisering, eller når du endrer synkroniseringsparametrene. Hvis tørrkjøringen ble startet av en konfigurasjonsendring, kan du lagre innstillingene etter at tørrkjøringen er fullført. Hvis du allerede har lagt til brukere manuelt, kan utføring av en Active Directory -synkronisering føre til at tidligere lagt til brukere blir fjernet. Du kan sjekke tørrkjøringsrapporter for Directory Connector for å bekrefte at alle forventede brukere er til stede før du synkroniserer fullstendig til skyen.
Hvis matchede brukere er merket som sletting og du ikke er sikker på hvordan du går frem, kan du se feilsøkingsinformasjon og hvordan du kontakter kundestøtte i Feilsøking og rettelser for Directory Connector .
Slettede brukere beholdes i skyidentitetstjenesten i syv dager før de slettes permanent.
Utfør en fullstendig synkronisering av Active Directory -brukere til skyen
Når du kjører en full synkronisering, sender koblingstjenesten alle filtrerte objekter fra Active Directory (AD) til skyen. Connector-tjenesten oppdaterer deretter identitetslageret med AD-oppføringene dine. Hvis du opprettet en mal for automatisk tilordning av lisenser, kan du tilordne den til de nylig synkroniserte brukerne.
Hvis du har flere domener, må du gjøre dette trinnet på hver av Directory Connector-forekomstene du har installert for hvert Active Directory -domene.
Katalogkobling synkroniserer brukerkonto – I Active Directory vises også alle brukere som er merket som deaktivert som inaktive i skyen.
Før du starter
Hvis du vil at brukerkontoene for Webex-appen skal ha statusen Aktiv etter full synkronisering og før brukerne logger på for første gang, må du gjøre følgende for å omgå e-postvalideringen:
Integrer engangspålogging med Webex-organisasjonen din. Se
Engangspålogging med Cisco Webex Services og organisasjonens identitetsleverandør
hvis du vil ha mer informasjon.Bruk Control Hub til å bekrefte og eventuelt gjøre krav på domener som finnes i e-postadressene. Se
Legg til, bekreft og gjør krav på domener
.Undertrykk automatiske e-postinvitasjoner , slik at nye brukere ikke mottar den automatiske e-postinvitasjonen til Webex-appen. (Du kan lage din egen e-postkampanje.)
Aktiverte brukere som ikke har logget på, vises med en Verifisert status i Control Hub. Når de har logget på, vises de som Aktive. Hvis du vil ha mer informasjon om brukerstatuser, kan du se Brukerstatuser og handlinger i Cisco Webex Control Hub.
Når du aktiverer synkronisering, ber Directory Connector deg om å utføre en tørrkjøring først. Vi anbefaler at du tar en tørrkjøring før en full synkronisering for å fange opp eventuelle feil.
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Hvis du ikke bruker automatisk tilordnede lisensmaler, får nylig synkroniserte brukere automatisk gratislisenser. De vil kunne bruke de samme gratisfunksjonene som de med gratis kontoer.
| 1 | Velg én:
| ||
| 2 | Fra Katalogkobling går du til Synkroniser , klikk på mer | ||
| 3 | Bekreft starten på synkroniseringen. For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene i opptil 72 timer etter at du har utført synkroniseringen.
| ||
| 4 | Klikk på Oppdater hvis du vil oppdatere statusen for synkroniseringen. (Synkroniserte elementer vises under Skystatistikk .) | ||
| 5 | Hvis du vil ha informasjon om feil, velger du Start Event Viewer fra Handlinger verktøylinjen for å vise feilloggene. | ||
| 6 | Hvis du vil angi en synkroniseringsplan for pågående trinnvise synkroniseringer til skyen, kan du se Angi tidsplan for kobling og Kjør en trinnvis synkronisering . |
Når full synkronisering er fullført, oppdateres statusen for katalogsynkronisering fra Deaktivert til Driftsmessig på Innstillinger siden i Control Hub.
Når alle data matches mellom lokale og skyen, endres Katalogkobling fra manuell modus til automatisk synkroniseringsmodus.
Med mindre du integrere engangspålogging , bekrefte domener, og eventuelt gjøre krav på domener for e-postkontoene du synkroniserte , og undertrykke automatiserte e-postmeldinger , forblir brukerkontoene for Webex-appen i tilstanden Ikke bekreftet til brukerne logger på Webex-appen for første gang for å bekrefte kontoene sine. Se delen Før du begynner for veiledning om hvordan du synkroniserer kontoene som aktive brukere.
Hvis du har flere domener, gjør du dette trinnet på en annen katalogkobling du har installert. Etter synkroniseringen vises brukerne på alle domenene du la til i Control Hub.
Hvis du integrerte engangspålogging med Webex og undertrykte e-postvarsler , sendes ikke e-postinvitasjonene til de nylig synkroniserte brukerne.
Du kan ikke legge til brukere manuelt i Control Hub etter at Directory Connector er aktivert. Når den er aktivert, utføres brukeradministrasjon fra Cisco-registerkobling, og Active Directory er den eneste kilden til sannhet.
Alle grupper du synkroniserte, vises i Control Hub, og du kan tilordne en lisensmal slik at brukere i den gruppen tilordnes lisenser.
Hva nå?
Når du fjerner en bruker fra Active Directory, blir brukeren myk slettet etter neste synkronisering. Brukeren blir
Inactivemen skyidentitetsprofilen beholdes i syv dager (for å tillate gjenoppretting etter utilsiktet sletting).Når du sjekker Kontoen er deaktivert i Active Directory blir brukeren
Inactiveetter neste synkronisering. Skyidentitetsprofilen slettes ikke etter syv dager, i tilfelle du vil aktivere brukeren på nytt.Vær oppmerksom på disse unntakene fra en trinnvis synkronisering (følg de fullstendige synkroniseringstrinnene ovenfor i stedet):
Hvis det gjelder en oppdatert avatar, men ingen andre attributter endres, oppdaterer ikke trinnvis synkronisering brukerens avatar til skyen.
Konfigurasjonsendringer for attributtilordning, base-DN, filter og avatarinnstillinger krever full synkronisering.
Tilordne Webex-tjenester til katalogsynkroniserte brukere i Control Hub
Når du har fullført en fullstendig brukersynkronisering fra Cisco-registerconnector til Control Hub, kan du bruke Control Hub til å tilordne de samme Webex-tjenestelisensene til alle brukerne samtidig eller legge til flere lisenser til nye brukere hvis du allerede har konfigurert en automatisk tilordnet lisensmal. Du kan gjøre individuelle endringer i brukerkonto etter dette første trinnet.
Når du har fullført en fullstendig brukersynkronisering fra Directory Connector til Control Hub, kan du bruke metoder i Control Hub til å globalt tilordne Webex-tjenestelisenser til alle brukerne, enkeltbrukere, gjennom CSV-malen for mengde eller automatisk til nye brukere hvis du har allerede konfigurert en mal for automatisk tildeling av lisenser. Du kan gjøre individuelle endringer i brukerkonto etter dette første trinnet.
Når du tilordner en lisens til en Webex-appbruker, mottar denne brukeren en e-post som bekrefter tilordningen, som standard. E-posten sendes av en varslingstjeneste i Control Hub. Hvis du integrerte engangspålogging (SSO) med Webex-organisasjonen din, kan du også undertrykke disse automatiske e-postvarslene hvis du foretrekker å kontakte brukerne dine direkte.
Før du starter
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Gjør en tørrkjøringssynkronisering på Active Directory brukerne dine.
Når du har bekreftet resultatene av tørrkjøringen, utfører du en fullstendig synkronisering på Active Directory -brukerne.
| På tidspunktet for full synkronisering opprettes brukeren i skyen, ingen tjenestetilordninger legges til, og det sendes ingen aktiverings-e-post. Hvis e-postene ikke undertrykkes, mottar de nye brukerne en aktiverings-e-post når du tilordner tjenester til brukere ved hjelp av en standard brukeradministrasjonsmetode i Control Hub, for eksempel CSV-import, manuell brukeroppdatering eller vellykket fullføring av automatisk tilordning. |
| 1 | Fra kundevisningen ihttps://admin.webex.com , gå til , klikk Behandle brukere , velg Endre alle synkroniserte brukere , og klikk deretter Neste . |
| 2 | Velg et alternativ:
|
Hva nå?
Hvis e-postene ikke undertrykkes, sendes en e-postmelding til hver bruker med en invitasjon til å bli med og laste ned Webex.
Hvis du valgte de samme Webex-tjenestene for alle brukerne, kan du etterpå endre lisensen som er tilordnet individuelt eller samtidig.
Kjente problemer med katalogkobling
Windows Server-versjoner før 2012 R2 har et problem med informasjonskapsler som påvirker katalogkoblingen. Dette problemet er løst i versjoner 2012 R2 og 2016 .
For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene 72 timer fra du utfører synkroniseringen.
Du kan prøve å tømme den lokale hurtigbufferen for Webex-appen ved å følge disse instruksjonene: Windows eller Mac .
Når en bruker bruker Webex-appen på skrivebordet eller mobilen til å søke og ringe et rom som bare har en synkronisert SIP-URI, ringer anropet på ubestemt tid på dette tidspunktet.
Kjør en trinnvis synkronisering
En trinnvis synkronisering spør etter Active Directory og ser etter endringer som har skjedd siden forrige synkronisering. Dette trinnet grupperer deretter disse endringene og sender dem til koblingstjenesten. Endringene inkluderer endring av brukerattribusjon og når en bruker legges til eller slettes.
Denne synkroniseringen legger ikke like mye belastning på serverne og tar ikke like mye tid som en full synkronisering. Når du har utført den første fullstendige synkroniseringen, anbefaler vi det trinnvise alternativet for etterfølgende synkroniseringer.
Før du starter
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Merk disse unntakene som trinnvis synkronisering ikke støtter (følg Utfør en fullstendig synkronisering av Active Directory -brukere til skyen i stedet):
Hvis det gjelder en oppdatert avatar, men ingen andre attributter endres, oppdaterer ikke trinnvis synkronisering brukerens avatar til skyen.
For nye konfigurasjonsendringer for attributtilordning, base-DN, filter og avatarinnstilling fungerer ikke trinnvis synkronisering, og disse krever full synkronisering.
| 1 | Fra Katalogkobling klikker du på Instrumentbord .
| ||
| 2 | Fra Handlinger , klikk Synkroniseringsmodus > Aktiver synkronisering hvis det ikke allerede er aktivert. Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt (på versjon 3.4 og tidligere) eller hver fjerde time (på versjon 3.5 og nyere), men du kan endre denne verdien. Den trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering. Når et nytt trinnvis tidsintervall er ute, kontrollerer programmet endringene basert på det siste tidsstemplet. | ||
| 3 | Fra Handlinger , klikk Synkroniser nå > Inkrementell . For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene 72 timer fra du utfører synkroniseringen.
| ||
| 4 | Hvis du vil ha informasjon om feil, klikker du på Start Event Viewer fra Handlinger verktøylinjen for å vise feilloggene. |
Hva nå?
Hvis du har flere domener, gjør du dette trinnet på andre Directory Connector-forekomster du har installert.
Gjenopprett brukere som er slettet ved et uhell
Katalogkobling har kontroller og saldoer for å forhindre utilsiktet sletting av brukere. Dessverre skjer ulykker. Du kan ha konfigurert et LDAP-filter i Active Directory på feil måte, noe som slettet noen brukere da de ble synkronisert til skyen. Den myke slettefunksjonen kan hjelpe deg med å komme deg etter disse ulykkene og gjenopprette brukerkontoene i Control Hub.
Som standard er denne funksjonen aktivert for alle organisasjoner. Når brukere slettes i skyen, for eksempel på grunn av et problem med feilaktige objekter etter en synkronisering fra Directory Connector, kan brukerne gjenopprettes. Hvis du så et objekt som ikke samsvarte, eller la merke til at brukere ble slettet, kan det hende du kan gjenopprette dem hvis du handler raskt.
| Brukere merkes som inaktive i Control Hub når de tilsvarende kontoene slettes i Active Directory. Bakgrunnsskytjenesten beholder brukerne i opptil 7 dager. I løpet av denne perioden kan du fortsatt bruke Cisco-registerkobling til å gjenopprette brukere. Vi anbefaler at du gjenoppretter disse brukerne så snart som mulig. Brukere som er deaktivert i Active Directory , er også merket som inaktive i Control Hub, men brukerkonto slettes ikke etter 7 dager. |
| 1 | Logg på Kontrollhub . |
| 2 | Gå til Brukere og kontroller om en bestemt brukerkonto er i en inaktiv tilstand eller ikke er oppført. Hvis du vil ha mer informasjon, se Brukerstatuser og handlinger i Control Hub . |
| 3 | Hvis brukere ble slettet i Control Hub eller du legger merke til at brukere er i en inaktiv tilstand, går du til Active Directory, legger til de manglende brukerkontoene, og deretter utfører du en tørrkjøringssynkronisering i Directory Connector. Målet med Directory Connector er å opprette et nøyaktig samsvar mellom brukerinformasjon i Active Directory og i skyen. |
| 4 | Utfør en fullstendig synkronisering for å resynkronisere de midlertidig slettede brukerkontoene til Control Hub. Brukerne gjenopprettes og går til den opprinnelige statusen, inkludert kontostatus og tjenestetilordninger. |
Hva nå?
Gå tilbake til Control Hub, gå til , og bekreft at de tidligere slettede brukerkontoene vises i brukerliste.
Slett brukere permanent etter myk sletting
Etter å ha utført en tørrkjøring, kan du velge å permanent slette brukere som ble myk slettet ved neste synkronisering.
| 1 | Når en tørrkjøring er fullført, velger du Myk-slettede objekter . |
| 2 | Merk av i avmerkingsboksen ved siden av brukerne du vil slette. |
| 3 | Velg Ferdig. |
Hva nå?
Ved neste synkronisering blir brukerne du sjekket, slettet permanent.
Endre en e-postadresse for Webex-appen
Hvis du vil endre e-postadresser for brukere og organisasjonen bruker katalogkoblingen, endrer du disse e-postadressene i Active Directory. Denne fremgangsmåten dekker hvordan du endrer en e-postadresse for Webex-appen for ett enkelt domene og en prosess for å endre domenet.
| Hvis du bare vil endre e-post eller verdier for én bruker, må du ikke slette brukeren fra Active Directory og deretter opprette en ny med den samme e-postadressen. Skyen tolker denne handlingen som en ny brukerkonto, og brukerens områder og andre data i skyen vil gå tapt. |
Slik endrer du brukerens e-postadresser uten å endre domenet:
Gjenoppta synkroniseringen på katalogkoblingen.
Etter neste synkronisering vises endringene i brukerliste i Control Hub og for brukere i Webex-appen etter at hurtigbufferen er oppdatert.
Det er ikke tap av data eller områder ved hjelp av denne metoden. Brukerens unike identifikator angis i skyen etter den første synkroniseringen. Alle etterfølgende synkroniseringer er basert på denne identifikatoren.
Hvis du vil endre brukerens e-postadresser mens du endrer domenet i en distribusjon med flere domener med Directory Connector (vurder på example1.com, det gamle domenet og example2.com som det nye domenet):
På Directory Connector gjenopptar du synkroniseringen for example2.com
Før du fortsetter, må du kontrollere at kontoen bruker1@example2.com synkroniseres til Control Hub. Vi anbefaler at du ber brukeren om å bekrefte e-postendringen i Webex-appen, og at alle data (områder, meldinger, møter, filer og så videre) beholdes.
Det er ingen tap av data eller områder ved hjelp av denne metoden, men i den nye brukerkonto må du sørge for at Active Directory -attributtet som tilordnes til sky-uid-attributtet, er bevart fra den gamle brukerkonto. Hvis du endrer Active Directory -verdien, beholder ikke den nye kontoen dataene fra den gamle kontoen.
Når du har bekreftet e-postadresse og dataene er intakte, sletter du den gamle brukerkonto på example1.com, og deretter bruker du Directory Connector til å gjenoppta synkroniseringen for example1.com.
På dette tidspunktet kan du trygt oppdatere e-postadresse i det nye Active Directory -domenet for bruker1@example2.com.
Katalogkobling begrenser ikke endringen av e-postdomene. Når brukeren resynkroniserer til skyen, avhenger imidlertid brukerstatusen av om det nye domenet er bekreftet i organisasjonen din. Hvis domenet ikke er bekreftet i organisasjonen din, endres brukerens status til Venter etter full synkronisering. Hvis du vil ha mer informasjon, se Administrer domenene dine .
Hvis organisasjonen din ikke bruker katalogkobling, kan du endre e-postadressene for Webex-appen via siden med kontoinnstillinger . Se Endre e-postadressen for kontoen din for trinn som brukere kan følge for å endre e-postadressene sine.
Endre Active Directory -domenet
Du kan bruke denne fremgangsmåten til å opprette nye domener og e-postadresser. De synkroniseres med identitetstjenesten i skyen.
| 1 | Konfigurer et nytt AD-domene ( Active Directory ). | ||
| 2 | Deaktiver synkroniseringer på alle kontaktene dine. | ||
| 3 | Avinstaller alle kontaktene dine. | ||
| 4 | Åpne store og små bokstaver for å endre domenet . I saksinnsendingen må du sørge for å be om fjerning av domenekonfigurasjonen og alle synkroniseringsattributter i organisasjonen.
| ||
| 5 | Etter at saken er løst: Utfør en testkjøring med Directory Connector før du utfører selve synkroniseringen. |
Domenekrav
Et domenekrav oppstår hvis du gjør krav på et e-postdomene for en organisasjon, slik at en eventuell skjenkkonto opprettes i den betalte kundeorganisasjonen og ikke i den gratis forbrukerorganisasjonen. Du kan bare gjøre et domenekrav gjennom en støttesak (se koblingen nedenfor for mer informasjon).
Hvis katalogkoblingen er aktiv og domenet gjøres krav på, opprettes ikke skjenkkontoer verken i kundeorganisasjonen eller i den gratis forbrukerorganisasjonen. Bare katalogkoblingen kan klargjøre kontoer for organisasjonen fra Active Directory. Informasjonen som er lagret i Active Directory , er den opprinnelige kilden. Hvis du prøver å legge inn en konto på skjenk, mottar den inviterte brukeren en feilmelding. Den eneste måten en invitert bruker kan legges til i et Webex-appområde, er først å bruke katalogkoblingen til å klargjøre kontoen i Control Hub.
Konverter gratis brukere av Webex-appen i en katalogsynkronisert organisasjon
Du kan bare bruke unike e-postadresser i katalogen for Webex-appen. Hvis brukerne dine har registrert seg for gratisversjonen av Webex-appen, finnes kontoen deres i den gratis forbrukerorganisasjonen. Hvis du vil administrere brukere i denne organisasjonen ved hjelp av Katalogkobling, må du overføre (konvertere) dem til kundeorganisasjonen før du slår på Katalogkobling. Deretter legger du til brukerne i Active Directory med den nøyaktige e-postadresse og synkroniserer til skyen.
Hvis du ikke konverterer kontoene før aktivering, må du slå av katalogkoblingen for å konvertere dem.
Hvis du prøver å konvertere en bruker mens katalogsynkronisering er aktivert, vises feilmelding<email address=""> kunne ikke konverteres
vises. Hvis du vil unngå problemet, kan du bruke disse trinnene som en løsning.
| Noen påståtte brukere kan dukke opp med Hvis du ikke legger til disse brukerne, blir alle slettet neste gang du synkroniserer til skyen. |
| 1 | Deaktiver katalogsynkroniseringen fra katalogkoblingen. | ||
| 2 | Følg Konverter ulisensierte brukere i Control Hub prosedyre for å konvertere brukeren fra den gratis forbrukerorganisasjonen til bedriftsorganisasjonen. Dette trinnet legger til brukeren i organisasjonen, og kontoen vises i Control Hub. Katalogkobling gjør Active Directory til den eneste sannheten for brukerkontoer, og målet er å ha nøyaktig samsvar mellom Active Directory og Control Hub. Kontroller at det finnes samsvarende brukere i Active Directory for eventuelle nylig konverterte brukere før du aktiverer synkroniseringen på nytt. En testsynkronisering kan brukes til å sikre at det ikke finnes gjenværende brukere uten samsvar. | ||
| 3 | Utfør en tørrkjøringssynkronisering på Directory Connector. Når testkjøringen er fullført, kontrollerer du fanen Legg til objekter. Kontroller at brukere du konverterte, ikke har blitt slettet.
| ||
| 4 | Når du er sikker på at neste synkronisering ikke fjerner noen kontoer, aktiverer du katalogsynkronisering på nytt fra Katalogkobling. |
Konverterte brukerkontoer aktiveres ikke automatisk hvis du ikke har bekreftet et domene. Hvis du for eksempel har aktivert malen for automatisk tilordning av lisenser og deretter aktivert Katalogkobling uten domenebekreftelse, er konverterte brukere inaktive i skyserveren til de bekrefter e-postadressene sine.
Brukerkontoer for Webex-appen med skjenk
Når du inviterer en annen bruker til et område i Webex-appen, og den inviterte brukeren ikke har en Webex-appkonto, opprettes det en konto for brukeren ("skjekk"). Som standard legges kontoer som opprettes på denne måten til i den gratis forbrukerorganisasjonen.
Hvis du vil administrere den skjenkede kontoen ved hjelp av Directory Connector, må du konvertere kontoen .
Endre format for brukernavn for Webex-appen etter katalogsynkronisering
Som standard tilordner Directory Connector attributtet displayName i Active Directory til displayName-attributtet i skyen.
Etter at du har utført en katalogsynkronisering, kan du oppleve at brukernavn vises i formatet<lastName, firstName=""> .
Dette brukernavnet kan vises hvis displayName-attributtet i Active Directory er konfigurert på denne måten. Når attributtet er tilordnet til displayName i skyen vises navn i formatet<lastName, firstName=""> i Control Hub.
Hvis du vil endre formatet, i skjermbildet for tilordning av attributter for Directory Connector: tilordne Active Directory -attributtet givenName sn(eller sn givenName) til displayName i Cisco Cloud Attribute Names.
Du kan også tilordne attributtet sn givenName til displayName:
Du kan også bruke alternativet Tilpass attributt hvis du vil tilordne ditt eget tilpassede attributtuttrykk til displayName.
Angi for eksempel givenName + "" + sn(fornavn, mellomrom, etternavn) som uttrykk. Dette tilordner de to attributtene i Active Directory til displayName i skyen.
Tillat brukere å endre visningsnavn i Webex Meetings
Du kan oppheve tilordningen av displayName-attributtet fra synkronisering til skyen i Directory Connector hvis du vil la brukere redigere sine foretrukne visningsnavn. Brukere kan angi et visningsnavn som skal vises under Webex-møter i stedet for for- og etternavnet. Administratorer kan også endre visningsnavn for en bruker manuelt i Control Hub.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tilordning av brukerattributter . |
| 2 | Velg visningsnavn under Navn på Cisco Cloud . |
| 3 | Velg Ikke synkroniser dette attributtet . |
Hva nå?
Brukere kan nå redigere visningsnavnene fra Webex-nettsted .
Oppgrader til den nyeste programvareversjonen
For å holde distribusjonen i samsvar og få de nyeste funksjonene, funksjonaliteten, feilrettinger og sikkerhetsforbedringer, må du alltid oppgradere til den nyeste versjonen av Directory Connector. Hvis du ikke oppgraderer til den nyeste versjonen som er tilgjengelig, kan du få problemer, for eksempel at Directory Connector ikke lenger synkroniserer riktig eller bruker en versjon som ikke støtter det obligatoriske TLS 1.2-krav .
Katalogkobling varsler deg automatisk når en ny versjon er tilgjengelig. Oppgrader alltid til den nyeste versjonen for å unngå problemer. Du ser også et varsel på oppgavelinjen i Windows.
| Selv om du kan installere oppdateringer for koblingsprogramvare manuelt, anbefaler vi at du følger trinnene i Angi automatiske oppgraderinger for å la appen administrere oppgraderingene dine automatisk. |
| 1 | Klikk på varselet på oppgavelinjen i Windows, eller høyreklikk på Katalogkobling-ikonet på oppgavelinjen i Windows for å starte oppgraderingsprosessen. |
| 2 | Følg instruksjonene for å fullføre oppgraderingen. |
| 3 | Start koblingen på nytt, og logg på med administratorlegitimasjonen din. |
| 4 | Kontroller versjonsnummeret til programvaren under . |
Hva nå?
For en ny installasjon av Directory Connector kan du laste ned zip-filen og følg deretter installasjonstrinnene i denne veiledningen.
Konfigurer generelle innstillinger for Directory Connector
Bruk denne fremgangsmåten til å konfigurere generelle innstillinger, for eksempel navnet på serveren som kjører Directory Connector, loggnivåer, automatiske oppgraderinger og foretrukne innstillinger for domenekontrollerne. Navnet på kontakten vises på instrumentbordet i koblingsdelen, sammen med eventuelle andre kontakter som kjører.
| 1 | Fra Katalogkobling går du til Konfigurasjon , og klikk deretter Generelt . | ||
| 2 | I Koblingsnavn -feltet, skriver du inn kontaktnavnet. Dette feltet viser bare datamaskinnavnet som for øyeblikket kjører kontakten. | ||
| 3 | Velg loggnivå fra rullegardinlisten. Som standard er loggnivået satt til info . De tilgjengelige loggnivåene er:
| ||
| 4 | Velg Foretrukne domenekontrollere for å angi rekkefølgen på domenekontrollere for synkronisering av identiteter. Domenekontrollerne er tilgjengelige fra topp til bunn. Hvis den øverste kontrolleren ikke er tilgjengelig, velger du den andre kontrolleren på listen. Hvis ingen kontroller er oppført, har du tilgang til primærkontrolleren. | ||
| 5 | Sjekk Oppgrader automatisk til den nye versjonen av Cisco Directory Connector hvis du vil at automatiske oppgraderinger skal skje. Det er alltid viktig å holde Cisco Directory Connector-programvaren oppdatert til den nyeste versjonen. Vi anbefaler at du kontrollerer denne innstillingen for å tillate at automatiske oppgraderinger av programvaren installeres stille når de er tilgjengelige. | ||
| 6 | Sjekk LDAP over SSL for å bruke sikker LDAP (LDAPS) som tilkoblingsprotokoll.
LDAP (Lightweight Directory Application Protocol) og Secure LDAP (LDAPS) er tilkoblingsprotokollene som brukes mellom et program og domenekontrolleren i infrastrukturen. LDAPS-kommunikasjon er kryptert og sikker. |
Konfigurer koblingspolicyen
Du kan angi maksimalt antall slettinger som kan skje under synkronisering. Når du kjører synkronisering, slettes ikke objekter fra den lokale Active Directory. Alle objekter slettes bare fra skyen.
Du angir for eksempel 1 som utløserverdi for sletteterskel. Når du foretar full eller trinnvis synkronisering, og antallet brukere du vil slette er mer enn innstillingen, viser katalogkontakten en advarsel. Hvis du klikker Overstyr terskel , kan du starte full eller trinnvis synkronisering, men du vil se dette overstyringsvarselet neste gang du kjører policyen.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Retningslinjer . | ||
| 2 | Sjekk Aktiver utløser for sletteterskel hvis du vil legge til en terskelutløser. Hvis du velger dette alternativet, utløses et varsel hvis antall slettinger overskrider terskelen. Når slettekontoen overskrider den du angir, mislykkes synkroniseringen.
| ||
| 3 | Angi maksimalt antall slettinger du vil bruke. Standarden er 20.
| ||
| 4 | Klikk på Bruk. |
Angi tidsplan for kobling
Angi tidspunkt for synkronisering i Active Directory. Failover brukes for høy tilgjengelighet (HA). Hvis én kontakt er nede, bytter vi til en annen standby-kontakt etter det forhåndsdefinerte intervallet.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tidsplan . |
| 2 | Angi Inkrementelt synkroniseringsintervall på minutter. Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt. Den fullstendige trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering. |
| 3 | Endre Send rapporter per… gang verdi hvis du vil endre hvor ofte rapporter sendes. |
| 4 | Sjekk Aktiver tidsplan for full synkronisering for å angi dagene og tidspunktene du vil at en full synkronisering skal skje. |
| 5 | Angi Failover-intervall på minutter. |
| 6 | Klikk på Bruk. |
Flere domenescenarier
Flere domener er basert på domeneprioritet. For objekter som har samme nøkkelverdi i forskjellige domener, etter synkronisering, vil dataene fra domenet med høyere prioritet skrive om dataene fra domenet med lavere prioritet.
Objekter som har samme nøkkelverdi, kobles til én oppføring i databasen.
Nøkkelverdien for «Bruker» er E-postadresse ; nøkkelverdien for «Gruppe» er Gruppenavn .
Eksempel på bruksanvisning for flere domener
Dette eksemplet forutsetter en organisasjon med to domener – eksempel1.com og eksempel2.com, i prioritert rekkefølge.
Legg til bruker1(e-post: bruker@example1.com) til Active Directory for eksempel1.com.
Legg til gruppe1(Gruppenavn: Test) til Active Directory for example1.com.
Legg til bruker2(e-post: bruker@example2.com) til Active Directory for eksempel2.com.
Legg til gruppe2(Gruppenavn: Test) til Active Directory for example2.com.
- Synkronisering på example1.com
-
Som et brukscase er bruker2 og gruppe2 synkronisert til skyen og vises ihttps://admin.webex.com , mens bruker1 og gruppe1 ikke er det.
Hvis du utfører en fullstendig eller trinnvis synkronisering for example1.com, synkroniseres bruker1 og gruppe1. Dessuten overskrives bruker2 og gruppe2 av informasjonen til bruker1 og gruppe1.
Bruker1 kobler til bruker2 som den samme oppføringen i databasen; gruppe1 kobler gruppe2 som den samme oppføringen i databasen.
- Synkronisering på example1.com og example2.com
-
Som et brukscase er bruker2 og gruppe2 synkronisert til skyen og vises ihttps://admin.webex.com , mens bruker1 og gruppe1 ikke er det.
Vurder disse trinnene:
- Slett bruker1 og gruppe1 i Active Directory for example1.com.
- Utfør en fullstendig eller trinnvis synkronisering for eksempel1.com.
Resultat: brukerens informasjon endres ikke ihttps://admin.webex.com . Bruker2 er ikke koblet til bruker1, og gruppe2 er ikke koblet til gruppe1.
- Utfør en trinnvis synkronisering for example2.com.
Resultat: brukerens informasjon endres ikke ihttps://admin.webex.com .
- Utfør en fullstendig synkronisering for example2.com.
Resultat: Informasjonen til bruker2 og gruppe2 er oppført ihttps://admin.webex.com .
Synkronisere et nytt domene og behold et eksisterende domene
Hvis du vil synkronisere et nytt domene (B) mens du opprettholder de synkroniserte brukerdataene på et annet eksisterende domene (A), må du sørge for at du installerer Directory Connector for domene (B)-synkronisering på en støttet Windows-server. Koblingen bindes til det nye domenet etter det første oppsettet, og brukerinformasjon under domene (A) forblir upåvirket.
Hvert domene må ha sin egen aktive kobling. Vurder to domener med følgende oppsett: domene A med kontakter (ca1) og (ca2) for lokal høy tilgjengelighet (HA); domene B med kontakt (cb1). (ca1) og (ca2) betjener domene A. I dette scenariet er én kontakt aktiv og den andre i ventemodus (HA). Denne utformingen holder domenet synkronisert, fordi én kobling alltid er aktiv. Så cb1 er den aktive kontakten for domene B, fordi domene A allerede har en aktiv kontakt (ca1 eller ca2).
Angi domeneprioritet
Bruk denne fremgangsmåten til å endre prioriteten til Active Directory -domenene dine. Domeneprioritet lar deg bestemme primærdomenet, sekundært domene og så videre. Dette hjelper når to brukere fra to forskjellige domener har samme e-postverdi synkronisert til én organisasjon.
Ikke bruk denne fremgangsmåten hvis du har ett enkelt domene oppført i katalogkoblingen. Hvis du prøver, viser koblingen deg en melding om at domeneprioritet ikke er nødvendig.
Før du starter
Hvis du vil unngå feil, installerer eller oppgraderer du til den nyeste versjonen av Cisco-katalogkontakt. Du må laste den ned frahttps://admin.webex.com .
| 1 | Fra Cisco-katalogkontakt klikker du på Instrumentbord . | ||
| 2 | Gå til Handlinger , og klikk deretter Angi domeneprioritet . | ||
| 3 | Uthev ett domene i listen, klikk på Opp eller Ned for å endre dette domenets prioritet, og klikk deretter på Lagre for å lagre denne endringen.
|
Bytt domener
Bruk denne fremgangsmåten til å koble Cisco-katalogkontakten til et annet domene på nytt.
Før du starter
Kontroller at ingen synkroniseringsoppgaver kjører før du bytter domener.
Hvis du vil unngå feil, installerer eller oppgraderer du til den nyeste versjonen av Cisco-katalogkontakt. Du må laste den ned fra Kontrollhub .
| 1 | Fra Cisco-katalogkontakt klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter Bytt domene . |
| 3 | Når du har lest advarselen, hvis du forstår hvilken innvirkning denne endringen har på distribusjonen, og du fortsatt er sikker, klikker du på Ja . Hvis du bytter domene, blir du logget av den gjeldende Cisco-katalogkontakten, andre domener i kontakten blir avregistrert, og kontaktinformasjonen på den datamaskinen slettes. |
| 4 | Logg på Cisco-katalogkontakten igjen, og bind domenet på nytt. |
Slå av katalogsynkronisering
Hvis du må stoppe synkroniseringen fra Directory Connector, kan du midlertidig slå den av fra Control Hub.
| 1 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Katalogsynkronisering , og velg deretter én:
|
| 2 | Når du har lest ledeteksten, klikker du på Slå av . Synkroniseringen stopper til du aktiverer den på nytt fra Katalogkobling. |
Fjern tilordning av brukerattributter
Bruk Katalogkobling til å fjerne tilordningen for Active Directory -attributter som tidligere var tilordnet til skyen og synkronisert til Webex. Når du har fjernet attributtilordningen, fjernes attributtverdiene fra skyen og synkroniseres ikke lenger til Webex. Disse verdiene kan deretter redigeres manuelt.
| 1 | Fra Katalogkobling klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter . |
| 3 | Velg tilordningen som skal fjernes fra Attributtnavn listen. |
| 4 | Under Berørt brukeromfang , velger du ett av følgende:
|
| 5 | Klikk på Bruk. |
Behandle profilbilder
Bruk Katalogkobling til å oppdatere brukerprofil eller til å fjerne tomme brukerprofil .
| 1 | Fra Katalogkobling klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter . |
| 3 | Under Handlinger , velger du ett av følgende:
|
| 4 | Klikk på Bruk. |
Avinstaller og deaktiver katalogkobling
Når du har avinstallert en forekomst av Directory Connector, må du avregistrere den. Fjern en katalogkobling fullstendig for disse scenariene:
Du vil ikke bruke katalogsynkronisering lenger.
Du vil ikke bruke én av flere katalogkoblinger (høy tilgjengelighet).
Du vil endre domenet og installere en annen kobling.
Før du starter
Du kan ha flere forekomster av Directory Connector konfigurert for synkronisering med høy tilgjengelighet (HA) eller flere domenesynkronisering. Deaktiver synkroniseringen hvis du avinstallerer den eneste eller siste gjenværende forekomsten av Directory Connector.
Lagre og lukk viktig arbeid før du avinstallerer Directory Connector.
| 1 | Fra Windows-maskinen går du til Kontrollpanel, og klikker deretter på Programmer og funksjoner . |
| 2 | Fra programlisten klikker du på Katalogkobling , velg Avinstaller , og følg deretter ledeteksten. Du må kanskje starte systemet på nytt for å fullføre avinstallasjonen. |
| 3 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Katalogsynkronisering , klikk mer |
| 4 | Når du har lest ledeteksten, klikker du på Deaktiver . Med mindre det finnes en annen katalogkobling i en distribusjon med høy tilgjengelighet (HA), synkroniseres ikke brukerkontoer lenger. |
Kjør diagnoseverktøyet
Du kan bruke det innebygde feilsøkingsverktøyet til å feilsøke Directory Connector-distribusjonen. Dette verktøyet er installert som en del av Directory Connector 3.4 og nyere.
Hvis synkroniseringen ikke fungerte som den skal, kan det hende du har en konfigurasjons- eller nettverksfeil. Dette verktøyet tester tilkoblingen din til LDAP slik at du kan diagnostisere feil selv før du kontakter kundestøtte. Hvis verktøyet returnerer en feil, kan du sende de detaljerte loggresultatene til kundestøtte.
Slik kjører du tester for Active Directory -domenetjenester:
Slik kjører du tester for Active Directory Lightweight Directory-tjenester:
Slik kjører du tester for LDAP ( Lightweight Directory Access Protocol ):
Feilsøking og rettelser for Directory Connector
Du kan støte på en feilmelding eller et annet problem i Directory Connector. Etter at Directory Connector synkroniserer brukerinformasjon, kan det også hende at koblingen sender deg en e-postrapport som viser eventuelle problemer med synkroniseringen. Se avsnittene nedenfor for problemer som kan oppstå, mulige årsaker og forslag til løsninger du kan prøve før du kontakter kundestøtte.
Installerer
Katalogkobling sluttet å fungere
Du mottok e-postvarsel som varsler deg om at katalogkoblingen ikke fungerer.
Katalogkobling er kanskje ikke riktig installert.
Directory Connector kjører kanskje ikke.
Nettverket er kanskje ikke tilgjengelig.
Prøv følgende:
Åpne . Finn Katalogkobling. Hvis den ikke er der, laster du ned den nyeste versjonen fra Control Hub og installerer den.
Åpne Tjeneste og finn Cisco DirSync-tjeneste. Kontroller at den viser statusen som Startet . Hvis tjenesten er stoppet, høyreklikk du og velger Start for å starte tjenesten på nytt.
Kontroller at serveren du installerte katalogkoblingen på, har tilgang til Internett.
Feil ved reinstallasjon
Problem –Hvis du umiddelbart installerer en ny kontakt etter at du har avinstallert en gammel, kan det hende at du ser en feilmelding.
Mulig årsak – I Windows Server 2012 trenger avinstallasjonsklienten tid til å slette tjenestekonto fra tjenestelisten.
Løsning – Når det har gått litt tid, kan du prøve installasjonen på nytt.
Logg på
Katalogkobling krasjer under SSO-pålogging
Problem
Katalogkobling kan krasje etter at du angir en e-postadresse fra en SSO-påloggingsside.
Løsning
Prøv følgende:
Gjør følgende for å konfigurere en ny gruppepolicy:
Gå til domenekontrolleren og åpne administrasjon av gruppepolicy (gpedit.msc).
Høyreklikk på en bestemt organisasjonsenhet eller et bestemt domene, og velg Opprett et GPO på dette domenet , og Koble den her…
Gi retningslinjen et navn, høyreklikk og velg Rediger .
Gjør følgende for å endre policyen på maskinnivå:
Gå til , høyreklikk Register , velg Nyhet , og deretter Registerelement .
For Nøkkelbane , angi eller gå til HKEY_ LOKALT_ MASKIN\SOFTWARE\Microsoft\ Internet Explorer\Main .
Oppgi
Disable Script Debuggerfor Verdi , og anginofor Verdidata .Innstillingene skal samsvare med dette skjermbildet:
Gjør følgende for å endre retningslinjene på brukernivå:
Gå til , høyreklikk Register , velg Nyhet , og deretter Registerelement .
For Nøkkelbane , angi eller gå til HKEY_ GJELDENDE_ BRUKER\SOFTWARE\Microsoft\ Internet Explorer\Main .
Oppgi
Disable Script Debuggerfor Verdi , og anginofor Verdidata .Innstillingene skal samsvare med dette skjermbildet:
| Endringene trer i kraft etter at du har kjørt |
Kunne ikke registrere Cisco DirSync Service Connector
Problem
Pålogging mislykkes, og denne meldingen vises: «Kunne ikke registrere Cisco DirSync Service Connector.»
Løsning
Windows-systemet som Directory Connector er installert på, må være medlem av Active Directory.
Det vises ingen påloggingsside
Problem
Du åpnet Directory Connector, og påloggingssiden ble ikke vist.
Løsning
Prøv følgende trinn:
I Internet Explorer går du tilhttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL . Prøv koblingen i andre nettlesere som Chrome og Firefox.
Hvis Internet Explorer ikke kan besøke koblingen, men andre nettlesere kan, kontrollerer du innstillingene for Internet Explorer og merker av for TLS 1.1 og 1.2. (Bruk Aktiver TLS i Internet Explorer prosedyre.)
Melding om pålogging vises
Problem
Det vises en melding som ber deg om å angi brukernavn og passord for å sende godkjenningen.
Mulig årsak
Katalogkoblingen fullfører NTLM-sikkerhetsgodkjenning lydløst med påloggingskontoen. Hvis autentiseringen mislykkes, vises en dialogboks der du blir bedt om brukernavn og passord for autentiseringen.
Løsning
Når du ser popup-vinduet for pålogging, må du oppgi en gyldig konto med riktig autentisering for å sende sikkerhet.
Kan ikke koble til den eksterne serveren
Problem
Under normal drift vises feilmelding : «Kan ikke koble til den eksterne serveren.»
Mulig årsak
Du kan ha proxy-problemer som må løses.
Løsning
Se Feilsøke innloggingsproblemer for tjenestekonto for mer feilsøkingsinformasjon.
Kan ikke registrere koblingen
Problem
Du ser feilmelding «Kan ikke registrere kontakten. Det oppstod et generelt unntak.»
Mulig årsak
I de fleste tilfeller skyldes problemet at katalogkoblingen ikke har tillatelse til å koble til LDAP-rotkontekst.
Løsning
Prøv følgende:
Kjør en ledetekst (cmd), og skriv deretter inn ldp.exe .
Klikk på , velg Bind som pålogget bruker , og klikk deretter OK .
Klikk på , angi DC=arbonneintl,DC=ad som BaseDN, og klikk deretter OK .
Hvis problemet vedvarer, åpne en sak med støtte .
Synkronisering
Avatarer ikke synkronisert
Problem
Cisco-katalogkoblingen synkroniserte bruker-AD-data til Webex-skyen. Men ingen avatardata ble synkronisert.
Mulig årsak
Hvis du brukte en eksisterende avatarserver på nytt og brukeravatarene allerede var synkronisert, registrerer den lokale hurtigbufferen dem og unngår å sende på nytt for å spare båndbredde.
Løsning
Slett den lokale hurtigbufferen ved å følge denne fremgangsmåten:
Gå til C:\Program Files (x86)\ Cisco Systems\Cisco Directory Connector\Plugins\
Slett DirSyncPluginAvatar.dll-cache.bin .
Kjør avatarsynkroniseringen på nytt fra Cisco-katalogkontakten.
Motstridende e-postkontoer for brukere
Problem
Synkroniseringsresultater kan vise motstridende e-postkontoer for brukere.
Hvis brukere prøvde gratisversjonen av Webex-appen, ligger e-postadressene deres i den gratis forbrukerorganisasjonen.
Hvis brukere-e-poster noen gang ble synkronisert i en annen organisasjon.
Hvis e-postadresser for brukere finnes i flere domener som tilhører organisasjonen.
Løsning
Prøv følgende:
Følg denne fremgangsmåten hvis du prøver å gjøre krav på brukere:
Kontroller at du har bekreftet domenet i Control Hub .
Deaktiver Cisco-registerkobling midlertidig.
Bruk alternativet Krev bruker i Control Hub til å gjøre krav på alle kontoer som finnes i den gratis forbrukerorganisasjonen. Se Krev brukere til organisasjonen din (Konverter brukere) hvis du vil ha mer informasjon.
Gjør en tørrkjøring i Cisco Directory Connector, og aktiver deretter katalogsynkronisering på nytt
I det siste tilfellet dobbeltsjekker du brukerdataene i Active Directory -kildene.
Konvertert bruker merket som inaktiv
Problem
I det synkroniserte katalogmiljøet konverterte du en gratis bruker (forbrukerorganisasjon) til bedriftsorganisasjonen, men den konverterte brukeren kan ikke logge på Webex-appen.
Mulig årsak
Når den gratis brukeren konverteres til bedriftsorganisasjonen, merkes brukeren som inaktiv status i 30 dager som et sikkerhetstiltak. I løpet av denne perioden kan ikke brukeren logge på Webex-appen og merkes for sletting på slutten av 30-dagersperioden. Denne situasjonen oppstår fordi den gratis brukerinformasjon ikke finnes i Active Directory.
Løsning
Du må iverksette tiltak hvis du ikke vil at brukerkonto skal slettes. Du kan løse dette problemet ved å opprette en brukerkonto i den lokale Active Directory som tilsvarer den konverterte gratis brukerkonto. Deretter utfører du en synkronisering fra Cisco-registerkoblingen. Deretter kan brukeren logge på Webex-appen igjen, og kontoen blir ikke slettet.
Inkrementell synkronisering mislykkes
Problem
En trinnvis synkronisering mislykkes.
Dette problemet kan oppstå på Windows Server 2008 R2 under følgende forhold:
Du støtter trinnvise verdioppdateringer.
Filteret du bruker, refererer til et koblet verdiattributt.
Resultatverdiene for dette attributtet ble oppdatert siden forrige gang en full synkronisering ble utført.
Løsning
Windows Server 2008 R2 har en feil som er relatert til dette problemet. Feilen er rettet i 2012 R2 og nyere. Vi anbefaler at du oppgraderer Windows Server til minst 2012 R2.
Ugyldig verdi for attributt
Problem
For [user dn (distinguished name)] har attributtet [attribute name] følgende ugyldig verdi [attributtverdi].
Mulig årsak
For CN=b,OU=Employees,OU=C Users,DC=c,DC=com, har attributtet [telefonnummer] følgende ugyldig verdi: +. Dette attributtet må inneholde minst ett tall.
Løsning
Et attributt for denne brukeren har ikke en gyldig verdi. Rett verdien i henhold til beskrivelsen i advarselsmelding. Utfør deretter en ny synkronisering.
Samsvarende brukere som skal slettes
Problem
De samsvarende brukerne er merket for å bli slettet.
Når du utfører en tørrkjøringssynkronisering for å sjekke dataene mellom Active Directory og skyen, kan det hende du ser den samme e-postadresse i begge. Brukeren er imidlertid merket som et objekt som skal slettes.
Løsning
Velg en passende løsning:
Hvis det er greit å slette brukeren og gjøre om lisensene etterpå, kan du bruke Katalogkobling for å løse problemet. Utfør en synkronisering for å slette brukeren, og utfør deretter en ny synkronisering for å synkronisere brukeren fra lokal AD til skyen.
Hvis du ikke kan slette og opprette brukerkonto på nytt, åpne en sak med støtte .
Mangler attributt
Problem
Det obligatoriske attributtet [attribute_name ] når du legger til en lokal oppføring [user dn (distinguished name)]. Oppføringen opprettes ikke i Control Hub før alle obligatoriske attributter har en verdi.
Mulig årsak
E- e-postadresse for det obligatoriske attributtet mangler. Når du legger til den lokale oppføringen [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], opprettes ikke oppføringen i Control Hub før alle obligatoriske attributter har en verdi.
Løsning
Ett av de obligatoriske attributtene mangler for brukeren [user_email_address ]. Angi de nødvendige verdiene for denne brukeren.
Nestet gruppe vil ikke synkroniseres
Problem
Brukere i en nestet Active Directory -gruppe synkroniseres ikke riktig til skyen.
Mulig årsak
Det brukes et filter som inkluderer både den underordnede gruppen og den overordnet gruppe, noe som ikke støttes. For eksempel: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Løsning
Du må konfigurere filteret som synkroniserer grupper på nytt. For eksempel: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
Brukernavnekonflikt
Problem
Det er en navnekonflikt for [user dn] for et eksisterende skyoppføringsobjekt med navnet: [user e-postadresse], og av brukertype [user_type ].
Mulig årsak
En bruker med den e-postadresse finnes allerede i Control Hub.
Løsning
Opprett en bruker i Active Directory med samme e-postadresse som kontoen du registrerte via Control Hub.
Control Hub
Brukerliste mangler i Control Hub
Problem
Hvis du har en Webex-organisasjon med mer enn 1000 synkroniserte brukere, kan det hende at du ikke ser brukerliste i Control Hub.
Løsning
Du kan bruke søkefunksjonen til å finne en brukerkonto. I Control Hub går du til Brukere , klikk på søk , og angi deretter søkekriterier for å finne en bestemt bruker.
Grupper vil ikke synkroniseres til Control Hub
Problem
Brukere i en kataloggruppe synkroniseres ikke riktig til Control Hub.
Mulig årsak
Gruppen er ikke merket som isCriticalSystemObject i Active Directory.
Løsning
Kontroller at attributtet isCriticalSystemObject er angitt til TRUE i Active Directory.
Aktiver feilsøking for katalogkobling
Du kan aktivere feilsøking for å diagnostisere eventuelle feil du støter på i Directory Connector. Feilsøking lar deg fange opp informasjon om nettverkstrafikken og lagre den i en fil.
Loggfilene som er: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 | Kjør | ||
| 2 | Start tjenesten på nytt. Se Slik starter du tjenester for veiledning. | ||
| 3 | I Katalogkobling klikker du på Instrumentbord . | ||
| 4 | Gå til Handlinger , og klikk deretter . | ||
| 5 | Når feilsøking er aktivert, gjentar du handlingene som forårsaket feilen. dette fanger opp trafikkdataene slik at de kan undersøkes. | ||
| 6 | Undersøk loggfilene: Hvis filen er tom, må du kontrollere at kontoen har tilgangsrettigheter til AD DS eller AD LDS.
| ||
| 7 | Send om nødvendig loggfil til kundestøtte for å få hjelp. | ||
| 8 | Deaktiver feilsøkingsfunksjonen når du er ferdig. |
Start Event Viewer
Hvis du vil se hendelsene som oppstod under en fullstendig eller trinnvis synkronisering, starter du Hendelsesliste. Den viser et sammendrag av administrative hendelser og feillogger.
| 1 | Fra Katalogkobling går du til Instrumentbord , og klikk deretter . Dialogboksen Egenskaper for hendelse viser detaljene for synkroniseringshendelsen og feilinformasjonen. |
| 2 | Fra Event Viewer, gå til .
|
| 3 | Under Handlinger , klikk Lagre alle hendelser som for å eksportere alle loggene som én enkelt hendelsesfil (*.evtx) eller et annet format, for eksempel xml eller csv. |
Hva nå?
Hvis du må åpne en sak, ta kontakt med kundestøtte , beskriv problemet med kontakten, og legg deretter ved hendelser-filen til saken.
| Hendelseslogger registrerer brukerhandlinger. Hvis du vil ha hjelp til å administrere nettverkstrafikk, aktiverer du feilsøking på kontakten. |
Aktiver TLS i Internet Explorer
Hvis du byttet leverandør av engangspålogging (SSO), kan det hende du ser følgende feilmeldinger fra Cisco-katalogkontakt:
Det oppstod en feil ved pålogging til tjenesten
Det har oppstått en feil i skriptet på denne siden
Hvis du ser disse feilene, må du aktivere en TLS-innstilling i nettleseren.
| 1 | Åpne Internet Explorer, og velg deretter Verktøy . Nå merker du av for TLS/SSL-versjonen du vil aktivere. Klikk på OK Lukk nettleseren og åpne den på nytt |
| 2 | Klikk på Alternativer for Internett , gå til Avansert , bla til Sikkerhet . |
| 3 | Sjekk Bruk TLS 1.1 og Bruk TLS 1.2 avmerkingsboksene, og klikk deretter på OK .
|
| 4 | Start systemet på nytt for at endringene skal tre i kraft. |
Feilsøke innloggingsproblemer for tjenestekonto
Hvis du ikke kan logge på Cisco-registerkontakt eller ikke kan kjøre en synkronisering, bruker du disse trinnene for å prøve å løse problemet før du kontakter kundestøtte.
| 1 | Prøv å besøkehttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL i nettleseren din. | ||
| 2 | Velg én, avhengig av resultatene:
| ||
| 3 | Kontroller som et minimum at den konfigurerte kontoen for Cisco DirSync-tjenesten (som finnes i Windows-tjenester) har et rettighetsnivå som gir den tilgang til avatardata og AD-data. Som standard bruker tjenesten påloggingsinformasjonen og autentiseringen for Windows-påloggingskontoen. |
Sjekk SafeDllSearchMode i Windows-registeret
Søkemodus for Safe dynamic link library (DLL) angis som standard i Windows-registret og plasserer brukerens gjeldende katalog senere i DLL-søkefølgen. Hvis denne modusen på en eller annen måte ble deaktivert, kan en angriper plassere en skadelig DLL (kalt det samme som en referert DLL-fil som ligger i systemmappen) i gjeldende arbeidskatalog for programmet.
Vanligvis er SafeDllSearchMode aktivert, men bruk denne fremgangsmåten til å dobbeltsjekke registerinnstillingene.
Før du starter
| Endringer i Windows-registret bør gjøres med ekstrem forsiktighet. Vi anbefaler at du tar en sikkerhetskopi av registeret før du bruker disse trinnene. |
| 1 | I Windows-søk eller Kjør-vinduet skriver du inn regedit og trykk deretter på Gå inn . |
| 2 | Gå til HKEY_ LOKALT_ MASKIN\System\CurrentControlSet\Control\Session Manager . |
| 3 | Velg én:
|
Hvis du vil ha mer informasjon, se Søkerekkefølge for dynamisk koblingsbibliotek .
Oversikt over katalogkobling
Katalogkobling er et lokalt program for identitetssynkronisering i skyen. Du laster ned kontaktprogramvaren fra Control Hub og installerer den på din lokale maskin.
Med Directory Connector kan du vedlikeholde brukerkontoene og dataene i Active Directory, slik at Active Directory blir den eneste kilden til sannhet. Når du gjør en endring lokalt, blir den replikert til skyen.
Se alle funksjonene, beskrivelsene og fordelene i tabellen:
| Funksjon | Beskrivelse og fordel |
|---|---|
| Brukervennlig instrumentbord | Instrumentbordet inneholder en synkroniseringsplan, et sammendrag og status for synkroniseringen, og statusen for katalogkoblingen. Du kan vise instrumentbordet når du logger på. |
| Tørrkjør før synkronisering til skyen | Gjennomfør en tørrkjøring med endringer i katalogen før de implementeres i skyen. Kjør deretter en rapport for å se at endringene du vil gjøre, er de du forventer. |
| Full og trinnvis synkronisering | Synkroniser hele katalogen. Eller bare synkroniser de trinnvise endringene for å spare prosessorstrøm og forkorte synkroniseringstiden. |
Synkronisere flere domener (enkeltskog eller flere skoger) |
Katalogkobling støtter flere domener, enten under én enkelt skog eller under flere skoger (uten behov for AD LDS). For bedrifter med flere Active Directory -domener kan du installere en katalogkobling for hvert domene, binde hvert domene til organisasjonen og deretter synkronisere hver brukerbase til Webex. Control Hub gjenspeiler statusen ved å vise synkroniseringsstatusen for flere katalogkoblinger, lar deg slå av synkronisering for et bestemt domene og deaktivere en katalogkobling i en distribusjon med høy tilgjengelighet . |
| Planlagt synkronisering | Angi en synkroniseringsplan etter dag, time og minutt. |
| LDAP-filtre ( Lightweight Directory Access Protocol ). | Definer LDAP søkekriterier og gi effektiv import. |
| Active Directory -attributter | Tilordne Microsoft Active Directory -attributter til tilsvarende Webex-skyattributter. Du kan tilordne attributter som er relevante for Active Directory -konfigurasjonen din, og også definere egendefinerte attributter som skal tilordnes til skyen. Attributtene fra lokalene danner forskjellige data i skyen, for eksempel brukerkonto , bedriftstelefonnumre i Webex Teams, SIP-adresser for romressurser og andre kontaktkort for brukerkontakt (jobbtittel, avdeling, leder og så videre). |
Bedriftskatalog for lokale romressurser og brukere av Cisco Webex Calling (Cloud PSTN) og bedriftskontakter uten Webex-lisensiering |
Hvis en del av organisasjonen bruker Cisco Webex Calling sky PSTN for samtaletjeneste, eller du har lokale rom-enheter, lar denne funksjonen brukere søke i katalogen etter bedriftskontakter fra sine Cisco Webex Calling telefoner (PSTN i sky) eller romressurser.
|
| Hendelsesvisning | Bruk hendelsesvisningen til å finne ut om det var problemer med synkroniseringen. |
| Diagnoseverktøy og feilsøking | Du kan bruke det innebygde diagnoseverktøyet til å feilsøke distribusjonen av Cisco-registerkoblingen. Hvis synkroniseringen ikke fungerte som den skal, kan det hende du har en konfigurasjons- eller nettverksfeil. Dette verktøyet tester tilkoblingen til Active Directory, slik at du kan diagnostisere feil selv før du kontakter kundestøtte. Når du aktiverer feilsøking i Directory Connector, skrives det logger som kan sendes til teknisk støtte. |
| Automatisk oppgradering | Når du har installert Directory Connector, blir du sendt et varsel hver gang en ny versjon av programvaren er tilgjengelig. Du kan konfigurere automatiske oppgraderinger slik at du alltid bruker den nyeste versjonen av programvaren når en ny versjon utgis. |
| Høy tilgjengelighet | Konfigurer flere kontakter slik at det finnes en sikkerhetskopi, i tilfelle hovedkontakten eller maskinen som er vert for den, går ned. |
Katalogkobling er delt inn i tre områder:
Kontrollhub er det enkle grensesnittet som lar deg administrere alle aspekter av Webex-organisasjonen din: vise brukere, tilordne lisenser, laste ned Directory Connector og konfigurere engangspålogging (SSO) hvis du vil at brukerne skal autentisere seg gjennom bedriftsidentitetsleverandøren og du ikke vil sende e-postinvitasjoner for Webex-appen.
Administrasjonsgrensesnitt for katalogkobling er programvaren du laster ned fra Control Hub og installerer på en klarert Windows-server. For flere Active Directory -domener kan du installere ett øyeblikk av programvaren for hvert domene du vil synkronisere. Ved hjelp av programvaren kan du kjøre en synkronisering for å overføre Active Directory -brukerkontoene dine til Webex, vise og overvåke synkroniseringsstatus og konfigurere Directory Connector-tjenester.
Katalogsynkroniseringstjeneste spør Active Directory for å hente brukere og grupper som skal synkroniseres til koblingstjenesten og katalogkobling.
Se dette diagrammet for å forstå arkitekturen for katalogkobling:
Krav for katalogkobling
Krav til Windows og Active Directory
Du kan installere Directory Connector på disse støttede Windows-serverne:
Windows Server 2012
Windows Server 2019
Windows Server 2016
| For å løse et problem med informasjonskapsler anbefaler vi at du oppgraderer domenekontrolleren til en versjon som inneholder feilrettingen— Windows Server 2012 R2 eller 2016 . |
Katalogkobling støttes med følgende Active Directory -tjenester:
Active Directory 2016
(Katalogkobling støttes når du bruker den nyeste versjonen av Active Directory på Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008
Vær oppmerksom på følgende tilleggskrav:
Katalogkobling krever TLS1.2. Du må installere følgende:
.NET Framework v3.5 (obligatorisk for Directory Connector-programmet. Hvis du støter på problemer, kan du bruke veiledningen i Aktiver .NET Framework 3.5 ved hjelp av veiviseren for å legge til roller og funksjoner .)
.NET Framework v.4.5 (obligatorisk for TLS1.2)
Active Directory -skogfunksjonsnivå 2 (Windows Server 2003) eller høyere er obligatorisk. (Se Hva er funksjonsnivåer i Active Directory ? for mer informasjon.)
Maskinvarekrav
Du må installere Directory Connector på en datamaskin med disse minimumskravene til maskinvare:
8 GB RAM
50 GB lagringsplass
Ingen minimum for CPU
Nettverkskrav
Hvis nettverket ditt er bak en brannmur, må du kontrollere at systemet har HTTPS-tilgang (port 443) til Internett.
Krav til Webex-organisasjon
For å få tilgang til Directory Connector-programvaren fra Control Hub trenger du en Webex-organisasjon med en prøveversjon eller et betalt abonnement.
(Valgfritt) Hvis du vil at nye brukerkontoer for Webex-appen skal være aktive før de logger på første gang, anbefaler vi at du gjør følgende:
Legg til, bekreft og eventuelt gjør krav på domener som inneholder brukerens e-postadresser du vil synkronisere til skyen.
Utfør SSO engangspålogging ). til identitetsleverandøren (IdP) med Webex-organisasjonen din.
Undertrykk automatiske e-postinvitasjoner , slik at nye brukere ikke mottar den automatiske e-postinvitasjonen, og du kan lage din egen e-postkampanje. (Denne funksjonen krever SSO-integrering.)
| Hvis du vil ha mer informasjon, se Brukerstatuser og handlinger i Control Hub . |
Installasjonskrav
For et miljø med flere domener (enten én skog eller flere skoger), må du installere én katalogkobling for hvert Active Directory -domene. Hvis du vil synkronisere et nytt domene (B) mens du opprettholder de synkroniserte brukerdataene på et annet eksisterende domene (A), må du kontrollere at du har en egen støttet Windows-server for å installere Directory Connector for domene (B)-synkronisering.
For å logge på koblingen krever vi ikke en administrativ konto i Active Directory. Vi krever en lokal brukerkonto som er den samme brukeren som en fullstendig administratorkonto i Control Hub.
Denne lokale brukeren må ha rettigheter på den Windows-maskinen for å koble til domenekontrolleren og lese Active Directory -brukerobjekter. Maskinens påloggingskonto må være en administrator med rettigheter til å installere programvare på den lokale maskinen. (Denne informasjonen gjelder også for pålogging for virtuell maskin.)
Når du logger på koblingen, må påloggingskontoen være den samme som den fullstendige administratorkontoen for Control Hub. Som standard bruker koblingen den lokale systemkontoen for å få tilgang til Active Directory. Du kan imidlertid bruke Windows-tjenester til å konfigurere en annen konto for å få tilgang til Active Directory. (Denne informasjonen gjelder også for pålogging for virtuell maskin.)
Kontroller at søkemodusen for Windows Safe DLL (dynamic link library) er aktivert ved hjelp av denne fremgangsmåten: Sjekk SafeDllSearchMode i Windows-registeret .
Hvis du bruker AD LDS for flere domener i én enkelt skog, anbefaler vi at du installerer katalogkobling og Active Directory Domain Service/ Active Directory Lightweight Directory Services (AD DS/AD LDS) på separate maskiner.
Krav til flere domener
Før du følger oppgavene i Oppgaveflyt for distribusjon av Cisco-katalogkontakt , må du huske på følgende krav og anbefalinger hvis du skal synkronisere Active Directory -informasjon fra flere domener til skyen:
Det kreves en egen forekomst av Directory Connector for hvert domene.
Katalogkoblingsprogramvaren må kjøres på en vert som er på samme domene som den skal synkronisere.
Vi anbefaler at du bekrefter eller gjør krav på domenene dine i Control Hub. (Se Legg til, bekreft og gjør krav på domener .)
Hvis du vil synkronisere mer enn 50 domener, må du åpne en billett for å få organisasjonen flyttet til en stor organisasjonsliste.
Om ønskelig kan du synkronisere romressursinformasjon sammen med brukerkontoer. (Se Synkronisere lokal rominformasjon til Webex Cloud .)
Anbefalinger for Active Directory gruppe for automatisk lisenstilordning
Active Directory -grupper brukes til å samle brukerkontoer, datakontoer og andre grupper i administrerbare enheter. Arbeid med grupper i stedet for med individuelle brukere bidrar til å forenkle nettverksvedlikehold og -administrasjon.
Det finnes to typer grupper i Active Directory:
Distribusjonsgrupper – Brukes til å opprette distribusjonslister for e-post.
Sikkerhetsgrupper – Brukes til å tilordne tillatelser til delte ressurser.
Vurder følgende retningslinjer når du oppretter grupper i Active Directory:
Opprett en global gruppe for hver rolle, avdeling eller tjeneste (for eksempel salg, markedsføring, ledere, regnskapsførere, Webex-lisensiering og så videre).
Bruk standard navnekonvensjoner på tvers av organisasjonen for å gjøre det enkelt å identifisere viktig informasjon om en gruppe. Gruppenavn kan inneholde detaljer om gruppen, for eksempel tilgangsnivå, ressurstype, sikkerhetsnivå, gruppeomfang, e-postfunksjon og så videre. for eksempel gruppenavn «GSG_ Webex_ Licensing_ EMEAR» refererer til en global sikkerhetsgruppe for EMEAR-brukere med Webex-lisensiering.
Organiser grupper på en lettfattelig måte, for eksempel etter geografi eller lederhierarki. Bruk gruppebeskrivelser for å fullstendig beskrive formålet med gruppen.
Før du legger til brukere i nylig klargjorte grupper, må du definere malen for automatisk lisensgruppe i Control Hub for disse gruppene. Se Konfigurer malen for automatisk lisenstildeling hvis du vil ha mer informasjon.
Størrelsesinformasjon
Katalogkobling fungerer som en bro mellom den lokale Active Directory og Webex-skyen. Som sådan har ikke koblingen en øvre grense for hvor mange Active Directory -objekter som kan synkroniseres til skyen. Eventuelle begrensninger for lokale katalogobjekter er knyttet til den spesifikke versjonen av og spesifikasjonene for Active Directory -miljøet som synkroniseres til skyen, ikke til selve koblingen.
Noen få faktorer kan påvirke hastigheten på synkroniseringen:
Totalt antall Active Directory -objekter. (En synkroniseringsjobb på 5000 brukere vil ikke ta så lang tid som 50000.)
Nettverkshastighet og båndbredde.
Systemarbeidsmengde og spesifikasjoner.
| Hvis du synkroniserer mer enn 50 000 brukere, anbefaler vi på det sterkeste at du bruker en ny kontakt for failover og redundans. |
| Siden flere faktorer er involvert i synkronisering, og fordi hver distribusjon varierer avhengig av faktorene ovenfor, kan vi ikke oppgi spesifikke tidsverdier for hvor lang tid en objektsynkronisering vil ta. |
Sjekk SafeDllSearchMode i Windows-registeret
Søkemodus for Safe dynamic link library (DLL) angis som standard i Windows-registret og plasserer brukerens gjeldende katalog senere i DLL-søkefølgen. Hvis denne modusen på en eller annen måte ble deaktivert, kan en angriper plassere en skadelig DLL (kalt det samme som en referert DLL-fil som ligger i systemmappen) i gjeldende arbeidskatalog for programmet.
Vanligvis er SafeDllSearchMode aktivert, men bruk denne fremgangsmåten til å dobbeltsjekke registerinnstillingene.
Før du starter
| Endringer i Windows-registret bør gjøres med ekstrem forsiktighet. Vi anbefaler at du tar en sikkerhetskopi av registeret før du bruker disse trinnene. |
| 1 | I Windows-søk eller Kjør-vinduet skriver du inn regedit og trykk deretter på Gå inn . |
| 2 | Gå til HKEY_ LOKALT_ MASKIN\System\CurrentControlSet\Control\Session Manager . |
| 3 | Velg én:
|
Hvis du vil ha mer informasjon, se Søkerekkefølge for dynamisk koblingsbibliotek .
Web-proxy-integrering
Web-proxy-integrering
Hvis nettproxy-autentisering er aktivert i miljøet ditt, kan du fortsatt bruke Katalogkobling.
Hvis organisasjonen bruker en gjennomsiktig nettproxy, støtter den ikke autentisering. Kontakten kobler til og synkroniserer brukere.
Du kan bruke en av disse tilnærmingene:
Eksplisitt nettproxy via Internet Explorer (koblingen arver innstillingene for nettproxy)
Eksplisitt nettproxy via en .pac-fil (koblingen arver bedriftsspesifikke proxy-innstillinger)
Gjennomsiktig proxy som fungerer med kontakten uten endringer
Bruke en nettproxy via nettleseren
Du kan konfigurere Directory Connector til å bruke en web-proxy via Internet Explorer.
Hvis Cisco DirSync-tjenesten kjører fra en annen konto enn den nåværende påloggede brukeren, må du også logge på med denne kontoen og konfigurere nettproxy.
| 1 | Fra Internet Explorer går du til Alternativer for Internett , klikk Tilkoblinger , og velg deretter LAN-innstillinger . | ||
| 2 | Pek på Windows-forekomsten der kontakten er installert på nettproxyen. Koblingen arver disse nettproxy-innstillingene. | ||
| 3 | Hvis miljøet ditt bruker proxy-autentisering, legger du til disse nettadressene i den tillatte listen:
Du kan utføre dette enten for hele nettstedet (for alle verter) eller bare for verten som har koblingen.
| ||
| 4 | Hvis miljøet ditt trenger å be om lister over tilbakekall av sertifikater fra sertifiseringsinstanser, legger du til disse nettadressene i den tillatte listen:
Hvis du vil ha mer informasjon, kan du se denne artikkelen om domener og URL-er som må ha tilgang til for Webex-tjenester . |
Konfigurere Web-proxy gjennom en PAC-fil
Du kan konfigurere en klientnettleser til å bruke en .pac-fil. Denne filen inneholder nettproxyadressen og portinformasjonen. Katalogkobling arver den bedriftsspesifikke nettproxy-konfigurasjonen direkte.
| 1 | For at koblingen skal kunne koble til og synkronisere brukerinformasjon til Webex-skyen, må du kontrollere at proxy-autentisering er deaktivert for | ||
| 2 | Hvis miljøet ditt bruker proxy-autentisering, legger du til disse nettadressene i den tillatte listen:
Du kan utføre dette enten for hele nettstedet (for alle verter) eller bare for verten som har koblingen.
| ||
| 3 | Hvis miljøet ditt trenger å be om lister over tilbakekall av sertifikater fra sertifiseringsinstanser, legger du til disse nettadressene i den tillatte listen:
Hvis du vil ha mer informasjon, kan du se denne artikkelen om domener og URL-er som må ha tilgang til for Webex-tjenester . |
NTLM-proxy
Katalogkobling støtter NT LAN Manager (NTLM) . NTLM er en tilnærming for å støtte Windows-godkjenning mellom domeneenhetene og sikre deres sikkerhet.
NTLM-design
I de fleste tilfeller ønsker en bruker å få tilgang til en annen arbeidsstasjonsressurser via en klient-PC, noe som kan være vanskelig å gjøre på en sikker måte.
Generelt er den tekniske utformingen av NTLM basert på en mekanisme for Utfordring
og Svar
:
En bruker logger på en klient-PC via en Windows-konto og et passord. Passordet lagres aldri lokalt. I stedet for et passord i ren tekst, lagres en hash-verdi for passordet lokalt. Når en bruker logger på klienten via passordet, sammenligner Windows OS den lagrede hashverdien og hashverdien fra inndatapassordet. Hvis begge er like, godkjennes godkjenningen.
Når brukeren ønsker å få tilgang til en ressurs på en annen server, sender klienten en forespørsel til serveren med kontonavn i ren tekst.
Når serveren mottar forespørselen, genererer serveren en 16-biters tilfeldig nøkkel. Nøkkelen heter Challenge (eller Nonce). Før serveren sender tilbake til klienten, lagres utfordringen på serveren. Og så sender serveren utfordringen til klienten i ren tekst.
Så snart klienten mottar utfordringen sendt fra serveren, krypterer klienten utfordringen med hash-verdien som ble nevnt i trinn 1. Etter kryptering sendes verdien tilbake til serveren.
Når serveren mottar den krypterte verdien fra klienten, sender serveren den til domenekontrolleren for verifisering. Forespørselen inkluderer: kontonavn, kryptert utfordring som klienten sendte, og den opprinnelige vanlige utfordringen.
Domenekontrolleren kan hente hashverdiene for passord i henhold til kontonavn. Og så kan domenekontrolleren kryptere på den opprinnelige utfordringen. Doman-kontrolleren kan deretter sammenligne med den mottatte hashverdien og den krypterte hashverdien. Hvis de er de samme, er bekreftelsen vellykket.
| Windows har sikkerhetsautentisering innebygd i operativsystem, noe som gjør det enklere for programmer å støtte sikkerhetsautentisering. Som et resultat av dette trenger du ikke fullføre ytterligere konfigurasjon. |
Konfigurer gjennomsiktig proxy
I dette scenariet er nettleseren ikke klar over at en gjennomsiktig nettproxy fanger opp http-forespørsler (port 80/port 443), og det kreves ingen konfigurasjon på klientsiden.
| 1 | Distribuer en gjennomsiktig proxy, slik at koblingen kan koble til og synkronisere brukere. |
| 2 | Bekreft at proxyen er vellykket – du ser et forventet hurtigmenyvindu for nettleserautentisering når du starter koblingen. |
Angi proxy-autentisering
Legg til nettadressen cloudconnector.webex.com til den tillatte listen ved å opprette en tilgangskontrollliste.
På bedriftens brannmurserver:
| 1 | Aktiver DNS-oppslag hvis det ikke allerede er aktivert. |
| 2 | Bestem en estimert båndbredde for denne tilkoblingen (ca. 2 MB/s eller mindre for kontakten). Dette er kanskje ikke nødvendig. |
| 3 | Opprett en tilgangskontrollliste som skal brukes på koblingsverten, og angi For eksempel: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
| 4 | Bruk denne tilgangskontrollisten på riktig brannmurgrensesnitt, som bare gjelder for denne verten med én kobling. |
| 5 | Kontroller at resten av vertene i bedriften fortsatt er pålagt å bruke nettproxyen ved å konfigurere den riktige implisitte deny-setningen. |
Oppgaveflyt for distribusjon av Cisco-katalogkontakt
Før du starter
| 1 | Installere Directory Connector Control Hub viser først katalogsynkronisering som deaktivert. Hvis du vil aktivere katalogsynkronisering for organisasjonen, må du installere og konfigurere Katalogkobling, og deretter utføre en fullstendig synkronisering. For en ny installasjon av Directory Connector går du alltid til Control Hub (https://admin.webex.com ) for å få den nyeste versjonen av programvaren, slik at du bruker de nyeste funksjonene og feilrettingene. Når du har installert programvaren, rapporteres oppgraderinger gjennom programvaren og installeres automatisk når de er tilgjengelige. |
| 2 |
Logg på med Webex- administrator og utfør det første oppsettet. |
| 3 | Angi automatiske oppgraderinger Det er alltid viktig å holde Directory Connector-programvaren oppdatert til den nyeste versjonen. Vi anbefaler at du bruker denne fremgangsmåten for å la automatiske oppgraderinger av programvaren installeres lydløst når de er tilgjengelige. |
| 4 | Velg Active Directory -objekter som skal synkroniseres Som standard synkroniserer Katalogkobling alle brukere som ikke er datamaskiner, og alle grupper som ikke er kritiske systemobjekter for et domene. Hvis du vil ha mer kontroll over hvilke objekter som skal synkroniseres, kan du velge bestemte brukere som skal synkroniseres og angi LDAP-filtre ved hjelp av siden Objektvalg i Katalogkobling. |
| 5 |
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen. Det eneste obligatorisk felt er *uid. |
| 6 | Synkroniser katalogavatarer ved hjelp av en av følgende fremgangsmåter:
Du kan synkronisere brukernes avatarer til skyen, slik at hver brukers avatar vises når de logger på applikasjonen. Du kan synkronisere avatarer fra et Active Directory -attributt eller en ressursserver. |
| 7 | Synkronisere lokal rominformasjon til Webex Cloud Bruk denne fremgangsmåten til å synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte romenheter, for eksempel en Webex Room-enhet eller Cisco Webex Board |
| 8 | Til Klargjøre brukere fra Active Directory til Control Hub , utfør disse trinnene:
Følg denne sekvensen for å klargjøre Active Directory -brukere for Webex-appkontoer. Du kan klargjøre brukere fra Active Directory -distribusjon for flere skoger eller flere domener for Directory Connector 3.0 og nyere. I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Målet er å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen. |
Installere Directory Connector
Control Hub viser først katalogsynkronisering som deaktivert. Hvis du vil aktivere katalogsynkronisering for organisasjonen, må du installere og konfigurere Katalogkobling, og deretter utføre en fullstendig synkronisering.
Du må installere én kobling for hvert Active Directory -domene du vil synkronisere. En enkelt Directory Connector-forekomst kan bare betjene ett enkelt domene. Se diagrammet nedenfor for å forstå flyten for domenesynkronisering:
Før du starter
Hvis du autentiserer via en proxy-server, må du kontrollere at du har proxy-legitimasjonen din:
For grunnleggende proxy-godkjenning skriver du inn brukernavn og passord etter at du har installert en forekomst av koblingen. Proxykonfigurasjon for Internet Explorer er også nødvendig for grunnleggende godkjenning. se Bruke en nettproxy via nettleseren
For proxy NTLM kan det hende at du ser en feilmelding når du åpner kontakten for første gang. Se Bruke en nettproxy via nettleseren .
| 1 | I Kontrollhub , gå til , og velg Neste . | ||
| 2 | Klikk på Last ned og installer koblingen for å lagre den nyeste versjonen av .zip-filen for connectorinstallasjon på VMware- eller Windows-serveren. Du kan hente ZIP-filen direkte fra denne koblingen , men du må ha full administrativ tilgang til en Control Hub-organisasjon for at denne programvaren skal fungere.
| ||
| 3 | På VMware- eller Windows-serveren pakker du ut og kjører .msi-filen i installasjonsmappen for å starte installasjonsveiviseren. | ||
| 4 | Klikk på Neste , merk av i boksen for å godta lisensavtale, og klikk deretter på Neste til du ser skjermen for kontotype. | ||
| 5 | Velg typen tjenestekonto du vil bruke, og utfør installasjonen med en administratorkonto:
For å unngå feil må du kontrollere at følgende rettigheter er på plass:
| ||
| 6 | Klikk på Installer. Når nettverkstesten er kjørt, og hvis du blir bedt om det, skriver du inn den grunnleggende legitimasjonen for proxyen, klikker på OK , og klikk deretter Fullfør . |
Hva nå?
Vi anbefaler at du starter serveren på nytt etter installasjonen. Tørrkjøringsrapporten kan ikke vise riktig resultat når dataene ikke ble utgitt. Under omstart av maskinen oppdateres alle data for å vise et nøyaktig resultat i rapporten.
Logg på katalogkobling
Før du starter
Kontroller at du har proxy-legitimasjonen din.
For proxy basic-auth skriver du inn brukernavn og passord etter at du åpner koblingen for første gang.
For proxy-NTLM åpner du Internet Explorer, klikker på tannhjulikonet og går til Alternativer for Internett > Tilkoblinger > LAN-innstillinger , kontroller at informasjonen om proxy-server er lagt til, og klikk deretter på OK . Se Bruke en nettproxy via nettleseren .
| 1 | Åpne kontakten, og legg til | ||||
| 2 | Hvis du blir bedt om det, logger du på med påloggingsinformasjonen for proxy-autentisering, og deretter logger du på Webex ved hjelp av administratorkontoen din og klikker på Neste . | ||||
| 3 | Bekreft organisasjonen og domenet.
| ||||
| 4 | Etter at Bekreft organisasjon skjermen vises, klikker du på Bekreft . Hvis du allerede har bundet AD DS/AD LDS, vil Bekreft organisasjon skjermen vises. | ||||
| 5 | Klikk på Bekreft . | ||||
| 6 | Velg ett, avhengig av hvor mange Active Directory -domener du vil binde til Directory Connector:
|
Hva nå?
Når du har logget på, blir du bedt om å utføre en tørrkjøringssynkronisering.
Instrumentbord for katalogkobling
Første gang du logger deg på Directory Connector, vises instrumentbordet. Her kan du vise et sammendrag av alle synkroniseringsaktiviteter, vise skystatistikk, utføre en tørrkjøringssynkronisering, starte en full eller trinnvis synkronisering og starte hendelsesvisningen for å se feilinformasjon.
| Hvis økten blir tidsavbrutt, må du logge på igjen. |
Du kan enkelt kjøre disse oppgavene fra verktøylinjen for handlinger eller menyen for handlinger.
Komponent | Beskrivelse |
|---|---|
Gjeldende synkronisering |
Viser statusinformasjonen om synkroniseringen som pågår for øyeblikket. Når ingen synkronisering kjøres, er statusvisningen inaktiv. |
Neste Synkronisering |
Viser de neste planlagte fullstendige og trinnvise synkroniseringene. Hvis det ikke er angitt noen tidsplan, Ikke planlagt vises. |
Siste synkronisering |
Viser statusen for de to siste synkroniseringene som ble utført. |
Gjeldende synkroniseringsstatus |
Viser den generelle statusen for synkroniseringen. |
Koblinger |
Viser de gjeldende lokale kontaktene som er tilgjengelige for skyen. |
Skystatistikk |
Viser den generelle statusen for synkroniseringen. |
Tidsplan for synkronisering |
Viser synkroniseringsplanen for trinnvis og full synkronisering. |
Sammendrag av konfigurasjon |
Viser innstillingene du endret i konfigurasjonen. Sammendraget kan for eksempel inneholde følgende:
|
| Handling | Beskrivelse | ||
|---|---|---|---|
| Start trinnvis synkronisering | Start en trinnvis synkronisering manuelt
|
||
Synkroniser tørrkjøring |
Utfør en tørrkjøringssynkronisering. |
||
Start Event Viewer |
Start Microsoft Event Viewer. |
||
Oppdater |
Oppdater instrumentbordet for Cisco-registerkontakt |
Handling | Beskrivelse |
|---|---|
| Synkroniser nå | Start en full synkronisering umiddelbart. |
Synkroniseringsmodus |
Velg enten trinnvis eller full synkroniseringsmodus. |
Tilbakestill kontakthemmeligheten |
Etablere en samtale mellom Cisco-registerkontakt og kontakttjenesten. Hvis du velger denne handlingen, tilbakestilles hemmeligheten i skyen, og deretter lagres hemmeligheten lokalt. |
Tomkjøring |
Utfør en test av synkroniseringsprosessen. Du må gjøre en tørrkjøring før du utfører en full synkronisering. |
Feilsøking |
Slå feilsøking på/av. |
Oppdater |
Oppdater hovedskjerm for Cisco-katalogkontakt. |
Avslutt |
Avslutt Cisco-katalogkontakt. |
Tastekombinasjon | Handling |
|---|---|
Alt +A |
Vis Handlinger -menyen |
|
Synkronisering nå |
|
Tilbakestill kontakthemmeligheten |
|
Tørrløp |
|
Inkrementell synkronisering |
|
Full synkronisering |
|
Vis Hjelp -menyen |
|
Hjelp |
|
Om |
|
Vanlige spørsmål |
Angi automatiske oppgraderinger
| 1 | Fra Katalogkobling går du til , og kontroller Oppgrader automatisk til den nye versjonen av Cisco Directory Connector . |
| 2 | Klikk på Bruk for å lagre endringene. |
Nye versjoner av kontakten installeres automatisk når de er tilgjengelige.
| Du kan administrere oppgraderinger manuelt hvis du foretrekker det. Se Oppgrader til den nyeste programvareversjonen hvis du vil ha mer informasjon. |
Velg Active Directory -objekter som skal synkroniseres
Som standard synkroniserer Katalogkobling alle brukere som ikke er datamaskiner, og alle grupper som ikke er kritiske systemobjekter for et domene. Hvis du vil ha mer kontroll over hvilke objekter som skal synkroniseres, kan du velge bestemte brukere som skal synkroniseres og angi LDAP-filtre ved hjelp av siden Objektvalg i Katalogkobling.
Grupper for automatisk lisenstilordning
Control Hub lar deg administrere lisenstildelinger for hver gruppe. Du kan opprette lisensmaler og tilordne dem til Active Directory -grupper som du synkroniserer til skyen. Når brukeren opprettes, kontrollerer Webex brukermedlemskap og automatisk tilordning av lisensmaler for den nye brukeren.
Vi anbefaler at du bruker et LDAP-filter for bare å synkronisere relevante grupper til skyen. Du kan for eksempel angi filteret til:
(&(cn=Example)(objectclass=Group))*
Dette filteret synkroniserer alle grupper i base-DN der navnet begynner med Eksempel. Brukere som ikke er tilordnet grupper, tilordnes lisenser fra den standard automatiske lisensmalen du konfigurerte i Control Hub.
Grupper for hybrid distribusjon av datasikkerhet
I Katalogkobling må du sjekke Grupper hvis du bruker Hybrid Data Security til å konfigurere en prøvegruppe for pilotbrukere. Se Distribusjonsveiledning for hybrid datasikkerhet for veiledning. Denne Katalogkobling-innstillingen påvirker ikke andre brukeres synkronisering til skyen.
| 1 | Fra Katalogkobling går du til Konfigurasjon , og klikk deretter Objektvalg . | ||
| 2 | I Objekttype seksjon, sjekk Brukere , og vurder å begrense antall søkbare beholdere for brukere. Hvis du for eksempel bare vil synkronisere brukere i en bestemt gruppe, må du angi et LDAP-filter i Brukere Felt for LDAP-filtre. Hvis du vil synkronisere brukere som er i Eksempelbehandler-gruppen, bruker du et filter som dette:
| ||
| 3 | Sjekk Identifiser rom for å skille romdata fra brukerdata. Klikk på Tilpass hvis du vil konfigurere flere attributter for å identifisere brukerdata som romdata. Bruk denne innstillingen hvis du vil synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte romenheter. Hvis du vil ha mer informasjon, se Synkronisere lokal rominformasjon til Webex Cloud . | ||
| 4 | Sjekk Grupper hvis du vil synkronisere Active Directory -brukergruppene til skyen. Ikke legg til et LDAP-filter for brukersynkronisering i Grupper-feltet. Du bør bare bruke Grupper-feltet til å synkronisere selve gruppedataene til skyen.
| ||
| 5 | Sjekk Kontakter hvis du vil synkronisere kontaktinformasjon til brukerne til skyen.
| ||
| 6 | Konfigurer LDAP filtre. Du kan legge til utvidede filtre ved å oppgi et gyldig LDAP-filter. Se denne artikkelen hvis du vil ha mer informasjon om konfigurering av LDAP-filtre. | ||
| 7 | Angi On Premises base-DN-er som skal synkroniseres ved å klikke Velg for å se trestrukturen til Active Directory. Herfra kan du velge eller oppheve merkingen av hvilke beholdere du vil søke på. | ||
| 8 | Kontroller at objektene du vil legge til for denne konfigurasjonen, og klikk på Velg . Du kan velge individuelle eller overordnede beholdere som skal brukes til synkronisering. Velg en overordnet beholder for å aktivere alle underordnede beholdere. Hvis du velger en underordnet beholder, viser den overordnede beholderen en grå hake som angir at en underordnet beholder er blitt kontrollert. Deretter kan du klikke Velg for å godta Active Directory -beholderne du sjekket. Hvis organisasjonen plasserer alle brukere og grupper i Brukere-beholderen, trenger du ikke å søke i andre beholdere. Hvis organisasjonen er delt inn i organisasjonsenheter, må du kontrollere at du velger OE . | ||
| 9 | Klikk på Bruk. Velg et alternativ:
Hvis du vil ha informasjon om tørrkjøringer, se Utfør en tørrkjøringssynkronisering på Active Directory -brukere . For gruppesynkronisering må du utføre en full synkronisering: Utfør en fullstendig synkronisering av Active Directory -brukere til skyen . |
Tilordne brukerattributter
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen. Det eneste obligatorisk felt er *uid, en unik identifikator for hver brukerkonto i skyidentitetstjenesten.
Du kan velge hvilket Active Directory -attributt som skal tilordnes til skyen – du kan for eksempel tilordne firstName lastName i Active Directory eller et egendefinert attributtuttrykk til displayName i skyen.
| Kontoer i Active Directory må ha en e-postadresse. uid-en tilordnes som standard til |
Hvis du velger å la det foretrukne språket komme fra Active Directory, er Active Directory den eneste kilden til sannhet: brukere vil ikke kunne endre språkinnstillingen i Webex-innstillinger, og administratorer vil ikke kunne endre innstillingen i Control Hub.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tilordning av brukerattributter . Denne siden viser attributtnavnene for Active Directory (til venstre) og Webex-skyen (til høyre). Alle obligatoriske attributter er merket med en rød stjerne. | ||||
| 2 | Bla ned til bunnen av Active Directory -attributtnavn , og velg deretter ett av disse Active Directory -attributtene som skal tilordnes til skyattributtet uid :
Du kan tilordne alle de andre Active Directory -attributtene til uid, men vi anbefaler at du bruker e-post eller userPrincipalName, som dekket i retningslinjene ovenfor. I noen tilfeller brukes userPrincipalName til pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. Du må sørge for at e-postadresse for kalenderbehandling er tilordnet til det primære e-postadresse i Webex. Legg til userPrincipalName som en alternativ e-postadresse. Hvis du vil se hvilke attributter i Active Directory tilsvarer i skyen, kan du se Tilordning av Active Directory -attributter i Directory Connector .
| ||||
| 3 | Hvis de forhåndsdefinerte Active Directory -attributtene ikke fungerer for distribusjonen, klikker du på rullegardinlisten for attributt, blar til bunnen og velger Tilpass attributt for å åpne et vindu som lar deg definere et attributtuttrykk.
I dette eksemplet skal vi tilordne Active Directory -attributtene
| ||||
| 4 | (Valgfritt) Velg tilordninger for mobil og telefonnummer hvis du vil at mobil- og jobbnumre skal vises, for eksempel i brukerens kontaktkort i Webex-appen. telefonnummer vises i Webex-appen når en bruker holder pekeren over en annen brukers profilbilde. Hvis du vil ha mer informasjon om å ringe fra en brukers kontaktkort, se Installasjonsveiledning for å anrope Webex (Unified CM) . (administratorer). | ||||
| 5 | Velg flere tilordninger for at flere data skal vises i kontaktkort:
Etter at attributtene er tilordnet, vises informasjonen når en bruker holder pekeren over en annen brukers profilbilde:
Hvis du vil ha mer informasjon om kontaktkort, kan du se Bekreft hvem du kontakter . Når disse attributtene er synkronisert til hver brukerkonto, kan du også slå på People Insights i Control Hub. Denne funksjonen lar brukere av Webex-appen dele mer informasjon i profilene sine og lære mer om hverandre. Hvis du vil ha mer informasjon om funksjonen og hvordan du aktiverer den, kan du se People Insights -profiler for Webex, Jabber, Webex Meetings og Webex Events (ny) i Control Hub | ||||
| 6 | Når du har gjort valgene, klikker du Bruk . |
Alle brukerdata som finnes i Active Directory, overskriver dataene i skyen som tilsvarer denne brukeren. Hvis du for eksempel opprettet en bruker manuelt i Control Hub, må brukerens e-postadresse være identisk med e-postadressen i Active Directory. Alle brukere som ikke har en tilsvarende e-postadresse i Active Directory , slettes.
| Slettede brukere beholdes i skyidentitetstjenesten i syv dager før de slettes permanent. |
Active Directory og skyattributter
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen ved hjelp av Tilordning av brukerattributter -fanen.
Denne tabellen sammenligner tilordningen mellom Active Directory -attributtnavn og Cisco Cloud -attributtnavn. Disse verdiene og tilordningene er standardinnstilling i Katalogkobling. Du kan velge forskjellige attributter i Active Directory -rullegardinlistene og bestemme hvilket lokale attributt som skal synkroniseres med hvilket skyattributt.
Se på rullegardinattributtene som forhåndsinnstillinger. Som et alternativ til verdiene i Active Directory -raden kan du også angi et tilpasset attributt, din egen forhåndsinnstilling, i Active Directory (et uttrykk med flere attributter) for å tilordne et enkelt skyattributt i den tilsvarende raden. På denne måten har du fleksibilitet til å bestemme visningsnavnene til brukerne dine – du kan for eksempel legge til et uttrykk som oppretter et tilpasset attributt basert på ansatttittel, fornavn og etternavn i Active Directory.
Du kan også angi hvilke som helst av Active Directory -attributtene som skal tilordnes til uid i skyen. Du må imidlertid sørge for at det lokale attributtet følger et gyldig e-postformat.
| Du kan også bruke alternative e-postadresser, hvis du for eksempel vil bruke userPrincipalName for pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. I dette tilfellet tilordner du en annen e-postadresse til e-poster;type-arbeid attributtet. Dette er e-postadressen som brukes til autentisering. den brukes ikke til å administrere kalenderen din. e-postadresse du tilordner fra AD, må være fra et bekreftet domene i organisasjonen din, og den må være unik og ikke tilordnet en annen bruker. |
Navn på Active Directory -attributter | Navn på Webex-skyattributter | Merknader |
|---|---|---|
— |
buildingName |
— |
c |
c |
Dette attributtet angir brukerens landsforkortelse. |
avdelingsnummer |
avdelingsnummer |
Dette attributtet brukes for brukerens avdelingsnummer som vises i kontaktkort og personinnsikt . |
visningsnavn |
visningsnavn |
Dette attributtet brukes for visningsnavn for brukerkonto som vises i Control Hub, den kontaktkort , og personinnsikt . |
userAccountControl |
ds-pwp-account-disabled |
Dette attributtet brukes til brukersynkronisering. Kontroller at userAccountControl attributtet er tilordnet til ds-pwp-account-disabled ellers blir ikke brukerne synkronisert riktig. |
ansattnummer |
ansattnummer |
— |
ansattType |
ansattType |
Denne verdien brukes for ansatttypen bruker som vises i kontaktkort og personinnsikt . |
fakstelefonnummer |
fakstelefonnummer |
— |
givenName |
givenName |
Dette attributtet brukes for brukerkonto fornavn som vises i Control Hub, den kontaktkort , og personinnsikt . |
— |
jabberID |
Dette skyattributtet er relatert til direktemeldingsadresser (XMPP-type) som brukes av Jabber. Denne verdien er ikke det samme som sipAddresses. |
l |
l |
Dette attributtet angir byen til brukeren. |
— |
språk |
— |
administrator |
administrator |
Dette attributtet brukes for brukerens ledernavn som vises i kontaktkort og personinnsikt . |
Mobil |
Mobil |
Dette attributtet brukes som mobilnummer som vises for ringe brukeren fra kontaktkort . |
o |
o |
Dette attributtet angir navnet på selskapet eller organisasjonen. |
ou |
ou |
Dette attributtet angir navnet på organisasjonsenheten. |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Dette attributtet angir brukerens kontorplassering. |
postnummer |
postnummer |
Dette attributtet angir brukerens postnummer eller postnummer for fysisk postlevering. |
foretrukket språk |
foretrukket språk |
Dette attributtet angir brukerens foretrukne språk, og følgende formater støttes: xx_YY eller xx-YY. Her er noen eksempler: en_USA,en_ GB, fr-CA. Hvis du bruker et språk som ikke støttes eller ugyldig format, endres brukernes foretrukne språk til språket som er angitt for organisasjonen. |
MSRTCSIP-PrimaryUserAddress iPhone |
SipAddresses;type=bedrift |
Dette attributtet brukes til å synkronisere lokal rominformasjon fra Active Directory til Cisco Webex skyen. |
sn |
sn |
Dette attributtet brukes for brukerkonto etternavn som vises i Control Hub, den kontaktkort , og personinnsikt . |
st |
st |
Dette attributtet angir delstaten eller provinsen til brukeren. |
gateadresse |
gate |
Dette attributtet angir gateadressen til brukeren for fysisk postlevering. |
telefonnummer |
telefonnummer |
Dette attributtet angir brukerens primære telefonnummer (jobb) som brukes til ringe brukeren fra kontaktkort . |
— |
tidssonen |
Dette skyattributtet angir brukerens tidssone. |
tittel |
tittel |
Dette attributtet angir brukertittelen som vises i kontaktkort og personinnsikt . |
type |
bedrift |
— |
*e-post *userPrincipalName |
uid |
En obligatorisk attributtilordning. For hver brukerkonto tilordnes Active Directory -verdien til en unik uid i skyen. I noen tilfeller brukes userPrincipalName til pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. Du må sørge for at e-postadresse for kalenderbehandling er tilordnet til det primære e-postadresse i Webex. Legg til userPrincipalName som en alternativ e-postadresse. Brukeren kan deretter bruke en av disse e-postadressene til å logge på, så lenge de er riktige SAML-attributtilordning er på plass. Se eksempel på attributtilordning nedenfor for hvordan du kan tilordne en alternativ e-postadresse. |
*userPrincipalName *e-post <custom attribute=""> |
e-poster;type-arbeid |
Denne tilordningen er valgfri. Bruk den hvis du vil bruke alternative e-postadresser. Dette er e-postadressen som brukes til autentisering. den brukes ikke til å administrere kalenderen din. e-postadresse du tilordner fra AD, må være fra et bekreftet domene i organisasjonen din, og den må være unik og ikke tilordnet en annen bruker. |
<New attribute="" for="" Azure="" user="" objectId=""> |
ekstern ID |
Opprett et nytt Active Directory -attributt for å holde Azure-brukerobjekt-ID-en, slik at den ikke kolliderer med en eksisterende. Dette attributtet tilordnes deretter til externalId-attributtet, og sikrer at når Webex-brukere opprette grupper i Microsoft 365, oppretter de automatisk team i Webex . |
Alternativ e-postadresse
Uttrykk for tilpassede attributter
Operatør | Beskrivelse og eksempel |
|---|---|
% | Fjerner alle tegn fra begynnelsen av strengen til plasseringen av tegnet eller strengargumentet, hvis det samsvarer.
|
– | Fjerner baksiden av inndatastrengen fra enden av den angitte strengen.
|
+ | Setter sammen inndatastrenger eller -uttrykk.
|
| | Evaluerer de atskilte uttrykkene mot den tomme strengen, og velger det første ikke-tomme resultatet.
|
Synkronisere katalogavatarer fra et Active Directory -attributt til skyen
Du kan synkronisere brukernes katalogavatarer til skyen, slik at hver avatar vises når de logger på Webex-appen. Bruk denne fremgangsmåten til å synkronisere rå avatardata fra et Active Directory -attributt.
| 1 | Fra Katalogkobling går du til Konfigurasjon , klikk Avatar , og kontroller Aktiver . |
| 2 | For Hent avatar fra , velg AD-attributt , og velg deretter Avatar-attributt som inneholder råavatardataene du vil synkronisere til skyen. |
| 3 | Hvis du vil bekrefte at avataren brukes på riktig måte, skriver du inn en brukers e-postadresse og klikker på Hent brukerens avatar . Avataren vises til høyre. |
| 4 | Når du har bekreftet at avataren ble vist riktig, klikker du Bruk for å lagre endringene. |
Bildene som synkroniseres, blir standardavatar for brukere i Webex-appen. Brukere har ikke tillatelse til å angi sin egen avatar etter at denne funksjonen er aktivert fra Katalogkobling.
Brukeravatarene synkroniseres til både Webex-appen og eventuelle samsvarende kontoer på Webex-nettsted.
Hva nå?
Gjør en tørrkjøringssynkronisering; Hvis det ikke er noen problemer, kan du utføre en fullstendig synkronisering for å få Active Directory -brukerkontoene og avatarene til å synkroniseres til skyen og vises i Control Hub.
Synkronisere katalogavatarer fra en ressursserver til skyen
Du kan synkronisere brukernes katalogavatarer til skyen, slik at hver avatar vises når de logger på Webex-appen. Bruk denne fremgangsmåten til å synkronisere avatarer fra en ressursserver.
Før du starter
URI-mønsteret og variabelverdien i denne prosedyren er eksempler. Du må bruke faktiske nettadresser der katalogavatarene dine er plassert.
Avatar-URI-mønsteret og serveren der avatarene ligger, må kunne nås fra Directory Connector-programmet. Koblingen trenger http- eller https-tilgang til bildene, men bildene trenger ikke å være offentlig tilgjengelige på Internett.
Synkroniseringen av avatardata er atskilt fra Active Directory -brukerprofilene. Hvis du kjører en proxy, må du sørge for at avatardataene er tilgjengelige via NTLM-autentisering eller basic-auth.
| 1 | Fra Katalogkobling går du til Konfigurasjon , klikk Avatar , og kontroller Aktiver . |
| 2 | For Hent avatar fra , velg Ressursserver og angi deretter Avatar-URI-mønster – For eksempel La oss se på hver del av avatarens URI-mønster og hva de betyr:
|
| 3 | (Valgfritt) Hvis ressursserveren krever legitimasjon, kontrollerer du Angi påloggingsinformasjon for avatar , og velg deretter enten Bruk gjeldende bruker for tjenestepålogging eller Bruk denne brukeren og angi passordet. |
| 4 | Skriv inn Variabelverdi – For eksempel: |
| 5 | Klikk på Test for å kontrollere at avatarens URI-mønster fungerer som det skal. I dette eksemplet, hvis e-postverdien for én AD-oppføring er |
| 6 | Når URI-informasjonen er bekreftet og ser riktig ut, klikker du Bruk . Hvis du vil ha detaljert informasjon om bruk av regulære uttrykk, kan du se hurtigreferanse for Microsoft Regular Expression-språk . |
Bildene som synkroniseres, blir standardavatar for brukere i Webex-appen. Brukere har ikke tillatelse til å angi sin egen avatar etter at denne funksjonen er aktivert fra Katalogkobling.
Brukeravatarene synkroniseres til både Webex-appen og eventuelle samsvarende kontoer på Webex-nettsted.
Hva nå?
Gjør en tørrkjøringssynkronisering; Hvis det ikke er noen problemer, kan du utføre en fullstendig synkronisering for å få Active Directory -brukerkontoene og avatarene til å synkroniseres til skyen og vises i Control Hub.
Synkronisere lokal rominformasjon til Webex Cloud
Bruk denne fremgangsmåten til å synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte Webex-enheter (Room, Desk og Board).
| 1 | Fra Katalogkobling går du til Synkroniser , klikk på mer | ||
| 2 | Sjekk Synkroniser rominformasjon til skyen for å skille romdataene fra brukerdataene under synkronisering. Når denne innstillingen er deaktivert, behandles romdata på samme måte som brukersynkroniserte data. | ||
| 3 | Gå til Attributttilordning , og endre deretter attributttilordningen for skyattributtet sipAddresses;type=bedrift .
| ||
| 4 | Opprett en romressurs-postboks i Exchange. Dette legger til msExchResourceMetaData;ResourceType:Room -attributtet som koblingen deretter bruker til å identifisere rom.
| ||
| 5 | Gå til og rediger egenskapene for rommet fra Active Directory -brukere og datamaskiner. Legg til den fullstendige SIP-URI med prefikset sip:
| ||
| 6 | Utfør en tørrkjøringssynkronisering og deretter en fullstendig synkroniseringskjøring i kontakten. De nye romobjektene vises Objekter lagt til og samsvarende romobjekter vises i Objekter matchet i tørrkjøringsrapporten. Alle romobjekter som er flagget for sletting, er under Rom slettet .
Tørrkjøringsresultatene viser eventuelle romressurser som ble matchet.
Denne innstillingen skiller Active Directory -romdata (inkludert rommets attributt) fra brukerdata. Når synkroniseringen er fullført, viser skystatistikken på koblingsinstrumentbordet romdata som ble synkronisert til skyen.
|
Hva nå?
Nå som du har gjort disse trinnene, vil du se de synkroniserte romoppføringene som er konfigurert med SIP-adresser, når du gjør et søk på en Webex-skyregistrert enhet. Når du foretar et anrop fra Webex-enheten på den oppføringen, foretas et anrop til SIP-adressen som ble konfigurert for rommet.
Fra Control Hub kan du importere rom fra katalogen automatisk og opprette arbeidsområder.
| Endepunktet kan ikke sløyfe et tilbakeringing til Webex-appen. For testoppringingsenheter må disse enhetene være registrert som en SIP-URI lokalt eller et annet sted enn Webex-appen. Hvis romsystem for Active Directory du søker etter er registrert for Webex og den samme e-postadresse finnes på Webex Room-enhet, Skrivebordsenhet eller Webex Board for Calendar Service, viser ikke søkeresultatene den dupliserte oppføringen. Rom-, skrivebords- eller tavleenheten ringes opp direkte i Webex-appen, og det foretas ingen SIP-samtale . |
Send e-postrapporter om katalogsynkroniseringsresultater
Som standard mottar organisasjonens kontakter eller administratorer alltid e-postvarsler. Med denne innstillingen kan du tilpasse hvem som skal motta e-postvarsler som oppsummerer katalogsynkroniseringsrapporter.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Varsel . |
| 2 | Fra Katalogkobling klikker du på Innstillinger , og ved siden av E-postmottaker , slå på Aktiver synkronisering av rapport . |
| 3 | Sjekk Aktiver varsling hvis du vil overstyre standard varslingsatferd og legge til én eller flere e-postmottakere. |
| 4 | Klikk på Legg til og angi en e-postadresse. Hvis du skriver inn en e-postadresse med ugyldig format, vises en melding som ber deg om å løse problemet før du kan lagre og bruke endringene. |
| 5 | Klikk på Legg til e-post og angi en e-postadresse. Hvis du skriver inn en e-postadresse med ugyldig format, vises en melding som ber deg om å løse problemet før du kan lagre og bruke endringene. |
| 6 | Hvis du må redigere e-postadresser du oppga, dobbeltklikk du på e-postoppføringen i venstre kolonne, og deretter gjør du eventuelle endringer. |
| 7 | Når du har lagt til alle de gyldige e-postadressene, klikker du på Bruk . |
| 8 | Når du har lagt til alle de gyldige e-postadressene, klikker du på Lagre . |
Hva nå?
Hvis du bestemte deg for at du vil fjerne e-postadresser, kan du klikke på en e-post for å utheve denne oppføringen og deretter klikke Fjern .
Hvis du bestemte deg for at du vil fjerne e-postadresser, kan du klikke på Fjern ved siden av bestemte e-postadresse .
Klargjøre brukere fra Active Directory til Control Hub
Følg denne fremgangsmåten for å klargjøre Active Directory -brukere og opprette tilsvarende brukerkontoer i Control Hub. Du kan klargjøre brukere fra en Active Directory -distribusjon for flere domener (med enten én enkelt skog eller flere skoger) etter at du har installert en katalogkobling per domene. I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Målet er å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen.
| 1 | Utfør en tørrkjøringssynkronisering på Active Directory -brukere Utfør en tørrkjøring for å sammenligne objekter i den lokale Active Directory og objekter i Webex-skyen. En tørrkjøring lar deg se hvilke objekter som vil bli lagt til, endret eller slettet før du kjører en fullstendig eller trinnvis synkronisering og utfører endringene i skyen. |
| 2 | Utfør en fullstendig synkronisering av Active Directory -brukere til skyen Når du kjører en full synkronisering, sender koblingstjenesten alle filtrerte objekter fra Active Directory (AD) til skyen. Connector-tjenesten oppdaterer deretter identitetslageret med AD-oppføringene dine. Hvis du opprettet en mal for automatisk tilordning av lisenser, kan du tilordne den til de nylig synkroniserte brukerne. |
| 3 | Tilordne Webex-tjenester til katalogsynkroniserte brukere i Control Hub Når du har fullført en fullstendig brukersynkronisering fra Directory Connector til Control Hub, kan du tilordne Webex-tjenestelisenser ved hjelp av en rekke forskjellige metoder. Vi anbefaler at du konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory. Du kan også gjøre individuelle endringer etter dette første trinnet. |
Utfør en tørrkjøringssynkronisering på Active Directory -brukere
Utfør en tørrkjøring for å sammenligne objekter i den lokale Active Directory og objekter i Webex-skyen. En tørrkjøring lar deg se hvilke objekter som vil bli lagt til, endret eller slettet før du kjører en fullstendig eller trinnvis synkronisering og utfører endringene i skyen.
I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Med Katalogkobling er målet å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen.
Hvis du har flere domener i én enkelt skog eller flere skoger, må du gjøre dette trinnet på hver av Cisco-katalogkoblingsforekomstene du har installert for hvert Active Directory -domene.
Før du starter
Du kan allerede ha noen Webex-appbrukere i Control Hub før du brukte Katalogkobling. Blant brukerne i skyen kan noen samsvare med det lokale Active Directory -objektet og bli tildelt lisenser for tjenester. Men noen kan være testbrukere som du vil slette mens du foretar en synkronisering. Du må opprette et nøyaktig samsvar mellom Active Directory og Control Hub.
| 1 | Velg én:
Når tørrkjøringen er fullført, ser du ett av følgende resultater:
Sammendraget inneholder informasjon om objektsamsvar:
Tørrkjøringen identifiserer brukerne ved å sammenligne dem med domenebrukere. Applikasjonen kan identifisere brukerne hvis de tilhører det gjeldende domenet. I neste trinn må du bestemme om du vil slette objektene eller beholde dem. De feilaktige objektene identifiseres som allerede eksisterende i Webex-skyen, men ikke eksisterende i den lokale Active Directory. | ||
| 2 | Se gjennom resultatene av tørrkjøringen, og velg deretter et alternativ avhengig av om du bruker ett enkelt domene eller flere domener:
| ||
| 3 | I Bekreft tørrkjøring ledetekst, klikker du Ja for å gjøre om tørrkjøringssynkroniseringen og vise instrumentbordet for å se resultatene. Alle kontoer som ble synkronisert i tørrkjøringen, vises under Objekter matchet . Hvis en bruker i skyen ikke har en tilsvarende bruker med samme e-postadresse i Active Directory, er oppføringen oppført under Brukere slettet . Hvis du vil unngå dette sletteflagget, kan du legge til en bruker i Active Directory med samme e-postadresse. Hvis du vil vise detaljene for elementene som ble synkronisert, klikker du på den tilsvarende fanen for bestemte elementer eller Objekter matchet . Hvis du vil lagre sammendragsinformasjonen, klikker du på Lagre resultater til fil . | ||
| 4 | Hvis resultatene forventes, går du til , og klikk deretter Aktiver nå for å gjøre en manuell synkronisering og sette i manuell modus på dette tidspunktet.
|
Hva nå?
For eventuelle feilaktige brukerobjekter som du beholder, må du legge dem til i Active Directory slik at det er nøyaktig samsvar mellom lokale og skyen.
Velg en synkroniseringstype:
Utfør en fullstendig synkronisering av Active Directory -brukere til skyen for første gang du synkroniserer nye brukere til skyen. Du gjør det fra , og deretter synkroniseres brukere fra det gjeldende domenet.
Angi tidsplan for kobling og Kjør en trinnvis synkronisering etter at du har kjørt en fullstendig synkronisering, og hvis du ønsker å plukke opp endringer etter den første synkroniseringen. Denne typen synkronisering anbefales for å fange opp små endringer som er gjort i Active Directory -brukerkilden.
Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt (på versjon 3.4 og tidligere) eller hver fjerde time (på versjon 3.5 og nyere), men du kan endre denne verdien. Den trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering.
Hvis du har flere domener, gjentar du disse trinnene på en hvilken som helst annen katalogkobling du har installert.
Ting du bør huske på
Utfør en tørrkjøring før du aktiverer full synkronisering, eller når du endrer synkroniseringsparametrene. Hvis tørrkjøringen ble startet av en konfigurasjonsendring, kan du lagre innstillingene etter at tørrkjøringen er fullført. Hvis du allerede har lagt til brukere manuelt, kan utføring av en Active Directory -synkronisering føre til at tidligere lagt til brukere blir fjernet. Du kan sjekke tørrkjøringsrapporter for Directory Connector for å bekrefte at alle forventede brukere er til stede før du synkroniserer fullstendig til skyen.
Hvis matchede brukere er merket som sletting og du ikke er sikker på hvordan du går frem, kan du se feilsøkingsinformasjon og hvordan du kontakter kundestøtte i Feilsøking og rettelser for Directory Connector .
Slettede brukere beholdes i skyidentitetstjenesten i syv dager før de slettes permanent.
Utfør en fullstendig synkronisering av Active Directory -brukere til skyen
Når du kjører en full synkronisering, sender koblingstjenesten alle filtrerte objekter fra Active Directory (AD) til skyen. Connector-tjenesten oppdaterer deretter identitetslageret med AD-oppføringene dine. Hvis du opprettet en mal for automatisk tilordning av lisenser, kan du tilordne den til de nylig synkroniserte brukerne.
Hvis du har flere domener, må du gjøre dette trinnet på hver av Directory Connector-forekomstene du har installert for hvert Active Directory -domene.
Katalogkobling synkroniserer brukerkonto – I Active Directory vises også alle brukere som er merket som deaktivert som inaktive i skyen.
Før du starter
Hvis du vil at brukerkontoene for Webex-appen skal ha statusen Aktiv etter full synkronisering og før brukerne logger på for første gang, må du gjøre følgende for å omgå e-postvalideringen:
Integrer engangspålogging med Webex-organisasjonen din. Se
Engangspålogging med Cisco Webex Services og organisasjonens identitetsleverandør
hvis du vil ha mer informasjon.Bruk Control Hub til å bekrefte og eventuelt gjøre krav på domener som finnes i e-postadressene. Se
Legg til, bekreft og gjør krav på domener
.Undertrykk automatiske e-postinvitasjoner , slik at nye brukere ikke mottar den automatiske e-postinvitasjonen til Webex-appen. (Du kan lage din egen e-postkampanje.)
Aktiverte brukere som ikke har logget på, vises med en Verifisert status i Control Hub. Når de har logget på, vises de som Aktive. Hvis du vil ha mer informasjon om brukerstatuser, kan du se Brukerstatuser og handlinger i Cisco Webex Control Hub.
Når du aktiverer synkronisering, ber Directory Connector deg om å utføre en tørrkjøring først. Vi anbefaler at du tar en tørrkjøring før en full synkronisering for å fange opp eventuelle feil.
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Hvis du ikke bruker automatisk tilordnede lisensmaler, får nylig synkroniserte brukere automatisk gratislisenser. De vil kunne bruke de samme gratisfunksjonene som de med gratis kontoer.
| 1 | Velg én:
| ||
| 2 | Fra Katalogkobling går du til Synkroniser , klikk på mer | ||
| 3 | Bekreft starten på synkroniseringen. For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene i opptil 72 timer etter at du har utført synkroniseringen.
| ||
| 4 | Klikk på Oppdater hvis du vil oppdatere statusen for synkroniseringen. (Synkroniserte elementer vises under Skystatistikk .) | ||
| 5 | Hvis du vil ha informasjon om feil, velger du Start Event Viewer fra Handlinger verktøylinjen for å vise feilloggene. | ||
| 6 | Hvis du vil angi en synkroniseringsplan for pågående trinnvise synkroniseringer til skyen, kan du se Angi tidsplan for kobling og Kjør en trinnvis synkronisering . |
Når full synkronisering er fullført, oppdateres statusen for katalogsynkronisering fra Deaktivert til Driftsmessig på Innstillinger siden i Control Hub.
Når alle data matches mellom lokale og skyen, endres Katalogkobling fra manuell modus til automatisk synkroniseringsmodus.
Med mindre du integrere engangspålogging , bekrefte domener, og eventuelt gjøre krav på domener for e-postkontoene du synkroniserte , og undertrykke automatiserte e-postmeldinger , forblir brukerkontoene for Webex-appen i tilstanden Ikke bekreftet til brukerne logger på Webex-appen for første gang for å bekrefte kontoene sine. Se delen Før du begynner for veiledning om hvordan du synkroniserer kontoene som aktive brukere.
Hvis du har flere domener, gjør du dette trinnet på en annen katalogkobling du har installert. Etter synkroniseringen vises brukerne på alle domenene du la til i Control Hub.
Hvis du integrerte engangspålogging med Webex og undertrykte e-postvarsler , sendes ikke e-postinvitasjonene til de nylig synkroniserte brukerne.
Du kan ikke legge til brukere manuelt i Control Hub etter at Directory Connector er aktivert. Når den er aktivert, utføres brukeradministrasjon fra Cisco-registerkobling, og Active Directory er den eneste kilden til sannhet.
Alle grupper du synkroniserte, vises i Control Hub, og du kan tilordne en lisensmal slik at brukere i den gruppen tilordnes lisenser.
Hva nå?
Når du fjerner en bruker fra Active Directory, blir brukeren myk slettet etter neste synkronisering. Brukeren blir
Inactivemen skyidentitetsprofilen beholdes i syv dager (for å tillate gjenoppretting etter utilsiktet sletting).Når du sjekker Kontoen er deaktivert i Active Directory blir brukeren
Inactiveetter neste synkronisering. Skyidentitetsprofilen slettes ikke etter syv dager, i tilfelle du vil aktivere brukeren på nytt.Vær oppmerksom på disse unntakene fra en trinnvis synkronisering (følg de fullstendige synkroniseringstrinnene ovenfor i stedet):
Hvis det gjelder en oppdatert avatar, men ingen andre attributter endres, oppdaterer ikke trinnvis synkronisering brukerens avatar til skyen.
Konfigurasjonsendringer for attributtilordning, base-DN, filter og avatarinnstillinger krever full synkronisering.
Tilordne Webex-tjenester til katalogsynkroniserte brukere i Control Hub
Når du har fullført en fullstendig brukersynkronisering fra Cisco-registerconnector til Control Hub, kan du bruke Control Hub til å tilordne de samme Webex-tjenestelisensene til alle brukerne samtidig eller legge til flere lisenser til nye brukere hvis du allerede har konfigurert en automatisk tilordnet lisensmal. Du kan gjøre individuelle endringer i brukerkonto etter dette første trinnet.
Når du har fullført en fullstendig brukersynkronisering fra Directory Connector til Control Hub, kan du bruke metoder i Control Hub til å globalt tilordne Webex-tjenestelisenser til alle brukerne, enkeltbrukere, gjennom CSV-malen for mengde eller automatisk til nye brukere hvis du har allerede konfigurert en mal for automatisk tildeling av lisenser. Du kan gjøre individuelle endringer i brukerkonto etter dette første trinnet.
Når du tilordner en lisens til en Webex-appbruker, mottar denne brukeren en e-post som bekrefter tilordningen, som standard. E-posten sendes av en varslingstjeneste i Control Hub. Hvis du integrerte engangspålogging (SSO) med Webex-organisasjonen din, kan du også undertrykke disse automatiske e-postvarslene hvis du foretrekker å kontakte brukerne dine direkte.
Før du starter
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Gjør en tørrkjøringssynkronisering på Active Directory brukerne dine.
Når du har bekreftet resultatene av tørrkjøringen, utfører du en fullstendig synkronisering på Active Directory -brukerne.
| På tidspunktet for full synkronisering opprettes brukeren i skyen, ingen tjenestetilordninger legges til, og det sendes ingen aktiverings-e-post. Hvis e-postene ikke undertrykkes, mottar de nye brukerne en aktiverings-e-post når du tilordner tjenester til brukere ved hjelp av en standard brukeradministrasjonsmetode i Control Hub, for eksempel CSV-import, manuell brukeroppdatering eller vellykket fullføring av automatisk tilordning. |
| 1 | Fra kundevisningen ihttps://admin.webex.com , gå til , klikk Behandle brukere , velg Endre alle synkroniserte brukere , og klikk deretter Neste . |
| 2 | Velg et alternativ:
|
Hva nå?
Hvis e-postene ikke undertrykkes, sendes en e-postmelding til hver bruker med en invitasjon til å bli med og laste ned Webex.
Hvis du valgte de samme Webex-tjenestene for alle brukerne, kan du etterpå endre lisensen som er tilordnet individuelt eller samtidig.
Kjente problemer med katalogkobling
Windows Server-versjoner før 2012 R2 har et problem med informasjonskapsler som påvirker katalogkoblingen. Dette problemet er løst i versjoner 2012 R2 og 2016 .
For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene 72 timer fra du utfører synkroniseringen.
Du kan prøve å tømme den lokale hurtigbufferen for Webex-appen ved å følge disse instruksjonene: Windows eller Mac .
Når en bruker bruker Webex-appen på skrivebordet eller mobilen til å søke og ringe et rom som bare har en synkronisert SIP-URI, ringer anropet på ubestemt tid på dette tidspunktet.
Kjør en trinnvis synkronisering
En trinnvis synkronisering spør etter Active Directory og ser etter endringer som har skjedd siden forrige synkronisering. Dette trinnet grupperer deretter disse endringene og sender dem til koblingstjenesten. Endringene inkluderer endring av brukerattribusjon og når en bruker legges til eller slettes.
Denne synkroniseringen legger ikke like mye belastning på serverne og tar ikke like mye tid som en full synkronisering. Når du har utført den første fullstendige synkroniseringen, anbefaler vi det trinnvise alternativet for etterfølgende synkroniseringer.
Før du starter
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Merk disse unntakene som trinnvis synkronisering ikke støtter (følg Utfør en fullstendig synkronisering av Active Directory -brukere til skyen i stedet):
Hvis det gjelder en oppdatert avatar, men ingen andre attributter endres, oppdaterer ikke trinnvis synkronisering brukerens avatar til skyen.
For nye konfigurasjonsendringer for attributtilordning, base-DN, filter og avatarinnstilling fungerer ikke trinnvis synkronisering, og disse krever full synkronisering.
| 1 | Fra Katalogkobling klikker du på Instrumentbord .
| ||
| 2 | Fra Handlinger , klikk Synkroniseringsmodus > Aktiver synkronisering hvis det ikke allerede er aktivert. Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt (på versjon 3.4 og tidligere) eller hver fjerde time (på versjon 3.5 og nyere), men du kan endre denne verdien. Den trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering. Når et nytt trinnvis tidsintervall er ute, kontrollerer programmet endringene basert på det siste tidsstemplet. | ||
| 3 | Fra Handlinger , klikk Synkroniser nå > Inkrementell . For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene 72 timer fra du utfører synkroniseringen.
| ||
| 4 | Hvis du vil ha informasjon om feil, klikker du på Start Event Viewer fra Handlinger verktøylinjen for å vise feilloggene. |
Hva nå?
Hvis du har flere domener, gjør du dette trinnet på andre Directory Connector-forekomster du har installert.
Gjenopprett brukere som er slettet ved et uhell
Katalogkobling har kontroller og saldoer for å forhindre utilsiktet sletting av brukere. Dessverre skjer ulykker. Du kan ha konfigurert et LDAP-filter i Active Directory på feil måte, noe som slettet noen brukere da de ble synkronisert til skyen. Den myke slettefunksjonen kan hjelpe deg med å komme deg etter disse ulykkene og gjenopprette brukerkontoene i Control Hub.
Som standard er denne funksjonen aktivert for alle organisasjoner. Når brukere slettes i skyen, for eksempel på grunn av et problem med feilaktige objekter etter en synkronisering fra Directory Connector, kan brukerne gjenopprettes. Hvis du så et objekt som ikke samsvarte, eller la merke til at brukere ble slettet, kan det hende du kan gjenopprette dem hvis du handler raskt.
| Brukere merkes som inaktive i Control Hub når de tilsvarende kontoene slettes i Active Directory. Bakgrunnsskytjenesten beholder brukerne i opptil 7 dager. I løpet av denne perioden kan du fortsatt bruke Cisco-registerkobling til å gjenopprette brukere. Vi anbefaler at du gjenoppretter disse brukerne så snart som mulig. Brukere som er deaktivert i Active Directory , er også merket som inaktive i Control Hub, men brukerkonto slettes ikke etter 7 dager. |
| 1 | Logg på Kontrollhub . |
| 2 | Gå til Brukere og kontroller om en bestemt brukerkonto er i en inaktiv tilstand eller ikke er oppført. Hvis du vil ha mer informasjon, se Brukerstatuser og handlinger i Control Hub . |
| 3 | Hvis brukere ble slettet i Control Hub eller du legger merke til at brukere er i en inaktiv tilstand, går du til Active Directory, legger til de manglende brukerkontoene, og deretter utfører du en tørrkjøringssynkronisering i Directory Connector. Målet med Directory Connector er å opprette et nøyaktig samsvar mellom brukerinformasjon i Active Directory og i skyen. |
| 4 | Utfør en fullstendig synkronisering for å resynkronisere de midlertidig slettede brukerkontoene til Control Hub. Brukerne gjenopprettes og går til den opprinnelige statusen, inkludert kontostatus og tjenestetilordninger. |
Hva nå?
Gå tilbake til Control Hub, gå til , og bekreft at de tidligere slettede brukerkontoene vises i brukerliste.
Slett brukere permanent etter myk sletting
Etter å ha utført en tørrkjøring, kan du velge å permanent slette brukere som ble myk slettet ved neste synkronisering.
| 1 | Når en tørrkjøring er fullført, velger du Myk-slettede objekter . |
| 2 | Merk av i avmerkingsboksen ved siden av brukerne du vil slette. |
| 3 | Velg Ferdig. |
Hva nå?
Ved neste synkronisering blir brukerne du sjekket, slettet permanent.
Endre en e-postadresse for Webex-appen
Hvis du vil endre e-postadresser for brukere og organisasjonen bruker katalogkoblingen, endrer du disse e-postadressene i Active Directory. Denne fremgangsmåten dekker hvordan du endrer en e-postadresse for Webex-appen for ett enkelt domene og en prosess for å endre domenet.
| Hvis du bare vil endre e-post eller verdier for én bruker, må du ikke slette brukeren fra Active Directory og deretter opprette en ny med den samme e-postadressen. Skyen tolker denne handlingen som en ny brukerkonto, og brukerens områder og andre data i skyen vil gå tapt. |
Slik endrer du brukerens e-postadresser uten å endre domenet:
Gjenoppta synkroniseringen på katalogkoblingen.
Etter neste synkronisering vises endringene i brukerliste i Control Hub og for brukere i Webex-appen etter at hurtigbufferen er oppdatert.
Det er ikke tap av data eller områder ved hjelp av denne metoden. Brukerens unike identifikator angis i skyen etter den første synkroniseringen. Alle etterfølgende synkroniseringer er basert på denne identifikatoren.
Hvis du vil endre brukerens e-postadresser mens du endrer domenet i en distribusjon med flere domener med Directory Connector (vurder på example1.com, det gamle domenet og example2.com som det nye domenet):
På Directory Connector gjenopptar du synkroniseringen for example2.com
Før du fortsetter, må du kontrollere at kontoen bruker1@example2.com synkroniseres til Control Hub. Vi anbefaler at du ber brukeren om å bekrefte e-postendringen i Webex-appen, og at alle data (områder, meldinger, møter, filer og så videre) beholdes.
Det er ingen tap av data eller områder ved hjelp av denne metoden, men i den nye brukerkonto må du sørge for at Active Directory -attributtet som tilordnes til sky-uid-attributtet, er bevart fra den gamle brukerkonto. Hvis du endrer Active Directory -verdien, beholder ikke den nye kontoen dataene fra den gamle kontoen.
Når du har bekreftet e-postadresse og dataene er intakte, sletter du den gamle brukerkonto på example1.com, og deretter bruker du Directory Connector til å gjenoppta synkroniseringen for example1.com.
På dette tidspunktet kan du trygt oppdatere e-postadresse i det nye Active Directory -domenet for bruker1@example2.com.
Katalogkobling begrenser ikke endringen av e-postdomene. Når brukeren resynkroniserer til skyen, avhenger imidlertid brukerstatusen av om det nye domenet er bekreftet i organisasjonen din. Hvis domenet ikke er bekreftet i organisasjonen din, endres brukerens status til Venter etter full synkronisering. Hvis du vil ha mer informasjon, se Administrer domenene dine .
Hvis organisasjonen din ikke bruker katalogkobling, kan du endre e-postadressene for Webex-appen via siden med kontoinnstillinger . Se Endre e-postadressen for kontoen din for trinn som brukere kan følge for å endre e-postadressene sine.
Endre Active Directory -domenet
Du kan bruke denne fremgangsmåten til å opprette nye domener og e-postadresser. De synkroniseres med identitetstjenesten i skyen.
| 1 | Konfigurer et nytt AD-domene ( Active Directory ). | ||
| 2 | Deaktiver synkroniseringer på alle kontaktene dine. | ||
| 3 | Avinstaller alle kontaktene dine. | ||
| 4 | Åpne store og små bokstaver for å endre domenet . I saksinnsendingen må du sørge for å be om fjerning av domenekonfigurasjonen og alle synkroniseringsattributter i organisasjonen.
| ||
| 5 | Etter at saken er løst: Utfør en testkjøring med Directory Connector før du utfører selve synkroniseringen. |
Domenekrav
Et domenekrav oppstår hvis du gjør krav på et e-postdomene for en organisasjon, slik at en eventuell skjenkkonto opprettes i den betalte kundeorganisasjonen og ikke i den gratis forbrukerorganisasjonen. Du kan bare gjøre et domenekrav gjennom en støttesak (se koblingen nedenfor for mer informasjon).
Hvis katalogkoblingen er aktiv og domenet gjøres krav på, opprettes ikke skjenkkontoer verken i kundeorganisasjonen eller i den gratis forbrukerorganisasjonen. Bare katalogkoblingen kan klargjøre kontoer for organisasjonen fra Active Directory. Informasjonen som er lagret i Active Directory , er den opprinnelige kilden. Hvis du prøver å legge inn en konto på skjenk, mottar den inviterte brukeren en feilmelding. Den eneste måten en invitert bruker kan legges til i et Webex-appområde, er først å bruke katalogkoblingen til å klargjøre kontoen i Control Hub.
Konverter gratis brukere av Webex-appen i en katalogsynkronisert organisasjon
Du kan bare bruke unike e-postadresser i katalogen for Webex-appen. Hvis brukerne dine har registrert seg for gratisversjonen av Webex-appen, finnes kontoen deres i den gratis forbrukerorganisasjonen. Hvis du vil administrere brukere i denne organisasjonen ved hjelp av Katalogkobling, må du overføre (konvertere) dem til kundeorganisasjonen før du slår på Katalogkobling. Deretter legger du til brukerne i Active Directory med den nøyaktige e-postadresse og synkroniserer til skyen.
Hvis du ikke konverterer kontoene før aktivering, må du slå av katalogkoblingen for å konvertere dem.
Hvis du prøver å konvertere en bruker mens katalogsynkronisering er aktivert, vises feilmelding<email address=""> kunne ikke konverteres
vises. Hvis du vil unngå problemet, kan du bruke disse trinnene som en løsning.
| Noen påståtte brukere kan dukke opp med Hvis du ikke legger til disse brukerne, blir alle slettet neste gang du synkroniserer til skyen. |
| 1 | Deaktiver katalogsynkroniseringen fra katalogkoblingen. | ||
| 2 | Følg Konverter ulisensierte brukere i Control Hub prosedyre for å konvertere brukeren fra den gratis forbrukerorganisasjonen til bedriftsorganisasjonen. Dette trinnet legger til brukeren i organisasjonen, og kontoen vises i Control Hub. Katalogkobling gjør Active Directory til den eneste sannheten for brukerkontoer, og målet er å ha nøyaktig samsvar mellom Active Directory og Control Hub. Kontroller at det finnes samsvarende brukere i Active Directory for eventuelle nylig konverterte brukere før du aktiverer synkroniseringen på nytt. En testsynkronisering kan brukes til å sikre at det ikke finnes gjenværende brukere uten samsvar. | ||
| 3 | Utfør en tørrkjøringssynkronisering på Directory Connector. Når testkjøringen er fullført, kontrollerer du fanen Legg til objekter. Kontroller at brukere du konverterte, ikke har blitt slettet.
| ||
| 4 | Når du er sikker på at neste synkronisering ikke fjerner noen kontoer, aktiverer du katalogsynkronisering på nytt fra Katalogkobling. |
Konverterte brukerkontoer aktiveres ikke automatisk hvis du ikke har bekreftet et domene. Hvis du for eksempel har aktivert malen for automatisk tilordning av lisenser og deretter aktivert Katalogkobling uten domenebekreftelse, er konverterte brukere inaktive i skyserveren til de bekrefter e-postadressene sine.
Brukerkontoer for Webex-appen med skjenk
Når du inviterer en annen bruker til et område i Webex-appen, og den inviterte brukeren ikke har en Webex-appkonto, opprettes det en konto for brukeren ("skjekk"). Som standard legges kontoer som opprettes på denne måten til i den gratis forbrukerorganisasjonen.
Hvis du vil administrere den skjenkede kontoen ved hjelp av Directory Connector, må du konvertere kontoen .
Endre format for brukernavn for Webex-appen etter katalogsynkronisering
Som standard tilordner Directory Connector attributtet displayName i Active Directory til displayName-attributtet i skyen.
Etter at du har utført en katalogsynkronisering, kan du oppleve at brukernavn vises i formatet<lastName, firstName=""> .
Dette brukernavnet kan vises hvis displayName-attributtet i Active Directory er konfigurert på denne måten. Når attributtet er tilordnet til displayName i skyen vises navn i formatet<lastName, firstName=""> i Control Hub.
Hvis du vil endre formatet, i skjermbildet for tilordning av attributter for Directory Connector: tilordne Active Directory -attributtet givenName sn(eller sn givenName) til displayName i Cisco Cloud Attribute Names.
Du kan også tilordne attributtet sn givenName til displayName:
Du kan også bruke alternativet Tilpass attributt hvis du vil tilordne ditt eget tilpassede attributtuttrykk til displayName.
Angi for eksempel givenName + "" + sn(fornavn, mellomrom, etternavn) som uttrykk. Dette tilordner de to attributtene i Active Directory til displayName i skyen.
Tillat brukere å endre visningsnavn i Webex Meetings
Du kan oppheve tilordningen av displayName-attributtet fra synkronisering til skyen i Directory Connector hvis du vil la brukere redigere sine foretrukne visningsnavn. Brukere kan angi et visningsnavn som skal vises under Webex-møter i stedet for for- og etternavnet. Administratorer kan også endre visningsnavn for en bruker manuelt i Control Hub.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tilordning av brukerattributter . |
| 2 | Velg visningsnavn under Navn på Cisco Cloud . |
| 3 | Velg Ikke synkroniser dette attributtet . |
Hva nå?
Brukere kan nå redigere visningsnavnene fra Webex-nettsted .
Oppgrader til den nyeste programvareversjonen
For å holde distribusjonen i samsvar og få de nyeste funksjonene, funksjonaliteten, feilrettinger og sikkerhetsforbedringer, må du alltid oppgradere til den nyeste versjonen av Directory Connector. Hvis du ikke oppgraderer til den nyeste versjonen som er tilgjengelig, kan du få problemer, for eksempel at Directory Connector ikke lenger synkroniserer riktig eller bruker en versjon som ikke støtter det obligatoriske TLS 1.2-krav .
Katalogkobling varsler deg automatisk når en ny versjon er tilgjengelig. Oppgrader alltid til den nyeste versjonen for å unngå problemer. Du ser også et varsel på oppgavelinjen i Windows.
| Selv om du kan installere oppdateringer for koblingsprogramvare manuelt, anbefaler vi at du følger trinnene i Angi automatiske oppgraderinger for å la appen administrere oppgraderingene dine automatisk. |
| 1 | Klikk på varselet på oppgavelinjen i Windows, eller høyreklikk på Katalogkobling-ikonet på oppgavelinjen i Windows for å starte oppgraderingsprosessen. |
| 2 | Følg instruksjonene for å fullføre oppgraderingen. |
| 3 | Start koblingen på nytt, og logg på med administratorlegitimasjonen din. |
| 4 | Kontroller versjonsnummeret til programvaren under . |
Hva nå?
For en ny installasjon av Directory Connector kan du laste ned zip-filen og følg deretter installasjonstrinnene i denne veiledningen.
Konfigurer generelle innstillinger for Directory Connector
Bruk denne fremgangsmåten til å konfigurere generelle innstillinger, for eksempel navnet på serveren som kjører Directory Connector, loggnivåer, automatiske oppgraderinger og foretrukne innstillinger for domenekontrollerne. Navnet på kontakten vises på instrumentbordet i koblingsdelen, sammen med eventuelle andre kontakter som kjører.
| 1 | Fra Katalogkobling går du til Konfigurasjon , og klikk deretter Generelt . | ||
| 2 | I Koblingsnavn -feltet, skriver du inn kontaktnavnet. Dette feltet viser bare datamaskinnavnet som for øyeblikket kjører kontakten. | ||
| 3 | Velg loggnivå fra rullegardinlisten. Som standard er loggnivået satt til info . De tilgjengelige loggnivåene er:
| ||
| 4 | Velg Foretrukne domenekontrollere for å angi rekkefølgen på domenekontrollere for synkronisering av identiteter. Domenekontrollerne er tilgjengelige fra topp til bunn. Hvis den øverste kontrolleren ikke er tilgjengelig, velger du den andre kontrolleren på listen. Hvis ingen kontroller er oppført, har du tilgang til primærkontrolleren. | ||
| 5 | Sjekk Oppgrader automatisk til den nye versjonen av Cisco Directory Connector hvis du vil at automatiske oppgraderinger skal skje. Det er alltid viktig å holde Cisco Directory Connector-programvaren oppdatert til den nyeste versjonen. Vi anbefaler at du kontrollerer denne innstillingen for å tillate at automatiske oppgraderinger av programvaren installeres stille når de er tilgjengelige. | ||
| 6 | Sjekk LDAP over SSL for å bruke sikker LDAP (LDAPS) som tilkoblingsprotokoll.
LDAP (Lightweight Directory Application Protocol) og Secure LDAP (LDAPS) er tilkoblingsprotokollene som brukes mellom et program og domenekontrolleren i infrastrukturen. LDAPS-kommunikasjon er kryptert og sikker. |
Konfigurer koblingspolicyen
Du kan angi maksimalt antall slettinger som kan skje under synkronisering. Når du kjører synkronisering, slettes ikke objekter fra den lokale Active Directory. Alle objekter slettes bare fra skyen.
Du angir for eksempel 1 som utløserverdi for sletteterskel. Når du foretar full eller trinnvis synkronisering, og antallet brukere du vil slette er mer enn innstillingen, viser katalogkontakten en advarsel. Hvis du klikker Overstyr terskel , kan du starte full eller trinnvis synkronisering, men du vil se dette overstyringsvarselet neste gang du kjører policyen.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Retningslinjer . | ||
| 2 | Sjekk Aktiver utløser for sletteterskel hvis du vil legge til en terskelutløser. Hvis du velger dette alternativet, utløses et varsel hvis antall slettinger overskrider terskelen. Når slettekontoen overskrider den du angir, mislykkes synkroniseringen.
| ||
| 3 | Angi maksimalt antall slettinger du vil bruke. Standarden er 20.
| ||
| 4 | Klikk på Bruk. |
Angi tidsplan for kobling
Angi tidspunkt for synkronisering i Active Directory. Failover brukes for høy tilgjengelighet (HA). Hvis én kontakt er nede, bytter vi til en annen standby-kontakt etter det forhåndsdefinerte intervallet.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tidsplan . |
| 2 | Angi Inkrementelt synkroniseringsintervall på minutter. Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt. Den fullstendige trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering. |
| 3 | Endre Send rapporter per… gang verdi hvis du vil endre hvor ofte rapporter sendes. |
| 4 | Sjekk Aktiver tidsplan for full synkronisering for å angi dagene og tidspunktene du vil at en full synkronisering skal skje. |
| 5 | Angi Failover-intervall på minutter. |
| 6 | Klikk på Bruk. |
Flere domenescenarier
Flere domener er basert på domeneprioritet. For objekter som har samme nøkkelverdi i forskjellige domener, etter synkronisering, vil dataene fra domenet med høyere prioritet skrive om dataene fra domenet med lavere prioritet.
Objekter som har samme nøkkelverdi, kobles til én oppføring i databasen.
Nøkkelverdien for «Bruker» er E-postadresse ; nøkkelverdien for «Gruppe» er Gruppenavn .
Eksempel på bruksanvisning for flere domener
Dette eksemplet forutsetter en organisasjon med to domener – eksempel1.com og eksempel2.com, i prioritert rekkefølge.
Legg til bruker1(e-post: bruker@example1.com) til Active Directory for eksempel1.com.
Legg til gruppe1(Gruppenavn: Test) til Active Directory for example1.com.
Legg til bruker2(e-post: bruker@example2.com) til Active Directory for eksempel2.com.
Legg til gruppe2(Gruppenavn: Test) til Active Directory for example2.com.
- Synkronisering på example1.com
-
Som et brukscase er bruker2 og gruppe2 synkronisert til skyen og vises ihttps://admin.webex.com , mens bruker1 og gruppe1 ikke er det.
Hvis du utfører en fullstendig eller trinnvis synkronisering for example1.com, synkroniseres bruker1 og gruppe1. Dessuten overskrives bruker2 og gruppe2 av informasjonen til bruker1 og gruppe1.
Bruker1 kobler til bruker2 som den samme oppføringen i databasen; gruppe1 kobler gruppe2 som den samme oppføringen i databasen.
- Synkronisering på example1.com og example2.com
-
Som et brukscase er bruker2 og gruppe2 synkronisert til skyen og vises ihttps://admin.webex.com , mens bruker1 og gruppe1 ikke er det.
Vurder disse trinnene:
- Slett bruker1 og gruppe1 i Active Directory for example1.com.
- Utfør en fullstendig eller trinnvis synkronisering for eksempel1.com.
Resultat: brukerens informasjon endres ikke ihttps://admin.webex.com . Bruker2 er ikke koblet til bruker1, og gruppe2 er ikke koblet til gruppe1.
- Utfør en trinnvis synkronisering for example2.com.
Resultat: brukerens informasjon endres ikke ihttps://admin.webex.com .
- Utfør en fullstendig synkronisering for example2.com.
Resultat: Informasjonen til bruker2 og gruppe2 er oppført ihttps://admin.webex.com .
Synkronisere et nytt domene og behold et eksisterende domene
Hvis du vil synkronisere et nytt domene (B) mens du opprettholder de synkroniserte brukerdataene på et annet eksisterende domene (A), må du sørge for at du installerer Directory Connector for domene (B)-synkronisering på en støttet Windows-server. Koblingen bindes til det nye domenet etter det første oppsettet, og brukerinformasjon under domene (A) forblir upåvirket.
Hvert domene må ha sin egen aktive kobling. Vurder to domener med følgende oppsett: domene A med kontakter (ca1) og (ca2) for lokal høy tilgjengelighet (HA); domene B med kontakt (cb1). (ca1) og (ca2) betjener domene A. I dette scenariet er én kontakt aktiv og den andre i ventemodus (HA). Denne utformingen holder domenet synkronisert, fordi én kobling alltid er aktiv. Så cb1 er den aktive kontakten for domene B, fordi domene A allerede har en aktiv kontakt (ca1 eller ca2).
Angi domeneprioritet
Bruk denne fremgangsmåten til å endre prioriteten til Active Directory -domenene dine. Domeneprioritet lar deg bestemme primærdomenet, sekundært domene og så videre. Dette hjelper når to brukere fra to forskjellige domener har samme e-postverdi synkronisert til én organisasjon.
Ikke bruk denne fremgangsmåten hvis du har ett enkelt domene oppført i katalogkoblingen. Hvis du prøver, viser koblingen deg en melding om at domeneprioritet ikke er nødvendig.
Før du starter
Hvis du vil unngå feil, installerer eller oppgraderer du til den nyeste versjonen av Cisco-katalogkontakt. Du må laste den ned frahttps://admin.webex.com .
| 1 | Fra Cisco-katalogkontakt klikker du på Instrumentbord . | ||
| 2 | Gå til Handlinger , og klikk deretter Angi domeneprioritet . | ||
| 3 | Uthev ett domene i listen, klikk på Opp eller Ned for å endre dette domenets prioritet, og klikk deretter på Lagre for å lagre denne endringen.
|
Bytt domener
Bruk denne fremgangsmåten til å koble Cisco-katalogkontakten til et annet domene på nytt.
Før du starter
Kontroller at ingen synkroniseringsoppgaver kjører før du bytter domener.
Hvis du vil unngå feil, installerer eller oppgraderer du til den nyeste versjonen av Cisco-katalogkontakt. Du må laste den ned fra Kontrollhub .
| 1 | Fra Cisco-katalogkontakt klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter Bytt domene . |
| 3 | Når du har lest advarselen, hvis du forstår hvilken innvirkning denne endringen har på distribusjonen, og du fortsatt er sikker, klikker du på Ja . Hvis du bytter domene, blir du logget av den gjeldende Cisco-katalogkontakten, andre domener i kontakten blir avregistrert, og kontaktinformasjonen på den datamaskinen slettes. |
| 4 | Logg på Cisco-katalogkontakten igjen, og bind domenet på nytt. |
Slå av katalogsynkronisering
Hvis du må stoppe synkroniseringen fra Directory Connector, kan du midlertidig slå den av fra Control Hub.
| 1 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Katalogsynkronisering , og velg deretter én:
|
| 2 | Når du har lest ledeteksten, klikker du på Slå av . Synkroniseringen stopper til du aktiverer den på nytt fra Katalogkobling. |
Fjern tilordning av brukerattributter
Bruk Katalogkobling til å fjerne tilordningen for Active Directory -attributter som tidligere var tilordnet til skyen og synkronisert til Webex. Når du har fjernet attributtilordningen, fjernes attributtverdiene fra skyen og synkroniseres ikke lenger til Webex. Disse verdiene kan deretter redigeres manuelt.
| 1 | Fra Katalogkobling klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter . |
| 3 | Velg tilordningen som skal fjernes fra Attributtnavn listen. |
| 4 | Under Berørt brukeromfang , velger du ett av følgende:
|
| 5 | Klikk på Bruk. |
Behandle profilbilder
Bruk Katalogkobling til å oppdatere brukerprofil eller til å fjerne tomme brukerprofil .
| 1 | Fra Katalogkobling klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter . |
| 3 | Under Handlinger , velger du ett av følgende:
|
| 4 | Klikk på Bruk. |
Avinstaller og deaktiver katalogkobling
Når du har avinstallert en forekomst av Directory Connector, må du avregistrere den. Fjern en katalogkobling fullstendig for disse scenariene:
Du vil ikke bruke katalogsynkronisering lenger.
Du vil ikke bruke én av flere katalogkoblinger (høy tilgjengelighet).
Du vil endre domenet og installere en annen kobling.
Før du starter
Du kan ha flere forekomster av Directory Connector konfigurert for synkronisering med høy tilgjengelighet (HA) eller flere domenesynkronisering. Deaktiver synkroniseringen hvis du avinstallerer den eneste eller siste gjenværende forekomsten av Directory Connector.
Lagre og lukk viktig arbeid før du avinstallerer Directory Connector.
| 1 | Fra Windows-maskinen går du til Kontrollpanel, og klikker deretter på Programmer og funksjoner . |
| 2 | Fra programlisten klikker du på Katalogkobling , velg Avinstaller , og følg deretter ledeteksten. Du må kanskje starte systemet på nytt for å fullføre avinstallasjonen. |
| 3 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Katalogsynkronisering , klikk mer |
| 4 | Når du har lest ledeteksten, klikker du på Deaktiver . Med mindre det finnes en annen katalogkobling i en distribusjon med høy tilgjengelighet (HA), synkroniseres ikke brukerkontoer lenger. |
Kjør diagnoseverktøyet
Du kan bruke det innebygde feilsøkingsverktøyet til å feilsøke Directory Connector-distribusjonen. Dette verktøyet er installert som en del av Directory Connector 3.4 og nyere.
Hvis synkroniseringen ikke fungerte som den skal, kan det hende du har en konfigurasjons- eller nettverksfeil. Dette verktøyet tester tilkoblingen din til LDAP slik at du kan diagnostisere feil selv før du kontakter kundestøtte. Hvis verktøyet returnerer en feil, kan du sende de detaljerte loggresultatene til kundestøtte.
Slik kjører du tester for Active Directory -domenetjenester:
Slik kjører du tester for Active Directory Lightweight Directory-tjenester:
Slik kjører du tester for LDAP ( Lightweight Directory Access Protocol ):
Feilsøking og rettelser for Directory Connector
Du kan støte på en feilmelding eller et annet problem i Directory Connector. Etter at Directory Connector synkroniserer brukerinformasjon, kan det også hende at koblingen sender deg en e-postrapport som viser eventuelle problemer med synkroniseringen. Se avsnittene nedenfor for problemer som kan oppstå, mulige årsaker og forslag til løsninger du kan prøve før du kontakter kundestøtte.
Installerer
Katalogkobling sluttet å fungere
Du mottok e-postvarsel som varsler deg om at katalogkoblingen ikke fungerer.
Katalogkobling er kanskje ikke riktig installert.
Directory Connector kjører kanskje ikke.
Nettverket er kanskje ikke tilgjengelig.
Prøv følgende:
Åpne . Finn Katalogkobling. Hvis den ikke er der, laster du ned den nyeste versjonen fra Control Hub og installerer den.
Åpne Tjeneste og finn Cisco DirSync-tjeneste. Kontroller at den viser statusen som Startet . Hvis tjenesten er stoppet, høyreklikk du og velger Start for å starte tjenesten på nytt.
Kontroller at serveren du installerte katalogkoblingen på, har tilgang til Internett.
Feil ved reinstallasjon
Problem –Hvis du umiddelbart installerer en ny kontakt etter at du har avinstallert en gammel, kan det hende at du ser en feilmelding.
Mulig årsak – I Windows Server 2012 trenger avinstallasjonsklienten tid til å slette tjenestekonto fra tjenestelisten.
Løsning – Når det har gått litt tid, kan du prøve installasjonen på nytt.
Logg på
Katalogkobling krasjer under SSO-pålogging
Problem
Katalogkobling kan krasje etter at du angir en e-postadresse fra en SSO-påloggingsside.
Løsning
Prøv følgende:
Gjør følgende for å konfigurere en ny gruppepolicy:
Gå til domenekontrolleren og åpne administrasjon av gruppepolicy (gpedit.msc).
Høyreklikk på en bestemt organisasjonsenhet eller et bestemt domene, og velg Opprett et GPO på dette domenet , og Koble den her…
Gi retningslinjen et navn, høyreklikk og velg Rediger .
Gjør følgende for å endre policyen på maskinnivå:
Gå til , høyreklikk Register , velg Nyhet , og deretter Registerelement .
For Nøkkelbane , angi eller gå til HKEY_ LOKALT_ MASKIN\SOFTWARE\Microsoft\ Internet Explorer\Main .
Oppgi
Disable Script Debuggerfor Verdi , og anginofor Verdidata .Innstillingene skal samsvare med dette skjermbildet:
Gjør følgende for å endre retningslinjene på brukernivå:
Gå til , høyreklikk Register , velg Nyhet , og deretter Registerelement .
For Nøkkelbane , angi eller gå til HKEY_ GJELDENDE_ BRUKER\SOFTWARE\Microsoft\ Internet Explorer\Main .
Oppgi
Disable Script Debuggerfor Verdi , og anginofor Verdidata .Innstillingene skal samsvare med dette skjermbildet:
| Endringene trer i kraft etter at du har kjørt |
Kunne ikke registrere Cisco DirSync Service Connector
Problem
Pålogging mislykkes, og denne meldingen vises: «Kunne ikke registrere Cisco DirSync Service Connector.»
Løsning
Windows-systemet som Directory Connector er installert på, må være medlem av Active Directory.
Det vises ingen påloggingsside
Problem
Du åpnet Directory Connector, og påloggingssiden ble ikke vist.
Løsning
Prøv følgende trinn:
I Internet Explorer går du tilhttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL . Prøv koblingen i andre nettlesere som Chrome og Firefox.
Hvis Internet Explorer ikke kan besøke koblingen, men andre nettlesere kan, kontrollerer du innstillingene for Internet Explorer og merker av for TLS 1.1 og 1.2. (Bruk Aktiver TLS i Internet Explorer prosedyre.)
Melding om pålogging vises
Problem
Det vises en melding som ber deg om å angi brukernavn og passord for å sende godkjenningen.
Mulig årsak
Katalogkoblingen fullfører NTLM-sikkerhetsgodkjenning lydløst med påloggingskontoen. Hvis autentiseringen mislykkes, vises en dialogboks der du blir bedt om brukernavn og passord for autentiseringen.
Løsning
Når du ser popup-vinduet for pålogging, må du oppgi en gyldig konto med riktig autentisering for å sende sikkerhet.
Kan ikke koble til den eksterne serveren
Problem
Under normal drift vises feilmelding : «Kan ikke koble til den eksterne serveren.»
Mulig årsak
Du kan ha proxy-problemer som må løses.
Løsning
Se Feilsøke innloggingsproblemer for tjenestekonto for mer feilsøkingsinformasjon.
Kan ikke registrere koblingen
Problem
Du ser feilmelding «Kan ikke registrere kontakten. Det oppstod et generelt unntak.»
Mulig årsak
I de fleste tilfeller skyldes problemet at katalogkoblingen ikke har tillatelse til å koble til LDAP-rotkontekst.
Løsning
Prøv følgende:
Kjør en ledetekst (cmd), og skriv deretter inn ldp.exe .
Klikk på , velg Bind som pålogget bruker , og klikk deretter OK .
Klikk på , angi DC=arbonneintl,DC=ad som BaseDN, og klikk deretter OK .
Hvis problemet vedvarer, åpne en sak med støtte .
Synkronisering
Avatarer ikke synkronisert
Problem
Cisco-katalogkoblingen synkroniserte bruker-AD-data til Webex-skyen. Men ingen avatardata ble synkronisert.
Mulig årsak
Hvis du brukte en eksisterende avatarserver på nytt og brukeravatarene allerede var synkronisert, registrerer den lokale hurtigbufferen dem og unngår å sende på nytt for å spare båndbredde.
Løsning
Slett den lokale hurtigbufferen ved å følge denne fremgangsmåten:
Gå til C:\Program Files (x86)\ Cisco Systems\Cisco Directory Connector\Plugins\
Slett DirSyncPluginAvatar.dll-cache.bin .
Kjør avatarsynkroniseringen på nytt fra Cisco-katalogkontakten.
Motstridende e-postkontoer for brukere
Problem
Synkroniseringsresultater kan vise motstridende e-postkontoer for brukere.
Hvis brukere prøvde gratisversjonen av Webex-appen, ligger e-postadressene deres i den gratis forbrukerorganisasjonen.
Hvis brukere-e-poster noen gang ble synkronisert i en annen organisasjon.
Hvis e-postadresser for brukere finnes i flere domener som tilhører organisasjonen.
Løsning
Prøv følgende:
Følg denne fremgangsmåten hvis du prøver å gjøre krav på brukere:
Kontroller at du har bekreftet domenet i Control Hub .
Deaktiver Cisco-registerkobling midlertidig.
Bruk alternativet Krev bruker i Control Hub til å gjøre krav på alle kontoer som finnes i den gratis forbrukerorganisasjonen. Se Krev brukere til organisasjonen din (Konverter brukere) hvis du vil ha mer informasjon.
Gjør en tørrkjøring i Cisco Directory Connector, og aktiver deretter katalogsynkronisering på nytt
I det siste tilfellet dobbeltsjekker du brukerdataene i Active Directory -kildene.
Konvertert bruker merket som inaktiv
Problem
I det synkroniserte katalogmiljøet konverterte du en gratis bruker (forbrukerorganisasjon) til bedriftsorganisasjonen, men den konverterte brukeren kan ikke logge på Webex-appen.
Mulig årsak
Når den gratis brukeren konverteres til bedriftsorganisasjonen, merkes brukeren som inaktiv status i 30 dager som et sikkerhetstiltak. I løpet av denne perioden kan ikke brukeren logge på Webex-appen og merkes for sletting på slutten av 30-dagersperioden. Denne situasjonen oppstår fordi den gratis brukerinformasjon ikke finnes i Active Directory.
Løsning
Du må iverksette tiltak hvis du ikke vil at brukerkonto skal slettes. Du kan løse dette problemet ved å opprette en brukerkonto i den lokale Active Directory som tilsvarer den konverterte gratis brukerkonto. Deretter utfører du en synkronisering fra Cisco-registerkoblingen. Deretter kan brukeren logge på Webex-appen igjen, og kontoen blir ikke slettet.
Inkrementell synkronisering mislykkes
Problem
En trinnvis synkronisering mislykkes.
Dette problemet kan oppstå på Windows Server 2008 R2 under følgende forhold:
Du støtter trinnvise verdioppdateringer.
Filteret du bruker, refererer til et koblet verdiattributt.
Resultatverdiene for dette attributtet ble oppdatert siden forrige gang en full synkronisering ble utført.
Løsning
Windows Server 2008 R2 har en feil som er relatert til dette problemet. Feilen er rettet i 2012 R2 og nyere. Vi anbefaler at du oppgraderer Windows Server til minst 2012 R2.
Ugyldig verdi for attributt
Problem
For [user dn (distinguished name)] har attributtet [attribute name] følgende ugyldig verdi [attributtverdi].
Mulig årsak
For CN=b,OU=Employees,OU=C Users,DC=c,DC=com, har attributtet [telefonnummer] følgende ugyldig verdi: +. Dette attributtet må inneholde minst ett tall.
Løsning
Et attributt for denne brukeren har ikke en gyldig verdi. Rett verdien i henhold til beskrivelsen i advarselsmelding. Utfør deretter en ny synkronisering.
Samsvarende brukere som skal slettes
Problem
De samsvarende brukerne er merket for å bli slettet.
Når du utfører en tørrkjøringssynkronisering for å sjekke dataene mellom Active Directory og skyen, kan det hende du ser den samme e-postadresse i begge. Brukeren er imidlertid merket som et objekt som skal slettes.
Løsning
Velg en passende løsning:
Hvis det er greit å slette brukeren og gjøre om lisensene etterpå, kan du bruke Katalogkobling for å løse problemet. Utfør en synkronisering for å slette brukeren, og utfør deretter en ny synkronisering for å synkronisere brukeren fra lokal AD til skyen.
Hvis du ikke kan slette og opprette brukerkonto på nytt, åpne en sak med støtte .
Mangler attributt
Problem
Det obligatoriske attributtet [attribute_name ] når du legger til en lokal oppføring [user dn (distinguished name)]. Oppføringen opprettes ikke i Control Hub før alle obligatoriske attributter har en verdi.
Mulig årsak
E- e-postadresse for det obligatoriske attributtet mangler. Når du legger til den lokale oppføringen [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], opprettes ikke oppføringen i Control Hub før alle obligatoriske attributter har en verdi.
Løsning
Ett av de obligatoriske attributtene mangler for brukeren [user_email_address ]. Angi de nødvendige verdiene for denne brukeren.
Nestet gruppe vil ikke synkroniseres
Problem
Brukere i en nestet Active Directory -gruppe synkroniseres ikke riktig til skyen.
Mulig årsak
Det brukes et filter som inkluderer både den underordnede gruppen og den overordnet gruppe, noe som ikke støttes. For eksempel: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Løsning
Du må konfigurere filteret som synkroniserer grupper på nytt. For eksempel: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
Brukernavnekonflikt
Problem
Det er en navnekonflikt for [user dn] for et eksisterende skyoppføringsobjekt med navnet: [user e-postadresse], og av brukertype [user_type ].
Mulig årsak
En bruker med den e-postadresse finnes allerede i Control Hub.
Løsning
Opprett en bruker i Active Directory med samme e-postadresse som kontoen du registrerte via Control Hub.
Control Hub
Brukerliste mangler i Control Hub
Problem
Hvis du har en Webex-organisasjon med mer enn 1000 synkroniserte brukere, kan det hende at du ikke ser brukerliste i Control Hub.
Løsning
Du kan bruke søkefunksjonen til å finne en brukerkonto. I Control Hub går du til Brukere , klikk på søk , og angi deretter søkekriterier for å finne en bestemt bruker.
Grupper vil ikke synkroniseres til Control Hub
Problem
Brukere i en kataloggruppe synkroniseres ikke riktig til Control Hub.
Mulig årsak
Gruppen er ikke merket som isCriticalSystemObject i Active Directory.
Løsning
Kontroller at attributtet isCriticalSystemObject er angitt til TRUE i Active Directory.
Aktiver feilsøking for katalogkobling
Du kan aktivere feilsøking for å diagnostisere eventuelle feil du støter på i Directory Connector. Feilsøking lar deg fange opp informasjon om nettverkstrafikken og lagre den i en fil.
Loggfilene som er: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 | Kjør | ||
| 2 | Start tjenesten på nytt. Se Slik starter du tjenester for veiledning. | ||
| 3 | I Katalogkobling klikker du på Instrumentbord . | ||
| 4 | Gå til Handlinger , og klikk deretter . | ||
| 5 | Når feilsøking er aktivert, gjentar du handlingene som forårsaket feilen. dette fanger opp trafikkdataene slik at de kan undersøkes. | ||
| 6 | Undersøk loggfilene: Hvis filen er tom, må du kontrollere at kontoen har tilgangsrettigheter til AD DS eller AD LDS.
| ||
| 7 | Send om nødvendig loggfil til kundestøtte for å få hjelp. | ||
| 8 | Deaktiver feilsøkingsfunksjonen når du er ferdig. |
Start Event Viewer
Hvis du vil se hendelsene som oppstod under en fullstendig eller trinnvis synkronisering, starter du Hendelsesliste. Den viser et sammendrag av administrative hendelser og feillogger.
| 1 | Fra Katalogkobling går du til Instrumentbord , og klikk deretter . Dialogboksen Egenskaper for hendelse viser detaljene for synkroniseringshendelsen og feilinformasjonen. |
| 2 | Fra Event Viewer, gå til .
|
| 3 | Under Handlinger , klikk Lagre alle hendelser som for å eksportere alle loggene som én enkelt hendelsesfil (*.evtx) eller et annet format, for eksempel xml eller csv. |
Hva nå?
Hvis du må åpne en sak, ta kontakt med kundestøtte , beskriv problemet med kontakten, og legg deretter ved hendelser-filen til saken.
| Hendelseslogger registrerer brukerhandlinger. Hvis du vil ha hjelp til å administrere nettverkstrafikk, aktiverer du feilsøking på kontakten. |
Aktiver TLS i Internet Explorer
Hvis du byttet leverandør av engangspålogging (SSO), kan det hende du ser følgende feilmeldinger fra Cisco-katalogkontakt:
Det oppstod en feil ved pålogging til tjenesten
Det har oppstått en feil i skriptet på denne siden
Hvis du ser disse feilene, må du aktivere en TLS-innstilling i nettleseren.
| 1 | Åpne Internet Explorer, og velg deretter Verktøy . Nå merker du av for TLS/SSL-versjonen du vil aktivere. Klikk på OK Lukk nettleseren og åpne den på nytt |
| 2 | Klikk på Alternativer for Internett , gå til Avansert , bla til Sikkerhet . |
| 3 | Sjekk Bruk TLS 1.1 og Bruk TLS 1.2 avmerkingsboksene, og klikk deretter på OK .
|
| 4 | Start systemet på nytt for at endringene skal tre i kraft. |
Feilsøke innloggingsproblemer for tjenestekonto
Hvis du ikke kan logge på Cisco-registerkontakt eller ikke kan kjøre en synkronisering, bruker du disse trinnene for å prøve å løse problemet før du kontakter kundestøtte.
| 1 | Prøv å besøkehttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL i nettleseren din. | ||
| 2 | Velg én, avhengig av resultatene:
| ||
| 3 | Kontroller som et minimum at den konfigurerte kontoen for Cisco DirSync-tjenesten (som finnes i Windows-tjenester) har et rettighetsnivå som gir den tilgang til avatardata og AD-data. Som standard bruker tjenesten påloggingsinformasjonen og autentiseringen for Windows-påloggingskontoen. |
Sjekk SafeDllSearchMode i Windows-registeret
Søkemodus for Safe dynamic link library (DLL) angis som standard i Windows-registret og plasserer brukerens gjeldende katalog senere i DLL-søkefølgen. Hvis denne modusen på en eller annen måte ble deaktivert, kan en angriper plassere en skadelig DLL (kalt det samme som en referert DLL-fil som ligger i systemmappen) i gjeldende arbeidskatalog for programmet.
Vanligvis er SafeDllSearchMode aktivert, men bruk denne fremgangsmåten til å dobbeltsjekke registerinnstillingene.
Før du starter
| Endringer i Windows-registret bør gjøres med ekstrem forsiktighet. Vi anbefaler at du tar en sikkerhetskopi av registeret før du bruker disse trinnene. |
| 1 | I Windows-søk eller Kjør-vinduet skriver du inn regedit og trykk deretter på Gå inn . |
| 2 | Gå til HKEY_ LOKALT_ MASKIN\System\CurrentControlSet\Control\Session Manager . |
| 3 | Velg én:
|
Hvis du vil ha mer informasjon, se Søkerekkefølge for dynamisk koblingsbibliotek .
Oversikt over katalogkobling
Katalogkobling er et lokalt program for identitetssynkronisering i skyen. Du laster ned kontaktprogramvaren fra Control Hub og installerer den på din lokale maskin.
Med Directory Connector kan du vedlikeholde brukerkontoene og dataene i Active Directory, slik at Active Directory blir den eneste kilden til sannhet. Når du gjør en endring lokalt, blir den replikert til skyen.
Se alle funksjonene, beskrivelsene og fordelene i tabellen:
| Funksjon | Beskrivelse og fordel |
|---|---|
| Brukervennlig instrumentbord | Instrumentbordet inneholder en synkroniseringsplan, et sammendrag og status for synkroniseringen, og statusen for katalogkoblingen. Du kan vise instrumentbordet når du logger på. |
| Tørrkjør før synkronisering til skyen | Gjennomfør en tørrkjøring med endringer i katalogen før de implementeres i skyen. Kjør deretter en rapport for å se at endringene du vil gjøre, er de du forventer. |
| Full og trinnvis synkronisering | Synkroniser hele katalogen. Eller bare synkroniser de trinnvise endringene for å spare prosessorstrøm og forkorte synkroniseringstiden. |
Synkronisere flere domener (enkeltskog eller flere skoger) |
Katalogkobling støtter flere domener, enten under én enkelt skog eller under flere skoger (uten behov for AD LDS). For bedrifter med flere Active Directory -domener kan du installere en katalogkobling for hvert domene, binde hvert domene til organisasjonen og deretter synkronisere hver brukerbase til Webex. Control Hub gjenspeiler statusen ved å vise synkroniseringsstatusen for flere katalogkoblinger, lar deg slå av synkronisering for et bestemt domene og deaktivere en katalogkobling i en distribusjon med høy tilgjengelighet . |
| Planlagt synkronisering | Angi en synkroniseringsplan etter dag, time og minutt. |
| LDAP-filtre ( Lightweight Directory Access Protocol ). | Definer LDAP søkekriterier og gi effektiv import. |
| Active Directory -attributter | Tilordne Microsoft Active Directory -attributter til tilsvarende Webex-skyattributter. Du kan tilordne attributter som er relevante for Active Directory -konfigurasjonen din, og også definere egendefinerte attributter som skal tilordnes til skyen. Attributtene fra lokalene danner forskjellige data i skyen, for eksempel brukerkonto , bedriftstelefonnumre i Webex Teams, SIP-adresser for romressurser og andre kontaktkort for brukerkontakt (jobbtittel, avdeling, leder og så videre). |
Bedriftskatalog for lokale romressurser og brukere av Cisco Webex Calling (Cloud PSTN) og bedriftskontakter uten Webex-lisensiering |
Hvis en del av organisasjonen bruker Cisco Webex Calling sky PSTN for samtaletjeneste, eller du har lokale rom-enheter, lar denne funksjonen brukere søke i katalogen etter bedriftskontakter fra sine Cisco Webex Calling telefoner (PSTN i sky) eller romressurser.
|
| Hendelsesvisning | Bruk hendelsesvisningen til å finne ut om det var problemer med synkroniseringen. |
| Diagnoseverktøy og feilsøking | Du kan bruke det innebygde diagnoseverktøyet til å feilsøke distribusjonen av Cisco-registerkoblingen. Hvis synkroniseringen ikke fungerte som den skal, kan det hende du har en konfigurasjons- eller nettverksfeil. Dette verktøyet tester tilkoblingen til Active Directory, slik at du kan diagnostisere feil selv før du kontakter kundestøtte. Når du aktiverer feilsøking i Directory Connector, skrives det logger som kan sendes til teknisk støtte. |
| Automatisk oppgradering | Når du har installert Directory Connector, blir du sendt et varsel hver gang en ny versjon av programvaren er tilgjengelig. Du kan konfigurere automatiske oppgraderinger slik at du alltid bruker den nyeste versjonen av programvaren når en ny versjon utgis. |
| Høy tilgjengelighet | Konfigurer flere kontakter slik at det finnes en sikkerhetskopi, i tilfelle hovedkontakten eller maskinen som er vert for den, går ned. |
Katalogkobling er delt inn i tre områder:
Kontrollhub er det enkle grensesnittet som lar deg administrere alle aspekter av Webex-organisasjonen din: vise brukere, tilordne lisenser, laste ned Directory Connector og konfigurere engangspålogging (SSO) hvis du vil at brukerne skal autentisere seg gjennom bedriftsidentitetsleverandøren og du ikke vil sende e-postinvitasjoner for Webex-appen.
Administrasjonsgrensesnitt for katalogkobling er programvaren du laster ned fra Control Hub og installerer på en klarert Windows-server. For flere Active Directory -domener kan du installere ett øyeblikk av programvaren for hvert domene du vil synkronisere. Ved hjelp av programvaren kan du kjøre en synkronisering for å overføre Active Directory -brukerkontoene dine til Webex, vise og overvåke synkroniseringsstatus og konfigurere Directory Connector-tjenester.
Katalogsynkroniseringstjeneste spør Active Directory for å hente brukere og grupper som skal synkroniseres til koblingstjenesten og katalogkobling.
Se dette diagrammet for å forstå arkitekturen for katalogkobling:
Krav for katalogkobling
Krav til Windows og Active Directory
Du kan installere Directory Connector på disse støttede Windows-serverne:
Windows Server 2012
Windows Server 2019
Windows Server 2016
| For å løse et problem med informasjonskapsler anbefaler vi at du oppgraderer domenekontrolleren til en versjon som inneholder feilrettingen— Windows Server 2012 R2 eller 2016 . |
Katalogkobling støttes med følgende Active Directory -tjenester:
Active Directory 2016
(Katalogkobling støttes når du bruker den nyeste versjonen av Active Directory på Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008
Vær oppmerksom på følgende tilleggskrav:
Katalogkobling krever TLS1.2. Du må installere følgende:
.NET Framework v3.5 (obligatorisk for Directory Connector-programmet. Hvis du støter på problemer, kan du bruke veiledningen i Aktiver .NET Framework 3.5 ved hjelp av veiviseren for å legge til roller og funksjoner .)
.NET Framework v.4.5 (obligatorisk for TLS1.2)
Active Directory -skogfunksjonsnivå 2 (Windows Server 2003) eller høyere er obligatorisk. (Se Hva er funksjonsnivåer i Active Directory ? for mer informasjon.)
Maskinvarekrav
Du må installere Directory Connector på en datamaskin med disse minimumskravene til maskinvare:
8 GB RAM
50 GB lagringsplass
Ingen minimum for CPU
Nettverkskrav
Hvis nettverket ditt er bak en brannmur, må du kontrollere at systemet har HTTPS-tilgang (port 443) til Internett.
Krav til Webex-organisasjon
For å få tilgang til Directory Connector-programvaren fra Control Hub trenger du en Webex-organisasjon med en prøveversjon eller et betalt abonnement.
(Valgfritt) Hvis du vil at nye brukerkontoer for Webex-appen skal være aktive før de logger på første gang, anbefaler vi at du gjør følgende:
Legg til, bekreft og eventuelt gjør krav på domener som inneholder brukerens e-postadresser du vil synkronisere til skyen.
Utfør SSO engangspålogging ). til identitetsleverandøren (IdP) med Webex-organisasjonen din.
Undertrykk automatiske e-postinvitasjoner , slik at nye brukere ikke mottar den automatiske e-postinvitasjonen, og du kan lage din egen e-postkampanje. (Denne funksjonen krever SSO-integrering.)
| Hvis du vil ha mer informasjon, se Brukerstatuser og handlinger i Control Hub . |
Installasjonskrav
For et miljø med flere domener (enten én skog eller flere skoger), må du installere én katalogkobling for hvert Active Directory -domene. Hvis du vil synkronisere et nytt domene (B) mens du opprettholder de synkroniserte brukerdataene på et annet eksisterende domene (A), må du kontrollere at du har en egen støttet Windows-server for å installere Directory Connector for domene (B)-synkronisering.
For å logge på koblingen krever vi ikke en administrativ konto i Active Directory. Vi krever en lokal brukerkonto som er den samme brukeren som en fullstendig administratorkonto i Control Hub.
Denne lokale brukeren må ha rettigheter på den Windows-maskinen for å koble til domenekontrolleren og lese Active Directory -brukerobjekter. Maskinens påloggingskonto må være en administrator med rettigheter til å installere programvare på den lokale maskinen. (Denne informasjonen gjelder også for pålogging for virtuell maskin.)
Når du logger på koblingen, må påloggingskontoen være den samme som den fullstendige administratorkontoen for Control Hub. Som standard bruker koblingen den lokale systemkontoen for å få tilgang til Active Directory. Du kan imidlertid bruke Windows-tjenester til å konfigurere en annen konto for å få tilgang til Active Directory. (Denne informasjonen gjelder også for pålogging for virtuell maskin.)
Kontroller at søkemodusen for Windows Safe DLL (dynamic link library) er aktivert ved hjelp av denne fremgangsmåten: Sjekk SafeDllSearchMode i Windows-registeret .
Hvis du bruker AD LDS for flere domener i én enkelt skog, anbefaler vi at du installerer katalogkobling og Active Directory Domain Service/ Active Directory Lightweight Directory Services (AD DS/AD LDS) på separate maskiner.
Krav til flere domener
Før du følger oppgavene i Oppgaveflyt for distribusjon av Cisco-katalogkontakt , må du huske på følgende krav og anbefalinger hvis du skal synkronisere Active Directory -informasjon fra flere domener til skyen:
Det kreves en egen forekomst av Directory Connector for hvert domene.
Katalogkoblingsprogramvaren må kjøres på en vert som er på samme domene som den skal synkronisere.
Vi anbefaler at du bekrefter eller gjør krav på domenene dine i Control Hub. (Se Legg til, bekreft og gjør krav på domener .)
Hvis du vil synkronisere mer enn 50 domener, må du åpne en billett for å få organisasjonen flyttet til en stor organisasjonsliste.
Om ønskelig kan du synkronisere romressursinformasjon sammen med brukerkontoer. (Se Synkronisere lokal rominformasjon til Webex Cloud .)
Anbefalinger for Active Directory gruppe for automatisk lisenstilordning
Active Directory -grupper brukes til å samle brukerkontoer, datakontoer og andre grupper i administrerbare enheter. Arbeid med grupper i stedet for med individuelle brukere bidrar til å forenkle nettverksvedlikehold og -administrasjon.
Det finnes to typer grupper i Active Directory:
Distribusjonsgrupper – Brukes til å opprette distribusjonslister for e-post.
Sikkerhetsgrupper – Brukes til å tilordne tillatelser til delte ressurser.
Vurder følgende retningslinjer når du oppretter grupper i Active Directory:
Opprett en global gruppe for hver rolle, avdeling eller tjeneste (for eksempel salg, markedsføring, ledere, regnskapsførere, Webex-lisensiering og så videre).
Bruk standard navnekonvensjoner på tvers av organisasjonen for å gjøre det enkelt å identifisere viktig informasjon om en gruppe. Gruppenavn kan inneholde detaljer om gruppen, for eksempel tilgangsnivå, ressurstype, sikkerhetsnivå, gruppeomfang, e-postfunksjon og så videre. for eksempel gruppenavn «GSG_ Webex_ Licensing_ EMEAR» refererer til en global sikkerhetsgruppe for EMEAR-brukere med Webex-lisensiering.
Organiser grupper på en lettfattelig måte, for eksempel etter geografi eller lederhierarki. Bruk gruppebeskrivelser for å fullstendig beskrive formålet med gruppen.
Før du legger til brukere i nylig klargjorte grupper, må du definere malen for automatisk lisensgruppe i Control Hub for disse gruppene. Se Konfigurer malen for automatisk lisenstildeling hvis du vil ha mer informasjon.
Størrelsesinformasjon
Katalogkobling fungerer som en bro mellom den lokale Active Directory og Webex-skyen. Som sådan har ikke koblingen en øvre grense for hvor mange Active Directory -objekter som kan synkroniseres til skyen. Eventuelle begrensninger for lokale katalogobjekter er knyttet til den spesifikke versjonen av og spesifikasjonene for Active Directory -miljøet som synkroniseres til skyen, ikke til selve koblingen.
Noen få faktorer kan påvirke hastigheten på synkroniseringen:
Totalt antall Active Directory -objekter. (En synkroniseringsjobb på 5000 brukere vil ikke ta så lang tid som 50000.)
Nettverkshastighet og båndbredde.
Systemarbeidsmengde og spesifikasjoner.
| Hvis du synkroniserer mer enn 50 000 brukere, anbefaler vi på det sterkeste at du bruker en ny kontakt for failover og redundans. |
| Siden flere faktorer er involvert i synkronisering, og fordi hver distribusjon varierer avhengig av faktorene ovenfor, kan vi ikke oppgi spesifikke tidsverdier for hvor lang tid en objektsynkronisering vil ta. |
Sjekk SafeDllSearchMode i Windows-registeret
Søkemodus for Safe dynamic link library (DLL) angis som standard i Windows-registret og plasserer brukerens gjeldende katalog senere i DLL-søkefølgen. Hvis denne modusen på en eller annen måte ble deaktivert, kan en angriper plassere en skadelig DLL (kalt det samme som en referert DLL-fil som ligger i systemmappen) i gjeldende arbeidskatalog for programmet.
Vanligvis er SafeDllSearchMode aktivert, men bruk denne fremgangsmåten til å dobbeltsjekke registerinnstillingene.
Før du starter
| Endringer i Windows-registret bør gjøres med ekstrem forsiktighet. Vi anbefaler at du tar en sikkerhetskopi av registeret før du bruker disse trinnene. |
| 1 | I Windows-søk eller Kjør-vinduet skriver du inn regedit og trykk deretter på Gå inn . |
| 2 | Gå til HKEY_ LOKALT_ MASKIN\System\CurrentControlSet\Control\Session Manager . |
| 3 | Velg én:
|
Hvis du vil ha mer informasjon, se Søkerekkefølge for dynamisk koblingsbibliotek .
Web-proxy-integrering
Web-proxy-integrering
Hvis nettproxy-autentisering er aktivert i miljøet ditt, kan du fortsatt bruke Katalogkobling.
Hvis organisasjonen bruker en gjennomsiktig nettproxy, støtter den ikke autentisering. Kontakten kobler til og synkroniserer brukere.
Du kan bruke en av disse tilnærmingene:
Eksplisitt nettproxy via Internet Explorer (koblingen arver innstillingene for nettproxy)
Eksplisitt nettproxy via en .pac-fil (koblingen arver bedriftsspesifikke proxy-innstillinger)
Gjennomsiktig proxy som fungerer med kontakten uten endringer
Bruke en nettproxy via nettleseren
Du kan konfigurere Directory Connector til å bruke en web-proxy via Internet Explorer.
Hvis Cisco DirSync-tjenesten kjører fra en annen konto enn den nåværende påloggede brukeren, må du også logge på med denne kontoen og konfigurere nettproxy.
| 1 | Fra Internet Explorer går du til Alternativer for Internett , klikk Tilkoblinger , og velg deretter LAN-innstillinger . | ||
| 2 | Pek på Windows-forekomsten der kontakten er installert på nettproxyen. Koblingen arver disse nettproxy-innstillingene. | ||
| 3 | Hvis miljøet ditt bruker proxy-autentisering, legger du til disse nettadressene i den tillatte listen:
Du kan utføre dette enten for hele nettstedet (for alle verter) eller bare for verten som har koblingen.
| ||
| 4 | Hvis miljøet ditt trenger å be om lister over tilbakekall av sertifikater fra sertifiseringsinstanser, legger du til disse nettadressene i den tillatte listen:
Hvis du vil ha mer informasjon, kan du se denne artikkelen om domener og URL-er som må ha tilgang til for Webex-tjenester . |
Konfigurere Web-proxy gjennom en PAC-fil
Du kan konfigurere en klientnettleser til å bruke en .pac-fil. Denne filen inneholder nettproxyadressen og portinformasjonen. Katalogkobling arver den bedriftsspesifikke nettproxy-konfigurasjonen direkte.
| 1 | For at koblingen skal kunne koble til og synkronisere brukerinformasjon til Webex-skyen, må du kontrollere at proxy-autentisering er deaktivert for | ||
| 2 | Hvis miljøet ditt bruker proxy-autentisering, legger du til disse nettadressene i den tillatte listen:
Du kan utføre dette enten for hele nettstedet (for alle verter) eller bare for verten som har koblingen.
| ||
| 3 | Hvis miljøet ditt trenger å be om lister over tilbakekall av sertifikater fra sertifiseringsinstanser, legger du til disse nettadressene i den tillatte listen:
Hvis du vil ha mer informasjon, kan du se denne artikkelen om domener og URL-er som må ha tilgang til for Webex-tjenester . |
NTLM-proxy
Katalogkobling støtter NT LAN Manager (NTLM) . NTLM er en tilnærming for å støtte Windows-godkjenning mellom domeneenhetene og sikre deres sikkerhet.
NTLM-design
I de fleste tilfeller ønsker en bruker å få tilgang til en annen arbeidsstasjonsressurser via en klient-PC, noe som kan være vanskelig å gjøre på en sikker måte.
Generelt er den tekniske utformingen av NTLM basert på en mekanisme for Utfordring
og Svar
:
En bruker logger på en klient-PC via en Windows-konto og et passord. Passordet lagres aldri lokalt. I stedet for et passord i ren tekst, lagres en hash-verdi for passordet lokalt. Når en bruker logger på klienten via passordet, sammenligner Windows OS den lagrede hashverdien og hashverdien fra inndatapassordet. Hvis begge er like, godkjennes godkjenningen.
Når brukeren ønsker å få tilgang til en ressurs på en annen server, sender klienten en forespørsel til serveren med kontonavn i ren tekst.
Når serveren mottar forespørselen, genererer serveren en 16-biters tilfeldig nøkkel. Nøkkelen heter Challenge (eller Nonce). Før serveren sender tilbake til klienten, lagres utfordringen på serveren. Og så sender serveren utfordringen til klienten i ren tekst.
Så snart klienten mottar utfordringen sendt fra serveren, krypterer klienten utfordringen med hash-verdien som ble nevnt i trinn 1. Etter kryptering sendes verdien tilbake til serveren.
Når serveren mottar den krypterte verdien fra klienten, sender serveren den til domenekontrolleren for verifisering. Forespørselen inkluderer: kontonavn, kryptert utfordring som klienten sendte, og den opprinnelige vanlige utfordringen.
Domenekontrolleren kan hente hashverdiene for passord i henhold til kontonavn. Og så kan domenekontrolleren kryptere på den opprinnelige utfordringen. Doman-kontrolleren kan deretter sammenligne med den mottatte hashverdien og den krypterte hashverdien. Hvis de er de samme, er bekreftelsen vellykket.
| Windows har sikkerhetsautentisering innebygd i operativsystem, noe som gjør det enklere for programmer å støtte sikkerhetsautentisering. Som et resultat av dette trenger du ikke fullføre ytterligere konfigurasjon. |
Konfigurer gjennomsiktig proxy
I dette scenariet er nettleseren ikke klar over at en gjennomsiktig nettproxy fanger opp http-forespørsler (port 80/port 443), og det kreves ingen konfigurasjon på klientsiden.
| 1 | Distribuer en gjennomsiktig proxy, slik at koblingen kan koble til og synkronisere brukere. |
| 2 | Bekreft at proxyen er vellykket – du ser et forventet hurtigmenyvindu for nettleserautentisering når du starter koblingen. |
Angi proxy-autentisering
Legg til nettadressen cloudconnector.webex.com til den tillatte listen ved å opprette en tilgangskontrollliste.
På bedriftens brannmurserver:
| 1 | Aktiver DNS-oppslag hvis det ikke allerede er aktivert. |
| 2 | Bestem en estimert båndbredde for denne tilkoblingen (ca. 2 MB/s eller mindre for kontakten). Dette er kanskje ikke nødvendig. |
| 3 | Opprett en tilgangskontrollliste som skal brukes på koblingsverten, og angi For eksempel: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
| 4 | Bruk denne tilgangskontrollisten på riktig brannmurgrensesnitt, som bare gjelder for denne verten med én kobling. |
| 5 | Kontroller at resten av vertene i bedriften fortsatt er pålagt å bruke nettproxyen ved å konfigurere den riktige implisitte deny-setningen. |
Oppgaveflyt for distribusjon av Cisco-katalogkontakt
Før du starter
| 1 | Installere Directory Connector Control Hub viser først katalogsynkronisering som deaktivert. Hvis du vil aktivere katalogsynkronisering for organisasjonen, må du installere og konfigurere Katalogkobling, og deretter utføre en fullstendig synkronisering. For en ny installasjon av Directory Connector går du alltid til Control Hub (https://admin.webex.com ) for å få den nyeste versjonen av programvaren, slik at du bruker de nyeste funksjonene og feilrettingene. Når du har installert programvaren, rapporteres oppgraderinger gjennom programvaren og installeres automatisk når de er tilgjengelige. |
| 2 |
Logg på med Webex- administrator og utfør det første oppsettet. |
| 3 | Angi automatiske oppgraderinger Det er alltid viktig å holde Directory Connector-programvaren oppdatert til den nyeste versjonen. Vi anbefaler at du bruker denne fremgangsmåten for å la automatiske oppgraderinger av programvaren installeres lydløst når de er tilgjengelige. |
| 4 | Velg Active Directory -objekter som skal synkroniseres Som standard synkroniserer Katalogkobling alle brukere som ikke er datamaskiner, og alle grupper som ikke er kritiske systemobjekter for et domene. Hvis du vil ha mer kontroll over hvilke objekter som skal synkroniseres, kan du velge bestemte brukere som skal synkroniseres og angi LDAP-filtre ved hjelp av siden Objektvalg i Katalogkobling. |
| 5 |
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen. Det eneste obligatorisk felt er *uid. |
| 6 | Synkroniser katalogavatarer ved hjelp av en av følgende fremgangsmåter:
Du kan synkronisere brukernes avatarer til skyen, slik at hver brukers avatar vises når de logger på applikasjonen. Du kan synkronisere avatarer fra et Active Directory -attributt eller en ressursserver. |
| 7 | Synkronisere lokal rominformasjon til Webex Cloud Bruk denne fremgangsmåten til å synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte romenheter, for eksempel en Webex Room-enhet eller Cisco Webex Board |
| 8 | Til Klargjøre brukere fra Active Directory til Control Hub , utfør disse trinnene:
Følg denne sekvensen for å klargjøre Active Directory -brukere for Webex-appkontoer. Du kan klargjøre brukere fra Active Directory -distribusjon for flere skoger eller flere domener for Directory Connector 3.0 og nyere. I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Målet er å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen. |
Installere Directory Connector
Control Hub viser først katalogsynkronisering som deaktivert. Hvis du vil aktivere katalogsynkronisering for organisasjonen, må du installere og konfigurere Katalogkobling, og deretter utføre en fullstendig synkronisering.
Du må installere én kobling for hvert Active Directory -domene du vil synkronisere. En enkelt Directory Connector-forekomst kan bare betjene ett enkelt domene. Se diagrammet nedenfor for å forstå flyten for domenesynkronisering:
Før du starter
Hvis du autentiserer via en proxy-server, må du kontrollere at du har proxy-legitimasjonen din:
For grunnleggende proxy-godkjenning skriver du inn brukernavn og passord etter at du har installert en forekomst av koblingen. Proxykonfigurasjon for Internet Explorer er også nødvendig for grunnleggende godkjenning. se Bruke en nettproxy via nettleseren
For proxy NTLM kan det hende at du ser en feilmelding når du åpner kontakten for første gang. Se Bruke en nettproxy via nettleseren .
| 1 | I Kontrollhub , gå til , og velg Neste . | ||
| 2 | Klikk på Last ned og installer koblingen for å lagre den nyeste versjonen av .zip-filen for connectorinstallasjon på VMware- eller Windows-serveren. Du kan hente ZIP-filen direkte fra denne koblingen , men du må ha full administrativ tilgang til en Control Hub-organisasjon for at denne programvaren skal fungere.
| ||
| 3 | På VMware- eller Windows-serveren pakker du ut og kjører .msi-filen i installasjonsmappen for å starte installasjonsveiviseren. | ||
| 4 | Klikk på Neste , merk av i boksen for å godta lisensavtale, og klikk deretter på Neste til du ser skjermen for kontotype. | ||
| 5 | Velg typen tjenestekonto du vil bruke, og utfør installasjonen med en administratorkonto:
For å unngå feil må du kontrollere at følgende rettigheter er på plass:
| ||
| 6 | Klikk på Installer. Når nettverkstesten er kjørt, og hvis du blir bedt om det, skriver du inn den grunnleggende legitimasjonen for proxyen, klikker på OK , og klikk deretter Fullfør . |
Hva nå?
Vi anbefaler at du starter serveren på nytt etter installasjonen. Tørrkjøringsrapporten kan ikke vise riktig resultat når dataene ikke ble utgitt. Under omstart av maskinen oppdateres alle data for å vise et nøyaktig resultat i rapporten.
Logg på katalogkobling
Før du starter
Kontroller at du har proxy-legitimasjonen din.
For proxy basic-auth skriver du inn brukernavn og passord etter at du åpner koblingen for første gang.
For proxy-NTLM åpner du Internet Explorer, klikker på tannhjulikonet og går til Alternativer for Internett > Tilkoblinger > LAN-innstillinger , kontroller at informasjonen om proxy-server er lagt til, og klikk deretter på OK . Se Bruke en nettproxy via nettleseren .
| 1 | Åpne kontakten, og legg til | ||||
| 2 | Hvis du blir bedt om det, logger du på med påloggingsinformasjonen for proxy-autentisering, og deretter logger du på Webex ved hjelp av administratorkontoen din og klikker på Neste . | ||||
| 3 | Bekreft organisasjonen og domenet.
| ||||
| 4 | Etter at Bekreft organisasjon skjermen vises, klikker du på Bekreft . Hvis du allerede har bundet AD DS/AD LDS, vil Bekreft organisasjon skjermen vises. | ||||
| 5 | Klikk på Bekreft . | ||||
| 6 | Velg ett, avhengig av hvor mange Active Directory -domener du vil binde til Directory Connector:
|
Hva nå?
Når du har logget på, blir du bedt om å utføre en tørrkjøringssynkronisering.
Instrumentbord for katalogkobling
Første gang du logger deg på Directory Connector, vises instrumentbordet. Her kan du vise et sammendrag av alle synkroniseringsaktiviteter, vise skystatistikk, utføre en tørrkjøringssynkronisering, starte en full eller trinnvis synkronisering og starte hendelsesvisningen for å se feilinformasjon.
| Hvis økten blir tidsavbrutt, må du logge på igjen. |
Du kan enkelt kjøre disse oppgavene fra verktøylinjen for handlinger eller menyen for handlinger.
Komponent | Beskrivelse |
|---|---|
Gjeldende synkronisering |
Viser statusinformasjonen om synkroniseringen som pågår for øyeblikket. Når ingen synkronisering kjøres, er statusvisningen inaktiv. |
Neste Synkronisering |
Viser de neste planlagte fullstendige og trinnvise synkroniseringene. Hvis det ikke er angitt noen tidsplan, Ikke planlagt vises. |
Siste synkronisering |
Viser statusen for de to siste synkroniseringene som ble utført. |
Gjeldende synkroniseringsstatus |
Viser den generelle statusen for synkroniseringen. |
Koblinger |
Viser de gjeldende lokale kontaktene som er tilgjengelige for skyen. |
Skystatistikk |
Viser den generelle statusen for synkroniseringen. |
Tidsplan for synkronisering |
Viser synkroniseringsplanen for trinnvis og full synkronisering. |
Sammendrag av konfigurasjon |
Viser innstillingene du endret i konfigurasjonen. Sammendraget kan for eksempel inneholde følgende:
|
| Handling | Beskrivelse | ||
|---|---|---|---|
| Start trinnvis synkronisering | Start en trinnvis synkronisering manuelt
|
||
Synkroniser tørrkjøring |
Utfør en tørrkjøringssynkronisering. |
||
Start Event Viewer |
Start Microsoft Event Viewer. |
||
Oppdater |
Oppdater instrumentbordet for Cisco-registerkontakt |
Handling | Beskrivelse |
|---|---|
| Synkroniser nå | Start en full synkronisering umiddelbart. |
Synkroniseringsmodus |
Velg enten trinnvis eller full synkroniseringsmodus. |
Tilbakestill kontakthemmeligheten |
Etablere en samtale mellom Cisco-registerkontakt og kontakttjenesten. Hvis du velger denne handlingen, tilbakestilles hemmeligheten i skyen, og deretter lagres hemmeligheten lokalt. |
Tomkjøring |
Utfør en test av synkroniseringsprosessen. Du må gjøre en tørrkjøring før du utfører en full synkronisering. |
Feilsøking |
Slå feilsøking på/av. |
Oppdater |
Oppdater hovedskjerm for Cisco-katalogkontakt. |
Avslutt |
Avslutt Cisco-katalogkontakt. |
Tastekombinasjon | Handling |
|---|---|
Alt +A |
Vis Handlinger -menyen |
|
Synkronisering nå |
|
Tilbakestill kontakthemmeligheten |
|
Tørrløp |
|
Inkrementell synkronisering |
|
Full synkronisering |
|
Vis Hjelp -menyen |
|
Hjelp |
|
Om |
|
Vanlige spørsmål |
Angi automatiske oppgraderinger
| 1 | Fra Katalogkobling går du til , og kontroller Oppgrader automatisk til den nye versjonen av Cisco Directory Connector . |
| 2 | Klikk på Bruk for å lagre endringene. |
Nye versjoner av kontakten installeres automatisk når de er tilgjengelige.
| Du kan administrere oppgraderinger manuelt hvis du foretrekker det. Se Oppgrader til den nyeste programvareversjonen hvis du vil ha mer informasjon. |
Velg Active Directory -objekter som skal synkroniseres
Som standard synkroniserer Katalogkobling alle brukere som ikke er datamaskiner, og alle grupper som ikke er kritiske systemobjekter for et domene. Hvis du vil ha mer kontroll over hvilke objekter som skal synkroniseres, kan du velge bestemte brukere som skal synkroniseres og angi LDAP-filtre ved hjelp av siden Objektvalg i Katalogkobling.
Grupper for automatisk lisenstilordning
Control Hub lar deg administrere lisenstildelinger for hver gruppe. Du kan opprette lisensmaler og tilordne dem til Active Directory -grupper som du synkroniserer til skyen. Når brukeren opprettes, kontrollerer Webex brukermedlemskap og automatisk tilordning av lisensmaler for den nye brukeren.
Vi anbefaler at du bruker et LDAP-filter for bare å synkronisere relevante grupper til skyen. Du kan for eksempel angi filteret til:
(&(cn=Example)(objectclass=Group))*
Dette filteret synkroniserer alle grupper i base-DN der navnet begynner med Eksempel. Brukere som ikke er tilordnet grupper, tilordnes lisenser fra den standard automatiske lisensmalen du konfigurerte i Control Hub.
Grupper for hybrid distribusjon av datasikkerhet
I Katalogkobling må du sjekke Grupper hvis du bruker Hybrid Data Security til å konfigurere en prøvegruppe for pilotbrukere. Se Distribusjonsveiledning for hybrid datasikkerhet for veiledning. Denne Katalogkobling-innstillingen påvirker ikke andre brukeres synkronisering til skyen.
| 1 | Fra Katalogkobling går du til Konfigurasjon , og klikk deretter Objektvalg . | ||
| 2 | I Objekttype seksjon, sjekk Brukere , og vurder å begrense antall søkbare beholdere for brukere. Hvis du for eksempel bare vil synkronisere brukere i en bestemt gruppe, må du angi et LDAP-filter i Brukere Felt for LDAP-filtre. Hvis du vil synkronisere brukere som er i Eksempelbehandler-gruppen, bruker du et filter som dette:
| ||
| 3 | Sjekk Identifiser rom for å skille romdata fra brukerdata. Klikk på Tilpass hvis du vil konfigurere flere attributter for å identifisere brukerdata som romdata. Bruk denne innstillingen hvis du vil synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte romenheter. Hvis du vil ha mer informasjon, se Synkronisere lokal rominformasjon til Webex Cloud . | ||
| 4 | Sjekk Grupper hvis du vil synkronisere Active Directory -brukergruppene til skyen. Ikke legg til et LDAP-filter for brukersynkronisering i Grupper-feltet. Du bør bare bruke Grupper-feltet til å synkronisere selve gruppedataene til skyen.
| ||
| 5 | Sjekk Kontakter hvis du vil synkronisere kontaktinformasjon til brukerne til skyen.
| ||
| 6 | Konfigurer LDAP filtre. Du kan legge til utvidede filtre ved å oppgi et gyldig LDAP-filter. Se denne artikkelen hvis du vil ha mer informasjon om konfigurering av LDAP-filtre. | ||
| 7 | Angi On Premises base-DN-er som skal synkroniseres ved å klikke Velg for å se trestrukturen til Active Directory. Herfra kan du velge eller oppheve merkingen av hvilke beholdere du vil søke på. | ||
| 8 | Kontroller at objektene du vil legge til for denne konfigurasjonen, og klikk på Velg . Du kan velge individuelle eller overordnede beholdere som skal brukes til synkronisering. Velg en overordnet beholder for å aktivere alle underordnede beholdere. Hvis du velger en underordnet beholder, viser den overordnede beholderen en grå hake som angir at en underordnet beholder er blitt kontrollert. Deretter kan du klikke Velg for å godta Active Directory -beholderne du sjekket. Hvis organisasjonen plasserer alle brukere og grupper i Brukere-beholderen, trenger du ikke å søke i andre beholdere. Hvis organisasjonen er delt inn i organisasjonsenheter, må du kontrollere at du velger OE . | ||
| 9 | Klikk på Bruk. Velg et alternativ:
Hvis du vil ha informasjon om tørrkjøringer, se Utfør en tørrkjøringssynkronisering på Active Directory -brukere . For gruppesynkronisering må du utføre en full synkronisering: Utfør en fullstendig synkronisering av Active Directory -brukere til skyen . |
Tilordne brukerattributter
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen. Det eneste obligatorisk felt er *uid, en unik identifikator for hver brukerkonto i skyidentitetstjenesten.
Du kan velge hvilket Active Directory -attributt som skal tilordnes til skyen – du kan for eksempel tilordne firstName lastName i Active Directory eller et egendefinert attributtuttrykk til displayName i skyen.
| Kontoer i Active Directory må ha en e-postadresse. uid-en tilordnes som standard til |
Hvis du velger å la det foretrukne språket komme fra Active Directory, er Active Directory den eneste kilden til sannhet: brukere vil ikke kunne endre språkinnstillingen i Webex-innstillinger, og administratorer vil ikke kunne endre innstillingen i Control Hub.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tilordning av brukerattributter . Denne siden viser attributtnavnene for Active Directory (til venstre) og Webex-skyen (til høyre). Alle obligatoriske attributter er merket med en rød stjerne. | ||||
| 2 | Bla ned til bunnen av Active Directory -attributtnavn , og velg deretter ett av disse Active Directory -attributtene som skal tilordnes til skyattributtet uid :
Du kan tilordne alle de andre Active Directory -attributtene til uid, men vi anbefaler at du bruker e-post eller userPrincipalName, som dekket i retningslinjene ovenfor. I noen tilfeller brukes userPrincipalName til pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. Du må sørge for at e-postadresse for kalenderbehandling er tilordnet til det primære e-postadresse i Webex. Legg til userPrincipalName som en alternativ e-postadresse. Hvis du vil se hvilke attributter i Active Directory tilsvarer i skyen, kan du se Tilordning av Active Directory -attributter i Directory Connector .
| ||||
| 3 | Hvis de forhåndsdefinerte Active Directory -attributtene ikke fungerer for distribusjonen, klikker du på rullegardinlisten for attributt, blar til bunnen og velger Tilpass attributt for å åpne et vindu som lar deg definere et attributtuttrykk.
I dette eksemplet skal vi tilordne Active Directory -attributtene
| ||||
| 4 | (Valgfritt) Velg tilordninger for mobil og telefonnummer hvis du vil at mobil- og jobbnumre skal vises, for eksempel i brukerens kontaktkort i Webex-appen. telefonnummer vises i Webex-appen når en bruker holder pekeren over en annen brukers profilbilde. Hvis du vil ha mer informasjon om å ringe fra en brukers kontaktkort, se Installasjonsveiledning for å anrope Webex (Unified CM) . (administratorer). | ||||
| 5 | Velg flere tilordninger for at flere data skal vises i kontaktkort:
Etter at attributtene er tilordnet, vises informasjonen når en bruker holder pekeren over en annen brukers profilbilde:
Hvis du vil ha mer informasjon om kontaktkort, kan du se Bekreft hvem du kontakter . Når disse attributtene er synkronisert til hver brukerkonto, kan du også slå på People Insights i Control Hub. Denne funksjonen lar brukere av Webex-appen dele mer informasjon i profilene sine og lære mer om hverandre. Hvis du vil ha mer informasjon om funksjonen og hvordan du aktiverer den, kan du se People Insights -profiler for Webex, Jabber, Webex Meetings og Webex Events (ny) i Control Hub | ||||
| 6 | Når du har gjort valgene, klikker du Bruk . |
Alle brukerdata som finnes i Active Directory, overskriver dataene i skyen som tilsvarer denne brukeren. Hvis du for eksempel opprettet en bruker manuelt i Control Hub, må brukerens e-postadresse være identisk med e-postadressen i Active Directory. Alle brukere som ikke har en tilsvarende e-postadresse i Active Directory , slettes.
| Slettede brukere beholdes i skyidentitetstjenesten i syv dager før de slettes permanent. |
Active Directory og skyattributter
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen ved hjelp av Tilordning av brukerattributter -fanen.
Denne tabellen sammenligner tilordningen mellom Active Directory -attributtnavn og Cisco Cloud -attributtnavn. Disse verdiene og tilordningene er standardinnstilling i Katalogkobling. Du kan velge forskjellige attributter i Active Directory -rullegardinlistene og bestemme hvilket lokale attributt som skal synkroniseres med hvilket skyattributt.
Se på rullegardinattributtene som forhåndsinnstillinger. Som et alternativ til verdiene i Active Directory -raden kan du også angi et tilpasset attributt, din egen forhåndsinnstilling, i Active Directory (et uttrykk med flere attributter) for å tilordne et enkelt skyattributt i den tilsvarende raden. På denne måten har du fleksibilitet til å bestemme visningsnavnene til brukerne dine – du kan for eksempel legge til et uttrykk som oppretter et tilpasset attributt basert på ansatttittel, fornavn og etternavn i Active Directory.
Du kan også angi hvilke som helst av Active Directory -attributtene som skal tilordnes til uid i skyen. Du må imidlertid sørge for at det lokale attributtet følger et gyldig e-postformat.
| Du kan også bruke alternative e-postadresser, hvis du for eksempel vil bruke userPrincipalName for pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. I dette tilfellet tilordner du en annen e-postadresse til e-poster;type-arbeid attributtet. Dette er e-postadressen som brukes til autentisering. den brukes ikke til å administrere kalenderen din. e-postadresse du tilordner fra AD, må være fra et bekreftet domene i organisasjonen din, og den må være unik og ikke tilordnet en annen bruker. |
Navn på Active Directory -attributter | Navn på Webex-skyattributter | Merknader |
|---|---|---|
— |
buildingName |
— |
c |
c |
Dette attributtet angir brukerens landsforkortelse. |
avdelingsnummer |
avdelingsnummer |
Dette attributtet brukes for brukerens avdelingsnummer som vises i kontaktkort og personinnsikt . |
visningsnavn |
visningsnavn |
Dette attributtet brukes for visningsnavn for brukerkonto som vises i Control Hub, den kontaktkort , og personinnsikt . |
userAccountControl |
ds-pwp-account-disabled |
Dette attributtet brukes til brukersynkronisering. Kontroller at userAccountControl attributtet er tilordnet til ds-pwp-account-disabled ellers blir ikke brukerne synkronisert riktig. |
ansattnummer |
ansattnummer |
— |
ansattType |
ansattType |
Denne verdien brukes for ansatttypen bruker som vises i kontaktkort og personinnsikt . |
fakstelefonnummer |
fakstelefonnummer |
— |
givenName |
givenName |
Dette attributtet brukes for brukerkonto fornavn som vises i Control Hub, den kontaktkort , og personinnsikt . |
— |
jabberID |
Dette skyattributtet er relatert til direktemeldingsadresser (XMPP-type) som brukes av Jabber. Denne verdien er ikke det samme som sipAddresses. |
l |
l |
Dette attributtet angir byen til brukeren. |
— |
språk |
— |
administrator |
administrator |
Dette attributtet brukes for brukerens ledernavn som vises i kontaktkort og personinnsikt . |
Mobil |
Mobil |
Dette attributtet brukes som mobilnummer som vises for ringe brukeren fra kontaktkort . |
o |
o |
Dette attributtet angir navnet på selskapet eller organisasjonen. |
ou |
ou |
Dette attributtet angir navnet på organisasjonsenheten. |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Dette attributtet angir brukerens kontorplassering. |
postnummer |
postnummer |
Dette attributtet angir brukerens postnummer eller postnummer for fysisk postlevering. |
foretrukket språk |
foretrukket språk |
Dette attributtet angir brukerens foretrukne språk, og følgende formater støttes: xx_YY eller xx-YY. Her er noen eksempler: en_USA,en_ GB, fr-CA. Hvis du bruker et språk som ikke støttes eller ugyldig format, endres brukernes foretrukne språk til språket som er angitt for organisasjonen. |
MSRTCSIP-PrimaryUserAddress iPhone |
SipAddresses;type=bedrift |
Dette attributtet brukes til å synkronisere lokal rominformasjon fra Active Directory til Cisco Webex skyen. |
sn |
sn |
Dette attributtet brukes for brukerkonto etternavn som vises i Control Hub, den kontaktkort , og personinnsikt . |
st |
st |
Dette attributtet angir delstaten eller provinsen til brukeren. |
gateadresse |
gate |
Dette attributtet angir gateadressen til brukeren for fysisk postlevering. |
telefonnummer |
telefonnummer |
Dette attributtet angir brukerens primære telefonnummer (jobb) som brukes til ringe brukeren fra kontaktkort . |
— |
tidssonen |
Dette skyattributtet angir brukerens tidssone. |
tittel |
tittel |
Dette attributtet angir brukertittelen som vises i kontaktkort og personinnsikt . |
type |
bedrift |
— |
*e-post *userPrincipalName |
uid |
En obligatorisk attributtilordning. For hver brukerkonto tilordnes Active Directory -verdien til en unik uid i skyen. I noen tilfeller brukes userPrincipalName til pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. Du må sørge for at e-postadresse for kalenderbehandling er tilordnet til det primære e-postadresse i Webex. Legg til userPrincipalName som en alternativ e-postadresse. Brukeren kan deretter bruke en av disse e-postadressene til å logge på, så lenge de er riktige SAML-attributtilordning er på plass. Se eksempel på attributtilordning nedenfor for hvordan du kan tilordne en alternativ e-postadresse. |
*userPrincipalName *e-post <custom attribute=""> |
e-poster;type-arbeid |
Denne tilordningen er valgfri. Bruk den hvis du vil bruke alternative e-postadresser. Dette er e-postadressen som brukes til autentisering. den brukes ikke til å administrere kalenderen din. e-postadresse du tilordner fra AD, må være fra et bekreftet domene i organisasjonen din, og den må være unik og ikke tilordnet en annen bruker. |
<New attribute="" for="" Azure="" user="" objectId=""> |
ekstern ID |
Opprett et nytt Active Directory -attributt for å holde Azure-brukerobjekt-ID-en, slik at den ikke kolliderer med en eksisterende. Dette attributtet tilordnes deretter til externalId-attributtet, og sikrer at når Webex-brukere opprette grupper i Microsoft 365, oppretter de automatisk team i Webex . |
Alternativ e-postadresse
Uttrykk for tilpassede attributter
Operatør | Beskrivelse og eksempel |
|---|---|
% | Fjerner alle tegn fra begynnelsen av strengen til plasseringen av tegnet eller strengargumentet, hvis det samsvarer.
|
– | Fjerner baksiden av inndatastrengen fra enden av den angitte strengen.
|
+ | Setter sammen inndatastrenger eller -uttrykk.
|
| | Evaluerer de atskilte uttrykkene mot den tomme strengen, og velger det første ikke-tomme resultatet.
|
Synkronisere katalogavatarer fra et Active Directory -attributt til skyen
Du kan synkronisere brukernes katalogavatarer til skyen, slik at hver avatar vises når de logger på Webex-appen. Bruk denne fremgangsmåten til å synkronisere rå avatardata fra et Active Directory -attributt.
| 1 | Fra Katalogkobling går du til Konfigurasjon , klikk Avatar , og kontroller Aktiver . |
| 2 | For Hent avatar fra , velg AD-attributt , og velg deretter Avatar-attributt som inneholder råavatardataene du vil synkronisere til skyen. |
| 3 | Hvis du vil bekrefte at avataren brukes på riktig måte, skriver du inn en brukers e-postadresse og klikker på Hent brukerens avatar . Avataren vises til høyre. |
| 4 | Når du har bekreftet at avataren ble vist riktig, klikker du Bruk for å lagre endringene. |
Bildene som synkroniseres, blir standardavatar for brukere i Webex-appen. Brukere har ikke tillatelse til å angi sin egen avatar etter at denne funksjonen er aktivert fra Katalogkobling.
Brukeravatarene synkroniseres til både Webex-appen og eventuelle samsvarende kontoer på Webex-nettsted.
Hva nå?
Gjør en tørrkjøringssynkronisering; Hvis det ikke er noen problemer, kan du utføre en fullstendig synkronisering for å få Active Directory -brukerkontoene og avatarene til å synkroniseres til skyen og vises i Control Hub.
Synkronisere katalogavatarer fra en ressursserver til skyen
Du kan synkronisere brukernes katalogavatarer til skyen, slik at hver avatar vises når de logger på Webex-appen. Bruk denne fremgangsmåten til å synkronisere avatarer fra en ressursserver.
Før du starter
URI-mønsteret og variabelverdien i denne prosedyren er eksempler. Du må bruke faktiske nettadresser der katalogavatarene dine er plassert.
Avatar-URI-mønsteret og serveren der avatarene ligger, må kunne nås fra Directory Connector-programmet. Koblingen trenger http- eller https-tilgang til bildene, men bildene trenger ikke å være offentlig tilgjengelige på Internett.
Synkroniseringen av avatardata er atskilt fra Active Directory -brukerprofilene. Hvis du kjører en proxy, må du sørge for at avatardataene er tilgjengelige via NTLM-autentisering eller basic-auth.
| 1 | Fra Katalogkobling går du til Konfigurasjon , klikk Avatar , og kontroller Aktiver . |
| 2 | For Hent avatar fra , velg Ressursserver og angi deretter Avatar-URI-mønster – For eksempel La oss se på hver del av avatarens URI-mønster og hva de betyr:
|
| 3 | (Valgfritt) Hvis ressursserveren krever legitimasjon, kontrollerer du Angi påloggingsinformasjon for avatar , og velg deretter enten Bruk gjeldende bruker for tjenestepålogging eller Bruk denne brukeren og angi passordet. |
| 4 | Skriv inn Variabelverdi – For eksempel: |
| 5 | Klikk på Test for å kontrollere at avatarens URI-mønster fungerer som det skal. I dette eksemplet, hvis e-postverdien for én AD-oppføring er |
| 6 | Når URI-informasjonen er bekreftet og ser riktig ut, klikker du Bruk . Hvis du vil ha detaljert informasjon om bruk av regulære uttrykk, kan du se hurtigreferanse for Microsoft Regular Expression-språk . |
Bildene som synkroniseres, blir standardavatar for brukere i Webex-appen. Brukere har ikke tillatelse til å angi sin egen avatar etter at denne funksjonen er aktivert fra Katalogkobling.
Brukeravatarene synkroniseres til både Webex-appen og eventuelle samsvarende kontoer på Webex-nettsted.
Hva nå?
Gjør en tørrkjøringssynkronisering; Hvis det ikke er noen problemer, kan du utføre en fullstendig synkronisering for å få Active Directory -brukerkontoene og avatarene til å synkroniseres til skyen og vises i Control Hub.
Synkronisere lokal rominformasjon til Webex Cloud
Bruk denne fremgangsmåten til å synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte Webex-enheter (Room, Desk og Board).
| 1 | Fra Katalogkobling går du til Synkroniser , klikk på mer | ||
| 2 | Sjekk Synkroniser rominformasjon til skyen for å skille romdataene fra brukerdataene under synkronisering. Når denne innstillingen er deaktivert, behandles romdata på samme måte som brukersynkroniserte data. | ||
| 3 | Gå til Attributttilordning , og endre deretter attributttilordningen for skyattributtet sipAddresses;type=bedrift .
| ||
| 4 | Opprett en romressurs-postboks i Exchange. Dette legger til msExchResourceMetaData;ResourceType:Room -attributtet som koblingen deretter bruker til å identifisere rom.
| ||
| 5 | Gå til og rediger egenskapene for rommet fra Active Directory -brukere og datamaskiner. Legg til den fullstendige SIP-URI med prefikset sip:
| ||
| 6 | Utfør en tørrkjøringssynkronisering og deretter en fullstendig synkroniseringskjøring i kontakten. De nye romobjektene vises Objekter lagt til og samsvarende romobjekter vises i Objekter matchet i tørrkjøringsrapporten. Alle romobjekter som er flagget for sletting, er under Rom slettet .
Tørrkjøringsresultatene viser eventuelle romressurser som ble matchet.
Denne innstillingen skiller Active Directory -romdata (inkludert rommets attributt) fra brukerdata. Når synkroniseringen er fullført, viser skystatistikken på koblingsinstrumentbordet romdata som ble synkronisert til skyen.
|
Hva nå?
Nå som du har gjort disse trinnene, vil du se de synkroniserte romoppføringene som er konfigurert med SIP-adresser, når du gjør et søk på en Webex-skyregistrert enhet. Når du foretar et anrop fra Webex-enheten på den oppføringen, foretas et anrop til SIP-adressen som ble konfigurert for rommet.
Fra Control Hub kan du importere rom fra katalogen automatisk og opprette arbeidsområder.
| Endepunktet kan ikke sløyfe et tilbakeringing til Webex-appen. For testoppringingsenheter må disse enhetene være registrert som en SIP-URI lokalt eller et annet sted enn Webex-appen. Hvis romsystem for Active Directory du søker etter er registrert for Webex og den samme e-postadresse finnes på Webex Room-enhet, Skrivebordsenhet eller Webex Board for Calendar Service, viser ikke søkeresultatene den dupliserte oppføringen. Rom-, skrivebords- eller tavleenheten ringes opp direkte i Webex-appen, og det foretas ingen SIP-samtale . |
Send e-postrapporter om katalogsynkroniseringsresultater
Som standard mottar organisasjonens kontakter eller administratorer alltid e-postvarsler. Med denne innstillingen kan du tilpasse hvem som skal motta e-postvarsler som oppsummerer katalogsynkroniseringsrapporter.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Varsel . |
| 2 | Fra Katalogkobling klikker du på Innstillinger , og ved siden av E-postmottaker , slå på Aktiver synkronisering av rapport . |
| 3 | Sjekk Aktiver varsling hvis du vil overstyre standard varslingsatferd og legge til én eller flere e-postmottakere. |
| 4 | Klikk på Legg til og angi en e-postadresse. Hvis du skriver inn en e-postadresse med ugyldig format, vises en melding som ber deg om å løse problemet før du kan lagre og bruke endringene. |
| 5 | Klikk på Legg til e-post og angi en e-postadresse. Hvis du skriver inn en e-postadresse med ugyldig format, vises en melding som ber deg om å løse problemet før du kan lagre og bruke endringene. |
| 6 | Hvis du må redigere e-postadresser du oppga, dobbeltklikk du på e-postoppføringen i venstre kolonne, og deretter gjør du eventuelle endringer. |
| 7 | Når du har lagt til alle de gyldige e-postadressene, klikker du på Bruk . |
| 8 | Når du har lagt til alle de gyldige e-postadressene, klikker du på Lagre . |
Hva nå?
Hvis du bestemte deg for at du vil fjerne e-postadresser, kan du klikke på en e-post for å utheve denne oppføringen og deretter klikke Fjern .
Hvis du bestemte deg for at du vil fjerne e-postadresser, kan du klikke på Fjern ved siden av bestemte e-postadresse .
Klargjøre brukere fra Active Directory til Control Hub
Følg denne fremgangsmåten for å klargjøre Active Directory -brukere og opprette tilsvarende brukerkontoer i Control Hub. Du kan klargjøre brukere fra en Active Directory -distribusjon for flere domener (med enten én enkelt skog eller flere skoger) etter at du har installert en katalogkobling per domene. I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Målet er å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen.
| 1 | Utfør en tørrkjøringssynkronisering på Active Directory -brukere Utfør en tørrkjøring for å sammenligne objekter i den lokale Active Directory og objekter i Webex-skyen. En tørrkjøring lar deg se hvilke objekter som vil bli lagt til, endret eller slettet før du kjører en fullstendig eller trinnvis synkronisering og utfører endringene i skyen. |
| 2 | Utfør en fullstendig synkronisering av Active Directory -brukere til skyen Når du kjører en full synkronisering, sender koblingstjenesten alle filtrerte objekter fra Active Directory (AD) til skyen. Connector-tjenesten oppdaterer deretter identitetslageret med AD-oppføringene dine. Hvis du opprettet en mal for automatisk tilordning av lisenser, kan du tilordne den til de nylig synkroniserte brukerne. |
| 3 | Tilordne Webex-tjenester til katalogsynkroniserte brukere i Control Hub Når du har fullført en fullstendig brukersynkronisering fra Directory Connector til Control Hub, kan du tilordne Webex-tjenestelisenser ved hjelp av en rekke forskjellige metoder. Vi anbefaler at du konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory. Du kan også gjøre individuelle endringer etter dette første trinnet. |
Utfør en tørrkjøringssynkronisering på Active Directory -brukere
Utfør en tørrkjøring for å sammenligne objekter i den lokale Active Directory og objekter i Webex-skyen. En tørrkjøring lar deg se hvilke objekter som vil bli lagt til, endret eller slettet før du kjører en fullstendig eller trinnvis synkronisering og utfører endringene i skyen.
I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Med Katalogkobling er målet å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen.
Hvis du har flere domener i én enkelt skog eller flere skoger, må du gjøre dette trinnet på hver av Cisco-katalogkoblingsforekomstene du har installert for hvert Active Directory -domene.
Før du starter
Du kan allerede ha noen Webex-appbrukere i Control Hub før du brukte Katalogkobling. Blant brukerne i skyen kan noen samsvare med det lokale Active Directory -objektet og bli tildelt lisenser for tjenester. Men noen kan være testbrukere som du vil slette mens du foretar en synkronisering. Du må opprette et nøyaktig samsvar mellom Active Directory og Control Hub.
| 1 | Velg én:
Når tørrkjøringen er fullført, ser du ett av følgende resultater:
Sammendraget inneholder informasjon om objektsamsvar:
Tørrkjøringen identifiserer brukerne ved å sammenligne dem med domenebrukere. Applikasjonen kan identifisere brukerne hvis de tilhører det gjeldende domenet. I neste trinn må du bestemme om du vil slette objektene eller beholde dem. De feilaktige objektene identifiseres som allerede eksisterende i Webex-skyen, men ikke eksisterende i den lokale Active Directory. | ||
| 2 | Se gjennom resultatene av tørrkjøringen, og velg deretter et alternativ avhengig av om du bruker ett enkelt domene eller flere domener:
| ||
| 3 | I Bekreft tørrkjøring ledetekst, klikker du Ja for å gjøre om tørrkjøringssynkroniseringen og vise instrumentbordet for å se resultatene. Alle kontoer som ble synkronisert i tørrkjøringen, vises under Objekter matchet . Hvis en bruker i skyen ikke har en tilsvarende bruker med samme e-postadresse i Active Directory, er oppføringen oppført under Brukere slettet . Hvis du vil unngå dette sletteflagget, kan du legge til en bruker i Active Directory med samme e-postadresse. Hvis du vil vise detaljene for elementene som ble synkronisert, klikker du på den tilsvarende fanen for bestemte elementer eller Objekter matchet . Hvis du vil lagre sammendragsinformasjonen, klikker du på Lagre resultater til fil . | ||
| 4 | Hvis resultatene forventes, går du til , og klikk deretter Aktiver nå for å gjøre en manuell synkronisering og sette i manuell modus på dette tidspunktet.
|
Hva nå?
For eventuelle feilaktige brukerobjekter som du beholder, må du legge dem til i Active Directory slik at det er nøyaktig samsvar mellom lokale og skyen.
Velg en synkroniseringstype:
Utfør en fullstendig synkronisering av Active Directory -brukere til skyen for første gang du synkroniserer nye brukere til skyen. Du gjør det fra , og deretter synkroniseres brukere fra det gjeldende domenet.
Angi tidsplan for kobling og Kjør en trinnvis synkronisering etter at du har kjørt en fullstendig synkronisering, og hvis du ønsker å plukke opp endringer etter den første synkroniseringen. Denne typen synkronisering anbefales for å fange opp små endringer som er gjort i Active Directory -brukerkilden.
Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt (på versjon 3.4 og tidligere) eller hver fjerde time (på versjon 3.5 og nyere), men du kan endre denne verdien. Den trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering.
Hvis du har flere domener, gjentar du disse trinnene på en hvilken som helst annen katalogkobling du har installert.
Ting du bør huske på
Utfør en tørrkjøring før du aktiverer full synkronisering, eller når du endrer synkroniseringsparametrene. Hvis tørrkjøringen ble startet av en konfigurasjonsendring, kan du lagre innstillingene etter at tørrkjøringen er fullført. Hvis du allerede har lagt til brukere manuelt, kan utføring av en Active Directory -synkronisering føre til at tidligere lagt til brukere blir fjernet. Du kan sjekke tørrkjøringsrapporter for Directory Connector for å bekrefte at alle forventede brukere er til stede før du synkroniserer fullstendig til skyen.
Hvis matchede brukere er merket som sletting og du ikke er sikker på hvordan du går frem, kan du se feilsøkingsinformasjon og hvordan du kontakter kundestøtte i Feilsøking og rettelser for Directory Connector .
Slettede brukere beholdes i skyidentitetstjenesten i syv dager før de slettes permanent.
Utfør en fullstendig synkronisering av Active Directory -brukere til skyen
Når du kjører en full synkronisering, sender koblingstjenesten alle filtrerte objekter fra Active Directory (AD) til skyen. Connector-tjenesten oppdaterer deretter identitetslageret med AD-oppføringene dine. Hvis du opprettet en mal for automatisk tilordning av lisenser, kan du tilordne den til de nylig synkroniserte brukerne.
Hvis du har flere domener, må du gjøre dette trinnet på hver av Directory Connector-forekomstene du har installert for hvert Active Directory -domene.
Katalogkobling synkroniserer brukerkonto – I Active Directory vises også alle brukere som er merket som deaktivert som inaktive i skyen.
Før du starter
Hvis du vil at brukerkontoene for Webex-appen skal ha statusen Aktiv etter full synkronisering og før brukerne logger på for første gang, må du gjøre følgende for å omgå e-postvalideringen:
Integrer engangspålogging med Webex-organisasjonen din. Se
Engangspålogging med Cisco Webex Services og organisasjonens identitetsleverandør
hvis du vil ha mer informasjon.Bruk Control Hub til å bekrefte og eventuelt gjøre krav på domener som finnes i e-postadressene. Se
Legg til, bekreft og gjør krav på domener
.Undertrykk automatiske e-postinvitasjoner , slik at nye brukere ikke mottar den automatiske e-postinvitasjonen til Webex-appen. (Du kan lage din egen e-postkampanje.)
Aktiverte brukere som ikke har logget på, vises med en Verifisert status i Control Hub. Når de har logget på, vises de som Aktive. Hvis du vil ha mer informasjon om brukerstatuser, kan du se Brukerstatuser og handlinger i Cisco Webex Control Hub.
Når du aktiverer synkronisering, ber Directory Connector deg om å utføre en tørrkjøring først. Vi anbefaler at du tar en tørrkjøring før en full synkronisering for å fange opp eventuelle feil.
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Hvis du ikke bruker automatisk tilordnede lisensmaler, får nylig synkroniserte brukere automatisk gratislisenser. De vil kunne bruke de samme gratisfunksjonene som de med gratis kontoer.
| 1 | Velg én:
| ||
| 2 | Fra Katalogkobling går du til Synkroniser , klikk på mer | ||
| 3 | Bekreft starten på synkroniseringen. For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene i opptil 72 timer etter at du har utført synkroniseringen.
| ||
| 4 | Klikk på Oppdater hvis du vil oppdatere statusen for synkroniseringen. (Synkroniserte elementer vises under Skystatistikk .) | ||
| 5 | Hvis du vil ha informasjon om feil, velger du Start Event Viewer fra Handlinger verktøylinjen for å vise feilloggene. | ||
| 6 | Hvis du vil angi en synkroniseringsplan for pågående trinnvise synkroniseringer til skyen, kan du se Angi tidsplan for kobling og Kjør en trinnvis synkronisering . |
Når full synkronisering er fullført, oppdateres statusen for katalogsynkronisering fra Deaktivert til Driftsmessig på Innstillinger siden i Control Hub.
Når alle data matches mellom lokale og skyen, endres Katalogkobling fra manuell modus til automatisk synkroniseringsmodus.
Med mindre du integrere engangspålogging , bekrefte domener, og eventuelt gjøre krav på domener for e-postkontoene du synkroniserte , og undertrykke automatiserte e-postmeldinger , forblir brukerkontoene for Webex-appen i tilstanden Ikke bekreftet til brukerne logger på Webex-appen for første gang for å bekrefte kontoene sine. Se delen Før du begynner for veiledning om hvordan du synkroniserer kontoene som aktive brukere.
Hvis du har flere domener, gjør du dette trinnet på en annen katalogkobling du har installert. Etter synkroniseringen vises brukerne på alle domenene du la til i Control Hub.
Hvis du integrerte engangspålogging med Webex og undertrykte e-postvarsler , sendes ikke e-postinvitasjonene til de nylig synkroniserte brukerne.
Du kan ikke legge til brukere manuelt i Control Hub etter at Directory Connector er aktivert. Når den er aktivert, utføres brukeradministrasjon fra Cisco-registerkobling, og Active Directory er den eneste kilden til sannhet.
Alle grupper du synkroniserte, vises i Control Hub, og du kan tilordne en lisensmal slik at brukere i den gruppen tilordnes lisenser.
Hva nå?
Når du fjerner en bruker fra Active Directory, blir brukeren myk slettet etter neste synkronisering. Brukeren blir
Inactivemen skyidentitetsprofilen beholdes i syv dager (for å tillate gjenoppretting etter utilsiktet sletting).Når du sjekker Kontoen er deaktivert i Active Directory blir brukeren
Inactiveetter neste synkronisering. Skyidentitetsprofilen slettes ikke etter syv dager, i tilfelle du vil aktivere brukeren på nytt.Vær oppmerksom på disse unntakene fra en trinnvis synkronisering (følg de fullstendige synkroniseringstrinnene ovenfor i stedet):
Hvis det gjelder en oppdatert avatar, men ingen andre attributter endres, oppdaterer ikke trinnvis synkronisering brukerens avatar til skyen.
Konfigurasjonsendringer for attributtilordning, base-DN, filter og avatarinnstillinger krever full synkronisering.
Tilordne Webex-tjenester til katalogsynkroniserte brukere i Control Hub
Når du har fullført en fullstendig brukersynkronisering fra Cisco-registerconnector til Control Hub, kan du bruke Control Hub til å tilordne de samme Webex-tjenestelisensene til alle brukerne samtidig eller legge til flere lisenser til nye brukere hvis du allerede har konfigurert en automatisk tilordnet lisensmal. Du kan gjøre individuelle endringer i brukerkonto etter dette første trinnet.
Når du har fullført en fullstendig brukersynkronisering fra Directory Connector til Control Hub, kan du bruke metoder i Control Hub til å globalt tilordne Webex-tjenestelisenser til alle brukerne, enkeltbrukere, gjennom CSV-malen for mengde eller automatisk til nye brukere hvis du har allerede konfigurert en mal for automatisk tildeling av lisenser. Du kan gjøre individuelle endringer i brukerkonto etter dette første trinnet.
Når du tilordner en lisens til en Webex-appbruker, mottar denne brukeren en e-post som bekrefter tilordningen, som standard. E-posten sendes av en varslingstjeneste i Control Hub. Hvis du integrerte engangspålogging (SSO) med Webex-organisasjonen din, kan du også undertrykke disse automatiske e-postvarslene hvis du foretrekker å kontakte brukerne dine direkte.
Før du starter
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Gjør en tørrkjøringssynkronisering på Active Directory brukerne dine.
Når du har bekreftet resultatene av tørrkjøringen, utfører du en fullstendig synkronisering på Active Directory -brukerne.
| På tidspunktet for full synkronisering opprettes brukeren i skyen, ingen tjenestetilordninger legges til, og det sendes ingen aktiverings-e-post. Hvis e-postene ikke undertrykkes, mottar de nye brukerne en aktiverings-e-post når du tilordner tjenester til brukere ved hjelp av en standard brukeradministrasjonsmetode i Control Hub, for eksempel CSV-import, manuell brukeroppdatering eller vellykket fullføring av automatisk tilordning. |
| 1 | Fra kundevisningen ihttps://admin.webex.com , gå til , klikk Behandle brukere , velg Endre alle synkroniserte brukere , og klikk deretter Neste . |
| 2 | Velg et alternativ:
|
Hva nå?
Hvis e-postene ikke undertrykkes, sendes en e-postmelding til hver bruker med en invitasjon til å bli med og laste ned Webex.
Hvis du valgte de samme Webex-tjenestene for alle brukerne, kan du etterpå endre lisensen som er tilordnet individuelt eller samtidig.
Kjente problemer med katalogkobling
Windows Server-versjoner før 2012 R2 har et problem med informasjonskapsler som påvirker katalogkoblingen. Dette problemet er løst i versjoner 2012 R2 og 2016 .
For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene 72 timer fra du utfører synkroniseringen.
Du kan prøve å tømme den lokale hurtigbufferen for Webex-appen ved å følge disse instruksjonene: Windows eller Mac .
Når en bruker bruker Webex-appen på skrivebordet eller mobilen til å søke og ringe et rom som bare har en synkronisert SIP-URI, ringer anropet på ubestemt tid på dette tidspunktet.
Kjør en trinnvis synkronisering
En trinnvis synkronisering spør etter Active Directory og ser etter endringer som har skjedd siden forrige synkronisering. Dette trinnet grupperer deretter disse endringene og sender dem til koblingstjenesten. Endringene inkluderer endring av brukerattribusjon og når en bruker legges til eller slettes.
Denne synkroniseringen legger ikke like mye belastning på serverne og tar ikke like mye tid som en full synkronisering. Når du har utført den første fullstendige synkroniseringen, anbefaler vi det trinnvise alternativet for etterfølgende synkroniseringer.
Før du starter
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Merk disse unntakene som trinnvis synkronisering ikke støtter (følg Utfør en fullstendig synkronisering av Active Directory -brukere til skyen i stedet):
Hvis det gjelder en oppdatert avatar, men ingen andre attributter endres, oppdaterer ikke trinnvis synkronisering brukerens avatar til skyen.
For nye konfigurasjonsendringer for attributtilordning, base-DN, filter og avatarinnstilling fungerer ikke trinnvis synkronisering, og disse krever full synkronisering.
| 1 | Fra Katalogkobling klikker du på Instrumentbord .
| ||
| 2 | Fra Handlinger , klikk Synkroniseringsmodus > Aktiver synkronisering hvis det ikke allerede er aktivert. Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt (på versjon 3.4 og tidligere) eller hver fjerde time (på versjon 3.5 og nyere), men du kan endre denne verdien. Den trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering. Når et nytt trinnvis tidsintervall er ute, kontrollerer programmet endringene basert på det siste tidsstemplet. | ||
| 3 | Fra Handlinger , klikk Synkroniser nå > Inkrementell . For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene 72 timer fra du utfører synkroniseringen.
| ||
| 4 | Hvis du vil ha informasjon om feil, klikker du på Start Event Viewer fra Handlinger verktøylinjen for å vise feilloggene. |
Hva nå?
Hvis du har flere domener, gjør du dette trinnet på andre Directory Connector-forekomster du har installert.
Gjenopprett brukere som er slettet ved et uhell
Katalogkobling har kontroller og saldoer for å forhindre utilsiktet sletting av brukere. Dessverre skjer ulykker. Du kan ha konfigurert et LDAP-filter i Active Directory på feil måte, noe som slettet noen brukere da de ble synkronisert til skyen. Den myke slettefunksjonen kan hjelpe deg med å komme deg etter disse ulykkene og gjenopprette brukerkontoene i Control Hub.
Som standard er denne funksjonen aktivert for alle organisasjoner. Når brukere slettes i skyen, for eksempel på grunn av et problem med feilaktige objekter etter en synkronisering fra Directory Connector, kan brukerne gjenopprettes. Hvis du så et objekt som ikke samsvarte, eller la merke til at brukere ble slettet, kan det hende du kan gjenopprette dem hvis du handler raskt.
| Brukere merkes som inaktive i Control Hub når de tilsvarende kontoene slettes i Active Directory. Bakgrunnsskytjenesten beholder brukerne i opptil 7 dager. I løpet av denne perioden kan du fortsatt bruke Cisco-registerkobling til å gjenopprette brukere. Vi anbefaler at du gjenoppretter disse brukerne så snart som mulig. Brukere som er deaktivert i Active Directory , er også merket som inaktive i Control Hub, men brukerkonto slettes ikke etter 7 dager. |
| 1 | Logg på Kontrollhub . |
| 2 | Gå til Brukere og kontroller om en bestemt brukerkonto er i en inaktiv tilstand eller ikke er oppført. Hvis du vil ha mer informasjon, se Brukerstatuser og handlinger i Control Hub . |
| 3 | Hvis brukere ble slettet i Control Hub eller du legger merke til at brukere er i en inaktiv tilstand, går du til Active Directory, legger til de manglende brukerkontoene, og deretter utfører du en tørrkjøringssynkronisering i Directory Connector. Målet med Directory Connector er å opprette et nøyaktig samsvar mellom brukerinformasjon i Active Directory og i skyen. |
| 4 | Utfør en fullstendig synkronisering for å resynkronisere de midlertidig slettede brukerkontoene til Control Hub. Brukerne gjenopprettes og går til den opprinnelige statusen, inkludert kontostatus og tjenestetilordninger. |
Hva nå?
Gå tilbake til Control Hub, gå til , og bekreft at de tidligere slettede brukerkontoene vises i brukerliste.
Slett brukere permanent etter myk sletting
Etter å ha utført en tørrkjøring, kan du velge å permanent slette brukere som ble myk slettet ved neste synkronisering.
| 1 | Når en tørrkjøring er fullført, velger du Myk-slettede objekter . |
| 2 | Merk av i avmerkingsboksen ved siden av brukerne du vil slette. |
| 3 | Velg Ferdig. |
Hva nå?
Ved neste synkronisering blir brukerne du sjekket, slettet permanent.
Endre en e-postadresse for Webex-appen
Hvis du vil endre e-postadresser for brukere og organisasjonen bruker katalogkoblingen, endrer du disse e-postadressene i Active Directory. Denne fremgangsmåten dekker hvordan du endrer en e-postadresse for Webex-appen for ett enkelt domene og en prosess for å endre domenet.
| Hvis du bare vil endre e-post eller verdier for én bruker, må du ikke slette brukeren fra Active Directory og deretter opprette en ny med den samme e-postadressen. Skyen tolker denne handlingen som en ny brukerkonto, og brukerens områder og andre data i skyen vil gå tapt. |
Slik endrer du brukerens e-postadresser uten å endre domenet:
Gjenoppta synkroniseringen på katalogkoblingen.
Etter neste synkronisering vises endringene i brukerliste i Control Hub og for brukere i Webex-appen etter at hurtigbufferen er oppdatert.
Det er ikke tap av data eller områder ved hjelp av denne metoden. Brukerens unike identifikator angis i skyen etter den første synkroniseringen. Alle etterfølgende synkroniseringer er basert på denne identifikatoren.
Hvis du vil endre brukerens e-postadresser mens du endrer domenet i en distribusjon med flere domener med Directory Connector (vurder på example1.com, det gamle domenet og example2.com som det nye domenet):
På Directory Connector gjenopptar du synkroniseringen for example2.com
Før du fortsetter, må du kontrollere at kontoen bruker1@example2.com synkroniseres til Control Hub. Vi anbefaler at du ber brukeren om å bekrefte e-postendringen i Webex-appen, og at alle data (områder, meldinger, møter, filer og så videre) beholdes.
Det er ingen tap av data eller områder ved hjelp av denne metoden, men i den nye brukerkonto må du sørge for at Active Directory -attributtet som tilordnes til sky-uid-attributtet, er bevart fra den gamle brukerkonto. Hvis du endrer Active Directory -verdien, beholder ikke den nye kontoen dataene fra den gamle kontoen.
Når du har bekreftet e-postadresse og dataene er intakte, sletter du den gamle brukerkonto på example1.com, og deretter bruker du Directory Connector til å gjenoppta synkroniseringen for example1.com.
På dette tidspunktet kan du trygt oppdatere e-postadresse i det nye Active Directory -domenet for bruker1@example2.com.
Katalogkobling begrenser ikke endringen av e-postdomene. Når brukeren resynkroniserer til skyen, avhenger imidlertid brukerstatusen av om det nye domenet er bekreftet i organisasjonen din. Hvis domenet ikke er bekreftet i organisasjonen din, endres brukerens status til Venter etter full synkronisering. Hvis du vil ha mer informasjon, se Administrer domenene dine .
Hvis organisasjonen din ikke bruker katalogkobling, kan du endre e-postadressene for Webex-appen via siden med kontoinnstillinger . Se Endre e-postadressen for kontoen din for trinn som brukere kan følge for å endre e-postadressene sine.
Endre Active Directory -domenet
Du kan bruke denne fremgangsmåten til å opprette nye domener og e-postadresser. De synkroniseres med identitetstjenesten i skyen.
| 1 | Konfigurer et nytt AD-domene ( Active Directory ). | ||
| 2 | Deaktiver synkroniseringer på alle kontaktene dine. | ||
| 3 | Avinstaller alle kontaktene dine. | ||
| 4 | Åpne store og små bokstaver for å endre domenet . I saksinnsendingen må du sørge for å be om fjerning av domenekonfigurasjonen og alle synkroniseringsattributter i organisasjonen.
| ||
| 5 | Etter at saken er løst: Utfør en testkjøring med Directory Connector før du utfører selve synkroniseringen. |
Domenekrav
Et domenekrav oppstår hvis du gjør krav på et e-postdomene for en organisasjon, slik at en eventuell skjenkkonto opprettes i den betalte kundeorganisasjonen og ikke i den gratis forbrukerorganisasjonen. Du kan bare gjøre et domenekrav gjennom en støttesak (se koblingen nedenfor for mer informasjon).
Hvis katalogkoblingen er aktiv og domenet gjøres krav på, opprettes ikke skjenkkontoer verken i kundeorganisasjonen eller i den gratis forbrukerorganisasjonen. Bare katalogkoblingen kan klargjøre kontoer for organisasjonen fra Active Directory. Informasjonen som er lagret i Active Directory , er den opprinnelige kilden. Hvis du prøver å legge inn en konto på skjenk, mottar den inviterte brukeren en feilmelding. Den eneste måten en invitert bruker kan legges til i et Webex-appområde, er først å bruke katalogkoblingen til å klargjøre kontoen i Control Hub.
Konverter gratis brukere av Webex-appen i en katalogsynkronisert organisasjon
Du kan bare bruke unike e-postadresser i katalogen for Webex-appen. Hvis brukerne dine har registrert seg for gratisversjonen av Webex-appen, finnes kontoen deres i den gratis forbrukerorganisasjonen. Hvis du vil administrere brukere i denne organisasjonen ved hjelp av Katalogkobling, må du overføre (konvertere) dem til kundeorganisasjonen før du slår på Katalogkobling. Deretter legger du til brukerne i Active Directory med den nøyaktige e-postadresse og synkroniserer til skyen.
Hvis du ikke konverterer kontoene før aktivering, må du slå av katalogkoblingen for å konvertere dem.
Hvis du prøver å konvertere en bruker mens katalogsynkronisering er aktivert, vises feilmelding<email address=""> kunne ikke konverteres
vises. Hvis du vil unngå problemet, kan du bruke disse trinnene som en løsning.
| Noen påståtte brukere kan dukke opp med Hvis du ikke legger til disse brukerne, blir alle slettet neste gang du synkroniserer til skyen. |
| 1 | Deaktiver katalogsynkroniseringen fra katalogkoblingen. | ||
| 2 | Følg Konverter ulisensierte brukere i Control Hub prosedyre for å konvertere brukeren fra den gratis forbrukerorganisasjonen til bedriftsorganisasjonen. Dette trinnet legger til brukeren i organisasjonen, og kontoen vises i Control Hub. Katalogkobling gjør Active Directory til den eneste sannheten for brukerkontoer, og målet er å ha nøyaktig samsvar mellom Active Directory og Control Hub. Kontroller at det finnes samsvarende brukere i Active Directory for eventuelle nylig konverterte brukere før du aktiverer synkroniseringen på nytt. En testsynkronisering kan brukes til å sikre at det ikke finnes gjenværende brukere uten samsvar. | ||
| 3 | Utfør en tørrkjøringssynkronisering på Directory Connector. Når testkjøringen er fullført, kontrollerer du fanen Legg til objekter. Kontroller at brukere du konverterte, ikke har blitt slettet.
| ||
| 4 | Når du er sikker på at neste synkronisering ikke fjerner noen kontoer, aktiverer du katalogsynkronisering på nytt fra Katalogkobling. |
Konverterte brukerkontoer aktiveres ikke automatisk hvis du ikke har bekreftet et domene. Hvis du for eksempel har aktivert malen for automatisk tilordning av lisenser og deretter aktivert Katalogkobling uten domenebekreftelse, er konverterte brukere inaktive i skyserveren til de bekrefter e-postadressene sine.
Brukerkontoer for Webex-appen med skjenk
Når du inviterer en annen bruker til et område i Webex-appen, og den inviterte brukeren ikke har en Webex-appkonto, opprettes det en konto for brukeren ("skjekk"). Som standard legges kontoer som opprettes på denne måten til i den gratis forbrukerorganisasjonen.
Hvis du vil administrere den skjenkede kontoen ved hjelp av Directory Connector, må du konvertere kontoen .
Endre format for brukernavn for Webex-appen etter katalogsynkronisering
Som standard tilordner Directory Connector attributtet displayName i Active Directory til displayName-attributtet i skyen.
Etter at du har utført en katalogsynkronisering, kan du oppleve at brukernavn vises i formatet<lastName, firstName=""> .
Dette brukernavnet kan vises hvis displayName-attributtet i Active Directory er konfigurert på denne måten. Når attributtet er tilordnet til displayName i skyen vises navn i formatet<lastName, firstName=""> i Control Hub.
Hvis du vil endre formatet, i skjermbildet for tilordning av attributter for Directory Connector: tilordne Active Directory -attributtet givenName sn(eller sn givenName) til displayName i Cisco Cloud Attribute Names.
Du kan også tilordne attributtet sn givenName til displayName:
Du kan også bruke alternativet Tilpass attributt hvis du vil tilordne ditt eget tilpassede attributtuttrykk til displayName.
Angi for eksempel givenName + "" + sn(fornavn, mellomrom, etternavn) som uttrykk. Dette tilordner de to attributtene i Active Directory til displayName i skyen.
Tillat brukere å endre visningsnavn i Webex Meetings
Du kan oppheve tilordningen av displayName-attributtet fra synkronisering til skyen i Directory Connector hvis du vil la brukere redigere sine foretrukne visningsnavn. Brukere kan angi et visningsnavn som skal vises under Webex-møter i stedet for for- og etternavnet. Administratorer kan også endre visningsnavn for en bruker manuelt i Control Hub.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tilordning av brukerattributter . |
| 2 | Velg visningsnavn under Navn på Cisco Cloud . |
| 3 | Velg Ikke synkroniser dette attributtet . |
Hva nå?
Brukere kan nå redigere visningsnavnene fra Webex-nettsted .
Oppgrader til den nyeste programvareversjonen
For å holde distribusjonen i samsvar og få de nyeste funksjonene, funksjonaliteten, feilrettinger og sikkerhetsforbedringer, må du alltid oppgradere til den nyeste versjonen av Directory Connector. Hvis du ikke oppgraderer til den nyeste versjonen som er tilgjengelig, kan du få problemer, for eksempel at Directory Connector ikke lenger synkroniserer riktig eller bruker en versjon som ikke støtter det obligatoriske TLS 1.2-krav .
Katalogkobling varsler deg automatisk når en ny versjon er tilgjengelig. Oppgrader alltid til den nyeste versjonen for å unngå problemer. Du ser også et varsel på oppgavelinjen i Windows.
| Selv om du kan installere oppdateringer for koblingsprogramvare manuelt, anbefaler vi at du følger trinnene i Angi automatiske oppgraderinger for å la appen administrere oppgraderingene dine automatisk. |
| 1 | Klikk på varselet på oppgavelinjen i Windows, eller høyreklikk på Katalogkobling-ikonet på oppgavelinjen i Windows for å starte oppgraderingsprosessen. |
| 2 | Følg instruksjonene for å fullføre oppgraderingen. |
| 3 | Start koblingen på nytt, og logg på med administratorlegitimasjonen din. |
| 4 | Kontroller versjonsnummeret til programvaren under . |
Hva nå?
For en ny installasjon av Directory Connector kan du laste ned zip-filen og følg deretter installasjonstrinnene i denne veiledningen.
Konfigurer generelle innstillinger for Directory Connector
Bruk denne fremgangsmåten til å konfigurere generelle innstillinger, for eksempel navnet på serveren som kjører Directory Connector, loggnivåer, automatiske oppgraderinger og foretrukne innstillinger for domenekontrollerne. Navnet på kontakten vises på instrumentbordet i koblingsdelen, sammen med eventuelle andre kontakter som kjører.
| 1 | Fra Katalogkobling går du til Konfigurasjon , og klikk deretter Generelt . | ||
| 2 | I Koblingsnavn -feltet, skriver du inn kontaktnavnet. Dette feltet viser bare datamaskinnavnet som for øyeblikket kjører kontakten. | ||
| 3 | Velg loggnivå fra rullegardinlisten. Som standard er loggnivået satt til info . De tilgjengelige loggnivåene er:
| ||
| 4 | Velg Foretrukne domenekontrollere for å angi rekkefølgen på domenekontrollere for synkronisering av identiteter. Domenekontrollerne er tilgjengelige fra topp til bunn. Hvis den øverste kontrolleren ikke er tilgjengelig, velger du den andre kontrolleren på listen. Hvis ingen kontroller er oppført, har du tilgang til primærkontrolleren. | ||
| 5 | Sjekk Oppgrader automatisk til den nye versjonen av Cisco Directory Connector hvis du vil at automatiske oppgraderinger skal skje. Det er alltid viktig å holde Cisco Directory Connector-programvaren oppdatert til den nyeste versjonen. Vi anbefaler at du kontrollerer denne innstillingen for å tillate at automatiske oppgraderinger av programvaren installeres stille når de er tilgjengelige. | ||
| 6 | Sjekk LDAP over SSL for å bruke sikker LDAP (LDAPS) som tilkoblingsprotokoll.
LDAP (Lightweight Directory Application Protocol) og Secure LDAP (LDAPS) er tilkoblingsprotokollene som brukes mellom et program og domenekontrolleren i infrastrukturen. LDAPS-kommunikasjon er kryptert og sikker. |
Konfigurer koblingspolicyen
Du kan angi maksimalt antall slettinger som kan skje under synkronisering. Når du kjører synkronisering, slettes ikke objekter fra den lokale Active Directory. Alle objekter slettes bare fra skyen.
Du angir for eksempel 1 som utløserverdi for sletteterskel. Når du foretar full eller trinnvis synkronisering, og antallet brukere du vil slette er mer enn innstillingen, viser katalogkontakten en advarsel. Hvis du klikker Overstyr terskel , kan du starte full eller trinnvis synkronisering, men du vil se dette overstyringsvarselet neste gang du kjører policyen.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Retningslinjer . | ||
| 2 | Sjekk Aktiver utløser for sletteterskel hvis du vil legge til en terskelutløser. Hvis du velger dette alternativet, utløses et varsel hvis antall slettinger overskrider terskelen. Når slettekontoen overskrider den du angir, mislykkes synkroniseringen.
| ||
| 3 | Angi maksimalt antall slettinger du vil bruke. Standarden er 20.
| ||
| 4 | Klikk på Bruk. |
Angi tidsplan for kobling
Angi tidspunkt for synkronisering i Active Directory. Failover brukes for høy tilgjengelighet (HA). Hvis én kontakt er nede, bytter vi til en annen standby-kontakt etter det forhåndsdefinerte intervallet.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tidsplan . |
| 2 | Angi Inkrementelt synkroniseringsintervall på minutter. Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt. Den fullstendige trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering. |
| 3 | Endre Send rapporter per… gang verdi hvis du vil endre hvor ofte rapporter sendes. |
| 4 | Sjekk Aktiver tidsplan for full synkronisering for å angi dagene og tidspunktene du vil at en full synkronisering skal skje. |
| 5 | Angi Failover-intervall på minutter. |
| 6 | Klikk på Bruk. |
Flere domenescenarier
Flere domener er basert på domeneprioritet. For objekter som har samme nøkkelverdi i forskjellige domener, etter synkronisering, vil dataene fra domenet med høyere prioritet skrive om dataene fra domenet med lavere prioritet.
Objekter som har samme nøkkelverdi, kobles til én oppføring i databasen.
Nøkkelverdien for «Bruker» er E-postadresse ; nøkkelverdien for «Gruppe» er Gruppenavn .
Eksempel på bruksanvisning for flere domener
Dette eksemplet forutsetter en organisasjon med to domener – eksempel1.com og eksempel2.com, i prioritert rekkefølge.
Legg til bruker1(e-post: bruker@example1.com) til Active Directory for eksempel1.com.
Legg til gruppe1(Gruppenavn: Test) til Active Directory for example1.com.
Legg til bruker2(e-post: bruker@example2.com) til Active Directory for eksempel2.com.
Legg til gruppe2(Gruppenavn: Test) til Active Directory for example2.com.
- Synkronisering på example1.com
-
Som et brukscase er bruker2 og gruppe2 synkronisert til skyen og vises ihttps://admin.webex.com , mens bruker1 og gruppe1 ikke er det.
Hvis du utfører en fullstendig eller trinnvis synkronisering for example1.com, synkroniseres bruker1 og gruppe1. Dessuten overskrives bruker2 og gruppe2 av informasjonen til bruker1 og gruppe1.
Bruker1 kobler til bruker2 som den samme oppføringen i databasen; gruppe1 kobler gruppe2 som den samme oppføringen i databasen.
- Synkronisering på example1.com og example2.com
-
Som et brukscase er bruker2 og gruppe2 synkronisert til skyen og vises ihttps://admin.webex.com , mens bruker1 og gruppe1 ikke er det.
Vurder disse trinnene:
- Slett bruker1 og gruppe1 i Active Directory for example1.com.
- Utfør en fullstendig eller trinnvis synkronisering for eksempel1.com.
Resultat: brukerens informasjon endres ikke ihttps://admin.webex.com . Bruker2 er ikke koblet til bruker1, og gruppe2 er ikke koblet til gruppe1.
- Utfør en trinnvis synkronisering for example2.com.
Resultat: brukerens informasjon endres ikke ihttps://admin.webex.com .
- Utfør en fullstendig synkronisering for example2.com.
Resultat: Informasjonen til bruker2 og gruppe2 er oppført ihttps://admin.webex.com .
Synkronisere et nytt domene og behold et eksisterende domene
Hvis du vil synkronisere et nytt domene (B) mens du opprettholder de synkroniserte brukerdataene på et annet eksisterende domene (A), må du sørge for at du installerer Directory Connector for domene (B)-synkronisering på en støttet Windows-server. Koblingen bindes til det nye domenet etter det første oppsettet, og brukerinformasjon under domene (A) forblir upåvirket.
Hvert domene må ha sin egen aktive kobling. Vurder to domener med følgende oppsett: domene A med kontakter (ca1) og (ca2) for lokal høy tilgjengelighet (HA); domene B med kontakt (cb1). (ca1) og (ca2) betjener domene A. I dette scenariet er én kontakt aktiv og den andre i ventemodus (HA). Denne utformingen holder domenet synkronisert, fordi én kobling alltid er aktiv. Så cb1 er den aktive kontakten for domene B, fordi domene A allerede har en aktiv kontakt (ca1 eller ca2).
Angi domeneprioritet
Bruk denne fremgangsmåten til å endre prioriteten til Active Directory -domenene dine. Domeneprioritet lar deg bestemme primærdomenet, sekundært domene og så videre. Dette hjelper når to brukere fra to forskjellige domener har samme e-postverdi synkronisert til én organisasjon.
Ikke bruk denne fremgangsmåten hvis du har ett enkelt domene oppført i katalogkoblingen. Hvis du prøver, viser koblingen deg en melding om at domeneprioritet ikke er nødvendig.
Før du starter
Hvis du vil unngå feil, installerer eller oppgraderer du til den nyeste versjonen av Cisco-katalogkontakt. Du må laste den ned frahttps://admin.webex.com .
| 1 | Fra Cisco-katalogkontakt klikker du på Instrumentbord . | ||
| 2 | Gå til Handlinger , og klikk deretter Angi domeneprioritet . | ||
| 3 | Uthev ett domene i listen, klikk på Opp eller Ned for å endre dette domenets prioritet, og klikk deretter på Lagre for å lagre denne endringen.
|
Bytt domener
Bruk denne fremgangsmåten til å koble Cisco-katalogkontakten til et annet domene på nytt.
Før du starter
Kontroller at ingen synkroniseringsoppgaver kjører før du bytter domener.
Hvis du vil unngå feil, installerer eller oppgraderer du til den nyeste versjonen av Cisco-katalogkontakt. Du må laste den ned fra Kontrollhub .
| 1 | Fra Cisco-katalogkontakt klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter Bytt domene . |
| 3 | Når du har lest advarselen, hvis du forstår hvilken innvirkning denne endringen har på distribusjonen, og du fortsatt er sikker, klikker du på Ja . Hvis du bytter domene, blir du logget av den gjeldende Cisco-katalogkontakten, andre domener i kontakten blir avregistrert, og kontaktinformasjonen på den datamaskinen slettes. |
| 4 | Logg på Cisco-katalogkontakten igjen, og bind domenet på nytt. |
Slå av katalogsynkronisering
Hvis du må stoppe synkroniseringen fra Directory Connector, kan du midlertidig slå den av fra Control Hub.
| 1 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Katalogsynkronisering , og velg deretter én:
|
| 2 | Når du har lest ledeteksten, klikker du på Slå av . Synkroniseringen stopper til du aktiverer den på nytt fra Katalogkobling. |
Fjern tilordning av brukerattributter
Bruk Katalogkobling til å fjerne tilordningen for Active Directory -attributter som tidligere var tilordnet til skyen og synkronisert til Webex. Når du har fjernet attributtilordningen, fjernes attributtverdiene fra skyen og synkroniseres ikke lenger til Webex. Disse verdiene kan deretter redigeres manuelt.
| 1 | Fra Katalogkobling klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter . |
| 3 | Velg tilordningen som skal fjernes fra Attributtnavn listen. |
| 4 | Under Berørt brukeromfang , velger du ett av følgende:
|
| 5 | Klikk på Bruk. |
Behandle profilbilder
Bruk Katalogkobling til å oppdatere brukerprofil eller til å fjerne tomme brukerprofil .
| 1 | Fra Katalogkobling klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter . |
| 3 | Under Handlinger , velger du ett av følgende:
|
| 4 | Klikk på Bruk. |
Avinstaller og deaktiver katalogkobling
Når du har avinstallert en forekomst av Directory Connector, må du avregistrere den. Fjern en katalogkobling fullstendig for disse scenariene:
Du vil ikke bruke katalogsynkronisering lenger.
Du vil ikke bruke én av flere katalogkoblinger (høy tilgjengelighet).
Du vil endre domenet og installere en annen kobling.
Før du starter
Du kan ha flere forekomster av Directory Connector konfigurert for synkronisering med høy tilgjengelighet (HA) eller flere domenesynkronisering. Deaktiver synkroniseringen hvis du avinstallerer den eneste eller siste gjenværende forekomsten av Directory Connector.
Lagre og lukk viktig arbeid før du avinstallerer Directory Connector.
| 1 | Fra Windows-maskinen går du til Kontrollpanel, og klikker deretter på Programmer og funksjoner . |
| 2 | Fra programlisten klikker du på Katalogkobling , velg Avinstaller , og følg deretter ledeteksten. Du må kanskje starte systemet på nytt for å fullføre avinstallasjonen. |
| 3 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Katalogsynkronisering , klikk mer |
| 4 | Når du har lest ledeteksten, klikker du på Deaktiver . Med mindre det finnes en annen katalogkobling i en distribusjon med høy tilgjengelighet (HA), synkroniseres ikke brukerkontoer lenger. |
Kjør diagnoseverktøyet
Du kan bruke det innebygde feilsøkingsverktøyet til å feilsøke Directory Connector-distribusjonen. Dette verktøyet er installert som en del av Directory Connector 3.4 og nyere.
Hvis synkroniseringen ikke fungerte som den skal, kan det hende du har en konfigurasjons- eller nettverksfeil. Dette verktøyet tester tilkoblingen din til LDAP slik at du kan diagnostisere feil selv før du kontakter kundestøtte. Hvis verktøyet returnerer en feil, kan du sende de detaljerte loggresultatene til kundestøtte.
Slik kjører du tester for Active Directory -domenetjenester:
Slik kjører du tester for Active Directory Lightweight Directory-tjenester:
Slik kjører du tester for LDAP ( Lightweight Directory Access Protocol ):
Feilsøking og rettelser for Directory Connector
Du kan støte på en feilmelding eller et annet problem i Directory Connector. Etter at Directory Connector synkroniserer brukerinformasjon, kan det også hende at koblingen sender deg en e-postrapport som viser eventuelle problemer med synkroniseringen. Se avsnittene nedenfor for problemer som kan oppstå, mulige årsaker og forslag til løsninger du kan prøve før du kontakter kundestøtte.
Installerer
Katalogkobling sluttet å fungere
Du mottok e-postvarsel som varsler deg om at katalogkoblingen ikke fungerer.
Katalogkobling er kanskje ikke riktig installert.
Directory Connector kjører kanskje ikke.
Nettverket er kanskje ikke tilgjengelig.
Prøv følgende:
Åpne . Finn Katalogkobling. Hvis den ikke er der, laster du ned den nyeste versjonen fra Control Hub og installerer den.
Åpne Tjeneste og finn Cisco DirSync-tjeneste. Kontroller at den viser statusen som Startet . Hvis tjenesten er stoppet, høyreklikk du og velger Start for å starte tjenesten på nytt.
Kontroller at serveren du installerte katalogkoblingen på, har tilgang til Internett.
Feil ved reinstallasjon
Problem –Hvis du umiddelbart installerer en ny kontakt etter at du har avinstallert en gammel, kan det hende at du ser en feilmelding.
Mulig årsak – I Windows Server 2012 trenger avinstallasjonsklienten tid til å slette tjenestekonto fra tjenestelisten.
Løsning – Når det har gått litt tid, kan du prøve installasjonen på nytt.
Logg på
Katalogkobling krasjer under SSO-pålogging
Problem
Katalogkobling kan krasje etter at du angir en e-postadresse fra en SSO-påloggingsside.
Løsning
Prøv følgende:
Gjør følgende for å konfigurere en ny gruppepolicy:
Gå til domenekontrolleren og åpne administrasjon av gruppepolicy (gpedit.msc).
Høyreklikk på en bestemt organisasjonsenhet eller et bestemt domene, og velg Opprett et GPO på dette domenet , og Koble den her…
Gi retningslinjen et navn, høyreklikk og velg Rediger .
Gjør følgende for å endre policyen på maskinnivå:
Gå til , høyreklikk Register , velg Nyhet , og deretter Registerelement .
For Nøkkelbane , angi eller gå til HKEY_ LOKALT_ MASKIN\SOFTWARE\Microsoft\ Internet Explorer\Main .
Oppgi
Disable Script Debuggerfor Verdi , og anginofor Verdidata .Innstillingene skal samsvare med dette skjermbildet:
Gjør følgende for å endre retningslinjene på brukernivå:
Gå til , høyreklikk Register , velg Nyhet , og deretter Registerelement .
For Nøkkelbane , angi eller gå til HKEY_ GJELDENDE_ BRUKER\SOFTWARE\Microsoft\ Internet Explorer\Main .
Oppgi
Disable Script Debuggerfor Verdi , og anginofor Verdidata .Innstillingene skal samsvare med dette skjermbildet:
| Endringene trer i kraft etter at du har kjørt |
Kunne ikke registrere Cisco DirSync Service Connector
Problem
Pålogging mislykkes, og denne meldingen vises: «Kunne ikke registrere Cisco DirSync Service Connector.»
Løsning
Windows-systemet som Directory Connector er installert på, må være medlem av Active Directory.
Det vises ingen påloggingsside
Problem
Du åpnet Directory Connector, og påloggingssiden ble ikke vist.
Løsning
Prøv følgende trinn:
I Internet Explorer går du tilhttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL . Prøv koblingen i andre nettlesere som Chrome og Firefox.
Hvis Internet Explorer ikke kan besøke koblingen, men andre nettlesere kan, kontrollerer du innstillingene for Internet Explorer og merker av for TLS 1.1 og 1.2. (Bruk Aktiver TLS i Internet Explorer prosedyre.)
Melding om pålogging vises
Problem
Det vises en melding som ber deg om å angi brukernavn og passord for å sende godkjenningen.
Mulig årsak
Katalogkoblingen fullfører NTLM-sikkerhetsgodkjenning lydløst med påloggingskontoen. Hvis autentiseringen mislykkes, vises en dialogboks der du blir bedt om brukernavn og passord for autentiseringen.
Løsning
Når du ser popup-vinduet for pålogging, må du oppgi en gyldig konto med riktig autentisering for å sende sikkerhet.
Kan ikke koble til den eksterne serveren
Problem
Under normal drift vises feilmelding : «Kan ikke koble til den eksterne serveren.»
Mulig årsak
Du kan ha proxy-problemer som må løses.
Løsning
Se Feilsøke innloggingsproblemer for tjenestekonto for mer feilsøkingsinformasjon.
Kan ikke registrere koblingen
Problem
Du ser feilmelding «Kan ikke registrere kontakten. Det oppstod et generelt unntak.»
Mulig årsak
I de fleste tilfeller skyldes problemet at katalogkoblingen ikke har tillatelse til å koble til LDAP-rotkontekst.
Løsning
Prøv følgende:
Kjør en ledetekst (cmd), og skriv deretter inn ldp.exe .
Klikk på , velg Bind som pålogget bruker , og klikk deretter OK .
Klikk på , angi DC=arbonneintl,DC=ad som BaseDN, og klikk deretter OK .
Hvis problemet vedvarer, åpne en sak med støtte .
Synkronisering
Avatarer ikke synkronisert
Problem
Cisco-katalogkoblingen synkroniserte bruker-AD-data til Webex-skyen. Men ingen avatardata ble synkronisert.
Mulig årsak
Hvis du brukte en eksisterende avatarserver på nytt og brukeravatarene allerede var synkronisert, registrerer den lokale hurtigbufferen dem og unngår å sende på nytt for å spare båndbredde.
Løsning
Slett den lokale hurtigbufferen ved å følge denne fremgangsmåten:
Gå til C:\Program Files (x86)\ Cisco Systems\Cisco Directory Connector\Plugins\
Slett DirSyncPluginAvatar.dll-cache.bin .
Kjør avatarsynkroniseringen på nytt fra Cisco-katalogkontakten.
Motstridende e-postkontoer for brukere
Problem
Synkroniseringsresultater kan vise motstridende e-postkontoer for brukere.
Hvis brukere prøvde gratisversjonen av Webex-appen, ligger e-postadressene deres i den gratis forbrukerorganisasjonen.
Hvis brukere-e-poster noen gang ble synkronisert i en annen organisasjon.
Hvis e-postadresser for brukere finnes i flere domener som tilhører organisasjonen.
Løsning
Prøv følgende:
Følg denne fremgangsmåten hvis du prøver å gjøre krav på brukere:
Kontroller at du har bekreftet domenet i Control Hub .
Deaktiver Cisco-registerkobling midlertidig.
Bruk alternativet Krev bruker i Control Hub til å gjøre krav på alle kontoer som finnes i den gratis forbrukerorganisasjonen. Se Krev brukere til organisasjonen din (Konverter brukere) hvis du vil ha mer informasjon.
Gjør en tørrkjøring i Cisco Directory Connector, og aktiver deretter katalogsynkronisering på nytt
I det siste tilfellet dobbeltsjekker du brukerdataene i Active Directory -kildene.
Konvertert bruker merket som inaktiv
Problem
I det synkroniserte katalogmiljøet konverterte du en gratis bruker (forbrukerorganisasjon) til bedriftsorganisasjonen, men den konverterte brukeren kan ikke logge på Webex-appen.
Mulig årsak
Når den gratis brukeren konverteres til bedriftsorganisasjonen, merkes brukeren som inaktiv status i 30 dager som et sikkerhetstiltak. I løpet av denne perioden kan ikke brukeren logge på Webex-appen og merkes for sletting på slutten av 30-dagersperioden. Denne situasjonen oppstår fordi den gratis brukerinformasjon ikke finnes i Active Directory.
Løsning
Du må iverksette tiltak hvis du ikke vil at brukerkonto skal slettes. Du kan løse dette problemet ved å opprette en brukerkonto i den lokale Active Directory som tilsvarer den konverterte gratis brukerkonto. Deretter utfører du en synkronisering fra Cisco-registerkoblingen. Deretter kan brukeren logge på Webex-appen igjen, og kontoen blir ikke slettet.
Inkrementell synkronisering mislykkes
Problem
En trinnvis synkronisering mislykkes.
Dette problemet kan oppstå på Windows Server 2008 R2 under følgende forhold:
Du støtter trinnvise verdioppdateringer.
Filteret du bruker, refererer til et koblet verdiattributt.
Resultatverdiene for dette attributtet ble oppdatert siden forrige gang en full synkronisering ble utført.
Løsning
Windows Server 2008 R2 har en feil som er relatert til dette problemet. Feilen er rettet i 2012 R2 og nyere. Vi anbefaler at du oppgraderer Windows Server til minst 2012 R2.
Ugyldig verdi for attributt
Problem
For [user dn (distinguished name)] har attributtet [attribute name] følgende ugyldig verdi [attributtverdi].
Mulig årsak
For CN=b,OU=Employees,OU=C Users,DC=c,DC=com, har attributtet [telefonnummer] følgende ugyldig verdi: +. Dette attributtet må inneholde minst ett tall.
Løsning
Et attributt for denne brukeren har ikke en gyldig verdi. Rett verdien i henhold til beskrivelsen i advarselsmelding. Utfør deretter en ny synkronisering.
Samsvarende brukere som skal slettes
Problem
De samsvarende brukerne er merket for å bli slettet.
Når du utfører en tørrkjøringssynkronisering for å sjekke dataene mellom Active Directory og skyen, kan det hende du ser den samme e-postadresse i begge. Brukeren er imidlertid merket som et objekt som skal slettes.
Løsning
Velg en passende løsning:
Hvis det er greit å slette brukeren og gjøre om lisensene etterpå, kan du bruke Katalogkobling for å løse problemet. Utfør en synkronisering for å slette brukeren, og utfør deretter en ny synkronisering for å synkronisere brukeren fra lokal AD til skyen.
Hvis du ikke kan slette og opprette brukerkonto på nytt, åpne en sak med støtte .
Mangler attributt
Problem
Det obligatoriske attributtet [attribute_name ] når du legger til en lokal oppføring [user dn (distinguished name)]. Oppføringen opprettes ikke i Control Hub før alle obligatoriske attributter har en verdi.
Mulig årsak
E- e-postadresse for det obligatoriske attributtet mangler. Når du legger til den lokale oppføringen [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], opprettes ikke oppføringen i Control Hub før alle obligatoriske attributter har en verdi.
Løsning
Ett av de obligatoriske attributtene mangler for brukeren [user_email_address ]. Angi de nødvendige verdiene for denne brukeren.
Nestet gruppe vil ikke synkroniseres
Problem
Brukere i en nestet Active Directory -gruppe synkroniseres ikke riktig til skyen.
Mulig årsak
Det brukes et filter som inkluderer både den underordnede gruppen og den overordnet gruppe, noe som ikke støttes. For eksempel: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Løsning
Du må konfigurere filteret som synkroniserer grupper på nytt. For eksempel: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
Brukernavnekonflikt
Problem
Det er en navnekonflikt for [user dn] for et eksisterende skyoppføringsobjekt med navnet: [user e-postadresse], og av brukertype [user_type ].
Mulig årsak
En bruker med den e-postadresse finnes allerede i Control Hub.
Løsning
Opprett en bruker i Active Directory med samme e-postadresse som kontoen du registrerte via Control Hub.
Control Hub
Brukerliste mangler i Control Hub
Problem
Hvis du har en Webex-organisasjon med mer enn 1000 synkroniserte brukere, kan det hende at du ikke ser brukerliste i Control Hub.
Løsning
Du kan bruke søkefunksjonen til å finne en brukerkonto. I Control Hub går du til Brukere , klikk på søk , og angi deretter søkekriterier for å finne en bestemt bruker.
Grupper vil ikke synkroniseres til Control Hub
Problem
Brukere i en kataloggruppe synkroniseres ikke riktig til Control Hub.
Mulig årsak
Gruppen er ikke merket som isCriticalSystemObject i Active Directory.
Løsning
Kontroller at attributtet isCriticalSystemObject er angitt til TRUE i Active Directory.
Aktiver feilsøking for katalogkobling
Du kan aktivere feilsøking for å diagnostisere eventuelle feil du støter på i Directory Connector. Feilsøking lar deg fange opp informasjon om nettverkstrafikken og lagre den i en fil.
Loggfilene som er: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 | Kjør | ||
| 2 | Start tjenesten på nytt. Se Slik starter du tjenester for veiledning. | ||
| 3 | I Katalogkobling klikker du på Instrumentbord . | ||
| 4 | Gå til Handlinger , og klikk deretter . | ||
| 5 | Når feilsøking er aktivert, gjentar du handlingene som forårsaket feilen. dette fanger opp trafikkdataene slik at de kan undersøkes. | ||
| 6 | Undersøk loggfilene: Hvis filen er tom, må du kontrollere at kontoen har tilgangsrettigheter til AD DS eller AD LDS.
| ||
| 7 | Send om nødvendig loggfil til kundestøtte for å få hjelp. | ||
| 8 | Deaktiver feilsøkingsfunksjonen når du er ferdig. |
Start Event Viewer
Hvis du vil se hendelsene som oppstod under en fullstendig eller trinnvis synkronisering, starter du Hendelsesliste. Den viser et sammendrag av administrative hendelser og feillogger.
| 1 | Fra Katalogkobling går du til Instrumentbord , og klikk deretter . Dialogboksen Egenskaper for hendelse viser detaljene for synkroniseringshendelsen og feilinformasjonen. |
| 2 | Fra Event Viewer, gå til .
|
| 3 | Under Handlinger , klikk Lagre alle hendelser som for å eksportere alle loggene som én enkelt hendelsesfil (*.evtx) eller et annet format, for eksempel xml eller csv. |
Hva nå?
Hvis du må åpne en sak, ta kontakt med kundestøtte , beskriv problemet med kontakten, og legg deretter ved hendelser-filen til saken.
| Hendelseslogger registrerer brukerhandlinger. Hvis du vil ha hjelp til å administrere nettverkstrafikk, aktiverer du feilsøking på kontakten. |
Aktiver TLS i Internet Explorer
Hvis du byttet leverandør av engangspålogging (SSO), kan det hende du ser følgende feilmeldinger fra Cisco-katalogkontakt:
Det oppstod en feil ved pålogging til tjenesten
Det har oppstått en feil i skriptet på denne siden
Hvis du ser disse feilene, må du aktivere en TLS-innstilling i nettleseren.
| 1 | Åpne Internet Explorer, og velg deretter Verktøy . Nå merker du av for TLS/SSL-versjonen du vil aktivere. Klikk på OK Lukk nettleseren og åpne den på nytt |
| 2 | Klikk på Alternativer for Internett , gå til Avansert , bla til Sikkerhet . |
| 3 | Sjekk Bruk TLS 1.1 og Bruk TLS 1.2 avmerkingsboksene, og klikk deretter på OK .
|
| 4 | Start systemet på nytt for at endringene skal tre i kraft. |
Feilsøke innloggingsproblemer for tjenestekonto
Hvis du ikke kan logge på Cisco-registerkontakt eller ikke kan kjøre en synkronisering, bruker du disse trinnene for å prøve å løse problemet før du kontakter kundestøtte.
| 1 | Prøv å besøkehttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL i nettleseren din. | ||
| 2 | Velg én, avhengig av resultatene:
| ||
| 3 | Kontroller som et minimum at den konfigurerte kontoen for Cisco DirSync-tjenesten (som finnes i Windows-tjenester) har et rettighetsnivå som gir den tilgang til avatardata og AD-data. Som standard bruker tjenesten påloggingsinformasjonen og autentiseringen for Windows-påloggingskontoen. |
Sjekk SafeDllSearchMode i Windows-registeret
Søkemodus for Safe dynamic link library (DLL) angis som standard i Windows-registret og plasserer brukerens gjeldende katalog senere i DLL-søkefølgen. Hvis denne modusen på en eller annen måte ble deaktivert, kan en angriper plassere en skadelig DLL (kalt det samme som en referert DLL-fil som ligger i systemmappen) i gjeldende arbeidskatalog for programmet.
Vanligvis er SafeDllSearchMode aktivert, men bruk denne fremgangsmåten til å dobbeltsjekke registerinnstillingene.
Før du starter
| Endringer i Windows-registret bør gjøres med ekstrem forsiktighet. Vi anbefaler at du tar en sikkerhetskopi av registeret før du bruker disse trinnene. |
| 1 | I Windows-søk eller Kjør-vinduet skriver du inn regedit og trykk deretter på Gå inn . |
| 2 | Gå til HKEY_ LOKALT_ MASKIN\System\CurrentControlSet\Control\Session Manager . |
| 3 | Velg én:
|
Hvis du vil ha mer informasjon, se Søkerekkefølge for dynamisk koblingsbibliotek .
Oversikt over katalogkobling
Katalogkobling er et lokalt program for identitetssynkronisering i skyen. Du laster ned kontaktprogramvaren fra Control Hub og installerer den på din lokale maskin.
Med Directory Connector kan du vedlikeholde brukerkontoene og dataene i Active Directory, slik at Active Directory blir den eneste kilden til sannhet. Når du gjør en endring lokalt, blir den replikert til skyen.
Se alle funksjonene, beskrivelsene og fordelene i tabellen:
| Funksjon | Beskrivelse og fordel |
|---|---|
| Brukervennlig instrumentbord | Instrumentbordet inneholder en synkroniseringsplan, et sammendrag og status for synkroniseringen, og statusen for katalogkoblingen. Du kan vise instrumentbordet når du logger på. |
| Tørrkjør før synkronisering til skyen | Gjennomfør en tørrkjøring med endringer i katalogen før de implementeres i skyen. Kjør deretter en rapport for å se at endringene du vil gjøre, er de du forventer. |
| Full og trinnvis synkronisering | Synkroniser hele katalogen. Eller bare synkroniser de trinnvise endringene for å spare prosessorstrøm og forkorte synkroniseringstiden. |
Synkronisere flere domener (enkeltskog eller flere skoger) |
Katalogkobling støtter flere domener, enten under én enkelt skog eller under flere skoger (uten behov for AD LDS). For bedrifter med flere Active Directory -domener kan du installere en katalogkobling for hvert domene, binde hvert domene til organisasjonen og deretter synkronisere hver brukerbase til Webex. Control Hub gjenspeiler statusen ved å vise synkroniseringsstatusen for flere katalogkoblinger, lar deg slå av synkronisering for et bestemt domene og deaktivere en katalogkobling i en distribusjon med høy tilgjengelighet . |
| Planlagt synkronisering | Angi en synkroniseringsplan etter dag, time og minutt. |
| LDAP-filtre ( Lightweight Directory Access Protocol ). | Definer LDAP søkekriterier og gi effektiv import. |
| Active Directory -attributter | Tilordne Microsoft Active Directory -attributter til tilsvarende Webex-skyattributter. Du kan tilordne attributter som er relevante for Active Directory -konfigurasjonen din, og også definere egendefinerte attributter som skal tilordnes til skyen. Attributtene fra lokalene danner forskjellige data i skyen, for eksempel brukerkonto , bedriftstelefonnumre i Webex Teams, SIP-adresser for romressurser og andre kontaktkort for brukerkontakt (jobbtittel, avdeling, leder og så videre). |
Bedriftskatalog for lokale romressurser og brukere av Cisco Webex Calling (Cloud PSTN) og bedriftskontakter uten Webex-lisensiering |
Hvis en del av organisasjonen bruker Cisco Webex Calling sky PSTN for samtaletjeneste, eller du har lokale rom-enheter, lar denne funksjonen brukere søke i katalogen etter bedriftskontakter fra sine Cisco Webex Calling telefoner (PSTN i sky) eller romressurser.
|
| Hendelsesvisning | Bruk hendelsesvisningen til å finne ut om det var problemer med synkroniseringen. |
| Diagnoseverktøy og feilsøking | Du kan bruke det innebygde diagnoseverktøyet til å feilsøke distribusjonen av Cisco-registerkoblingen. Hvis synkroniseringen ikke fungerte som den skal, kan det hende du har en konfigurasjons- eller nettverksfeil. Dette verktøyet tester tilkoblingen til Active Directory, slik at du kan diagnostisere feil selv før du kontakter kundestøtte. Når du aktiverer feilsøking i Directory Connector, skrives det logger som kan sendes til teknisk støtte. |
| Automatisk oppgradering | Når du har installert Directory Connector, blir du sendt et varsel hver gang en ny versjon av programvaren er tilgjengelig. Du kan konfigurere automatiske oppgraderinger slik at du alltid bruker den nyeste versjonen av programvaren når en ny versjon utgis. |
| Høy tilgjengelighet | Konfigurer flere kontakter slik at det finnes en sikkerhetskopi, i tilfelle hovedkontakten eller maskinen som er vert for den, går ned. |
Katalogkobling er delt inn i tre områder:
Kontrollhub er det enkle grensesnittet som lar deg administrere alle aspekter av Webex-organisasjonen din: vise brukere, tilordne lisenser, laste ned Directory Connector og konfigurere engangspålogging (SSO) hvis du vil at brukerne skal autentisere seg gjennom bedriftsidentitetsleverandøren og du ikke vil sende e-postinvitasjoner for Webex-appen.
Administrasjonsgrensesnitt for katalogkobling er programvaren du laster ned fra Control Hub og installerer på en klarert Windows-server. For flere Active Directory -domener kan du installere ett øyeblikk av programvaren for hvert domene du vil synkronisere. Ved hjelp av programvaren kan du kjøre en synkronisering for å overføre Active Directory -brukerkontoene dine til Webex, vise og overvåke synkroniseringsstatus og konfigurere Directory Connector-tjenester.
Katalogsynkroniseringstjeneste spør Active Directory for å hente brukere og grupper som skal synkroniseres til koblingstjenesten og katalogkobling.
Se dette diagrammet for å forstå arkitekturen for katalogkobling:
Krav for katalogkobling
Krav til Windows og Active Directory
Du kan installere Directory Connector på disse støttede Windows-serverne:
Windows Server 2012
Windows Server 2019
Windows Server 2016
| For å løse et problem med informasjonskapsler anbefaler vi at du oppgraderer domenekontrolleren til en versjon som inneholder feilrettingen— Windows Server 2012 R2 eller 2016 . |
Katalogkobling støttes med følgende Active Directory -tjenester:
Active Directory 2016
(Katalogkobling støttes når du bruker den nyeste versjonen av Active Directory på Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008
Vær oppmerksom på følgende tilleggskrav:
Katalogkobling krever TLS1.2. Du må installere følgende:
.NET Framework v3.5 (obligatorisk for Directory Connector-programmet. Hvis du støter på problemer, kan du bruke veiledningen i Aktiver .NET Framework 3.5 ved hjelp av veiviseren for å legge til roller og funksjoner .)
.NET Framework v.4.5 (obligatorisk for TLS1.2)
Active Directory -skogfunksjonsnivå 2 (Windows Server 2003) eller høyere er obligatorisk. (Se Hva er funksjonsnivåer i Active Directory ? for mer informasjon.)
Maskinvarekrav
Du må installere Directory Connector på en datamaskin med disse minimumskravene til maskinvare:
8 GB RAM
50 GB lagringsplass
Ingen minimum for CPU
Nettverkskrav
Hvis nettverket ditt er bak en brannmur, må du kontrollere at systemet har HTTPS-tilgang (port 443) til Internett.
Krav til Webex-organisasjon
For å få tilgang til Directory Connector-programvaren fra Control Hub trenger du en Webex-organisasjon med en prøveversjon eller et betalt abonnement.
(Valgfritt) Hvis du vil at nye brukerkontoer for Webex-appen skal være aktive før de logger på første gang, anbefaler vi at du gjør følgende:
Legg til, bekreft og eventuelt gjør krav på domener som inneholder brukerens e-postadresser du vil synkronisere til skyen.
Utfør SSO engangspålogging ). til identitetsleverandøren (IdP) med Webex-organisasjonen din.
Undertrykk automatiske e-postinvitasjoner , slik at nye brukere ikke mottar den automatiske e-postinvitasjonen, og du kan lage din egen e-postkampanje. (Denne funksjonen krever SSO-integrering.)
| Hvis du vil ha mer informasjon, se Brukerstatuser og handlinger i Control Hub . |
Installasjonskrav
For et miljø med flere domener (enten én skog eller flere skoger), må du installere én katalogkobling for hvert Active Directory -domene. Hvis du vil synkronisere et nytt domene (B) mens du opprettholder de synkroniserte brukerdataene på et annet eksisterende domene (A), må du kontrollere at du har en egen støttet Windows-server for å installere Directory Connector for domene (B)-synkronisering.
For å logge på koblingen krever vi ikke en administrativ konto i Active Directory. Vi krever en lokal brukerkonto som er den samme brukeren som en fullstendig administratorkonto i Control Hub.
Denne lokale brukeren må ha rettigheter på den Windows-maskinen for å koble til domenekontrolleren og lese Active Directory -brukerobjekter. Maskinens påloggingskonto må være en administrator med rettigheter til å installere programvare på den lokale maskinen. (Denne informasjonen gjelder også for pålogging for virtuell maskin.)
Når du logger på koblingen, må påloggingskontoen være den samme som den fullstendige administratorkontoen for Control Hub. Som standard bruker koblingen den lokale systemkontoen for å få tilgang til Active Directory. Du kan imidlertid bruke Windows-tjenester til å konfigurere en annen konto for å få tilgang til Active Directory. (Denne informasjonen gjelder også for pålogging for virtuell maskin.)
Kontroller at søkemodusen for Windows Safe DLL (dynamic link library) er aktivert ved hjelp av denne fremgangsmåten: Sjekk SafeDllSearchMode i Windows-registeret .
Hvis du bruker AD LDS for flere domener i én enkelt skog, anbefaler vi at du installerer katalogkobling og Active Directory Domain Service/ Active Directory Lightweight Directory Services (AD DS/AD LDS) på separate maskiner.
Krav til flere domener
Før du følger oppgavene i Oppgaveflyt for distribusjon av Cisco-katalogkontakt , må du huske på følgende krav og anbefalinger hvis du skal synkronisere Active Directory -informasjon fra flere domener til skyen:
Det kreves en egen forekomst av Directory Connector for hvert domene.
Katalogkoblingsprogramvaren må kjøres på en vert som er på samme domene som den skal synkronisere.
Vi anbefaler at du bekrefter eller gjør krav på domenene dine i Control Hub. (Se Legg til, bekreft og gjør krav på domener .)
Hvis du vil synkronisere mer enn 50 domener, må du åpne en billett for å få organisasjonen flyttet til en stor organisasjonsliste.
Om ønskelig kan du synkronisere romressursinformasjon sammen med brukerkontoer. (Se Synkronisere lokal rominformasjon til Webex Cloud .)
Anbefalinger for Active Directory gruppe for automatisk lisenstilordning
Active Directory -grupper brukes til å samle brukerkontoer, datakontoer og andre grupper i administrerbare enheter. Arbeid med grupper i stedet for med individuelle brukere bidrar til å forenkle nettverksvedlikehold og -administrasjon.
Det finnes to typer grupper i Active Directory:
Distribusjonsgrupper – Brukes til å opprette distribusjonslister for e-post.
Sikkerhetsgrupper – Brukes til å tilordne tillatelser til delte ressurser.
Vurder følgende retningslinjer når du oppretter grupper i Active Directory:
Opprett en global gruppe for hver rolle, avdeling eller tjeneste (for eksempel salg, markedsføring, ledere, regnskapsførere, Webex-lisensiering og så videre).
Bruk standard navnekonvensjoner på tvers av organisasjonen for å gjøre det enkelt å identifisere viktig informasjon om en gruppe. Gruppenavn kan inneholde detaljer om gruppen, for eksempel tilgangsnivå, ressurstype, sikkerhetsnivå, gruppeomfang, e-postfunksjon og så videre. for eksempel gruppenavn «GSG_ Webex_ Licensing_ EMEAR» refererer til en global sikkerhetsgruppe for EMEAR-brukere med Webex-lisensiering.
Organiser grupper på en lettfattelig måte, for eksempel etter geografi eller lederhierarki. Bruk gruppebeskrivelser for å fullstendig beskrive formålet med gruppen.
Før du legger til brukere i nylig klargjorte grupper, må du definere malen for automatisk lisensgruppe i Control Hub for disse gruppene. Se Konfigurer malen for automatisk lisenstildeling hvis du vil ha mer informasjon.
Størrelsesinformasjon
Katalogkobling fungerer som en bro mellom den lokale Active Directory og Webex-skyen. Som sådan har ikke koblingen en øvre grense for hvor mange Active Directory -objekter som kan synkroniseres til skyen. Eventuelle begrensninger for lokale katalogobjekter er knyttet til den spesifikke versjonen av og spesifikasjonene for Active Directory -miljøet som synkroniseres til skyen, ikke til selve koblingen.
Noen få faktorer kan påvirke hastigheten på synkroniseringen:
Totalt antall Active Directory -objekter. (En synkroniseringsjobb på 5000 brukere vil ikke ta så lang tid som 50000.)
Nettverkshastighet og båndbredde.
Systemarbeidsmengde og spesifikasjoner.
| Hvis du synkroniserer mer enn 50 000 brukere, anbefaler vi på det sterkeste at du bruker en ny kontakt for failover og redundans. |
| Siden flere faktorer er involvert i synkronisering, og fordi hver distribusjon varierer avhengig av faktorene ovenfor, kan vi ikke oppgi spesifikke tidsverdier for hvor lang tid en objektsynkronisering vil ta. |
Sjekk SafeDllSearchMode i Windows-registeret
Søkemodus for Safe dynamic link library (DLL) angis som standard i Windows-registret og plasserer brukerens gjeldende katalog senere i DLL-søkefølgen. Hvis denne modusen på en eller annen måte ble deaktivert, kan en angriper plassere en skadelig DLL (kalt det samme som en referert DLL-fil som ligger i systemmappen) i gjeldende arbeidskatalog for programmet.
Vanligvis er SafeDllSearchMode aktivert, men bruk denne fremgangsmåten til å dobbeltsjekke registerinnstillingene.
Før du starter
| Endringer i Windows-registret bør gjøres med ekstrem forsiktighet. Vi anbefaler at du tar en sikkerhetskopi av registeret før du bruker disse trinnene. |
| 1 | I Windows-søk eller Kjør-vinduet skriver du inn regedit og trykk deretter på Gå inn . |
| 2 | Gå til HKEY_ LOKALT_ MASKIN\System\CurrentControlSet\Control\Session Manager . |
| 3 | Velg én:
|
Hvis du vil ha mer informasjon, se Søkerekkefølge for dynamisk koblingsbibliotek .
Web-proxy-integrering
Web-proxy-integrering
Hvis nettproxy-autentisering er aktivert i miljøet ditt, kan du fortsatt bruke Katalogkobling.
Hvis organisasjonen bruker en gjennomsiktig nettproxy, støtter den ikke autentisering. Kontakten kobler til og synkroniserer brukere.
Du kan bruke en av disse tilnærmingene:
Eksplisitt nettproxy via Internet Explorer (koblingen arver innstillingene for nettproxy)
Eksplisitt nettproxy via en .pac-fil (koblingen arver bedriftsspesifikke proxy-innstillinger)
Gjennomsiktig proxy som fungerer med kontakten uten endringer
Bruke en nettproxy via nettleseren
Du kan konfigurere Directory Connector til å bruke en web-proxy via Internet Explorer.
Hvis Cisco DirSync-tjenesten kjører fra en annen konto enn den nåværende påloggede brukeren, må du også logge på med denne kontoen og konfigurere nettproxy.
| 1 | Fra Internet Explorer går du til Alternativer for Internett , klikk Tilkoblinger , og velg deretter LAN-innstillinger . | ||
| 2 | Pek på Windows-forekomsten der kontakten er installert på nettproxyen. Koblingen arver disse nettproxy-innstillingene. | ||
| 3 | Hvis miljøet ditt bruker proxy-autentisering, legger du til disse nettadressene i den tillatte listen:
Du kan utføre dette enten for hele nettstedet (for alle verter) eller bare for verten som har koblingen.
| ||
| 4 | Hvis miljøet ditt trenger å be om lister over tilbakekall av sertifikater fra sertifiseringsinstanser, legger du til disse nettadressene i den tillatte listen:
Hvis du vil ha mer informasjon, kan du se denne artikkelen om domener og URL-er som må ha tilgang til for Webex-tjenester . |
Konfigurere Web-proxy gjennom en PAC-fil
Du kan konfigurere en klientnettleser til å bruke en .pac-fil. Denne filen inneholder nettproxyadressen og portinformasjonen. Katalogkobling arver den bedriftsspesifikke nettproxy-konfigurasjonen direkte.
| 1 | For at koblingen skal kunne koble til og synkronisere brukerinformasjon til Webex-skyen, må du kontrollere at proxy-autentisering er deaktivert for | ||
| 2 | Hvis miljøet ditt bruker proxy-autentisering, legger du til disse nettadressene i den tillatte listen:
Du kan utføre dette enten for hele nettstedet (for alle verter) eller bare for verten som har koblingen.
| ||
| 3 | Hvis miljøet ditt trenger å be om lister over tilbakekall av sertifikater fra sertifiseringsinstanser, legger du til disse nettadressene i den tillatte listen:
Hvis du vil ha mer informasjon, kan du se denne artikkelen om domener og URL-er som må ha tilgang til for Webex-tjenester . |
NTLM-proxy
Katalogkobling støtter NT LAN Manager (NTLM) . NTLM er en tilnærming for å støtte Windows-godkjenning mellom domeneenhetene og sikre deres sikkerhet.
NTLM-design
I de fleste tilfeller ønsker en bruker å få tilgang til en annen arbeidsstasjonsressurser via en klient-PC, noe som kan være vanskelig å gjøre på en sikker måte.
Generelt er den tekniske utformingen av NTLM basert på en mekanisme for Utfordring
og Svar
:
En bruker logger på en klient-PC via en Windows-konto og et passord. Passordet lagres aldri lokalt. I stedet for et passord i ren tekst, lagres en hash-verdi for passordet lokalt. Når en bruker logger på klienten via passordet, sammenligner Windows OS den lagrede hashverdien og hashverdien fra inndatapassordet. Hvis begge er like, godkjennes godkjenningen.
Når brukeren ønsker å få tilgang til en ressurs på en annen server, sender klienten en forespørsel til serveren med kontonavn i ren tekst.
Når serveren mottar forespørselen, genererer serveren en 16-biters tilfeldig nøkkel. Nøkkelen heter Challenge (eller Nonce). Før serveren sender tilbake til klienten, lagres utfordringen på serveren. Og så sender serveren utfordringen til klienten i ren tekst.
Så snart klienten mottar utfordringen sendt fra serveren, krypterer klienten utfordringen med hash-verdien som ble nevnt i trinn 1. Etter kryptering sendes verdien tilbake til serveren.
Når serveren mottar den krypterte verdien fra klienten, sender serveren den til domenekontrolleren for verifisering. Forespørselen inkluderer: kontonavn, kryptert utfordring som klienten sendte, og den opprinnelige vanlige utfordringen.
Domenekontrolleren kan hente hashverdiene for passord i henhold til kontonavn. Og så kan domenekontrolleren kryptere på den opprinnelige utfordringen. Doman-kontrolleren kan deretter sammenligne med den mottatte hashverdien og den krypterte hashverdien. Hvis de er de samme, er bekreftelsen vellykket.
| Windows har sikkerhetsautentisering innebygd i operativsystem, noe som gjør det enklere for programmer å støtte sikkerhetsautentisering. Som et resultat av dette trenger du ikke fullføre ytterligere konfigurasjon. |
Konfigurer gjennomsiktig proxy
I dette scenariet er nettleseren ikke klar over at en gjennomsiktig nettproxy fanger opp http-forespørsler (port 80/port 443), og det kreves ingen konfigurasjon på klientsiden.
| 1 | Distribuer en gjennomsiktig proxy, slik at koblingen kan koble til og synkronisere brukere. |
| 2 | Bekreft at proxyen er vellykket – du ser et forventet hurtigmenyvindu for nettleserautentisering når du starter koblingen. |
Angi proxy-autentisering
Legg til nettadressen cloudconnector.webex.com til den tillatte listen ved å opprette en tilgangskontrollliste.
På bedriftens brannmurserver:
| 1 | Aktiver DNS-oppslag hvis det ikke allerede er aktivert. |
| 2 | Bestem en estimert båndbredde for denne tilkoblingen (ca. 2 MB/s eller mindre for kontakten). Dette er kanskje ikke nødvendig. |
| 3 | Opprett en tilgangskontrollliste som skal brukes på koblingsverten, og angi For eksempel: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
| 4 | Bruk denne tilgangskontrollisten på riktig brannmurgrensesnitt, som bare gjelder for denne verten med én kobling. |
| 5 | Kontroller at resten av vertene i bedriften fortsatt er pålagt å bruke nettproxyen ved å konfigurere den riktige implisitte deny-setningen. |
Oppgaveflyt for distribusjon av Cisco-katalogkontakt
Før du starter
| 1 | Installere Directory Connector Control Hub viser først katalogsynkronisering som deaktivert. Hvis du vil aktivere katalogsynkronisering for organisasjonen, må du installere og konfigurere Katalogkobling, og deretter utføre en fullstendig synkronisering. For en ny installasjon av Directory Connector går du alltid til Control Hub (https://admin.webex.com ) for å få den nyeste versjonen av programvaren, slik at du bruker de nyeste funksjonene og feilrettingene. Når du har installert programvaren, rapporteres oppgraderinger gjennom programvaren og installeres automatisk når de er tilgjengelige. |
| 2 |
Logg på med Webex- administrator og utfør det første oppsettet. |
| 3 | Angi automatiske oppgraderinger Det er alltid viktig å holde Directory Connector-programvaren oppdatert til den nyeste versjonen. Vi anbefaler at du bruker denne fremgangsmåten for å la automatiske oppgraderinger av programvaren installeres lydløst når de er tilgjengelige. |
| 4 | Velg Active Directory -objekter som skal synkroniseres Som standard synkroniserer Katalogkobling alle brukere som ikke er datamaskiner, og alle grupper som ikke er kritiske systemobjekter for et domene. Hvis du vil ha mer kontroll over hvilke objekter som skal synkroniseres, kan du velge bestemte brukere som skal synkroniseres og angi LDAP-filtre ved hjelp av siden Objektvalg i Katalogkobling. |
| 5 |
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen. Det eneste obligatorisk felt er *uid. |
| 6 | Synkroniser katalogavatarer ved hjelp av en av følgende fremgangsmåter:
Du kan synkronisere brukernes avatarer til skyen, slik at hver brukers avatar vises når de logger på applikasjonen. Du kan synkronisere avatarer fra et Active Directory -attributt eller en ressursserver. |
| 7 | Synkronisere lokal rominformasjon til Webex Cloud Bruk denne fremgangsmåten til å synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte romenheter, for eksempel en Webex Room-enhet eller Cisco Webex Board |
| 8 | Til Klargjøre brukere fra Active Directory til Control Hub , utfør disse trinnene:
Følg denne sekvensen for å klargjøre Active Directory -brukere for Webex-appkontoer. Du kan klargjøre brukere fra Active Directory -distribusjon for flere skoger eller flere domener for Directory Connector 3.0 og nyere. I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Målet er å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen. |
Installere Directory Connector
Control Hub viser først katalogsynkronisering som deaktivert. Hvis du vil aktivere katalogsynkronisering for organisasjonen, må du installere og konfigurere Katalogkobling, og deretter utføre en fullstendig synkronisering.
Du må installere én kobling for hvert Active Directory -domene du vil synkronisere. En enkelt Directory Connector-forekomst kan bare betjene ett enkelt domene. Se diagrammet nedenfor for å forstå flyten for domenesynkronisering:
Før du starter
Hvis du autentiserer via en proxy-server, må du kontrollere at du har proxy-legitimasjonen din:
For grunnleggende proxy-godkjenning skriver du inn brukernavn og passord etter at du har installert en forekomst av koblingen. Proxykonfigurasjon for Internet Explorer er også nødvendig for grunnleggende godkjenning. se Bruke en nettproxy via nettleseren
For proxy NTLM kan det hende at du ser en feilmelding når du åpner kontakten for første gang. Se Bruke en nettproxy via nettleseren .
| 1 | I Kontrollhub , gå til , og velg Neste . | ||
| 2 | Klikk på Last ned og installer koblingen for å lagre den nyeste versjonen av .zip-filen for connectorinstallasjon på VMware- eller Windows-serveren. Du kan hente ZIP-filen direkte fra denne koblingen , men du må ha full administrativ tilgang til en Control Hub-organisasjon for at denne programvaren skal fungere.
| ||
| 3 | På VMware- eller Windows-serveren pakker du ut og kjører .msi-filen i installasjonsmappen for å starte installasjonsveiviseren. | ||
| 4 | Klikk på Neste , merk av i boksen for å godta lisensavtale, og klikk deretter på Neste til du ser skjermen for kontotype. | ||
| 5 | Velg typen tjenestekonto du vil bruke, og utfør installasjonen med en administratorkonto:
For å unngå feil må du kontrollere at følgende rettigheter er på plass:
| ||
| 6 | Klikk på Installer. Når nettverkstesten er kjørt, og hvis du blir bedt om det, skriver du inn den grunnleggende legitimasjonen for proxyen, klikker på OK , og klikk deretter Fullfør . |
Hva nå?
Vi anbefaler at du starter serveren på nytt etter installasjonen. Tørrkjøringsrapporten kan ikke vise riktig resultat når dataene ikke ble utgitt. Under omstart av maskinen oppdateres alle data for å vise et nøyaktig resultat i rapporten.
Logg på katalogkobling
Før du starter
Kontroller at du har proxy-legitimasjonen din.
For proxy basic-auth skriver du inn brukernavn og passord etter at du åpner koblingen for første gang.
For proxy-NTLM åpner du Internet Explorer, klikker på tannhjulikonet og går til Alternativer for Internett > Tilkoblinger > LAN-innstillinger , kontroller at informasjonen om proxy-server er lagt til, og klikk deretter på OK . Se Bruke en nettproxy via nettleseren .
| 1 | Åpne kontakten, og legg til | ||||
| 2 | Hvis du blir bedt om det, logger du på med påloggingsinformasjonen for proxy-autentisering, og deretter logger du på Webex ved hjelp av administratorkontoen din og klikker på Neste . | ||||
| 3 | Bekreft organisasjonen og domenet.
| ||||
| 4 | Etter at Bekreft organisasjon skjermen vises, klikker du på Bekreft . Hvis du allerede har bundet AD DS/AD LDS, vil Bekreft organisasjon skjermen vises. | ||||
| 5 | Klikk på Bekreft . | ||||
| 6 | Velg ett, avhengig av hvor mange Active Directory -domener du vil binde til Directory Connector:
|
Hva nå?
Når du har logget på, blir du bedt om å utføre en tørrkjøringssynkronisering.
Instrumentbord for katalogkobling
Første gang du logger deg på Directory Connector, vises instrumentbordet. Her kan du vise et sammendrag av alle synkroniseringsaktiviteter, vise skystatistikk, utføre en tørrkjøringssynkronisering, starte en full eller trinnvis synkronisering og starte hendelsesvisningen for å se feilinformasjon.
| Hvis økten blir tidsavbrutt, må du logge på igjen. |
Du kan enkelt kjøre disse oppgavene fra verktøylinjen for handlinger eller menyen for handlinger.
Komponent | Beskrivelse |
|---|---|
Gjeldende synkronisering |
Viser statusinformasjonen om synkroniseringen som pågår for øyeblikket. Når ingen synkronisering kjøres, er statusvisningen inaktiv. |
Neste Synkronisering |
Viser de neste planlagte fullstendige og trinnvise synkroniseringene. Hvis det ikke er angitt noen tidsplan, Ikke planlagt vises. |
Siste synkronisering |
Viser statusen for de to siste synkroniseringene som ble utført. |
Gjeldende synkroniseringsstatus |
Viser den generelle statusen for synkroniseringen. |
Koblinger |
Viser de gjeldende lokale kontaktene som er tilgjengelige for skyen. |
Skystatistikk |
Viser den generelle statusen for synkroniseringen. |
Tidsplan for synkronisering |
Viser synkroniseringsplanen for trinnvis og full synkronisering. |
Sammendrag av konfigurasjon |
Viser innstillingene du endret i konfigurasjonen. Sammendraget kan for eksempel inneholde følgende:
|
| Handling | Beskrivelse | ||
|---|---|---|---|
| Start trinnvis synkronisering | Start en trinnvis synkronisering manuelt
|
||
Synkroniser tørrkjøring |
Utfør en tørrkjøringssynkronisering. |
||
Start Event Viewer |
Start Microsoft Event Viewer. |
||
Oppdater |
Oppdater instrumentbordet for Cisco-registerkontakt |
Handling | Beskrivelse |
|---|---|
| Synkroniser nå | Start en full synkronisering umiddelbart. |
Synkroniseringsmodus |
Velg enten trinnvis eller full synkroniseringsmodus. |
Tilbakestill kontakthemmeligheten |
Etablere en samtale mellom Cisco-registerkontakt og kontakttjenesten. Hvis du velger denne handlingen, tilbakestilles hemmeligheten i skyen, og deretter lagres hemmeligheten lokalt. |
Tomkjøring |
Utfør en test av synkroniseringsprosessen. Du må gjøre en tørrkjøring før du utfører en full synkronisering. |
Feilsøking |
Slå feilsøking på/av. |
Oppdater |
Oppdater hovedskjerm for Cisco-katalogkontakt. |
Avslutt |
Avslutt Cisco-katalogkontakt. |
Tastekombinasjon | Handling |
|---|---|
Alt +A |
Vis Handlinger -menyen |
|
Synkronisering nå |
|
Tilbakestill kontakthemmeligheten |
|
Tørrløp |
|
Inkrementell synkronisering |
|
Full synkronisering |
|
Vis Hjelp -menyen |
|
Hjelp |
|
Om |
|
Vanlige spørsmål |
Angi automatiske oppgraderinger
| 1 | Fra Katalogkobling går du til , og kontroller Oppgrader automatisk til den nye versjonen av Cisco Directory Connector . |
| 2 | Klikk på Bruk for å lagre endringene. |
Nye versjoner av kontakten installeres automatisk når de er tilgjengelige.
| Du kan administrere oppgraderinger manuelt hvis du foretrekker det. Se Oppgrader til den nyeste programvareversjonen hvis du vil ha mer informasjon. |
Velg Active Directory -objekter som skal synkroniseres
Som standard synkroniserer Katalogkobling alle brukere som ikke er datamaskiner, og alle grupper som ikke er kritiske systemobjekter for et domene. Hvis du vil ha mer kontroll over hvilke objekter som skal synkroniseres, kan du velge bestemte brukere som skal synkroniseres og angi LDAP-filtre ved hjelp av siden Objektvalg i Katalogkobling.
Grupper for automatisk lisenstilordning
Control Hub lar deg administrere lisenstildelinger for hver gruppe. Du kan opprette lisensmaler og tilordne dem til Active Directory -grupper som du synkroniserer til skyen. Når brukeren opprettes, kontrollerer Webex brukermedlemskap og automatisk tilordning av lisensmaler for den nye brukeren.
Vi anbefaler at du bruker et LDAP-filter for bare å synkronisere relevante grupper til skyen. Du kan for eksempel angi filteret til:
(&(cn=Example)(objectclass=Group))*
Dette filteret synkroniserer alle grupper i base-DN der navnet begynner med Eksempel. Brukere som ikke er tilordnet grupper, tilordnes lisenser fra den standard automatiske lisensmalen du konfigurerte i Control Hub.
Grupper for hybrid distribusjon av datasikkerhet
I Katalogkobling må du sjekke Grupper hvis du bruker Hybrid Data Security til å konfigurere en prøvegruppe for pilotbrukere. Se Distribusjonsveiledning for hybrid datasikkerhet for veiledning. Denne Katalogkobling-innstillingen påvirker ikke andre brukeres synkronisering til skyen.
| 1 | Fra Katalogkobling går du til Konfigurasjon , og klikk deretter Objektvalg . | ||
| 2 | I Objekttype seksjon, sjekk Brukere , og vurder å begrense antall søkbare beholdere for brukere. Hvis du for eksempel bare vil synkronisere brukere i en bestemt gruppe, må du angi et LDAP-filter i Brukere Felt for LDAP-filtre. Hvis du vil synkronisere brukere som er i Eksempelbehandler-gruppen, bruker du et filter som dette:
| ||
| 3 | Sjekk Identifiser rom for å skille romdata fra brukerdata. Klikk på Tilpass hvis du vil konfigurere flere attributter for å identifisere brukerdata som romdata. Bruk denne innstillingen hvis du vil synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte romenheter. Hvis du vil ha mer informasjon, se Synkronisere lokal rominformasjon til Webex Cloud . | ||
| 4 | Sjekk Grupper hvis du vil synkronisere Active Directory -brukergruppene til skyen. Ikke legg til et LDAP-filter for brukersynkronisering i Grupper-feltet. Du bør bare bruke Grupper-feltet til å synkronisere selve gruppedataene til skyen.
| ||
| 5 | Sjekk Kontakter hvis du vil synkronisere kontaktinformasjon til brukerne til skyen.
| ||
| 6 | Konfigurer LDAP filtre. Du kan legge til utvidede filtre ved å oppgi et gyldig LDAP-filter. Se denne artikkelen hvis du vil ha mer informasjon om konfigurering av LDAP-filtre. | ||
| 7 | Angi On Premises base-DN-er som skal synkroniseres ved å klikke Velg for å se trestrukturen til Active Directory. Herfra kan du velge eller oppheve merkingen av hvilke beholdere du vil søke på. | ||
| 8 | Kontroller at objektene du vil legge til for denne konfigurasjonen, og klikk på Velg . Du kan velge individuelle eller overordnede beholdere som skal brukes til synkronisering. Velg en overordnet beholder for å aktivere alle underordnede beholdere. Hvis du velger en underordnet beholder, viser den overordnede beholderen en grå hake som angir at en underordnet beholder er blitt kontrollert. Deretter kan du klikke Velg for å godta Active Directory -beholderne du sjekket. Hvis organisasjonen plasserer alle brukere og grupper i Brukere-beholderen, trenger du ikke å søke i andre beholdere. Hvis organisasjonen er delt inn i organisasjonsenheter, må du kontrollere at du velger OE . | ||
| 9 | Klikk på Bruk. Velg et alternativ:
Hvis du vil ha informasjon om tørrkjøringer, se Utfør en tørrkjøringssynkronisering på Active Directory -brukere . For gruppesynkronisering må du utføre en full synkronisering: Utfør en fullstendig synkronisering av Active Directory -brukere til skyen . |
Tilordne brukerattributter
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen. Det eneste obligatorisk felt er *uid, en unik identifikator for hver brukerkonto i skyidentitetstjenesten.
Du kan velge hvilket Active Directory -attributt som skal tilordnes til skyen – du kan for eksempel tilordne firstName lastName i Active Directory eller et egendefinert attributtuttrykk til displayName i skyen.
| Kontoer i Active Directory må ha en e-postadresse. uid-en tilordnes som standard til |
Hvis du velger å la det foretrukne språket komme fra Active Directory, er Active Directory den eneste kilden til sannhet: brukere vil ikke kunne endre språkinnstillingen i Webex-innstillinger, og administratorer vil ikke kunne endre innstillingen i Control Hub.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tilordning av brukerattributter . Denne siden viser attributtnavnene for Active Directory (til venstre) og Webex-skyen (til høyre). Alle obligatoriske attributter er merket med en rød stjerne. | ||||
| 2 | Bla ned til bunnen av Active Directory -attributtnavn , og velg deretter ett av disse Active Directory -attributtene som skal tilordnes til skyattributtet uid :
Du kan tilordne alle de andre Active Directory -attributtene til uid, men vi anbefaler at du bruker e-post eller userPrincipalName, som dekket i retningslinjene ovenfor. I noen tilfeller brukes userPrincipalName til pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. Du må sørge for at e-postadresse for kalenderbehandling er tilordnet til det primære e-postadresse i Webex. Legg til userPrincipalName som en alternativ e-postadresse. Hvis du vil se hvilke attributter i Active Directory tilsvarer i skyen, kan du se Tilordning av Active Directory -attributter i Directory Connector .
| ||||
| 3 | Hvis de forhåndsdefinerte Active Directory -attributtene ikke fungerer for distribusjonen, klikker du på rullegardinlisten for attributt, blar til bunnen og velger Tilpass attributt for å åpne et vindu som lar deg definere et attributtuttrykk.
I dette eksemplet skal vi tilordne Active Directory -attributtene
| ||||
| 4 | (Valgfritt) Velg tilordninger for mobil og telefonnummer hvis du vil at mobil- og jobbnumre skal vises, for eksempel i brukerens kontaktkort i Webex-appen. telefonnummer vises i Webex-appen når en bruker holder pekeren over en annen brukers profilbilde. Hvis du vil ha mer informasjon om å ringe fra en brukers kontaktkort, se Installasjonsveiledning for å anrope Webex (Unified CM) . (administratorer). | ||||
| 5 | Velg flere tilordninger for at flere data skal vises i kontaktkort:
Etter at attributtene er tilordnet, vises informasjonen når en bruker holder pekeren over en annen brukers profilbilde:
Hvis du vil ha mer informasjon om kontaktkort, kan du se Bekreft hvem du kontakter . Når disse attributtene er synkronisert til hver brukerkonto, kan du også slå på People Insights i Control Hub. Denne funksjonen lar brukere av Webex-appen dele mer informasjon i profilene sine og lære mer om hverandre. Hvis du vil ha mer informasjon om funksjonen og hvordan du aktiverer den, kan du se People Insights -profiler for Webex, Jabber, Webex Meetings og Webex Events (ny) i Control Hub | ||||
| 6 | Når du har gjort valgene, klikker du Bruk . |
Alle brukerdata som finnes i Active Directory, overskriver dataene i skyen som tilsvarer denne brukeren. Hvis du for eksempel opprettet en bruker manuelt i Control Hub, må brukerens e-postadresse være identisk med e-postadressen i Active Directory. Alle brukere som ikke har en tilsvarende e-postadresse i Active Directory , slettes.
| Slettede brukere beholdes i skyidentitetstjenesten i syv dager før de slettes permanent. |
Active Directory og skyattributter
Du kan tilordne attributter fra den lokale Active Directory til tilsvarende attributter i skyen ved hjelp av Tilordning av brukerattributter -fanen.
Denne tabellen sammenligner tilordningen mellom Active Directory -attributtnavn og Cisco Cloud -attributtnavn. Disse verdiene og tilordningene er standardinnstilling i Katalogkobling. Du kan velge forskjellige attributter i Active Directory -rullegardinlistene og bestemme hvilket lokale attributt som skal synkroniseres med hvilket skyattributt.
Se på rullegardinattributtene som forhåndsinnstillinger. Som et alternativ til verdiene i Active Directory -raden kan du også angi et tilpasset attributt, din egen forhåndsinnstilling, i Active Directory (et uttrykk med flere attributter) for å tilordne et enkelt skyattributt i den tilsvarende raden. På denne måten har du fleksibilitet til å bestemme visningsnavnene til brukerne dine – du kan for eksempel legge til et uttrykk som oppretter et tilpasset attributt basert på ansatttittel, fornavn og etternavn i Active Directory.
Du kan også angi hvilke som helst av Active Directory -attributtene som skal tilordnes til uid i skyen. Du må imidlertid sørge for at det lokale attributtet følger et gyldig e-postformat.
| Du kan også bruke alternative e-postadresser, hvis du for eksempel vil bruke userPrincipalName for pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. I dette tilfellet tilordner du en annen e-postadresse til e-poster;type-arbeid attributtet. Dette er e-postadressen som brukes til autentisering. den brukes ikke til å administrere kalenderen din. e-postadresse du tilordner fra AD, må være fra et bekreftet domene i organisasjonen din, og den må være unik og ikke tilordnet en annen bruker. |
Navn på Active Directory -attributter | Navn på Webex-skyattributter | Merknader |
|---|---|---|
— |
buildingName |
— |
c |
c |
Dette attributtet angir brukerens landsforkortelse. |
avdelingsnummer |
avdelingsnummer |
Dette attributtet brukes for brukerens avdelingsnummer som vises i kontaktkort og personinnsikt . |
visningsnavn |
visningsnavn |
Dette attributtet brukes for visningsnavn for brukerkonto som vises i Control Hub, den kontaktkort , og personinnsikt . |
userAccountControl |
ds-pwp-account-disabled |
Dette attributtet brukes til brukersynkronisering. Kontroller at userAccountControl attributtet er tilordnet til ds-pwp-account-disabled ellers blir ikke brukerne synkronisert riktig. |
ansattnummer |
ansattnummer |
— |
ansattType |
ansattType |
Denne verdien brukes for ansatttypen bruker som vises i kontaktkort og personinnsikt . |
fakstelefonnummer |
fakstelefonnummer |
— |
givenName |
givenName |
Dette attributtet brukes for brukerkonto fornavn som vises i Control Hub, den kontaktkort , og personinnsikt . |
— |
jabberID |
Dette skyattributtet er relatert til direktemeldingsadresser (XMPP-type) som brukes av Jabber. Denne verdien er ikke det samme som sipAddresses. |
l |
l |
Dette attributtet angir byen til brukeren. |
— |
språk |
— |
administrator |
administrator |
Dette attributtet brukes for brukerens ledernavn som vises i kontaktkort og personinnsikt . |
Mobil |
Mobil |
Dette attributtet brukes som mobilnummer som vises for ringe brukeren fra kontaktkort . |
o |
o |
Dette attributtet angir navnet på selskapet eller organisasjonen. |
ou |
ou |
Dette attributtet angir navnet på organisasjonsenheten. |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Dette attributtet angir brukerens kontorplassering. |
postnummer |
postnummer |
Dette attributtet angir brukerens postnummer eller postnummer for fysisk postlevering. |
foretrukket språk |
foretrukket språk |
Dette attributtet angir brukerens foretrukne språk, og følgende formater støttes: xx_YY eller xx-YY. Her er noen eksempler: en_USA,en_ GB, fr-CA. Hvis du bruker et språk som ikke støttes eller ugyldig format, endres brukernes foretrukne språk til språket som er angitt for organisasjonen. |
MSRTCSIP-PrimaryUserAddress iPhone |
SipAddresses;type=bedrift |
Dette attributtet brukes til å synkronisere lokal rominformasjon fra Active Directory til Cisco Webex skyen. |
sn |
sn |
Dette attributtet brukes for brukerkonto etternavn som vises i Control Hub, den kontaktkort , og personinnsikt . |
st |
st |
Dette attributtet angir delstaten eller provinsen til brukeren. |
gateadresse |
gate |
Dette attributtet angir gateadressen til brukeren for fysisk postlevering. |
telefonnummer |
telefonnummer |
Dette attributtet angir brukerens primære telefonnummer (jobb) som brukes til ringe brukeren fra kontaktkort . |
— |
tidssonen |
Dette skyattributtet angir brukerens tidssone. |
tittel |
tittel |
Dette attributtet angir brukertittelen som vises i kontaktkort og personinnsikt . |
type |
bedrift |
— |
*e-post *userPrincipalName |
uid |
En obligatorisk attributtilordning. For hver brukerkonto tilordnes Active Directory -verdien til en unik uid i skyen. I noen tilfeller brukes userPrincipalName til pålogging, men en brukers e-postadresse brukes til å administrere kalenderen. Du må sørge for at e-postadresse for kalenderbehandling er tilordnet til det primære e-postadresse i Webex. Legg til userPrincipalName som en alternativ e-postadresse. Brukeren kan deretter bruke en av disse e-postadressene til å logge på, så lenge de er riktige SAML-attributtilordning er på plass. Se eksempel på attributtilordning nedenfor for hvordan du kan tilordne en alternativ e-postadresse. |
*userPrincipalName *e-post <custom attribute=""> |
e-poster;type-arbeid |
Denne tilordningen er valgfri. Bruk den hvis du vil bruke alternative e-postadresser. Dette er e-postadressen som brukes til autentisering. den brukes ikke til å administrere kalenderen din. e-postadresse du tilordner fra AD, må være fra et bekreftet domene i organisasjonen din, og den må være unik og ikke tilordnet en annen bruker. |
<New attribute="" for="" Azure="" user="" objectId=""> |
ekstern ID |
Opprett et nytt Active Directory -attributt for å holde Azure-brukerobjekt-ID-en, slik at den ikke kolliderer med en eksisterende. Dette attributtet tilordnes deretter til externalId-attributtet, og sikrer at når Webex-brukere opprette grupper i Microsoft 365, oppretter de automatisk team i Webex . |
Alternativ e-postadresse
Uttrykk for tilpassede attributter
Operatør | Beskrivelse og eksempel |
|---|---|
% | Fjerner alle tegn fra begynnelsen av strengen til plasseringen av tegnet eller strengargumentet, hvis det samsvarer.
|
– | Fjerner baksiden av inndatastrengen fra enden av den angitte strengen.
|
+ | Setter sammen inndatastrenger eller -uttrykk.
|
| | Evaluerer de atskilte uttrykkene mot den tomme strengen, og velger det første ikke-tomme resultatet.
|
Synkronisere katalogavatarer fra et Active Directory -attributt til skyen
Du kan synkronisere brukernes katalogavatarer til skyen, slik at hver avatar vises når de logger på Webex-appen. Bruk denne fremgangsmåten til å synkronisere rå avatardata fra et Active Directory -attributt.
| 1 | Fra Katalogkobling går du til Konfigurasjon , klikk Avatar , og kontroller Aktiver . |
| 2 | For Hent avatar fra , velg AD-attributt , og velg deretter Avatar-attributt som inneholder råavatardataene du vil synkronisere til skyen. |
| 3 | Hvis du vil bekrefte at avataren brukes på riktig måte, skriver du inn en brukers e-postadresse og klikker på Hent brukerens avatar . Avataren vises til høyre. |
| 4 | Når du har bekreftet at avataren ble vist riktig, klikker du Bruk for å lagre endringene. |
Bildene som synkroniseres, blir standardavatar for brukere i Webex-appen. Brukere har ikke tillatelse til å angi sin egen avatar etter at denne funksjonen er aktivert fra Katalogkobling.
Brukeravatarene synkroniseres til både Webex-appen og eventuelle samsvarende kontoer på Webex-nettsted.
Hva nå?
Gjør en tørrkjøringssynkronisering; Hvis det ikke er noen problemer, kan du utføre en fullstendig synkronisering for å få Active Directory -brukerkontoene og avatarene til å synkroniseres til skyen og vises i Control Hub.
Synkronisere katalogavatarer fra en ressursserver til skyen
Du kan synkronisere brukernes katalogavatarer til skyen, slik at hver avatar vises når de logger på Webex-appen. Bruk denne fremgangsmåten til å synkronisere avatarer fra en ressursserver.
Før du starter
URI-mønsteret og variabelverdien i denne prosedyren er eksempler. Du må bruke faktiske nettadresser der katalogavatarene dine er plassert.
Avatar-URI-mønsteret og serveren der avatarene ligger, må kunne nås fra Directory Connector-programmet. Koblingen trenger http- eller https-tilgang til bildene, men bildene trenger ikke å være offentlig tilgjengelige på Internett.
Synkroniseringen av avatardata er atskilt fra Active Directory -brukerprofilene. Hvis du kjører en proxy, må du sørge for at avatardataene er tilgjengelige via NTLM-autentisering eller basic-auth.
| 1 | Fra Katalogkobling går du til Konfigurasjon , klikk Avatar , og kontroller Aktiver . |
| 2 | For Hent avatar fra , velg Ressursserver og angi deretter Avatar-URI-mønster – For eksempel La oss se på hver del av avatarens URI-mønster og hva de betyr:
|
| 3 | (Valgfritt) Hvis ressursserveren krever legitimasjon, kontrollerer du Angi påloggingsinformasjon for avatar , og velg deretter enten Bruk gjeldende bruker for tjenestepålogging eller Bruk denne brukeren og angi passordet. |
| 4 | Skriv inn Variabelverdi – For eksempel: |
| 5 | Klikk på Test for å kontrollere at avatarens URI-mønster fungerer som det skal. I dette eksemplet, hvis e-postverdien for én AD-oppføring er |
| 6 | Når URI-informasjonen er bekreftet og ser riktig ut, klikker du Bruk . Hvis du vil ha detaljert informasjon om bruk av regulære uttrykk, kan du se hurtigreferanse for Microsoft Regular Expression-språk . |
Bildene som synkroniseres, blir standardavatar for brukere i Webex-appen. Brukere har ikke tillatelse til å angi sin egen avatar etter at denne funksjonen er aktivert fra Katalogkobling.
Brukeravatarene synkroniseres til både Webex-appen og eventuelle samsvarende kontoer på Webex-nettsted.
Hva nå?
Gjør en tørrkjøringssynkronisering; Hvis det ikke er noen problemer, kan du utføre en fullstendig synkronisering for å få Active Directory -brukerkontoene og avatarene til å synkroniseres til skyen og vises i Control Hub.
Synkronisere lokal rominformasjon til Webex Cloud
Bruk denne fremgangsmåten til å synkronisere lokal rominformasjon fra Active Directory til Webex-skyen. Når du har synkronisert rominformasjonen, vises de lokale romenhetene med en konfigurert, tilordnet SIP-adresse som søkbare oppføringer på skyregistrerte Webex-enheter (Room, Desk og Board).
| 1 | Fra Katalogkobling går du til Synkroniser , klikk på mer | ||
| 2 | Sjekk Synkroniser rominformasjon til skyen for å skille romdataene fra brukerdataene under synkronisering. Når denne innstillingen er deaktivert, behandles romdata på samme måte som brukersynkroniserte data. | ||
| 3 | Gå til Attributttilordning , og endre deretter attributttilordningen for skyattributtet sipAddresses;type=bedrift .
| ||
| 4 | Opprett en romressurs-postboks i Exchange. Dette legger til msExchResourceMetaData;ResourceType:Room -attributtet som koblingen deretter bruker til å identifisere rom.
| ||
| 5 | Gå til og rediger egenskapene for rommet fra Active Directory -brukere og datamaskiner. Legg til den fullstendige SIP-URI med prefikset sip:
| ||
| 6 | Utfør en tørrkjøringssynkronisering og deretter en fullstendig synkroniseringskjøring i kontakten. De nye romobjektene vises Objekter lagt til og samsvarende romobjekter vises i Objekter matchet i tørrkjøringsrapporten. Alle romobjekter som er flagget for sletting, er under Rom slettet .
Tørrkjøringsresultatene viser eventuelle romressurser som ble matchet.
Denne innstillingen skiller Active Directory -romdata (inkludert rommets attributt) fra brukerdata. Når synkroniseringen er fullført, viser skystatistikken på koblingsinstrumentbordet romdata som ble synkronisert til skyen.
|
Hva nå?
Nå som du har gjort disse trinnene, vil du se de synkroniserte romoppføringene som er konfigurert med SIP-adresser, når du gjør et søk på en Webex-skyregistrert enhet. Når du foretar et anrop fra Webex-enheten på den oppføringen, foretas et anrop til SIP-adressen som ble konfigurert for rommet.
Fra Control Hub kan du importere rom fra katalogen automatisk og opprette arbeidsområder.
| Endepunktet kan ikke sløyfe et tilbakeringing til Webex-appen. For testoppringingsenheter må disse enhetene være registrert som en SIP-URI lokalt eller et annet sted enn Webex-appen. Hvis romsystem for Active Directory du søker etter er registrert for Webex og den samme e-postadresse finnes på Webex Room-enhet, Skrivebordsenhet eller Webex Board for Calendar Service, viser ikke søkeresultatene den dupliserte oppføringen. Rom-, skrivebords- eller tavleenheten ringes opp direkte i Webex-appen, og det foretas ingen SIP-samtale . |
Send e-postrapporter om katalogsynkroniseringsresultater
Som standard mottar organisasjonens kontakter eller administratorer alltid e-postvarsler. Med denne innstillingen kan du tilpasse hvem som skal motta e-postvarsler som oppsummerer katalogsynkroniseringsrapporter.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Varsel . |
| 2 | Fra Katalogkobling klikker du på Innstillinger , og ved siden av E-postmottaker , slå på Aktiver synkronisering av rapport . |
| 3 | Sjekk Aktiver varsling hvis du vil overstyre standard varslingsatferd og legge til én eller flere e-postmottakere. |
| 4 | Klikk på Legg til og angi en e-postadresse. Hvis du skriver inn en e-postadresse med ugyldig format, vises en melding som ber deg om å løse problemet før du kan lagre og bruke endringene. |
| 5 | Klikk på Legg til e-post og angi en e-postadresse. Hvis du skriver inn en e-postadresse med ugyldig format, vises en melding som ber deg om å løse problemet før du kan lagre og bruke endringene. |
| 6 | Hvis du må redigere e-postadresser du oppga, dobbeltklikk du på e-postoppføringen i venstre kolonne, og deretter gjør du eventuelle endringer. |
| 7 | Når du har lagt til alle de gyldige e-postadressene, klikker du på Bruk . |
| 8 | Når du har lagt til alle de gyldige e-postadressene, klikker du på Lagre . |
Hva nå?
Hvis du bestemte deg for at du vil fjerne e-postadresser, kan du klikke på en e-post for å utheve denne oppføringen og deretter klikke Fjern .
Hvis du bestemte deg for at du vil fjerne e-postadresser, kan du klikke på Fjern ved siden av bestemte e-postadresse .
Klargjøre brukere fra Active Directory til Control Hub
Følg denne fremgangsmåten for å klargjøre Active Directory -brukere og opprette tilsvarende brukerkontoer i Control Hub. Du kan klargjøre brukere fra en Active Directory -distribusjon for flere domener (med enten én enkelt skog eller flere skoger) etter at du har installert en katalogkobling per domene. I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Målet er å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen.
| 1 | Utfør en tørrkjøringssynkronisering på Active Directory -brukere Utfør en tørrkjøring for å sammenligne objekter i den lokale Active Directory og objekter i Webex-skyen. En tørrkjøring lar deg se hvilke objekter som vil bli lagt til, endret eller slettet før du kjører en fullstendig eller trinnvis synkronisering og utfører endringene i skyen. |
| 2 | Utfør en fullstendig synkronisering av Active Directory -brukere til skyen Når du kjører en full synkronisering, sender koblingstjenesten alle filtrerte objekter fra Active Directory (AD) til skyen. Connector-tjenesten oppdaterer deretter identitetslageret med AD-oppføringene dine. Hvis du opprettet en mal for automatisk tilordning av lisenser, kan du tilordne den til de nylig synkroniserte brukerne. |
| 3 | Tilordne Webex-tjenester til katalogsynkroniserte brukere i Control Hub Når du har fullført en fullstendig brukersynkronisering fra Directory Connector til Control Hub, kan du tilordne Webex-tjenestelisenser ved hjelp av en rekke forskjellige metoder. Vi anbefaler at du konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory. Du kan også gjøre individuelle endringer etter dette første trinnet. |
Utfør en tørrkjøringssynkronisering på Active Directory -brukere
Utfør en tørrkjøring for å sammenligne objekter i den lokale Active Directory og objekter i Webex-skyen. En tørrkjøring lar deg se hvilke objekter som vil bli lagt til, endret eller slettet før du kjører en fullstendig eller trinnvis synkronisering og utfører endringene i skyen.
I løpet av prosessen med å integrere brukere fra forskjellige domener, må du bestemme om du vil beholde eller slette brukerobjektene som allerede kan finnes i Webex-skyen – for eksempel testkontoer fra en prøveversjon. Med Katalogkobling er målet å ha nøyaktig samsvar mellom Active Directory-ene og Webex-skyen.
Hvis du har flere domener i én enkelt skog eller flere skoger, må du gjøre dette trinnet på hver av Cisco-katalogkoblingsforekomstene du har installert for hvert Active Directory -domene.
Før du starter
Du kan allerede ha noen Webex-appbrukere i Control Hub før du brukte Katalogkobling. Blant brukerne i skyen kan noen samsvare med det lokale Active Directory -objektet og bli tildelt lisenser for tjenester. Men noen kan være testbrukere som du vil slette mens du foretar en synkronisering. Du må opprette et nøyaktig samsvar mellom Active Directory og Control Hub.
| 1 | Velg én:
Når tørrkjøringen er fullført, ser du ett av følgende resultater:
Sammendraget inneholder informasjon om objektsamsvar:
Tørrkjøringen identifiserer brukerne ved å sammenligne dem med domenebrukere. Applikasjonen kan identifisere brukerne hvis de tilhører det gjeldende domenet. I neste trinn må du bestemme om du vil slette objektene eller beholde dem. De feilaktige objektene identifiseres som allerede eksisterende i Webex-skyen, men ikke eksisterende i den lokale Active Directory. | ||
| 2 | Se gjennom resultatene av tørrkjøringen, og velg deretter et alternativ avhengig av om du bruker ett enkelt domene eller flere domener:
| ||
| 3 | I Bekreft tørrkjøring ledetekst, klikker du Ja for å gjøre om tørrkjøringssynkroniseringen og vise instrumentbordet for å se resultatene. Alle kontoer som ble synkronisert i tørrkjøringen, vises under Objekter matchet . Hvis en bruker i skyen ikke har en tilsvarende bruker med samme e-postadresse i Active Directory, er oppføringen oppført under Brukere slettet . Hvis du vil unngå dette sletteflagget, kan du legge til en bruker i Active Directory med samme e-postadresse. Hvis du vil vise detaljene for elementene som ble synkronisert, klikker du på den tilsvarende fanen for bestemte elementer eller Objekter matchet . Hvis du vil lagre sammendragsinformasjonen, klikker du på Lagre resultater til fil . | ||
| 4 | Hvis resultatene forventes, går du til , og klikk deretter Aktiver nå for å gjøre en manuell synkronisering og sette i manuell modus på dette tidspunktet.
|
Hva nå?
For eventuelle feilaktige brukerobjekter som du beholder, må du legge dem til i Active Directory slik at det er nøyaktig samsvar mellom lokale og skyen.
Velg en synkroniseringstype:
Utfør en fullstendig synkronisering av Active Directory -brukere til skyen for første gang du synkroniserer nye brukere til skyen. Du gjør det fra , og deretter synkroniseres brukere fra det gjeldende domenet.
Angi tidsplan for kobling og Kjør en trinnvis synkronisering etter at du har kjørt en fullstendig synkronisering, og hvis du ønsker å plukke opp endringer etter den første synkroniseringen. Denne typen synkronisering anbefales for å fange opp små endringer som er gjort i Active Directory -brukerkilden.
Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt (på versjon 3.4 og tidligere) eller hver fjerde time (på versjon 3.5 og nyere), men du kan endre denne verdien. Den trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering.
Hvis du har flere domener, gjentar du disse trinnene på en hvilken som helst annen katalogkobling du har installert.
Ting du bør huske på
Utfør en tørrkjøring før du aktiverer full synkronisering, eller når du endrer synkroniseringsparametrene. Hvis tørrkjøringen ble startet av en konfigurasjonsendring, kan du lagre innstillingene etter at tørrkjøringen er fullført. Hvis du allerede har lagt til brukere manuelt, kan utføring av en Active Directory -synkronisering føre til at tidligere lagt til brukere blir fjernet. Du kan sjekke tørrkjøringsrapporter for Directory Connector for å bekrefte at alle forventede brukere er til stede før du synkroniserer fullstendig til skyen.
Hvis matchede brukere er merket som sletting og du ikke er sikker på hvordan du går frem, kan du se feilsøkingsinformasjon og hvordan du kontakter kundestøtte i Feilsøking og rettelser for Directory Connector .
Slettede brukere beholdes i skyidentitetstjenesten i syv dager før de slettes permanent.
Utfør en fullstendig synkronisering av Active Directory -brukere til skyen
Når du kjører en full synkronisering, sender koblingstjenesten alle filtrerte objekter fra Active Directory (AD) til skyen. Connector-tjenesten oppdaterer deretter identitetslageret med AD-oppføringene dine. Hvis du opprettet en mal for automatisk tilordning av lisenser, kan du tilordne den til de nylig synkroniserte brukerne.
Hvis du har flere domener, må du gjøre dette trinnet på hver av Directory Connector-forekomstene du har installert for hvert Active Directory -domene.
Katalogkobling synkroniserer brukerkonto – I Active Directory vises også alle brukere som er merket som deaktivert som inaktive i skyen.
Før du starter
Hvis du vil at brukerkontoene for Webex-appen skal ha statusen Aktiv etter full synkronisering og før brukerne logger på for første gang, må du gjøre følgende for å omgå e-postvalideringen:
Integrer engangspålogging med Webex-organisasjonen din. Se
Engangspålogging med Cisco Webex Services og organisasjonens identitetsleverandør
hvis du vil ha mer informasjon.Bruk Control Hub til å bekrefte og eventuelt gjøre krav på domener som finnes i e-postadressene. Se
Legg til, bekreft og gjør krav på domener
.Undertrykk automatiske e-postinvitasjoner , slik at nye brukere ikke mottar den automatiske e-postinvitasjonen til Webex-appen. (Du kan lage din egen e-postkampanje.)
Aktiverte brukere som ikke har logget på, vises med en Verifisert status i Control Hub. Når de har logget på, vises de som Aktive. Hvis du vil ha mer informasjon om brukerstatuser, kan du se Brukerstatuser og handlinger i Cisco Webex Control Hub.
Når du aktiverer synkronisering, ber Directory Connector deg om å utføre en tørrkjøring først. Vi anbefaler at du tar en tørrkjøring før en full synkronisering for å fange opp eventuelle feil.
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Hvis du ikke bruker automatisk tilordnede lisensmaler, får nylig synkroniserte brukere automatisk gratislisenser. De vil kunne bruke de samme gratisfunksjonene som de med gratis kontoer.
| 1 | Velg én:
| ||
| 2 | Fra Katalogkobling går du til Synkroniser , klikk på mer | ||
| 3 | Bekreft starten på synkroniseringen. For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene i opptil 72 timer etter at du har utført synkroniseringen.
| ||
| 4 | Klikk på Oppdater hvis du vil oppdatere statusen for synkroniseringen. (Synkroniserte elementer vises under Skystatistikk .) | ||
| 5 | Hvis du vil ha informasjon om feil, velger du Start Event Viewer fra Handlinger verktøylinjen for å vise feilloggene. | ||
| 6 | Hvis du vil angi en synkroniseringsplan for pågående trinnvise synkroniseringer til skyen, kan du se Angi tidsplan for kobling og Kjør en trinnvis synkronisering . |
Når full synkronisering er fullført, oppdateres statusen for katalogsynkronisering fra Deaktivert til Driftsmessig på Innstillinger siden i Control Hub.
Når alle data matches mellom lokale og skyen, endres Katalogkobling fra manuell modus til automatisk synkroniseringsmodus.
Med mindre du integrere engangspålogging , bekrefte domener, og eventuelt gjøre krav på domener for e-postkontoene du synkroniserte , og undertrykke automatiserte e-postmeldinger , forblir brukerkontoene for Webex-appen i tilstanden Ikke bekreftet til brukerne logger på Webex-appen for første gang for å bekrefte kontoene sine. Se delen Før du begynner for veiledning om hvordan du synkroniserer kontoene som aktive brukere.
Hvis du har flere domener, gjør du dette trinnet på en annen katalogkobling du har installert. Etter synkroniseringen vises brukerne på alle domenene du la til i Control Hub.
Hvis du integrerte engangspålogging med Webex og undertrykte e-postvarsler , sendes ikke e-postinvitasjonene til de nylig synkroniserte brukerne.
Du kan ikke legge til brukere manuelt i Control Hub etter at Directory Connector er aktivert. Når den er aktivert, utføres brukeradministrasjon fra Cisco-registerkobling, og Active Directory er den eneste kilden til sannhet.
Alle grupper du synkroniserte, vises i Control Hub, og du kan tilordne en lisensmal slik at brukere i den gruppen tilordnes lisenser.
Hva nå?
Når du fjerner en bruker fra Active Directory, blir brukeren myk slettet etter neste synkronisering. Brukeren blir
Inactivemen skyidentitetsprofilen beholdes i syv dager (for å tillate gjenoppretting etter utilsiktet sletting).Når du sjekker Kontoen er deaktivert i Active Directory blir brukeren
Inactiveetter neste synkronisering. Skyidentitetsprofilen slettes ikke etter syv dager, i tilfelle du vil aktivere brukeren på nytt.Vær oppmerksom på disse unntakene fra en trinnvis synkronisering (følg de fullstendige synkroniseringstrinnene ovenfor i stedet):
Hvis det gjelder en oppdatert avatar, men ingen andre attributter endres, oppdaterer ikke trinnvis synkronisering brukerens avatar til skyen.
Konfigurasjonsendringer for attributtilordning, base-DN, filter og avatarinnstillinger krever full synkronisering.
Tilordne Webex-tjenester til katalogsynkroniserte brukere i Control Hub
Når du har fullført en fullstendig brukersynkronisering fra Cisco-registerconnector til Control Hub, kan du bruke Control Hub til å tilordne de samme Webex-tjenestelisensene til alle brukerne samtidig eller legge til flere lisenser til nye brukere hvis du allerede har konfigurert en automatisk tilordnet lisensmal. Du kan gjøre individuelle endringer i brukerkonto etter dette første trinnet.
Når du har fullført en fullstendig brukersynkronisering fra Directory Connector til Control Hub, kan du bruke metoder i Control Hub til å globalt tilordne Webex-tjenestelisenser til alle brukerne, enkeltbrukere, gjennom CSV-malen for mengde eller automatisk til nye brukere hvis du har allerede konfigurert en mal for automatisk tildeling av lisenser. Du kan gjøre individuelle endringer i brukerkonto etter dette første trinnet.
Når du tilordner en lisens til en Webex-appbruker, mottar denne brukeren en e-post som bekrefter tilordningen, som standard. E-posten sendes av en varslingstjeneste i Control Hub. Hvis du integrerte engangspålogging (SSO) med Webex-organisasjonen din, kan du også undertrykke disse automatiske e-postvarslene hvis du foretrekker å kontakte brukerne dine direkte.
Før du starter
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Gjør en tørrkjøringssynkronisering på Active Directory brukerne dine.
Når du har bekreftet resultatene av tørrkjøringen, utfører du en fullstendig synkronisering på Active Directory -brukerne.
| På tidspunktet for full synkronisering opprettes brukeren i skyen, ingen tjenestetilordninger legges til, og det sendes ingen aktiverings-e-post. Hvis e-postene ikke undertrykkes, mottar de nye brukerne en aktiverings-e-post når du tilordner tjenester til brukere ved hjelp av en standard brukeradministrasjonsmetode i Control Hub, for eksempel CSV-import, manuell brukeroppdatering eller vellykket fullføring av automatisk tilordning. |
| 1 | Fra kundevisningen ihttps://admin.webex.com , gå til , klikk Behandle brukere , velg Endre alle synkroniserte brukere , og klikk deretter Neste . |
| 2 | Velg et alternativ:
|
Hva nå?
Hvis e-postene ikke undertrykkes, sendes en e-postmelding til hver bruker med en invitasjon til å bli med og laste ned Webex.
Hvis du valgte de samme Webex-tjenestene for alle brukerne, kan du etterpå endre lisensen som er tilordnet individuelt eller samtidig.
Kjente problemer med katalogkobling
Windows Server-versjoner før 2012 R2 har et problem med informasjonskapsler som påvirker katalogkoblingen. Dette problemet er løst i versjoner 2012 R2 og 2016 .
For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene 72 timer fra du utfører synkroniseringen.
Du kan prøve å tømme den lokale hurtigbufferen for Webex-appen ved å følge disse instruksjonene: Windows eller Mac .
Når en bruker bruker Webex-appen på skrivebordet eller mobilen til å søke og ringe et rom som bare har en synkronisert SIP-URI, ringer anropet på ubestemt tid på dette tidspunktet.
Kjør en trinnvis synkronisering
En trinnvis synkronisering spør etter Active Directory og ser etter endringer som har skjedd siden forrige synkronisering. Dette trinnet grupperer deretter disse endringene og sender dem til koblingstjenesten. Endringene inkluderer endring av brukerattribusjon og når en bruker legges til eller slettes.
Denne synkroniseringen legger ikke like mye belastning på serverne og tar ikke like mye tid som en full synkronisering. Når du har utført den første fullstendige synkroniseringen, anbefaler vi det trinnvise alternativet for etterfølgende synkroniseringer.
Før du starter
Du må konfigurere en mal for automatisk tildeling av lisenser før du bruker den på nye Webex-appbrukere som du synkroniserte fra Active Directory.
Merk disse unntakene som trinnvis synkronisering ikke støtter (følg Utfør en fullstendig synkronisering av Active Directory -brukere til skyen i stedet):
Hvis det gjelder en oppdatert avatar, men ingen andre attributter endres, oppdaterer ikke trinnvis synkronisering brukerens avatar til skyen.
For nye konfigurasjonsendringer for attributtilordning, base-DN, filter og avatarinnstilling fungerer ikke trinnvis synkronisering, og disse krever full synkronisering.
| 1 | Fra Katalogkobling klikker du på Instrumentbord .
| ||
| 2 | Fra Handlinger , klikk Synkroniseringsmodus > Aktiver synkronisering hvis det ikke allerede er aktivert. Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt (på versjon 3.4 og tidligere) eller hver fjerde time (på versjon 3.5 og nyere), men du kan endre denne verdien. Den trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering. Når et nytt trinnvis tidsintervall er ute, kontrollerer programmet endringene basert på det siste tidsstemplet. | ||
| 3 | Fra Handlinger , klikk Synkroniser nå > Inkrementell . For alle endringer du gjør for brukere i Active Directory (for eksempel visningsnavn), gjenspeiler Control Hub endringen umiddelbart når du oppdaterer brukervisningen, men Webex-appen gjenspeiler endringene 72 timer fra du utfører synkroniseringen.
| ||
| 4 | Hvis du vil ha informasjon om feil, klikker du på Start Event Viewer fra Handlinger verktøylinjen for å vise feilloggene. |
Hva nå?
Hvis du har flere domener, gjør du dette trinnet på andre Directory Connector-forekomster du har installert.
Gjenopprett brukere som er slettet ved et uhell
Katalogkobling har kontroller og saldoer for å forhindre utilsiktet sletting av brukere. Dessverre skjer ulykker. Du kan ha konfigurert et LDAP-filter i Active Directory på feil måte, noe som slettet noen brukere da de ble synkronisert til skyen. Den myke slettefunksjonen kan hjelpe deg med å komme deg etter disse ulykkene og gjenopprette brukerkontoene i Control Hub.
Som standard er denne funksjonen aktivert for alle organisasjoner. Når brukere slettes i skyen, for eksempel på grunn av et problem med feilaktige objekter etter en synkronisering fra Directory Connector, kan brukerne gjenopprettes. Hvis du så et objekt som ikke samsvarte, eller la merke til at brukere ble slettet, kan det hende du kan gjenopprette dem hvis du handler raskt.
| Brukere merkes som inaktive i Control Hub når de tilsvarende kontoene slettes i Active Directory. Bakgrunnsskytjenesten beholder brukerne i opptil 7 dager. I løpet av denne perioden kan du fortsatt bruke Cisco-registerkobling til å gjenopprette brukere. Vi anbefaler at du gjenoppretter disse brukerne så snart som mulig. Brukere som er deaktivert i Active Directory , er også merket som inaktive i Control Hub, men brukerkonto slettes ikke etter 7 dager. |
| 1 | Logg på Kontrollhub . |
| 2 | Gå til Brukere og kontroller om en bestemt brukerkonto er i en inaktiv tilstand eller ikke er oppført. Hvis du vil ha mer informasjon, se Brukerstatuser og handlinger i Control Hub . |
| 3 | Hvis brukere ble slettet i Control Hub eller du legger merke til at brukere er i en inaktiv tilstand, går du til Active Directory, legger til de manglende brukerkontoene, og deretter utfører du en tørrkjøringssynkronisering i Directory Connector. Målet med Directory Connector er å opprette et nøyaktig samsvar mellom brukerinformasjon i Active Directory og i skyen. |
| 4 | Utfør en fullstendig synkronisering for å resynkronisere de midlertidig slettede brukerkontoene til Control Hub. Brukerne gjenopprettes og går til den opprinnelige statusen, inkludert kontostatus og tjenestetilordninger. |
Hva nå?
Gå tilbake til Control Hub, gå til , og bekreft at de tidligere slettede brukerkontoene vises i brukerliste.
Slett brukere permanent etter myk sletting
Etter å ha utført en tørrkjøring, kan du velge å permanent slette brukere som ble myk slettet ved neste synkronisering.
| 1 | Når en tørrkjøring er fullført, velger du Myk-slettede objekter . |
| 2 | Merk av i avmerkingsboksen ved siden av brukerne du vil slette. |
| 3 | Velg Ferdig. |
Hva nå?
Ved neste synkronisering blir brukerne du sjekket, slettet permanent.
Endre en e-postadresse for Webex-appen
Hvis du vil endre e-postadresser for brukere og organisasjonen bruker katalogkoblingen, endrer du disse e-postadressene i Active Directory. Denne fremgangsmåten dekker hvordan du endrer en e-postadresse for Webex-appen for ett enkelt domene og en prosess for å endre domenet.
| Hvis du bare vil endre e-post eller verdier for én bruker, må du ikke slette brukeren fra Active Directory og deretter opprette en ny med den samme e-postadressen. Skyen tolker denne handlingen som en ny brukerkonto, og brukerens områder og andre data i skyen vil gå tapt. |
Slik endrer du brukerens e-postadresser uten å endre domenet:
Gjenoppta synkroniseringen på katalogkoblingen.
Etter neste synkronisering vises endringene i brukerliste i Control Hub og for brukere i Webex-appen etter at hurtigbufferen er oppdatert.
Det er ikke tap av data eller områder ved hjelp av denne metoden. Brukerens unike identifikator angis i skyen etter den første synkroniseringen. Alle etterfølgende synkroniseringer er basert på denne identifikatoren.
Hvis du vil endre brukerens e-postadresser mens du endrer domenet i en distribusjon med flere domener med Directory Connector (vurder på example1.com, det gamle domenet og example2.com som det nye domenet):
På Directory Connector gjenopptar du synkroniseringen for example2.com
Før du fortsetter, må du kontrollere at kontoen bruker1@example2.com synkroniseres til Control Hub. Vi anbefaler at du ber brukeren om å bekrefte e-postendringen i Webex-appen, og at alle data (områder, meldinger, møter, filer og så videre) beholdes.
Det er ingen tap av data eller områder ved hjelp av denne metoden, men i den nye brukerkonto må du sørge for at Active Directory -attributtet som tilordnes til sky-uid-attributtet, er bevart fra den gamle brukerkonto. Hvis du endrer Active Directory -verdien, beholder ikke den nye kontoen dataene fra den gamle kontoen.
Når du har bekreftet e-postadresse og dataene er intakte, sletter du den gamle brukerkonto på example1.com, og deretter bruker du Directory Connector til å gjenoppta synkroniseringen for example1.com.
På dette tidspunktet kan du trygt oppdatere e-postadresse i det nye Active Directory -domenet for bruker1@example2.com.
Katalogkobling begrenser ikke endringen av e-postdomene. Når brukeren resynkroniserer til skyen, avhenger imidlertid brukerstatusen av om det nye domenet er bekreftet i organisasjonen din. Hvis domenet ikke er bekreftet i organisasjonen din, endres brukerens status til Venter etter full synkronisering. Hvis du vil ha mer informasjon, se Administrer domenene dine .
Hvis organisasjonen din ikke bruker katalogkobling, kan du endre e-postadressene for Webex-appen via siden med kontoinnstillinger . Se Endre e-postadressen for kontoen din for trinn som brukere kan følge for å endre e-postadressene sine.
Endre Active Directory -domenet
Du kan bruke denne fremgangsmåten til å opprette nye domener og e-postadresser. De synkroniseres med identitetstjenesten i skyen.
| 1 | Konfigurer et nytt AD-domene ( Active Directory ). | ||
| 2 | Deaktiver synkroniseringer på alle kontaktene dine. | ||
| 3 | Avinstaller alle kontaktene dine. | ||
| 4 | Åpne store og små bokstaver for å endre domenet . I saksinnsendingen må du sørge for å be om fjerning av domenekonfigurasjonen og alle synkroniseringsattributter i organisasjonen.
| ||
| 5 | Etter at saken er løst: Utfør en testkjøring med Directory Connector før du utfører selve synkroniseringen. |
Domenekrav
Et domenekrav oppstår hvis du gjør krav på et e-postdomene for en organisasjon, slik at en eventuell skjenkkonto opprettes i den betalte kundeorganisasjonen og ikke i den gratis forbrukerorganisasjonen. Du kan bare gjøre et domenekrav gjennom en støttesak (se koblingen nedenfor for mer informasjon).
Hvis katalogkoblingen er aktiv og domenet gjøres krav på, opprettes ikke skjenkkontoer verken i kundeorganisasjonen eller i den gratis forbrukerorganisasjonen. Bare katalogkoblingen kan klargjøre kontoer for organisasjonen fra Active Directory. Informasjonen som er lagret i Active Directory , er den opprinnelige kilden. Hvis du prøver å legge inn en konto på skjenk, mottar den inviterte brukeren en feilmelding. Den eneste måten en invitert bruker kan legges til i et Webex-appområde, er først å bruke katalogkoblingen til å klargjøre kontoen i Control Hub.
Konverter gratis brukere av Webex-appen i en katalogsynkronisert organisasjon
Du kan bare bruke unike e-postadresser i katalogen for Webex-appen. Hvis brukerne dine har registrert seg for gratisversjonen av Webex-appen, finnes kontoen deres i den gratis forbrukerorganisasjonen. Hvis du vil administrere brukere i denne organisasjonen ved hjelp av Katalogkobling, må du overføre (konvertere) dem til kundeorganisasjonen før du slår på Katalogkobling. Deretter legger du til brukerne i Active Directory med den nøyaktige e-postadresse og synkroniserer til skyen.
Hvis du ikke konverterer kontoene før aktivering, må du slå av katalogkoblingen for å konvertere dem.
Hvis du prøver å konvertere en bruker mens katalogsynkronisering er aktivert, vises feilmelding<email address=""> kunne ikke konverteres
vises. Hvis du vil unngå problemet, kan du bruke disse trinnene som en løsning.
| Noen påståtte brukere kan dukke opp med Hvis du ikke legger til disse brukerne, blir alle slettet neste gang du synkroniserer til skyen. |
| 1 | Deaktiver katalogsynkroniseringen fra katalogkoblingen. | ||
| 2 | Følg Konverter ulisensierte brukere i Control Hub prosedyre for å konvertere brukeren fra den gratis forbrukerorganisasjonen til bedriftsorganisasjonen. Dette trinnet legger til brukeren i organisasjonen, og kontoen vises i Control Hub. Katalogkobling gjør Active Directory til den eneste sannheten for brukerkontoer, og målet er å ha nøyaktig samsvar mellom Active Directory og Control Hub. Kontroller at det finnes samsvarende brukere i Active Directory for eventuelle nylig konverterte brukere før du aktiverer synkroniseringen på nytt. En testsynkronisering kan brukes til å sikre at det ikke finnes gjenværende brukere uten samsvar. | ||
| 3 | Utfør en tørrkjøringssynkronisering på Directory Connector. Når testkjøringen er fullført, kontrollerer du fanen Legg til objekter. Kontroller at brukere du konverterte, ikke har blitt slettet.
| ||
| 4 | Når du er sikker på at neste synkronisering ikke fjerner noen kontoer, aktiverer du katalogsynkronisering på nytt fra Katalogkobling. |
Konverterte brukerkontoer aktiveres ikke automatisk hvis du ikke har bekreftet et domene. Hvis du for eksempel har aktivert malen for automatisk tilordning av lisenser og deretter aktivert Katalogkobling uten domenebekreftelse, er konverterte brukere inaktive i skyserveren til de bekrefter e-postadressene sine.
Brukerkontoer for Webex-appen med skjenk
Når du inviterer en annen bruker til et område i Webex-appen, og den inviterte brukeren ikke har en Webex-appkonto, opprettes det en konto for brukeren ("skjekk"). Som standard legges kontoer som opprettes på denne måten til i den gratis forbrukerorganisasjonen.
Hvis du vil administrere den skjenkede kontoen ved hjelp av Directory Connector, må du konvertere kontoen .
Endre format for brukernavn for Webex-appen etter katalogsynkronisering
Som standard tilordner Directory Connector attributtet displayName i Active Directory til displayName-attributtet i skyen.
Etter at du har utført en katalogsynkronisering, kan du oppleve at brukernavn vises i formatet<lastName, firstName=""> .
Dette brukernavnet kan vises hvis displayName-attributtet i Active Directory er konfigurert på denne måten. Når attributtet er tilordnet til displayName i skyen vises navn i formatet<lastName, firstName=""> i Control Hub.
Hvis du vil endre formatet, i skjermbildet for tilordning av attributter for Directory Connector: tilordne Active Directory -attributtet givenName sn(eller sn givenName) til displayName i Cisco Cloud Attribute Names.
Du kan også tilordne attributtet sn givenName til displayName:
Du kan også bruke alternativet Tilpass attributt hvis du vil tilordne ditt eget tilpassede attributtuttrykk til displayName.
Angi for eksempel givenName + "" + sn(fornavn, mellomrom, etternavn) som uttrykk. Dette tilordner de to attributtene i Active Directory til displayName i skyen.
Tillat brukere å endre visningsnavn i Webex Meetings
Du kan oppheve tilordningen av displayName-attributtet fra synkronisering til skyen i Directory Connector hvis du vil la brukere redigere sine foretrukne visningsnavn. Brukere kan angi et visningsnavn som skal vises under Webex-møter i stedet for for- og etternavnet. Administratorer kan også endre visningsnavn for en bruker manuelt i Control Hub.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tilordning av brukerattributter . |
| 2 | Velg visningsnavn under Navn på Cisco Cloud . |
| 3 | Velg Ikke synkroniser dette attributtet . |
Hva nå?
Brukere kan nå redigere visningsnavnene fra Webex-nettsted .
Oppgrader til den nyeste programvareversjonen
For å holde distribusjonen i samsvar og få de nyeste funksjonene, funksjonaliteten, feilrettinger og sikkerhetsforbedringer, må du alltid oppgradere til den nyeste versjonen av Directory Connector. Hvis du ikke oppgraderer til den nyeste versjonen som er tilgjengelig, kan du få problemer, for eksempel at Directory Connector ikke lenger synkroniserer riktig eller bruker en versjon som ikke støtter det obligatoriske TLS 1.2-krav .
Katalogkobling varsler deg automatisk når en ny versjon er tilgjengelig. Oppgrader alltid til den nyeste versjonen for å unngå problemer. Du ser også et varsel på oppgavelinjen i Windows.
| Selv om du kan installere oppdateringer for koblingsprogramvare manuelt, anbefaler vi at du følger trinnene i Angi automatiske oppgraderinger for å la appen administrere oppgraderingene dine automatisk. |
| 1 | Klikk på varselet på oppgavelinjen i Windows, eller høyreklikk på Katalogkobling-ikonet på oppgavelinjen i Windows for å starte oppgraderingsprosessen. |
| 2 | Følg instruksjonene for å fullføre oppgraderingen. |
| 3 | Start koblingen på nytt, og logg på med administratorlegitimasjonen din. |
| 4 | Kontroller versjonsnummeret til programvaren under . |
Hva nå?
For en ny installasjon av Directory Connector kan du laste ned zip-filen og følg deretter installasjonstrinnene i denne veiledningen.
Konfigurer generelle innstillinger for Directory Connector
Bruk denne fremgangsmåten til å konfigurere generelle innstillinger, for eksempel navnet på serveren som kjører Directory Connector, loggnivåer, automatiske oppgraderinger og foretrukne innstillinger for domenekontrollerne. Navnet på kontakten vises på instrumentbordet i koblingsdelen, sammen med eventuelle andre kontakter som kjører.
| 1 | Fra Katalogkobling går du til Konfigurasjon , og klikk deretter Generelt . | ||
| 2 | I Koblingsnavn -feltet, skriver du inn kontaktnavnet. Dette feltet viser bare datamaskinnavnet som for øyeblikket kjører kontakten. | ||
| 3 | Velg loggnivå fra rullegardinlisten. Som standard er loggnivået satt til info . De tilgjengelige loggnivåene er:
| ||
| 4 | Velg Foretrukne domenekontrollere for å angi rekkefølgen på domenekontrollere for synkronisering av identiteter. Domenekontrollerne er tilgjengelige fra topp til bunn. Hvis den øverste kontrolleren ikke er tilgjengelig, velger du den andre kontrolleren på listen. Hvis ingen kontroller er oppført, har du tilgang til primærkontrolleren. | ||
| 5 | Sjekk Oppgrader automatisk til den nye versjonen av Cisco Directory Connector hvis du vil at automatiske oppgraderinger skal skje. Det er alltid viktig å holde Cisco Directory Connector-programvaren oppdatert til den nyeste versjonen. Vi anbefaler at du kontrollerer denne innstillingen for å tillate at automatiske oppgraderinger av programvaren installeres stille når de er tilgjengelige. | ||
| 6 | Sjekk LDAP over SSL for å bruke sikker LDAP (LDAPS) som tilkoblingsprotokoll.
LDAP (Lightweight Directory Application Protocol) og Secure LDAP (LDAPS) er tilkoblingsprotokollene som brukes mellom et program og domenekontrolleren i infrastrukturen. LDAPS-kommunikasjon er kryptert og sikker. |
Konfigurer koblingspolicyen
Du kan angi maksimalt antall slettinger som kan skje under synkronisering. Når du kjører synkronisering, slettes ikke objekter fra den lokale Active Directory. Alle objekter slettes bare fra skyen.
Du angir for eksempel 1 som utløserverdi for sletteterskel. Når du foretar full eller trinnvis synkronisering, og antallet brukere du vil slette er mer enn innstillingen, viser katalogkontakten en advarsel. Hvis du klikker Overstyr terskel , kan du starte full eller trinnvis synkronisering, men du vil se dette overstyringsvarselet neste gang du kjører policyen.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Retningslinjer . | ||
| 2 | Sjekk Aktiver utløser for sletteterskel hvis du vil legge til en terskelutløser. Hvis du velger dette alternativet, utløses et varsel hvis antall slettinger overskrider terskelen. Når slettekontoen overskrider den du angir, mislykkes synkroniseringen.
| ||
| 3 | Angi maksimalt antall slettinger du vil bruke. Standarden er 20.
| ||
| 4 | Klikk på Bruk. |
Angi tidsplan for kobling
Angi tidspunkt for synkronisering i Active Directory. Failover brukes for høy tilgjengelighet (HA). Hvis én kontakt er nede, bytter vi til en annen standby-kontakt etter det forhåndsdefinerte intervallet.
| 1 | Fra Katalogkobling klikker du på Konfigurasjon , og velg deretter Tidsplan . |
| 2 | Angi Inkrementelt synkroniseringsintervall på minutter. Som standard er en trinnvis synkronisering angitt til å skje hvert 30. minutt. Den fullstendige trinnvise synkroniseringen skjer ikke før du først utfører en fullstendig synkronisering. |
| 3 | Endre Send rapporter per… gang verdi hvis du vil endre hvor ofte rapporter sendes. |
| 4 | Sjekk Aktiver tidsplan for full synkronisering for å angi dagene og tidspunktene du vil at en full synkronisering skal skje. |
| 5 | Angi Failover-intervall på minutter. |
| 6 | Klikk på Bruk. |
Flere domenescenarier
Flere domener er basert på domeneprioritet. For objekter som har samme nøkkelverdi i forskjellige domener, etter synkronisering, vil dataene fra domenet med høyere prioritet skrive om dataene fra domenet med lavere prioritet.
Objekter som har samme nøkkelverdi, kobles til én oppføring i databasen.
Nøkkelverdien for «Bruker» er E-postadresse ; nøkkelverdien for «Gruppe» er Gruppenavn .
Eksempel på bruksanvisning for flere domener
Dette eksemplet forutsetter en organisasjon med to domener – eksempel1.com og eksempel2.com, i prioritert rekkefølge.
Legg til bruker1(e-post: bruker@example1.com) til Active Directory for eksempel1.com.
Legg til gruppe1(Gruppenavn: Test) til Active Directory for example1.com.
Legg til bruker2(e-post: bruker@example2.com) til Active Directory for eksempel2.com.
Legg til gruppe2(Gruppenavn: Test) til Active Directory for example2.com.
- Synkronisering på example1.com
-
Som et brukscase er bruker2 og gruppe2 synkronisert til skyen og vises ihttps://admin.webex.com , mens bruker1 og gruppe1 ikke er det.
Hvis du utfører en fullstendig eller trinnvis synkronisering for example1.com, synkroniseres bruker1 og gruppe1. Dessuten overskrives bruker2 og gruppe2 av informasjonen til bruker1 og gruppe1.
Bruker1 kobler til bruker2 som den samme oppføringen i databasen; gruppe1 kobler gruppe2 som den samme oppføringen i databasen.
- Synkronisering på example1.com og example2.com
-
Som et brukscase er bruker2 og gruppe2 synkronisert til skyen og vises ihttps://admin.webex.com , mens bruker1 og gruppe1 ikke er det.
Vurder disse trinnene:
- Slett bruker1 og gruppe1 i Active Directory for example1.com.
- Utfør en fullstendig eller trinnvis synkronisering for eksempel1.com.
Resultat: brukerens informasjon endres ikke ihttps://admin.webex.com . Bruker2 er ikke koblet til bruker1, og gruppe2 er ikke koblet til gruppe1.
- Utfør en trinnvis synkronisering for example2.com.
Resultat: brukerens informasjon endres ikke ihttps://admin.webex.com .
- Utfør en fullstendig synkronisering for example2.com.
Resultat: Informasjonen til bruker2 og gruppe2 er oppført ihttps://admin.webex.com .
Synkronisere et nytt domene og behold et eksisterende domene
Hvis du vil synkronisere et nytt domene (B) mens du opprettholder de synkroniserte brukerdataene på et annet eksisterende domene (A), må du sørge for at du installerer Directory Connector for domene (B)-synkronisering på en støttet Windows-server. Koblingen bindes til det nye domenet etter det første oppsettet, og brukerinformasjon under domene (A) forblir upåvirket.
Hvert domene må ha sin egen aktive kobling. Vurder to domener med følgende oppsett: domene A med kontakter (ca1) og (ca2) for lokal høy tilgjengelighet (HA); domene B med kontakt (cb1). (ca1) og (ca2) betjener domene A. I dette scenariet er én kontakt aktiv og den andre i ventemodus (HA). Denne utformingen holder domenet synkronisert, fordi én kobling alltid er aktiv. Så cb1 er den aktive kontakten for domene B, fordi domene A allerede har en aktiv kontakt (ca1 eller ca2).
Angi domeneprioritet
Bruk denne fremgangsmåten til å endre prioriteten til Active Directory -domenene dine. Domeneprioritet lar deg bestemme primærdomenet, sekundært domene og så videre. Dette hjelper når to brukere fra to forskjellige domener har samme e-postverdi synkronisert til én organisasjon.
Ikke bruk denne fremgangsmåten hvis du har ett enkelt domene oppført i katalogkoblingen. Hvis du prøver, viser koblingen deg en melding om at domeneprioritet ikke er nødvendig.
Før du starter
Hvis du vil unngå feil, installerer eller oppgraderer du til den nyeste versjonen av Cisco-katalogkontakt. Du må laste den ned frahttps://admin.webex.com .
| 1 | Fra Cisco-katalogkontakt klikker du på Instrumentbord . | ||
| 2 | Gå til Handlinger , og klikk deretter Angi domeneprioritet . | ||
| 3 | Uthev ett domene i listen, klikk på Opp eller Ned for å endre dette domenets prioritet, og klikk deretter på Lagre for å lagre denne endringen.
|
Bytt domener
Bruk denne fremgangsmåten til å koble Cisco-katalogkontakten til et annet domene på nytt.
Før du starter
Kontroller at ingen synkroniseringsoppgaver kjører før du bytter domener.
Hvis du vil unngå feil, installerer eller oppgraderer du til den nyeste versjonen av Cisco-katalogkontakt. Du må laste den ned fra Kontrollhub .
| 1 | Fra Cisco-katalogkontakt klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter Bytt domene . |
| 3 | Når du har lest advarselen, hvis du forstår hvilken innvirkning denne endringen har på distribusjonen, og du fortsatt er sikker, klikker du på Ja . Hvis du bytter domene, blir du logget av den gjeldende Cisco-katalogkontakten, andre domener i kontakten blir avregistrert, og kontaktinformasjonen på den datamaskinen slettes. |
| 4 | Logg på Cisco-katalogkontakten igjen, og bind domenet på nytt. |
Slå av katalogsynkronisering
Hvis du må stoppe synkroniseringen fra Directory Connector, kan du midlertidig slå den av fra Control Hub.
| 1 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Katalogsynkronisering , og velg deretter én:
|
| 2 | Når du har lest ledeteksten, klikker du på Slå av . Synkroniseringen stopper til du aktiverer den på nytt fra Katalogkobling. |
Fjern tilordning av brukerattributter
Bruk Katalogkobling til å fjerne tilordningen for Active Directory -attributter som tidligere var tilordnet til skyen og synkronisert til Webex. Når du har fjernet attributtilordningen, fjernes attributtverdiene fra skyen og synkroniseres ikke lenger til Webex. Disse verdiene kan deretter redigeres manuelt.
| 1 | Fra Katalogkobling klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter . |
| 3 | Velg tilordningen som skal fjernes fra Attributtnavn listen. |
| 4 | Under Berørt brukeromfang , velger du ett av følgende:
|
| 5 | Klikk på Bruk. |
Behandle profilbilder
Bruk Katalogkobling til å oppdatere brukerprofil eller til å fjerne tomme brukerprofil .
| 1 | Fra Katalogkobling klikker du på Instrumentbord . |
| 2 | Gå til Handlinger , og klikk deretter . |
| 3 | Under Handlinger , velger du ett av følgende:
|
| 4 | Klikk på Bruk. |
Avinstaller og deaktiver katalogkobling
Når du har avinstallert en forekomst av Directory Connector, må du avregistrere den. Fjern en katalogkobling fullstendig for disse scenariene:
Du vil ikke bruke katalogsynkronisering lenger.
Du vil ikke bruke én av flere katalogkoblinger (høy tilgjengelighet).
Du vil endre domenet og installere en annen kobling.
Før du starter
Du kan ha flere forekomster av Directory Connector konfigurert for synkronisering med høy tilgjengelighet (HA) eller flere domenesynkronisering. Deaktiver synkroniseringen hvis du avinstallerer den eneste eller siste gjenværende forekomsten av Directory Connector.
Lagre og lukk viktig arbeid før du avinstallerer Directory Connector.
| 1 | Fra Windows-maskinen går du til Kontrollpanel, og klikker deretter på Programmer og funksjoner . |
| 2 | Fra programlisten klikker du på Katalogkobling , velg Avinstaller , og følg deretter ledeteksten. Du må kanskje starte systemet på nytt for å fullføre avinstallasjonen. |
| 3 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Katalogsynkronisering , klikk mer |
| 4 | Når du har lest ledeteksten, klikker du på Deaktiver . Med mindre det finnes en annen katalogkobling i en distribusjon med høy tilgjengelighet (HA), synkroniseres ikke brukerkontoer lenger. |
Kjør diagnoseverktøyet
Du kan bruke det innebygde feilsøkingsverktøyet til å feilsøke Directory Connector-distribusjonen. Dette verktøyet er installert som en del av Directory Connector 3.4 og nyere.
Hvis synkroniseringen ikke fungerte som den skal, kan det hende du har en konfigurasjons- eller nettverksfeil. Dette verktøyet tester tilkoblingen din til LDAP slik at du kan diagnostisere feil selv før du kontakter kundestøtte. Hvis verktøyet returnerer en feil, kan du sende de detaljerte loggresultatene til kundestøtte.
Slik kjører du tester for Active Directory -domenetjenester:
Slik kjører du tester for Active Directory Lightweight Directory-tjenester:
Slik kjører du tester for LDAP ( Lightweight Directory Access Protocol ):
Feilsøking og rettelser for Directory Connector
Du kan støte på en feilmelding eller et annet problem i Directory Connector. Etter at Directory Connector synkroniserer brukerinformasjon, kan det også hende at koblingen sender deg en e-postrapport som viser eventuelle problemer med synkroniseringen. Se avsnittene nedenfor for problemer som kan oppstå, mulige årsaker og forslag til løsninger du kan prøve før du kontakter kundestøtte.
Installerer
Katalogkobling sluttet å fungere
Du mottok e-postvarsel som varsler deg om at katalogkoblingen ikke fungerer.
Katalogkobling er kanskje ikke riktig installert.
Directory Connector kjører kanskje ikke.
Nettverket er kanskje ikke tilgjengelig.
Prøv følgende:
Åpne . Finn Katalogkobling. Hvis den ikke er der, laster du ned den nyeste versjonen fra Control Hub og installerer den.
Åpne Tjeneste og finn Cisco DirSync-tjeneste. Kontroller at den viser statusen som Startet . Hvis tjenesten er stoppet, høyreklikk du og velger Start for å starte tjenesten på nytt.
Kontroller at serveren du installerte katalogkoblingen på, har tilgang til Internett.
Feil ved reinstallasjon
Problem –Hvis du umiddelbart installerer en ny kontakt etter at du har avinstallert en gammel, kan det hende at du ser en feilmelding.
Mulig årsak – I Windows Server 2012 trenger avinstallasjonsklienten tid til å slette tjenestekonto fra tjenestelisten.
Løsning – Når det har gått litt tid, kan du prøve installasjonen på nytt.
Logg på
Katalogkobling krasjer under SSO-pålogging
Problem
Katalogkobling kan krasje etter at du angir en e-postadresse fra en SSO-påloggingsside.
Løsning
Prøv følgende:
Gjør følgende for å konfigurere en ny gruppepolicy:
Gå til domenekontrolleren og åpne administrasjon av gruppepolicy (gpedit.msc).
Høyreklikk på en bestemt organisasjonsenhet eller et bestemt domene, og velg Opprett et GPO på dette domenet , og Koble den her…
Gi retningslinjen et navn, høyreklikk og velg Rediger .
Gjør følgende for å endre policyen på maskinnivå:
Gå til , høyreklikk Register , velg Nyhet , og deretter Registerelement .
For Nøkkelbane , angi eller gå til HKEY_ LOKALT_ MASKIN\SOFTWARE\Microsoft\ Internet Explorer\Main .
Oppgi
Disable Script Debuggerfor Verdi , og anginofor Verdidata .Innstillingene skal samsvare med dette skjermbildet:
Gjør følgende for å endre retningslinjene på brukernivå:
Gå til , høyreklikk Register , velg Nyhet , og deretter Registerelement .
For Nøkkelbane , angi eller gå til HKEY_ GJELDENDE_ BRUKER\SOFTWARE\Microsoft\ Internet Explorer\Main .
Oppgi
Disable Script Debuggerfor Verdi , og anginofor Verdidata .Innstillingene skal samsvare med dette skjermbildet:
| Endringene trer i kraft etter at du har kjørt |
Kunne ikke registrere Cisco DirSync Service Connector
Problem
Pålogging mislykkes, og denne meldingen vises: «Kunne ikke registrere Cisco DirSync Service Connector.»
Løsning
Windows-systemet som Directory Connector er installert på, må være medlem av Active Directory.
Det vises ingen påloggingsside
Problem
Du åpnet Directory Connector, og påloggingssiden ble ikke vist.
Løsning
Prøv følgende trinn:
I Internet Explorer går du tilhttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL . Prøv koblingen i andre nettlesere som Chrome og Firefox.
Hvis Internet Explorer ikke kan besøke koblingen, men andre nettlesere kan, kontrollerer du innstillingene for Internet Explorer og merker av for TLS 1.1 og 1.2. (Bruk Aktiver TLS i Internet Explorer prosedyre.)
Melding om pålogging vises
Problem
Det vises en melding som ber deg om å angi brukernavn og passord for å sende godkjenningen.
Mulig årsak
Katalogkoblingen fullfører NTLM-sikkerhetsgodkjenning lydløst med påloggingskontoen. Hvis autentiseringen mislykkes, vises en dialogboks der du blir bedt om brukernavn og passord for autentiseringen.
Løsning
Når du ser popup-vinduet for pålogging, må du oppgi en gyldig konto med riktig autentisering for å sende sikkerhet.
Kan ikke koble til den eksterne serveren
Problem
Under normal drift vises feilmelding : «Kan ikke koble til den eksterne serveren.»
Mulig årsak
Du kan ha proxy-problemer som må løses.
Løsning
Se Feilsøke innloggingsproblemer for tjenestekonto for mer feilsøkingsinformasjon.
Kan ikke registrere koblingen
Problem
Du ser feilmelding «Kan ikke registrere kontakten. Det oppstod et generelt unntak.»
Mulig årsak
I de fleste tilfeller skyldes problemet at katalogkoblingen ikke har tillatelse til å koble til LDAP-rotkontekst.
Løsning
Prøv følgende:
Kjør en ledetekst (cmd), og skriv deretter inn ldp.exe .
Klikk på , velg Bind som pålogget bruker , og klikk deretter OK .
Klikk på , angi DC=arbonneintl,DC=ad som BaseDN, og klikk deretter OK .
Hvis problemet vedvarer, åpne en sak med støtte .
Synkronisering
Avatarer ikke synkronisert
Problem
Cisco-katalogkoblingen synkroniserte bruker-AD-data til Webex-skyen. Men ingen avatardata ble synkronisert.
Mulig årsak
Hvis du brukte en eksisterende avatarserver på nytt og brukeravatarene allerede var synkronisert, registrerer den lokale hurtigbufferen dem og unngår å sende på nytt for å spare båndbredde.
Løsning
Slett den lokale hurtigbufferen ved å følge denne fremgangsmåten:
Gå til C:\Program Files (x86)\ Cisco Systems\Cisco Directory Connector\Plugins\
Slett DirSyncPluginAvatar.dll-cache.bin .
Kjør avatarsynkroniseringen på nytt fra Cisco-katalogkontakten.
Motstridende e-postkontoer for brukere
Problem
Synkroniseringsresultater kan vise motstridende e-postkontoer for brukere.
Hvis brukere prøvde gratisversjonen av Webex-appen, ligger e-postadressene deres i den gratis forbrukerorganisasjonen.
Hvis brukere-e-poster noen gang ble synkronisert i en annen organisasjon.
Hvis e-postadresser for brukere finnes i flere domener som tilhører organisasjonen.
Løsning
Prøv følgende:
Følg denne fremgangsmåten hvis du prøver å gjøre krav på brukere:
Kontroller at du har bekreftet domenet i Control Hub .
Deaktiver Cisco-registerkobling midlertidig.
Bruk alternativet Krev bruker i Control Hub til å gjøre krav på alle kontoer som finnes i den gratis forbrukerorganisasjonen. Se Krev brukere til organisasjonen din (Konverter brukere) hvis du vil ha mer informasjon.
Gjør en tørrkjøring i Cisco Directory Connector, og aktiver deretter katalogsynkronisering på nytt
I det siste tilfellet dobbeltsjekker du brukerdataene i Active Directory -kildene.
Konvertert bruker merket som inaktiv
Problem
I det synkroniserte katalogmiljøet konverterte du en gratis bruker (forbrukerorganisasjon) til bedriftsorganisasjonen, men den konverterte brukeren kan ikke logge på Webex-appen.
Mulig årsak
Når den gratis brukeren konverteres til bedriftsorganisasjonen, merkes brukeren som inaktiv status i 30 dager som et sikkerhetstiltak. I løpet av denne perioden kan ikke brukeren logge på Webex-appen og merkes for sletting på slutten av 30-dagersperioden. Denne situasjonen oppstår fordi den gratis brukerinformasjon ikke finnes i Active Directory.
Løsning
Du må iverksette tiltak hvis du ikke vil at brukerkonto skal slettes. Du kan løse dette problemet ved å opprette en brukerkonto i den lokale Active Directory som tilsvarer den konverterte gratis brukerkonto. Deretter utfører du en synkronisering fra Cisco-registerkoblingen. Deretter kan brukeren logge på Webex-appen igjen, og kontoen blir ikke slettet.
Inkrementell synkronisering mislykkes
Problem
En trinnvis synkronisering mislykkes.
Dette problemet kan oppstå på Windows Server 2008 R2 under følgende forhold:
Du støtter trinnvise verdioppdateringer.
Filteret du bruker, refererer til et koblet verdiattributt.
Resultatverdiene for dette attributtet ble oppdatert siden forrige gang en full synkronisering ble utført.
Løsning
Windows Server 2008 R2 har en feil som er relatert til dette problemet. Feilen er rettet i 2012 R2 og nyere. Vi anbefaler at du oppgraderer Windows Server til minst 2012 R2.
Ugyldig verdi for attributt
Problem
For [user dn (distinguished name)] har attributtet [attribute name] følgende ugyldig verdi [attributtverdi].
Mulig årsak
For CN=b,OU=Employees,OU=C Users,DC=c,DC=com, har attributtet [telefonnummer] følgende ugyldig verdi: +. Dette attributtet må inneholde minst ett tall.
Løsning
Et attributt for denne brukeren har ikke en gyldig verdi. Rett verdien i henhold til beskrivelsen i advarselsmelding. Utfør deretter en ny synkronisering.
Samsvarende brukere som skal slettes
Problem
De samsvarende brukerne er merket for å bli slettet.
Når du utfører en tørrkjøringssynkronisering for å sjekke dataene mellom Active Directory og skyen, kan det hende du ser den samme e-postadresse i begge. Brukeren er imidlertid merket som et objekt som skal slettes.
Løsning
Velg en passende løsning:
Hvis det er greit å slette brukeren og gjøre om lisensene etterpå, kan du bruke Katalogkobling for å løse problemet. Utfør en synkronisering for å slette brukeren, og utfør deretter en ny synkronisering for å synkronisere brukeren fra lokal AD til skyen.
Hvis du ikke kan slette og opprette brukerkonto på nytt, åpne en sak med støtte .
Mangler attributt
Problem
Det obligatoriske attributtet [attribute_name ] når du legger til en lokal oppføring [user dn (distinguished name)]. Oppføringen opprettes ikke i Control Hub før alle obligatoriske attributter har en verdi.
Mulig årsak
E- e-postadresse for det obligatoriske attributtet mangler. Når du legger til den lokale oppføringen [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], opprettes ikke oppføringen i Control Hub før alle obligatoriske attributter har en verdi.
Løsning
Ett av de obligatoriske attributtene mangler for brukeren [user_email_address ]. Angi de nødvendige verdiene for denne brukeren.
Nestet gruppe vil ikke synkroniseres
Problem
Brukere i en nestet Active Directory -gruppe synkroniseres ikke riktig til skyen.
Mulig årsak
Det brukes et filter som inkluderer både den underordnede gruppen og den overordnet gruppe, noe som ikke støttes. For eksempel: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Løsning
Du må konfigurere filteret som synkroniserer grupper på nytt. For eksempel: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
Brukernavnekonflikt
Problem
Det er en navnekonflikt for [user dn] for et eksisterende skyoppføringsobjekt med navnet: [user e-postadresse], og av brukertype [user_type ].
Mulig årsak
En bruker med den e-postadresse finnes allerede i Control Hub.
Løsning
Opprett en bruker i Active Directory med samme e-postadresse som kontoen du registrerte via Control Hub.
Control Hub
Brukerliste mangler i Control Hub
Problem
Hvis du har en Webex-organisasjon med mer enn 1000 synkroniserte brukere, kan det hende at du ikke ser brukerliste i Control Hub.
Løsning
Du kan bruke søkefunksjonen til å finne en brukerkonto. I Control Hub går du til Brukere , klikk på søk , og angi deretter søkekriterier for å finne en bestemt bruker.
Grupper vil ikke synkroniseres til Control Hub
Problem
Brukere i en kataloggruppe synkroniseres ikke riktig til Control Hub.
Mulig årsak
Gruppen er ikke merket som isCriticalSystemObject i Active Directory.
Løsning
Kontroller at attributtet isCriticalSystemObject er angitt til TRUE i Active Directory.
Aktiver feilsøking for katalogkobling
Du kan aktivere feilsøking for å diagnostisere eventuelle feil du støter på i Directory Connector. Feilsøking lar deg fange opp informasjon om nettverkstrafikken og lagre den i en fil.
Loggfilene som er: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 | Kjør | ||
| 2 | Start tjenesten på nytt. Se Slik starter du tjenester for veiledning. | ||
| 3 | I Katalogkobling klikker du på Instrumentbord . | ||
| 4 | Gå til Handlinger , og klikk deretter . | ||
| 5 | Når feilsøking er aktivert, gjentar du handlingene som forårsaket feilen. dette fanger opp trafikkdataene slik at de kan undersøkes. | ||
| 6 | Undersøk loggfilene: Hvis filen er tom, må du kontrollere at kontoen har tilgangsrettigheter til AD DS eller AD LDS.
| ||
| 7 | Send om nødvendig loggfil til kundestøtte for å få hjelp. | ||
| 8 | Deaktiver feilsøkingsfunksjonen når du er ferdig. |
Start Event Viewer
Hvis du vil se hendelsene som oppstod under en fullstendig eller trinnvis synkronisering, starter du Hendelsesliste. Den viser et sammendrag av administrative hendelser og feillogger.
| 1 | Fra Katalogkobling går du til Instrumentbord , og klikk deretter . Dialogboksen Egenskaper for hendelse viser detaljene for synkroniseringshendelsen og feilinformasjonen. |
| 2 | Fra Event Viewer, gå til .
|
| 3 | Under Handlinger , klikk Lagre alle hendelser som for å eksportere alle loggene som én enkelt hendelsesfil (*.evtx) eller et annet format, for eksempel xml eller csv. |
Hva nå?
Hvis du må åpne en sak, ta kontakt med kundestøtte , beskriv problemet med kontakten, og legg deretter ved hendelser-filen til saken.
| Hendelseslogger registrerer brukerhandlinger. Hvis du vil ha hjelp til å administrere nettverkstrafikk, aktiverer du feilsøking på kontakten. |
Aktiver TLS i Internet Explorer
Hvis du byttet leverandør av engangspålogging (SSO), kan det hende du ser følgende feilmeldinger fra Cisco-katalogkontakt:
Det oppstod en feil ved pålogging til tjenesten
Det har oppstått en feil i skriptet på denne siden
Hvis du ser disse feilene, må du aktivere en TLS-innstilling i nettleseren.
| 1 | Åpne Internet Explorer, og velg deretter Verktøy . Nå merker du av for TLS/SSL-versjonen du vil aktivere. Klikk på OK Lukk nettleseren og åpne den på nytt |
| 2 | Klikk på Alternativer for Internett , gå til Avansert , bla til Sikkerhet . |
| 3 | Sjekk Bruk TLS 1.1 og Bruk TLS 1.2 avmerkingsboksene, og klikk deretter på OK .
|
| 4 | Start systemet på nytt for at endringene skal tre i kraft. |
Feilsøke innloggingsproblemer for tjenestekonto
Hvis du ikke kan logge på Cisco-registerkontakt eller ikke kan kjøre en synkronisering, bruker du disse trinnene for å prøve å løse problemet før du kontakter kundestøtte.
| 1 | Prøv å besøkehttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL i nettleseren din. | ||
| 2 | Velg én, avhengig av resultatene:
| ||
| 3 | Kontroller som et minimum at den konfigurerte kontoen for Cisco DirSync-tjenesten (som finnes i Windows-tjenester) har et rettighetsnivå som gir den tilgang til avatardata og AD-data. Som standard bruker tjenesten påloggingsinformasjonen og autentiseringen for Windows-påloggingskontoen. |
Sjekk SafeDllSearchMode i Windows-registeret
Søkemodus for Safe dynamic link library (DLL) angis som standard i Windows-registret og plasserer brukerens gjeldende katalog senere i DLL-søkefølgen. Hvis denne modusen på en eller annen måte ble deaktivert, kan en angriper plassere en skadelig DLL (kalt det samme som en referert DLL-fil som ligger i systemmappen) i gjeldende arbeidskatalog for programmet.
Vanligvis er SafeDllSearchMode aktivert, men bruk denne fremgangsmåten til å dobbeltsjekke registerinnstillingene.
Før du starter
| Endringer i Windows-registret bør gjøres med ekstrem forsiktighet. Vi anbefaler at du tar en sikkerhetskopi av registeret før du bruker disse trinnene. |
| 1 | I Windows-søk eller Kjør-vinduet skriver du inn regedit og trykk deretter på Gå inn . |
| 2 | Gå til HKEY_ LOKALT_ MASKIN\System\CurrentControlSet\Control\Session Manager . |
| 3 | Velg én:
|
Hvis du vil ha mer informasjon, se Søkerekkefølge for dynamisk koblingsbibliotek .
