- Strona główna
- /
- Artykuł
Dziękujemy za opinię.
Przewodnik wdrażania łącznika usług katalogowych
W tym artykule
Opinia?Omówienie łącznika usług katalogowych
Łącznik usług katalogowych jest lokalną aplikacją do synchronizacji tożsamości w chmurze. Pobierasz oprogramowanie złącza z Control Hub i instalujesz je na lokalnym komputerze.
Dzięki łącznikowi usług katalogowych można utrzymywać konta użytkowników i dane w usłudze Active Directory, dzięki czemu usługa Active Directory staje się jedynym źródłem prawdy. Gdy dokonujesz zmiany w siedzibie firmy, jest ona replikowana w chmurze.
Zobacz wszystkie cechy, opisy i korzyści w tabeli:
| Funkcja | Opis i korzyść |
|---|---|
| Łatwy w użyciu deska rozdzielcza | Pulpit nawigacyjny zawiera harmonogram synchronizacji, podsumowanie i stan synchronizacji oraz stan łącznika usług katalogowych. Pulpit nawigacyjny można wyświetlić w dowolnym momencie logowania. |
| Przebieg na sucho przed synchronizacją z chmurą | Przeprowadź suchą serię zmian w katalogu, zanim zostaną one wprowadzone w chmurze. Następnie uruchom raport, aby zobaczyć, że zmiany, które chcesz wprowadzić są to, czego oczekujesz. |
| Pełna i stopniowa synchronizacja | Synchronizuj cały katalog. Lub po prostu zsynchronizuj zmiany przyrostowe, aby zapisać moc przetwarzania i skrócić czas synchronizacji. |
Synchronizacja wielu domen (jednego lasu lub wielu lasów) |
Łącznik usług katalogowych obsługuje wiele domen pod jednym lasem lub pod wieloma lasami (bez potrzeby korzystania z usług LDS w usłudze AD). W przypadku przedsiębiorstw z wieloma domenami Active Directory można zainstalować łącznik usług katalogowych dla każdej domeny, powiązać każdą domenę z organizacją, a następnie zsynchronizować każdą bazę użytkowników z Webex. Centrum sterowania odzwierciedla stan, wyświetlając stan synchronizacji dla wielu łączników usług katalogowych, umożliwia wyłączenie synchronizacji dla określonej domeny i dezaktywację łącznika usług katalogowych we wdrożeniu o wysokiej dostępności. |
| Zaplanowana synchronizacja | Ustaw harmonogram synchronizacji według dnia, godziny i minuty. |
| Filtry Lightweight Directory Access Protocol (LDAP) | Zdefiniuj kryteria wyszukiwania LDAP i zapewnij skuteczny import. |
| Mapowanie atrybutów usługi Active Directory | Mapuj atrybuty usługi Microsoft Active Directory do odpowiednich atrybutów chmury Webex. Można mapować atrybuty, które są istotne dla konfiguracji usługi Active Directory, a także zdefiniować atrybuty niestandardowe do mapowania w chmurze. Atrybuty w siedzibie tworzą różne dane w chmurze, takie jak informacje o koncie użytkownika, numery telefonów w usłudze Webex Teams, adresy SIP zasobu Room i inne dane karty kontaktu użytkownika (tytuł stanowiska, dział, menedżer itp.). |
Firmowa książka telefoniczna dla lokalnych zasobów Room i użytkowników Cisco Webex Calling (Cloud PSTN) i kontaktów korporacyjnych bez licencji Webex |
Jeśli część organizacji korzysta z usługi połączeń w chmurze Cisco Webex Calling PSTN lub masz lokalne urządzenia Room, ta funkcja umożliwia użytkownikom wyszukiwanie katalogu kontaktów firmowych z telefonów Cisco Webex Calling (Cloud PSTN) lub zasobów Room.
|
| Przeglądarka zdarzeń | Użyj przeglądarki zdarzeń, aby określić, czy wystąpiły jakieś problemy z synchronizacją. |
| Narzędzie diagnostyczne i rozwiązywanie problemów | Do rozwiązywania problemów z wdrożeniem Cisco Directory Connector można użyć wbudowanego narzędzia diagnostycznego. Jeśli synchronizacja nie działała prawidłowo, może wystąpić błąd konfiguracji lub sieci. To narzędzie testuje połączenie z usługą Active Directory, aby można było samodzielnie diagnozować błędy przed skontaktowaniem się z pomocą techniczną. Po włączeniu rozwiązywania problemów w łączniku usług katalogowych zapisywane są dzienniki, które można wysyłać do pomocy technicznej. |
| Automatyczne uaktualnianie | Po zainstalowaniu łącznika usług katalogowych wysyłane jest powiadomienie za każdym razem, gdy dostępna jest nowa wersja oprogramowania. Możesz skonfigurować automatyczne uaktualnienia, aby zawsze korzystać z najnowszej wersji oprogramowania po wydaniu nowej wersji. |
| Wysoka dostępność | Skonfiguruj wiele łączników tak, aby była kopia zapasowa, w przypadku, gdy główne złącze lub maszyna hostująca idzie w dół. |
Łącznik usług katalogowych jest podzielony na trzy obszary:
Control Hub to pojedynczy interfejs, który umożliwia zarządzanie wszystkimi aspektami organizacji Webex: wyświetlanie użytkowników, przypisywanie licencji, pobieranie łącznika usług katalogowych i konfigurowanie jednokrotnego logowania (SSO), jeśli chcesz, aby użytkownicy uwierzytelniali się za pośrednictwem dostawcy tożsamości przedsiębiorstwa i nie chcesz wysyłać zaproszeń e-mail do aplikacji Webex.
Interfejs zarządzania łącznikiem usług katalogowych to oprogramowanie pobierane z Control Hub i instalowane na zaufanym serwerze systemu Windows. W przypadku wielu domen usługi Active Directory można zainstalować jedną minutę oprogramowania dla każdej domeny, którą chcesz zsynchronizować. Za pomocą oprogramowania można uruchomić synchronizację, aby przenieść konta użytkowników usługi Active Directory do Webex, wyświetlać i monitorować stan synchronizacji oraz konfigurować usługi łącznika usług katalogowych.
Usługa synchronizacji katalogów każe usłudze Active Directory pobierać użytkowników i grupy w celu synchronizacji z usługą łącznika i łącznikiem katalogowym.
Zapoznaj się z tym schematem, aby poznać architekturę łącznika usług katalogowych:
Wymagania dotyczące łącznika usług katalogowych
Wymagania systemu Windows i usługi Active Directory
Łącznik usług katalogowych można zainstalować na tych obsługiwanych serwerach systemu Windows:
Windows Server 2012
Windows Server 2019
Windows Server 2016
 | Aby rozwiązać problem z plikami cookie, zalecamy uaktualnienie kontrolera domeny do wersji zawierającej poprawkę — Windows Server 2012 R2 lub 2016. |
Łącznik usług katalogowych jest obsługiwany przez następujące usługi Active Directory:
Active Directory 2016
(Łącznik usług katalogowych jest obsługiwany przy użyciu najnowszej wersji usługi Active Directory w systemie Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008
Zwróć uwagę na następujące dodatkowe wymagania:
Złącze usług katalogowych wymaga protokołu TLS1.2. Należy zainstalować następujące elementy:
.NET Framework v3.5 (wymagane dla aplikacji Directory Connector. Jeśli napotkasz jakiekolwiek problemy, użyj wskazówek w Enable .NET Framework 3.5 za pomocą Kreatora dodawania ról i funkcji.)
.NET Framework v.4.5 (wymagane dla TLS1.2)
Wymagany jest poziom funkcjonalny lasu usługi Active Directory 2 (Windows Server 2003) lub wyższy. (Aby uzyskać więcej informacji, zobacz Jakie Są Poziomy Funkcjonalne usługi Active Directory?).
Wymagania sprzętowe
Należy zainstalować łącznik usług katalogowych na komputerze z minimalnymi wymaganiami sprzętowymi:
8 GB pamięci RAM
50 GB pamięci
Brak minimum dla procesora
Wymagania sieciowe
Jeśli sieć znajduje się za zaporą, upewnij się, że Twój system ma dostęp HTTPS (port 443) do Internetu.
Wymagania organizacji Webex
Aby uzyskać dostęp do oprogramowania Directory Connector z Control Hub, konieczna jest organizacja Webex z subskrypcją próbną lub płatną.
(Opcjonalnie) Jeśli chcesz, aby nowe konta użytkowników aplikacji Webex były Aktywne przed pierwszym zalogowaniem, zalecamy, aby wykonać następujące czynności:
Dodaj, zweryfikuj i opcjonalnie zgłoś domeny zawierające adresy e-mail użytkownika, które chcesz zsynchronizować z chmurą.
Wykonaj integrację jednokrotnego logowania (SSO) dostawcy tożsamości (IdP) z organizacją Webex.
Zatrzymaj automatyczne zaproszenia e-mail, aby nowi użytkownicy nie otrzymywali automatycznego zaproszenia e-mail i mogli prowadzić własną kampanię e-mail. (Ta funkcja wymaga integracji SSO.)
| Aby uzyskać więcej informacji, zobacz Statusy użytkowników i działania w Control Hub. |
Wymagania dotyczące montażu
W przypadku środowiska wielu domen (jednego lasu lub wielu lasów) należy zainstalować jeden łącznik usług katalogowych dla każdej domeny usługi Active Directory. Jeśli chcesz zsynchronizować nową domenę (B), zachowując zsynchronizowane dane użytkownika w innej istniejącej domenie (A), upewnij się, że masz oddzielny obsługiwany serwer Windows do zainstalowania łącznika usług katalogowych do synchronizacji domeny (B).
Aby zalogować się do łącznika, nie wymagamy konta administracyjnego w usłudze Active Directory. Wymagamy konta użytkownika lokalnego, które jest tym samym użytkownikiem, co pełne konto administratora w Control Hub.
Ten użytkownik lokalny musi mieć uprawnienia na tej maszynie Windows, aby połączyć się z kontrolerem domeny i odczytać obiekty użytkowników usługi Active Directory. Konto logowania maszyny powinno być administratorem komputera z uprawnieniami do instalowania oprogramowania na maszynie lokalnej. (Te informacje dotyczą również logowania do maszyny wirtualnej).
Podczas logowania do łącznika konto logowania musi być takie samo jak pełne konto administratora w Control Hub. Domyślnie łącznik korzysta z lokalnego konta systemowego, aby uzyskać dostęp do usługi Active Directory. Za pomocą usług systemu Windows można jednak skonfigurować inne konto, aby uzyskać dostęp do usługi Active Directory. (Te informacje dotyczą również logowania do maszyny wirtualnej).
Upewnij się, że tryb wyszukiwania dynamicznej biblioteki łączy systemu Windows Safe (DLL) jest włączony przy użyciu tej procedury: Sprawdź SafeDllSearchMode w rejestrze systemu Windows.
Jeśli używasz usług LDS w usłudze AD do wielu domen w jednym lesie, zalecamy zainstalowanie łącznika usług katalogowych i usługi domenowej Active Directory/usług LDS w usłudze Active Directory (AD DS/AD LDS) na oddzielnych maszynach.
Wiele wymagań dotyczących domeny
Przed wykonaniem zadań w Cisco Directory connector Deployment Task Flow należy pamiętać o następujących wymaganiach i zaleceniach, jeśli chcesz zsynchronizować informacje Active Directory z wielu domen do chmury:
Dla każdej domeny wymagane jest osobne wystąpienie łącznika usług katalogowych.
Oprogramowanie Directory Connector musi działać na hostze, który jest w tej samej domenie, którą zostanie zsynchronizowany.
Zalecamy zweryfikowanie lub zgłoszenie domen w Control Hub. (zobacz Dodaj, zweryfikuj i zgłoś domeny).
Jeśli chcesz zsynchronizować więcej niż 50 domen, musisz otworzyć zgłoszenie , aby Twoja organizacja została przeniesiona na dużą listę organizacji.
W razie potrzeby można synchronizować informacje o zasobach pokojów z kontami użytkowników. (Zobacz Synchronizuj informacje o pokoju w siedzibie z chmurą Webex.)
Zalecenia grupy Active Directory dotyczące automatycznego przypisywania licencji
Grupy Active Directory służą do gromadzenia kont użytkowników, kont komputerowych i innych grup w jednostkach zarządzalnych. Praca z grupami zamiast z poszczególnymi użytkownikami pomaga uprościć konserwację sieci i administrację.
W usłudze Active Directory istnieją dwa rodzaje grup:
Grupy dystrybucyjne — służą do tworzenia list dystrybucyjnych wiadomości e-mail.
Grupy zabezpieczeń— używane do przypisywania uprawnień do udostępnionych zasobów.
Podczas tworzenia grup w usłudze Active Directory należy wziąć pod uwagę następujące wytyczne:
Utwórz grupę globalną dla każdej roli, działu lub usługi (takiej jak sprzedaż, marketing, menedżerowie, księgowi, licencje Webex itd.).
Użyj standardowych konwencji nazewnictwa w całej organizacji, aby ułatwić identyfikację ważnych informacji o grupie. Nazwy grup mogą zawierać szczegóły dotyczące grupy, takie jak poziom dostępu, rodzaj zasobów, poziom bezpieczeństwa, zakres grupy, możliwości poczty itd., na przykład nazwa grupy „GSG_Webex_Licensing_EMEAR” odnosi się do globalnej grupy zabezpieczeń użytkowników Webex Licensing EMEAR.
Zorganizuj grupy w łatwy do zrozumienia sposób, na przykład poprzez geografię lub hierarchię kierowniczą. Użyj opisów grupowych, aby w pełni opisać cel grupy.
Przed dodaniem użytkowników do nowo utworzonych grup zdefiniuj szablon grupy automatycznej licencji w Control Hub dla tych grup. Aby uzyskać więcej informacji, zobacz Konfigurowanie szablonu automatycznego przypisywania licencji.
Informacje o odbiorze
Łącznik usług katalogowych działa jako pomost między lokalnym usługą Active Directory a chmurą Webex. W związku z tym złącze nie ma górnego limitu liczby obiektów Active Directory, które można zsynchronizować z chmurą. Wszelkie limity obiektów katalogu lokali są powiązane z konkretną wersją i specyfikacjami środowiska usługi Active Directory, które jest synchronizowane z chmurą, a nie z samym łącznikiem.
Kilka czynników może mieć wpływ na szybkość synchronizacji:
Łączna liczba obiektów usługi Active Directory. (zadanie synchronizacji 5000 użytkowników nie potrwa tak długo, jak 50000.)
Prędkość sieci i przepustowość.
Obciążenie systemu i specyfikacje.
 | Jeśli synchronizujesz więcej niż 50000 użytkowników, zalecamy użycie drugiego złącza do przełączania awaryjnego i redundancji. |
| Ponieważ synchronizacja obejmuje kilka czynników, a poszczególne wdrożenia różnią się w zależności od powyższych czynników, nie możemy podać określonych wartości czasu, przez jaki czas synchronizacja obiektu potrwa. |
Sprawdź tryb SafeDllSearchMode w rejestrze systemu Windows
Tryb wyszukiwania bezpiecznej dynamicznej biblioteki linków (DLL) jest domyślnie ustawiony w rejestrze systemu Windows i umieszcza bieżący katalog użytkownika później w zleceniu wyszukiwania DLL. Jeśli ten tryb został jakoś wyłączony, napastnik może umieścić złośliwy DLL (nazwany tak samo jak odwołany plik DLL, który znajduje się w folderze systemowym) do bieżącego katalogu roboczego aplikacji.
Zazwyczaj tryb SafeDllSearchMode jest włączony, ale użyj tej procedury, aby dwukrotnie sprawdzić ustawienia rejestru.
Przed rozpoczęciem
 | Zmiany w rejestrze systemu Windows należy przeprowadzać z najwyższą ostrożnością. Przed wykonaniem tych czynności zalecamy utworzenie kopii zapasowej rejestru. |
| 1 | W oknie wyszukiwania systemu Windows lub oknie Uruchom wpisz regedit , a następnie naciśnij Enter. |
| 2 | Przejdź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 | Wybierz jedną z nich:
|
Aby uzyskać więcej informacji, zobacz Dynamic Link Library Search Order (Zlecenie wyszukiwania biblioteki dynamicznych łączy).
Web Proxy Integration
Web Proxy Integration
Jeśli uwierzytelnianie serwera proxy sieci WWW jest włączone w Twoim środowisku, nadal można używać łącznika usług katalogowych.
Jeśli Twoja organizacja korzysta z przejrzystego serwera proxy, nie obsługuje uwierzytelniania. Łącznik skutecznie łączy i synchronizuje użytkowników.
Można podjąć jedną z tych metod:
Wyraźny serwer proxy sieciowy za pośrednictwem przeglądarki Internet Explorer (łącznik dziedziczy ustawienia serwera proxy sieciowego)
Wyjaśnić serwer proxy WWW za pomocą pliku .pac (łącznik dziedziczy ustawienia serwera proxy specyficzne dla przedsiębiorstwa)
Transparent Proxy, który współpracuje ze złączem bez żadnych zmian
Używanie serwera proxy sieci Web W Przeglądarce
Łącznik usług katalogowych można skonfigurować w taki sposób, aby używał serwera proxy WWW za pośrednictwem przeglądarki Internet Explorer.
Jeśli usługa Cisco DirSync działa z innego konta niż obecnie zalogowany użytkownik, należy również zalogować się przy użyciu tego konta i skonfigurować serwer proxy WWW.
| 1 | Z przeglądarki Internet Explorer przejdź do opcji Internet, kliknij opcję Połączenia, a następnie wybierz Ustawienia sieci LAN. | ||
| 2 | Wskaż wystąpienie systemu Windows, w którym konektor jest zainstalowany na serwerze proxy WWW. Łącznik dziedziczy te ustawienia serwera proxy sieci WWW. | ||
| 3 | Jeśli w środowisku używasz uwierzytelniania proxy, dodaj te adresy URL do listy dozwolonych:
Możesz wykonać to zarówno w całej witrynie (dla wszystkich prowadzących), jak i tylko dla prowadzącego, który ma złącze.
| ||
| 4 | Jeśli środowisko wymaga żądania Listy cofania certyfikatów od organów certyfikatów, dodaj te adresy URL do dozwolonej listy:
Aby uzyskać więcej informacji, zapoznaj się z tym artykułem na temat domen i adresów URL, do których należy uzyskać dostęp w usługach Webex. |
Konfigurowanie serwera proxy sieci Web Za pośrednictwem pliku PAC
Przeglądarkę klienta można skonfigurować tak, aby używała pliku .pac. Ten plik zawiera adres serwera proxy sieci WWW i informacje o porcie. Łącznik usług katalogowych bezpośrednio dziedziczy konfigurację serwera proxy WWW specyficznego dla przedsiębiorstwa.
| 1 | Aby łącznik mógł skutecznie łączyć i synchronizować informacje o użytkowniku z chmurą Webex, upewnij się, że uwierzytelnianie serwera proxy jest wyłączone | ||
| 2 | Jeśli w środowisku używasz uwierzytelniania proxy, dodaj te adresy URL do listy dozwolonych:
Możesz wykonać to zarówno w całej witrynie (dla wszystkich prowadzących), jak i tylko dla prowadzącego, który ma złącze.
| ||
| 3 | Jeśli środowisko wymaga żądania Listy cofania certyfikatów od organów certyfikatów, dodaj te adresy URL do dozwolonej listy:
Aby uzyskać więcej informacji, zapoznaj się z tym artykułem na temat domen i adresów URL, do których należy uzyskać dostęp w usługach Webex. |
Proxy NTLM
Łącznik usług katalogowych obsługuje NT LAN Manager (NTLM). NTLM to jedna z metod obsługi uwierzytelniania systemu Windows wśród urządzeń domeny i zapewnienia ich bezpieczeństwa.
Projektowanie NTLM
W większości przypadków użytkownik chce uzyskać dostęp do innych zasobów stacji roboczej za pośrednictwem komputera klienckiego, co może być trudne do zrobienia w bezpieczny sposób.
Ogólnie projekt techniczny NTLM opiera się na mechanizmie Challenge
and Response
:
Użytkownik loguje się na komputerze klienckim za pośrednictwem konta Windows i hasła. Hasło nigdy nie jest zapisywane lokalnie. Zamiast zwykłego hasła tekstowego wartość skrótu hasła jest przechowywana lokalnie. Gdy użytkownik zaloguje się przy użyciu hasła do klienta, system Windows porównuje wartość zapisanego skrótu i wartość skróconą z hasła wejściowego. Jeśli oba są takie same, uwierzytelnianie przechodzi.
Gdy użytkownik chce uzyskać dostęp do dowolnego zasobu na innym serwerze, klient wysyła żądanie do serwera z nazwą konta w postaci zwykłego tekstu.
Po odebraniu żądania przez serwer wygeneruje losowy klucz 16-bitowy. Klucz nazywa się Challenge (lub Nonce). Przed ponownym wysłaniem przez serwer do klienta, wyzwanie jest przechowywane na serwerze. Następnie serwer wysyła wyzwanie klientowi w postaci zwykłego tekstu.
Gdy tylko klient otrzyma wyzwanie wysłane z serwera, szyfruje je według wartości skrótu, o której mowa w kroku 1. Po zakończeniu szyfrowania wartość jest wysyłana z powrotem na serwer.
Gdy serwer odbiera zaszyfrowaną wartość od klienta, serwer wysyła ją do kontrolera domeny w celu weryfikacji. Żądanie obejmuje: nazwę konta, zaszyfrowane wyzwanie, które wysłał klient, oraz oryginalne proste wyzwanie.
Kontroler domeny może pobierać wartości haseł zgodnie z nazwą konta. Następnie kontroler domeny może zaszyfrować oryginalne wyzwanie. Kontroler domana może następnie porównać z otrzymaną wartością skrótu i zaszyfrowaną wartością skrótu. Jeśli są takie same, weryfikacja powiodła się.
| System Windows posiada uwierzytelnianie zabezpieczeń wbudowane w system operacyjny, co ułatwia aplikacjom obsługę uwierzytelniania zabezpieczeń. W związku z tym nie trzeba dokończyć dalszej konfiguracji. |
Skonfiguruj przezroczysty serwer proxy
W tym scenariuszu przeglądarka nie jest świadoma, że przejrzysty serwer proxy przechwytuje żądania http (port 80/port 443) i nie jest wymagana konfiguracja po stronie klienta.
| 1 | Wdrożenie przejrzystego serwera proxy, dzięki czemu złącze może łączyć i synchronizować użytkowników. |
| 2 | Potwierdź, że serwer proxy działa pomyślnie — podczas uruchamiania złącza pojawi się okienko wyskakujące z uwierzytelnianiem w przeglądarce. |
Ustaw uwierzytelnianie serwera proxy
Dodaj adres URL cloudconnector.webex.com na dozwoloną listę, tworząc listę kontroli dostępu.
Na serwerze zapory firmowej:
| 1 | Włącz wyszukiwanie DNS, jeśli nie jest już włączone. |
| 2 | Określ szacowaną przepustowość dla tego połączenia (około 2 mb/s lub mniej dla złącza). Może to nie być wymagane. |
| 3 | Utwórz listę kontroli dostępu, która ma być zastosowana do hosta łącznika, i określ Na przykład: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
| 4 | Zastosuj ten układ ACL do odpowiedniego interfejsu zapory, który ma zastosowanie tylko do tego hosta pojedynczego złącza. |
| 5 | Upewnij się, że pozostali gospodarze w Twoim przedsiębiorstwie są nadal zobowiązani do korzystania z serwera proxy sieci Web poprzez skonfigurowanie odpowiedniego domyślnego oświadczenia odmowy. |
Przepływ zadań związanych z wdrażaniem łącznika usług katalogowych Cisco
Przed rozpoczęciem
| 1 | Zainstaluj łącznik usług katalogowych Control Hub początkowo pokazuje synchronizację katalogu jako wyłączoną. Aby włączyć synchronizację katalogu dla organizacji, należy zainstalować i skonfigurować łącznik usług katalogowych, a następnie pomyślnie wykonać pełną synchronizację. W przypadku nowej instalacji łącznika usług katalogowych zawsze przejdź do Control Hub ( https://admin.webex.com), aby uzyskać najnowszą wersję oprogramowania, dzięki czemu używasz najnowszych funkcji i poprawek błędów. Po zainstalowaniu oprogramowania uaktualnienia są zgłaszane za pośrednictwem oprogramowania i automatycznie instalowane, gdy są dostępne. |
| 2 | Zaloguj Się Do Łącznika Katalogowego Zaloguj się przy użyciu poświadczeń administratora Webex i wykonaj wstępną konfigurację. |
| 3 | Ustawianie automatycznych uaktualnień Zawsze ważne jest, aby oprogramowanie Directory Connector było aktualne do najnowszej wersji. Zalecamy skorzystanie z tej procedury, aby umożliwić automatyczne uaktualnienia do oprogramowania, które mają być zainstalowane cicho, gdy są dostępne. |
| 4 | Wybierz obiekty usługi Active Directory do synchronizacji Domyślnie Directory Connector synchronizuje wszystkich użytkowników, którzy nie są komputerami i wszystkich grup, które nie są krytycznymi obiektami systemowymi dla domeny. Aby uzyskać większą kontrolę nad synchronizacją obiektów, można wybrać określonych użytkowników do synchronizacji i określić filtry LDAP za pomocą strony Wybór obiektu w łączniku usług katalogowych. |
| 5 |
Atrybuty z lokalnego Active Directory można mapować do odpowiednich atrybutów w chmurze. Jedynym wymaganym polem jest *uid. |
| 6 | Synchronizuj awatary katalogu przy użyciu jednej z następujących procedur:
Można synchronizować awatary użytkowników z chmurą, tak aby po zalogowaniu się do aplikacji pojawiał się awatar każdego użytkownika. Awatary można sychronizować z atrybutu Active Directory lub serwera zasobów. |
| 7 | Synchronizuj informacje o pokoju w siedzibie z chmurą Webex Ta procedura służy do synchronizacji informacji o pomieszczeniu lokalnym z usługi Active Directory do chmury Webex. Po zsynchronizowaniu informacji o pokoju urządzenia w pomieszczeniach lokalnych ze skonfigurowanym, mapowanym adresem SIP są wyświetlane jako wpisy do wyszukiwania na urządzeniach w pokojach zarejestrowanych w chmurze, takich jak urządzenie Webex Room Device lub Cisco Webex Board |
| 8 | Aby Udzielać Użytkownikom usługi Active Directory Do Control Hub, wykonaj następujące czynności:
Postępuj zgodnie z tą sekwencją, aby zapewnić użytkownikom usługi Active Directory konta aplikacji Webex. Użytkownicy mogą udostępniać z wielu wdrożeń usługi Active Directory w wielu lasach lub domenach w usłudze Directory Connector 3.0 lub nowszej. Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować lub usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z wersji próbnej. Celem jest dokładne dopasowanie między aktywnymi katalogami a chmurą Webex. |
Zainstaluj łącznik usług katalogowych
Control Hub początkowo pokazuje synchronizację katalogu jako wyłączoną. Aby włączyć synchronizację katalogu dla organizacji, należy zainstalować i skonfigurować łącznik usług katalogowych, a następnie pomyślnie wykonać pełną synchronizację.
Należy zainstalować jedno złącze dla każdej domeny usługi Active Directory, którą chcesz zsynchronizować. Pojedyncze wystąpienie łącznika usług katalogowych może służyć tylko jednej domenie. Aby zrozumieć przepływ dla synchronizacji wielu domen, zobacz poniższy schemat:
Przed rozpoczęciem
Jeśli uwierzytelniasz się za pośrednictwem serwera proxy, upewnij się, że masz swoje poświadczenia serwera proxy:
W przypadku uwierzytelniania podstawowego serwera proxy po zainstalowaniu wystąpienia łącznika wprowadź nazwę użytkownika i hasło. Konfiguracja serwera proxy Internet Explorer jest również wymagana do uwierzytelniania podstawowego; patrz Używanie serwera proxy sieci Web Za Pomocą Przeglądarki
W przypadku serwera proxy NTLM może wystąpić błąd podczas pierwszego otwierania złącza. Zobacz Używanie serwera proxy sieci Web W Przeglądarce.
| 1 | W Control Hub przejdź do i wybierz Dalej. | ||
| 2 | Kliknij łącze Pobierz i zainstaluj , aby zapisać najnowszą wersję pliku .zip instalacji złącza na serwerze VMware lub Windows. Możesz uzyskać plik .zip bezpośrednio z tego łącza, ale musisz mieć pełny administracyjny dostęp do organizacji Control Hub, aby to oprogramowanie działało.
| ||
| 3 | Na serwerze VMware lub Windows rozpakuj i uruchom plik .msi w folderze konfiguracji, aby uruchomić kreatora konfiguracji. | ||
| 4 | Kliknij Dalej, zaznacz pole wyboru, aby zaakceptować umowę licencyjną, a następnie kliknij Dalej , aż zobaczysz ekran typu konta. | ||
| 5 | Wybierz typ konta usługi, którego chcesz używać i wykonać instalację za pomocą konta administratora:
Aby uniknąć błędów, upewnij się, że istnieją następujące uprawnienia:
| ||
| 6 | Kliknij przycisk Zainstaluj. Po uruchomieniu testu sieciowego i po wyświetleniu monitu wprowadź podstawowe poświadczenia serwera proxy, kliknij przycisk OK, a następnie kliknij przycisk Zakończ. |
Co zrobić dalej
Zalecamy ponowne uruchomienie serwera po instalacji. Raport z przebiegu suchego nie może pokazać poprawnego wyniku, gdy dane nie zostały opublikowane. Podczas ponownego uruchamiania maszyny wszystkie dane są odświeżane, aby pokazać dokładny wynik raportu.
Zaloguj Się Do Łącznika Katalogowego
Przed rozpoczęciem
Upewnij się, że masz swoje poświadczenia proxy.
W przypadku protokołu proxy basic-auth po pierwszym otwarciu łącznika wprowadź nazwę użytkownika i hasło.
W przypadku serwera proxy NTLM otwórz przeglądarkę Internet Explorer, kliknij ikonę koła zębatego, przejdź do opcji Internet > Połączenia > ustawienia sieci LAN, upewnij się, że dodano informacje o serwerze proxy, a następnie kliknij przycisk OK. Zobacz Używanie serwera proxy sieci Web W Przeglądarce.
| 1 | Otwórz łącznik, a następnie dodaj | ||||
| 2 | Po wyświetleniu monitu zaloguj się przy użyciu poświadczeń uwierzytelniania serwera proxy, a następnie zaloguj się do usługi Webex przy użyciu konta administratora i kliknij przycisk Dalej. | ||||
| 3 | Potwierdź swoją organizację i domenę.
| ||||
| 4 | Po wyświetleniu ekranu Potwierdź organizację kliknij przycisk Potwierdź. Jeśli masz już powiązane usługi AD DS/AD LDS, pojawi się ekran Potwierdź organizację. | ||||
| 5 | Kliknij Potwierdź . | ||||
| 6 | Wybierz jedną, w zależności od liczby domen usługi Active Directory, które chcesz powiązać z łącznikiem usług katalogowych:
|
Co zrobić dalej
Po zalogowaniu zostanie wyświetlony monit o wykonanie synchronizacji biegu suchego.
Tablica rozdzielcza łącznika usług katalogowych
Po pierwszym zalogowaniu się do łącznika usług katalogowych pojawi się konsola. Tutaj można wyświetlić podsumowanie wszystkich czynności synchronizacji, wyświetlić statystyki chmury, wykonać synchronizację z uruchomieniem suchym, rozpocząć pełną lub stopniową synchronizację i uruchomić widok zdarzenia, aby wyświetlić informacje o błędach.
| Jeśli sesja się skończy, zaloguj się ponownie. |
Te zadania można łatwo uruchomić z paska narzędzi działań lub menu działań.
Komponent | Opis |
|---|---|
Bieżąca synchronizacja |
Wyświetla informacje o stanie trwającej synchronizacji. Gdy synchronizacja nie jest uruchomiona, wyświetlacz stanu jest bezczynny. |
Następna synchronizacja |
Wyświetla następne zaplanowane pełne i stopniowe synchronizacje. Jeśli nie ustawiono harmonogramu, wyświetlany jest widok Nie Zaplanowano. |
Ostatnia synchronizacja |
Wyświetla stan dwóch ostatnich wykonanych synchronizacji. |
Bieżący stan synchronizacji |
Wyświetla ogólny stan synchronizacji. |
Łączniki |
Wyświetla bieżące złącza lokalne, które są dostępne dla chmury. |
Statystyki chmury |
Wyświetla ogólny stan synchronizacji. |
Harmonogram synchronizacji |
Wyświetla harmonogram synchronizacji dla synchronizacji przyrostowej i pełnej. |
Podsumowanie konfiguracji |
Wyświetla listę ustawień, które zostały zmienione w konfiguracji. Na przykład podsumowanie może zawierać następujące elementy:
|
| Czynność | Opis | ||
|---|---|---|---|
| Rozpocznij synchronizację przyrostową | Ręcznie rozpocznij synchronizację przyrostową
|
||
Synchronizuj przebieg próbny |
Przeprowadź synchronizację przebiegu suchego. |
||
Podgląd startu wydarzenia |
Uruchom przeglądarkę zdarzeń Microsoft. |
||
Odśwież |
Odśwież pulpit nawigacyjny łącznika katalogu Cisco |
Czynność | Opis |
|---|---|
| Synchronizuj teraz | Natychmiast rozpocznij pełną synchronizację. |
Tryb synchronizacji |
Wybierz tryb synchronizacji przyrostowej lub pełnej. |
Zresetuj klucz tajny łącznika |
Utwórz rozmowę między łącznikiem katalogu Cisco a usługą łącznika. Wybranie tej czynności spowoduje zresetowanie tajemnicy w chmurze, a następnie zapisanie jej lokalnie. |
Przebieg próbny |
Wykonaj test procesu synchronizacji. Przed wykonaniem pełnej synchronizacji należy wykonać serię suchą. |
Rozwiązywanie problemów |
Włączanie/wyłączanie rozwiązywania problemów. |
Odśwież |
Odśwież główny ekran łącznika katalogu Cisco. |
Zakończ |
Wyjdź ze złącza katalogu Cisco. |
Kombinacja kluczy | Czynność |
|---|---|
Alt +A |
Pokaż menu Akcje |
|
Teraz synchronizacja |
|
Zresetuj klucz tajny łącznika |
|
Przebieg suchy |
|
Synchronizacja wzmocnienia |
|
Pełna synchronizacja |
|
Pokażmenu Pomoc |
|
Pomoc |
|
Informacje |
|
Często zadawane pytania |
Ustawianie automatycznych uaktualnień
| 1 | Z łącznika usług katalogowych przejdź do , a następnie zaznacz opcję Automatycznie uaktualnij do nowej wersji Cisco Directory Connector. |
| 2 | Kliknij przycisk Zastosuj, aby zapisać zmiany. |
Nowe wersje złącza są automatycznie instalowane, gdy są dostępne.
| Jeśli wolisz, możesz ręcznie zarządzać uaktualnieniami. Aby uzyskać więcej informacji, zobacz Uaktualnienie do najnowszej wersji oprogramowania. |
Wybierz obiekty usługi Active Directory do synchronizacji
Domyślnie Directory Connector synchronizuje wszystkich użytkowników, którzy nie są komputerami i wszystkich grup, które nie są krytycznymi obiektami systemowymi dla domeny. Aby uzyskać większą kontrolę nad synchronizacją obiektów, można wybrać określonych użytkowników do synchronizacji i określić filtry LDAP za pomocą strony Wybór obiektu w łączniku usług katalogowych.
Grupy do automatycznego przypisywania licencji
Control Hub umożliwia zarządzanie przypisaniami licencji według grup. Możesz tworzyć szablony licencji i mapować je do grup Active Directory, które synchronizujesz z chmurą. W momencie tworzenia użytkownika Webex sprawdza członkostwo użytkownika i mapowanie szablonu autoryzacji automatycznej dla tego nowego użytkownika.
Zalecamy użycie filtru LDAP do synchronizacji tylko odpowiednich grup z chmurą. Na przykład filtr można ustawić na:
(&(cn=Example)(objectclass=Group))*
Filtr ten synchronizuje wszystkie grupy w bazie DN, w której nazwa zaczyna się od Przykład. Użytkownicy, którzy nie są przypisani do grup, mają przypisane licencje z domyślnego automatycznego szablonu licencji skonfigurowanego w Control Hub.
Grupy dla hybrydowych wdrożeń zabezpieczeń danych
W łączniku usług katalogowych należy sprawdzić grupy, jeśli używasz hybrydowego zabezpieczenia danych, aby skonfigurować grupę próbną dla użytkowników pilotów. Informacje na ten temat można znaleźć w przewodniku wdrażania hybrydowego zabezpieczenia danych . To ustawienie Łącznika usług katalogowych nie ma wpływu na synchronizację innych użytkowników z chmurą.
| 1 | W łączniku usług katalogowych przejdź do opcji Konfiguracja, a następnie kliknij opcję Wybór obiektu. | ||
| 2 | W sekcji Typ obiektu sprawdź użytkowników i rozważ ograniczenie liczby wyszukiwanych kontenerów dla użytkowników. Jeśli na przykład chcesz zsynchronizować tylko użytkowników w określonej grupie, musisz wprowadzić filtr LDAP w polu filtrów Users LDAP. Jeśli chcesz zsynchronizować użytkowników należących do grupy Przykładowy menedżer, użyj filtru takiego jak ten:
| ||
| 3 | Zaznacz opcję Identyfikuj pokój , aby oddzielić dane pokoju od danych użytkownika. Kliknij przycisk Dostosuj, jeśli chcesz skonfigurować dodatkowe atrybuty, aby zidentyfikować dane użytkownika jako dane pokoju. Użyj tego ustawienia, jeśli chcesz zsynchronizować informacje o pomieszczeniu lokalnym z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju urządzenia w pomieszczeniach lokalnych ze skonfigurowanym, mapowanym adresem SIP wyświetlają się jako wpisy do wyszukiwania na urządzeniach w pomieszczeniach zarejestrowanych w chmurze. Aby uzyskać więcej informacji, zobacz Synchronizowanie informacji o pokoju w siedzibie do chmury Webex. | ||
| 4 | Sprawdź grupy , jeśli chcesz zsynchronizować grupy użytkowników usługi Active Directory z chmurą. Nie dodawaj filtru LDAP synchronizacji użytkowników do pola Grupy. Do synchronizacji danych grupy z chmurą należy używać tylko pola Grupy.
| ||
| 5 | Sprawdź Kontakty , jeśli chcesz zsynchronizować dane kontaktowe użytkowników z chmurą.
| ||
| 6 | Skonfiguruj filtry LDAP. Filtry rozszerzone można dodać, udostępniając prawidłowy filtr LDAP. Więcej informacji na temat konfigurowania filtrów LDAP można znaleźć w tym artykule. | ||
| 7 | Określ w bazowych numerach DN lokalizacji, aby zsynchronizować , klikając opcję Wybierz , aby zobaczyć strukturę drzewa w usłudze Active Directory. W tym miejscu można wybrać lub usunąć zaznaczenie kontenerów, na których można wyszukiwać. | ||
| 8 | Sprawdź, czy obiekty, które chcesz dodać do tej konfiguracji, i kliknij przycisk Wybierz. Do synchronizacji można wybrać pojedyncze lub nadrzędne pojemniki. Wybierz kontener dla rodziców, aby włączyć wszystkie kontenery dla dzieci. Po wybraniu kontenera dla dzieci, kontener dla rodziców pokazuje szary znak kontrolny, który wskazuje, że dziecko zostało sprawdzone. Następnie można kliknąć przycisk Wybierz, aby zaakceptować zaznaczone pojemniki usługi Active Directory. Jeśli Twoja organizacja umieszcza wszystkich użytkowników i grupy w kontenerze Użytkownicy, nie musisz wyszukiwać innych kontenerów. Jeśli Twoja organizacja jest podzielona na jednostki organizacyjne, upewnij się, że wybierzesz jednostki organizacyjne. | ||
| 9 | Kliknij Zastosuj . Wybierz opcję:
Informacje na temat przebiegu suchego można znaleźć w sekcji Przeprowadzanie synchronizacji przebiegu suchego w usłudze Active Directory. W przypadku synchronizacji grupowej należy wykonać pełną synchronizację: Przeprowadź pełną synchronizację użytkowników usługi Active Directory W chmurze. |
Atrybuty użytkownika mapy
Atrybuty z lokalnego Active Directory można mapować do odpowiednich atrybutów w chmurze. Jedynym wymaganym polem jest *uid, unikatowy identyfikator dla każdego konta użytkownika w usłudze tożsamości w chmurze.
Możesz wybrać atrybut Active Directory do mapowania w chmurze — na przykład możesz mapować firstName lastName w usłudze Active Directory lub w niestandardowym wyrażeniu atrybutu displayName w chmurze.
| Konta w usłudze Active Directory muszą mieć adres e-mail; domyślne mapy identyfikacyjne do |
Jeśli preferowany język pochodzi z usługi Active Directory, Active Directory jest jedynym źródłem prawdy: użytkownicy nie będą mogli zmienić ustawienia języka w ustawieniach Webex, a administratorzy nie będą mogli zmienić ustawienia w Control Hub.
| 1 | W łączniku usług katalogowych kliknij pozycję Konfiguracja, a następnie wybierz opcję Mapowanie atrybutów użytkownika. Na tej stronie są wyświetlane nazwy atrybutów usługi Active Directory (po lewej stronie) oraz chmura Webex (po prawej stronie). Wszystkie wymagane atrybuty są oznaczone czerwoną gwiazdką. | ||||
| 2 | Przewiń w dół do dołu nazw atrybutów Active Directory, a następnie wybierz jeden z tych atrybutów Active Directory do mapowania do atrybutu chmury uid:
Możesz mapować dowolne inne atrybuty usługi Active Directory do identyfikatora, ale zalecamy używanie poczty lub nazwy userPrincipalName, zgodnie z powyższymi wytycznymi. W niektórych przypadkach nazwa userPrincipalName jest używana do logowania, ale adres e-mail użytkownika jest używany do zarządzania kalendarzem. Należy upewnić się, że adres e-mail do zarządzania kalendarzem jest mapowany do głównego pola adresu e-mail w usłudze Webex. Dodaj nazwę użytkownika jako alternatywny adres e-mail. Aby sprawdzić, jakie atrybuty w usłudze Active Directory odpowiadają w chmurze, zobacz Mapowanie atrybutów usługi Active Directory w łączniku usług katalogowych.
| ||||
| 3 | Jeśli wstępnie zdefiniowane atrybuty usługi Active Directory nie działają dla danego wdrożenia, kliknij listę rozwijaną atrybutu, przewiń na dół, a następnie wybierz opcję Customize Attribute (Dostosuj atrybuty), aby otworzyć okno umożliwiające zdefiniowanie wyrażenia atrybutu.
W tym przykładzie przyjrzyjmy się atrybutom Active Directory
| ||||
| 4 | (Opcjonalnie) Wybierz mapowania dla telefonu komórkowego i TelefononeNumber , jeśli chcesz, aby numery telefonu komórkowego i służbowe były wyświetlane, na przykład na karcie kontaktu użytkownika w aplikacji Webex. Dane o numerze telefonu są wyświetlane w aplikacji Webex, gdy użytkownik przesuwa zdjęcie profilowe innego użytkownika. Aby uzyskać więcej informacji na temat połączeń z karty kontaktu użytkownika, zobacz Calling w podręczniku wdrażania Webex (Unified CM) (administratorzy). | ||||
| 5 | Wybierz dodatkowe mapowania, aby wyświetlić więcej danych na karcie kontaktu:
Po zmapowaniu atrybutów informacje pojawiają się, gdy użytkownik przesuwa zdjęcie profilowe innego użytkownika:
Aby uzyskać więcej informacji na temat karty kontaktu, zobacz Sprawdź, z kim się kontaktujesz. Po zsynchronizowaniu tych atrybutów z każdym kontem użytkownika można również włączyć funkcję People Insights w Control Hub. Ta funkcja umożliwia użytkownikom aplikacji Webex udostępnianie większej ilości informacji w ich profilach i uczenie się o sobie nawzajem. Aby uzyskać więcej informacji na temat tej funkcji i sposobu jej włączenia, zobacz Profile People Insights dla Webex, Jabber, Webex Meetings i Webex Events (nowość) w Control Hub | ||||
| 6 | Po dokonaniu wyboru kliknij przycisk Zastosuj. |
Wszelkie dane użytkownika zawarte w usłudze Active Directory zastępują dane w chmurze odpowiadającej temu użytkownikowi. Na przykład jeśli użytkownik został utworzony ręcznie w Control Hub, adres e-mail użytkownika musi być identyczny z adresem e-mail w usłudze Active Directory. Każdy użytkownik bez odpowiedniego adresu e-mail w usłudze Active Directory jest usuwany.
| Usunięci użytkownicy są przechowywani w usłudze tożsamości chmury przez 7 dni przed trwałym usunięciem. |
Active Directory i atrybuty chmury
Atrybuty z lokalnej usługi Active Directory można mapować do odpowiadających im atrybutów w chmurze za pomocą karty Mapowanie atrybutów użytkownika .
W tej tabeli porównano mapowanie nazw atrybutów usługi Active Directory z nazwami atrybutów usługi Cisco Cloud. Te wartości i mapowania są ustawieniem domyślnym w łączniku usług katalogowych. W menu rozwijanym Active Directory można wybrać różne atrybuty i określić, który atrybut lokalny synchronizuje się z danym atrybutem chmury.
Pomyślcie o atrybutach rozwijanych jako o ustawieniach wstępnych. Jako alternatywę dla wartości w wierszu Active Directory można również określić niestandardowy atrybut, własny wstępnie ustawiony, w usłudze Active Directory (wyrażenie z wieloma atrybutami), aby mapować go na jeden atrybut chmury w odpowiednim wierszu. W ten sposób można określić nazwy wyświetlane użytkowników — na przykład można dodać wyrażenie, które tworzy niestandardowy atrybut na podstawie tytułu pracownika, podanego nazwiska i nazwiska w usłudze Active Directory.
Można również określić dowolne atrybuty usługi Active Directory, które mają być mapowane do identyfikowania w chmurze. Należy jednak upewnić się, że atrybut lokalny ma prawidłowy format wiadomości e-mail.
| Możesz również użyć alternatywnych adresów e-mail, jeśli na przykład chcesz użyć nazwy userPrincipalName do logowania, ale adres e-mail użytkownika jest używany do zarządzania kalendarzem. W takim przypadku przypisz inny adres e-mail do atrybutu e-mail;type-work . To jest wiadomość e-mail, która jest używana do uwierzytelniania; nie jest używana do zarządzania kalendarzem. Adres e-mail, który mapujesz w usłudze AD, musi pochodzić ze zweryfikowanej domeny w Twojej organizacji i musi być unikatowy, a nie przypisany do innego użytkownika. |
Nazwy atrybutów usługi Active Directory | Nazwy atrybutów chmury Webex | Uwagi |
|---|---|---|
— |
Nazwa kompilacji |
— |
c. |
c. |
Ten atrybut określa skrót kraju użytkownika. |
Numer działu |
Numer działu |
Ten atrybut jest używany dla numeru działu użytkownika, który pojawia się na karcie kontaktu i informacji o użytkownikach. |
displayName |
displayName |
Ten atrybut jest używany dla nazwy wyświetlanej konta użytkownika, która pojawia się w Control Hub, karcie kontaktu i informacjach o użytkownikach. |
userAccountControl |
ds-pwp-account-disabled |
Ten atrybut jest używany do synchronizacji użytkownika. Upewnij się, że atrybut userAccountControl jest mapowany na wyłączone konto ds-pwp-account lub użytkownicy nie zostaną zsynchronizowani prawidłowo. |
Liczba pracowników |
Liczba pracowników |
— |
faksyleTelefonNumera |
faksyleTelefonNumera |
— |
— |
jabberID |
Ten atrybut chmury odnosi się do adresów IM (typu XMPP) używanych przez Jabbera. Ta wartość nie jest taka sama jak Adresy sipAdresów. |
l/ l |
l/ l |
Ten atrybut określa miasto użytkownika. |
— |
ustawienia regionalne |
— |
manager |
manager |
Ten atrybut jest używany dla nazwy menedżera użytkownika, która pojawia się na karcie kontaktu i informacjach o użytkownikach. |
przenośne |
przenośne |
Ten atrybut jest używany jako numer telefonu komórkowego, który pojawia się w celu nawiązania połączenia z użytkownikiem z karty kontaktu. |
nie dotyczy |
nie dotyczy |
Ten atrybut określa nazwę firmy lub organizacji i pojawia się na karcie kontaktu. |
z be |
z be |
Ten atrybut określa nazwę jednostki organizacyjnej. |
fizialDeliveryOfficeName |
fizialDeliveryOfficeName |
Ten atrybut określa lokalizację biura użytkownika. |
postalCode |
postalCode |
Ten atrybut określa kod pocztowy lub pocztowy użytkownika do fizycznego dostarczania poczty. |
preferowany język |
preferowany język |
Ten atrybut ustawia preferowany język użytkownika, a obsługiwane są następujące formaty: xx_YY lub xx-YY. Oto kilka przykładów: en_USA, en_Wielka Brytania, fr-CA. Jeśli używasz nieobsługiwanego języka lub nieprawidłowego formatu, preferowany język użytkowników zostanie zmieniony na język ustawiony dla organizacji. |
MSRTCSIP-PrimaryUserAddress ipPhone |
Adresy SipAddresses;type=przedsiębiorstwo |
Ten atrybut służy do synchronizowania informacji o pomieszczeniu lokalnym z usługi Active Directory z chmurą Cisco Webex. |
sn |
sn |
Ten atrybut jest używany do nazwy konta użytkownika, która pojawia się w Control Hub, karcie kontaktu i informacjach o użytkownikach. |
cz sz |
cz sz |
Ten atrybut określa stan lub prowincję użytkownika. |
ulicaAdres |
ulica |
Ten atrybut określa adres ulicy użytkownika do fizycznego dostarczania poczty. |
numer telefonu |
numer telefonu |
Ten atrybut określa podstawowy (służbowy) numer telefonu użytkownika, który jest używany do nawiązywania połączeń z użytkownikiem z karty kontaktu. |
— |
strefa czasowa |
Ten atrybut chmury określa strefę czasową użytkownika. |
tytuł |
tytuł |
Ten atrybut określa tytuł użytkownika, który pojawia się na karcie kontaktu i informacjach o użytkownikach. |
wpisz |
przedsiębiorstwo |
— |
*userPrincipalName |
uid |
Obowiązkowe mapowanie atrybutów. Dla każdego konta użytkownika wartość Active Directory jest mapowana na unikatowy identyfikator w chmurze. W niektórych przypadkach nazwa userPrincipalName jest używana do logowania, ale adres e-mail użytkownika jest używany do zarządzania kalendarzem. Należy upewnić się, że adres e-mail do zarządzania kalendarzem jest mapowany do głównego pola adresu e-mail w usłudze Webex. Dodaj nazwę użytkownika jako alternatywny adres e-mail. Użytkownik może następnie zalogować się za pomocą któregokolwiek z tych adresów e-mail, o ile istnieje prawidłowe mapowanie atrybutów SAML. Zobacz poniżej mapowanie przykładowego atrybutu , aby dowiedzieć się, jak można mapować alternatywny adres e-mail. |
*userPrincipalName <custom attribute=""> |
e-maile;typ pracy |
To mapowanie jest opcjonalne, użyj go, jeśli chcesz użyć alternatywnych adresów e-mail. To jest wiadomość e-mail, która jest używana do uwierzytelniania; nie jest używana do zarządzania kalendarzem. Adres e-mail, który mapujesz w usłudze AD, musi pochodzić ze zweryfikowanej domeny w Twojej organizacji i musi być unikatowy, a nie przypisany do innego użytkownika. |
<New attribute="" for="" Azure="" user="" objectId=""> |
externalId |
Utwórz nowy atrybut Active Directory, aby zachować identyfikator obiektywizmu użytkownika usługi Azure, tak aby nie kolidował z istniejącym. Ten atrybut jest następnie mapowany na atrybut ExternalId, zapewniając, że użytkownicy Webex tworzą grupy w Microsoft 365 automatycznie tworzą zespoły w Webex. |
Alternatywne mapowanie adresu e-mail
Wyrażenia dotyczące atrybutów dostosowanych
Operator | Opis i przykład |
|---|---|
% | Usuwa wszystkie znaki od początku ciągu do pozycji znaku lub argumentu ciągu, jeśli są dopasowane.
|
- | Odcina tył ciągu wejściowego od końca podanego ciągu.
|
+ | Łączy w sobie ciągi wejściowe lub wyrażenia.
|
| | Ocenia rozdzielone wyrażenia w stosunku do pustego ciągu i wybiera pierwszy wynik niepusty.
|
Synchronizuj awatary katalogu z atrybutem usługi Active Directory do chmury
Można zsynchronizować awatary katalogu użytkowników z chmurą, tak aby każdy awatar pojawiał się po zalogowaniu się do aplikacji Webex. Użyj tej procedury, aby zsynchronizować nieprzetworzone dane awatara z atrybutu Active Directory.
| 1 | W programie Directory Connector przejdź do Configuration (Konfiguracja), kliknij Avatar (Awatar), a następnie zaznacz opcję Enable (Włącz). |
| 2 | Aby uzyskać awatar, wybierz atrybut AD, a następnie wybierz atrybut awatara zawierający nieprzetworzone dane awatara, które chcesz zsynchronizować z chmurą. |
| 3 | Aby sprawdzić poprawny dostęp do awatara, wprowadź adres e-mail użytkownika, a następnie kliknij przycisk Pobierz awatara użytkownika. Awatar pojawia się po prawej stronie. |
| 4 | Po zweryfikowaniu, czy awatar pojawił się prawidłowo, kliknij przycisk Zastosuj, aby zapisać zmiany. |
Zsynchronizowane obrazy stają się domyślnym awatarem dla użytkowników w aplikacji Webex. Użytkownicy nie mogą ustawiać własnego awatara po włączeniu tej funkcji w łączniku usług katalogowych.
Awatary użytkowników synchronizują się zarówno z aplikacją Webex, jak i z dowolnymi zgodnymi kontami w witrynie Webex.
Co zrobić dalej
Przeprowadź synchronizację w trybie suchym; jeśli nie występują żadne problemy, wykonaj pełną synchronizację, aby konta użytkowników i awatary usługi Active Directory były synchronizowane z chmurą i pojawiały się w Control Hub.
Synchronizuj awatary katalogu z serwera zasobów do chmury
Można zsynchronizować awatary katalogu użytkowników z chmurą, tak aby każdy awatar pojawiał się po zalogowaniu się do aplikacji Webex. Użyj tej procedury, aby zsynchronizować awatary z serwera zasobów.
Przed rozpoczęciem
Przykładami są wzorzec URI i wartość zmienna w tej procedurze. Należy użyć rzeczywistych adresów URL, w których znajdują się awatary katalogu.
Wzór identyfikatora URI awatara i serwer, na którym znajdują się awatary, muszą być osiągalne z aplikacji Directory Connector. Łącznik wymaga dostępu http lub https do obrazów, ale obrazy nie muszą być publicznie dostępne w Internecie.
Synchronizacja danych awatara jest oddzielona od profili użytkowników usługi Active Directory. Jeśli jest używany serwer proxy, należy upewnić się, że dostęp do danych awatara można uzyskać za pomocą uwierzytelniania NTLM lub uwierzytelniania podstawowego.
| 1 | W programie Directory Connector przejdź do Configuration (Konfiguracja), kliknij Avatar (Awatar), a następnie zaznacz opcję Enable (Włącz). |
| 2 | Aby uzyskać awatar, wybierz serwer zasobów , a następnie wprowadź wzorzec identyfikatora URI awatara — na przykład Spójrzmy na każdą część wzorca URI awatara i co one oznaczają:
|
| 3 | (Opcjonalnie) Jeśli serwer zasobów wymaga poświadczeń, zaznacz opcję Ustaw poświadczenia użytkownika dla awatara, a następnie wybierz opcję Użyj bieżącego użytkownika logowania do usługi lub Użyj tego użytkownika i wprowadź hasło. |
| 4 | Wprowadź wartość zmienną — na przykład: |
| 5 | Kliknij przycisk Test, aby upewnić się, że wzorzec URI awatara działa poprawnie. W tym przykładzie, jeśli wartość poczty dla jednego wpisu AD jest |
| 6 | Po zweryfikowaniu informacji o identyfikatorze URI i sprawdzeniu poprawności kliknij przycisk Zastosuj. Aby uzyskać szczegółowe informacje na temat używania wyrażeń regularnych, zobacz Microsoft Regular Expression Language Quick Reference . |
Zsynchronizowane obrazy stają się domyślnym awatarem dla użytkowników w aplikacji Webex. Użytkownicy nie mogą ustawiać własnego awatara po włączeniu tej funkcji w łączniku usług katalogowych.
Awatary użytkowników synchronizują się zarówno z aplikacją Webex, jak i z dowolnymi zgodnymi kontami w witrynie Webex.
Co zrobić dalej
Przeprowadź synchronizację w trybie suchym; jeśli nie występują żadne problemy, wykonaj pełną synchronizację, aby konta użytkowników i awatary usługi Active Directory były synchronizowane z chmurą i pojawiały się w Control Hub.
Synchronizuj informacje o pokoju w siedzibie z chmurą Webex
Ta procedura służy do synchronizacji informacji o pomieszczeniu lokalnym z usługi Active Directory do chmury Webex. Po zsynchronizowaniu informacji o pokoju urządzenia w pomieszczeniach lokalnych ze skonfigurowanym, mapowanym adresem SIP są wyświetlane jako wpisy do wyszukiwania na zarejestrowanych w chmurze urządzeniach Webex (Room, Desk i Board).
| 1 | Z łącznika usług katalogowych przejdź do Synchronizuj, kliknij więcej | ||
| 2 | Sprawdź informacje o pokoju Synchronizuj z chmurą , aby oddzielić dane pokoju od danych użytkownika podczas synchronizacji. Gdy to ustawienie jest wyłączone, dane pokoju są traktowane tak samo jak dane zsynchronizowane przez użytkownika. | ||
| 3 | Przejdź do mapowania atrybutów, a następnie zmień mapowanie atrybutu dla atrybutu chmury sipAddresses;type=enterprise.
| ||
| 4 | Utwórz skrzynkę pocztową Room Resource w Exchange. Dodaje to atrybut msExchResourceMetaData;ResourceType:Room , którego łącznik używa do identyfikacji pokoi.
| ||
| 5 | Z użytkowników i komputerów usługi Active Directory przejdź do właściwości pokoju i edytuj je. Dodaj w pełni kwalifikowany identyfikator URI SIP z prefiksem sip:
| ||
| 6 | Wykonaj synchronizację w trybie suchym, a następnie pełną synchronizację w łączniku. Nowe obiekty pokoju są wymienione na liście Obiekty Dodane i dopasowane obiekty pokoju pojawiają się w Obiektach Dopasowanych w raporcie o przebiegu suchym. Wszelkie obiekty pokoju oznaczone jako usunięte znajdują się pod Pomieszczeniami Usuniętymi.
Wyniki biegu suchego pokazują wszystkie zasoby pomieszczeń, które zostały dopasowane.
To ustawienie oddziela dane pokoju usługi Active Directory (w tym atrybut pokoju) od danych użytkownika. Po zakończeniu synchronizacji statystyki chmury na konsoli konektora pokazują dane pokoju, które zostały zsynchronizowane z chmurą.
|
Co zrobić dalej
Po wykonaniu tych czynności podczas wyszukiwania na urządzeniu zarejestrowanym w chmurze Webex zobaczysz zsynchronizowane wpisy pokoju skonfigurowane z adresami SIP. Po umieszczeniu połączenia z urządzenia Webex na tym wpisie zostanie nawiązane połączenie z adresem SIP skonfigurowanym dla pokoju.
W Control Hub możesz automatycznie importować pokoje z katalogu i tworzyć obszary robocze.
| Punkt końcowy nie może przełączyć połączenia z powrotem do aplikacji Webex. W przypadku urządzeń do wybierania numerów testowych urządzenia te muszą być zarejestrowane jako identyfikator URI SIP w siedzibie lub gdzieś innym niż aplikacja Webex. Jeśli wyszukiwany system pokoju Active Directory jest zarejestrowany w usłudze Webex, a ten sam adres e-mail znajduje się w usłudze Webex Room Device, Desk Device lub Webex Board dla usługi kalendarza, wyniki wyszukiwania nie pokażą zduplikowanego wpisu. Urządzenie Room, Desk lub Board jest wybierane bezpośrednio w aplikacji Webex, a połączenie SIP nie jest wykonywane. |
Wysyłanie raportów e-mail o wynikach synchronizacji katalogu
Domyślnie osoby kontaktowe lub administratorzy organizacji zawsze otrzymują powiadomienia e-mail. Dzięki temu ustawieniu możesz dostosować, kto powinien otrzymywać powiadomienia e-mail podsumowujące raporty synchronizacji katalogów.
| 1 | W łączniku usług katalogowych kliknij pozycję Konfiguracja, a następnie wybierz Powiadomienie. |
| 2 | W łączniku usług katalogowych kliknij pozycję Ustawienia, a obok Odbiornika wiadomości e-mail włącz opcję Włącz synchronizację raportu. |
| 3 | Zaznacz opcję Włącz powiadomienie, jeśli chcesz zastąpić domyślne zachowanie powiadomienia i dodać co najmniej jednego odbiorcę wiadomości e-mail. |
| 4 | Kliknij przycisk Dodaj, a następnie wprowadź adres e-mail. Jeśli wprowadzisz adres e-mail o nieprawidłowym formacie, pojawi się komunikat informujący o konieczności poprawienia problemu przed zapisaniem i zastosowaniem zmian. |
| 5 | Kliknij opcję Dodaj adres e-mail, a następnie wprowadź adres e-mail. Jeśli wprowadzisz adres e-mail o nieprawidłowym formacie, pojawi się komunikat informujący o konieczności poprawienia problemu przed zapisaniem i zastosowaniem zmian. |
| 6 | Jeśli chcesz edytować wprowadzone adresy e-mail, kliknij dwukrotnie pozycję e-mail w lewej kolumnie, a następnie wprowadź zmiany. |
| 7 | Po dodaniu wszystkich prawidłowych adresów e-mail kliknij przycisk Zastosuj. |
| 8 | Po dodaniu wszystkich prawidłowych adresów e-mail kliknij przycisk Zapisz. |
Co zrobić dalej
Jeśli zdecydujesz, że chcesz usunąć adresy e-mail, możesz kliknąć wiadomość e-mail, aby podświetlić ten wpis, a następnie kliknąć przycisk Usuń.
Jeśli zdecydujesz się usunąć adresy e-mail, możesz kliknąć przycisk Usuń obok określonych wpisów adresu e-mail.
Przekaż Użytkownikom Z usługi Active Directory Do Control Hub
Wykonaj poniższe czynności, aby zapewnić użytkownikom usługi Active Directory i utworzyć odpowiednie konta użytkowników w Control Hub. Po zainstalowaniu łącznika usług katalogowych na domenę użytkownicy mogą korzystać z wielu wdrożeń usługi Active Directory (z pojedynczym lasem lub wieloma lasami). Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować lub usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z wersji próbnej. Celem jest dokładne dopasowanie między aktywnymi katalogami a chmurą Webex.
| 1 | Przeprowadzanie synchronizacji w trybie suchym na użytkownikach usługi Active Directory Przeprowadź serię suchą, aby porównać obiekty w lokalnej usłudze Active Directory i obiekty w chmurze Webex. Przebieg suchy umożliwia sprawdzenie, jakie obiekty zostaną dodane, zmodyfikowane lub usunięte przed uruchomieniem pełnej lub przyrostowej synchronizacji i zatwierdzeniem zmian w chmurze. |
| 2 | Przeprowadzanie pełnej synchronizacji użytkowników usługi Active Directory w chmurze Po uruchomieniu pełnej synchronizacji usługa łącznika wysyła wszystkie filtrowane obiekty z usługi Active Directory (AD) do chmury. Usługa łącznika następnie aktualizuje sklep tożsamości z wpisami AD. Jeśli utworzono szablon licencji automatycznego przypisywania, można go przypisać do nowo zsynchronizowanych użytkowników. |
| 3 | Przypisz usługi Webex do usług katalogowych zsynchronizowanych użytkowników w Control Hub Po zakończeniu pełnej synchronizacji użytkownika z łącznika usług katalogowych w Control Hub można przypisać licencje usługi Webex za pomocą różnych metod. Zalecamy skonfigurowanie automatycznego przypisywania szablonu licencji przed użyciem go u nowych użytkowników aplikacji Webex zsynchronizowanych z usługi Active Directory. Po tym początkowym kroku można również wprowadzać indywidualne zmiany. |
Przeprowadzanie synchronizacji w trybie suchym na użytkownikach usługi Active Directory
Przeprowadź serię suchą, aby porównać obiekty w lokalnej usłudze Active Directory i obiekty w chmurze Webex. Przebieg suchy umożliwia sprawdzenie, jakie obiekty zostaną dodane, zmodyfikowane lub usunięte przed uruchomieniem pełnej lub przyrostowej synchronizacji i zatwierdzeniem zmian w chmurze.
Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować lub usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z wersji próbnej. W przypadku łącznika usług katalogowych celem jest dokładne dopasowanie między aktywnymi katalogami a chmurą Webex.
Jeśli w jednym lesie lub w wielu lasach znajduje się wiele domen, należy wykonać ten krok w każdej z zainstalowanych instancji łącznika katalogu Cisco dla każdej domeny Active Directory.
Przed rozpoczęciem
Przed użyciem łącznika usług katalogowych w Control Hub może być już kilku użytkowników aplikacji Webex. Wśród użytkowników w chmurze niektóre z nich mogą pasować do lokalnego obiektu Active Directory i zostać przypisane licencje na usługi. Ale niektórzy mogą być użytkownikami testowymi, których chcesz usunąć podczas synchronizacji. Musisz utworzyć dokładne dopasowanie między usługą Active Directory a usługą Control Hub.
| 1 | Wybierz jedną z nich:
Po zakończeniu biegu suchego zobaczysz jeden z następujących wyników:
Podsumowanie zawiera informacje o dopasowywaniu obiektów:
Suchy przebieg identyfikuje użytkowników, porównując ich z użytkownikami domeny. Aplikacja może zidentyfikować użytkowników, jeśli należą do bieżącej domeny. W następnym kroku należy zdecydować, czy usunąć obiekty, czy je zachować. Niedopasowane obiekty są identyfikowane jako już istniejące w chmurze Webex, ale nie istnieją w lokalnej usłudze Active Directory. | ||
| 2 | Przejrzyj wyniki biegu suchego, a następnie wybierz opcję w zależności od tego, czy używasz jednej lub wielu domen:
| ||
| 3 | W komunikacie Potwierdź uruchomienie „Dry Run” kliknij przycisk Tak , aby ponownie wykonać synchronizację uruchamiania „dry run” i wyświetlić pulpit nawigacyjny, aby wyświetlić wyniki. Wszelkie konta, które zostały pomyślnie zsynchronizowane w przebiegu suchym, pojawiają się w obszarze Obiekty Dopasowane. Jeśli użytkownik w chmurze nie ma odpowiedniego użytkownika z tą samą wiadomością e-mail w usłudze Active Directory, wpis jest wyświetlany w sekcji Użytkownicy usunięci. Aby uniknąć tej flagi usuwania, można dodać użytkownika w usłudze Active Directory z tym samym adresem e-mail. Aby wyświetlić szczegóły zsynchronizowanych elementów, kliknij odpowiednią kartę dla określonych elementów lub Obiektów Dopasowanych. Aby zapisać informacje podsumowujące, kliknij przycisk Zapisz wyniki do pliku. | ||
| 4 | Jeśli oczekiwane wyniki, przejdź do , a następnie kliknij opcję Włącz teraz, aby wykonać ręczną synchronizację i w tym momencie włączyć tryb ręczny.
|
Co zrobić dalej
W przypadku wszystkich niedopasowanych obiektów użytkownika, które zostały zachowane, należy dodać je do usługi Active Directory, aby istniało dokładne dopasowanie między obiektami lokalnymi a chmurą.
Wybierz typ synchronizacji:
Przeprowadź pełną synchronizację użytkowników usługi Active Directory W chmurze po pierwszej synchronizacji nowych użytkowników z chmurą. Można to zrobić od , a następnie synchronizowani są użytkownicy z bieżącej domeny.
Ustaw harmonogram łącznika i uruchom synchronizację przyrostową po uruchomieniu pełnej synchronizacji i jeśli chcesz odebrać zmiany po synchronizacji początkowej. Ten typ synchronizacji jest zalecany do wychwycenia niewielkich zmian wprowadzonych w źródle użytkownika usługi Active Directory.
Domyślnie synchronizacja przyrostowa jest ustawiana co 30 minut (w wersjach 3.4 i wcześniejszych) lub co 4 godziny (w wersjach 3.5 i nowszych), ale można zmienić tę wartość. Synchronizacja przyrostowa nie nastąpi, dopóki na początku nie zostanie wykonana pełna synchronizacja.
Jeśli masz wiele domen, powtórz te kroki w dowolnym innym zainstalowanym łączniku usług katalogowych.
O czego należy pamiętać
Przed włączeniem pełnej synchronizacji lub zmianą parametrów synchronizacji wykonaj serię suchą. Jeśli bieg suchy został zainicjowany przez zmianę konfiguracji, można zapisać ustawienia po zakończeniu biegu suchego. Jeśli dodano już użytkowników ręcznie, wykonanie synchronizacji usługi Active Directory może spowodować usunięcie wcześniej dodanych użytkowników. Przed pełną synchronizacją z chmurą można sprawdzić raporty suchego uruchomienia łącznika usług katalogowych, aby sprawdzić, czy wszyscy oczekiwani użytkownicy są obecni.
Jeśli dopasowani użytkownicy zostaną oznaczeni jako usunięci, a nie wiesz, jak postępować, zapoznaj się z informacjami o rozwiązywaniu problemów i jak skontaktować się z pomocą techniczną w Rozwiązywaniu problemów i rozwiązaniach dla łącznika usług katalogowych.
Usunięci użytkownicy są przechowywani w usłudze tożsamości chmury przez 7 dni przed trwałym usunięciem.
Przeprowadzanie pełnej synchronizacji użytkowników usługi Active Directory w chmurze
Po uruchomieniu pełnej synchronizacji usługa łącznika wysyła wszystkie filtrowane obiekty z usługi Active Directory (AD) do chmury. Usługa łącznika następnie aktualizuje sklep tożsamości z wpisami AD. Jeśli utworzono szablon licencji automatycznego przypisywania, można go przypisać do nowo zsynchronizowanych użytkowników.
Jeśli masz wiele domen, musisz wykonać ten krok w każdym wystąpieniu łącznika usług katalogowych, które zostało zainstalowane dla każdej domeny usługi Active Directory.
Łącznik usług katalogowych synchronizuje stan konta użytkownika — w usłudze Active Directory wszyscy użytkownicy oznaczeni jako wyłączeni również są nieaktywni w chmurze.
Przed rozpoczęciem
Jeśli chcesz, aby konta użytkowników aplikacji Webex miały status Aktywny po pełnej synchronizacji i przed pierwszym zalogowaniem się użytkowników, musisz wykonać te czynności, aby pominąć weryfikację wiadomości e-mail:
Zintegruj jednokrotne logowanie z organizacją Webex. Aby uzyskać więcej informacji, zobacz
Jednokrotne logowanie za pomocą usług Cisco Webex i dostawcy tożsamości organizacji
.Użyj Control Hub, aby zweryfikować i opcjonalnie zgłosić domeny zawarte w adresach e-mail. Zobacz
Dodawanie, weryfikowanie i zgłaszanie domen
.Zatrzymaj automatyczne zaproszenia e-mail, aby nowi użytkownicy nie otrzymywali automatycznego zaproszenia e-mail do aplikacji Webex. (Możesz wykonać własną kampanię e-mail).
Aktywowani użytkownicy, którzy nie zalogowali się, są wyświetlani z potwierdzonym statusem w Control Hub. Po zalogowaniu się są wyświetlane jako Aktywne. Aby uzyskać więcej informacji o statusach użytkowników, zobacz Statusy użytkowników i działania w Cisco Webex Control Hub.
Po włączeniu synchronizacji łącznik usług katalogowych prosi o wykonanie najpierw biegu suchego. Zalecamy wykonanie biegu suchego przed pełną synchronizacją w celu wykrycia potencjalnych błędów.
Przed użyciem szablonu licencji automatycznego przypisywania należy go skonfigurować dla nowych użytkowników aplikacji Webex zsynchronizowanych z usługi Active Directory.
Jeśli nie używasz szablonów licencji automatycznego przypisywania, nowo zsynchronizowani użytkownicy automatycznie otrzymują bezpłatne licencje. Będą mogli korzystać z tych samych darmowych funkcji co te z darmowymi kontami.
| 1 | Wybierz jedną z nich:
| ||
| 2 | Z łącznika usług katalogowych przejdź do Synchronizuj, kliknij więcej | ||
| 3 | Potwierdź rozpoczęcie synchronizacji. W przypadku wszelkich zmian wprowadzonych przez użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany do 72 godzin po wykonaniu synchronizacji.
| ||
| 4 | Kliknij przycisk Odśwież, jeśli chcesz zaktualizować stan synchronizacji. (Synchronizowane elementy pojawiają się w obszarze Statystyki chmury.) | ||
| 5 | Aby uzyskać informacje o błędach, wybierz Uruchom przeglądarkę zdarzeń z paska narzędzi Akcje , aby wyświetlić dzienniki błędów. | ||
| 6 | Aby ustawić harmonogram synchronizacji trwających synchronizacji przyrostowych do chmury, zobacz Ustaw harmonogram łącznika i Uruchom Synchronizację przyrostową. |
Po zakończeniu pełnej synchronizacji stan synchronizacji katalogu aktualizuje się od Wyłączone do Operacyjne na stronie Ustawienia w Control Hub.
Gdy wszystkie dane są dopasowane między lokalnymi i chmurami, łącznik usług katalogowych zmienia się z trybu ręcznego na tryb automatycznej synchronizacji.
Jeśli nie zintegrujesz jednokrotnego logowania, zweryfikujesz domeny i opcjonalnie zgłoś domeny na konta e-mail, które zsynchronizowałeś, i nie blokujesz automatycznych wiadomości e-mail, konta użytkowników aplikacji Webex pozostają w stanie Niezweryfikowanym, dopóki użytkownicy nie zalogują się do aplikacji Webex po raz pierwszy, aby potwierdzić swoje konta. Informacje na temat synchronizacji kont jako Aktywnych użytkowników można znaleźć w sekcji Przed rozpoczęciem.
Jeśli masz wiele domen, wykonaj ten krok na dowolnym innym zainstalowanym łączniku usług katalogowych. Po synchronizacji użytkownicy wszystkich dodanych domen są wymieniani w Control Hub.
Jeśli zintegrowane jednokrotne logowanie z usługą Webex i zablokowane powiadomienia e-mail, zaproszenia e-mail nie są wysyłane do nowo zsynchronizowanych użytkowników.
Po włączeniu łącznika usług katalogowych nie można ręcznie dodawać użytkowników w Control Hub. Po włączeniu tej opcji zarządzanie użytkownikami odbywa się ze złącza katalogu Cisco, a Active Directory jest jedynym źródłem prawdy.
Wszystkie zsynchronizowane grupy pojawiają się w Control Hub i można przypisać szablon licencji, aby użytkownicy w tej grupie mieli przypisane licencje.
Co zrobić dalej
Gdy usuniesz użytkownika z usługi Active Directory, użytkownik zostanie usunięty miękko po następnej synchronizacji. Użytkownik staje się
Inactiveale profil tożsamości chmury jest przechowywany przez siedem dni (aby umożliwić odzyskanie po przypadkowym usunięciu).Po sprawdzeniu, czy konto jest wyłączone w usłudze Active Directory, użytkownik zostanie
Inactivepo następnej synchronizacji. Profil tożsamości chmury nie zostanie usunięty po siedmiu dniach, w przypadku gdy chcesz ponownie włączyć użytkownika.Zwróć uwagę na te wyjątki od synchronizacji przyrostowej (zamiast tego wykonaj wszystkie powyższe kroki synchronizacji):
W przypadku zaktualizowanego awatara, ale bez zmiany innego atrybutu, synchronizacja przyrostowa nie spowoduje aktualizacji awatara użytkownika do chmury.
Zmiany konfiguracji dotyczące mapowania atrybutów, podstawowego ustawienia DN, filtru i awatara wymagają pełnej synchronizacji.
Przypisz usługi Webex do usług katalogowych zsynchronizowanych użytkowników w Control Hub
Po zakończeniu pełnej synchronizacji użytkownika ze złącza katalogu Cisco do Control Hub można użyć Control Hub do przypisania tych samych licencji usługi Webex wszystkim użytkownikom naraz lub dodać dodatkowe licencje nowym użytkownikom, jeśli skonfigurowano już szablon licencji przypisany automatycznie. Po tym początkowym kroku można wprowadzić zmiany w kontach poszczególnych użytkowników.
Po zakończeniu pełnej synchronizacji użytkownika z łącznika usług katalogowych w Control Hub można użyć metod w Control Hub, aby globalnie przypisać licencje usługi Webex wszystkim użytkownikom, poszczególnym użytkownikom, za pomocą masowego szablonu CSV lub automatycznie nowym użytkownikom, jeśli skonfigurowano już szablon licencji automatycznego przypisywania. Po tym początkowym kroku można wprowadzić zmiany w kontach poszczególnych użytkowników.
Po przypisaniu licencji użytkownikowi aplikacji Webex ten użytkownik otrzymuje domyślnie wiadomość e-mail potwierdzającą przypisanie. Wiadomość e-mail jest wysyłana przez usługę powiadomień w Control Hub. Jeśli zintegrowasz jednokrotne logowanie (SSO) ze swoją organizacją Webex, możesz również wyłączyć te automatyczne powiadomienia e-mail, jeśli wolisz kontaktować się bezpośrednio z użytkownikami.
Przed rozpoczęciem
Przed użyciem szablonu licencji automatycznego przypisywania należy go skonfigurować dla nowych użytkowników aplikacji Webex zsynchronizowanych z usługi Active Directory.
Wykonaj synchronizację z uruchomieniem suchym u użytkowników usługi Active Directory.
Po potwierdzeniu wyników biegu suchego wykonaj pełną synchronizację na użytkownikach usługi Active Directory.
| W momencie pełnej synchronizacji użytkownik zostanie utworzony w chmurze, nie zostaną dodane żadne przypisania usług ani nie zostanie wysłana wiadomość e-mail z aktywacją. Jeśli wiadomości e-mail nie zostaną zablokowane, nowi użytkownicy otrzymają aktywacyjną wiadomość e-mail podczas przypisywania usług do użytkowników za pomocą standardowej metody zarządzania użytkownikami w Control Hub, takiej jak import CSV, ręczna aktualizacja użytkownika lub pomyślne zakończenie automatycznego przypisywania. |
| 1 | Z widoku klienta w https://admin.webex.com, przejdź do , kliknij przycisk Zarządzaj użytkownikami, wybierz Modyfikuj wszystkich zsynchronizowanych użytkowników, a następnie kliknij przycisk Dalej. |
| 2 | Wybierz opcję:
|
Co zrobić dalej
Jeśli wiadomości e-mail nie zostaną zablokowane, do każdego użytkownika zostanie wysłana wiadomość e-mail z zaproszeniem do dołączenia i pobrania usługi Webex.
Jeśli wybrano te same usługi Webex dla wszystkich użytkowników, można następnie zmienić licencję przypisaną indywidualnie lub zbiorczo.
Znane problemy z łącznikiem usług katalogowych
Wersje systemu Windows Server przed 2012 R2 mają problem z plikiem cookie, który ma wpływ na Łącznik usług katalogowych. Ten problem został rozwiązany w wersjach 2012 R2 i 2016.
W przypadku wszelkich zmian wprowadzonych przez użytkownika w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany 72 godziny od wykonania synchronizacji.
Możesz spróbować wyczyścić lokalną pamięć podręczną aplikacji Webex, postępując zgodnie z następującymi instrukcjami: Windows lub Mac.
Gdy użytkownik korzysta z aplikacji Webex na komputerze stacjonarnym lub telefonie komórkowym do wyszukiwania i nawiązywania połączenia z pokojem, który ma tylko zsynchronizowany identyfikator URI SIP, połączenie będzie nawiązywane przez czas nieokreślony.
Uruchom zwiększoną synchronizację
Synchronizacja przyrostowa zapytuje o usługę Active Directory i szuka zmian, które nastąpiły od czasu ostatniej synchronizacji. Ten krok następnie łączy te zmiany i wysyła je do usługi łącznika. Zmiany obejmują modyfikację przypisywania użytkowników oraz dodanie lub usunięcie użytkownika.
Synchronizacja ta nie obciąża serwerów tak bardzo i nie zajmuje tak wiele czasu, jak pełna synchronizacja. Po wykonaniu wstępnej pełnej synchronizacji zalecamy opcję przyrostową dla kolejnych synchronizacji.
Przed rozpoczęciem
Przed użyciem szablonu licencji automatycznego przypisywania należy go skonfigurować dla nowych użytkowników aplikacji Webex zsynchronizowanych z usługi Active Directory.
Należy zwrócić uwagę na te wyjątki, dla których synchronizacja przyrostowa nie jest obsługiwana (wykonaj pełną synchronizację użytkowników usługi Active Directory w chmurze):
W przypadku zaktualizowanego awatara, ale bez zmiany innego atrybutu, synchronizacja przyrostowa nie spowoduje aktualizacji awatara użytkownika do chmury.
W przypadku nowych zmian konfiguracji dotyczących mapowania atrybutów, podstawowej nazwy DN, filtru i ustawienia awatara synchronizacja przyrostowa nie będzie działać i wymaga pełnej synchronizacji.
| 1 | W łączniku usług katalogowych kliknij pulpit nawigacyjny.
| ||
| 2 | Na stronie Akcje kliknij Tryb synchronizacji > Włącz synchronizację , jeśli nie została jeszcze włączona. Domyślnie synchronizacja przyrostowa jest ustawiana co 30 minut (w wersjach 3.4 i wcześniejszych) lub co 4 godziny (w wersjach 3.5 i nowszych), ale można zmienić tę wartość. Synchronizacja przyrostowa nie nastąpi, dopóki na początku nie zostanie wykonana pełna synchronizacja. Gdy nowy przyrostowy przedział czasu jest wyłączony, program sprawdza zmiany na podstawie ostatniego znacznika czasu. | ||
| 3 | Na stronie Akcje kliknij opcję Synchronizuj teraz > Zwiększaj. W przypadku wszelkich zmian wprowadzonych przez użytkownika w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany 72 godziny od wykonania synchronizacji.
| ||
| 4 | Aby uzyskać informacje o błędach, kliknij opcję Uruchom przeglądarkę zdarzeń na pasku narzędzi Akcje , aby wyświetlić dzienniki błędów. |
Co zrobić dalej
Jeśli masz wiele domen, wykonaj ten krok w innych zainstalowanych instancjach łącznika usług katalogowych.
Odzyskaj przypadkowo usuniętych użytkowników
Łącznik usług katalogowych ma mechanizmy kontroli i równowagi, aby zapobiec niezamierzonemu usunięciu użytkowników. Niestety zdarzają się wypadki; być może nieprawidłowo skonfigurowano filtr LDAP w Active Directory, który usuwał niektórych użytkowników podczas synchronizacji z chmurą. Funkcja miękkiego usuwania może pomóc w odzyskaniu po tych wypadkach i przywróceniu kont użytkowników w Control Hub.
Domyślnie ta funkcja jest włączona dla wszystkich organizacji. Gdy użytkownicy są usuwani w chmurze, na przykład z powodu problemu z niedopasowanym obiektem po synchronizacji z łącznika usług katalogowych, można odzyskać użytkowników. Jeśli zauważyłeś niedopasowane obiekty lub zauważyłeś, że użytkownicy zostali usunięci, możesz być w stanie je odzyskać, jeśli działasz szybko.
| Użytkownicy są oznaczani jako nieaktywni w Control Hub, gdy odpowiednie konta są usuwane w usłudze Active Directory. Usługa chmury w tle zachowuje użytkowników do 7 dni. W tym okresie nadal można korzystać z Cisco Directory Connector, aby odzyskać użytkowników. Zalecamy jak najszybsze odzyskanie tych użytkowników. Użytkownicy wyłączeni w usłudze Active Directory są również oznaczani jako nieaktywni w Control Hub, ale konto użytkownika nie jest usuwane po 7 dniach. |
| 1 | Zaloguj się do Centrum sterowania . |
| 2 | Przejdź do użytkowników i potwierdź, czy określone konto użytkownika jest w stanie nieaktywnym, czy nie jest wymienione na liście. Aby uzyskać więcej informacji, zobacz Statusy użytkowników i działania w Control Hub. |
| 3 | Jeśli użytkownicy zostali usunięci w Control Hub lub zauważysz użytkowników w stanie nieaktywnym, przejdź do usługi Active Directory, dodaj brakujące konta użytkowników, a następnie wykonaj synchronizację przebiegu suchego w łączniku usług katalogowych. Celem narzędzia Directory Connector jest stworzenie dokładnego dopasowania informacji o użytkowniku w usłudze Active Directory i w chmurze. |
| 4 | Wykonaj pełną synchronizację, aby ponownie zsynchronizować tymczasowo usunięte konta użytkowników z Control Hub. Użytkownicy są odzyskiwani i przechodzą do stanu pierwotnego, w tym do stanu konta i przypisań usług. |
Co zrobić dalej
Wróć do Control Hub, przejdź do i potwierdź, że wcześniej usunięte konta użytkowników są wyświetlane na liście użytkowników.
Usuwanie użytkowników trwale po miękkim usunięciu
Po wykonaniu biegu suchego można trwale usunąć użytkowników, którzy zostali usunięci miękko podczas następnej synchronizacji.
| 1 | Po zakończeniu biegu suchego wybierz pozycję Obiekty usunięte miękko. |
| 2 | Zaznacz pole wyboru obok użytkowników, których chcesz usunąć. |
| 3 | Wybierz Gotowe . |
Co zrobić dalej
Podczas następnej synchronizacji zaznaczeni użytkownicy zostaną trwale usunięci.
Zmiana adresu e-mail aplikacji Webex
Jeśli chcesz zmienić adresy e-mail użytkownika, a Twoja organizacja korzysta z łącznika usług katalogowych, zmień te adresy e-mail w usłudze Active Directory. Procedura ta obejmuje sposób zmiany adresu e-mail aplikacji Webex dla jednej domeny oraz proces zmiany domeny.
| Jeśli chcesz zmienić tylko adres e-mail lub jakąś wartość dla jednego użytkownika, nie usuwaj użytkownika z usługi Active Directory, a następnie odtwórz nowy z tą samą wiadomością e-mail. Chmura interpretuje to działanie jako nowe konto użytkownika, a obszary użytkownika i inne dane w chmurze zostaną utracone. |
Aby zmienić adresy e-mail użytkowników bez zmiany domeny:
Wznów synchronizację w łączniku usług katalogowych.
Po kolejnej synchronizacji zmiany pojawiają się na liście użytkowników w Control Hub i dla użytkowników w aplikacji Webex po odświeżeniu pamięci podręcznej.
Ta metoda nie powoduje utraty danych ani obszarów. Unikatowy identyfikator użytkownika jest ustawiany w chmurze po pierwszej synchronizacji. Wszystkie kolejne synchronizacje są oparte na tym identyfikatorze.
W przypadku wdrożenia wielu domen za pomocą łącznika usług katalogowych, aby zmienić adresy e-mail użytkowników podczas zmiany domeny (weź pod uwagę przykładową 1.com starą domenę i przykładową2.com nową domenę):
W łączniku usług katalogowych wznawiaj synchronizację na przykład2.com
Przed kontynuowaniem sprawdź, czy konto użytkownika1@example2.com jest synchronizowane z Control Hub. Zalecamy poinstruowanie użytkownika, aby zweryfikował zmianę wiadomości e-mail w aplikacji Webex i aby wszystkie dane (obszary, wiadomości, spotkania, pliki itd.) zostały zachowane.
Za pomocą tej metody nie dochodzi do utraty danych ani obszarów, ale na nowym koncie użytkownika należy upewnić się, że atrybut Active Directory, który mapuje atrybut uid chmury, jest zachowany ze starego konta użytkownika. W przypadku zmiany wartości usługi Active Directory nowe konto nie zachowuje danych ze starego konta.
Po zweryfikowaniu zmiany adresu e-mail, a dane są nienaruszone, usuń stare konto użytkownika na stronie example1.com, a następnie użyj łącznika usług katalogowych, aby wznowić synchronizację na przykład1.com.
W tym momencie można bezpiecznie zaktualizować adres e-mail w nowej domenie Active Directory dla użytkownika1@example2.com.
Łącznik usług katalogowych nie ogranicza zmiany domeny poczty e-mail. Jednak po ponownej synchronizacji użytkownika z chmurą stan użytkownika zależy od tego, czy nowa domena zostanie zweryfikowana w Twojej organizacji. Jeśli domena nie zostanie zweryfikowana w Twojej organizacji, stan użytkownika zmieni się na Oczekujący po pełnej synchronizacji. Aby uzyskać więcej informacji, zobacz Zarządzaj swoimi domenami.
Jeśli Twoja organizacja nie korzysta z łącznika usług katalogowych, możesz zmienić adresy e-mail aplikacji Webex na stronie ustawień konta. Patrz Zmiana adresu e-mail dla Twojego konta po krokach, które użytkownicy mogą wykonać, aby zmienić swoje wiadomości e-mail.
Zmień domenę Active Directory
Tę procedurę można wykorzystać do tworzenia nowych domen i adresów e-mail. Synchronizują się z usługą tożsamości w chmurze.
| 1 | Skonfiguruj nową domenę Active Directory (AD). | ||
| 2 | Wyłącz synchronizację na wszystkich łącznikach. | ||
| 3 | Odinstaluj wszystkie złącza. | ||
| 4 | Otwórz sprawę, aby zmienić domenę. W zgłoszeniu przypadku poproś o usunięcie konfiguracji domeny i wszystkich atrybutów synchronizacji w Twojej organizacji.
| ||
| 5 | Po rozstrzygnięciu sprawy: Przed wykonaniem rzeczywistej synchronizacji wykonaj test z łącznikiem usług katalogowych. |
Roszczenie dotyczące domeny
Roszczenie dotyczące domeny występuje, jeśli zgłosisz domenę poczty e-mail dla organizacji, tak aby dowolne konto z boku zostało utworzone w organizacji płatnego klienta, a nie bezpłatnej organizacji konsumenckiej. Zgłoszenie domeny można wykonać tylko w przypadku pomocy technicznej (więcej informacji na ten temat można znaleźć w poniższym linku).
Jeśli łącznik usług katalogowych jest aktywny, a domena jest zgłaszana, konta zabezpieczone bocznie nie są tworzone ani w organizacji klienta, ani w bezpłatnej organizacji konsumenckiej. Tylko łącznik usług katalogowych może dostarczać konta organizacji z usługi Active Directory. Informacje przechowywane w usłudze Active Directory są oryginalnym źródłem. Jeśli spróbujesz odłożyć konto na bok, zaproszony użytkownik otrzyma błąd. Jedynym sposobem, w jaki zaproszony użytkownik może zostać dodany do obszaru aplikacji Webex, jest najpierw użycie łącznika usług katalogowych w celu dostarczenia konta do Control Hub.
Konwertuj bezpłatnych użytkowników aplikacji Webex w zsynchronizowanej organizacji katalogu
W katalogu aplikacji Webex można używać tylko unikatowych adresów e-mail. Jeśli użytkownicy zarejestrowali się w bezpłatnej wersji aplikacji Webex, ich konto istnieje w bezpłatnej organizacji konsumenckiej. Aby zarządzać użytkownikami w tej organizacji za pomocą łącznika usług katalogowych, zmigrowaj (przekonwertuj) ich do organizacji klienta przed włączeniem łącznika usług katalogowych. Następnie dodajemy użytkowników do usługi Active Directory z dokładnym adresem e-mail, a następnie synchronizujemy z chmurą.
Jeśli nie skonwertujesz kont przed aktywacją, wyłącz łącznik usług katalogowych, aby je przekonwertować.
Jeśli spróbujesz przekonwertować użytkownika, gdy synchronizacja katalogu jest włączona, komunikat o błędzie <email address=""> nie może zostać przekonwertowany
. Aby uniknąć problemu, możesz użyć tych kroków jako obejścia.
| Niektórzy zgłoszeni użytkownicy mogą pojawiać się z Jeśli nie dodasz tych użytkowników, zostaną oni usunięci obok synchronizacji z chmurą. |
| 1 | Wyłącz synchronizację katalogu z łącznika usług katalogowych. | ||
| 2 | Postępuj zgodnie z procedurą Konwertuj nielicencjonowanych użytkowników w Control Hub , aby przekonwertować użytkownika z bezpłatnej organizacji konsumenckiej do organizacji przedsiębiorstwa. W tym kroku użytkownik zostanie dodany do organizacji, a konto pojawi się w Control Hub. Łącznik usług katalogowych sprawia, że Active Directory jest jednym źródłem prawdy dla kont użytkowników, a celem jest dokładne dopasowanie między Active Directory a Control Hub. Przed ponownym włączeniem synchronizacji upewnij się, że w usłudze Active Directory istnieją użytkownicy pasujący do wszystkich niedawno przekonwertowanych użytkowników. Można użyć synchronizacji Dry Run, aby upewnić się, że nie ma żadnych niedopasowanych użytkowników. | ||
| 3 | W łączniku usług katalogowych wykonaj synchronizację z uruchomieniem suchym. Po zakończeniu próbnego przebiegu sprawdź kartę Dodaj obiekty. Sprawdź, czy przekonwertowani użytkownicy nie zostali usunięci.
| ||
| 4 | Gdy masz pewność, że następna synchronizacja nie usunie żadnych kont, włącz ponownie synchronizację katalogu z łącznika usług katalogowych. |
Konwertowane konta użytkowników nie są aktywowane automatycznie, jeśli nie zweryfikowałeś domeny. Jeśli na przykład włączysz szablon automatycznego przypisywania licencji, a następnie włączysz łącznik usług katalogowych bez weryfikacji domeny, przekonwertowani użytkownicy są nieaktywni w tle chmury, dopóki nie potwierdzą swoich adresów e-mail.
Konta użytkowników aplikacji Webex w systemie Sideboarded
Gdy zaprosisz innego użytkownika do obszaru w aplikacji Webex, jeśli zaproszony użytkownik nie ma konta aplikacji Webex, zostanie dla niego utworzone konto („z boku”). Domyślnie utworzone w ten sposób konta są dodawane do bezpłatnej organizacji konsumenckiej.
Jeśli chcesz zarządzać kontem bocznym za pomocą łącznika usług katalogowych, musisz przekonwertować konto.
Zmiana formatu nazwy użytkownika aplikacji Webex po synchronizacji katalogu
Domyślnie łącznik usług katalogowych mapuje atrybut displayName w usłudze Active Directory na atrybut displayName w chmurze.
Po wykonaniu synchronizacji katalogu mogą być wyświetlane nazwy użytkowników w formacie <lastName, firstName="">.
Ta nazwa użytkownika może się pojawić, jeśli displayName atrybut w usłudze Active Directory jest skonfigurowany w ten sposób. Gdy atrybut jest zmapowany do displayName w chmurze nazwy są wyświetlane w formacie <lastName, firstName=""> w Control Hub.
Aby zmienić format, na ekranie mapowania atrybutów łącznika usług katalogowych: mapowanie atrybutu usługi Active Directory givenName sn(lub) sn givenName) do displayName w nazwach atrybutów Cisco Cloud.
Alternatywnie, mapuj atrybut sn givenName do displayName:
Możesz również użyć opcji Dostosuj atrybuty, jeśli chcesz odwzorować własne niestandardowe wyrażenie atrybutu na displayName.
Na przykład wprowadź givenName + "" + sn(imię, spacja, nazwisko) jako wyrażenie. Ta funkcja mapuje dwa atrybuty w usłudze Active Directory do displayName w chmurze.
Zezwalaj użytkownikom na zmianę nazw wyświetlanych w aplikacji Webex Meetings
Możesz usunąć mapę displayName atrybut synchronizacji z chmurą w łączniku usług katalogowych, jeśli chcesz zezwolić użytkownikom na edytowanie preferowanych nazw wyświetlanych. Użytkownicy mogą wprowadzić nazwę wyświetlaną do wyświetlenia podczas spotkań Webex zamiast imienia i nazwiska. Administratorzy mogą również ręcznie zmienić nazwę wyświetlaną użytkownika w Control Hub.
| 1 | W łączniku usług katalogowych kliknij pozycję Konfiguracja, a następnie wybierz opcję Mapowanie atrybutów użytkownika. |
| 2 | Wybierz opcję displayName w obszarze Cisco Cloud Attribute Name. |
| 3 | Wybierz Nie synchronizuj tego atrybutu. |
Co zrobić dalej
Użytkownicy mogą teraz edytować swoje nazwy wyświetlane z witryny Webex.
Uaktualnienie do najnowszej wersji oprogramowania
Aby zapewnić zgodność wdrożenia i uzyskać najnowsze funkcje, funkcjonalność, poprawki błędów i ulepszenia zabezpieczeń, należy zawsze uaktualnić do najnowszej wersji łącznika usług katalogowych. Jeśli nie dokonasz aktualizacji do najnowszej dostępnej wersji, mogą wystąpić problemy, takie jak łącznik usług katalogowych, który nie synchronizuje się prawidłowo lub jest w wersji, która nie obsługuje obowiązkowego wymogu TLS 1.2.
Łącznik usług katalogowych automatycznie powiadamia o dostępności nowej wersji. Zawsze aktualizuj ją do najnowszej wersji, aby uniknąć problemów. Na pasku zadań systemu Windows widoczne jest również powiadomienie.
| Chociaż można ręcznie zainstalować aktualizacje oprogramowania złącza, zalecamy, aby postępować zgodnie z instrukcjami w Ustawianie automatycznych aktualizacji , aby aplikacja mogła zarządzać uaktualnieniami automatycznie. |
| 1 | Kliknij powiadomienie na pasku zadań systemu Windows lub kliknij prawym przyciskiem myszy ikonę łącznika usług katalogowych na pasku zadań systemu Windows, aby rozpocząć proces uaktualniania. |
| 2 | Postępuj zgodnie z instrukcjami, aby zakończyć uaktualnianie. |
| 3 | Ponownie uruchom złącze i zaloguj się przy użyciu poświadczeń administratora. |
| 4 | Zweryfikuj numer wersji oprogramowania pod . |
Co zrobić dalej
W celu zainstalowania nowego łącznika usług katalogowych można pobrać plik zip, a następnie wykonać czynności instalacji w tym przewodniku.
Konfigurowanie ustawień ogólnych dla łącznika usług katalogowych
Ta procedura służy do konfigurowania ogólnych ustawień, takich jak nazwa serwera z uruchomionym łącznikiem usług katalogowych, poziomy dziennika, automatyczne uaktualnienia i preferowane ustawienia kontrolerów domeny. Nazwa złącza pojawia się na desce rozdzielczej w sekcji złączy, wraz z innymi uruchomionymi złączami.
| 1 | Z łącznika usług katalogowych przejdź do Konfiguracja, a następnie kliknij opcję Ogólne. | ||
| 2 | W polu Nazwa łącznika wprowadź nazwę łącznika. W tym polu jest wyświetlana tylko nazwa komputera, na którym jest aktualnie uruchamiane złącze. | ||
| 3 | Wybierz poziom dziennika z listy rozwijanej. Domyślnie poziom dziennika jest ustawiony na info. Dostępne poziomy dzienników to:
| ||
| 4 | Wybierz Preferowanych kontrolerów domeny , aby ustawić kolejność kontrolerów domeny do synchronizowania tożsamości. Kontrolery domeny są dostępne od góry do dołu. Jeśli górny sterownik jest niedostępny, wybierz drugi sterownik na liście. Jeśli na liście nie ma kontrolera, można uzyskać dostęp do kontrolera głównego. | ||
| 5 | Jeśli chcesz, aby nastąpiły automatyczne uaktualnienia, sprawdź automatyczne uaktualnianie do nowej wersji Cisco Directory Connector. Zawsze ważne jest, aby oprogramowanie Cisco Directory Connector było aktualne do najnowszej wersji. Zalecamy sprawdzenie tego ustawienia, aby umożliwić automatyczne uaktualnienia do oprogramowania, które mają być zainstalowane cicho, gdy są dostępne. | ||
| 6 | Zaznacz opcję LDAP za pomocą protokołu SSL, aby użyć bezpiecznego protokołu LDAP (LDAPS) jako protokołu połączenia.
Protokół LDAP (Lightweight Directory Application Protocol) i Secure LDAP (LDAPS) to protokoły połączeń używane między aplikacją a kontrolerem domeny w ramach infrastruktury. Komunikacja LDAPS jest szyfrowana i zabezpieczona. |
Skonfiguruj politykę łącznika
Można ustawić maksymalną liczbę usunięć, które mogą wystąpić podczas synchronizacji. Trwająca synchronizacja nie usuwa obiektów z lokalnej usługi Active Directory. Wszystkie obiekty są usuwane tylko z chmury.
Na przykład ustaw 1 jako wartość progowa usuwania. Gdy wykonujesz pełną lub stopniową synchronizację, jeśli liczba użytkowników, których chcesz usunąć, jest większa niż ustawienie, konektor książki adresowej wyświetla ostrzeżenie. Po kliknięciu opcji Zastąp warunki progowe można z powodzeniem rozpocząć pełną lub stopniową synchronizację, ale przy następnym uruchomieniu zasad zostanie wyświetlony komunikat o zastąpieniu.
| 1 | W łączniku usług katalogowych kliknij opcję Konfiguracja, a następnie wybierz opcję Zasady. | ||
| 2 | Zaznacz pole Włącz usuwanie wyzwalacza progu , jeśli chcesz dodać wyzwalacz progu. Wybranie tej opcji spowoduje uruchomienie alertu, jeśli liczba usunięć przekroczy próg. Gdy konto usuwania przekroczy zdefiniowane konto, synchronizacja zakończy się niepowodzeniem.
| ||
| 3 | Wprowadź maksymalną liczbę usunięć, które chcesz. Wartość domyślna to 20.
| ||
| 4 | Kliknij Zastosuj . |
Ustawianie harmonogramu łącznika
Ustaw synchronizację czasu w usłudze Active Directory. Failover jest używany do wysokiej dostępności (HA). Jeśli jedno złącze jest w dół, po wstępnie zdefiniowanym odstępie przełączamy się na inne złącze standby.
| 1 | W łączniku usług katalogowych kliknij pozycję Konfiguracja, a następnie wybierz Harmonogram. |
| 2 | Określ Interwał Synchronizacji Wzrostowej w minutach. Domyślnie synchronizacja przyrostowa jest ustawiana co 30 minut. Pełna synchronizacja przyrostowa nie nastąpi, dopóki na początku nie zostanie wykonana pełna synchronizacja. |
| 3 | Zmień Wyślij raporty według… wartość czasu , jeśli chcesz zmienić częstotliwość wysyłania raportów. |
| 4 | Zaznacz opcję Włącz harmonogram pełnej synchronizacji , aby określić dni i godziny, w których ma nastąpić pełna synchronizacja. |
| 5 | Określ interwał awaryjny w minutach. |
| 6 | Kliknij Zastosuj . |
Wiele scenariuszy domen
Wiele domen opiera się na priorytecie domeny. W przypadku obiektów, które mają tę samą wartość klucza w różnych domenach, po synchronizacji dane z domeny o wyższym priorytecie ponownie zapisują dane z domeny o niższym priorytecie.
Obiekty o tej samej wartości klucza są połączone w jeden rekord w bazie danych.
Wartość klucza dla „użytkownika” to adres e-mail; wartością klucza dla „grupy” jest nazwa grupy.
Przykład zastosowania dla wielu domen
Ten przykład zakłada organizację z dwoma domenami: example1.com i example2.com, według priorytetu.
Dodaj użytkownika1 (e-mail: user@example1.com) do Active Directory z example1.com.
Dodaj grupę1 (nazwa grupy: Test) do usługi Active Directory w przykładzie1.com.
Dodaj użytkownika2 (e-mail: user@example2.com) do Active Directory z example2.com.
Dodaj grupę2 (nazwa grupy: Test) do usługi Active Directory na przykładzie2.com.
- Synchronizacja na przykład1.com
-
W przypadku użycia użytkownik2 i grupa2 są synchronizowane z chmurą i pojawiają się w https://admin.webex.com, podczas gdy użytkownik1 i grupa1 nie są.
Jeśli wykonujesz pełną lub stopniową synchronizację na przykład1.com, użytkownik1 i grupa1 są synchronizowane. Ponadto użytkownik2 i grupa2 są nadpisywane przez informacje użytkownika1 i grupy1.
Użytkownik1 łączy się z użytkownikiem2 jako ten sam rekord w bazie danych; grupa1 łączy grupę2 jako ten sam rekord w bazie danych.
- Synchronizacja na stronie example1.com i example2.com
-
W przypadku użycia użytkownik2 i grupa2 są synchronizowane z chmurą i pojawiają się w https://admin.webex.com, podczas gdy użytkownik1 i grupa1 nie są.
Należy wziąć pod uwagę następujące kroki:
- Usuń użytkownika1 i grupę1 na przykład w usłudze Active Directory1.com.
- Wykonaj pełną lub stopniową synchronizację na przykład1.com.
Wynik: informacje użytkownika nie zostaną zmienione w https://admin.webex.com. Użytkownik2 nie jest powiązany z użytkownikiem1, a grupa2 nie jest powiązana z grupą1.
- Wykonaj synchronizację przyrostową na przykład2.com.
Wynik: informacje użytkownika nie zostaną zmienione w https://admin.webex.com.
- Wykonaj pełną synchronizację na przykład2.com.
Wynik: informacje użytkownika2 i grupy2 są wymienione w https://admin.webex.com.
Synchronizuj Nową Domenę I Zachowaj Istniejącą Domenę
Jeśli chcesz zsynchronizować nową domenę (B), zachowując zsynchronizowane dane użytkownika w innej istniejącej domenie (A), upewnij się, że na obsługiwanym serwerze Windows zostanie zainstalowany łącznik usług katalogowych do synchronizacji domeny (B). Łącznik łączy się z nową domeną po wstępnej konfiguracji, a informacje o użytkowniku w domenie (A) pozostają niezmienione.
Każda domena musi mieć własne aktywne złącze. Rozważ dwie domeny z następującą konfiguracją: domena A ze złączami (ca1) i (ca2) dla lokalnej wysokiej dostępności (HA); domena B ze złączem (cb1). (ca1) i (ca2) służą domenie A. W tym scenariuszu jedno złącze jest aktywne, a drugie jest w trybie gotowości (HA). Ta konstrukcja utrzymuje zsynchronizowaną domenę, ponieważ jeden łącznik jest zawsze aktywny. Tak więc cb1 jest aktywnym łącznikiem dla domeny B, ponieważ domena A ma już aktywne złącze (ca1 lub ca2).
Ustawianie priorytetu domeny
Użyj tej procedury, aby zmienić priorytet domen Active Directory. Priorytet domeny umożliwia określenie domeny podstawowej, domeny drugorzędnej itd. Pomaga to, gdy dwóch użytkowników z dwóch różnych domen ma tę samą wartość poczty e-mail zsynchronizowaną z jedną organizacją.
Nie należy korzystać z tej procedury, jeśli w łączniku usług katalogowych znajduje się jedna domena. Jeśli spróbujesz, złącze wyświetli komunikat informujący, że priorytet domeny nie jest wymagany.
Przed rozpoczęciem
Aby uniknąć błędów, zainstaluj lub uaktualnij do najnowszej wersji złącza katalogu Cisco. Należy ją pobrać z https://admin.webex.com.
| 1 | W łączniku książki telefonicznej Cisco kliknij Pulpit nawigacyjny. | ||
| 2 | Przejdź do Akcji, a następnie kliknij opcję Ustaw priorytet domeny. | ||
| 3 | Zaznacz jedną domenę na liście, kliknij przycisk W górę lub w dół , aby zmienić priorytet tej domeny, a następnie kliknij przycisk Zapisz , aby zapisać tę zmianę.
|
Przełącz domeny
Ta procedura umożliwia ponowne powiązanie łącznika katalogu Cisco z inną domeną.
Przed rozpoczęciem
Przed przełączeniem domen upewnij się, że nie są uruchomione żadne zadania synchronizacji.
Aby uniknąć błędów, zainstaluj lub uaktualnij do najnowszej wersji złącza katalogu Cisco. Należy go pobrać z Control Hub.
| 1 | W łączniku książki telefonicznej Cisco kliknij Pulpit nawigacyjny. |
| 2 | Przejdź do Akcji, a następnie kliknij opcję Przełącz domenę. |
| 3 | Po przeczytaniu ostrzeżenia, jeśli rozumiesz wpływ tej zmiany na wdrożenie i nadal masz pewność, kliknij Tak. Jeśli przełączasz domenę, to jesteś wylogowany z bieżącego złącza katalogu Cisco, inne domeny w złączu są niezarejestrowane, a informacje o złączu na tym komputerze są usuwane. |
| 4 | Zaloguj się ponownie do złącza katalogu Cisco i ponownie wiążesz domenę. |
Wyłączanie synchronizacji katalogu
Jeśli konieczne jest zatrzymanie synchronizacji z łącznika usług katalogowych, można tymczasowo wyłączyć go z Control Hub.
| 1 | Z widoku klienta w https://admin.webex.com, przejdź do , przewiń do synchronizacji katalogu, a następnie wybierz jedną z następujących opcji:
|
| 2 | Po przeczytaniu monitu kliknij przycisk Wyłącz. Synchronizacja zostaje zatrzymana do momentu ponownego włączenia jej z łącznika usług katalogowych. |
Usuń mapowanie atrybutów użytkownika
Użyj łącznika usług katalogowych, aby usunąć mapowanie atrybutów usługi Active Directory uprzednio zmapowanych do chmury i zsynchronizowanych z usługą Webex. Po usunięciu mapowania atrybutów wartości atrybutów są usuwane z chmury i nie są już synchronizowane z Webex. Te wartości można następnie edytować ręcznie.
| 1 | W łączniku usług katalogowych kliknij pulpit nawigacyjny. |
| 2 | Przejdź do Akcji, a następnie kliknij . |
| 3 | Wybierz mapowanie, aby usunąć je z listy Nazwa atrybutu. |
| 4 | W obszarze Dotknięty zakres użytkownika wybierz jedną z następujących opcji:
|
| 5 | Kliknij Zastosuj . |
Zarządzaj zdjęciami profilowymi
Użyj łącznika usług katalogowych, aby zaktualizować zdjęcia profilu użytkownika lub usunąć puste zdjęcia profilu użytkownika.
| 1 | W łączniku usług katalogowych kliknij pulpit nawigacyjny. |
| 2 | Przejdź do Akcji, a następnie kliknij . |
| 3 | W obszarze Akcje wybierz jedną z następujących opcji:
|
| 4 | Kliknij Zastosuj . |
Odinstaluj i dezaktywuj łącznik usług katalogowych
Po odinstalowaniu wystąpienia łącznika usług katalogowych należy go wyrejestrować. Całkowicie usuń łącznik usług katalogowych dla każdego z tych scenariuszy:
Nie chcesz już korzystać z synchronizacji katalogu.
Nie chcesz używać jednego z wielu łączników katalogu (wysoka dostępność).
Chcesz zmienić domenę i zainstalować inne złącze.
Przed rozpoczęciem
Istnieje możliwość skonfigurowania wielu instancji łącznika usług katalogowych w celu zapewnienia wysokiej dostępności (HA) lub synchronizacji wielu domen. Wyłącz synchronizację, jeśli odinstalujesz jedyną lub ostatnią pozostałą instancję łącznika usług katalogowych.
Zapisz i zamknij wszystkie ważne prace przed odinstalowaniem łącznika usług katalogowych.
| 1 | Na komputerze z systemem Windows przejdź do panelu sterowania, a następnie kliknij Programy i funkcje. |
| 2 | Na liście programów kliknij przycisk Łącznik usług katalogowych, wybierz opcję Odinstaluj, a następnie postępuj zgodnie z monitami. Być może konieczne będzie ponowne uruchomienie systemu, aby zakończyć demontaż. |
| 3 | Z widoku klienta w https://admin.webex.com, przejdź do , przewiń do synchronizacji katalogu, kliknij więcej |
| 4 | Po przeczytaniu monitu kliknij przycisk Dezaktywuj. Jeśli w wdrożeniu wysokiej dostępności (HA) nie ma innego łącznika usług katalogowych, konta użytkowników nie są już synchronizowane. |
Uruchom narzędzie diagnostyczne
Możesz użyć wbudowanego narzędzia diagnostycznego do rozwiązywania problemów z wdrożeniem łącznika usług katalogowych. To narzędzie jest instalowane jako część łącznika usług katalogowych 3.4.
Jeśli synchronizacja nie działała prawidłowo, może wystąpić błąd konfiguracji lub sieci. To narzędzie testuje połączenie z LDAP , aby można było samodzielnie zdiagnozować błędy przed skontaktowaniem się z pomocą techniczną. Jeśli narzędzie zwróci błąd, możesz wysłać szczegółowe wyniki dziennika, aby je obsługiwać.
Aby uruchomić testy dla usług domenowych Active Directory:
Aby uruchomić testy dla usług Active Directory Lightweight Directory:
Aby przeprowadzić testy dla protokołu LDAP (Lightweight Directory Access Protocol):
Rozwiązywanie problemów i poprawki dotyczące łącznika usług katalogowych
W łączniku usług katalogowych może wystąpić komunikat o błędzie lub inny problem. Ponadto, po zsynchronizowaniu informacji o użytkowniku z łącznikiem usług katalogowych, łącznik może wysłać Ci raport e-mail z listą wszelkich problemów z synchronizacją. W poniższych sekcjach przedstawiono problemy, które mogą się pojawić, możliwe przyczyny i proponowane rozwiązania, które można wypróbować przed skontaktowaniem się z pomocą techniczną.
Instaluj
Konektor usług katalogowych przestał działać
Otrzymano wiadomości e-mail z powiadomieniem, że łącznik usług katalogowych nie działa.
Złącze usług katalogowych może nie być poprawnie zainstalowane.
Łącznik usług katalogowych może nie być uruchomiony.
Sieć może być niedostępna.
Wypróbuj następujące opcje:
Otwórz . Znajdź łącznik usług katalogowych. Jeśli jej tam nie ma, pobierz najnowszą wersję z Control Hub i zainstaluj ją.
Otwórz usługę i znajdź usługę Cisco DirSync. Upewnij się, że jest wyświetlany status jako Started. Jeśli usługa zostanie zatrzymana, kliknij prawym przyciskiem myszy i wybierz opcję Rozpocznij, aby ponownie uruchomić usługę.
Upewnij się, że serwer, na którym zainstalowano łącznik usług katalogowych, ma dostęp do Internetu.
Błąd ponownej instalacji
Problem— Jeśli po odinstalowaniu starego złącza natychmiast zostanie zainstalowane nowe złącze, może pojawić się komunikat o błędzie.
Możliwa przyczyna — w systemie Windows Server 2012 klient odinstalowania potrzebuje czasu, aby usunąć konto usługi z listy usług.
Rozwiązanie — po upływie pewnego czasu spróbuj ponownie wykonać instalację.
Zaloguj się
Łącznik usług katalogowych zawiesza się podczas logowania jednokrotnego
Problem
Łącznik usług katalogowych może ulec awarii po wprowadzeniu adresu e-mail ze strony logowania jednokrotnego.
Rozwiązanie
Wypróbuj następujące opcje:
Wykonaj następujące czynności, aby skonfigurować nową politykę grupy:
Przejdź do kontrolera domeny i otwórz Zarządzanie zasadami grupy (gpedit.msc).
Kliknij prawym przyciskiem myszy określoną jednostkę organizacyjną lub domenę i wybierz opcję Utwórz GPO w tej domenie, a następnie Połącz ją tutaj…
Nadaj polityce nazwę, a następnie kliknij prawym przyciskiem myszy i wybierz Edytuj.
Wykonać poniższe kroki, aby zmienić zasady na poziomie maszyny:
Przejdź do , kliknij prawym przyciskiem myszy pozycję Rejestr, wybierz Nowy, a następnie Element Rejestru.
W przypadku ścieżki kluczy, wprowadź lub przejdź do HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.
Wprowadź
Disable Script Debuggerdla wartości i wprowadźnodla danych wartości.Ustawienia powinny pasować do tego zrzutu ekranu:
Wykonaj następujące czynności, aby zmienić zasady na poziomie użytkownika:
Przejdź do , kliknij prawym przyciskiem myszy pozycję Rejestr, wybierz Nowy, a następnie Element Rejestru.
W przypadku ścieżki klucza wprowadź lub przejdź do HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main.
Wprowadź
Disable Script Debuggerdla wartości i wprowadźnodla danych wartości.Ustawienia powinny pasować do tego zrzutu ekranu:
| Zmiany wchodzą w życie po uruchomieniu |
Nie Można Zarejestrować Łącznika Serwisowego Cisco DirSync
Problem
Logowanie nie powiedzie się i pojawi się następująca wiadomość: „Nie można zarejestrować łącznika usługi Cisco DirSync.”
Rozwiązanie
System Windows, na którym zainstalowany jest łącznik usług katalogowych, musi być członkiem usługi Active Directory.
Nie Pojawi Się Strona logowania
Problem
Otworzyłeś łącznik usług katalogowych, a strona logowania nie była wyświetlana.
Rozwiązanie
Wykonaj następujące czynności:
W programie Internet Explorer przejdź do https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Wypróbuj łącze w innych przeglądarkach, takich jak Chrome i Firefox.
Jeśli Internet Explorer nie może odwiedzić łącza, ale inne przeglądarki mogą, zaznacz ustawienia programu Internet Explorer i zaznacz pola wyboru TLS 1.1 i 1.2. (Użyj Włącz TLS w procedurze Internet Explorer ).
Pojawi się komunikat o logowaniu
Problem
Pojawi się monit o wprowadzenie nazwy użytkownika i hasła w celu przekazania uwierzytelnienia.
Możliwe przyczyny
Łącznik usług katalogowych wykonuje uwierzytelnianie zabezpieczeń NTLM po cichu przy użyciu konta logowania. Jeśli uwierzytelnianie nie powiedzie się, pojawi się okno dialogowe z zapytaniem o nazwę użytkownika i hasło uwierzytelniania.
Rozwiązanie
Po wyświetleniu wyskakującego okna logowania należy podać prawidłowe konto z poprawnym uwierzytelnieniem w celu przejścia zabezpieczeń.
Nie można nawiązać połączenia z serwerem zdalnym
Problem
Podczas normalnej pracy wyświetlony zostanie komunikat o błędzie: „Nie można nawiązać połączenia z serwerem zdalnym”.
Możliwe przyczyny
Mogą wystąpić problemy z serwerem proxy, które muszą zostać rozwiązane.
Rozwiązanie
Aby uzyskać więcej informacji na temat rozwiązywania problemów, zobacz Rozwiązywanie problemów z logowaniem do konta usługi .
Nie można zarejestrować łącznika
Problem
Pojawi się komunikat o błędzie „Nie można zarejestrować łącznika. Wystąpił ogólny wyjątek.”
Możliwe przyczyny
W większości przypadków problem polega na tym, że łącznik usług katalogowych nie ma uprawnień do łączenia się z kontekstem głównym usługi LDAP.
Rozwiązanie
Wypróbuj następujące opcje:
Uruchom wiersz polecenia (cmd), a następnie wprowadź ldp.exe.
Kliknij przycisk , wybierz opcję Bind jako aktualnie zalogowanego użytkownika, a następnie kliknij przycisk OK.
Kliknij przycisk , wprowadź DC=arbonneintl,DC=ad jako BaseDN, a następnie kliknij przycisk OK.
Jeśli problem nie ustąpi, należy wszcząć postępowanie z pomocą.
Synchronizacja
Awatary nie są synchronizowane
Problem
Łącznik katalogu Cisco zsynchronizował dane AD użytkownika z chmurą Webex. Ale żadne dane awatara nie zostały zsynchronizowane.
Możliwe przyczyny
Jeśli ponownie użyłeś istniejącego serwera awatara, a awatary użytkownika były już zsynchronizowane, lokalna pamięć podręczna przechwytuje je i unika ponownej synchronizacji, aby zaoszczędzić przepustowość.
Rozwiązanie
Usuń lokalną pamięć podręczną, wykonując następujące czynności:
Przejdź do C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Usuń DirSyncPluginAvatar.dll-cache.bin.
Uruchom ponownie synchronizację awatara ze złącza katalogu Cisco.
Konflikt kont e-mail użytkowników
Problem
Wyniki synchronizacji mogą pokazywać sprzeczne konta e-mail użytkownika.
Jeśli użytkownicy wypróbowali bezpłatną wersję aplikacji Webex, ich adresy e-mail znajdują się w bezpłatnej organizacji konsumenckiej.
Jeśli wiadomości e-mail użytkowników były kiedykolwiek synchronizowane w innej organizacji.
Jeśli wiadomości e-mail użytkowników istnieją w wielu domenach należących do organizacji.
Rozwiązanie
Wypróbuj następujące opcje:
Postępuj zgodnie z tymi krokami, jeśli próbujesz zgłosić użytkowników:
Upewnij się, że zweryfikowałeś domenę w Control Hub.
Tymczasowo wyłącz łącznik Cisco Directory Connector.
Użyj opcji Zgłoś użytkownika w Control Hub, aby zgłosić wszelkie konta, które mogą istnieć w bezpłatnej organizacji konsumenckiej. Aby uzyskać więcej informacji, zobacz Zgłaszanie użytkowników do organizacji (Konwertowanie użytkowników) .
Wykonaj serię suchą w Cisco Directory Connector, a następnie ponownie włącz synchronizację katalogu
W ostatnim przypadku sprawdź dwukrotnie dane użytkownika w źródłach Active Directory.
Przekonwertowany użytkownik oznaczony jako nieaktywny
Problem
W zsynchronizowanym środowisku katalogu użytkownik został przekształcony w darmową organizację (organizację konsumencką) w organizację przedsiębiorstwa, ale użytkownik przekształcony nie może zalogować się do aplikacji Webex.
Możliwe przyczyny
Gdy wolny użytkownik jest konwertowany do organizacji przedsiębiorstwa, użytkownik jest oznaczany jako stan nieaktywny przez 30 dni jako środek zgodności z zasadami bezpieczeństwa. W tym okresie użytkownik nie może zalogować się do aplikacji Webex i jest oznaczony do usunięcia pod koniec 30-dniowego okresu. Sytuacja ta występuje, ponieważ wolne informacje o użytkowniku nie znajdują się w usłudze Active Directory.
Rozwiązanie
Jeśli nie chcesz, aby konto użytkownika zostało usunięte, musisz podjąć działania. Aby rozwiązać ten problem, utwórz konto użytkownika w lokalnym usłudze Active Directory, które odpowiada przekonwertowanemu darmowemu kontu użytkownika. Następnie wykonaj synchronizację z łącznika usług katalogowych Cisco. Następnie użytkownik może ponownie zalogować się do aplikacji Webex i konto nie zostanie usunięte.
Zwiększona synchronizacja nie powiodła się
Problem
Synchronizacja przyrostowa nie powiedzie się.
Ten problem może wystąpić w systemie Windows Server 2008 R2 w następujących warunkach:
Obsługujesz aktualizacje wartości przyrostowej.
Filtr, którego używasz odnosi się do powiązanego atrybutu wartości.
Wartości wyników tego atrybutu zostały zaktualizowane od ostatniego wykonania pełnej synchronizacji.
Rozwiązanie
Windows Server 2008 R2 ma błąd związany z tym problemem. Błąd został naprawiony w 2012 R2 i później. Zalecamy uaktualnienie serwera Windows Server do co najmniej 2012 R2.
Nieprawidłowa wartość atrybutu
Problem
Dla [user dn (nazwa wyróżniająca)] atrybut [nazwa atrybutu] ma następującą nieprawidłową wartość [wartość atrybutu].
Możliwe przyczyny
W przypadku CN=b,OU=Pracownicy,OU=Użytkownicy C,DC=c,DC=com atrybut [numer telefonu] ma następującą nieprawidłową wartość: +. Ten atrybut musi zawierać co najmniej jedną liczbę.
Rozwiązanie
Atrybut dla tego użytkownika nie ma prawidłowej wartości. Napraw swoją wartość zgodnie z opisem w komunikacie ostrzegawczym. Następnie wykonaj inną synchronizację.
Dopasowani użytkownicy, którzy mają zostać usunięci
Problem
Dopasowani użytkownicy są oznaczani jako usunięci.
Podczas synchronizacji z suchym uruchomieniem w celu sprawdzenia danych między usługą Active Directory a chmurą można zobaczyć ten sam adres e-mail w obu. Użytkownik jest jednak oznaczony jako obiekt, który ma zostać usunięty.
Rozwiązanie
Wybierz odpowiednią poprawkę:
Jeśli można usunąć użytkownika i ponownie wykonać licencje, można użyć łącznika usług katalogowych do naprawy. Wykonaj synchronizację, aby usunąć użytkownika, a następnie wykonaj kolejną synchronizację, aby zsynchronizować użytkownika z usługi AD w siedzibie firmy do chmury.
Jeśli nie możesz usunąć i odtworzyć konta użytkownika, otwórz sprawę z pomocą techniczną.
Brakujący Atrybut
Problem
Wymagany atrybut [attribute_name] podczas dodawania wpisu w siedzibie [użytkownik dn (nazwa wyróżniająca)]. Wpis nie zostanie utworzony w Control Hub, dopóki wszystkie wymagane atrybuty nie będą miały wartości.
Możliwe przyczyny
Brakuje adresu e-mail wymaganego atrybutu. Podczas dodawania wejścia lokalnego [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local] wpis nie zostanie utworzony w Control Hub, dopóki wszystkie wymagane atrybuty nie będą miały wartości.
Rozwiązanie
Brakuje jednego z wymaganych atrybutów użytkownika [user_email_address]. Podaj wymagane wartości dla tego użytkownika.
Niezsynchronizowana grupa nie będzie
Problem
Użytkownicy z zagnieżdżonej grupy Active Directory nie są prawidłowo synchronizowani z chmurą.
Możliwe przyczyny
Stosowany jest filtr, który obejmuje zarówno grupę dzieci, jak i grupę rodziców, która nie jest obsługiwana. Na przykład: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Rozwiązanie
Należy ponownie skonfigurować filtr synchronizujący grupy. Na przykład: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
Konflikt nazewnictwa użytkownika
Problem
Występuje konflikt nazw dla [user dn] istniejącego obiektu wejścia w chmurze o nazwie: [adres e-mail użytkownika] i typ użytkownika [user_type].
Możliwe przyczyny
Użytkownik z tym adresem e-mail już istnieje w Control Hub.
Rozwiązanie
Utwórz użytkownika w usłudze Active Directory z tym samym adresem e-mail, co konto zarejestrowane przez Control Hub.
Control Hub
Brak listy użytkowników w Control Hub
Problem
Jeśli masz organizację Webex z ponad 1000 zsynchronizowanymi użytkownikami, lista użytkowników może nie być widoczna w Control Hub.
Rozwiązanie
Możesz użyć funkcji wyszukiwania, aby znaleźć konto użytkownika. W Control Hub przejdź do użytkowników, kliknij wyszukiwanie 
, a następnie wprowadź kryteria wyszukiwania, aby zlokalizować określonego użytkownika.
Grupy nie zostaną zsynchronizowane z Control Hub
Problem
Użytkownicy w grupie katalogów nie będą prawidłowo synchronizowani z Control Hub.
Możliwe przyczyny
Grupa nie jest oznaczona jako isCriticalSystemObject w Active Directory.
Rozwiązanie
Upewnij się, że atrybut isCriticalSystemObject jest ustawiony na TRUE w Active Directory.
Włącz rozwiązywanie problemów z łącznikiem usług katalogowych
Rozwiązywanie problemów można włączyć, aby pomóc zdiagnozować wszelkie błędy napotkane w łączniku usług katalogowych. Rozwiązywanie problemów umożliwia przechwytywanie informacji o ruchu w sieci i zapisywanie ich w pliku.
Pliki dziennika, które są: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 | Uruchom | ||
| 2 | Uruchom ponownie usługę. Aby uzyskać wskazówki, zobacz Jak Rozpoczynać Usługi. | ||
| 3 | W łączniku usług katalogowych kliknij pulpit nawigacyjny. | ||
| 4 | Przejdź do Akcji, a następnie kliknij . | ||
| 5 | Po włączeniu rozwiązywania problemów należy powtórzyć działania, które spowodowały błąd; rejestruje to dane o ruchu drogowym, aby można je było zbadać. | ||
| 6 | Sprawdzić pliki dziennika: jeśli plik jest pusty, upewnij się, że konto ma uprawnienia do dostępu do usług AD DS lub usług LDS w usłudze AD.
| ||
| 7 | W razie potrzeby wyślij plik dziennika, aby uzyskać pomoc. | ||
| 8 | Wyłącz funkcję rozwiązywania problemów po zakończeniu. |
Uruchom przeglądarkę wydarzeń
Aby zobaczyć zdarzenia, które wystąpiły podczas pełnej lub stopniowej synchronizacji, uruchom przeglądarkę zdarzeń. Wyświetla podsumowanie zdarzeń administracyjnych i dzienników błędów.
| 1 | Z łącznika usług katalogowych przejdź do konsoli, a następnie kliknij . Okno dialogowe Właściwości zdarzenia pokazuje szczegóły zdarzenia synchronizacji i szczegóły błędu. |
| 2 | Z Podglądu zdarzeń przejdź do .
|
| 3 | W obszarze Akcje kliknij przycisk Zapisz wszystkie wydarzenia , aby wyeksportować wszystkie dzienniki jako pojedynczy plik zdarzeń (*.evtx) lub inny format, taki jak xml lub csv. |
Co zrobić dalej
Jeśli chcesz otworzyć sprawę, skontaktuj się z pomocą techniczną, opisz problem z łącznikiem, a następnie dołącz plik Events do sprawy.
| Dzienniki zdarzeń rejestrują działania użytkownika. Aby uzyskać pomoc w zarządzaniu ruchem sieciowym, włącz rozwiązywanie problemów na łączniku. |
Włącz TLS w przeglądarce Internet Explorer
Po przełączeniu dostawców jednokrotnego logowania (SSO) mogą być wyświetlane następujące komunikaty o błędach ze złącza katalogu Cisco:
Wystąpił błąd podczas logowania do usługi
W skrypcie na tej stronie wystąpił błąd
Jeśli zobaczysz te błędy, musisz włączyć ustawienie TLS w przeglądarce.
| 1 | Otwórz przeglądarkę Internet Explorer, a następnie wybierz Narzędzia. Teraz zaznacz pola dla wersji TLS/SSL, którą chcesz włączyć Kliknij przycisk OK Zamknij przeglądarkę i otwórz ją ponownie |
| 2 | Kliknij opcję Opcje internetowe , przejdź do opcji Zaawansowane , przewiń do opcji Bezpieczeństwo. |
| 3 | Zaznacz pola wyboru Użyj TLS 1.1 i Użyj TLS 1.2 , a następnie kliknij przycisk OK.
|
| 4 | Uruchom ponownie system, aby zmiany weszły w życie. |
Rozwiązywanie problemów z błędami logowania do konta usługi
Jeśli nie możesz zalogować się do łącznika usług katalogowych Cisco lub nie możesz uruchomić synchronizacji, użyj tych kroków, aby spróbować rozwiązać problem przed skontaktowaniem się z pomocą techniczną.
| 1 | Spróbuj odwiedzić stronę https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL w przeglądarce internetowej. | ||
| 2 | Wybierz jedną, w zależności od wyników:
| ||
| 3 | Należy co najmniej upewnić się, że skonfigurowane konto usługi Cisco DirSync (które można znaleźć w usługach systemu Windows) ma poziom uprawnień umożliwiający dostęp do danych awatara i danych AD. Domyślnie usługa wykorzystuje poświadczenia i uwierzytelnianie konta logowania do systemu Windows. |
Sprawdź tryb SafeDllSearchMode w rejestrze systemu Windows
Tryb wyszukiwania bezpiecznej dynamicznej biblioteki linków (DLL) jest domyślnie ustawiony w rejestrze systemu Windows i umieszcza bieżący katalog użytkownika później w zleceniu wyszukiwania DLL. Jeśli ten tryb został jakoś wyłączony, napastnik może umieścić złośliwy DLL (nazwany tak samo jak odwołany plik DLL, który znajduje się w folderze systemowym) do bieżącego katalogu roboczego aplikacji.
Zazwyczaj tryb SafeDllSearchMode jest włączony, ale użyj tej procedury, aby dwukrotnie sprawdzić ustawienia rejestru.
Przed rozpoczęciem
| Zmiany w rejestrze systemu Windows należy przeprowadzać z najwyższą ostrożnością. Przed wykonaniem tych czynności zalecamy utworzenie kopii zapasowej rejestru. |
| 1 | W oknie wyszukiwania systemu Windows lub oknie Uruchom wpisz regedit , a następnie naciśnij Enter. |
| 2 | Przejdź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 | Wybierz jedną z nich:
|
Aby uzyskać więcej informacji, zobacz Dynamic Link Library Search Order (Zlecenie wyszukiwania biblioteki dynamicznych łączy).
Omówienie łącznika usług katalogowych Cisco
Omówienie łącznika usług katalogowych
Łącznik usług katalogowych to lokalna aplikacja do synchronizacji tożsamości z chmurą. Pobierz oprogramowanie łącznika z Control Hub i zainstaluj je na komputerze lokalnym.
Dzięki Directory Connector możesz utrzymywać konta użytkowników i dane w Active Directory, dzięki czemu Active Directory staje się jedynym źródłem prawdy. Zmiana wprowadzona lokalnie jest replikowana w chmurze.
Zobacz wszystkie funkcje, opisy i korzyści w tabeli:
| Funkcja | Opis i korzyści |
|---|---|
| Łatwy w użyciu pulpit nawigacyjny | Pulpit nawigacyjny zawiera harmonogram synchronizacji, podsumowanie oraz stan synchronizacji oraz stan Directory Connector. Konsolę można wyświetlić w dowolnym momencie logowania. |
| Uruchom próbne przed synchronizacją z chmurą | Przeprowadź przebieg próbny zmian w katalogu, zanim zostaną zaimplementowane w chmurze. Następnie uruchom raport, aby sprawdzić, czy zmiany, które chcesz wprowadzić, są zgodne z oczekiwaniami. |
| Synchronizacja pełna i przyrostowa | Synchronizuj cały katalog. Lub po prostu zsynchronizuj zmiany przyrostowe, aby zaoszczędzić moc przetwarzania i skrócić czas synchronizacji. |
|
Synchronizowanie wielu domen (pojedynczego lasu lub wielu lasów) |
Directory Connector obsługuje wiele domen w ramach jednego lasu lub wielu lasów (bez konieczności korzystania z usługi AD LDS). W przypadku przedsiębiorstw z wieloma domenami Active Directory możesz zainstalować łącznik usług katalogowych dla każdej domeny, powiązać każdą domenę z organizacją, a następnie zsynchronizować każdą bazę użytkowników z usługą Webex. Control Hub odzwierciedla stan, pokazując stan synchronizacji dla wielu łączników usług katalogowych, umożliwia wyłączenie synchronizacji dla określonej domeny i dezaktywację łącznika usług katalogowych w wdrożeniu o wysokiej dostępności. |
| Zaplanowana synchronizacja | Ustaw harmonogram synchronizacji według dnia, godziny i minuty. |
| Filtry LDAP (Lightweight Directory Access Protocol) | Zdefiniuj kryteria wyszukiwania LDAP i zapewnij wydajny import. |
| Mapowanie atrybutów Active Directory | Mapuj atrybuty usługi Microsoft Active Directory do odpowiednich atrybutów chmury Webex. Można mapować atrybuty, które są istotne dla konfiguracji usługi Active Directory, a także definiować atrybuty niestandardowe w celu mapowania na chmurę. Atrybuty z lokalizacji lokalnych tworzą różne dane w chmurze, takie jak dane konta użytkownika, numery telefonów korporacyjnych w aplikacji Webex Teams, adresy SIP zasobów pokoju i inne dane kart kontaktów użytkownika (stanowisko, dział, menedżer itd.). |
|
Firmowa książka telefoniczna dla lokalnych zasobów pokojów oraz użytkowników i kontaktów korporacyjnych Cisco Webex Calling (w chmurze PSTN) bez licencji Webex |
Jeśli część organizacji korzysta z chmury PSTN Cisco Webex Calling dla usługi połączeń lub masz lokalne urządzenia Room, ta funkcja umożliwia użytkownikom wyszukiwanie w katalogu kontaktów korporacyjnych na podstawie telefonów Cisco Webex Calling (chmura PSTN) lub zasobów Room.
|
| Przeglądarka zdarzeń | Użyj przeglądarki zdarzeń, aby sprawdzić, czy nie wystąpiły problemy z synchronizacją. |
| Narzędzie diagnostyczne i rozwiązywanie problemów | Możesz użyć wbudowanego narzędzia diagnostycznego do rozwiązywania problemów z wdrożeniem Cisco Directory Connector. Jeśli synchronizacja nie działała prawidłowo, może wystąpić błąd konfiguracji lub sieci. Narzędzie testuje połączenie z usługą Active Directory, aby można było samodzielnie zdiagnozować błędy przed skontaktowaniem się z pomocą techniczną. Po włączeniu rozwiązywania problemów w łączniku usług katalogowych tworzone są dzienniki, które można wysłać do pomocy technicznej. |
| Automatyczne uaktualnianie | Po zainstalowaniu Directory Connector wysyłane jest powiadomienie, gdy dostępna jest nowa wersja oprogramowania. Możesz skonfigurować automatyczne uaktualnianie, aby zawsze korzystać z najnowszej wersji oprogramowania podczas wydania nowej wersji. |
| Wysoka dostępność | Skonfiguruj wiele złączy, aby istniała kopia zapasowa, na wypadek awarii głównego złącza lub maszyny hostującej. |
Łącznik usług katalogowych dzieli się na trzy obszary:
-
Control Hub to pojedynczy interfejs, który umożliwia zarządzanie wszystkimi aspektami organizacji Webex: wyświetlanie użytkowników, przypisywanie licencji, pobieranie łącznika usług katalogowych i konfigurowanie jednokrotnego logowania (SSO) , jeśli chcesz, aby użytkownicy uwierzytelniali się za pośrednictwem swojego korporacyjnego dostawcy tożsamości i nie chcesz wysyłać zaproszeń e-mail do aplikacji Webex.
-
Interfejs zarządzania łącznikiem usług katalogowych to oprogramowanie, które można pobrać z Control Hub i zainstalować na zaufanym serwerze Windows. W przypadku wielu domen Active Directory można zainstalować jedną instancję oprogramowania dla każdej domeny, którą chcesz zsynchronizować. Przy użyciu oprogramowania można uruchomić synchronizację, aby przenieść konta użytkowników usługi Active Directory do usługi Webex, wyświetlić i monitorować stan synchronizacji oraz skonfigurować usługi Directory Connector.
-
Usługa synchronizacji katalogu wysyła zapytanie do usługi Active Directory w celu pobrania użytkowników i grup do zsynchronizowania z usługą łącznika i łącznikiem usług katalogowych.
Zapoznaj się z tym schematem, aby zrozumieć architekturę łącznika usług katalogowych:
Przygotuj środowisko dla łącznika usług katalogowych
Wymagania dotyczące łącznika usług katalogowych
Wymagania dotyczące systemu Windows i Active Directory
Łącznik usług katalogowych można zainstalować na tych obsługiwanych serwerach systemu Windows:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Aby rozwiązać problem z plikami cookie, zalecamy uaktualnienie kontrolera domeny do wersji zawierającej poprawkę — Windows Server 2012 R2 lub 2016.
Łącznik usług katalogowych jest obsługiwany przez następujące usługi Active Directory:
-
Active Directory 2016
(Directory Connector jest obsługiwany w przypadku korzystania z najnowszej wersji usługi Active Directory w systemie Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Zwróć uwagę na następujące wymagania dodatkowe:
-
Łącznik usług katalogowych wymaga TLS1.2. Należy zainstalować następujące elementy:
-
Wersja .NET Framework v3.5 (wymagana dla aplikacji Directory Connector. Jeśli napotkasz jakiekolwiek problemy, skorzystaj z instrukcji w sekcji Włącz .NET Framework 3.5 za pomocą kreatora dodawania ról i funkcji).
-
Wersja .NET Framework w wersji 4.5 (wymagana w przypadku TLS1.2)
-
-
Wymagany jest poziom funkcjonalności lasu Active Directory 2 (Windows Server 2003) lub nowszy. (Aby uzyskać więcej informacji, zobacz Czym są poziomy funkcjonalne usługi Active Directory? ).
Wymagania sprzętowe
Musisz zainstalować Directory Connector na komputerze z następującymi minimalnymi wymaganiami sprzętowymi:
-
8 GB pamięci RAM
-
50 GB miejsca do przechowywania
-
Brak minimalnych wymagań dotyczących procesora
Wymagania sieciowe
Jeśli sieć znajduje się za zaporą, upewnij się, że system ma dostęp do Internetu za pośrednictwem protokołu HTTPS (port 443).
Wymagania organizacji Webex
-
Dostęp do oprogramowania łącznika usług katalogowych z poziomu Control Hub wymaga organizacji Webex z wersją próbną lub płatną subskrypcją.
-
(Opcjonalnie) Jeśli chcesz, aby nowe konta użytkowników aplikacji Webex były Aktywne przed pierwszym zalogowaniem się, zalecamy wykonanie następujących czynności:
-
Dodaj, zweryfikuj i opcjonalnie zgłoś prawa do domen zawierających adresy e-mail użytkowników, które chcesz zsynchronizować z chmurą.
-
Wykonaj integrację dostawcy tożsamości (IdP) z organizacją Webex za pomocą jednokrotnego logowania (SSO).
-
Pomijaj automatyczne zaproszenia e-mail, aby nowi użytkownicy nie otrzymali automatycznego zaproszenia e-mail i mogli prowadzić własną kampanię wiadomości e-mail. (Ta funkcja wymaga integracji logowania SSO).
-
Aby uzyskać więcej informacji, zobacz Stany i czynności użytkowników w Control Hub.
Wymagania instalacyjne
-
W przypadku środowiska z wieloma domenami (pojedynczego lasu lub wielu lasów) należy zainstalować jeden łącznik usług katalogowych dla każdej domeny Active Directory. Jeśli chcesz zsynchronizować nową domenę (B) przy jednoczesnym zachowaniu zsynchronizowanych danych użytkownika w innej istniejącej domenie (A), upewnij się, że masz oddzielny obsługiwany serwer Windows, aby zainstalować łącznik usług katalogowych dla synchronizacji domeny (B).
-
Aby zalogować się do łącznika, nie potrzebujemy konta administracyjnego w usłudze Active Directory. Wymagamy konta użytkownika lokalnego, które jest tym samym użytkownikiem, co pełne konto administratora w Control Hub.
Ten użytkownik lokalny musi mieć uprawnienia na tym komputerze z systemem Windows, aby nawiązać połączenie z kontrolerem domeny i czytać obiekty użytkownika usługi Active Directory. Konto logowania do maszyny powinno być administratorem komputera z uprawnieniami do instalowania oprogramowania na komputerze lokalnym. (Informacje te dotyczą również logowania do maszyny wirtualnej).
-
Podczas logowania się do łącznika konto logowania musi być takie samo jak pełne konto administratora usługi Control Hub. Domyślnie łącznik korzysta z konta systemu lokalnego w celu uzyskania dostępu do usługi Active Directory. Można jednak użyć usług systemu Windows, aby skonfigurować inne konto, aby uzyskać dostęp do usługi Active Directory. (Informacje te dotyczą również logowania do maszyny wirtualnej).
-
Należy się upewnić, że tryb wyszukiwania biblioteki łączy dynamicznych (DLL) systemu Windows jest włączony, wykonując następującą procedurę: Sprawdź SafeDllSearchMode w rejestrze systemu Windows.
-
Jeśli używasz usługi AD LDS dla wielu domen w jednym lesie, zalecamy zainstalowanie na osobnych komputerach łącznika usług katalogowych i usługi domeny Active Directory/lekkich usług katalogowych Active Directory (DS/AD LDS).
Wiele wymagań dotyczących domeny
Przed wykonaniem zadań w przepływie zadań wdrożenia łącznika usług katalogowych Cisco należy pamiętać o następujących wymaganiach i zaleceniach, jeśli zamierzasz zsynchronizować do chmury informacje Active Directory z wielu domen:
-
Dla każdej domeny wymagane jest osobne wystąpienie łącznika usług katalogowych.
-
Oprogramowanie łącznika usług katalogowych musi być uruchomione na hoście znajdującym się w tej samej domenie, którą będzie synchronizowane.
-
Zalecamy zweryfikowanie lub zgłoszenie domen w Control Hub. (Zobacz Dodawanie, weryfikowanie i zgłaszanie praw do domen).
-
Jeśli chcesz synchronizować więcej niż 50 domen, otwórz zgłoszenie , aby przenieść organizację do dużej listy organizacji.
-
W razie potrzeby można synchronizować informacje o zasobach pokoju z kontami użytkowników. (Zobacz Synchronizowanie informacji o pokoju w siedzibie z chmurą Webex).
Zalecenia grupy Active Directory dotyczące automatycznego przypisywania licencji
Grupy Active Directory służą do zbierania kont użytkowników, kont komputerów i innych grup w jednostki zarządzane. Praca z grupami zamiast z indywidualnymi użytkownikami pomaga uprościć konserwację sieci i administrowanie nią.
W usłudze Active Directory dostępne są dwa typy grup:
-
Grupy dystrybucji — służą do tworzenia list dystrybucyjnych wiadomości e-mail.
-
Grupy zabezpieczeń — używane do przypisywania uprawnień do udostępnianych zasobów.
Podczas tworzenia grup w usłudze Active Directory należy pamiętać o następujących wytycznych:
-
Utwórz globalną grupę dla każdej roli, działu lub usługi (takiej jak sprzedaż, marketing, menedżerowie, księgowi, licencjonowanie usługi Webex itd.)
-
W całej organizacji stosuj standardowe konwencje nazewnictwa, aby ułatwić identyfikowanie ważnych informacji o grupach. Nazwy grup mogą zawierać szczegółowe informacje na temat grupy, takie jak poziom dostępu, typ zasobu, poziom zabezpieczeń, zakres grupy, możliwość przesyłania poczty i tak dalej. Na przykład nazwa grupy „GSG_Webex_Licensing_EMEAR” odnosi się do globalnej grupy zabezpieczeń użytkowników EMEAR licencji Webex.
-
Organizuj grupy w łatwy do zrozumienia sposób, na przykład na podstawie geografii lub hierarchii kierowniczej. Użyj opisów grup, aby całkowicie opisać przeznaczenie grupy.
-
Przed dodaniem użytkowników do nowo skonfigurowanych grup zdefiniuj szablon grupy automatycznego przypisywania licencji w Control Hub dla tych grup. Aby uzyskać więcej informacji, zobacz Konfigurowanie szablonu automatycznego przypisywania licencji .
Informacje o rozmiarze
Łącznik usług katalogowych działa jako most między lokalną usługą Active Directory a chmurą Webex. W związku z tym łącznik nie ma górnego limitu liczby obiektów Active Directory, które mogą być synchronizowane z chmurą. Wszelkie ograniczenia dotyczące obiektów katalogu lokalnego są powiązane z określoną wersją i specyfikacjami środowiska Active Directory, które jest synchronizowane z chmurą, a nie z samym konektorem.
Szybkość synchronizacji może mieć wpływ na kilka czynników:
-
Łączna liczba obiektów Active Directory. (Zadanie synchronizacji 5000 użytkowników nie zajmie aż 50 000).
-
Prędkość i przepustowość sieci.
-
Obciążenie systemu i specyfikacje.
Jeśli synchronizujesz ponad 50 000 użytkowników, zdecydowanie zalecamy używanie drugiego łącznika do pracy awaryjnej i redundancji.
Ponieważ w synchronizację zaangażowanych jest kilka czynników, a każde wdrożenie różni się w zależności od powyższych czynników, nie możemy podać określonych wartości czasu, przez jaki synchronizacja obiektu potrwa.
Sprawdź SafeDllSearchMode w rejestrze systemu Windows
Tryb wyszukiwania biblioteki łączy dynamicznych (DLL) jest domyślnie ustawiony w rejestrze systemu Windows i umieszcza bieżący katalog użytkownika w kolejności wyszukiwania DLL. Jeśli ten tryb został w jakiś sposób wyłączony, napastnik może umieścić złośliwy plik DLL (o nazwie takiej samej jak plik DLL znajdujący się w folderze systemowym) do bieżącego katalogu roboczego aplikacji.
Zazwyczaj SafeDllSearchMode jest włączony, ale ta procedura służy do podwójnego sprawdzenia ustawień rejestru.
Przed rozpoczęciem
Zmiany w rejestrze systemu Windows należy przeprowadzać z dużą ostrożnością. Zalecamy, aby przed wykonaniem tych czynności wykonać kopię zapasową rejestru.
| 1 |
W oknie wyszukiwania systemu Windows lub oknie Uruchom wpisz regedit , a następnie naciśnij Enter. |
| 2 |
Przejdź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wybierz jedną z nich:
|
Aby uzyskać więcej informacji, zobacz Kolejność wyszukiwania biblioteki dynamicznych łączy.
Integracja z serwerem proxy WWW
Integracja z serwerem proxy WWW
Jeśli w środowisku włączone jest uwierzytelnianie serwera proxy sieci Web, można nadal korzystać z łącznika usług katalogowych.
Jeśli Twoja organizacja korzysta z przezroczystego serwera proxy sieci WWW, uwierzytelnianie nie jest obsługiwane. Konektor pomyślnie łączy się i synchronizuje użytkowników.
Można zastosować jedno z następujących podejść:
-
Jawny serwer proxy sieci WWW za pośrednictwem przeglądarki Internet Explorer (łącznik dziedziczy ustawienia serwera WWW)
-
Jawny serwer proxy sieci Web za pomocą pliku .pac (łącznik dziedziczy ustawienia serwera proxy specyficzne dla przedsiębiorstwa)
-
Przezroczysty serwer proxy, który współpracuje z konektorem bez żadnych zmian
Użyj serwera Proxy Sieci Web W Przeglądarce
Łącznik usług katalogowych można skonfigurować tak, aby korzystał z serwera proxy internetowego za pośrednictwem programu Internet Explorer.
Jeśli usługa Cisco DirSync jest uruchomiona z innego konta niż aktualnie zalogowany użytkownik, należy również zalogować się przy użyciu tego konta i skonfigurować serwer proxy sieci WWW.
| 1 |
W programie Internet Explorer przejdź do pozycji Opcje internetowe, kliknij pozycję Połączenia, a następnie wybierz pozycję Ustawienia sieci LAN. |
| 2 |
Wskaż wystąpienie systemu Windows, w którym łącznik jest zainstalowany na serwerze proxy sieci Web. Konektor dziedziczy te ustawienia serwera proxy sieci WWW. |
| 3 |
Jeśli środowisko korzysta z uwierzytelniania serwera proxy, dodaj te adresy URL do listy dozwolonych:
Można to wykonać dla całej witryny (dla wszystkich prowadzących) lub tylko dla hosta, który ma łącznik. Jeśli dodasz te adresy URL do listy dozwolonych, aby całkowicie ominąć serwer proxy sieci WWW, upewnij się, że tabela ACL zapory została zaktualizowana, aby umożliwić hoście łącznika bezpośredni dostęp do adresów URL. |
| 4 |
Jeśli środowisko musi zażądać list unieważnień certyfikatów od urzędów certyfikacji, dodaj te adresy URL do listy dozwolonych:
Aby uzyskać więcej informacji, zobacz ten artykuł o domenach i adresach URL, do których należy uzyskać dostęp dla usług Webex. |
Konfigurowanie serwera proxy sieci WWW za pomocą pliku PAC
W przeglądarce klienta można skonfigurować używanie pliku .pac. Ten plik zawiera informacje o adresie i porcie serwera proxy sieci WWW. Łącznik usług katalogowych bezpośrednio dziedziczy konfigurację serwera proxy sieci WWW specyficzną dla przedsiębiorstwa.
| 1 |
Aby konektor mógł pomyślnie połączyć się i zsynchronizować informacje o użytkownikach z chmurą Webex, upewnij się, że uwierzytelnianie proxy jest wyłączone dla |
| 2 |
Jeśli środowisko korzysta z uwierzytelniania serwera proxy, dodaj te adresy URL do listy dozwolonych:
Można to wykonać dla całej witryny (dla wszystkich prowadzących) lub tylko dla hosta, który ma łącznik. Jeśli dodasz te adresy URL do listy dozwolonych, aby całkowicie ominąć serwer proxy sieci WWW, upewnij się, że tabela ACL zapory została zaktualizowana, aby umożliwić hoście łącznika bezpośredni dostęp do adresów URL. |
| 3 |
Jeśli środowisko musi zażądać list unieważnień certyfikatów od urzędów certyfikacji, dodaj te adresy URL do listy dozwolonych:
Aby uzyskać więcej informacji, zobacz ten artykuł o domenach i adresach URL, do których należy uzyskać dostęp dla usług Webex. |
Serwer proxy NTLM
Directory Connector obsługuje NT LAN Manager (NTLM). NTLM to jedno z podejść do obsługi uwierzytelniania Windows wśród urządzeń domeny i zapewnienia ich bezpieczeństwa.
Projekt NTLM
W większości przypadków użytkownik chce uzyskać dostęp do innych zasobów stacji roboczej za pośrednictwem komputera klienckiego, co może być trudne do wykonania w bezpieczny sposób.
Ogólnie rzecz biorąc, projekt techniczny NTLM opiera się na mechanizmie Wyzwanie
i Odpowiedź
:
-
Użytkownik loguje się na komputerze klienckim za pomocą konta systemu Windows i hasła. Hasło nigdy nie jest zapisywane lokalnie. Zamiast zwykłego hasła tekstowego lokalnie jest przechowywana wartość hash hasła. Gdy użytkownik loguje się za pomocą hasła do klienta, system operacyjny Windows porównuje zapisaną wartość skrótu z wartością skrótu z wprowadzonego hasła. Jeśli oba są takie same, uwierzytelnianie zostanie zakończone.
Gdy użytkownik chce uzyskać dostęp do dowolnego zasobu na innym serwerze, klient wysyła do serwera żądanie z nazwą konta w postaci zwykłego tekstu.
-
Gdy serwer odbierze żądanie, generuje 16-bitowy klucz losowy. Klucz nosi nazwę Challenge (lub Nonce). Zanim serwer wyśle z powrotem do klienta, zadanie jest zapisywane na serwerze. Następnie serwer wysyła wyzwanie do klienta w postaci zwykłego tekstu.
-
Gdy tylko klient otrzyma wyzwanie wysłane z serwera, zaszyfruje wyzwanie za pomocą wartości hash wymienionej w kroku 1. Po zaszyfrowaniu wartość jest zwracana do serwera.
-
Gdy serwer odbierze zaszyfrowaną wartość od klienta, wysyła ją do kontrolera domeny w celu weryfikacji. Żądanie zawiera: nazwa konta, zaszyfrowane wyzwanie wysłane przez klienta oraz oryginalne wyzwanie proste.
-
Kontroler domeny może pobierać wartości skrótu hasła w zależności od nazwy konta. Następnie kontroler domeny może zaszyfrować oryginalne wyzwanie. Kontroler doman może następnie porównać z otrzymaną wartością hash i zaszyfrowaną wartością hash. Jeśli są takie same, weryfikacja przebiega pomyślnie.
Uwierzytelnianie zabezpieczeń jest wbudowane w system operacyjny, co ułatwia aplikacjom obsługę uwierzytelniania zabezpieczeń. W związku z tym nie musisz kończyć dalszej konfiguracji.
Konfigurowanie przezroczystego serwera proxy
W tym scenariuszu przeglądarka nie wie, że przezroczysty serwer proxy sieci WWW przechwytuje żądania HTTP (port 80/port 443) i nie jest wymagana konfiguracja po stronie klienta.
| 1 |
Wdróż przezroczysty serwer proxy, aby łącznik mógł łączyć się i synchronizować użytkowników. |
| 2 |
Upewnij się, że serwer proxy działa — po uruchomieniu konektora zobaczysz oczekiwane wyskakujące okienko uwierzytelniania przeglądarki. |
Ustaw uwierzytelnianie serwera proxy
Dodaj adres URL cloudconnector.webex.com do listy dozwolonych, tworząc listę kontroli dostępu.
Na serwerze zapory korporacyjnej:
| 1 |
Włącz wyszukiwanie w usłudze DNS, jeśli funkcja nie jest jeszcze włączona. |
| 2 |
Określ szacowaną przepustowość dla tego połączenia (około 2 Mb/s lub mniej dla konektora). Może to nie być wymagane. |
| 3 |
Utwórz listę kontroli dostępu, aby zastosować ją do hosta łącznika, i określ Na przykład: access-list 2000 acl-inside rozszerzone zezwolenie TCP [IP łącznika] cloudconnector.webex.com eq https |
| 4 |
Zastosuj to ACL do odpowiedniego interfejsu zapory, który ma zastosowanie tylko do tego hosta z pojedynczym łącznikiem. |
| 5 |
Upewnij się, że pozostałe hosty w przedsiębiorstwie nadal muszą korzystać z serwera proxy internetowego, konfigurując odpowiednie oświadczenie o odrzuceniu. |
Wdróż łącznik usług katalogowych
Przepływ zadań wdrażania łącznika usług katalogowych Cisco
Przed rozpoczęciem
| 1 |
Zainstaluj łącznik usług katalogowych Control Hub początkowo pokazuje synchronizację katalogu jako wyłączoną. Aby włączyć synchronizację katalogu w organizacji, należy zainstalować i skonfigurować Directory Connector, a następnie pomyślnie przeprowadzić pełną synchronizację. W przypadku nowej instalacji Directory Connector zawsze przejdź do Control Hub ( https://admin.webex.com), aby uzyskać najnowszą wersję oprogramowania, aby korzystać z najnowszych funkcji i poprawek błędów. Po zainstalowaniu oprogramowania uaktualnienia są raportowane za pośrednictwem oprogramowania i instalowane automatycznie, gdy jest dostępne. |
| 2 |
Zaloguj się do łącznika usług katalogowych Zaloguj się, używając poświadczeń administratora Webex i przeprowadź konfigurację początkową. |
| 3card symbol |
Ustaw automatyczne uaktualnianie Zawsze ważne jest, aby oprogramowanie Directory Connector było aktualne do najnowszej wersji. Zalecamy użycie tej procedury, aby umożliwić cichą instalację automatycznych uaktualnień oprogramowania, gdy jest dostępne. |
| 4 |
Wybierz obiekty usługi Active Directory do zsynchronizowania Domyślnie Directory Connector synchronizuje wszystkich użytkowników, którzy nie są komputerami, oraz wszystkie grupy, które nie są krytycznymi obiektami systemowymi dla domeny. Aby uzyskać większą kontrolę nad tym, które obiekty są synchronizowane, można wybrać określonych użytkowników do synchronizacji i określić filtry LDAP na stronie Wybór obiektów w łączniku usług katalogowych. |
| 5. |
Atrybuty z lokalnej usługi Active Directory można mapować na odpowiednie atrybuty w chmurze. Jedynym wymaganym polem jest *uid. |
| 6 |
Zsynchronizuj awatary katalogów, korzystając z jednej z następujących procedur:
Możesz synchronizować awatary użytkowników z chmurą, aby awatar każdego użytkownika był wyświetlany po zalogowaniu się do aplikacji. Awatary można synchronizować z atrybutu Active Directory lub serwera zasobów. |
| 7 |
Synchronizuj informacje o pokoju w siedzibie z chmurą Webex Ta procedura służy do synchronizowania informacji o lokalnym pokoju z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia pokojowe ze skonfigurowanym, zmapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach pokojowych zarejestrowanych w chmurze, takich jak urządzenie Webex Room lub Cisco Webex Board |
| 8 |
Aby Zainicjować Obsługę Administracyjną Użytkowników Z Active Directory Do Control Hub, wykonaj następujące czynności:
Wykonaj tę sekwencję, aby skonfigurować użytkowników usługi Active Directory na potrzeby kont aplikacji Webex. Możesz skonfigurować użytkowników z wielu wdrożeń usługi Active Directory w systemie Directory Connector 3.0 lub nowszym. Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Celem jest dokładne dopasowanie między aktywnymi katalogami a chmurą Webex. |
Zainstaluj łącznik usług katalogowych
Control Hub początkowo pokazuje synchronizację katalogu jako wyłączoną. Aby włączyć synchronizację katalogu w organizacji, należy zainstalować i skonfigurować Directory Connector, a następnie pomyślnie przeprowadzić pełną synchronizację.
Należy zainstalować jeden łącznik dla każdej domeny Active Directory, którą chcesz zsynchronizować. Pojedyncze wystąpienie łącznika usług katalogowych może obsługiwać tylko jedną domenę. Aby zrozumieć przepływ synchronizacji wielu domen, zobacz poniższy diagram:
Przed rozpoczęciem
Jeśli uwierzytelniasz się za pośrednictwem serwera proxy, upewnij się, że masz poświadczenia serwera proxy:
-
W przypadku podstawowego uwierzytelniania proxy wprowadź nazwę użytkownika i hasło po zainstalowaniu wystąpienia łącznika. Konfiguracja serwera proxy programu Internet Explorer jest również wymagana do uwierzytelniania podstawowego; zobacz Używanie Serwera Proxy Internetowego W Przeglądarce
-
W przypadku serwera proxy NTLM przy pierwszym otwarciu łącznika może pojawić się błąd. Zobacz Korzystanie z Serwera Proxy Sieci Web W Przeglądarce.
| 1 |
W Control Hub wybierz kolejno pozycje i wybierz Dalej. |
| 2 |
Kliknij łącze Pobierz i zainstaluj, aby zapisać najnowszą wersję pliku .zip instalacyjnego łącznika na swoim serwerze VMware lub Windows. Plik .zip można pobrać bezpośrednio z tego łącza, ale aby to oprogramowanie działało, musisz mieć pełny dostęp administracyjny do organizacji Control Hub. W przypadku nowej instalacji pobierz najnowszą wersję oprogramowania, aby korzystać z najnowszych funkcji i poprawek błędów. Po zainstalowaniu oprogramowania uaktualnienia są raportowane za pośrednictwem oprogramowania i instalowane automatycznie, gdy jest dostępne. |
| 3card symbol |
Na serwerze VMware lub na serwerze Windows rozpakuj i uruchom plik .msi w folderze konfiguracji, aby uruchomić kreatora konfiguracji. |
| 4 |
Kliknij przycisk Dalej, zaznacz pole wyboru, aby zaakceptować umowę licencyjną, a następnie kliknij przycisk Dalej, aż zostanie wyświetlony ekran typu konta. |
| 5. |
Wybierz typ konta usługi, którego chcesz używać, i wykonaj instalację za pomocą konta administratora:
Aby uniknąć błędów, upewnij się, że istnieją następujące uprawnienia:
|
| 6 |
Kliknij przycisk Instaluj. Po uruchomieniu testu sieci wprowadź podstawowe poświadczenia serwera proxy, kliknij przycisk OK, a następnie kliknij przycisk Zakończ. |
Co zrobić dalej
Zalecamy ponowne uruchomienie serwera po instalacji. Raport przebiegu próbnego nie może wyświetlić prawidłowego wyniku, gdy dane nie zostały zwolnione. Podczas ponownego uruchamiania maszyny wszystkie dane są odświeżane, aby pokazać dokładny wynik w raporcie.
Zaloguj się do łącznika usług katalogowych
Przed rozpoczęciem
Upewnij się, że masz poświadczenia serwera proxy.
-
W przypadku podstawowego uwierzytelniania serwera proxy wprowadź nazwę użytkownika i hasło po pierwszym otwarciu łącznika.
-
W przypadku serwera proxy NTLM otwórz program Internet Explorer, kliknij ikonę koła zębatego, wybierz kolejno pozycje Opcje internetowe > Połączenia > Ustawienia sieci LAN, upewnij się, że dodano informacje o serwerze proxy, a następnie kliknij OK. Zobacz Korzystanie z Serwera Proxy Sieci Web W Przeglądarce.
| 1 |
Otwórz konektor, a następnie dodaj |
| 2 |
Jeśli zostanie wyświetlony monit, zaloguj się przy użyciu poświadczeń uwierzytelniania serwera proxy, a następnie zaloguj się do usługi Webex za pomocą konta administratora i kliknij przycisk Dalej. |
| 3card symbol |
Potwierdź swoją organizację i domenę.
|
| 4 |
Po wyświetleniu ekranu Potwierdź organizację kliknij przycisk Potwierdź. Jeśli usługi AD DS/AD LDS są już powiązane, zostanie wyświetlony ekran Potwierdź organizację. |
| 5. |
Kliknij przycisk Potwierdź. |
| 6 |
Wybierz jedną w zależności od liczby domen Active Directory, które chcesz powiązać z łącznikiem usług katalogowych:
|
Co zrobić dalej
Po zalogowaniu się zostanie wyświetlony monit o wykonanie synchronizacji przebiegu próbnego.
Pulpit nawigacyjny łącznika usług katalogowych
Przy pierwszym logowaniu do łącznika usług katalogowych zostanie wyświetlona konsola. W tym miejscu możesz wyświetlić podsumowanie wszystkich działań synchronizacji, wyświetlić statystyki chmury, przeprowadzić synchronizację przebiegu próbnego, rozpocząć synchronizację pełną lub stopniową oraz uruchomić widok zdarzenia, aby wyświetlić informacje o błędach.
Te zadania można łatwo uruchomić z paska narzędzi czynności lub menu czynności.
|
Komponent |
Opis |
|---|---|
|
Bieżąca synchronizacja |
Wyświetla informacje o stanie aktualnie trwającej synchronizacji. Gdy żadna synchronizacja nie jest uruchomiona, wyświetlanie stanu jest bezczynne. |
|
Następna synchronizacja |
Wyświetla następne zaplanowane pełne i przyrostowe synchronizacje. Jeśli nie ustawiono harmonogramu, wyświetlana jest opcja Nie zaplanowano. |
|
Ostatnia synchronizacja |
Wyświetla stan dwóch ostatnich wykonanych synchronizacji. |
|
Bieżący stan synchronizacji |
Wyświetla ogólny stan synchronizacji. |
|
Łączniki |
Wyświetla bieżące lokalne łączniki dostępne dla chmury. |
|
Statystyki chmury |
Wyświetla ogólny stan synchronizacji. |
|
Harmonogram synchronizacji |
Wyświetla harmonogram synchronizacji dla synchronizacji przyrostowej i pełnej. |
|
Podsumowanie konfiguracji |
Wyświetla ustawienia, które zostały zmienione w konfiguracji. Podsumowanie może na przykład zawierać następujące informacje:
|
| Czynność | Opis |
|---|---|
| Rozpocznij synchronizację przyrostową |
Ręcznie rozpocznij synchronizację przyrostową Ta czynność jest wyłączona po wstrzymaniu lub wyłączeniu synchronizacji, jeśli pełna synchronizacja nie została ukończona lub jeśli synchronizacja jest w toku. |
|
Synchronizuj przebieg próbny |
Wykonaj synchronizację przebiegu próbnego. |
|
Uruchom przeglądarkę zdarzeń |
Uruchom przeglądarkę zdarzeń firmy Microsoft |
|
Odśwież |
Odśwież pulpit nawigacyjny łącznika usług katalogowych Cisco |
|
Czynność |
Opis |
|---|---|
| Synchronizuj teraz |
Natychmiast rozpocznij pełną synchronizację. |
|
Tryb synchronizacji |
Wybierz tryb synchronizacji przyrostowej lub pełnej. |
|
Zresetuj klucz tajny łącznika |
Nawiąż rozmowę między łącznikiem usług katalogowych Cisco a konektorem. Wybranie tej czynności spowoduje zresetowanie tajnego klucza w chmurze, a następnie zapisanie klucza lokalnego. |
|
Przebieg próbny |
Wykonaj test procesu synchronizacji. Przed wykonaniem pełnej synchronizacji należy wykonać przebieg próbny. |
|
Rozwiązywanie problemów |
Włącz/wyłącz rozwiązywanie problemów. |
|
Odśwież |
Odśwież ekran główny łącznika usług katalogowych Cisco. |
|
Zamknij |
Zamknij łącznik usług katalogowych Cisco. |
|
Kombinacja klawiszy |
Czynność |
|---|---|
|
Alt+A |
Pokaż menu Czynności |
|
|
Synchronizuj teraz |
|
|
Zresetuj klucz tajny łącznika |
|
|
Przebieg próbny |
|
|
Synchronizacja przyrostowa |
|
|
Pełna synchronizacja |
|
|
Pokaż menuPomoc |
|
|
Pomoc |
|
|
Informacje |
|
|
często zadawane pytania |
Ustaw automatyczne uaktualnianie
| 1 |
W Directory Connector przejdź do , a następnie zaznacz pole wyboru Automatycznie uaktualnij do nowej wersji Cisco Directory Connector. |
| 2 |
Kliknij Zastosuj, aby zapisać zmiany. |
Nowe wersje łącznika są automatycznie instalowane, gdy są dostępne.
Uaktualnieniami można zarządzać ręcznie, jeśli wolisz. Aby uzyskać więcej informacji, zobacz Uaktualnianie do najnowszej wersji oprogramowania.
Wybierz obiekty usługi Active Directory do zsynchronizowania
Domyślnie Directory Connector synchronizuje wszystkich użytkowników, którzy nie są komputerami, oraz wszystkie grupy, które nie są krytycznymi obiektami systemowymi dla domeny. Aby uzyskać większą kontrolę nad tym, które obiekty są synchronizowane, można wybrać określonych użytkowników do synchronizacji i określić filtry LDAP na stronie Wybór obiektów w łączniku usług katalogowych.
Grupy do automatycznego przypisywania licencji
Control Hub umożliwia zarządzanie przypisaniami licencji w odniesieniu do poszczególnych grup. Można utworzyć szablony licencji i mapować je do grup Active Directory, które synchronizujesz z chmurą. W momencie tworzenia użytkownika Webex sprawdza członkostwo użytkownika i mapowanie szablonu automatycznego przypisywania licencji dla tego nowego użytkownika.
Zalecamy używanie filtra LDAP w celu synchronizowania tylko odpowiednich grup z chmurą. Filtr można na przykład ustawić jako:
(&(cn=Przykład)(objectClass=Group))*
Ten filtr synchronizuje wszystkie grupy w ramach podstawowej nazwy wyróżniającej, gdzie nazwa zaczyna się od Example. Użytkownikom, którzy nie są przypisani do grup, przypisane są licencje z domyślnego szablonu automatycznego przypisywania licencji skonfigurowanego w Control Hub.
Grupy dla wdrożeń hybrydowego zabezpieczenia danych
W Łączniku usług katalogowych zaznacz opcję Grupy, jeśli używasz usługi hybrydowego zabezpieczenia danych, aby skonfigurować grupę wersji próbnej dla użytkowników pilotażowych. Wskazówki można znaleźć w Przewodniku wdrażania hybrydowego zabezpieczenia danych. To ustawienie łącznika usług katalogowych nie wpływa na synchronizację innych użytkowników z chmurą.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, a następnie kliknij pozycję Wybór obiektu. |
| 2 |
W sekcji Typ obiektu zaznacz opcję Użytkownicy i rozważ ograniczenie liczby pojemników możliwych do wyszukania dla użytkowników. Jeśli na przykład chcesz zsynchronizować tylko użytkowników w określonej grupie, w polu Użytkownicy należy wprowadzić filtr LDAP. Jeśli chcesz synchronizować użytkowników w grupie Przykład-menedżer, użyj filtra takiego jak ten:
|
| 3card symbol |
Zaznacz opcję Identyfikacja pokoju, aby oddzielić dane pokoju od danych użytkownika. Kliknij opcję Dostosuj, jeśli chcesz skonfigurować dodatkowe atrybuty w celu identyfikacji danych użytkownika jako danych pokoju. Użyj tego ustawienia, jeśli chcesz synchronizować informacje o pokoju lokalnym z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia systemu biurowego ze skonfigurowanym, mapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach systemu biurowego zarejestrowanych w chmurze. Aby uzyskać więcej informacji, zobacz Synchronizowanie informacji o pokoju w siedzibie z chmurą Webex. |
| 4 |
Zaznacz opcję Grupy, jeśli chcesz zsynchronizować grupy użytkowników usługi Active Directory z chmurą. Nie dodawaj filtru LDAP synchronizacji użytkowników do pola Grupy. Do synchronizacji danych grupy z chmurą należy używać tylko pola Grupy. Domyślnie grupy nie są synchronizowane dla nowych klientów. Należy włączyć synchronizację grup. Musisz również synchronizować grupy zabezpieczeń. |
| 5. |
Zaznacz opcję Kontakty, jeśli chcesz zsynchronizować informacje kontaktowe użytkowników z chmurą. Łącznik usług katalogowych zarządza tylko Kontaktami zsynchronizowanymi przez łącznik. Jeśli istnieją już kontakty w Control Hub, synchronizacja nie usunie tych kontaktów. Jeśli kontakty zostaną usunięte z zakresu synchronizacji, informacje kontaktowe użytkowników zostaną również usunięte w Control Hub. |
| 6 |
Skonfiguruj filtry LDAP. Filtry rozszerzone można dodawać, podając prawidłowy filtr LDAP. Zobacz ten artykuł, aby uzyskać więcej informacji o konfigurowaniu filtrów LDAP. |
| 7 |
Określ nazwy domen bazy lokalnej do synchronizacji, klikając przycisk Wybierz, aby zobaczyć strukturę drzewa usługi Active Directory. Tutaj możesz wybrać lub usunąć zaznaczenie, które kontenery mają być przeszukiwane. |
| 8 |
Sprawdź, czy obiekty, które chcesz dodać do tej konfiguracji, a następnie kliknij przycisk Wybierz. Można wybrać pojedyncze lub nadrzędne pojemniki, które mają być używane do synchronizacji. Wybierz pojemnik nadrzędny, aby włączyć wszystkie pojemniki podrzędne. Po wybraniu kontenera dla dziecka w kontenerze nadrzędnym zostanie wyświetlony szary znak wyboru wskazujący, że dziecko zostało zaznaczone. Następnie możesz kliknąć przycisk Wybierz, aby zaakceptować zaznaczone kontenery Active Directory. Jeśli organizacja umieści wszystkich użytkowników i grupy w kontenerze Użytkownicy, nie trzeba wyszukiwać innych kontenerów. Jeśli Twoja organizacja jest podzielona na jednostki organizacyjne, upewnij się, że wybrano jednostki organizacyjne. |
| 9 |
Kliknij przycisk Zastosuj. Wybierz opcję:
Aby uzyskać informacje na temat uruchamiania próbnego, zobacz Przeprowadzanie synchronizacji próbnej u użytkowników usługi Active Directory. W przypadku synchronizacji grup należy przeprowadzić pełną synchronizację: Wykonywanie pełnej synchronizacji użytkowników usługi Active Directory Z chmurą. |
Mapuj atrybuty użytkownika
Atrybuty z lokalnej usługi Active Directory można mapować na odpowiednie atrybuty w chmurze. Jedynym wymaganym polem jest *uid — unikatowy identyfikator każdego konta użytkownika w usłudze tożsamości w chmurze.
Możesz wybrać, który atrybut Active Directory ma być mapowany na chmurę — na przykład możesz mapować imię i nazwisko w usłudze Active Directory lub wyrażenie atrybutu niestandardowego na displayName w chmurze.
Konta w usłudze Active Directory muszą mieć adres e-mail. Identyfikator uid jest domyślnie mapowany na pole poczty ad (a nie sAMAccountName).
Jeśli zdecydujesz się, aby preferowany język pochodził z Active Directory, wówczas Active Directory jest jedynym źródłem prawdy: użytkownicy nie będą mogli zmienić swojego ustawienia języka w ustawieniach Webex, a administratorzy nie będą mogli zmienić tego ustawienia w Control Hub.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja , a następnie wybierz pozycjęMapowanie atrybutów użytkownika. Na tej stronie wyświetlane są nazwy atrybutów Active Directory (po lewej stronie) i chmury Webex (po prawej). Wszystkie wymagane atrybuty są oznaczone czerwoną gwiazdką. |
| 2 |
Przewiń w dół do dołu nazwy atrybutów usługi Active Directory, a następnie wybierz jeden z tych atrybutów usługi Active Directory, aby zamapować atrybut uid chmury:
Możesz mapować dowolny z pozostałych atrybutów Active Directory na identyfikator uid, ale zalecamy używanie poczty lub userPrincipalName w sposób opisany w powyższych wytycznych. W niektórych przypadkach do logowania się służy nazwa userPrincipalName, ale do zarządzania kalendarzem użytkownika jest używany jego adres e-mail. Należy podać adres e-mail dla map zarządzania kalendarzem na główne pole adresu e-mail w usłudze Webex. Dodaj userPrincipalName jako alternatywny adres e-mail. Aby zobaczyć, które atrybuty w usłudze Active Directory odpowiadają w chmurze, zobacz Mapowanie atrybutów Active Directory w Directory Connector. Aby synchronizacja działała, należy się upewnić, że wybrany atrybut Active Directory jest w formacie e-mail. Łącznik usług katalogowych wyświetla wyskakujące okienko z przypomnieniem, że nie wybrano jednego z zalecanych atrybutów. |
| 3card symbol |
Jeśli wstępnie zdefiniowane atrybuty usługi Active Directory nie działają dla Twojego wdrożenia, kliknij rozwijany atrybut, przewiń do dołu, a następnie wybierz pozycję Dostosuj atrybut, aby otworzyć okno umożliwiające zdefiniowanie wyrażenia atrybutu. Kliknij Pomoc, aby uzyskać więcej informacji o wyrażeniach i zobaczyć przykłady działania wyrażeń. Więcej informacji zawiera temat Wyrażenia dla niestandardowych atrybutów. W tym przykładzie zmapujmy atrybuty
Łącznik usług katalogowych weryfikuje wartość atrybutu uid w usłudze tożsamości i pobiera 3 dostępnych użytkowników w ramach bieżących opcji filtrowania użytkownika. Jeśli wszyscy z tych 3 użytkowników mają prawidłowy format wiadomości e-mail, Cisco Directory Connector wyświetli następujący komunikat:
Jeśli nie można zweryfikować atrybutu, zobaczysz następujące ostrzeżenie i możesz powrócić do usługi Active Directory, aby sprawdzić i naprawić dane użytkownika:
|
| 4 |
(Opcjonalnie) Wybierz mapowania dla urządzeń mobilnych i telephoneNumber, jeśli chcesz, aby numery komórkowe i służbowe pojawiały się na przykład w karcie kontaktu użytkownika w aplikacji Webex. Dane numeru telefonu pojawiają się w aplikacji Webex, gdy użytkownik najedzie kursorem na zdjęcie profilowe innego użytkownika. Aby uzyskać więcej informacji na temat nawiązywania połączeń z karty kontaktu użytkownika, zobacz Przewodnik wdrażania połączeń w usłudze Webex (Unified CM) (administratorzy). |
| 5. |
Wybierz dodatkowe mapowania, aby więcej danych mogło pojawić się na karcie kontaktu:
Po zmapowaniu atrybutów informacje są wyświetlane, gdy użytkownik najedzie kursorem na zdjęcie profilowe innego użytkownika:
Aby uzyskać więcej informacji na temat karty kontaktu, zobacz Sprawdzanie, z kim się kontaktujesz. Po zsynchronizowaniu tych atrybutów z każdym kontem użytkownika można również włączyć funkcję People Insights w Control Hub. Ta funkcja pozwala użytkownikom aplikacji Webex udostępniać więcej informacji w swoich profilach i dowiedzieć się więcej o sobie. Aby uzyskać więcej informacji na temat tej funkcji i sposobu jej włączenia, zobacz Profile użytkowników aplikacji Webex, Jabber, Webex Meetings i Webex Events (nowość) w Control Hub |
| 6 |
Po dokonaniu wyboru kliknij Zastosuj. |
Wszelkie dane użytkownika zawarte w usłudze Active Directory zastępują dane w chmurze odpowiadające temu użytkownikowi. Na przykład jeśli użytkownik został ręcznie utworzony w Control Hub, jego adres e-mail musi być identyczny z adresem e-mail w usłudze Active Directory. Każdy użytkownik bez odpowiedniego adresu e-mail w usłudze Active Directory zostanie usunięty.
Usunięci użytkownicy są przechowywani w usłudze tożsamości w chmurze przez 7 dni przed ich trwale usunięciem.
Atrybuty Active Directory i chmury
Za pomocą karty Mapowanie atrybutów użytkownika można mapować atrybuty z lokalnej usługi Active Directory na odpowiednie atrybuty w chmurze.
W tej tabeli porównano mapowanie między nazwami atrybutów usługi Active Directory i nazwami atrybutów chmury Cisco. Te wartości i mapowania są ustawieniem domyślnym w łączniku usług katalogowych. Możesz wybrać różne atrybuty w rozwijanej usłudze Active Directory i określić, który atrybut lokalny jest synchronizowany z którym atrybutem chmury.
Pomyślcie o atrybutach rozwijanych jako o ustawieniach wstępnych. Zamiast wartości w wierszu Active Directory można również określić niestandardowy atrybut, własne ustawienie wstępne, w usłudze Active Directory (wyrażenie z wieloma atrybutami), aby zamapować go na jeden atrybut chmury w odpowiednim wierszu. Dzięki temu masz elastyczność określania nazw wyświetlanych użytkowników — na przykład możesz dodać wyrażenie, które tworzy niestandardowy atrybut na podstawie tytułu pracownika, imienia i nazwiska w usłudze Active Directory.
Można również określić dowolny z atrybutów usługi Active Directory, aby być mapowanym na identyfikator uid w chmurze. Należy jednak się upewnić, że atrybut lokalny jest zgodny z prawidłowym formatem wiadomości e-mail.
Możesz także użyć alternatywnych adresów e-mail, na przykład jeśli chcesz użyć nazwy userPrincipalName do logowania, ale adres e-mail użytkownika jest używany do zarządzania kalendarzem użytkownika. W takim przypadku zamapuj inny adres e-mail na atrybut e-mail;type-work. To jest adres e-mail używany do uwierzytelniania; nie jest używany do zarządzania kalendarzem. Adres e-mail mapowany z usługi AD musi pochodzić ze zweryfikowanej domeny w ramach organizacji, być unikatowy i nie musi być przypisany do innego użytkownika.
|
Nazwy atrybutów Active Directory |
Nazwy atrybutów chmury Webex |
Uwagi |
|---|---|---|
|
— |
budynekName |
— |
|
c |
c |
Ten atrybut określa skrót kraju użytkownika. |
|
działNumer |
działNumer |
Ten atrybut jest używany dla numeru działu użytkownika, który pojawia się na karcie kontaktu i informacjach o użytkowniku. |
|
nazwa wyświetlana |
nazwa wyświetlana |
Ten atrybut jest używany dla nazwy wyświetlanej konta użytkownika, która pojawia się w Control Hub, na karcie kontaktu i informacjach o użytkowniku. |
|
kontrolaKontaUżytkownika |
ds-pwp-account-wyłączony |
Ten atrybut jest używany do synchronizacji użytkowników. Upewnij się, że atrybut userAccountControl jest mapowany na ds-pwp-account-disabled. W przeciwnym razie użytkownicy nie będą poprawnie synchronizowani. |
|
Liczba pracowników |
Liczba pracowników |
— |
|
faksyleTelefonNumer |
faksyleTelefonNumer |
— |
|
— |
identyfikator jabber |
Ten atrybut chmury odnosi się do adresów wiadomości błyskawicznych (typ XMPP) używanych przez Jabbera. Ta wartość nie jest taka sama jak adres sipAddresses. |
|
l |
l |
Ten atrybut określa miejscowość użytkownika. |
|
— |
język |
— |
|
menedżer |
menedżer |
Ten atrybut jest używany dla nazwy menedżera użytkownika, która jest wyświetlana na karcie kontaktu i informacjach o użytkowniku. |
|
przenośne |
przenośne |
Ten atrybut jest używany jako numer telefonu komórkowego wyświetlany do nawiązania połączenia z użytkownikiem z karty kontaktu. |
|
o |
o |
Ten atrybut określa nazwę firmy lub organizacji i jest wyświetlany na karcie kontaktu. |
|
lub |
lub |
Ten atrybut określa nazwę jednostki organizacyjnej. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Ten atrybut określa lokalizację biura użytkownika. |
|
Kod pocztowy |
Kod pocztowy |
Ten atrybut określa kod pocztowy użytkownika do fizycznego dostarczania poczty. |
|
preferowanyJęzyk |
preferowanyJęzyk |
Ten atrybut ustawia preferowany język użytkownika oraz obsługiwane są następujące formaty: xx_YY lub xx-YY. Oto kilka przykładów: en_US, en_GB, fr-CA. Jeśli używasz nieobsługiwanego języka lub nieprawidłowego formatu, preferowany język użytkowników zostanie zmieniony na język ustawiony dla organizacji. |
|
MSRTCSIP - główny adres użytkownika Telefon ipPhone |
Adresy Sip;type=przedsiębiorstwo |
Ten atrybut jest używany do synchronizacji informacji o pokoju lokalnym z usługi Active Directory z chmurą Cisco Webex. |
|
sn |
sn |
Ten atrybut jest używany dla nazwiska konta użytkownika wyświetlanego w Control Hub, na karcie kontaktu i informacjach o użytkowniku. |
|
st. |
st. |
Ten atrybut określa stan lub prowincję użytkownika. |
|
ulicaAdres |
ulica |
Ten atrybut określa adres ulicy użytkownika do fizycznej dostawy poczty. |
|
numer telefonu |
numer telefonu |
Ten atrybut określa główny (służbowy) numer telefonu użytkownika służący do nawiązania połączenia z użytkownikiem z karty kontaktu. |
|
— |
strefa czasowa |
Ten atrybut chmury określa strefę czasową użytkownika. |
|
tytuł |
tytuł |
Ten atrybut określa tytuł użytkownika, który pojawia się na karcie kontaktu i informacjach o użytkowniku. |
|
wpisz |
przedsiębiorstwo |
— |
|
*poczta *Główna nazwa użytkownika |
identyfikator użytkownika |
Obowiązkowe mapowanie atrybutów. Dla każdego konta użytkownika wartość usługi Active Directory jest mapowana na unikatowy identyfikator UID w chmurze. W niektórych przypadkach do logowania się służy nazwa userPrincipalName, ale do zarządzania kalendarzem użytkownika jest używany jego adres e-mail. Należy podać adres e-mail dla map zarządzania kalendarzem na główne pole adresu e-mail w usłudze Webex. Dodaj userPrincipalName jako alternatywny adres e-mail. Użytkownik może wówczas użyć dowolnego z tych adresów e-mail do zalogowania się, o ile działa prawidłowe mapowanie atrybutów SAML. Zobacz Przykładowe mapowanie atrybutów poniżej, aby dowiedzieć się, jak można zmapować alternatywny adres e-mail. |
|
*Główna nazwa użytkownika *poczta <atrybut niestandardowy> |
wiadomości e-mail; praca typu |
To mapowanie jest opcjonalne. Użyj go, jeśli chcesz używać alternatywnych adresów e-mail. To jest adres e-mail używany do uwierzytelniania; nie jest używany do zarządzania kalendarzem. Adres e-mail mapowany z usługi AD musi pochodzić ze zweryfikowanej domeny w ramach organizacji, być unikatowy i nie musi być przypisany do innego użytkownika. |
|
<Nowy atrybut obiektuId użytkownika platformy Azure> |
Identyfikator zewnętrzny |
Utwórz nowy atrybut Active Directory, aby zachować identyfikator obiektu użytkownika platformy Azure, tak aby nie zderzył się z istniejącym atrybutem. Ten atrybut jest następnie mapowany na atrybut externalId, zapewniając, że gdy użytkownicy Webex tworzą grupy w Microsoft 365, automatycznie tworzą zespoły w Webex. |
Mapowanie alternatywnego adresu e-mail
Wyrażenia dla niestandardowych atrybutów
|
Operator |
Opis i przykład |
|---|---|
|
% |
Usuwa wszystkie znaki od początku ciągu do pozycji znaku lub argumentu ciągu, jeśli są dopasowane.
|
|
- |
Przesuwa tył ciągu wejściowego od końca określonego ciągu.
|
|
+ |
Powoduje złożenie ciągów wejściowych lub wyrażeń.
|
|
| |
Dokonuje oceny wyrażeń oddzielonych od pustego ciągu i wybiera pierwszy niepusty wynik.
|
Synchronizuj awatary katalogu z atrybutu usługi Active Directory do chmury
Możesz zsynchronizować awatary katalogu użytkowników z chmurą, aby każdy awatar był wyświetlany po zalogowaniu się do aplikacji Webex. Ta procedura służy do synchronizowania surowych danych awatara z atrybutu Active Directory.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, kliknij pozycję Awatar, a następnie zaznacz pole wyboru Włącz. |
| 2 |
W polu Pobierz awatar z wybierz atrybut AD, a następnie wybierz atrybut Awatar zawierający surowe dane awatara, które chcesz zsynchronizować z chmurą. |
| 3card symbol |
Aby sprawdzić, czy awatar jest poprawnie dostępny, wprowadź adres e-mail użytkownika, a następnie kliknij opcję Pobierz awatar użytkownika. Awatar pojawi się po prawej stronie. |
| 4 |
Po sprawdzeniu, czy awatar pojawił się poprawnie, kliknij przycisk Zastosuj, aby zapisać zmiany. |
-
Zsynchronizowane obrazy stają się domyślnym awatarem dla użytkowników w aplikacji Webex. Użytkownicy nie mogą ustawić własnego awatara, gdy ta funkcja zostanie włączona z poziomu łącznika usług katalogowych.
-
Awatary użytkowników są synchronizowane zarówno z aplikacją Webex, jak i ze wszystkimi pasującymi kontami w witrynie Webex.
Co zrobić dalej
Wykonaj synchronizację przebiegu próbnego; jeśli nie ma problemów, wykonaj pełną synchronizację, aby umożliwić synchronizację kont użytkowników i awatarów usługi Active Directory z chmurą i wyświetlenie ich w portalu Control Hub.
Synchronizuj awatary katalogu Z serwera zasobów do chmury
Możesz zsynchronizować awatary katalogu użytkowników z chmurą, aby każdy awatar był wyświetlany po zalogowaniu się do aplikacji Webex. Ta procedura służy do synchronizowania awatarów z serwera zasobów.
Przed rozpoczęciem
-
Wzorzec URI i wartość zmiennej w tej procedurze są przykładami. Musisz używać rzeczywistych adresów URL, w których znajdują się awatary katalogów.
-
Wzorzec URI awatara i serwer, na którym znajdują się awatary, muszą być dostępne z poziomu aplikacji Directory Connector. Konektor wymaga dostępu do obrazów w protokole HTTP lub HTTPS, ale obrazy nie muszą być publicznie dostępne w Internecie.
-
Synchronizacja danych awatara jest oddzielona od profili użytkowników w usłudze Active Directory. Jeśli jest uruchomiony serwer proxy, należy się upewnić, że dane awatara są dostępne za pomocą uwierzytelniania NTLM lub uwierzytelniania podstawowego.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, kliknij pozycję Awatar, a następnie zaznacz pole wyboru Włącz. |
| 2 |
W polu Pobierz awatar z wybierz pozycję Serwer zasobów, a następnie wprowadź wzorzec URI awatara, na przykład Przyjrzyjmy się każdej części wzorca URI awatara i co one oznaczają:
|
| 3card symbol |
(Opcjonalnie) Jeśli serwer zasobów wymaga poświadczeń, zaznacz opcję Ustaw poświadczenia użytkownika dla awatara, a następnie wybierz opcję Użyj bieżącego użytkownika logowania do usługi lub Użyj tego użytkownika i wprowadź hasło. |
| 4 |
Wprowadź wartość zmiennej — na przykład: |
| 5. |
Kliknij przycisk Testuj, aby upewnić się, że wzorzec URI awatara działa poprawnie. W tym przykładzie, jeśli wartością poczty dla jednego wpisu usługi AD jest |
| 6 |
Gdy informacje o identyfikatorze URI zostaną zweryfikowane i wyglądają poprawnie, kliknij przycisk Zastosuj. Aby uzyskać szczegółowe informacje na temat używania wyrażeń regularnych, zobacz Skrócona instrukcja obsługi języka wyrażeń regularnych firmy Microsoft. |
-
Zsynchronizowane obrazy stają się domyślnym awatarem dla użytkowników w aplikacji Webex. Użytkownicy nie mogą ustawić własnego awatara, gdy ta funkcja zostanie włączona z poziomu łącznika usług katalogowych.
-
Awatary użytkowników są synchronizowane zarówno z aplikacją Webex, jak i ze wszystkimi pasującymi kontami w witrynie Webex.
Co zrobić dalej
Wykonaj synchronizację przebiegu próbnego; jeśli nie ma problemów, wykonaj pełną synchronizację, aby umożliwić synchronizację kont użytkowników i awatarów usługi Active Directory z chmurą i wyświetlenie ich w portalu Control Hub.
Synchronizuj informacje o pokoju w siedzibie z chmurą Webex
Ta procedura służy do synchronizowania informacji o lokalnym pokoju z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia pokojowe ze skonfigurowanym, zmapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach Webex zarejestrowanych w chmurze (Room, Desk i Board).
| 1 |
W Directory Connector przejdź do pozycji Synchronizuj, kliknij więcej |
| 2 |
Zaznacz opcję Synchronizuj informacje o pokoju z chmurą, aby oddzielić dane pokoju od danych użytkowników podczas synchronizacji. Gdy to ustawienie jest wyłączone, dane pokoju są traktowane tak samo jak dane zsynchronizowane przez użytkowników. |
| 3card symbol |
Przejdź do pozycji Mapowanie atrybutów, a następnie zmień mapowanie atrybutów dla atrybutu sipAddresses;type=enterprise w chmurze. Aby można było użyć sprawdzania poprawności wartości, wartością adresu SIP powinna być Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Tworzenie skrzynki pocztowej zasobów pokoju w programie Exchange. Spowoduje to dodanie atrybutu msExchResourceMetaData;ResourceType:Room, którego łącznik używa następnie do identyfikowania pokojów.
|
| 5. |
Z użytkowników i komputerów usługi Active Directory przejdź do właściwości pokoju i edytuj je. Dodaj w pełni kwalifikowany identyfikator URI SIP z przedrostkiem sip:
|
| 6 |
Wykonaj synchronizację przebiegu próbnego, a następnie pełną synchronizację przebiegu w konektorze. Nowe obiekty pokoju są wyświetlane na liście Dodane obiekty, a dopasowane obiekty pokoju są wyświetlane w Obiekty dopasowane w raporcie przebiegu próbnego. Wszystkie obiekty pokojów oznaczone flagą usunięcia znajdują się w obszarze Pokoje usunięte.
Wyniki przebiegu próbnego pokazują wszystkie zasoby pokojów, które zostały dopasowane.
To ustawienie oddziela dane pokoju Active Directory (w tym atrybut pokoju) od danych użytkownika. Po zakończeniu synchronizacji statystyki chmury w pulpicie nawigacyjnym łącznika pokazują dane pokojów, które zostały zsynchronizowane z chmurą.
|
Co zrobić dalej
Teraz, po wykonaniu tych czynności, podczas wyszukiwania na urządzeniu zarejestrowanym w chmurze Webex zostaną wyświetlone zsynchronizowane wpisy pokojów skonfigurowane z adresami SIP. Po nawiązaniu połączenia z urządzenia Webex na tym wpisie połączenie jest nawiązywane na adres SIP skonfigurowany dla pokoju.
Z Control Hub można automatycznie importować pokoje z katalogu i tworzyć obszary robocze.
Punkt końcowy nie może nawiązać połączenia zwrotnego do aplikacji Webex. W przypadku testowych wybierania numerów urządzenia te muszą być zarejestrowane jako lokalny identyfikator URI SIP lub miejsce inne niż aplikacja Webex. Jeśli system pokojów Active Directory, którego szukasz, jest zarejestrowany w usłudze Webex, a ten sam adres e-mail znajduje się na urządzeniu Webex Room Device, urządzeniu Desk lub Webex Board dla usługi kalendarza, wyniki wyszukiwania nie wyświetlają zduplikowanego wpisu. Urządzenie Room, Desk lub Board jest wybierane bezpośrednio w aplikacji Webex, a połączenie SIP nie jest nawiązywane.
Wysyłanie raportów e-mail dotyczących wyników synchronizacji katalogów
Domyślnie kontakty lub administratorzy organizacji zawsze otrzymują powiadomienia e-mail. Dzięki temu ustawieniu możesz określić, kto powinien otrzymywać powiadomienia e-mail podsumowujące raporty synchronizacji katalogów.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja, a następnie wybierz pozycję Powiadomienia. |
| 2 |
W Łączniku usług katalogowych kliknij pozycję Ustawienia, a obok pozycji Odbiornik wiadomości e-mail włącz synchronizację raportu. |
| 3card symbol |
Zaznacz opcję Włącz powiadomienia, jeśli chcesz zastąpić domyślne działanie powiadomień i dodać jednego lub więcej odbiorców wiadomości e-mail. |
| 4 |
Kliknij przycisk Dodaj, a następnie wprowadź adres e-mail. W przypadku wprowadzenia adresu e-mail o nieprawidłowym formacie zostanie wyświetlony komunikat z prośbą o naprawienie problemu, zanim będzie można zapisać i zastosować zmiany. |
| 5. |
Kliknij Dodaj adres e-mail, a następnie wprowadź adres e-mail. W przypadku wprowadzenia adresu e-mail o nieprawidłowym formacie zostanie wyświetlony komunikat z prośbą o naprawienie problemu, zanim będzie można zapisać i zastosować zmiany. |
| 6 |
Jeśli chcesz edytować wprowadzone adresy e-mail, kliknij dwukrotnie wpis e-mail w lewej kolumnie, a następnie wprowadź niezbędne zmiany. |
| 7 |
Po dodaniu wszystkich prawidłowych adresów e-mail kliknij opcję Zastosuj. |
| 8 |
Po dodaniu wszystkich prawidłowych adresów e-mail kliknij przycisk Zapisz. |
Co zrobić dalej
Jeśli zdecydowano, że chcesz usunąć adresy e-mail, możesz kliknąć wiadomość e-mail, aby zaznaczyć ten wpis, a następnie kliknąć opcję Usuń.
Jeśli zdecydowano, że chcesz usunąć adresy e-mail, możesz kliknąć przycisk Usuń obok określonych wpisów adresu e-mail.
Aprowizacja Użytkowników Z Usługi Active Directory Do Control Hub
Wykonaj poniższe czynności, aby skonfigurować użytkowników usługi Active Directory i utworzyć odpowiadające im konta użytkowników w Control Hub. Po zainstalowaniu łącznika usług katalogowych dla każdej domeny można skonfigurować użytkowników z wdrożenia usługi Active Directory w wielu domenach (z jednym lub wieloma lasami). Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Celem jest dokładne dopasowanie między aktywnymi katalogami a chmurą Webex.
| 1 |
Wykonywanie synchronizacji próbnej na użytkownikach usługi Active Directory Przeprowadź przebieg próbny, aby porównać obiekty w lokalnej usłudze Active Directory z obiektami w chmurze Webex. Przebieg próbny pozwala zobaczyć, które obiekty zostaną dodane, zmodyfikowane lub usunięte, zanim uruchomisz pełną lub stopniową synchronizację i zatwierdzisz zmiany w chmurze. |
| 2 |
Wykonaj pełną synchronizację użytkowników usługi Active Directory z chmurą Po uruchomieniu pełnej synchronizacji usługa łącznika wysyła wszystkie odfiltrowane obiekty z usługi Active Directory (AD) do chmury. Usługa łącznika aktualizuje następnie magazyn tożsamości za pomocą wpisów usługi AD. Jeśli utworzono szablon automatycznego przypisywania licencji, możesz przypisać go do nowo zsynchronizowanych użytkowników. |
| 3card symbol |
Przypisz usługi Webex do użytkowników zsynchronizowanych z katalogiem w Control Hub Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych w Control Hub można przypisać licencje usług Webex przy użyciu różnych metod. Zalecamy skonfigurowanie szablonu automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory. Po tym początkowym kroku można również wprowadzić indywidualne zmiany. |
Wykonywanie synchronizacji próbnej na użytkownikach usługi Active Directory
Przeprowadź przebieg próbny, aby porównać obiekty w lokalnej usłudze Active Directory z obiektami w chmurze Webex. Przebieg próbny pozwala zobaczyć, które obiekty zostaną dodane, zmodyfikowane lub usunięte, zanim uruchomisz pełną lub stopniową synchronizację i zatwierdzisz zmiany w chmurze.
Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Dzięki Łącznikowi usług katalogowych celem jest dokładne dopasowanie między Active Directories a chmurą Webex.
Jeśli w jednym lub wielu lasach znajduje się wiele domen, wykonaj ten krok w każdym wystąpieniu łącznika usług katalogowych Cisco, które zainstalowałeś dla każdej domeny Active Directory.
Przed rozpoczęciem
Przed użyciem łącznika usług katalogowych niektórzy użytkownicy aplikacji Webex mogą już znajdować się w Control Hub. Wśród użytkowników w chmurze niektórzy mogą pasować do lokalnego obiektu Active Directory i mieć przypisane licencje na usługi. Ale niektóre z nich mogą być użytkownikami testowymi, których chcesz usunąć podczas synchronizacji. Należy utworzyć dokładne dopasowanie między usługą Active Directory i Control Hub.
| 1 |
Wybierz jedną z nich:
Po zakończeniu przebiegu próbnego zostanie wyświetlony jeden z następujących wyników:
Podsumowanie zawiera informacje o dopasowywaniu obiektów:
Przebieg próbny identyfikuje użytkowników poprzez porównanie ich z użytkownikami domeny. Aplikacja może zidentyfikować użytkowników, jeśli należą do bieżącej domeny. W następnym kroku musisz zdecydować, czy usunąć obiekty, czy zachować je. Niedopasowane obiekty są identyfikowane jako istniejące już w chmurze Webex, ale nie istnieją w lokalnej usłudze Active Directory. |
| 2 |
Przejrzyj wyniki uruchomienia próbnego, a następnie wybierz opcję w zależności od tego, czy korzystasz z jednej czy wielu domen:
|
| 3card symbol |
W wierszu Potwierdź przebieg próbny kliknij przycisk Tak, aby ponowić synchronizację przebiegu próbnego i wyświetl pulpit nawigacyjny, aby zobaczyć wyniki. Wszystkie konta, które zostały pomyślnie zsynchronizowane w przebiegu próbnym, pojawiają się w sekcji Dopasowane obiekty. Jeśli użytkownik w chmurze nie ma odpowiadającego użytkownika z tym samym adresem e-mail w usłudze Active Directory, pozycja ta znajduje się w sekcji Usunięci użytkownicy. Aby uniknąć tej flagi usuwania, możesz dodać użytkownika w usłudze Active Directory z tym samym adresem e-mail. Aby wyświetlić szczegóły zsynchronizowanych elementów, kliknij odpowiednią kartę dla określonych elementów lub Dopasowane obiekty. Aby zapisać informacje podsumowania, kliknij opcję Zapisz wyniki w pliku. |
| 4 |
Jeśli oczekiwane wyniki są oczekiwane, przejdź do , a następnie kliknij przycisk Włącz teraz, aby wykonać synchronizację ręczną i uruchomić w tym momencie tryb ręczny. Po wykonaniu synchronizacji w ostatniej domenie Active Directory w wdrożeniu wielu domen należy włączyć tryb automatyczny dla łącznika usług katalogowych. Tryb automatyczny można włączyć tylko wtedy, gdy obiekty są całkowicie dopasowane między chmurą Webex a wszystkimi lokalnymi aktywnymi katalogami. |
Co zrobić dalej
-
W przypadku jakichkolwiek zachowanych niedopasowanych obiektów użytkownika należy je dodać do usługi Active Directory, aby istniało dokładne dopasowanie między środowiskiem lokalnym a chmurą.
-
Wybierz typ synchronizacji:
-
Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut (w wersjach 3.4 i starszych) lub co 4 godziny (w wersjach 3.5 i nowszych), ale można zmienić tę wartość. Synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji.
-
Jeśli masz wiele domen, powtórz te kroki na każdym innym zainstalowanym łączniku usług katalogowych.
O czym należy pamiętać
-
Przeprowadź przebieg próbny przed włączeniem pełnej synchronizacji lub zmianą parametrów synchronizacji. Jeśli przebieg próbny został zainicjowany przez zmianę konfiguracji, można zapisać ustawienia po jego ukończeniu. Jeśli użytkownicy zostali już dodani ręcznie, synchronizacja z usługą Active Directory może spowodować usunięcie poprzednio dodanych użytkowników. Przed pełną synchronizacją z chmurą można sprawdzić raporty Dry Run łącznika usług katalogowych, aby sprawdzić, czy wszyscy oczekiwani użytkownicy są obecni.
-
Jeśli dopasowani użytkownicy są oznaczeni jako usunięci i nie masz pewności, jak kontynuować, zapoznaj się z informacjami o rozwiązywaniu problemów i jak skontaktować się z pomocą techniczną w sekcji Rozwiązywanie problemów i poprawki dotyczące łącznika usług katalogowych.
Usunięci użytkownicy są przechowywani w usłudze tożsamości w chmurze przez 7 dni przed ich trwale usunięciem.
Wykonaj pełną synchronizację użytkowników usługi Active Directory z chmurą
Po uruchomieniu pełnej synchronizacji usługa łącznika wysyła wszystkie odfiltrowane obiekty z usługi Active Directory (AD) do chmury. Usługa łącznika aktualizuje następnie magazyn tożsamości za pomocą wpisów usługi AD. Jeśli utworzono szablon automatycznego przypisywania licencji, możesz przypisać go do nowo zsynchronizowanych użytkowników.
Jeśli masz wiele domen, wykonaj ten krok w każdym wystąpieniu łącznika usług katalogowych, które zainstalowałeś dla każdej domeny Active Directory.
Łącznik usług katalogowych synchronizuje stan konta użytkownika — w usłudze Active Directory wszyscy użytkownicy oznaczeni jako wyłączeni są również wyświetlani jako nieaktywni w chmurze.
Przed rozpoczęciem
-
Jeśli chcesz, aby konta użytkowników aplikacji Webex były w stanie Aktywne po pełnej synchronizacji i przed pierwszym zalogowaniem się użytkowników, musisz wykonać następujące czynności, aby pominąć sprawdzanie poprawności wiadomości e-mail:
-
Zintegruj jednokrotne logowanie ze swoją organizacją Webex. Patrz
Jednokrotne logowanie przy użyciu usług Cisco Webex i dostawcy tożsamości organizacji
aby uzyskać więcej informacji. -
Za pomocą Control Hub można zweryfikować i opcjonalnie zgłosić domeny zawarte w adresach e-mail. Patrz
Dodawanie, weryfikowanie i zgłaszanie praw do domen
. -
Pomijaj automatyczne zaproszenia e-mail, aby nowi użytkownicy nie otrzymywali automatycznego zaproszenia e-mail do aplikacji Webex. (Możesz wykonać własną kampanię wiadomości e-mail).
Aktywowani użytkownicy, którzy nie zalogowali się, są wyświetlani ze stanem Zweryfikowany w Control Hub. Po zalogowaniu się są wyświetlane jako Aktywne. Aby uzyskać więcej informacji o stanach użytkowników, zobacz Stany i czynności użytkowników w Cisco Webex Control Hub.
-
-
Po włączeniu synchronizacji łącznik usług katalogowych prosi o najpierw uruchomienie próbne. Zalecamy uruchomienie próbne przed pełną synchronizacją w celu wykrycia potencjalnych błędów.
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
Jeśli nie używasz szablonów automatycznego przypisywania licencji, nowo zsynchronizowani użytkownicy automatycznie otrzymają darmowe licencje. Użytkownicy będą mogli korzystać z tych samych bezpłatnych funkcji, co w przypadku bezpłatnych kont.
| 1 |
Wybierz jedną z nich:
|
| 2 |
W Directory Connector przejdź do pozycji Synchronizuj, kliknij więcej |
| 3card symbol |
Potwierdź rozpoczęcie synchronizacji. W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany do 72 godzin po wykonaniu synchronizacji. Możesz spróbować wyczyścić lokalną pamięć podręczną aplikacji Webex, wykonując następujące czynności: Windows lub Mac.
|
| 4 |
Kliknij przycisk Odśwież, jeśli chcesz zaktualizować stan synchronizacji. (Zsynchronizowane elementy są wyświetlane w obszarze Statystyki chmury). |
| 5. |
Aby uzyskać informacje o błędach, wybierz pozycję Uruchom przeglądarkę zdarzeń na pasku narzędzi Czynności, aby wyświetlić dzienniki błędów. |
| 6 |
Aby ustawić harmonogram synchronizacji dla bieżących synchronizacji przyrostowych z chmurą, zobacz Ustawianie harmonogramu łącznika i Uruchamianie synchronizacji przyrostowej. |
-
Po zakończeniu pełnej synchronizacji stan synchronizacji katalogów zostanie zaktualizowany z Wyłączony na Działający na stronie Ustawienia w Control Hub.
-
Gdy wszystkie dane zostaną dopasowane między środowiskiem lokalnym a chmurą, łącznik usług katalogowych zmienia się z trybu ręcznego na tryb automatycznej synchronizacji.
-
Jeśli nie zintegrujesz jednokrotnego logowania, zweryfikujesz domeny i opcjonalnie zgłosisz domeny dla zsynchronizowanych kont e-mail oraz wyłączysz automatyczne wiadomości e-mail, konta użytkowników aplikacji Webex pozostają w stanie Niezweryfikowany do czasu, aż użytkownicy po raz pierwszy zalogują się do aplikacji Webex w celu potwierdzenia swoich kont. Wskazówki na temat synchronizowania kont jako Aktywnych użytkowników można znaleźć w sekcji Przed rozpoczęciem.
-
Jeśli masz wiele domen, wykonaj ten krok przy użyciu dowolnego innego łącznika usług katalogowych, który został zainstalowany. Po synchronizacji użytkownicy we wszystkich dodanych domenach są wyświetlani w Control Hub.
-
Jeśli zintegrowano jednokrotne logowanie z usługą Webex i zablokowano powiadomienia e-mail, zaproszenia e-mail nie będą wysyłane do nowo zsynchronizowanych użytkowników.
-
Po włączeniu łącznika usług katalogowych nie można ręcznie dodawać użytkowników w Control Hub. Po włączeniu tej opcji zarządzanie użytkownikami jest wykonywane za pomocą łącznika usług katalogowych Cisco, a usługa Active Directory jest jedynym źródłem prawdy.
-
Wszystkie zsynchronizowane grupy są wyświetlane w portalu Control Hub i można przypisać szablon licencji, dzięki czemu użytkownikom w tej grupie zostaną przypisane licencje.
Co zrobić dalej
-
Usunięcie użytkownika z usługi Active Directory powoduje jego miękkie usunięcie po następnej synchronizacji. Użytkownik staje się nieaktywny, ale profil tożsamości w chmurze jest przechowywany przez siedem dni (aby umożliwić odzyskanie po przypadkowym usunięciu).
Jeśli zaznaczysz opcję Konto jest wyłączone w usłudze Active Directory, użytkownik staje się Nieaktywny po następnej synchronizacji. Profil tożsamości w chmurze nie zostanie usunięty po siedmiu dniach, na wypadek, gdy chcesz ponownie włączyć użytkownika.
-
Zwróć uwagę na następujące wyjątki od synchronizacji przyrostowej (zamiast tego wykonaj pełne czynności synchronizacji powyżej):
-
W przypadku zaktualizowanego awatara, ale bez żadnej innej zmiany atrybutu, synchronizacja przyrostowa nie aktualizuje awatara użytkownika do chmury.
-
Zmiany konfiguracji mapowania atrybutów, podstawowej nazwy DN, filtru i ustawienia awatara wymagają pełnej synchronizacji.
-
Przypisz usługi Webex do użytkowników zsynchronizowanych z katalogiem w Control Hub
Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych Cisco w Control Hub możesz użyć narzędzia Control Hub, aby przypisać te same licencje usługi Webex jednocześnie wszystkim użytkownikom lub dodać dodatkowe licencje nowym użytkownikom, jeśli skonfigurowano już szablon licencji przypisanych automatycznie. Po tym początkowym kroku można wprowadzić zmiany na koncie poszczególnych użytkowników.
Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych w Control Hub możesz użyć metod w Control Hub, aby globalnie przypisywać licencje usług Webex do wszystkich użytkowników, użytkowników indywidualnych, za pomocą zbiorczego szablonu CSV lub automatycznie do nowych użytkowników, jeśli został już skonfigurowany szablon automatycznego przypisywania licencji. Po tym początkowym kroku można wprowadzić zmiany na koncie poszczególnych użytkowników.
Gdy przypiszesz licencję użytkownikowi aplikacji Webex, ten użytkownik domyślnie otrzymuje wiadomość e-mail potwierdzającą przypisanie. Wiadomość e-mail jest wysyłana przez usługę powiadomień w Control Hub. Jeśli zintegrowano logowanie jednokrotne (SSO) z organizacją Webex, możesz również wyłączyć te automatyczne powiadomienia e-mail, jeśli wolisz bezpośrednio kontaktować się z użytkownikami.
Przed rozpoczęciem
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
-
Wykonaj synchronizację przebiegu próbnego u użytkowników usługi Active Directory.
-
Po potwierdzeniu wyników przebiegu próbnego wykonaj pełną synchronizację użytkowników usługi Active Directory.
W momencie pełnej synchronizacji użytkownik jest tworzony w chmurze, nie są dodawane żadne przypisania usług, a aktywacyjna wiadomość e-mail nie jest wysyłana. Jeśli wiadomości e-mail nie zostaną zablokowane, nowi użytkownicy otrzymają aktywacyjną wiadomość e-mail podczas przypisywania usług do użytkowników za pomocą standardowej metody zarządzania użytkownikami w Control Hub, takiej jak importowanie pliku CSV, ręczna aktualizacja użytkownika lub poprzez pomyślne ukończenie automatycznego przypisywania.
| 1 |
W widoku klienta w witrynie https://admin.webex.com przejdź do sekcji , kliknij opcję Zarządzaj użytkownikami, wybierz opcję Modyfikuj zsynchronizowanych użytkowników i kliknij przycisk Dalej. |
| 2 |
Wybierz opcję: |
Co zrobić dalej
-
Jeśli wiadomości e-mail nie są blokowane, do każdego użytkownika wysyłana jest wiadomość e-mail z zaproszeniem do dołączenia i pobrania usługi Webex.
-
Jeśli wybrano te same usługi Webex dla wszystkich użytkowników, następnie można zmienić licencje przypisane indywidualnie lub zbiorczo.
Znane problemy z łącznikiem usług katalogowych
-
W wersjach Windows Server wcześniejszych niż 2012 R2 wystąpił problem z plikami cookie, który wpływa na łącznik usług katalogowych. Ten problem został rozwiązany w wersjach 2012 R2 i 2016.
-
W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany po 72 godzinach od wykonania synchronizacji.
Możesz spróbować wyczyścić lokalną pamięć podręczną aplikacji Webex, wykonując następujące czynności: Windows lub Mac.
-
Gdy użytkownik korzysta z aplikacji Webex na komputerze lub urządzeniu przenośnym, aby wyszukać i nawiązać połączenie z pokojem, który ma tylko zsynchronizowany identyfikator URI SIP, wówczas połączenie będzie dzwonić w tej chwili bez końca.
Zarządzanie użytkownikami aplikacji Webex
Uruchom synchronizację przyrostową
Synchronizacja przyrostowa wysyła zapytanie do usługi Active Directory i szuka zmian, które wystąpiły od czasu ostatniej synchronizacji. Ten krok następnie łączy te zmiany i wysyła je do usługi łącznika. Zmiany obejmują modyfikację atrybutów użytkowników oraz sposób dodawania lub usuwania użytkownika.
Ta synchronizacja nie nakłada tak dużego obciążenia na serwery i nie zajmuje tyle czasu, co pełna synchronizacja. Po wykonaniu początkowej pełnej synchronizacji zalecamy opcję przyrostową dla kolejnych synchronizacji.
Przed rozpoczęciem
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
-
Zwróć uwagę na następujące wyjątki, których synchronizacja przyrostowa nie obsługuje (zamiast tego zobacz Wykonaj pełną synchronizację użytkowników usługi Active Directory do chmury ):
-
W przypadku zaktualizowanego awatara, ale bez żadnej innej zmiany atrybutu, synchronizacja przyrostowa nie aktualizuje awatara użytkownika do chmury.
-
W przypadku nowych zmian konfiguracji mapowania atrybutów, podstawowej nazwy domeny, filtru i ustawienia awatara synchronizacja przyrostowa nie będzie działać i wymagają one pełnej synchronizacji.
-
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. Po włączeniu synchronizacji łącznik usług katalogowych prosi o najpierw uruchomienie próbne. |
| 2 |
W obszarze Czynności kliknij kolejno opcje Tryb synchronizacji > Włącz synchronizację , jeśli nie jest jeszcze włączony. Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut (w wersjach 3.4 i starszych) lub co 4 godziny (w wersjach 3.5 i nowszych), ale można zmienić tę wartość. Synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji. Po upływie nowego interwału czasu przyrostowego program sprawdza zmiany na podstawie ostatniego znacznika czasu. |
| 3 |
W sekcji Czynności kliknij kolejno opcje Synchronizuj teraz > Przyrostowe. W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany po 72 godzinach od wykonania synchronizacji.
|
| 4 |
Aby uzyskać informacje o błędach, kliknij opcję Uruchom przeglądarkę zdarzeń na pasku narzędzi Czynności , aby wyświetlić dzienniki błędów. |
Co zrobić dalej
Jeśli masz wiele domen, wykonaj ten krok w innych zainstalowanych wystąpieniach łącznika usług katalogowych.
Odzyskaj przypadkowo usuniętych użytkowników
Łącznik usług katalogowych udostępnia mechanizmy kontroli i równowagi, aby zapobiec niezamierzonemu usunięciu użytkowników. Niestety zdarzają się wypadki; być może nieprawidłowo skonfigurowałeś filtr LDAP w Active Directory, który usuwał niektórych użytkowników podczas synchronizacji z chmurą. Funkcja miękkiego usuwania może pomóc Ci wyjść z tych awarii i przywrócić konta użytkowników w Control Hub.
Domyślnie ta funkcja jest włączona dla wszystkich organizacji. Gdy użytkownicy zostaną usunięci z chmury, na przykład z powodu problemu z niedopasowanym obiektem po synchronizacji z łącznika usług katalogowych, użytkownicy mogą zostać odzyskani. Jeśli zauważyłeś niedopasowane obiekty lub zauważyłeś, że użytkownicy zostali usunięci, możesz być w stanie je odzyskać, jeśli zachowasz się szybko.
Użytkownicy są oznaczani jako nieaktywni w Control Hub, gdy odpowiednie konta zostaną usunięte z usługi Active Directory. Usługa chmury w tle zachowuje użytkowników przez maks. 7 dni. W tym okresie nadal będzie można korzystać z łącznika usług katalogowych Cisco do odzyskiwania użytkowników. Zalecamy jak najszybsze odzyskanie tych użytkowników.
Użytkownicy wyłączeni w usłudze Active Directory są również oznaczani jako nieaktywni w portalu Control Hub, ale konto użytkownika nie zostanie usunięte po 7 dniach.
| 1 |
Zaloguj się do centrum sterowania. |
| 2 |
Przejdź do opcji Użytkownicy i potwierdź, czy określone konto użytkownika jest w stanie Nieaktywne, czy nie jest wymienione na liście. Aby uzyskać więcej informacji, zobacz Stany i czynności użytkowników w Control Hub. |
| 3 |
Jeśli użytkownicy zostali usunięci w Control Hub lub zauważysz użytkowników w stanie nieaktywnym, przejdź do usługi Active Directory, dodaj brakujące konta użytkowników, a następnie wykonaj synchronizację przebiegu próbnego w łączniku usług katalogowych. Celem łącznika usług katalogowych jest stworzenie dokładnego dopasowania informacji o użytkownikach w usłudze Active Directory i w chmurze. |
| 4 |
Wykonaj pełną synchronizację, aby ponownie zsynchronizować tymczasowo usunięte konta użytkowników z Control Hub. Nastąpi odzyskanie użytkowników i przejście do stanu pierwotnego, w tym stanu konta i przypisań usług. |
Co zrobić dalej
Wróć do usługi Control Hub, wybierz kolejno opcje i upewnij się, że wcześniej usunięte konta użytkowników pojawiają się na liście użytkowników.
Trwałe usuwanie użytkowników po usunięciu programowym
Po wykonaniu przebiegu próbnego można zdecydować się na trwałe usunięcie użytkowników, którzy zostali miękko usunięci podczas następnej synchronizacji.
| 1 |
Po zakończeniu przebiegu próbnego wybierz pozycję Obiekty usunięte programowo. |
| 2 |
Zaznacz pole wyboru obok użytkowników, których chcesz usunąć. |
| 3 |
Wybierz opcję Gotowe. |
Co zrobić dalej
Podczas następnej synchronizacji zaznaczeni użytkownicy zostaną trwale usunięci.
Zmienianie adresu e-mail aplikacji Webex
Jeśli chcesz zmienić adresy e-mail użytkowników, a Twoja organizacja korzysta z Directory Connector, zmień te adresy e-mail w usłudze Active Directory. Ta procedura obejmuje sposób zmiany adresu e-mail aplikacji Webex dla pojedynczej domeny oraz proces zmiany domeny.
Jeśli chcesz zmienić adres e-mail lub jakąś wartość tylko dla jednego użytkownika, nie usuwaj go z usługi Active Directory, a następnie odtwórz nowy przy użyciu tego samego adresu e-mail. Chmura interpretuje tę czynność jako nowe konto użytkownika, a obszary użytkownika i inne dane w chmurze zostaną utracone.
Directory Connector nie ogranicza zmiany domeny e-mail. Jednak gdy użytkownik ponownie zsynchronizuje się z chmurą, stan użytkownika jest zależny od tego, czy nowa domena jest zweryfikowana w organizacji. Jeśli domena nie jest zweryfikowana w organizacji, stan użytkownika zmieni się na Oczekiwanie po pełnej synchronizacji. Aby uzyskać więcej informacji, zobacz Zarządzanie swoimi domenami.
Jeśli Twoja organizacja nie korzysta z łącznika usług katalogowych, adresy e-mail aplikacji Webex można zmienić na stronie ustawień konta. Aby uzyskać informacje na temat kroków, które użytkownicy mogą wykonać, aby zmienić swoje adresy e-mail, zobacz Zmiana adresu e-mail konta .
Zmiana domeny Active Directory
Ta procedura służy do tworzenia nowych domen i adresów e-mail. Są one synchronizowane z usługą tożsamości w chmurze.
| 1 |
Skonfiguruj nową domenę usługi Active Directory (AD). |
| 2 |
Wyłącz synchronizacje we wszystkich konektorach. |
| 3 |
Odinstaluj wszystkie łączniki. |
| 4 |
Otwórz sprawę, aby zmienić domenę. W zgłoszeniu sprawy poproś o usunięcie konfiguracji domeny i wszystkich atrybutów synchronizacji w organizacji. Przed otwarciem sprawy w celu zmiany domeny upewnij się, że nie uruchomiono synchronizacji. Nie zmieniaj żadnych adresów e-mail użytkowników w usłudze Active Directory, dopóki sprawa nie zostanie rozwiązana. |
| 5 |
Po rozstrzygnięciu sprawy: Przed wykonaniem rzeczywistej synchronizacji uruchom test z łącznikiem usług katalogowych. |
Roszczenie do domeny
Roszczenie o domenę pojawia się, jeśli zgłaszasz prawa do domeny e-mail dla organizacji, aby dowolne konto dołączone było tworzone w płatnej organizacji klienta, a nie w bezpłatnej organizacji konsumenckiej. Prawo do domeny można zgłosić tylko w przypadku pomocy technicznej (więcej informacji można znaleźć pod poniższym linkiem).
Jeśli Directory Connector jest aktywny, a domena została zgłoszona, konta współbieżne nie są tworzone ani w organizacji klienta, ani w bezpłatnej organizacji konsumenckiej. Tylko Directory Connector może aprowizować konta organizacji z usługi Active Directory. Informacje przechowywane w usłudze Active Directory są oryginalnym źródłem. Podczas próby dołączenia konta zaproszony użytkownik otrzyma błąd. Jedynym sposobem, w jaki zaproszony użytkownik może zostać dodany do obszaru aplikacji Webex, jest najpierw użycie łącznika usług katalogowych w celu zainicjowania obsługi konta w Control Hub.
Konwertowanie użytkowników bezpłatnej aplikacji Webex w organizacji zsynchronizowanej z katalogami
Można używać wyłącznie unikatowych adresów e-mail w katalogu aplikacji Webex. Jeśli Twoi użytkownicy zarejestrowali się w bezpłatnej wersji aplikacji Webex, ich konto istnieje w bezpłatnej organizacji konsumenckiej. Aby zarządzać użytkownikami w tej organizacji przy użyciu łącznika usług katalogowych, przed włączeniem łącznika usług katalogowych należy przeprowadzić migrację (przekonwertować) ich do organizacji klienta. Następnie dodajesz użytkowników do usługi Active Directory przy użyciu dokładnego adresu e-mail, a następnie synchronizujesz je z chmurą.
Jeśli nie przekonwertujesz kont przed aktywacją, wyłącz łącznik usług katalogowych, aby je przekonwertować.
Jeśli próbujesz przekonwertować użytkownika, gdy synchronizacja katalogu jest włączona, nie można przekonwertować komunikatu o błędzie . Aby uniknąć problemu, możesz wykonać poniższe czynności jako obejście.
Niektórzy zgłoszeni użytkownicy mogą wyświetlić się z atrybutem movedfrom podczas uruchamiania próbnego. Ci użytkownicy będą na liście Usunięty obiekt zamiast MismatchedObject. Musisz dodać tych użytkowników do listy AD, jeśli chcesz przenieść ich do swojej organizacji.
Jeśli nie dodasz tych użytkowników, wszyscy zostaną usunięci obok Ciebie zsynchronizowani z chmurą.
| 1 |
Wyłącz synchronizację katalogu z łącznika usług katalogowych. |
| 2 |
Postępuj zgodnie z procedurą Konwertuj użytkowników bez licencji w Control Hub , aby przekonwertować użytkownika z bezpłatnej organizacji konsumenckiej na organizację firmową. Ten krok dodaje użytkownika do organizacji, a konto pojawi się w Control Hub. Łącznik usług katalogowych sprawia, że Active Directory jest jedynym źródłem prawdy dla kont użytkowników, a celem jest dokładne dopasowanie usług Active Directory i Control Hub. Przed ponownym włączenia synchronizacji upewnij się, że w usłudze Active Directory są pasujący użytkownicy dla wszystkich ostatnio przekonwertowanych użytkowników. Synchronizacja Suchego Przebiegu może być użyta, aby upewnić się, że nie ma już niezrównanych użytkowników. |
| 3 |
W konektorze usług katalogowych wykonaj synchronizację przebiegu próbnego. Po zakończeniu prowadzenia na sucho sprawdź kartę Dodaj obiekty. Sprawdź, czy przekonwertowani użytkownicy nie zostaną usunięci. Przed ponownym włączeniem synchronizacji należy wykonać przebieg próbny, aby upewnić się, że wszystkie skonwertowane konta użytkowników pojawiają się w usłudze Active Directory. Jeśli włączysz synchronizację, a konta znajdują się tylko w Control Hub, Łącznik usług katalogowych rozróżnia wielkość liter i usunie skonwertowanych użytkowników, których wykryje z niedopasowanymi adresami e-mail (na przykład user1@example.com i User1@example.com). Jeśli którykolwiek z skonwertowanych użytkowników zostanie usunięty, tracą oni wszystkie obszary aplikacji Webex. |
| 4 |
Jeśli masz pewność, że następna synchronizacja nie usunie żadnych kont, włącz ponownie synchronizację katalogu z łączników usług katalogowych. |
Przekonwertowane konta użytkowników nie są aktywowane automatycznie, jeśli domena nie została zweryfikowana. Jeśli na przykład włączono szablon automatycznego przypisywania licencji, a następnie włączono Łącznik usług katalogowych bez weryfikacji domeny, skonwertowani użytkownicy są nieaktywni w zapleczu chmury, dopóki nie potwierdzą swoich adresów e-mail.
Boczne konta użytkowników aplikacji Webex
Gdy zaprosisz innego użytkownika do obszaru w aplikacji Webex, jeśli zaproszony użytkownik nie ma konta aplikacji Webex, zostanie dla niego utworzone konto („współdzielone”). Domyślnie konta utworzone w ten sposób są dodawane do bezpłatnej organizacji konsumenckiej.
Jeśli chcesz zarządzać kontem dołączonym przy użyciu Directory Connector, musisz przekonwertować konto.
Zmiana formatu nazwy użytkownika aplikacji Webex po synchronizacji katalogu
Domyślnie łącznik usług katalogowych mapuje atrybut displayName w usłudze Active Directory na atrybut displayName w chmurze.
Po wykonaniu synchronizacji katalogu może okazać się, że nazwy użytkowników są wyświetlane w formacie .
Ta nazwa użytkownika może być wyświetlana, jeśli atrybut displayName w usłudze Active Directory jest skonfigurowany w ten sposób. Gdy atrybut jest mapowany na displayName w chmurze, nazwy są wyświetlane w formacie w Control Hub.
Aby zmienić format, na ekranie mapowania atrybutów łącznika usług katalogowych: mapuje atrybut usługi Active Directory givenName sn (lub sn givenName) na displayName w nazwach atrybutów w chmurze Cisco.
Alternatywnie, mapuj atrybut sn givenName na displayName:
Możesz również użyć opcji Dostosuj atrybut, jeśli chcesz zmapować własne wyrażenie atrybutu niestandardowego na displayName.
Na przykład wprowadź givenName + "" + sn (imię, spacja, nazwisko) jako wyrażenie. Spowoduje to mapowanie dwóch atrybutów w usłudze Active Directory na adres displayName w chmurze.
Zezwalaj użytkownikom na zmianę nazw wyświetlanych w spotkaniach Webex
Możesz usunąć mapowanie atrybutu displayName z synchronizowania z chmurą w Łączniku usług katalogowych, jeśli chcesz zezwolić użytkownikom na edycję ich preferowanych nazw wyświetlanych. Użytkownicy mogą wprowadzić nazwę wyświetlaną, która ma być wyświetlana podczas spotkań Webex zamiast swojego imienia i nazwiska. Administratorzy mogą również ręcznie zmienić nazwę wyświetlaną użytkownika w Control Hub.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja , a następnie wybierz pozycjęMapowanie atrybutów użytkownika. |
| 2 |
Wybierz opcję displayName w obszarze Nazwa atrybutu chmury Cisco. |
| 3 |
Wybierz opcję Nie synchronizuj tego atrybutu. |
Co zrobić dalej
Użytkownicy mogą teraz edytować swoje nazwy wyświetlane w witrynie Webex.
Rozwiązywanie problemów z łącznikiem usług katalogowych
Uaktualnij do najnowszej wersji oprogramowania
Aby zapewnić zgodność wdrożenia i uzyskać najnowsze funkcje, funkcjonalności, poprawki błędów i ulepszenia zabezpieczeń, należy zawsze uaktualnić łącznik usług katalogowych do najnowszej wersji. Jeśli nie nastąpi aktualizacja do najnowszej dostępnej wersji, mogą wystąpić problemy, takie jak brak prawidłowej synchronizacji łącznika usług katalogowych lub uruchomienie wersji, która nie obsługuje obowiązkowego wymagania TLS 1.2.
Directory Connector automatycznie powiadamia o dostępności nowej wersji. Zawsze uaktualniaj do najnowszej wersji, aby uniknąć problemów. Na pasku zadań systemu Windows wyświetlane jest również powiadomienie.
Chociaż można ręcznie zainstalować aktualizacje oprogramowania łącznika, zalecamy wykonanie czynności opisanych w części Ustawianie automatycznych uaktualnień , aby umożliwić aplikacji automatyczne zarządzanie uaktualnieniami.
| 1 |
Aby rozpocząć proces uaktualniania, kliknij powiadomienie na pasku zadań systemu Windows lub kliknij prawym przyciskiem myszy ikonę Łącznik usług katalogowych na pasku zadań systemu Windows. |
| 2 |
Postępuj zgodnie z instrukcjami, aby wykonać uaktualnienie. |
| 3 |
Uruchom ponownie łącznik i zaloguj się przy użyciu poświadczeń administratora. |
| 4 |
Sprawdź numer wersji oprogramowania w sekcji . |
Co zrobić dalej
Aby przeprowadzić nową instalację łącznika usług katalogowych, można pobrać plik zip , a następnie wykonać czynności instalacji opisane w tym podręczniku.
Konfigurowanie ustawień ogólnych dla Directory Connector
Ta procedura służy do konfigurowania ustawień ogólnych, takich jak nazwa serwera obsługującego Łącznik usług katalogowych, poziomy dzienników, automatyczne uaktualnienia i preferowane ustawienia kontrolerów domen. Nazwa łącznika jest wyświetlana na pulpicie nawigacyjnym w sekcji łączniki wraz z innymi działającymi łącznikami.
| 1 |
W Directory Connector przejdź do sekcji Konfiguracja, a następnie kliknij przycisk General (Ogólne). |
| 2 |
W polu Nazwa łącznika wprowadź nazwę łącznika. To pole zawiera tylko nazwę komputera, na którym obecnie działa łącznik. |
| 3 |
Wybierz poziom dziennika z listy rozwijanej. Domyślnie poziom dziennika jest ustawiony na informacje. Dostępne poziomy dziennika są następujące:
Te ustawienia mają wpływ na wysyłany pocztą e-mail raport synchronizacji. Jeśli ustawisz poziom dziennika na Błąd, w raporcie synchronizacji będą zgłaszane tylko błędy. Jeśli nie istnieją błędy, raport synchronizacji nie zostanie wysłany. Zmień ustawienie na Informacje, a następnie po pełnej synchronizacji będą wyświetlane raporty synchronizacji. (Należy pamiętać, że w przypadku synchronizacji przyrostowej nie są wysyłane żadne raporty, jeśli nie zgłoszono żadnych błędów). |
| 4 |
Wybierz preferowane kontrolery domen , aby ustawić kolejność kontrolerów domen do synchronizowania tożsamości. Dostęp do kontrolerów domeny odbywa się od góry do dołu. Jeśli górny kontroler jest niedostępny, wybierz drugi kontroler z listy. Jeśli na liście nie ma żadnego kontrolera, można uzyskać dostęp do głównego kontrolera. |
| 5 |
Zaznacz opcję Automatycznie uaktualnij do nowej wersji Cisco Directory Connector , jeśli chcesz dokonać automatycznych uaktualnień. Zawsze ważne jest, aby oprogramowanie Cisco Directory Connector było aktualne do najnowszej wersji. Zalecamy sprawdzenie tego ustawienia, aby umożliwić cichą instalację automatycznych aktualizacji oprogramowania, gdy jest dostępne. |
| 6 |
Zaznacz opcję LDAP przez SSL , aby używać bezpiecznego protokołu LDAP (LDAPS) jako protokołu połączenia. Jeśli nie zaznaczysz opcji LDAP przez SSL, łącznik usług katalogowych nadal będzie używał protokołu połączeń LDAP. Protokół połączeń LDAP (Lightweight Directory Application Protocol) i Secure LDAP (LDAPS) to protokoły połączeń używane między aplikacją a kontrolerem domeny w ramach infrastruktury. Komunikacja LDAPS jest szyfrowana i zabezpieczona. |
Skonfiguruj zasady łączników
Możesz ustawić maksymalną liczbę usunięć, które mogą wystąpić podczas synchronizacji. Uruchomiona synchronizacja nie usuwa obiektów z lokalnej usługi Active Directory. Wszystkie obiekty są usuwane tylko z chmury.
Na przykład ustawiono 1 jako wartość wyzwalacza progu usunięcia. Jeśli podczas synchronizacji pełnej lub przyrostowej liczba użytkowników, których chcesz usunąć, jest większa niż wartość ustawienia, łącznik usług katalogowych wyświetla ostrzeżenie. Jeśli klikniesz Zastąp próg, możesz pomyślnie rozpocząć synchronizację przyrostową lub pełną, ale przy następnym uruchomieniu zasad zobaczysz to powiadomienie o zastąpieniu.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja, a następnie wybierz pozycję Zasady. |
| 2 |
Zaznacz pole Włącz usuwanie wyzwalacza progu , jeśli chcesz dodać wyzwalacz progu. Wybranie tej opcji wyzwala alert, jeśli liczba usunięć przekroczy próg. Gdy konto usuwania przekracza wartość zdefiniowaną, synchronizacja nie powiedzie się.
|
| 3 |
Wprowadź maksymalną liczbę żądanych usunięć. Wartość domyślna to 20. Zalecamy, aby nie zwiększać wartości domyślnej. |
| 4 |
Kliknij przycisk Zastosuj. |
Ustaw harmonogram łącznika
Ustaw czas synchronizacji w usłudze Active Directory. Przełączenie awaryjne służy do zapewnienia wysokiej dostępności (HA). Jeśli jedno złącze nie działa, przełączamy się na inne złącze rezerwowe po wstępnie zdefiniowanym interwale.
| 1 |
W Directory Connector kliknij pozycję Konfiguracja, a następnie wybierz pozycję Harmonogram. |
| 2 |
Określ Interwał synchronizacji przyrostowej w minutach. Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut. Pełna synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji. |
| 3 |
Jeśli chcesz zmienić częstotliwość wysyłania raportów, zmień wartość Wysyłaj raporty według czasu . |
| 4 |
Zaznacz opcję Włącz harmonogram pełnej synchronizacji , aby określić dni i godziny, w których ma nastąpić pełna synchronizacja. |
| 5 |
Określ interwał przełączania awaryjnego w minutach. |
| 6 |
Kliknij przycisk Zastosuj. |
Scenariusze wielu domen
Wiele domen jest opartych na priorytecie domeny. W przypadku obiektów, które mają tę samą wartość klucza w różnych domenach, po synchronizacji dane z domeny o wyższym priorytecie ponownie zapisują dane z domeny o niższym priorytecie.
Obiekty o tej samej wartości klucza są połączone w jeden rekord w bazie danych.
Wartością klucza w przypadku „Użytkownik” jest Adres e-mail, natomiast wartością klucza w przypadku „Grupa” jest Nazwa grupy.
Przykładowy przypadek użycia dla wielu domen
W tym przykładzie założono organizację z dwiema domenami — example1.com i example2.com, w kolejności priorytetów.
-
Dodaj użytkownika 1 (e-mail: użytkownik@przyklad1.com) do usługi Active Directory z przyklad1.com.
-
Dodaj grupę1 (nazwa grupy: Testuj) do usługi Active Directory example1.com.
-
Dodaj użytkownika 2 (e-mail: użytkownik@przyklad2.com) do usługi Active Directory na stronie przyklad2.com.
-
Dodaj grupę2 (nazwa grupy: Testuj) w usłudze Active Directory example2.com.
- Synchronizacja na przykładzie1.com
-
W przypadku użycia użytkownicy2 i group2 są zsynchronizowani z chmurą i wyświetlani w menu https://admin.webex.com, podczas gdy user1 i group1 nie są.
Jeśli na przykład wykonasz synchronizację pełną lub przyrostową 1.com, użytkownik1 i group1 zostaną zsynchronizowane. Ponadto użytkownicy2 i group2 są zastępowane informacjami o użytkowniku1 i group1.
Użytkownik1 łączy użytkownika2 z tym samym rekordem w bazie danych; group1 łączy group2 z tym samym rekordem w bazie danych.
- Synchronizacja w przykładzie1.com i przykładzie2.com
-
W przypadku użycia użytkownicy2 i group2 są zsynchronizowani z chmurą i wyświetlani w menu https://admin.webex.com, podczas gdy user1 i group1 nie są.
Należy rozważyć następujące czynności:
- Usuń użytkownika1 i grupę1 z usługi Active Directory, na przykład1.com.
- Wykonaj synchronizację pełną lub przyrostową, na przykład 1.com.
Wynik: informacje o użytkowniku nie zostały zmienione w sekcji https://admin.webex.com. Użytkownik2 nie jest połączony z użytkownikiem1, a grupa2 nie jest połączona z grupą1.
- Wykonaj synchronizację przyrostową, na przykład 2.com.
Wynik: informacje o użytkowniku nie zostały zmienione w sekcji https://admin.webex.com.
- Wykonaj pełną synchronizację na przykład 2.com.
Wynik: Informacje o użytkownikach2 i grupie2 są wyświetlane w sekcji https://admin.webex.com.
Synchronizowanie nowej domeny I zachowywanie istniejącej domeny
Jeśli chcesz zsynchronizować nową domenę (B) przy jednoczesnym utrzymaniu zsynchronizowanych danych użytkownika w innej istniejącej domenie (A), upewnij się, że zainstalowano synchronizację łącznika usług katalogowych dla domeny (B) na obsługiwanym serwerze Windows. Konektor łączy się z nową domeną po początkowej konfiguracji, a informacje o użytkowniku w domenie (A) pozostają niezmienione.
Każda domena musi mieć własny aktywny łącznik. Rozważ dwie domeny z następującą konfiguracją: domena A z łącznikami (ca1) i (ca2) dla lokalnej wysokiej dostępności (HA); domena B z łącznikiem (cb1). (ca1)i (ca2) obsługują domenę A. W tym scenariuszu jeden łącznik jest aktywny, a drugi jest w trybie gotowości (HA). W tym projekcie domena jest zsynchronizowana, ponieważ jeden łącznik jest zawsze aktywny. Tak więc cb1 jest aktywnym łącznikiem dla domeny B, ponieważ domena A ma już aktywny łącznik (ca1 lub ca2).
Ustawianie priorytetu domeny
Ta procedura umożliwia zmianę priorytetu domen Active Directory. Priorytet domeny pozwala określić domenę podstawową, domenę dodatkową itd. Pomaga to, gdy dwóch użytkowników z dwóch różnych domen ma tę samą wartość e-mail zsynchronizowaną z jedną organizacją.
Nie należy korzystać z tej procedury, jeśli w łączniku usług katalogowych jest widoczna jedna domena. Jeśli spróbujesz, łącznik wyświetli komunikat z informacją, że priorytet domeny nie jest wymagany.
Przed rozpoczęciem
Aby uniknąć błędów, zainstaluj lub zaktualizuj łącznik usług katalogowych Cisco do najnowszej wersji. Należy ją pobrać z https://admin.webex.com.
| 1 |
W łączniku usług katalogowych Cisco kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Ustaw priorytet domeny. |
| 3 |
Zaznacz jedną domenę na liście, kliknij przycisk W górę lub W dół, aby zmienić priorytet tej domeny, a następnie kliknij przycisk Zapisz , aby zapisać tę zmianę. Domeny są posortowane według priorytetu od góry do dołu. |
Przełącz domeny
Ta procedura umożliwia ponowne powiązanie łącznika usług katalogowych Cisco z inną domeną.
Przed rozpoczęciem
-
Przed przełączeniem domen upewnij się, że nie są uruchomione żadne zadania synchronizacji.
-
Aby uniknąć błędów, zainstaluj lub zaktualizuj łącznik usług katalogowych Cisco do najnowszej wersji. Należy go pobrać z Control Hub.
| 1 |
W łączniku usług katalogowych Cisco kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Przełącz domenę. |
| 3 |
Jeśli rozumiesz wpływ tej zmiany na Twoje wdrożenie po przeczytaniu przestrogi, a mimo to masz pewność, kliknij przycisk Tak. Po przełączeniu domeny nastąpi wylogowanie z bieżącego łącznika usług katalogowych Cisco, inne domeny w łączniku zostaną wyrejestrowane, a informacje o łączniku na tym komputerze zostaną usunięte. |
| 4 |
Zaloguj się ponownie do łącznika usług katalogowych Cisco i ponownie powiąż domenę. |
Wyłącz synchronizację katalogu
Jeśli musisz zatrzymać synchronizację z łącznika usług katalogowych, możesz ją tymczasowo wyłączyć w Control Hub.
| 1 |
W widoku klienta na stronie https://admin.webex.com wybierz kolejno pozycje , przewiń do pozycji Synchronizacja katalogu i wybierz jedną z nich:
|
| 2 |
Po przeczytaniu monitu kliknij opcję Wyłącz. Synchronizacja zatrzymuje się do czasu ponownego włączenia jej z poziomu łącznika usług katalogowych. |
Usuń mapowanie atrybutów użytkownika
Użyj łącznika usług katalogowych, aby usunąć mapowanie atrybutów Active Directory wcześniej zmapowanych do chmury i zsynchronizowanych z Webex. Po usunięciu mapowania atrybutów wartości atrybutów zostaną usunięte z chmury i nie będą już synchronizowane z usługą Webex. Wartości te można następnie edytować ręcznie.
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Narzędzia > Usuń mapowanie atrybutów użytkownika . |
| 3 |
Wybierz mapowanie, które chcesz usunąć z listy Nazwa atrybutu . |
| 4 |
W obszarze Zakres użytkownika, którego to dotyczy, wybierz jedną z następujących opcji:
|
| 5 |
Kliknij przycisk Zastosuj. |
Zarządzaj zdjęciami profilowymi
Użyj łącznika usług katalogowych, aby zaktualizować zdjęcia profilowe użytkownika lub usunąć puste zdjęcia profilowe użytkownika.
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania , a następnie kliknij kolejno opcje. |
| 3 |
W obszarze Czynności wybierz jedną z następujących opcji:
|
| 4 |
Kliknij przycisk Zastosuj. |
Odinstaluj i dezaktywuj łącznik usług katalogowych
Po odinstalowaniu wystąpienia łącznika usług katalogowych należy je wyrejestrować. Całkowicie usuń łącznik usług katalogowych dla każdego z poniższych scenariuszy:
-
Nie chcesz już korzystać z synchronizacji katalogu.
-
Nie chcesz korzystać z jednego z wielu łączników usług katalogowych (wysoka dostępność).
-
Chcesz zmienić domenę i zainstalować inny łącznik.
Przed rozpoczęciem
-
W systemie może być skonfigurowanych wiele wystąpień łącznika usług katalogowych dla wysokiej dostępności (HA) lub wielu synchronizacji domen. Wyłącz synchronizację, jeśli odinstalowujesz jedyne lub ostatnie pozostałe wystąpienie łącznika usług katalogowych.
-
Przed odinstalowaniem łącznika usług katalogowych zapisz i zamknij wszystkie ważne prace.
| 1 |
Na komputerze z systemem Windows przejdź do Panelu sterowania, a następnie kliknij pozycję Programy i funkcje. |
| 2 |
Z listy programów kliknij pozycję Łącznik usług katalogowych, wybierz pozycję Odinstaluj, a następnie postępuj zgodnie z monitami. Aby dokończyć odinstalowanie, może być konieczne ponowne uruchomienie systemu. |
| 3 |
W widoku klienta na stronie https://admin.webex.com wybierz kolejno pozycje , przewiń do pozycji Synchronizacja katalogu, kliknij pozycję Więcej |
| 4 |
Po przeczytaniu monitu kliknij opcję Dezaktywuj. Jeśli w środowisku o wysokiej dostępności (HA) nie ma innego łącznika usług katalogowych, konta użytkowników nie są już synchronizowane. |
Uruchamianie narzędzia diagnostycznego
Do rozwiązania problemów z wdrożeniem łącznika usług katalogowych można użyć wbudowanego narzędzia diagnostycznego. Narzędzie to jest instalowane jako część łącznika usług katalogowych w wersji 3.4.
Jeśli synchronizacja nie działała prawidłowo, może wystąpić błąd konfiguracji lub sieci. To narzędzie testuje połączenie z LDAP, dzięki czemu możesz samodzielnie zdiagnozować błędy przed skontaktowaniem się z pomocą techniczną. Jeśli narzędzie zwróci jakikolwiek błąd, można wysłać szczegółowe wyniki dziennika do obsługi.
-
Aby uruchomić testy usług domeny Active Directory:
-
Aby uruchomić testy usług katalogowych Active Directory:
-
Aby uruchomić testy protokołu Lightweight Directory Access Protocol (LDAP):
Rozwiązywanie problemów z łącznikiem usług katalogowych Ciso
Rozwiązywanie problemów i poprawki dotyczące łącznika usług katalogowych
W łączniku usług katalogowych może pojawić się komunikat o błędzie lub inny problem. Ponadto, po zsynchronizowaniu przez łącznik usług katalogowych informacji o użytkownikach, łącznik może wysłać Ci raport e-mail z listą wszelkich problemów z synchronizacją. Informacje o występujących problemach, ich możliwych przyczynach i proponowanych rozwiązaniach można znaleźć w poniższych sekcjach.
Instaluj
Łącznik usług katalogowych przestał działać
Otrzymano wiadomości e-mail z powiadomieniem, że Twój łącznik usług katalogowych nie działa.
-
Łącznik usług katalogowych może nie być poprawnie zainstalowany.
-
Łącznik usług katalogowych może nie być uruchomiony.
-
Sieć może być niedostępna.
Wykonaj następujące czynności:
-
Otwórz . Odszukaj łącznik usług katalogowych. Jeśli go tam nie ma, pobierz najnowszą wersję z Control Hub i zainstaluj ją.
-
Otwórz usługę i znajdź usługę Cisco DirSync. Upewnij się, że wyświetlany jest stan Rozpoczęte. Jeśli usługa jest zatrzymana, kliknij prawym przyciskiem myszy i wybierz opcję Rozpocznij, aby ponownie uruchomić usługę.
-
Upewnij się, że serwer, na którym zainstalowano łącznik usług katalogowych, ma dostęp do Internetu.
Błąd ponownej instalacji
Problem — jeśli natychmiast zainstalujesz nowy łącznik po odinstalowaniu starego, może zostać wyświetlony komunikat o błędzie.
Możliwa przyczyna — w systemie Windows Server 2012 odinstalowywanie klienta wymaga czasu na usunięcie konta usługi z listy usług.
Rozwiązanie — po pewnym czasie spróbuj zainstalować ponownie.
Zaloguj
Łącznik usług katalogowych ulega awarii podczas logowania SSO
Problem
Po wprowadzeniu adresu e-mail ze strony logowania jednokrotnego może się zawiesić Łącznik usług katalogowych.
Rozwiązanie
Wykonaj następujące czynności:
Wykonaj poniższe czynności, aby skonfigurować zasady nowej grupy:
-
Przejdź do kontrolera domeny i otwórz Zarządzanie zasadami grupy (gpedit.msc).
-
Kliknij prawym przyciskiem myszy określony OU lub domenę, a następnie wybierz opcję Utwórz GPO w tej domenie, a następnie Połącz go tutaj
-
Nadaj nazwę zasadom, a następnie kliknij prawym przyciskiem myszy i wybierz opcję Edytuj.
Wykonaj poniższe czynności, aby zmienić zasady na poziomie maszyny:
-
Przejdź do , kliknij prawym przyciskiem myszy pozycję Rejestr, wybierz opcję Nowy, a następnie Element rejestru.
-
W polu Ścieżka klucza wprowadź lub przejdź do HKEY_LOCAL_\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Wprowadź
Disable Script Debuggerdla wartości i wprowadźNiedla danych wartości.Ustawienia powinny być zgodne z tym zrzutem ekranu:
Aby zmienić zasady na poziomie użytkownika, wykonaj następujące czynności:
-
Przejdź do , kliknij prawym przyciskiem myszy pozycję Rejestr, wybierz opcję Nowy, a następnie Element rejestru.
-
W polu Ścieżka klucza wprowadź lub przejdź do HKEY_BIEŻĄCY_UŻYTKOWNIK\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Wprowadź
Disable Script Debuggerdla wartości i wprowadźNiedla danych wartości.Ustawienia powinny być zgodne z tym zrzutem ekranu:
Zmiany wchodzą w życie po uruchomieniu gpupdate /force, ponownym uruchomieniu maszyny (w przypadku zmian maszyny) lub ponownym zalogowaniu użytkownika (w przypadku zmian użytkownika).
Nie można zarejestrować łącznika usług Cisco DirSync
Problem
Logowanie nie powiedzie się i pojawia się następujący komunikat: „Nie można zarejestrować łącznika usług Cisco DirSync”.
Rozwiązanie
System Windows, w którym zainstalowany jest łącznik usług katalogowych, musi być członkiem usługi Active Directory.
Nie pojawia się strona logowania
Problem
Otwarto łącznik usług katalogowych, a strona logowania nie została wyświetlona.
Rozwiązanie
Wykonaj następujące czynności:
-
W programie Internet Explorer przejdź do obszaru https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Wypróbuj to łącze w innych przeglądarkach, takich jak Chrome i Firefox.
-
Jeśli program Internet Explorer nie może odwiedzić łącza, ale inne przeglądarki mogą, sprawdź ustawienia programu Internet Explorer i zaznacz pola wyboru TLS 1.1 i 1.2. (Użyj procedury Włącz TLS w przeglądarce Internet Explorer ).
Pojawi się monit o zalogowanie
Problem
Zostanie wyświetlony monit z prośbą o podanie nazwy użytkownika i hasła w celu przejścia uwierzytelniania.
Możliwa przyczyna
Łącznik usług katalogowych cicho uzupełnia uwierzytelnianie zabezpieczeń NTLM kontem logowania. Jeśli uwierzytelnienie się nie powiedzie, zostanie wyświetlone okno dialogowe z prośbą o nazwę użytkownika i hasło uwierzytelniania.
Rozwiązanie
Gdy pojawi się okno podręczne logowania, w celu zapewnienia bezpieczeństwa należy podać prawidłowe konto z poprawnym uwierzytelnieniem.
Nie można połączyć się ze zdalnym serwerem
Problem
W trakcie normalnej pracy pojawia się komunikat o błędzie "Nie można połączyć się ze zdalnym serwerem".
Możliwa przyczyna
Mogą wystąpić problemy z serwerem proxy, które trzeba rozwiązać.
Rozwiązanie
Więcej informacji na temat rozwiązywania problemów z logowaniem do konta usługi zawiera temat Rozwiązywanie problemów z logowaniem do konta usługi.
Nie można zarejestrować łącznika
Problem
Zostanie wyświetlony komunikat o błędzie „Nie można zarejestrować łącznika. Wystąpił ogólny wyjątek”.
Możliwa przyczyna
W większości przypadków problem jest taki, że łącznik usług katalogowych nie ma uprawnień do łączenia się z kontekstem głównym LDAP.
Rozwiązanie
Wykonaj następujące czynności:
-
Uruchom monit z poleceniem (cmd), a następnie wprowadź ldp.exe.
-
Kliknij kolejno opcje , wybierz opcję Powiązanie jako aktualnie zalogowanego użytkownika, a następnie kliknij przycisk OK.
-
Kliknij kolejno opcje i wprowadź DC=arbonneintl,DC=ad jako BaseDN, a następnie kliknij OK.
-
Jeśli problem będzie nadal występował, otwórz sprawę w dziale pomocy technicznej.
Synchronizacja
Awatary niezsynchronizowane
Problem
Łącznik usług katalogowych Cisco synchronizował dane użytkowników AD z chmurą Webex. Nie zsynchronizowano jednak żadnych danych awatara.
Możliwa przyczyna
Jeśli ponownie użyłeś istniejącego serwera awatara, a awatary użytkowników zostały już zsynchronizowane, lokalna pamięć podręczna przechwytuje je i zapobiega ponownemu wysyłaniu, aby oszczędzać przepustowość.
Rozwiązanie
Usuń lokalną pamięć podręczną, wykonując następujące czynności:
-
Przejdź do C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Usuń DirSyncPluginAvatar.dll-cache.bin.
-
Uruchom ponownie synchronizację awatara z poziomu łącznika usług katalogowych Cisco.
Sprzeczne konta e-mail użytkowników
Problem
Wyniki synchronizacji mogą wskazywać sprzeczne konta e-mail użytkowników.
-
Jeśli użytkownicy wypróbowali bezpłatną wersję aplikacji Webex, ich adresy e-mail znajdują się w bezpłatnej organizacji konsumenckiej.
-
Czy adresy e-mail użytkowników były kiedykolwiek synchronizowane w innej organizacji.
-
jeśli adresy e-mail użytkowników istnieją w wielu domenach należących do organizacji.
Rozwiązanie
Wykonaj następujące czynności:
-
Jeśli próbujesz zgłosić użytkowników, wykonaj następujące czynności:
-
Upewnij się, że zweryfikowano domenę w Control Hub.
-
Całkowicie wyłącz łącznik usług katalogowych Cisco.
-
Użyj opcji Zgłoś użytkownika w Control Hub, aby zgłosić wszystkie konta, które mogą istnieć w bezpłatnej organizacji konsumenckiej. Aby uzyskać więcej informacji, zobacz Zgłaszanie użytkowników do organizacji (konwertowanie użytkowników) .
-
Przeprowadź przebieg próbny w łączniku usług katalogowych Cisco, a następnie ponownie włącz synchronizację katalogów
-
-
W ostatnim przypadku należy dwukrotnie sprawdzić dane użytkowników ze źródeł usługi Active Directory.
Skonwertowany użytkownik oznaczony jako nieaktywny
Problem
W środowisku zsynchronizowanym z katalogiem przekonwertowano użytkownika bezpłatnego (organizacji konsumenckiej) na organizację firmową, ale przekonwertowany użytkownik nie może zalogować się do aplikacji Webex.
Możliwa przyczyna
Gdy użytkownik bezpłatny zostanie przekonwertowany na organizację firmową, jest on oznaczany jako nieaktywny przez 30 dni jako środek dotyczący zgodności z przepisami bezpieczeństwa. W tym okresie użytkownik nie może zalogować się do aplikacji Webex i jest oznaczany do usunięcia po upływie 30-dniowego okresu. Wynika to z faktu, że informacje o użytkowniku w wersji bezpłatnej nie znajdują się w usłudze Active Directory.
Rozwiązanie
Musisz podjąć działania, jeśli nie chcesz usunąć konta użytkownika. Aby rozwiązać ten problem, utwórz konto użytkownika w usłudze Active Directory w siedzibie, które odpowiada skonwertowanemu bezpłatnemu konwertowanemu kontowanemu koncie użytkownika. Następnie wykonaj synchronizację z poziomu łącznika usług katalogowych Cisco. Wówczas użytkownik będzie mógł ponownie zalogować się do aplikacji Webex, a konto nie zostanie usunięte.
Synchronizacja przyrostowa nie powiodła się
Problem
Synchronizacja przyrostowa nie powiodła się.
Ten problem może wystąpić w systemie Windows Server 2008 R2 w następujących warunkach:
-
Obsługiwane są aktualizacje wartości przyrostowych.
-
Używany filtr odwołuje się do atrybutu wartości połączonej.
-
Wartości wyników tego atrybutu były aktualizowane od czasu ostatniej pełnej synchronizacji.
Rozwiązanie
W systemie Windows Server 2008 R2 występuje błąd związany z tym problemem. Błąd został naprawiony w 2012 r2 i później. Zalecamy uaktualnienie serwera Windows do co najmniej 2012 R2.
Nieprawidłowa wartość atrybutu
Problem
W przypadku atrybutu [user dn (nazwa wyróżniająca)] atrybut [nazwa atrybutu] ma następującą nieprawidłową wartość [wartość atrybutu].
Możliwa przyczyna
Dla CN=b,OU=Pracownicy,OU=C Użytkownicy,DC=c,DC=com atrybut [numer telefonu] ma następującą nieprawidłową wartość: +. Ten atrybut musi zawierać co najmniej jedną cyfrę.
Rozwiązanie
Atrybut tego użytkownika nie ma prawidłowej wartości. Napraw wartość zgodnie z opisem w komunikacie ostrzegawczym. Następnie wykonaj inną synchronizację.
Dopasowani użytkownicy do usunięcia
Problem
Dopasowani użytkownicy są oznaczani jako usunięci.
Podczas wykonywania synchronizacji przebiegu próbnego w celu sprawdzenia danych między usługą Active Directory a chmurą, w obu przypadkach może być widoczny ten sam adres e-mail. Użytkownik jest jednak oznaczany jako obiekt, który ma zostać usunięty.
Rozwiązanie
Wybierz odpowiednią poprawkę:
-
Jeśli usunięcie użytkownika i powtórzyć licencje po jego zakończeniu, możesz użyć łącznika usług katalogowych do naprawienia. Wykonaj synchronizację, aby usunąć użytkownika, a następnie wykonaj inną synchronizację, aby zsynchronizować użytkownika z lokalnej usługi AD z chmurą.
-
Jeśli nie możesz usunąć i odtworzyć konta użytkownika, otwórz sprawę w dziale pomocy technicznej.
Brak atrybutu
Problem
Wymagany atrybut [attribute_name] podczas dodawania wpisu lokalnego [user dn (nazwa wyróżniająca)]. Wpis nie zostanie utworzony w Control Hub, dopóki wszystkie wymagane atrybuty nie będą miały wartości.
Możliwa przyczyna
Brak wymaganego adresu e-mail atrybutu. Podczas dodawania wpisu lokalnego [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local] wpis nie zostanie utworzony w Control Hub, dopóki wszystkie wymagane atrybuty nie będą miały wartości.
Rozwiązanie
Brakuje jednego z wymaganych atrybutów użytkownika [user_email_address]. Podaj wymagane wartości dla tego użytkownika.
Grupa zagnieżdżona nie zostanie zsynchronizowana
Problem
Użytkownicy w zagnieżdżonej grupie Active Directory nie są prawidłowo synchronizowani z chmurą.
Możliwa przyczyna
Używany jest filtr zawierający zarówno grupę podrzędną, jak i grupę nadrzędną, co nie jest obsługiwane. Na przykład: (memberof=CN=testgroup1,CN=użytkownicy,DC=rktest2008,DC=org)
Rozwiązanie
Należy ponownie skonfigurować filtr, który synchronizuje grupy. Na przykład: |(memberof=CN=testgroup1,CN=użytkownicy,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=użytkownicy,DC=rktest2008,DC=org)
Konflikt nazewnictwa użytkowników
Problem
Wystąpił konflikt nazw dla [user dn] dla istniejącego obiektu wpisu w chmurze o nazwie: [adres e-mail użytkownika] i typ użytkownika [user_type].
Możliwa przyczyna
Użytkownik o tym adresie e-mail już istnieje w Control Hub.
Rozwiązanie
Utwórz użytkownika w usłudze Active Directory z tym samym adresem e-mail, co konto zarejestrowane w Control Hub.
Control Hub
Brak listy użytkowników w Control Hub
Problem
Jeśli masz organizację Webex z ponad 1000 zsynchronizowanymi użytkownikami, lista użytkowników może nie być widoczna w Control Hub.
Rozwiązanie
Za pomocą funkcji wyszukiwania można znaleźć konto użytkownika. W Control Hub przejdź do strony Użytkownicy, kliknij pozycję Szukaj , a następnie wprowadź kryteria wyszukiwania, aby zlokalizować określonego użytkownika.
Grupy nie zostaną zsynchronizowane z Control Hub
Problem
Użytkownicy w grupie książki adresowej nie będą prawidłowo synchronizowani z Control Hub.
Możliwa przyczyna
Grupa nie jest oznaczona jako isCriticalSystemObject w usłudze Active Directory.
Rozwiązanie
Upewnij się, że atrybut isCriticalSystemObject jest ustawiony na TRUE w Active Directory.
Włącz rozwiązywanie problemów z łącznikiem usług katalogowych
Możesz włączyć rozwiązywanie problemów, aby pomóc zdiagnozować wszelkie błędy napotkane w łączniku usług katalogowych. Rozwiązywanie problemów umożliwia przechwytywanie informacji o ruchu w sieci i zapisywanie ich w pliku.
Pliki dziennika, które są: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Uruchom plik |
| 2 |
Uruchom ponownie usługę. Wskazówki zawiera temat Jak uruchamiać usługi . |
| 3 |
W Łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 4 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Narzędzia > Rozwiązywanie problemów . |
| 5 |
Po włączeniu funkcji rozwiązywania problemów należy powtórzyć czynności, które powodowały błąd. Przechwytuje to dane o ruchu, aby można je było zbadać. |
| 6 |
Sprawdź pliki dzienników: Jeśli plik jest pusty, upewnij się, że konto ma uprawnienia dostępu do usług AD DS lub AD LDS. W folderze dzienników są zapisywane tylko pliki przez ostatnie 3 dni. Zawartość w plikach dziennika jest zgodna z emisją dziennika zdarzeń do systemu. |
| 7 |
W razie potrzeby wyślij plik dziennika, aby uzyskać pomoc. |
| 8 |
Po zakończeniu wyłącz funkcję rozwiązywania problemów. |
Uruchom przeglądarkę zdarzeń
Aby zobaczyć zdarzenia, które wystąpiły podczas pełnej lub stopniowej synchronizacji, uruchom przeglądarkę zdarzeń. Zawiera on podsumowanie zdarzeń administracyjnych i dzienników błędów.
| 1 |
W Directory Connector przejdź do Dashboard, a następnie kliknij kolejno opcje . W oknie dialogowym Właściwości zdarzenia są wyświetlane szczegóły zdarzenia synchronizacji i szczegóły błędu. |
| 2 |
W Podglądzie zdarzeń przejdź do .
|
| 3 |
W obszarze Czynności kliknij pozycję Zapisz wszystkie zdarzenia jako , aby wyeksportować wszystkie dzienniki jako pojedynczy plik zdarzeń (*.evtx) lub inny format, taki jak xml lub csv. |
Co zrobić dalej
Jeśli chcesz otworzyć zgłoszenie, skontaktuj się z pomocą techniczną, opisz problem z łącznikiem, a następnie załącz plik Events do zgłoszenia.
Dzienniki zdarzeń przechwytują czynności użytkownika. Aby uzyskać pomoc w zarządzaniu ruchem sieciowym, włącz rozwiązywanie problemów z konektorem.
Włączanie protokołu TLS w przeglądarce Internet Explorer
W przypadku przełączenia dostawców jednokrotnego logowania (SSO) mogą zostać wyświetlone następujące komunikaty o błędach łącznika usług katalogowych Cisco:
-
Wystąpił błąd podczas logowania do usługi
-
Na tej stronie wystąpił błąd w skrypcie
Jeśli pojawią się te błędy, należy włączyć ustawienie TLS w przeglądarce.
| 1 |
Otwórz Internet Explorer, a następnie wybierz pozycję Narzędzia. Zaznacz pola wyboru wersji TLS/SSL, którą chcesz włączyć. Kliknij przycisk OK Zamknij przeglądarkę i otwórz ją ponownie. |
| 2 |
Kliknij pozycję Opcje internetowe , przejdź do sekcji Zaawansowane , przewiń do sekcji Zabezpieczenia. |
| 3 |
Zaznacz pola wyboru Użyj protokołu TLS 1.1 i Użyj protokołu TLS 1.2 , a następnie kliknij przycisk OK.
|
| 4 |
Aby zmiany odniosły skutek, uruchom ponownie system. |
Rozwiązywanie problemów z logowaniem do konta usługi
Jeśli nie możesz zalogować się do łącznika usług katalogowych Cisco lub nie możesz uruchomić synchronizacji, wykonaj poniższe czynności, aby spróbować rozwiązać problem przed skontaktowaniem się z pomocą techniczną.
| 1 |
Spróbuj odwiedzić witrynę https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL w przeglądarce internetowej. |
| 2 |
Wybierz jedną z nich, w zależności od wyników:
|
| 3 |
Należy upewnić się co najmniej, że skonfigurowane konto dla usługi Cisco DirSync (które można znaleźć w usługach systemu Windows) ma poziom uprawnień umożliwiający dostęp do danych awatara i danych usługi AD. Domyślnie usługa wykorzystuje poświadczenia logowania do konta systemu Windows oraz uwierzytelnianie. |
Sprawdź SafeDllSearchMode w rejestrze systemu Windows
Tryb wyszukiwania biblioteki łączy dynamicznych (DLL) jest domyślnie ustawiony w rejestrze systemu Windows i umieszcza bieżący katalog użytkownika w kolejności wyszukiwania DLL. Jeśli ten tryb został w jakiś sposób wyłączony, napastnik może umieścić złośliwy plik DLL (o nazwie takiej samej jak plik DLL znajdujący się w folderze systemowym) do bieżącego katalogu roboczego aplikacji.
Zazwyczaj SafeDllSearchMode jest włączony, ale ta procedura służy do podwójnego sprawdzenia ustawień rejestru.
Przed rozpoczęciem
Zmiany w rejestrze systemu Windows należy przeprowadzać z dużą ostrożnością. Zalecamy, aby przed wykonaniem tych czynności wykonać kopię zapasową rejestru.
| 1 |
W oknie wyszukiwania systemu Windows lub oknie Uruchom wpisz regedit , a następnie naciśnij Enter. |
| 2 |
Przejdź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wybierz jedną z nich:
|
Aby uzyskać więcej informacji, zobacz Kolejność wyszukiwania biblioteki dynamicznych łączy.
Omówienie łącznika usług katalogowych Cisco
Omówienie łącznika usług katalogowych
Łącznik usług katalogowych to lokalna aplikacja do synchronizacji tożsamości z chmurą. Pobierz oprogramowanie łącznika z Control Hub i zainstaluj je na komputerze lokalnym.
Dzięki Directory Connector możesz utrzymywać konta użytkowników i dane w Active Directory, dzięki czemu Active Directory staje się jedynym źródłem prawdy. Zmiana wprowadzona lokalnie jest replikowana w chmurze.
Zobacz wszystkie funkcje, opisy i korzyści w tabeli:
| Funkcja | Opis i korzyści |
|---|---|
| Łatwy w użyciu pulpit nawigacyjny | Pulpit nawigacyjny zawiera harmonogram synchronizacji, podsumowanie oraz stan synchronizacji oraz stan Directory Connector. Konsolę można wyświetlić w dowolnym momencie logowania. |
| Uruchom próbne przed synchronizacją z chmurą | Przeprowadź przebieg próbny zmian w katalogu, zanim zostaną zaimplementowane w chmurze. Następnie uruchom raport, aby sprawdzić, czy zmiany, które chcesz wprowadzić, są zgodne z oczekiwaniami. |
| Synchronizacja pełna i przyrostowa | Synchronizuj cały katalog. Lub po prostu zsynchronizuj zmiany przyrostowe, aby zaoszczędzić moc przetwarzania i skrócić czas synchronizacji. |
|
Synchronizowanie wielu domen (pojedynczego lasu lub wielu lasów) |
Directory Connector obsługuje wiele domen w ramach jednego lasu lub wielu lasów (bez konieczności korzystania z usługi AD LDS). W przypadku przedsiębiorstw z wieloma domenami Active Directory możesz zainstalować łącznik usług katalogowych dla każdej domeny, powiązać każdą domenę z organizacją, a następnie zsynchronizować każdą bazę użytkowników z usługą Webex. Control Hub odzwierciedla stan, pokazując stan synchronizacji dla wielu łączników usług katalogowych, umożliwia wyłączenie synchronizacji dla określonej domeny i dezaktywację łącznika usług katalogowych w wdrożeniu o wysokiej dostępności. |
| Zaplanowana synchronizacja | Ustaw harmonogram synchronizacji według dnia, godziny i minuty. |
| Filtry LDAP (Lightweight Directory Access Protocol) | Zdefiniuj kryteria wyszukiwania LDAP i zapewnij wydajny import. |
| Mapowanie atrybutów Active Directory | Mapuj atrybuty usługi Microsoft Active Directory do odpowiednich atrybutów chmury Webex. Można mapować atrybuty, które są istotne dla konfiguracji usługi Active Directory, a także definiować atrybuty niestandardowe w celu mapowania na chmurę. Atrybuty z lokalizacji lokalnych tworzą różne dane w chmurze, takie jak dane konta użytkownika, numery telefonów korporacyjnych w aplikacji Webex Teams, adresy SIP zasobów pokoju i inne dane kart kontaktów użytkownika (stanowisko, dział, menedżer itd.). |
|
Firmowa książka telefoniczna dla lokalnych zasobów pokojów oraz użytkowników i kontaktów korporacyjnych Cisco Webex Calling (w chmurze PSTN) bez licencji Webex |
Jeśli część organizacji korzysta z chmury PSTN Cisco Webex Calling dla usługi połączeń lub masz lokalne urządzenia Room, ta funkcja umożliwia użytkownikom wyszukiwanie w katalogu kontaktów korporacyjnych na podstawie telefonów Cisco Webex Calling (chmura PSTN) lub zasobów Room.
|
| Przeglądarka zdarzeń | Użyj przeglądarki zdarzeń, aby sprawdzić, czy nie wystąpiły problemy z synchronizacją. |
| Narzędzie diagnostyczne i rozwiązywanie problemów | Możesz użyć wbudowanego narzędzia diagnostycznego do rozwiązywania problemów z wdrożeniem Cisco Directory Connector. Jeśli synchronizacja nie działała prawidłowo, może wystąpić błąd konfiguracji lub sieci. Narzędzie testuje połączenie z usługą Active Directory, aby można było samodzielnie zdiagnozować błędy przed skontaktowaniem się z pomocą techniczną. Po włączeniu rozwiązywania problemów w łączniku usług katalogowych tworzone są dzienniki, które można wysłać do pomocy technicznej. |
| Automatyczne uaktualnianie | Po zainstalowaniu Directory Connector wysyłane jest powiadomienie, gdy dostępna jest nowa wersja oprogramowania. Możesz skonfigurować automatyczne uaktualnianie, aby zawsze korzystać z najnowszej wersji oprogramowania podczas wydania nowej wersji. |
| Wysoka dostępność | Skonfiguruj wiele złączy, aby istniała kopia zapasowa, na wypadek awarii głównego złącza lub maszyny hostującej. |
Łącznik usług katalogowych dzieli się na trzy obszary:
-
Control Hub to pojedynczy interfejs, który umożliwia zarządzanie wszystkimi aspektami organizacji Webex: wyświetlanie użytkowników, przypisywanie licencji, pobieranie łącznika usług katalogowych i konfigurowanie jednokrotnego logowania (SSO) , jeśli chcesz, aby użytkownicy uwierzytelniali się za pośrednictwem swojego korporacyjnego dostawcy tożsamości i nie chcesz wysyłać zaproszeń e-mail do aplikacji Webex.
-
Interfejs zarządzania łącznikiem usług katalogowych to oprogramowanie, które można pobrać z Control Hub i zainstalować na zaufanym serwerze Windows. W przypadku wielu domen Active Directory można zainstalować jedną instancję oprogramowania dla każdej domeny, którą chcesz zsynchronizować. Przy użyciu oprogramowania można uruchomić synchronizację, aby przenieść konta użytkowników usługi Active Directory do usługi Webex, wyświetlić i monitorować stan synchronizacji oraz skonfigurować usługi Directory Connector.
-
Usługa synchronizacji katalogu wysyła zapytanie do usługi Active Directory w celu pobrania użytkowników i grup do zsynchronizowania z usługą łącznika i łącznikiem usług katalogowych.
Zapoznaj się z tym schematem, aby zrozumieć architekturę łącznika usług katalogowych:
Przygotuj środowisko dla łącznika usług katalogowych
Wymagania dotyczące łącznika usług katalogowych
Wymagania dotyczące systemu Windows i Active Directory
Łącznik usług katalogowych można zainstalować na tych obsługiwanych serwerach systemu Windows:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Aby rozwiązać problem z plikami cookie, zalecamy uaktualnienie kontrolera domeny do wersji zawierającej poprawkę — Windows Server 2012 R2 lub 2016.
Łącznik usług katalogowych jest obsługiwany przez następujące usługi Active Directory:
-
Active Directory 2016
(Directory Connector jest obsługiwany w przypadku korzystania z najnowszej wersji usługi Active Directory w systemie Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Zwróć uwagę na następujące wymagania dodatkowe:
-
Łącznik usług katalogowych wymaga TLS1.2. Należy zainstalować następujące elementy:
-
Wersja .NET Framework v3.5 (wymagana dla aplikacji Directory Connector. Jeśli napotkasz jakiekolwiek problemy, skorzystaj z instrukcji w sekcji Włącz .NET Framework 3.5 za pomocą kreatora dodawania ról i funkcji).
-
Wersja .NET Framework w wersji 4.5 (wymagana w przypadku TLS1.2)
-
-
Wymagany jest poziom funkcjonalności lasu Active Directory 2 (Windows Server 2003) lub nowszy. (Aby uzyskać więcej informacji, zobacz Czym są poziomy funkcjonalne usługi Active Directory? ).
Wymagania sprzętowe
Musisz zainstalować Directory Connector na komputerze z następującymi minimalnymi wymaganiami sprzętowymi:
-
8 GB pamięci RAM
-
50 GB miejsca do przechowywania
-
Brak minimalnych wymagań dotyczących procesora
Wymagania sieciowe
Jeśli sieć znajduje się za zaporą, upewnij się, że system ma dostęp do Internetu za pośrednictwem protokołu HTTPS (port 443).
Wymagania organizacji Webex
-
Dostęp do oprogramowania łącznika usług katalogowych z poziomu Control Hub wymaga organizacji Webex z wersją próbną lub płatną subskrypcją.
-
(Opcjonalnie) Jeśli chcesz, aby nowe konta użytkowników aplikacji Webex były Aktywne przed pierwszym zalogowaniem się, zalecamy wykonanie następujących czynności:
-
Dodaj, zweryfikuj i opcjonalnie zgłoś prawa do domen zawierających adresy e-mail użytkowników, które chcesz zsynchronizować z chmurą.
-
Wykonaj integrację dostawcy tożsamości (IdP) z organizacją Webex za pomocą jednokrotnego logowania (SSO).
-
Pomijaj automatyczne zaproszenia e-mail, aby nowi użytkownicy nie otrzymali automatycznego zaproszenia e-mail i mogli prowadzić własną kampanię wiadomości e-mail. (Ta funkcja wymaga integracji logowania SSO).
-
Aby uzyskać więcej informacji, zobacz Stany i czynności użytkowników w Control Hub.
Wymagania instalacyjne
-
W przypadku środowiska z wieloma domenami (pojedynczego lasu lub wielu lasów) należy zainstalować jeden łącznik usług katalogowych dla każdej domeny Active Directory. Jeśli chcesz zsynchronizować nową domenę (B) przy jednoczesnym zachowaniu zsynchronizowanych danych użytkownika w innej istniejącej domenie (A), upewnij się, że masz oddzielny obsługiwany serwer Windows, aby zainstalować łącznik usług katalogowych dla synchronizacji domeny (B).
-
Aby zalogować się do łącznika, nie potrzebujemy konta administracyjnego w usłudze Active Directory. Wymagamy konta użytkownika lokalnego, które jest tym samym użytkownikiem, co pełne konto administratora w Control Hub.
Ten użytkownik lokalny musi mieć uprawnienia na tym komputerze z systemem Windows, aby nawiązać połączenie z kontrolerem domeny i czytać obiekty użytkownika usługi Active Directory. Konto logowania do maszyny powinno być administratorem komputera z uprawnieniami do instalowania oprogramowania na komputerze lokalnym. (Informacje te dotyczą również logowania do maszyny wirtualnej).
-
Podczas logowania się do łącznika konto logowania musi być takie samo jak pełne konto administratora usługi Control Hub. Domyślnie łącznik korzysta z konta systemu lokalnego w celu uzyskania dostępu do usługi Active Directory. Można jednak użyć usług systemu Windows, aby skonfigurować inne konto, aby uzyskać dostęp do usługi Active Directory. (Informacje te dotyczą również logowania do maszyny wirtualnej).
-
Należy się upewnić, że tryb wyszukiwania biblioteki łączy dynamicznych (DLL) systemu Windows jest włączony, wykonując następującą procedurę: Sprawdź SafeDllSearchMode w rejestrze systemu Windows.
-
Jeśli używasz usługi AD LDS dla wielu domen w jednym lesie, zalecamy zainstalowanie na osobnych komputerach łącznika usług katalogowych i usługi domeny Active Directory/lekkich usług katalogowych Active Directory (DS/AD LDS).
Wiele wymagań dotyczących domeny
Przed wykonaniem zadań w przepływie zadań wdrożenia łącznika usług katalogowych Cisco należy pamiętać o następujących wymaganiach i zaleceniach, jeśli zamierzasz zsynchronizować do chmury informacje Active Directory z wielu domen:
-
Dla każdej domeny wymagane jest osobne wystąpienie łącznika usług katalogowych.
-
Oprogramowanie łącznika usług katalogowych musi być uruchomione na hoście znajdującym się w tej samej domenie, którą będzie synchronizowane.
-
Zalecamy zweryfikowanie lub zgłoszenie domen w Control Hub. (Zobacz Dodawanie, weryfikowanie i zgłaszanie praw do domen).
-
Jeśli chcesz synchronizować więcej niż 50 domen, otwórz zgłoszenie , aby przenieść organizację do dużej listy organizacji.
-
W razie potrzeby można synchronizować informacje o zasobach pokoju z kontami użytkowników. (Zobacz Synchronizowanie informacji o pokoju w siedzibie z chmurą Webex).
Zalecenia grupy Active Directory dotyczące automatycznego przypisywania licencji
Grupy Active Directory służą do zbierania kont użytkowników, kont komputerów i innych grup w jednostki zarządzane. Praca z grupami zamiast z indywidualnymi użytkownikami pomaga uprościć konserwację sieci i administrowanie nią.
W usłudze Active Directory dostępne są dwa typy grup:
-
Grupy dystrybucji — służą do tworzenia list dystrybucyjnych wiadomości e-mail.
-
Grupy zabezpieczeń — używane do przypisywania uprawnień do udostępnianych zasobów.
Podczas tworzenia grup w usłudze Active Directory należy pamiętać o następujących wytycznych:
-
Utwórz globalną grupę dla każdej roli, działu lub usługi (takiej jak sprzedaż, marketing, menedżerowie, księgowi, licencjonowanie usługi Webex itd.)
-
W całej organizacji stosuj standardowe konwencje nazewnictwa, aby ułatwić identyfikowanie ważnych informacji o grupach. Nazwy grup mogą zawierać szczegółowe informacje na temat grupy, takie jak poziom dostępu, typ zasobu, poziom zabezpieczeń, zakres grupy, możliwość przesyłania poczty i tak dalej. Na przykład nazwa grupy „GSG_Webex_Licensing_EMEAR” odnosi się do globalnej grupy zabezpieczeń użytkowników EMEAR licencji Webex.
-
Organizuj grupy w łatwy do zrozumienia sposób, na przykład na podstawie geografii lub hierarchii kierowniczej. Użyj opisów grup, aby całkowicie opisać przeznaczenie grupy.
-
Przed dodaniem użytkowników do nowo skonfigurowanych grup zdefiniuj szablon grupy automatycznego przypisywania licencji w Control Hub dla tych grup. Aby uzyskać więcej informacji, zobacz Konfigurowanie szablonu automatycznego przypisywania licencji .
Informacje o rozmiarze
Łącznik usług katalogowych działa jako most między lokalną usługą Active Directory a chmurą Webex. W związku z tym łącznik nie ma górnego limitu liczby obiektów Active Directory, które mogą być synchronizowane z chmurą. Wszelkie ograniczenia dotyczące obiektów katalogu lokalnego są powiązane z określoną wersją i specyfikacjami środowiska Active Directory, które jest synchronizowane z chmurą, a nie z samym konektorem.
Szybkość synchronizacji może mieć wpływ na kilka czynników:
-
Łączna liczba obiektów Active Directory. (Zadanie synchronizacji 5000 użytkowników nie zajmie aż 50 000).
-
Prędkość i przepustowość sieci.
-
Obciążenie systemu i specyfikacje.
Jeśli synchronizujesz ponad 50 000 użytkowników, zdecydowanie zalecamy używanie drugiego łącznika do pracy awaryjnej i redundancji.
Ponieważ w synchronizację zaangażowanych jest kilka czynników, a każde wdrożenie różni się w zależności od powyższych czynników, nie możemy podać określonych wartości czasu, przez jaki synchronizacja obiektu potrwa.
Sprawdź SafeDllSearchMode w rejestrze systemu Windows
Tryb wyszukiwania biblioteki łączy dynamicznych (DLL) jest domyślnie ustawiony w rejestrze systemu Windows i umieszcza bieżący katalog użytkownika w kolejności wyszukiwania DLL. Jeśli ten tryb został w jakiś sposób wyłączony, napastnik może umieścić złośliwy plik DLL (o nazwie takiej samej jak plik DLL znajdujący się w folderze systemowym) do bieżącego katalogu roboczego aplikacji.
Zazwyczaj SafeDllSearchMode jest włączony, ale ta procedura służy do podwójnego sprawdzenia ustawień rejestru.
Przed rozpoczęciem
Zmiany w rejestrze systemu Windows należy przeprowadzać z dużą ostrożnością. Zalecamy, aby przed wykonaniem tych czynności wykonać kopię zapasową rejestru.
| 1 |
W oknie wyszukiwania systemu Windows lub oknie Uruchom wpisz regedit , a następnie naciśnij Enter. |
| 2 |
Przejdź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wybierz jedną z nich:
|
Aby uzyskać więcej informacji, zobacz Kolejność wyszukiwania biblioteki dynamicznych łączy.
Integracja z serwerem proxy WWW
Integracja z serwerem proxy WWW
Jeśli w środowisku włączone jest uwierzytelnianie serwera proxy sieci Web, można nadal korzystać z łącznika usług katalogowych.
Jeśli Twoja organizacja korzysta z przezroczystego serwera proxy sieci WWW, uwierzytelnianie nie jest obsługiwane. Konektor pomyślnie łączy się i synchronizuje użytkowników.
Można zastosować jedno z następujących podejść:
-
Jawny serwer proxy sieci WWW za pośrednictwem przeglądarki Internet Explorer (łącznik dziedziczy ustawienia serwera WWW)
-
Jawny serwer proxy sieci Web za pomocą pliku .pac (łącznik dziedziczy ustawienia serwera proxy specyficzne dla przedsiębiorstwa)
-
Przezroczysty serwer proxy, który współpracuje z konektorem bez żadnych zmian
Użyj serwera Proxy Sieci Web W Przeglądarce
Łącznik usług katalogowych można skonfigurować tak, aby korzystał z serwera proxy internetowego za pośrednictwem programu Internet Explorer.
Jeśli usługa Cisco DirSync jest uruchomiona z innego konta niż aktualnie zalogowany użytkownik, należy również zalogować się przy użyciu tego konta i skonfigurować serwer proxy sieci WWW.
| 1 |
W programie Internet Explorer przejdź do pozycji Opcje internetowe, kliknij pozycję Połączenia, a następnie wybierz pozycję Ustawienia sieci LAN. |
| 2 |
Wskaż wystąpienie systemu Windows, w którym łącznik jest zainstalowany na serwerze proxy sieci Web. Konektor dziedziczy te ustawienia serwera proxy sieci WWW. |
| 3 |
Jeśli środowisko korzysta z uwierzytelniania serwera proxy, dodaj te adresy URL do listy dozwolonych:
Można to wykonać dla całej witryny (dla wszystkich prowadzących) lub tylko dla hosta, który ma łącznik. Jeśli dodasz te adresy URL do listy dozwolonych, aby całkowicie ominąć serwer proxy sieci WWW, upewnij się, że tabela ACL zapory została zaktualizowana, aby umożliwić hoście łącznika bezpośredni dostęp do adresów URL. |
| 4 |
Jeśli środowisko musi zażądać list unieważnień certyfikatów od urzędów certyfikacji, dodaj te adresy URL do listy dozwolonych:
Aby uzyskać więcej informacji, zobacz ten artykuł o domenach i adresach URL, do których należy uzyskać dostęp dla usług Webex. |
Konfigurowanie serwera proxy sieci WWW za pomocą pliku PAC
W przeglądarce klienta można skonfigurować używanie pliku .pac. Ten plik zawiera informacje o adresie i porcie serwera proxy sieci WWW. Łącznik usług katalogowych bezpośrednio dziedziczy konfigurację serwera proxy sieci WWW specyficzną dla przedsiębiorstwa.
| 1 |
Aby konektor mógł pomyślnie połączyć się i zsynchronizować informacje o użytkownikach z chmurą Webex, upewnij się, że uwierzytelnianie proxy jest wyłączone dla |
| 2 |
Jeśli środowisko korzysta z uwierzytelniania serwera proxy, dodaj te adresy URL do listy dozwolonych:
Można to wykonać dla całej witryny (dla wszystkich prowadzących) lub tylko dla hosta, który ma łącznik. Jeśli dodasz te adresy URL do listy dozwolonych, aby całkowicie ominąć serwer proxy sieci WWW, upewnij się, że tabela ACL zapory została zaktualizowana, aby umożliwić hoście łącznika bezpośredni dostęp do adresów URL. |
| 3 |
Jeśli środowisko musi zażądać list unieważnień certyfikatów od urzędów certyfikacji, dodaj te adresy URL do listy dozwolonych:
Aby uzyskać więcej informacji, zobacz ten artykuł o domenach i adresach URL, do których należy uzyskać dostęp dla usług Webex. |
Serwer proxy NTLM
Directory Connector obsługuje NT LAN Manager (NTLM). NTLM to jedno z podejść do obsługi uwierzytelniania Windows wśród urządzeń domeny i zapewnienia ich bezpieczeństwa.
Projekt NTLM
W większości przypadków użytkownik chce uzyskać dostęp do innych zasobów stacji roboczej za pośrednictwem komputera klienckiego, co może być trudne do wykonania w bezpieczny sposób.
Ogólnie rzecz biorąc, projekt techniczny NTLM opiera się na mechanizmie Wyzwanie
i Odpowiedź
:
-
Użytkownik loguje się na komputerze klienckim za pomocą konta systemu Windows i hasła. Hasło nigdy nie jest zapisywane lokalnie. Zamiast zwykłego hasła tekstowego lokalnie jest przechowywana wartość hash hasła. Gdy użytkownik loguje się za pomocą hasła do klienta, system operacyjny Windows porównuje zapisaną wartość skrótu z wartością skrótu z wprowadzonego hasła. Jeśli oba są takie same, uwierzytelnianie zostanie zakończone.
Gdy użytkownik chce uzyskać dostęp do dowolnego zasobu na innym serwerze, klient wysyła do serwera żądanie z nazwą konta w postaci zwykłego tekstu.
-
Gdy serwer odbierze żądanie, generuje 16-bitowy klucz losowy. Klucz nosi nazwę Challenge (lub Nonce). Zanim serwer wyśle z powrotem do klienta, zadanie jest zapisywane na serwerze. Następnie serwer wysyła wyzwanie do klienta w postaci zwykłego tekstu.
-
Gdy tylko klient otrzyma wyzwanie wysłane z serwera, zaszyfruje wyzwanie za pomocą wartości hash wymienionej w kroku 1. Po zaszyfrowaniu wartość jest zwracana do serwera.
-
Gdy serwer odbierze zaszyfrowaną wartość od klienta, wysyła ją do kontrolera domeny w celu weryfikacji. Żądanie zawiera: nazwa konta, zaszyfrowane wyzwanie wysłane przez klienta oraz oryginalne wyzwanie proste.
-
Kontroler domeny może pobierać wartości skrótu hasła w zależności od nazwy konta. Następnie kontroler domeny może zaszyfrować oryginalne wyzwanie. Kontroler doman może następnie porównać z otrzymaną wartością hash i zaszyfrowaną wartością hash. Jeśli są takie same, weryfikacja przebiega pomyślnie.
Uwierzytelnianie zabezpieczeń jest wbudowane w system operacyjny, co ułatwia aplikacjom obsługę uwierzytelniania zabezpieczeń. W związku z tym nie musisz kończyć dalszej konfiguracji.
Konfigurowanie przezroczystego serwera proxy
W tym scenariuszu przeglądarka nie wie, że przezroczysty serwer proxy sieci WWW przechwytuje żądania HTTP (port 80/port 443) i nie jest wymagana konfiguracja po stronie klienta.
| 1 |
Wdróż przezroczysty serwer proxy, aby łącznik mógł łączyć się i synchronizować użytkowników. |
| 2 |
Upewnij się, że serwer proxy działa — po uruchomieniu konektora zobaczysz oczekiwane wyskakujące okienko uwierzytelniania przeglądarki. |
Ustaw uwierzytelnianie serwera proxy
Dodaj adres URL cloudconnector.webex.com do listy dozwolonych, tworząc listę kontroli dostępu.
Na serwerze zapory korporacyjnej:
| 1 |
Włącz wyszukiwanie w usłudze DNS, jeśli funkcja nie jest jeszcze włączona. |
| 2 |
Określ szacowaną przepustowość dla tego połączenia (około 2 Mb/s lub mniej dla konektora). Może to nie być wymagane. |
| 3 |
Utwórz listę kontroli dostępu, aby zastosować ją do hosta łącznika, i określ Na przykład: access-list 2000 acl-inside rozszerzone zezwolenie TCP [IP łącznika] cloudconnector.webex.com eq https |
| 4 |
Zastosuj to ACL do odpowiedniego interfejsu zapory, który ma zastosowanie tylko do tego hosta z pojedynczym łącznikiem. |
| 5 |
Upewnij się, że pozostałe hosty w przedsiębiorstwie nadal muszą korzystać z serwera proxy internetowego, konfigurując odpowiednie oświadczenie o odrzuceniu. |
Wdróż łącznik usług katalogowych
Przepływ zadań wdrażania łącznika usług katalogowych Cisco
Przed rozpoczęciem
| 1 |
Zainstaluj łącznik usług katalogowych Control Hub początkowo pokazuje synchronizację katalogu jako wyłączoną. Aby włączyć synchronizację katalogu w organizacji, należy zainstalować i skonfigurować Directory Connector, a następnie pomyślnie przeprowadzić pełną synchronizację. W przypadku nowej instalacji Directory Connector zawsze przejdź do Control Hub ( https://admin.webex.com), aby uzyskać najnowszą wersję oprogramowania, aby korzystać z najnowszych funkcji i poprawek błędów. Po zainstalowaniu oprogramowania uaktualnienia są raportowane za pośrednictwem oprogramowania i instalowane automatycznie, gdy jest dostępne. |
| 2 |
Zaloguj się do łącznika usług katalogowych Zaloguj się, używając poświadczeń administratora Webex i przeprowadź konfigurację początkową. |
| 3card symbol |
Ustaw automatyczne uaktualnianie Zawsze ważne jest, aby oprogramowanie Directory Connector było aktualne do najnowszej wersji. Zalecamy użycie tej procedury, aby umożliwić cichą instalację automatycznych uaktualnień oprogramowania, gdy jest dostępne. |
| 4 |
Wybierz obiekty usługi Active Directory do zsynchronizowania Domyślnie Directory Connector synchronizuje wszystkich użytkowników, którzy nie są komputerami, oraz wszystkie grupy, które nie są krytycznymi obiektami systemowymi dla domeny. Aby uzyskać większą kontrolę nad tym, które obiekty są synchronizowane, można wybrać określonych użytkowników do synchronizacji i określić filtry LDAP na stronie Wybór obiektów w łączniku usług katalogowych. |
| 5. |
Atrybuty z lokalnej usługi Active Directory można mapować na odpowiednie atrybuty w chmurze. Jedynym wymaganym polem jest *uid. |
| 6 |
Zsynchronizuj awatary katalogów, korzystając z jednej z następujących procedur:
Możesz synchronizować awatary użytkowników z chmurą, aby awatar każdego użytkownika był wyświetlany po zalogowaniu się do aplikacji. Awatary można synchronizować z atrybutu Active Directory lub serwera zasobów. |
| 7 |
Synchronizuj informacje o pokoju w siedzibie z chmurą Webex Ta procedura służy do synchronizowania informacji o lokalnym pokoju z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia pokojowe ze skonfigurowanym, zmapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach pokojowych zarejestrowanych w chmurze, takich jak urządzenie Webex Room lub Cisco Webex Board |
| 8 |
Aby Zainicjować Obsługę Administracyjną Użytkowników Z Active Directory Do Control Hub, wykonaj następujące czynności:
Wykonaj tę sekwencję, aby skonfigurować użytkowników usługi Active Directory na potrzeby kont aplikacji Webex. Możesz skonfigurować użytkowników z wielu wdrożeń usługi Active Directory w systemie Directory Connector 3.0 lub nowszym. Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Celem jest dokładne dopasowanie między aktywnymi katalogami a chmurą Webex. |
Zainstaluj łącznik usług katalogowych
Control Hub początkowo pokazuje synchronizację katalogu jako wyłączoną. Aby włączyć synchronizację katalogu w organizacji, należy zainstalować i skonfigurować Directory Connector, a następnie pomyślnie przeprowadzić pełną synchronizację.
Należy zainstalować jeden łącznik dla każdej domeny Active Directory, którą chcesz zsynchronizować. Pojedyncze wystąpienie łącznika usług katalogowych może obsługiwać tylko jedną domenę. Aby zrozumieć przepływ synchronizacji wielu domen, zobacz poniższy diagram:
Przed rozpoczęciem
Jeśli uwierzytelniasz się za pośrednictwem serwera proxy, upewnij się, że masz poświadczenia serwera proxy:
-
W przypadku podstawowego uwierzytelniania proxy wprowadź nazwę użytkownika i hasło po zainstalowaniu wystąpienia łącznika. Konfiguracja serwera proxy programu Internet Explorer jest również wymagana do uwierzytelniania podstawowego; zobacz Używanie Serwera Proxy Internetowego W Przeglądarce
-
W przypadku serwera proxy NTLM przy pierwszym otwarciu łącznika może pojawić się błąd. Zobacz Korzystanie z Serwera Proxy Sieci Web W Przeglądarce.
| 1 |
W Control Hub wybierz kolejno pozycje i wybierz Dalej. |
| 2 |
Kliknij łącze Pobierz i zainstaluj, aby zapisać najnowszą wersję pliku .zip instalacyjnego łącznika na swoim serwerze VMware lub Windows. Plik .zip można pobrać bezpośrednio z tego łącza, ale aby to oprogramowanie działało, musisz mieć pełny dostęp administracyjny do organizacji Control Hub. W przypadku nowej instalacji pobierz najnowszą wersję oprogramowania, aby korzystać z najnowszych funkcji i poprawek błędów. Po zainstalowaniu oprogramowania uaktualnienia są raportowane za pośrednictwem oprogramowania i instalowane automatycznie, gdy jest dostępne. |
| 3card symbol |
Na serwerze VMware lub na serwerze Windows rozpakuj i uruchom plik .msi w folderze konfiguracji, aby uruchomić kreatora konfiguracji. |
| 4 |
Kliknij przycisk Dalej, zaznacz pole wyboru, aby zaakceptować umowę licencyjną, a następnie kliknij przycisk Dalej, aż zostanie wyświetlony ekran typu konta. |
| 5. |
Wybierz typ konta usługi, którego chcesz używać, i wykonaj instalację za pomocą konta administratora:
Aby uniknąć błędów, upewnij się, że istnieją następujące uprawnienia:
|
| 6 |
Kliknij przycisk Instaluj. Po uruchomieniu testu sieci wprowadź podstawowe poświadczenia serwera proxy, kliknij przycisk OK, a następnie kliknij przycisk Zakończ. |
Co zrobić dalej
Zalecamy ponowne uruchomienie serwera po instalacji. Raport przebiegu próbnego nie może wyświetlić prawidłowego wyniku, gdy dane nie zostały zwolnione. Podczas ponownego uruchamiania maszyny wszystkie dane są odświeżane, aby pokazać dokładny wynik w raporcie.
Zaloguj się do łącznika usług katalogowych
Przed rozpoczęciem
Upewnij się, że masz poświadczenia serwera proxy.
-
W przypadku podstawowego uwierzytelniania serwera proxy wprowadź nazwę użytkownika i hasło po pierwszym otwarciu łącznika.
-
W przypadku serwera proxy NTLM otwórz program Internet Explorer, kliknij ikonę koła zębatego, wybierz kolejno pozycje Opcje internetowe > Połączenia > Ustawienia sieci LAN, upewnij się, że dodano informacje o serwerze proxy, a następnie kliknij OK. Zobacz Korzystanie z Serwera Proxy Sieci Web W Przeglądarce.
| 1 |
Otwórz konektor, a następnie dodaj |
| 2 |
Jeśli zostanie wyświetlony monit, zaloguj się przy użyciu poświadczeń uwierzytelniania serwera proxy, a następnie zaloguj się do usługi Webex za pomocą konta administratora i kliknij przycisk Dalej. |
| 3card symbol |
Potwierdź swoją organizację i domenę.
|
| 4 |
Po wyświetleniu ekranu Potwierdź organizację kliknij przycisk Potwierdź. Jeśli usługi AD DS/AD LDS są już powiązane, zostanie wyświetlony ekran Potwierdź organizację. |
| 5. |
Kliknij przycisk Potwierdź. |
| 6 |
Wybierz jedną w zależności od liczby domen Active Directory, które chcesz powiązać z łącznikiem usług katalogowych:
|
Co zrobić dalej
Po zalogowaniu się zostanie wyświetlony monit o wykonanie synchronizacji przebiegu próbnego.
Pulpit nawigacyjny łącznika usług katalogowych
Przy pierwszym logowaniu do łącznika usług katalogowych zostanie wyświetlona konsola. W tym miejscu możesz wyświetlić podsumowanie wszystkich działań synchronizacji, wyświetlić statystyki chmury, przeprowadzić synchronizację przebiegu próbnego, rozpocząć synchronizację pełną lub stopniową oraz uruchomić widok zdarzenia, aby wyświetlić informacje o błędach.
Te zadania można łatwo uruchomić z paska narzędzi czynności lub menu czynności.
|
Komponent |
Opis |
|---|---|
|
Bieżąca synchronizacja |
Wyświetla informacje o stanie aktualnie trwającej synchronizacji. Gdy żadna synchronizacja nie jest uruchomiona, wyświetlanie stanu jest bezczynne. |
|
Następna synchronizacja |
Wyświetla następne zaplanowane pełne i przyrostowe synchronizacje. Jeśli nie ustawiono harmonogramu, wyświetlana jest opcja Nie zaplanowano. |
|
Ostatnia synchronizacja |
Wyświetla stan dwóch ostatnich wykonanych synchronizacji. |
|
Bieżący stan synchronizacji |
Wyświetla ogólny stan synchronizacji. |
|
Łączniki |
Wyświetla bieżące lokalne łączniki dostępne dla chmury. |
|
Statystyki chmury |
Wyświetla ogólny stan synchronizacji. |
|
Harmonogram synchronizacji |
Wyświetla harmonogram synchronizacji dla synchronizacji przyrostowej i pełnej. |
|
Podsumowanie konfiguracji |
Wyświetla ustawienia, które zostały zmienione w konfiguracji. Podsumowanie może na przykład zawierać następujące informacje:
|
| Czynność | Opis |
|---|---|
| Rozpocznij synchronizację przyrostową |
Ręcznie rozpocznij synchronizację przyrostową Ta czynność jest wyłączona po wstrzymaniu lub wyłączeniu synchronizacji, jeśli pełna synchronizacja nie została ukończona lub jeśli synchronizacja jest w toku. |
|
Synchronizuj przebieg próbny |
Wykonaj synchronizację przebiegu próbnego. |
|
Uruchom przeglądarkę zdarzeń |
Uruchom przeglądarkę zdarzeń firmy Microsoft |
|
Odśwież |
Odśwież pulpit nawigacyjny łącznika usług katalogowych Cisco |
|
Czynność |
Opis |
|---|---|
| Synchronizuj teraz |
Natychmiast rozpocznij pełną synchronizację. |
|
Tryb synchronizacji |
Wybierz tryb synchronizacji przyrostowej lub pełnej. |
|
Zresetuj klucz tajny łącznika |
Nawiąż rozmowę między łącznikiem usług katalogowych Cisco a konektorem. Wybranie tej czynności spowoduje zresetowanie tajnego klucza w chmurze, a następnie zapisanie klucza lokalnego. |
|
Przebieg próbny |
Wykonaj test procesu synchronizacji. Przed wykonaniem pełnej synchronizacji należy wykonać przebieg próbny. |
|
Rozwiązywanie problemów |
Włącz/wyłącz rozwiązywanie problemów. |
|
Odśwież |
Odśwież ekran główny łącznika usług katalogowych Cisco. |
|
Zamknij |
Zamknij łącznik usług katalogowych Cisco. |
|
Kombinacja klawiszy |
Czynność |
|---|---|
|
Alt+A |
Pokaż menu Czynności |
|
|
Synchronizuj teraz |
|
|
Zresetuj klucz tajny łącznika |
|
|
Przebieg próbny |
|
|
Synchronizacja przyrostowa |
|
|
Pełna synchronizacja |
|
|
Pokaż menuPomoc |
|
|
Pomoc |
|
|
Informacje |
|
|
często zadawane pytania |
Ustaw automatyczne uaktualnianie
| 1 |
W Directory Connector przejdź do , a następnie zaznacz pole wyboru Automatycznie uaktualnij do nowej wersji Cisco Directory Connector. |
| 2 |
Kliknij Zastosuj, aby zapisać zmiany. |
Nowe wersje łącznika są automatycznie instalowane, gdy są dostępne.
Uaktualnieniami można zarządzać ręcznie, jeśli wolisz. Aby uzyskać więcej informacji, zobacz Uaktualnianie do najnowszej wersji oprogramowania.
Wybierz obiekty usługi Active Directory do zsynchronizowania
Domyślnie Directory Connector synchronizuje wszystkich użytkowników, którzy nie są komputerami, oraz wszystkie grupy, które nie są krytycznymi obiektami systemowymi dla domeny. Aby uzyskać większą kontrolę nad tym, które obiekty są synchronizowane, można wybrać określonych użytkowników do synchronizacji i określić filtry LDAP na stronie Wybór obiektów w łączniku usług katalogowych.
Grupy do automatycznego przypisywania licencji
Control Hub umożliwia zarządzanie przypisaniami licencji w odniesieniu do poszczególnych grup. Można utworzyć szablony licencji i mapować je do grup Active Directory, które synchronizujesz z chmurą. W momencie tworzenia użytkownika Webex sprawdza członkostwo użytkownika i mapowanie szablonu automatycznego przypisywania licencji dla tego nowego użytkownika.
Zalecamy używanie filtra LDAP w celu synchronizowania tylko odpowiednich grup z chmurą. Filtr można na przykład ustawić jako:
(&(cn=Przykład)(objectClass=Group))*
Ten filtr synchronizuje wszystkie grupy w ramach podstawowej nazwy wyróżniającej, gdzie nazwa zaczyna się od Example. Użytkownikom, którzy nie są przypisani do grup, przypisane są licencje z domyślnego szablonu automatycznego przypisywania licencji skonfigurowanego w Control Hub.
Grupy dla wdrożeń hybrydowego zabezpieczenia danych
W Łączniku usług katalogowych zaznacz opcję Grupy, jeśli używasz usługi hybrydowego zabezpieczenia danych, aby skonfigurować grupę wersji próbnej dla użytkowników pilotażowych. Wskazówki można znaleźć w Przewodniku wdrażania hybrydowego zabezpieczenia danych. To ustawienie łącznika usług katalogowych nie wpływa na synchronizację innych użytkowników z chmurą.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, a następnie kliknij pozycję Wybór obiektu. |
| 2 |
W sekcji Typ obiektu zaznacz opcję Użytkownicy i rozważ ograniczenie liczby pojemników możliwych do wyszukania dla użytkowników. Jeśli na przykład chcesz zsynchronizować tylko użytkowników w określonej grupie, w polu Użytkownicy należy wprowadzić filtr LDAP. Jeśli chcesz synchronizować użytkowników w grupie Przykład-menedżer, użyj filtra takiego jak ten:
|
| 3card symbol |
Zaznacz opcję Identyfikacja pokoju, aby oddzielić dane pokoju od danych użytkownika. Kliknij opcję Dostosuj, jeśli chcesz skonfigurować dodatkowe atrybuty w celu identyfikacji danych użytkownika jako danych pokoju. Użyj tego ustawienia, jeśli chcesz synchronizować informacje o pokoju lokalnym z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia systemu biurowego ze skonfigurowanym, mapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach systemu biurowego zarejestrowanych w chmurze. Aby uzyskać więcej informacji, zobacz Synchronizowanie informacji o pokoju w siedzibie z chmurą Webex. |
| 4 |
Zaznacz opcję Grupy, jeśli chcesz zsynchronizować grupy użytkowników usługi Active Directory z chmurą. Nie dodawaj filtru LDAP synchronizacji użytkowników do pola Grupy. Do synchronizacji danych grupy z chmurą należy używać tylko pola Grupy. Domyślnie grupy nie są synchronizowane dla nowych klientów. Należy włączyć synchronizację grup. Musisz również synchronizować grupy zabezpieczeń. |
| 5. |
Zaznacz opcję Kontakty, jeśli chcesz zsynchronizować informacje kontaktowe użytkowników z chmurą. Łącznik usług katalogowych zarządza tylko Kontaktami zsynchronizowanymi przez łącznik. Jeśli istnieją już kontakty w Control Hub, synchronizacja nie usunie tych kontaktów. Jeśli kontakty zostaną usunięte z zakresu synchronizacji, informacje kontaktowe użytkowników zostaną również usunięte w Control Hub. |
| 6 |
Skonfiguruj filtry LDAP. Filtry rozszerzone można dodawać, podając prawidłowy filtr LDAP. Zobacz ten artykuł, aby uzyskać więcej informacji o konfigurowaniu filtrów LDAP. |
| 7 |
Określ nazwy domen bazy lokalnej do synchronizacji, klikając przycisk Wybierz, aby zobaczyć strukturę drzewa usługi Active Directory. Tutaj możesz wybrać lub usunąć zaznaczenie, które kontenery mają być przeszukiwane. |
| 8 |
Sprawdź, czy obiekty, które chcesz dodać do tej konfiguracji, a następnie kliknij przycisk Wybierz. Można wybrać pojedyncze lub nadrzędne pojemniki, które mają być używane do synchronizacji. Wybierz pojemnik nadrzędny, aby włączyć wszystkie pojemniki podrzędne. Po wybraniu kontenera dla dziecka w kontenerze nadrzędnym zostanie wyświetlony szary znak wyboru wskazujący, że dziecko zostało zaznaczone. Następnie możesz kliknąć przycisk Wybierz, aby zaakceptować zaznaczone kontenery Active Directory. Jeśli organizacja umieści wszystkich użytkowników i grupy w kontenerze Użytkownicy, nie trzeba wyszukiwać innych kontenerów. Jeśli Twoja organizacja jest podzielona na jednostki organizacyjne, upewnij się, że wybrano jednostki organizacyjne. |
| 9 |
Kliknij przycisk Zastosuj. Wybierz opcję:
Aby uzyskać informacje na temat uruchamiania próbnego, zobacz Przeprowadzanie synchronizacji próbnej u użytkowników usługi Active Directory. W przypadku synchronizacji grup należy przeprowadzić pełną synchronizację: Wykonywanie pełnej synchronizacji użytkowników usługi Active Directory Z chmurą. |
Mapuj atrybuty użytkownika
Atrybuty z lokalnej usługi Active Directory można mapować na odpowiednie atrybuty w chmurze. Jedynym wymaganym polem jest *uid — unikatowy identyfikator każdego konta użytkownika w usłudze tożsamości w chmurze.
Możesz wybrać, który atrybut Active Directory ma być mapowany na chmurę — na przykład możesz mapować imię i nazwisko w usłudze Active Directory lub wyrażenie atrybutu niestandardowego na displayName w chmurze.
Konta w usłudze Active Directory muszą mieć adres e-mail. Identyfikator uid jest domyślnie mapowany na pole poczty ad (a nie sAMAccountName).
Jeśli zdecydujesz się, aby preferowany język pochodził z Active Directory, wówczas Active Directory jest jedynym źródłem prawdy: użytkownicy nie będą mogli zmienić swojego ustawienia języka w ustawieniach Webex, a administratorzy nie będą mogli zmienić tego ustawienia w Control Hub.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja , a następnie wybierz pozycjęMapowanie atrybutów użytkownika. Na tej stronie wyświetlane są nazwy atrybutów Active Directory (po lewej stronie) i chmury Webex (po prawej). Wszystkie wymagane atrybuty są oznaczone czerwoną gwiazdką. |
| 2 |
Przewiń w dół do dołu nazwy atrybutów usługi Active Directory, a następnie wybierz jeden z tych atrybutów usługi Active Directory, aby zamapować atrybut uid chmury:
Możesz mapować dowolny z pozostałych atrybutów Active Directory na identyfikator uid, ale zalecamy używanie poczty lub userPrincipalName w sposób opisany w powyższych wytycznych. W niektórych przypadkach do logowania się służy nazwa userPrincipalName, ale do zarządzania kalendarzem użytkownika jest używany jego adres e-mail. Należy podać adres e-mail dla map zarządzania kalendarzem na główne pole adresu e-mail w usłudze Webex. Dodaj userPrincipalName jako alternatywny adres e-mail. Aby zobaczyć, które atrybuty w usłudze Active Directory odpowiadają w chmurze, zobacz Mapowanie atrybutów Active Directory w Directory Connector. Aby synchronizacja działała, należy się upewnić, że wybrany atrybut Active Directory jest w formacie e-mail. Łącznik usług katalogowych wyświetla wyskakujące okienko z przypomnieniem, że nie wybrano jednego z zalecanych atrybutów. |
| 3card symbol |
Jeśli wstępnie zdefiniowane atrybuty usługi Active Directory nie działają dla Twojego wdrożenia, kliknij rozwijany atrybut, przewiń do dołu, a następnie wybierz pozycję Dostosuj atrybut, aby otworzyć okno umożliwiające zdefiniowanie wyrażenia atrybutu. Kliknij Pomoc, aby uzyskać więcej informacji o wyrażeniach i zobaczyć przykłady działania wyrażeń. Więcej informacji zawiera temat Wyrażenia dla niestandardowych atrybutów. W tym przykładzie zmapujmy atrybuty
Łącznik usług katalogowych weryfikuje wartość atrybutu uid w usłudze tożsamości i pobiera 3 dostępnych użytkowników w ramach bieżących opcji filtrowania użytkownika. Jeśli wszyscy z tych 3 użytkowników mają prawidłowy format wiadomości e-mail, Cisco Directory Connector wyświetli następujący komunikat:
Jeśli nie można zweryfikować atrybutu, zobaczysz następujące ostrzeżenie i możesz powrócić do usługi Active Directory, aby sprawdzić i naprawić dane użytkownika:
|
| 4 |
(Opcjonalnie) Wybierz mapowania dla urządzeń mobilnych i telephoneNumber, jeśli chcesz, aby numery komórkowe i służbowe pojawiały się na przykład w karcie kontaktu użytkownika w aplikacji Webex. Dane numeru telefonu pojawiają się w aplikacji Webex, gdy użytkownik najedzie kursorem na zdjęcie profilowe innego użytkownika. Aby uzyskać więcej informacji na temat nawiązywania połączeń z karty kontaktu użytkownika, zobacz Przewodnik wdrażania połączeń w usłudze Webex (Unified CM) (administratorzy). |
| 5. |
Wybierz dodatkowe mapowania, aby więcej danych mogło pojawić się na karcie kontaktu:
Po zmapowaniu atrybutów informacje są wyświetlane, gdy użytkownik najedzie kursorem na zdjęcie profilowe innego użytkownika:
Aby uzyskać więcej informacji na temat karty kontaktu, zobacz Sprawdzanie, z kim się kontaktujesz. Po zsynchronizowaniu tych atrybutów z każdym kontem użytkownika można również włączyć funkcję People Insights w Control Hub. Ta funkcja pozwala użytkownikom aplikacji Webex udostępniać więcej informacji w swoich profilach i dowiedzieć się więcej o sobie. Aby uzyskać więcej informacji na temat tej funkcji i sposobu jej włączenia, zobacz Profile użytkowników aplikacji Webex, Jabber, Webex Meetings i Webex Events (nowość) w Control Hub |
| 6 |
Po dokonaniu wyboru kliknij Zastosuj. |
Wszelkie dane użytkownika zawarte w usłudze Active Directory zastępują dane w chmurze odpowiadające temu użytkownikowi. Na przykład jeśli użytkownik został ręcznie utworzony w Control Hub, jego adres e-mail musi być identyczny z adresem e-mail w usłudze Active Directory. Każdy użytkownik bez odpowiedniego adresu e-mail w usłudze Active Directory zostanie usunięty.
Usunięci użytkownicy są przechowywani w usłudze tożsamości w chmurze przez 7 dni przed ich trwale usunięciem.
Atrybuty Active Directory i chmury
Za pomocą karty Mapowanie atrybutów użytkownika można mapować atrybuty z lokalnej usługi Active Directory na odpowiednie atrybuty w chmurze.
W tej tabeli porównano mapowanie między nazwami atrybutów usługi Active Directory i nazwami atrybutów chmury Cisco. Te wartości i mapowania są ustawieniem domyślnym w łączniku usług katalogowych. Możesz wybrać różne atrybuty w rozwijanej usłudze Active Directory i określić, który atrybut lokalny jest synchronizowany z którym atrybutem chmury.
Pomyślcie o atrybutach rozwijanych jako o ustawieniach wstępnych. Zamiast wartości w wierszu Active Directory można również określić niestandardowy atrybut, własne ustawienie wstępne, w usłudze Active Directory (wyrażenie z wieloma atrybutami), aby zamapować go na jeden atrybut chmury w odpowiednim wierszu. Dzięki temu masz elastyczność określania nazw wyświetlanych użytkowników — na przykład możesz dodać wyrażenie, które tworzy niestandardowy atrybut na podstawie tytułu pracownika, imienia i nazwiska w usłudze Active Directory.
Można również określić dowolny z atrybutów usługi Active Directory, aby być mapowanym na identyfikator uid w chmurze. Należy jednak się upewnić, że atrybut lokalny jest zgodny z prawidłowym formatem wiadomości e-mail.
Możesz także użyć alternatywnych adresów e-mail, na przykład jeśli chcesz użyć nazwy userPrincipalName do logowania, ale adres e-mail użytkownika jest używany do zarządzania kalendarzem użytkownika. W takim przypadku zamapuj inny adres e-mail na atrybut e-mail;type-work. To jest adres e-mail używany do uwierzytelniania; nie jest używany do zarządzania kalendarzem. Adres e-mail mapowany z usługi AD musi pochodzić ze zweryfikowanej domeny w ramach organizacji, być unikatowy i nie musi być przypisany do innego użytkownika.
|
Nazwy atrybutów Active Directory |
Nazwy atrybutów chmury Webex |
Uwagi |
|---|---|---|
|
— |
budynekName |
— |
|
c |
c |
Ten atrybut określa skrót kraju użytkownika. |
|
działNumer |
działNumer |
Ten atrybut jest używany dla numeru działu użytkownika, który pojawia się na karcie kontaktu i informacjach o użytkowniku. |
|
nazwa wyświetlana |
nazwa wyświetlana |
Ten atrybut jest używany dla nazwy wyświetlanej konta użytkownika, która pojawia się w Control Hub, na karcie kontaktu i informacjach o użytkowniku. |
|
kontrolaKontaUżytkownika |
ds-pwp-account-wyłączony |
Ten atrybut jest używany do synchronizacji użytkowników. Upewnij się, że atrybut userAccountControl jest mapowany na ds-pwp-account-disabled. W przeciwnym razie użytkownicy nie będą poprawnie synchronizowani. |
|
Liczba pracowników |
Liczba pracowników |
— |
|
faksyleTelefonNumer |
faksyleTelefonNumer |
— |
|
— |
identyfikator jabber |
Ten atrybut chmury odnosi się do adresów wiadomości błyskawicznych (typ XMPP) używanych przez Jabbera. Ta wartość nie jest taka sama jak adres sipAddresses. |
|
l |
l |
Ten atrybut określa miejscowość użytkownika. |
|
— |
język |
— |
|
menedżer |
menedżer |
Ten atrybut jest używany dla nazwy menedżera użytkownika, która jest wyświetlana na karcie kontaktu i informacjach o użytkowniku. |
|
przenośne |
przenośne |
Ten atrybut jest używany jako numer telefonu komórkowego wyświetlany do nawiązania połączenia z użytkownikiem z karty kontaktu. |
|
o |
o |
Ten atrybut określa nazwę firmy lub organizacji i jest wyświetlany na karcie kontaktu. |
|
lub |
lub |
Ten atrybut określa nazwę jednostki organizacyjnej. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Ten atrybut określa lokalizację biura użytkownika. |
|
Kod pocztowy |
Kod pocztowy |
Ten atrybut określa kod pocztowy użytkownika do fizycznego dostarczania poczty. |
|
preferowanyJęzyk |
preferowanyJęzyk |
Ten atrybut ustawia preferowany język użytkownika oraz obsługiwane są następujące formaty: xx_YY lub xx-YY. Oto kilka przykładów: en_US, en_GB, fr-CA. Jeśli używasz nieobsługiwanego języka lub nieprawidłowego formatu, preferowany język użytkowników zostanie zmieniony na język ustawiony dla organizacji. |
|
MSRTCSIP - główny adres użytkownika Telefon ipPhone |
Adresy Sip;type=przedsiębiorstwo |
Ten atrybut jest używany do synchronizacji informacji o pokoju lokalnym z usługi Active Directory z chmurą Cisco Webex. |
|
sn |
sn |
Ten atrybut jest używany dla nazwiska konta użytkownika wyświetlanego w Control Hub, na karcie kontaktu i informacjach o użytkowniku. |
|
st. |
st. |
Ten atrybut określa stan lub prowincję użytkownika. |
|
ulicaAdres |
ulica |
Ten atrybut określa adres ulicy użytkownika do fizycznej dostawy poczty. |
|
numer telefonu |
numer telefonu |
Ten atrybut określa główny (służbowy) numer telefonu użytkownika służący do nawiązania połączenia z użytkownikiem z karty kontaktu. |
|
— |
strefa czasowa |
Ten atrybut chmury określa strefę czasową użytkownika. |
|
tytuł |
tytuł |
Ten atrybut określa tytuł użytkownika, który pojawia się na karcie kontaktu i informacjach o użytkowniku. |
|
wpisz |
przedsiębiorstwo |
— |
|
*poczta *Główna nazwa użytkownika |
identyfikator użytkownika |
Obowiązkowe mapowanie atrybutów. Dla każdego konta użytkownika wartość usługi Active Directory jest mapowana na unikatowy identyfikator UID w chmurze. W niektórych przypadkach do logowania się służy nazwa userPrincipalName, ale do zarządzania kalendarzem użytkownika jest używany jego adres e-mail. Należy podać adres e-mail dla map zarządzania kalendarzem na główne pole adresu e-mail w usłudze Webex. Dodaj userPrincipalName jako alternatywny adres e-mail. Użytkownik może wówczas użyć dowolnego z tych adresów e-mail do zalogowania się, o ile działa prawidłowe mapowanie atrybutów SAML. Zobacz Przykładowe mapowanie atrybutów poniżej, aby dowiedzieć się, jak można zmapować alternatywny adres e-mail. |
|
*Główna nazwa użytkownika *poczta <atrybut niestandardowy> |
wiadomości e-mail; praca typu |
To mapowanie jest opcjonalne. Użyj go, jeśli chcesz używać alternatywnych adresów e-mail. To jest adres e-mail używany do uwierzytelniania; nie jest używany do zarządzania kalendarzem. Adres e-mail mapowany z usługi AD musi pochodzić ze zweryfikowanej domeny w ramach organizacji, być unikatowy i nie musi być przypisany do innego użytkownika. |
|
<Nowy atrybut obiektuId użytkownika platformy Azure> |
Identyfikator zewnętrzny |
Utwórz nowy atrybut Active Directory, aby zachować identyfikator obiektu użytkownika platformy Azure, tak aby nie zderzył się z istniejącym atrybutem. Ten atrybut jest następnie mapowany na atrybut externalId, zapewniając, że gdy użytkownicy Webex tworzą grupy w Microsoft 365, automatycznie tworzą zespoły w Webex. |
Mapowanie alternatywnego adresu e-mail
Wyrażenia dla niestandardowych atrybutów
|
Operator |
Opis i przykład |
|---|---|
|
% |
Usuwa wszystkie znaki od początku ciągu do pozycji znaku lub argumentu ciągu, jeśli są dopasowane.
|
|
- |
Przesuwa tył ciągu wejściowego od końca określonego ciągu.
|
|
+ |
Powoduje złożenie ciągów wejściowych lub wyrażeń.
|
|
| |
Dokonuje oceny wyrażeń oddzielonych od pustego ciągu i wybiera pierwszy niepusty wynik.
|
Synchronizuj awatary katalogu z atrybutu usługi Active Directory do chmury
Możesz zsynchronizować awatary katalogu użytkowników z chmurą, aby każdy awatar był wyświetlany po zalogowaniu się do aplikacji Webex. Ta procedura służy do synchronizowania surowych danych awatara z atrybutu Active Directory.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, kliknij pozycję Awatar, a następnie zaznacz pole wyboru Włącz. |
| 2 |
W polu Pobierz awatar z wybierz atrybut AD, a następnie wybierz atrybut Awatar zawierający surowe dane awatara, które chcesz zsynchronizować z chmurą. |
| 3card symbol |
Aby sprawdzić, czy awatar jest poprawnie dostępny, wprowadź adres e-mail użytkownika, a następnie kliknij opcję Pobierz awatar użytkownika. Awatar pojawi się po prawej stronie. |
| 4 |
Po sprawdzeniu, czy awatar pojawił się poprawnie, kliknij przycisk Zastosuj, aby zapisać zmiany. |
-
Zsynchronizowane obrazy stają się domyślnym awatarem dla użytkowników w aplikacji Webex. Użytkownicy nie mogą ustawić własnego awatara, gdy ta funkcja zostanie włączona z poziomu łącznika usług katalogowych.
-
Awatary użytkowników są synchronizowane zarówno z aplikacją Webex, jak i ze wszystkimi pasującymi kontami w witrynie Webex.
Co zrobić dalej
Wykonaj synchronizację przebiegu próbnego; jeśli nie ma problemów, wykonaj pełną synchronizację, aby umożliwić synchronizację kont użytkowników i awatarów usługi Active Directory z chmurą i wyświetlenie ich w portalu Control Hub.
Synchronizuj awatary katalogu Z serwera zasobów do chmury
Możesz zsynchronizować awatary katalogu użytkowników z chmurą, aby każdy awatar był wyświetlany po zalogowaniu się do aplikacji Webex. Ta procedura służy do synchronizowania awatarów z serwera zasobów.
Przed rozpoczęciem
-
Wzorzec URI i wartość zmiennej w tej procedurze są przykładami. Musisz używać rzeczywistych adresów URL, w których znajdują się awatary katalogów.
-
Wzorzec URI awatara i serwer, na którym znajdują się awatary, muszą być dostępne z poziomu aplikacji Directory Connector. Konektor wymaga dostępu do obrazów w protokole HTTP lub HTTPS, ale obrazy nie muszą być publicznie dostępne w Internecie.
-
Synchronizacja danych awatara jest oddzielona od profili użytkowników w usłudze Active Directory. Jeśli jest uruchomiony serwer proxy, należy się upewnić, że dane awatara są dostępne za pomocą uwierzytelniania NTLM lub uwierzytelniania podstawowego.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, kliknij pozycję Awatar, a następnie zaznacz pole wyboru Włącz. |
| 2 |
W polu Pobierz awatar z wybierz pozycję Serwer zasobów, a następnie wprowadź wzorzec URI awatara, na przykład Przyjrzyjmy się każdej części wzorca URI awatara i co one oznaczają:
|
| 3card symbol |
(Opcjonalnie) Jeśli serwer zasobów wymaga poświadczeń, zaznacz opcję Ustaw poświadczenia użytkownika dla awatara, a następnie wybierz opcję Użyj bieżącego użytkownika logowania do usługi lub Użyj tego użytkownika i wprowadź hasło. |
| 4 |
Wprowadź wartość zmiennej — na przykład: |
| 5. |
Kliknij przycisk Testuj, aby upewnić się, że wzorzec URI awatara działa poprawnie. W tym przykładzie, jeśli wartością poczty dla jednego wpisu usługi AD jest |
| 6 |
Gdy informacje o identyfikatorze URI zostaną zweryfikowane i wyglądają poprawnie, kliknij przycisk Zastosuj. Aby uzyskać szczegółowe informacje na temat używania wyrażeń regularnych, zobacz Skrócona instrukcja obsługi języka wyrażeń regularnych firmy Microsoft. |
-
Zsynchronizowane obrazy stają się domyślnym awatarem dla użytkowników w aplikacji Webex. Użytkownicy nie mogą ustawić własnego awatara, gdy ta funkcja zostanie włączona z poziomu łącznika usług katalogowych.
-
Awatary użytkowników są synchronizowane zarówno z aplikacją Webex, jak i ze wszystkimi pasującymi kontami w witrynie Webex.
Co zrobić dalej
Wykonaj synchronizację przebiegu próbnego; jeśli nie ma problemów, wykonaj pełną synchronizację, aby umożliwić synchronizację kont użytkowników i awatarów usługi Active Directory z chmurą i wyświetlenie ich w portalu Control Hub.
Synchronizuj informacje o pokoju w siedzibie z chmurą Webex
Ta procedura służy do synchronizowania informacji o lokalnym pokoju z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia pokojowe ze skonfigurowanym, zmapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach Webex zarejestrowanych w chmurze (Room, Desk i Board).
| 1 |
W Directory Connector przejdź do pozycji Synchronizuj, kliknij więcej |
| 2 |
Zaznacz opcję Synchronizuj informacje o pokoju z chmurą, aby oddzielić dane pokoju od danych użytkowników podczas synchronizacji. Gdy to ustawienie jest wyłączone, dane pokoju są traktowane tak samo jak dane zsynchronizowane przez użytkowników. |
| 3card symbol |
Przejdź do pozycji Mapowanie atrybutów, a następnie zmień mapowanie atrybutów dla atrybutu sipAddresses;type=enterprise w chmurze. Aby można było użyć sprawdzania poprawności wartości, wartością adresu SIP powinna być Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Tworzenie skrzynki pocztowej zasobów pokoju w programie Exchange. Spowoduje to dodanie atrybutu msExchResourceMetaData;ResourceType:Room, którego łącznik używa następnie do identyfikowania pokojów.
|
| 5. |
Z użytkowników i komputerów usługi Active Directory przejdź do właściwości pokoju i edytuj je. Dodaj w pełni kwalifikowany identyfikator URI SIP z przedrostkiem sip:
|
| 6 |
Wykonaj synchronizację przebiegu próbnego, a następnie pełną synchronizację przebiegu w konektorze. Nowe obiekty pokoju są wyświetlane na liście Dodane obiekty, a dopasowane obiekty pokoju są wyświetlane w Obiekty dopasowane w raporcie przebiegu próbnego. Wszystkie obiekty pokojów oznaczone flagą usunięcia znajdują się w obszarze Pokoje usunięte.
Wyniki przebiegu próbnego pokazują wszystkie zasoby pokojów, które zostały dopasowane.
To ustawienie oddziela dane pokoju Active Directory (w tym atrybut pokoju) od danych użytkownika. Po zakończeniu synchronizacji statystyki chmury w pulpicie nawigacyjnym łącznika pokazują dane pokojów, które zostały zsynchronizowane z chmurą.
|
Co zrobić dalej
Teraz, po wykonaniu tych czynności, podczas wyszukiwania na urządzeniu zarejestrowanym w chmurze Webex zostaną wyświetlone zsynchronizowane wpisy pokojów skonfigurowane z adresami SIP. Po nawiązaniu połączenia z urządzenia Webex na tym wpisie połączenie jest nawiązywane na adres SIP skonfigurowany dla pokoju.
Z Control Hub można automatycznie importować pokoje z katalogu i tworzyć obszary robocze.
Punkt końcowy nie może nawiązać połączenia zwrotnego do aplikacji Webex. W przypadku testowych wybierania numerów urządzenia te muszą być zarejestrowane jako lokalny identyfikator URI SIP lub miejsce inne niż aplikacja Webex. Jeśli system pokojów Active Directory, którego szukasz, jest zarejestrowany w usłudze Webex, a ten sam adres e-mail znajduje się na urządzeniu Webex Room Device, urządzeniu Desk lub Webex Board dla usługi kalendarza, wyniki wyszukiwania nie wyświetlają zduplikowanego wpisu. Urządzenie Room, Desk lub Board jest wybierane bezpośrednio w aplikacji Webex, a połączenie SIP nie jest nawiązywane.
Wysyłanie raportów e-mail dotyczących wyników synchronizacji katalogów
Domyślnie kontakty lub administratorzy organizacji zawsze otrzymują powiadomienia e-mail. Dzięki temu ustawieniu możesz określić, kto powinien otrzymywać powiadomienia e-mail podsumowujące raporty synchronizacji katalogów.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja, a następnie wybierz pozycję Powiadomienia. |
| 2 |
W Łączniku usług katalogowych kliknij pozycję Ustawienia, a obok pozycji Odbiornik wiadomości e-mail włącz synchronizację raportu. |
| 3card symbol |
Zaznacz opcję Włącz powiadomienia, jeśli chcesz zastąpić domyślne działanie powiadomień i dodać jednego lub więcej odbiorców wiadomości e-mail. |
| 4 |
Kliknij przycisk Dodaj, a następnie wprowadź adres e-mail. W przypadku wprowadzenia adresu e-mail o nieprawidłowym formacie zostanie wyświetlony komunikat z prośbą o naprawienie problemu, zanim będzie można zapisać i zastosować zmiany. |
| 5. |
Kliknij Dodaj adres e-mail, a następnie wprowadź adres e-mail. W przypadku wprowadzenia adresu e-mail o nieprawidłowym formacie zostanie wyświetlony komunikat z prośbą o naprawienie problemu, zanim będzie można zapisać i zastosować zmiany. |
| 6 |
Jeśli chcesz edytować wprowadzone adresy e-mail, kliknij dwukrotnie wpis e-mail w lewej kolumnie, a następnie wprowadź niezbędne zmiany. |
| 7 |
Po dodaniu wszystkich prawidłowych adresów e-mail kliknij opcję Zastosuj. |
| 8 |
Po dodaniu wszystkich prawidłowych adresów e-mail kliknij przycisk Zapisz. |
Co zrobić dalej
Jeśli zdecydowano, że chcesz usunąć adresy e-mail, możesz kliknąć wiadomość e-mail, aby zaznaczyć ten wpis, a następnie kliknąć opcję Usuń.
Jeśli zdecydowano, że chcesz usunąć adresy e-mail, możesz kliknąć przycisk Usuń obok określonych wpisów adresu e-mail.
Aprowizacja Użytkowników Z Usługi Active Directory Do Control Hub
Wykonaj poniższe czynności, aby skonfigurować użytkowników usługi Active Directory i utworzyć odpowiadające im konta użytkowników w Control Hub. Po zainstalowaniu łącznika usług katalogowych dla każdej domeny można skonfigurować użytkowników z wdrożenia usługi Active Directory w wielu domenach (z jednym lub wieloma lasami). Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Celem jest dokładne dopasowanie między aktywnymi katalogami a chmurą Webex.
| 1 |
Wykonywanie synchronizacji próbnej na użytkownikach usługi Active Directory Przeprowadź przebieg próbny, aby porównać obiekty w lokalnej usłudze Active Directory z obiektami w chmurze Webex. Przebieg próbny pozwala zobaczyć, które obiekty zostaną dodane, zmodyfikowane lub usunięte, zanim uruchomisz pełną lub stopniową synchronizację i zatwierdzisz zmiany w chmurze. |
| 2 |
Wykonaj pełną synchronizację użytkowników usługi Active Directory z chmurą Po uruchomieniu pełnej synchronizacji usługa łącznika wysyła wszystkie odfiltrowane obiekty z usługi Active Directory (AD) do chmury. Usługa łącznika aktualizuje następnie magazyn tożsamości za pomocą wpisów usługi AD. Jeśli utworzono szablon automatycznego przypisywania licencji, możesz przypisać go do nowo zsynchronizowanych użytkowników. |
| 3card symbol |
Przypisz usługi Webex do użytkowników zsynchronizowanych z katalogiem w Control Hub Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych w Control Hub można przypisać licencje usług Webex przy użyciu różnych metod. Zalecamy skonfigurowanie szablonu automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory. Po tym początkowym kroku można również wprowadzić indywidualne zmiany. |
Wykonywanie synchronizacji próbnej na użytkownikach usługi Active Directory
Przeprowadź przebieg próbny, aby porównać obiekty w lokalnej usłudze Active Directory z obiektami w chmurze Webex. Przebieg próbny pozwala zobaczyć, które obiekty zostaną dodane, zmodyfikowane lub usunięte, zanim uruchomisz pełną lub stopniową synchronizację i zatwierdzisz zmiany w chmurze.
Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Dzięki Łącznikowi usług katalogowych celem jest dokładne dopasowanie między Active Directories a chmurą Webex.
Jeśli w jednym lub wielu lasach znajduje się wiele domen, wykonaj ten krok w każdym wystąpieniu łącznika usług katalogowych Cisco, które zainstalowałeś dla każdej domeny Active Directory.
Przed rozpoczęciem
Przed użyciem łącznika usług katalogowych niektórzy użytkownicy aplikacji Webex mogą już znajdować się w Control Hub. Wśród użytkowników w chmurze niektórzy mogą pasować do lokalnego obiektu Active Directory i mieć przypisane licencje na usługi. Ale niektóre z nich mogą być użytkownikami testowymi, których chcesz usunąć podczas synchronizacji. Należy utworzyć dokładne dopasowanie między usługą Active Directory i Control Hub.
| 1 |
Wybierz jedną z nich:
Po zakończeniu przebiegu próbnego zostanie wyświetlony jeden z następujących wyników:
Podsumowanie zawiera informacje o dopasowywaniu obiektów:
Przebieg próbny identyfikuje użytkowników poprzez porównanie ich z użytkownikami domeny. Aplikacja może zidentyfikować użytkowników, jeśli należą do bieżącej domeny. W następnym kroku musisz zdecydować, czy usunąć obiekty, czy zachować je. Niedopasowane obiekty są identyfikowane jako istniejące już w chmurze Webex, ale nie istnieją w lokalnej usłudze Active Directory. |
| 2 |
Przejrzyj wyniki uruchomienia próbnego, a następnie wybierz opcję w zależności od tego, czy korzystasz z jednej czy wielu domen:
|
| 3card symbol |
W wierszu Potwierdź przebieg próbny kliknij przycisk Tak, aby ponowić synchronizację przebiegu próbnego i wyświetl pulpit nawigacyjny, aby zobaczyć wyniki. Wszystkie konta, które zostały pomyślnie zsynchronizowane w przebiegu próbnym, pojawiają się w sekcji Dopasowane obiekty. Jeśli użytkownik w chmurze nie ma odpowiadającego użytkownika z tym samym adresem e-mail w usłudze Active Directory, pozycja ta znajduje się w sekcji Usunięci użytkownicy. Aby uniknąć tej flagi usuwania, możesz dodać użytkownika w usłudze Active Directory z tym samym adresem e-mail. Aby wyświetlić szczegóły zsynchronizowanych elementów, kliknij odpowiednią kartę dla określonych elementów lub Dopasowane obiekty. Aby zapisać informacje podsumowania, kliknij opcję Zapisz wyniki w pliku. |
| 4 |
Jeśli oczekiwane wyniki są oczekiwane, przejdź do , a następnie kliknij przycisk Włącz teraz, aby wykonać synchronizację ręczną i uruchomić w tym momencie tryb ręczny. Po wykonaniu synchronizacji w ostatniej domenie Active Directory w wdrożeniu wielu domen należy włączyć tryb automatyczny dla łącznika usług katalogowych. Tryb automatyczny można włączyć tylko wtedy, gdy obiekty są całkowicie dopasowane między chmurą Webex a wszystkimi lokalnymi aktywnymi katalogami. |
Co zrobić dalej
-
W przypadku jakichkolwiek zachowanych niedopasowanych obiektów użytkownika należy je dodać do usługi Active Directory, aby istniało dokładne dopasowanie między środowiskiem lokalnym a chmurą.
-
Wybierz typ synchronizacji:
-
Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut (w wersjach 3.4 i starszych) lub co 4 godziny (w wersjach 3.5 i nowszych), ale można zmienić tę wartość. Synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji.
-
Jeśli masz wiele domen, powtórz te kroki na każdym innym zainstalowanym łączniku usług katalogowych.
O czym należy pamiętać
-
Przeprowadź przebieg próbny przed włączeniem pełnej synchronizacji lub zmianą parametrów synchronizacji. Jeśli przebieg próbny został zainicjowany przez zmianę konfiguracji, można zapisać ustawienia po jego ukończeniu. Jeśli użytkownicy zostali już dodani ręcznie, synchronizacja z usługą Active Directory może spowodować usunięcie poprzednio dodanych użytkowników. Przed pełną synchronizacją z chmurą można sprawdzić raporty Dry Run łącznika usług katalogowych, aby sprawdzić, czy wszyscy oczekiwani użytkownicy są obecni.
-
Jeśli dopasowani użytkownicy są oznaczeni jako usunięci i nie masz pewności, jak kontynuować, zapoznaj się z informacjami o rozwiązywaniu problemów i jak skontaktować się z pomocą techniczną w sekcji Rozwiązywanie problemów i poprawki dotyczące łącznika usług katalogowych.
Usunięci użytkownicy są przechowywani w usłudze tożsamości w chmurze przez 7 dni przed ich trwale usunięciem.
Wykonaj pełną synchronizację użytkowników usługi Active Directory z chmurą
Po uruchomieniu pełnej synchronizacji usługa łącznika wysyła wszystkie odfiltrowane obiekty z usługi Active Directory (AD) do chmury. Usługa łącznika aktualizuje następnie magazyn tożsamości za pomocą wpisów usługi AD. Jeśli utworzono szablon automatycznego przypisywania licencji, możesz przypisać go do nowo zsynchronizowanych użytkowników.
Jeśli masz wiele domen, wykonaj ten krok w każdym wystąpieniu łącznika usług katalogowych, które zainstalowałeś dla każdej domeny Active Directory.
Łącznik usług katalogowych synchronizuje stan konta użytkownika — w usłudze Active Directory wszyscy użytkownicy oznaczeni jako wyłączeni są również wyświetlani jako nieaktywni w chmurze.
Przed rozpoczęciem
-
Jeśli chcesz, aby konta użytkowników aplikacji Webex były w stanie Aktywne po pełnej synchronizacji i przed pierwszym zalogowaniem się użytkowników, musisz wykonać następujące czynności, aby pominąć sprawdzanie poprawności wiadomości e-mail:
-
Zintegruj jednokrotne logowanie ze swoją organizacją Webex. Patrz
Jednokrotne logowanie przy użyciu usług Cisco Webex i dostawcy tożsamości organizacji
aby uzyskać więcej informacji. -
Za pomocą Control Hub można zweryfikować i opcjonalnie zgłosić domeny zawarte w adresach e-mail. Patrz
Dodawanie, weryfikowanie i zgłaszanie praw do domen
. -
Pomijaj automatyczne zaproszenia e-mail, aby nowi użytkownicy nie otrzymywali automatycznego zaproszenia e-mail do aplikacji Webex. (Możesz wykonać własną kampanię wiadomości e-mail).
Aktywowani użytkownicy, którzy nie zalogowali się, są wyświetlani ze stanem Zweryfikowany w Control Hub. Po zalogowaniu się są wyświetlane jako Aktywne. Aby uzyskać więcej informacji o stanach użytkowników, zobacz Stany i czynności użytkowników w Cisco Webex Control Hub.
-
-
Po włączeniu synchronizacji łącznik usług katalogowych prosi o najpierw uruchomienie próbne. Zalecamy uruchomienie próbne przed pełną synchronizacją w celu wykrycia potencjalnych błędów.
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
Jeśli nie używasz szablonów automatycznego przypisywania licencji, nowo zsynchronizowani użytkownicy automatycznie otrzymają darmowe licencje. Użytkownicy będą mogli korzystać z tych samych bezpłatnych funkcji, co w przypadku bezpłatnych kont.
| 1 |
Wybierz jedną z nich:
|
| 2 |
W Directory Connector przejdź do pozycji Synchronizuj, kliknij więcej |
| 3card symbol |
Potwierdź rozpoczęcie synchronizacji. W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany do 72 godzin po wykonaniu synchronizacji. Możesz spróbować wyczyścić lokalną pamięć podręczną aplikacji Webex, wykonując następujące czynności: Windows lub Mac.
|
| 4 |
Kliknij przycisk Odśwież, jeśli chcesz zaktualizować stan synchronizacji. (Zsynchronizowane elementy są wyświetlane w obszarze Statystyki chmury). |
| 5. |
Aby uzyskać informacje o błędach, wybierz pozycję Uruchom przeglądarkę zdarzeń na pasku narzędzi Czynności, aby wyświetlić dzienniki błędów. |
| 6 |
Aby ustawić harmonogram synchronizacji dla bieżących synchronizacji przyrostowych z chmurą, zobacz Ustawianie harmonogramu łącznika i Uruchamianie synchronizacji przyrostowej. |
-
Po zakończeniu pełnej synchronizacji stan synchronizacji katalogów zostanie zaktualizowany z Wyłączony na Działający na stronie Ustawienia w Control Hub.
-
Gdy wszystkie dane zostaną dopasowane między środowiskiem lokalnym a chmurą, łącznik usług katalogowych zmienia się z trybu ręcznego na tryb automatycznej synchronizacji.
-
Jeśli nie zintegrujesz jednokrotnego logowania, zweryfikujesz domeny i opcjonalnie zgłosisz domeny dla zsynchronizowanych kont e-mail oraz wyłączysz automatyczne wiadomości e-mail, konta użytkowników aplikacji Webex pozostają w stanie Niezweryfikowany do czasu, aż użytkownicy po raz pierwszy zalogują się do aplikacji Webex w celu potwierdzenia swoich kont. Wskazówki na temat synchronizowania kont jako Aktywnych użytkowników można znaleźć w sekcji Przed rozpoczęciem.
-
Jeśli masz wiele domen, wykonaj ten krok przy użyciu dowolnego innego łącznika usług katalogowych, który został zainstalowany. Po synchronizacji użytkownicy we wszystkich dodanych domenach są wyświetlani w Control Hub.
-
Jeśli zintegrowano jednokrotne logowanie z usługą Webex i zablokowano powiadomienia e-mail, zaproszenia e-mail nie będą wysyłane do nowo zsynchronizowanych użytkowników.
-
Po włączeniu łącznika usług katalogowych nie można ręcznie dodawać użytkowników w Control Hub. Po włączeniu tej opcji zarządzanie użytkownikami jest wykonywane za pomocą łącznika usług katalogowych Cisco, a usługa Active Directory jest jedynym źródłem prawdy.
-
Wszystkie zsynchronizowane grupy są wyświetlane w portalu Control Hub i można przypisać szablon licencji, dzięki czemu użytkownikom w tej grupie zostaną przypisane licencje.
Co zrobić dalej
-
Usunięcie użytkownika z usługi Active Directory powoduje jego miękkie usunięcie po następnej synchronizacji. Użytkownik staje się nieaktywny, ale profil tożsamości w chmurze jest przechowywany przez siedem dni (aby umożliwić odzyskanie po przypadkowym usunięciu).
Jeśli zaznaczysz opcję Konto jest wyłączone w usłudze Active Directory, użytkownik staje się Nieaktywny po następnej synchronizacji. Profil tożsamości w chmurze nie zostanie usunięty po siedmiu dniach, na wypadek, gdy chcesz ponownie włączyć użytkownika.
-
Zwróć uwagę na następujące wyjątki od synchronizacji przyrostowej (zamiast tego wykonaj pełne czynności synchronizacji powyżej):
-
W przypadku zaktualizowanego awatara, ale bez żadnej innej zmiany atrybutu, synchronizacja przyrostowa nie aktualizuje awatara użytkownika do chmury.
-
Zmiany konfiguracji mapowania atrybutów, podstawowej nazwy DN, filtru i ustawienia awatara wymagają pełnej synchronizacji.
-
Przypisz usługi Webex do użytkowników zsynchronizowanych z katalogiem w Control Hub
Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych Cisco w Control Hub możesz użyć narzędzia Control Hub, aby przypisać te same licencje usługi Webex jednocześnie wszystkim użytkownikom lub dodać dodatkowe licencje nowym użytkownikom, jeśli skonfigurowano już szablon licencji przypisanych automatycznie. Po tym początkowym kroku można wprowadzić zmiany na koncie poszczególnych użytkowników.
Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych w Control Hub możesz użyć metod w Control Hub, aby globalnie przypisywać licencje usług Webex do wszystkich użytkowników, użytkowników indywidualnych, za pomocą zbiorczego szablonu CSV lub automatycznie do nowych użytkowników, jeśli został już skonfigurowany szablon automatycznego przypisywania licencji. Po tym początkowym kroku można wprowadzić zmiany na koncie poszczególnych użytkowników.
Gdy przypiszesz licencję użytkownikowi aplikacji Webex, ten użytkownik domyślnie otrzymuje wiadomość e-mail potwierdzającą przypisanie. Wiadomość e-mail jest wysyłana przez usługę powiadomień w Control Hub. Jeśli zintegrowano logowanie jednokrotne (SSO) z organizacją Webex, możesz również wyłączyć te automatyczne powiadomienia e-mail, jeśli wolisz bezpośrednio kontaktować się z użytkownikami.
Przed rozpoczęciem
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
-
Wykonaj synchronizację przebiegu próbnego u użytkowników usługi Active Directory.
-
Po potwierdzeniu wyników przebiegu próbnego wykonaj pełną synchronizację użytkowników usługi Active Directory.
W momencie pełnej synchronizacji użytkownik jest tworzony w chmurze, nie są dodawane żadne przypisania usług, a aktywacyjna wiadomość e-mail nie jest wysyłana. Jeśli wiadomości e-mail nie zostaną zablokowane, nowi użytkownicy otrzymają aktywacyjną wiadomość e-mail podczas przypisywania usług do użytkowników za pomocą standardowej metody zarządzania użytkownikami w Control Hub, takiej jak importowanie pliku CSV, ręczna aktualizacja użytkownika lub poprzez pomyślne ukończenie automatycznego przypisywania.
| 1 |
W widoku klienta w witrynie https://admin.webex.com przejdź do sekcji , kliknij opcję Zarządzaj użytkownikami, wybierz opcję Modyfikuj zsynchronizowanych użytkowników i kliknij przycisk Dalej. |
| 2 |
Wybierz opcję: |
Co zrobić dalej
-
Jeśli wiadomości e-mail nie są blokowane, do każdego użytkownika wysyłana jest wiadomość e-mail z zaproszeniem do dołączenia i pobrania usługi Webex.
-
Jeśli wybrano te same usługi Webex dla wszystkich użytkowników, następnie można zmienić licencje przypisane indywidualnie lub zbiorczo.
Znane problemy z łącznikiem usług katalogowych
-
W wersjach Windows Server wcześniejszych niż 2012 R2 wystąpił problem z plikami cookie, który wpływa na łącznik usług katalogowych. Ten problem został rozwiązany w wersjach 2012 R2 i 2016.
-
W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany po 72 godzinach od wykonania synchronizacji.
Możesz spróbować wyczyścić lokalną pamięć podręczną aplikacji Webex, wykonując następujące czynności: Windows lub Mac.
-
Gdy użytkownik korzysta z aplikacji Webex na komputerze lub urządzeniu przenośnym, aby wyszukać i nawiązać połączenie z pokojem, który ma tylko zsynchronizowany identyfikator URI SIP, wówczas połączenie będzie dzwonić w tej chwili bez końca.
Zarządzanie użytkownikami aplikacji Webex
Uruchom synchronizację przyrostową
Synchronizacja przyrostowa wysyła zapytanie do usługi Active Directory i szuka zmian, które wystąpiły od czasu ostatniej synchronizacji. Ten krok następnie łączy te zmiany i wysyła je do usługi łącznika. Zmiany obejmują modyfikację atrybutów użytkowników oraz sposób dodawania lub usuwania użytkownika.
Ta synchronizacja nie nakłada tak dużego obciążenia na serwery i nie zajmuje tyle czasu, co pełna synchronizacja. Po wykonaniu początkowej pełnej synchronizacji zalecamy opcję przyrostową dla kolejnych synchronizacji.
Przed rozpoczęciem
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
-
Zwróć uwagę na następujące wyjątki, których synchronizacja przyrostowa nie obsługuje (zamiast tego zobacz Wykonaj pełną synchronizację użytkowników usługi Active Directory do chmury ):
-
W przypadku zaktualizowanego awatara, ale bez żadnej innej zmiany atrybutu, synchronizacja przyrostowa nie aktualizuje awatara użytkownika do chmury.
-
W przypadku nowych zmian konfiguracji mapowania atrybutów, podstawowej nazwy domeny, filtru i ustawienia awatara synchronizacja przyrostowa nie będzie działać i wymagają one pełnej synchronizacji.
-
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. Po włączeniu synchronizacji łącznik usług katalogowych prosi o najpierw uruchomienie próbne. |
| 2 |
W obszarze Czynności kliknij kolejno opcje Tryb synchronizacji > Włącz synchronizację , jeśli nie jest jeszcze włączony. Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut (w wersjach 3.4 i starszych) lub co 4 godziny (w wersjach 3.5 i nowszych), ale można zmienić tę wartość. Synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji. Po upływie nowego interwału czasu przyrostowego program sprawdza zmiany na podstawie ostatniego znacznika czasu. |
| 3 |
W sekcji Czynności kliknij kolejno opcje Synchronizuj teraz > Przyrostowe. W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany po 72 godzinach od wykonania synchronizacji.
|
| 4 |
Aby uzyskać informacje o błędach, kliknij opcję Uruchom przeglądarkę zdarzeń na pasku narzędzi Czynności , aby wyświetlić dzienniki błędów. |
Co zrobić dalej
Jeśli masz wiele domen, wykonaj ten krok w innych zainstalowanych wystąpieniach łącznika usług katalogowych.
Odzyskaj przypadkowo usuniętych użytkowników
Łącznik usług katalogowych udostępnia mechanizmy kontroli i równowagi, aby zapobiec niezamierzonemu usunięciu użytkowników. Niestety zdarzają się wypadki; być może nieprawidłowo skonfigurowałeś filtr LDAP w Active Directory, który usuwał niektórych użytkowników podczas synchronizacji z chmurą. Funkcja miękkiego usuwania może pomóc Ci wyjść z tych awarii i przywrócić konta użytkowników w Control Hub.
Domyślnie ta funkcja jest włączona dla wszystkich organizacji. Gdy użytkownicy zostaną usunięci z chmury, na przykład z powodu problemu z niedopasowanym obiektem po synchronizacji z łącznika usług katalogowych, użytkownicy mogą zostać odzyskani. Jeśli zauważyłeś niedopasowane obiekty lub zauważyłeś, że użytkownicy zostali usunięci, możesz być w stanie je odzyskać, jeśli zachowasz się szybko.
Użytkownicy są oznaczani jako nieaktywni w Control Hub, gdy odpowiednie konta zostaną usunięte z usługi Active Directory. Usługa chmury w tle zachowuje użytkowników przez maks. 7 dni. W tym okresie nadal będzie można korzystać z łącznika usług katalogowych Cisco do odzyskiwania użytkowników. Zalecamy jak najszybsze odzyskanie tych użytkowników.
Użytkownicy wyłączeni w usłudze Active Directory są również oznaczani jako nieaktywni w portalu Control Hub, ale konto użytkownika nie zostanie usunięte po 7 dniach.
| 1 |
Zaloguj się do centrum sterowania. |
| 2 |
Przejdź do opcji Użytkownicy i potwierdź, czy określone konto użytkownika jest w stanie Nieaktywne, czy nie jest wymienione na liście. Aby uzyskać więcej informacji, zobacz Stany i czynności użytkowników w Control Hub. |
| 3 |
Jeśli użytkownicy zostali usunięci w Control Hub lub zauważysz użytkowników w stanie nieaktywnym, przejdź do usługi Active Directory, dodaj brakujące konta użytkowników, a następnie wykonaj synchronizację przebiegu próbnego w łączniku usług katalogowych. Celem łącznika usług katalogowych jest stworzenie dokładnego dopasowania informacji o użytkownikach w usłudze Active Directory i w chmurze. |
| 4 |
Wykonaj pełną synchronizację, aby ponownie zsynchronizować tymczasowo usunięte konta użytkowników z Control Hub. Nastąpi odzyskanie użytkowników i przejście do stanu pierwotnego, w tym stanu konta i przypisań usług. |
Co zrobić dalej
Wróć do usługi Control Hub, wybierz kolejno opcje i upewnij się, że wcześniej usunięte konta użytkowników pojawiają się na liście użytkowników.
Trwałe usuwanie użytkowników po usunięciu programowym
Po wykonaniu przebiegu próbnego można zdecydować się na trwałe usunięcie użytkowników, którzy zostali miękko usunięci podczas następnej synchronizacji.
| 1 |
Po zakończeniu przebiegu próbnego wybierz pozycję Obiekty usunięte programowo. |
| 2 |
Zaznacz pole wyboru obok użytkowników, których chcesz usunąć. |
| 3 |
Wybierz opcję Gotowe. |
Co zrobić dalej
Podczas następnej synchronizacji zaznaczeni użytkownicy zostaną trwale usunięci.
Zmienianie adresu e-mail aplikacji Webex
Jeśli chcesz zmienić adresy e-mail użytkowników, a Twoja organizacja korzysta z Directory Connector, zmień te adresy e-mail w usłudze Active Directory. Ta procedura obejmuje sposób zmiany adresu e-mail aplikacji Webex dla pojedynczej domeny oraz proces zmiany domeny.
Jeśli chcesz zmienić adres e-mail lub jakąś wartość tylko dla jednego użytkownika, nie usuwaj go z usługi Active Directory, a następnie odtwórz nowy przy użyciu tego samego adresu e-mail. Chmura interpretuje tę czynność jako nowe konto użytkownika, a obszary użytkownika i inne dane w chmurze zostaną utracone.
Directory Connector nie ogranicza zmiany domeny e-mail. Jednak gdy użytkownik ponownie zsynchronizuje się z chmurą, stan użytkownika jest zależny od tego, czy nowa domena jest zweryfikowana w organizacji. Jeśli domena nie jest zweryfikowana w organizacji, stan użytkownika zmieni się na Oczekiwanie po pełnej synchronizacji. Aby uzyskać więcej informacji, zobacz Zarządzanie swoimi domenami.
Jeśli Twoja organizacja nie korzysta z łącznika usług katalogowych, adresy e-mail aplikacji Webex można zmienić na stronie ustawień konta. Aby uzyskać informacje na temat kroków, które użytkownicy mogą wykonać, aby zmienić swoje adresy e-mail, zobacz Zmiana adresu e-mail konta .
Zmiana domeny Active Directory
Ta procedura służy do tworzenia nowych domen i adresów e-mail. Są one synchronizowane z usługą tożsamości w chmurze.
| 1 |
Skonfiguruj nową domenę usługi Active Directory (AD). |
| 2 |
Wyłącz synchronizacje we wszystkich konektorach. |
| 3 |
Odinstaluj wszystkie łączniki. |
| 4 |
Otwórz sprawę, aby zmienić domenę. W zgłoszeniu sprawy poproś o usunięcie konfiguracji domeny i wszystkich atrybutów synchronizacji w organizacji. Przed otwarciem sprawy w celu zmiany domeny upewnij się, że nie uruchomiono synchronizacji. Nie zmieniaj żadnych adresów e-mail użytkowników w usłudze Active Directory, dopóki sprawa nie zostanie rozwiązana. |
| 5 |
Po rozstrzygnięciu sprawy: Przed wykonaniem rzeczywistej synchronizacji uruchom test z łącznikiem usług katalogowych. |
Roszczenie do domeny
Roszczenie o domenę pojawia się, jeśli zgłaszasz prawa do domeny e-mail dla organizacji, aby dowolne konto dołączone było tworzone w płatnej organizacji klienta, a nie w bezpłatnej organizacji konsumenckiej. Prawo do domeny można zgłosić tylko w przypadku pomocy technicznej (więcej informacji można znaleźć pod poniższym linkiem).
Jeśli Directory Connector jest aktywny, a domena została zgłoszona, konta współbieżne nie są tworzone ani w organizacji klienta, ani w bezpłatnej organizacji konsumenckiej. Tylko Directory Connector może aprowizować konta organizacji z usługi Active Directory. Informacje przechowywane w usłudze Active Directory są oryginalnym źródłem. Podczas próby dołączenia konta zaproszony użytkownik otrzyma błąd. Jedynym sposobem, w jaki zaproszony użytkownik może zostać dodany do obszaru aplikacji Webex, jest najpierw użycie łącznika usług katalogowych w celu zainicjowania obsługi konta w Control Hub.
Konwertowanie użytkowników bezpłatnej aplikacji Webex w organizacji zsynchronizowanej z katalogami
Można używać wyłącznie unikatowych adresów e-mail w katalogu aplikacji Webex. Jeśli Twoi użytkownicy zarejestrowali się w bezpłatnej wersji aplikacji Webex, ich konto istnieje w bezpłatnej organizacji konsumenckiej. Aby zarządzać użytkownikami w tej organizacji przy użyciu łącznika usług katalogowych, przed włączeniem łącznika usług katalogowych należy przeprowadzić migrację (przekonwertować) ich do organizacji klienta. Następnie dodajesz użytkowników do usługi Active Directory przy użyciu dokładnego adresu e-mail, a następnie synchronizujesz je z chmurą.
Jeśli nie przekonwertujesz kont przed aktywacją, wyłącz łącznik usług katalogowych, aby je przekonwertować.
Jeśli próbujesz przekonwertować użytkownika, gdy synchronizacja katalogu jest włączona, nie można przekonwertować komunikatu o błędzie . Aby uniknąć problemu, możesz wykonać poniższe czynności jako obejście.
Niektórzy zgłoszeni użytkownicy mogą wyświetlić się z atrybutem movedfrom podczas uruchamiania próbnego. Ci użytkownicy będą na liście Usunięty obiekt zamiast MismatchedObject. Musisz dodać tych użytkowników do listy AD, jeśli chcesz przenieść ich do swojej organizacji.
Jeśli nie dodasz tych użytkowników, wszyscy zostaną usunięci obok Ciebie zsynchronizowani z chmurą.
| 1 |
Wyłącz synchronizację katalogu z łącznika usług katalogowych. |
| 2 |
Postępuj zgodnie z procedurą Konwertuj użytkowników bez licencji w Control Hub , aby przekonwertować użytkownika z bezpłatnej organizacji konsumenckiej na organizację firmową. Ten krok dodaje użytkownika do organizacji, a konto pojawi się w Control Hub. Łącznik usług katalogowych sprawia, że Active Directory jest jedynym źródłem prawdy dla kont użytkowników, a celem jest dokładne dopasowanie usług Active Directory i Control Hub. Przed ponownym włączenia synchronizacji upewnij się, że w usłudze Active Directory są pasujący użytkownicy dla wszystkich ostatnio przekonwertowanych użytkowników. Synchronizacja Suchego Przebiegu może być użyta, aby upewnić się, że nie ma już niezrównanych użytkowników. |
| 3 |
W konektorze usług katalogowych wykonaj synchronizację przebiegu próbnego. Po zakończeniu prowadzenia na sucho sprawdź kartę Dodaj obiekty. Sprawdź, czy przekonwertowani użytkownicy nie zostaną usunięci. Przed ponownym włączeniem synchronizacji należy wykonać przebieg próbny, aby upewnić się, że wszystkie skonwertowane konta użytkowników pojawiają się w usłudze Active Directory. Jeśli włączysz synchronizację, a konta znajdują się tylko w Control Hub, Łącznik usług katalogowych rozróżnia wielkość liter i usunie skonwertowanych użytkowników, których wykryje z niedopasowanymi adresami e-mail (na przykład user1@example.com i User1@example.com). Jeśli którykolwiek z skonwertowanych użytkowników zostanie usunięty, tracą oni wszystkie obszary aplikacji Webex. |
| 4 |
Jeśli masz pewność, że następna synchronizacja nie usunie żadnych kont, włącz ponownie synchronizację katalogu z łączników usług katalogowych. |
Przekonwertowane konta użytkowników nie są aktywowane automatycznie, jeśli domena nie została zweryfikowana. Jeśli na przykład włączono szablon automatycznego przypisywania licencji, a następnie włączono Łącznik usług katalogowych bez weryfikacji domeny, skonwertowani użytkownicy są nieaktywni w zapleczu chmury, dopóki nie potwierdzą swoich adresów e-mail.
Boczne konta użytkowników aplikacji Webex
Gdy zaprosisz innego użytkownika do obszaru w aplikacji Webex, jeśli zaproszony użytkownik nie ma konta aplikacji Webex, zostanie dla niego utworzone konto („współdzielone”). Domyślnie konta utworzone w ten sposób są dodawane do bezpłatnej organizacji konsumenckiej.
Jeśli chcesz zarządzać kontem dołączonym przy użyciu Directory Connector, musisz przekonwertować konto.
Zmiana formatu nazwy użytkownika aplikacji Webex po synchronizacji katalogu
Domyślnie łącznik usług katalogowych mapuje atrybut displayName w usłudze Active Directory na atrybut displayName w chmurze.
Po wykonaniu synchronizacji katalogu może okazać się, że nazwy użytkowników są wyświetlane w formacie .
Ta nazwa użytkownika może być wyświetlana, jeśli atrybut displayName w usłudze Active Directory jest skonfigurowany w ten sposób. Gdy atrybut jest mapowany na displayName w chmurze, nazwy są wyświetlane w formacie w Control Hub.
Aby zmienić format, na ekranie mapowania atrybutów łącznika usług katalogowych: mapuje atrybut usługi Active Directory givenName sn (lub sn givenName) na displayName w nazwach atrybutów w chmurze Cisco.
Alternatywnie, mapuj atrybut sn givenName na displayName:
Możesz również użyć opcji Dostosuj atrybut, jeśli chcesz zmapować własne wyrażenie atrybutu niestandardowego na displayName.
Na przykład wprowadź givenName + "" + sn (imię, spacja, nazwisko) jako wyrażenie. Spowoduje to mapowanie dwóch atrybutów w usłudze Active Directory na adres displayName w chmurze.
Zezwalaj użytkownikom na zmianę nazw wyświetlanych w spotkaniach Webex
Możesz usunąć mapowanie atrybutu displayName z synchronizowania z chmurą w Łączniku usług katalogowych, jeśli chcesz zezwolić użytkownikom na edycję ich preferowanych nazw wyświetlanych. Użytkownicy mogą wprowadzić nazwę wyświetlaną, która ma być wyświetlana podczas spotkań Webex zamiast swojego imienia i nazwiska. Administratorzy mogą również ręcznie zmienić nazwę wyświetlaną użytkownika w Control Hub.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja , a następnie wybierz pozycjęMapowanie atrybutów użytkownika. |
| 2 |
Wybierz opcję displayName w obszarze Nazwa atrybutu chmury Cisco. |
| 3 |
Wybierz opcję Nie synchronizuj tego atrybutu. |
Co zrobić dalej
Użytkownicy mogą teraz edytować swoje nazwy wyświetlane w witrynie Webex.
Rozwiązywanie problemów z łącznikiem usług katalogowych
Uaktualnij do najnowszej wersji oprogramowania
Aby zapewnić zgodność wdrożenia i uzyskać najnowsze funkcje, funkcjonalności, poprawki błędów i ulepszenia zabezpieczeń, należy zawsze uaktualnić łącznik usług katalogowych do najnowszej wersji. Jeśli nie nastąpi aktualizacja do najnowszej dostępnej wersji, mogą wystąpić problemy, takie jak brak prawidłowej synchronizacji łącznika usług katalogowych lub uruchomienie wersji, która nie obsługuje obowiązkowego wymagania TLS 1.2.
Directory Connector automatycznie powiadamia o dostępności nowej wersji. Zawsze uaktualniaj do najnowszej wersji, aby uniknąć problemów. Na pasku zadań systemu Windows wyświetlane jest również powiadomienie.
Chociaż można ręcznie zainstalować aktualizacje oprogramowania łącznika, zalecamy wykonanie czynności opisanych w części Ustawianie automatycznych uaktualnień , aby umożliwić aplikacji automatyczne zarządzanie uaktualnieniami.
| 1 |
Aby rozpocząć proces uaktualniania, kliknij powiadomienie na pasku zadań systemu Windows lub kliknij prawym przyciskiem myszy ikonę Łącznik usług katalogowych na pasku zadań systemu Windows. |
| 2 |
Postępuj zgodnie z instrukcjami, aby wykonać uaktualnienie. |
| 3 |
Uruchom ponownie łącznik i zaloguj się przy użyciu poświadczeń administratora. |
| 4 |
Sprawdź numer wersji oprogramowania w sekcji . |
Co zrobić dalej
Aby przeprowadzić nową instalację łącznika usług katalogowych, można pobrać plik zip , a następnie wykonać czynności instalacji opisane w tym podręczniku.
Konfigurowanie ustawień ogólnych dla Directory Connector
Ta procedura służy do konfigurowania ustawień ogólnych, takich jak nazwa serwera obsługującego Łącznik usług katalogowych, poziomy dzienników, automatyczne uaktualnienia i preferowane ustawienia kontrolerów domen. Nazwa łącznika jest wyświetlana na pulpicie nawigacyjnym w sekcji łączniki wraz z innymi działającymi łącznikami.
| 1 |
W Directory Connector przejdź do sekcji Konfiguracja, a następnie kliknij przycisk General (Ogólne). |
| 2 |
W polu Nazwa łącznika wprowadź nazwę łącznika. To pole zawiera tylko nazwę komputera, na którym obecnie działa łącznik. |
| 3 |
Wybierz poziom dziennika z listy rozwijanej. Domyślnie poziom dziennika jest ustawiony na informacje. Dostępne poziomy dziennika są następujące:
Te ustawienia mają wpływ na wysyłany pocztą e-mail raport synchronizacji. Jeśli ustawisz poziom dziennika na Błąd, w raporcie synchronizacji będą zgłaszane tylko błędy. Jeśli nie istnieją błędy, raport synchronizacji nie zostanie wysłany. Zmień ustawienie na Informacje, a następnie po pełnej synchronizacji będą wyświetlane raporty synchronizacji. (Należy pamiętać, że w przypadku synchronizacji przyrostowej nie są wysyłane żadne raporty, jeśli nie zgłoszono żadnych błędów). |
| 4 |
Wybierz preferowane kontrolery domen , aby ustawić kolejność kontrolerów domen do synchronizowania tożsamości. Dostęp do kontrolerów domeny odbywa się od góry do dołu. Jeśli górny kontroler jest niedostępny, wybierz drugi kontroler z listy. Jeśli na liście nie ma żadnego kontrolera, można uzyskać dostęp do głównego kontrolera. |
| 5 |
Zaznacz opcję Automatycznie uaktualnij do nowej wersji Cisco Directory Connector , jeśli chcesz dokonać automatycznych uaktualnień. Zawsze ważne jest, aby oprogramowanie Cisco Directory Connector było aktualne do najnowszej wersji. Zalecamy sprawdzenie tego ustawienia, aby umożliwić cichą instalację automatycznych aktualizacji oprogramowania, gdy jest dostępne. |
| 6 |
Zaznacz opcję LDAP przez SSL , aby używać bezpiecznego protokołu LDAP (LDAPS) jako protokołu połączenia. Jeśli nie zaznaczysz opcji LDAP przez SSL, łącznik usług katalogowych nadal będzie używał protokołu połączeń LDAP. Protokół połączeń LDAP (Lightweight Directory Application Protocol) i Secure LDAP (LDAPS) to protokoły połączeń używane między aplikacją a kontrolerem domeny w ramach infrastruktury. Komunikacja LDAPS jest szyfrowana i zabezpieczona. |
Skonfiguruj zasady łączników
Możesz ustawić maksymalną liczbę usunięć, które mogą wystąpić podczas synchronizacji. Uruchomiona synchronizacja nie usuwa obiektów z lokalnej usługi Active Directory. Wszystkie obiekty są usuwane tylko z chmury.
Na przykład ustawiono 1 jako wartość wyzwalacza progu usunięcia. Jeśli podczas synchronizacji pełnej lub przyrostowej liczba użytkowników, których chcesz usunąć, jest większa niż wartość ustawienia, łącznik usług katalogowych wyświetla ostrzeżenie. Jeśli klikniesz Zastąp próg, możesz pomyślnie rozpocząć synchronizację przyrostową lub pełną, ale przy następnym uruchomieniu zasad zobaczysz to powiadomienie o zastąpieniu.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja, a następnie wybierz pozycję Zasady. |
| 2 |
Zaznacz pole Włącz usuwanie wyzwalacza progu , jeśli chcesz dodać wyzwalacz progu. Wybranie tej opcji wyzwala alert, jeśli liczba usunięć przekroczy próg. Gdy konto usuwania przekracza wartość zdefiniowaną, synchronizacja nie powiedzie się.
|
| 3 |
Wprowadź maksymalną liczbę żądanych usunięć. Wartość domyślna to 20. Zalecamy, aby nie zwiększać wartości domyślnej. |
| 4 |
Kliknij przycisk Zastosuj. |
Ustaw harmonogram łącznika
Ustaw czas synchronizacji w usłudze Active Directory. Przełączenie awaryjne służy do zapewnienia wysokiej dostępności (HA). Jeśli jedno złącze nie działa, przełączamy się na inne złącze rezerwowe po wstępnie zdefiniowanym interwale.
| 1 |
W Directory Connector kliknij pozycję Konfiguracja, a następnie wybierz pozycję Harmonogram. |
| 2 |
Określ Interwał synchronizacji przyrostowej w minutach. Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut. Pełna synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji. |
| 3 |
Jeśli chcesz zmienić częstotliwość wysyłania raportów, zmień wartość Wysyłaj raporty według czasu . |
| 4 |
Zaznacz opcję Włącz harmonogram pełnej synchronizacji , aby określić dni i godziny, w których ma nastąpić pełna synchronizacja. |
| 5 |
Określ interwał przełączania awaryjnego w minutach. |
| 6 |
Kliknij przycisk Zastosuj. |
Scenariusze wielu domen
Wiele domen jest opartych na priorytecie domeny. W przypadku obiektów, które mają tę samą wartość klucza w różnych domenach, po synchronizacji dane z domeny o wyższym priorytecie ponownie zapisują dane z domeny o niższym priorytecie.
Obiekty o tej samej wartości klucza są połączone w jeden rekord w bazie danych.
Wartością klucza w przypadku „Użytkownik” jest Adres e-mail, natomiast wartością klucza w przypadku „Grupa” jest Nazwa grupy.
Przykładowy przypadek użycia dla wielu domen
W tym przykładzie założono organizację z dwiema domenami — example1.com i example2.com, w kolejności priorytetów.
-
Dodaj użytkownika 1 (e-mail: użytkownik@przyklad1.com) do usługi Active Directory z przyklad1.com.
-
Dodaj grupę1 (nazwa grupy: Testuj) do usługi Active Directory example1.com.
-
Dodaj użytkownika 2 (e-mail: użytkownik@przyklad2.com) do usługi Active Directory na stronie przyklad2.com.
-
Dodaj grupę2 (nazwa grupy: Testuj) w usłudze Active Directory example2.com.
- Synchronizacja na przykładzie1.com
-
W przypadku użycia użytkownicy2 i group2 są zsynchronizowani z chmurą i wyświetlani w menu https://admin.webex.com, podczas gdy user1 i group1 nie są.
Jeśli na przykład wykonasz synchronizację pełną lub przyrostową 1.com, użytkownik1 i group1 zostaną zsynchronizowane. Ponadto użytkownicy2 i group2 są zastępowane informacjami o użytkowniku1 i group1.
Użytkownik1 łączy użytkownika2 z tym samym rekordem w bazie danych; group1 łączy group2 z tym samym rekordem w bazie danych.
- Synchronizacja w przykładzie1.com i przykładzie2.com
-
W przypadku użycia użytkownicy2 i group2 są zsynchronizowani z chmurą i wyświetlani w menu https://admin.webex.com, podczas gdy user1 i group1 nie są.
Należy rozważyć następujące czynności:
- Usuń użytkownika1 i grupę1 z usługi Active Directory, na przykład1.com.
- Wykonaj synchronizację pełną lub przyrostową, na przykład 1.com.
Wynik: informacje o użytkowniku nie zostały zmienione w sekcji https://admin.webex.com. Użytkownik2 nie jest połączony z użytkownikiem1, a grupa2 nie jest połączona z grupą1.
- Wykonaj synchronizację przyrostową, na przykład 2.com.
Wynik: informacje o użytkowniku nie zostały zmienione w sekcji https://admin.webex.com.
- Wykonaj pełną synchronizację na przykład 2.com.
Wynik: Informacje o użytkownikach2 i grupie2 są wyświetlane w sekcji https://admin.webex.com.
Synchronizowanie nowej domeny I zachowywanie istniejącej domeny
Jeśli chcesz zsynchronizować nową domenę (B) przy jednoczesnym utrzymaniu zsynchronizowanych danych użytkownika w innej istniejącej domenie (A), upewnij się, że zainstalowano synchronizację łącznika usług katalogowych dla domeny (B) na obsługiwanym serwerze Windows. Konektor łączy się z nową domeną po początkowej konfiguracji, a informacje o użytkowniku w domenie (A) pozostają niezmienione.
Każda domena musi mieć własny aktywny łącznik. Rozważ dwie domeny z następującą konfiguracją: domena A z łącznikami (ca1) i (ca2) dla lokalnej wysokiej dostępności (HA); domena B z łącznikiem (cb1). (ca1)i (ca2) obsługują domenę A. W tym scenariuszu jeden łącznik jest aktywny, a drugi jest w trybie gotowości (HA). W tym projekcie domena jest zsynchronizowana, ponieważ jeden łącznik jest zawsze aktywny. Tak więc cb1 jest aktywnym łącznikiem dla domeny B, ponieważ domena A ma już aktywny łącznik (ca1 lub ca2).
Ustawianie priorytetu domeny
Ta procedura umożliwia zmianę priorytetu domen Active Directory. Priorytet domeny pozwala określić domenę podstawową, domenę dodatkową itd. Pomaga to, gdy dwóch użytkowników z dwóch różnych domen ma tę samą wartość e-mail zsynchronizowaną z jedną organizacją.
Nie należy korzystać z tej procedury, jeśli w łączniku usług katalogowych jest widoczna jedna domena. Jeśli spróbujesz, łącznik wyświetli komunikat z informacją, że priorytet domeny nie jest wymagany.
Przed rozpoczęciem
Aby uniknąć błędów, zainstaluj lub zaktualizuj łącznik usług katalogowych Cisco do najnowszej wersji. Należy ją pobrać z https://admin.webex.com.
| 1 |
W łączniku usług katalogowych Cisco kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Ustaw priorytet domeny. |
| 3 |
Zaznacz jedną domenę na liście, kliknij przycisk W górę lub W dół, aby zmienić priorytet tej domeny, a następnie kliknij przycisk Zapisz , aby zapisać tę zmianę. Domeny są posortowane według priorytetu od góry do dołu. |
Przełącz domeny
Ta procedura umożliwia ponowne powiązanie łącznika usług katalogowych Cisco z inną domeną.
Przed rozpoczęciem
-
Przed przełączeniem domen upewnij się, że nie są uruchomione żadne zadania synchronizacji.
-
Aby uniknąć błędów, zainstaluj lub zaktualizuj łącznik usług katalogowych Cisco do najnowszej wersji. Należy go pobrać z Control Hub.
| 1 |
W łączniku usług katalogowych Cisco kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Przełącz domenę. |
| 3 |
Jeśli rozumiesz wpływ tej zmiany na Twoje wdrożenie po przeczytaniu przestrogi, a mimo to masz pewność, kliknij przycisk Tak. Po przełączeniu domeny nastąpi wylogowanie z bieżącego łącznika usług katalogowych Cisco, inne domeny w łączniku zostaną wyrejestrowane, a informacje o łączniku na tym komputerze zostaną usunięte. |
| 4 |
Zaloguj się ponownie do łącznika usług katalogowych Cisco i ponownie powiąż domenę. |
Wyłącz synchronizację katalogu
Jeśli musisz zatrzymać synchronizację z łącznika usług katalogowych, możesz ją tymczasowo wyłączyć w Control Hub.
| 1 |
W widoku klienta na stronie https://admin.webex.com wybierz kolejno pozycje , przewiń do pozycji Synchronizacja katalogu i wybierz jedną z nich:
|
| 2 |
Po przeczytaniu monitu kliknij opcję Wyłącz. Synchronizacja zatrzymuje się do czasu ponownego włączenia jej z poziomu łącznika usług katalogowych. |
Usuń mapowanie atrybutów użytkownika
Użyj łącznika usług katalogowych, aby usunąć mapowanie atrybutów Active Directory wcześniej zmapowanych do chmury i zsynchronizowanych z Webex. Po usunięciu mapowania atrybutów wartości atrybutów zostaną usunięte z chmury i nie będą już synchronizowane z usługą Webex. Wartości te można następnie edytować ręcznie.
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Narzędzia > Usuń mapowanie atrybutów użytkownika . |
| 3 |
Wybierz mapowanie, które chcesz usunąć z listy Nazwa atrybutu . |
| 4 |
W obszarze Zakres użytkownika, którego to dotyczy, wybierz jedną z następujących opcji:
|
| 5 |
Kliknij przycisk Zastosuj. |
Zarządzaj zdjęciami profilowymi
Użyj łącznika usług katalogowych, aby zaktualizować zdjęcia profilowe użytkownika lub usunąć puste zdjęcia profilowe użytkownika.
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania , a następnie kliknij kolejno opcje. |
| 3 |
W obszarze Czynności wybierz jedną z następujących opcji:
|
| 4 |
Kliknij przycisk Zastosuj. |
Odinstaluj i dezaktywuj łącznik usług katalogowych
Po odinstalowaniu wystąpienia łącznika usług katalogowych należy je wyrejestrować. Całkowicie usuń łącznik usług katalogowych dla każdego z poniższych scenariuszy:
-
Nie chcesz już korzystać z synchronizacji katalogu.
-
Nie chcesz korzystać z jednego z wielu łączników usług katalogowych (wysoka dostępność).
-
Chcesz zmienić domenę i zainstalować inny łącznik.
Przed rozpoczęciem
-
W systemie może być skonfigurowanych wiele wystąpień łącznika usług katalogowych dla wysokiej dostępności (HA) lub wielu synchronizacji domen. Wyłącz synchronizację, jeśli odinstalowujesz jedyne lub ostatnie pozostałe wystąpienie łącznika usług katalogowych.
-
Przed odinstalowaniem łącznika usług katalogowych zapisz i zamknij wszystkie ważne prace.
| 1 |
Na komputerze z systemem Windows przejdź do Panelu sterowania, a następnie kliknij pozycję Programy i funkcje. |
| 2 |
Z listy programów kliknij pozycję Łącznik usług katalogowych, wybierz pozycję Odinstaluj, a następnie postępuj zgodnie z monitami. Aby dokończyć odinstalowanie, może być konieczne ponowne uruchomienie systemu. |
| 3 |
W widoku klienta na stronie https://admin.webex.com wybierz kolejno pozycje , przewiń do pozycji Synchronizacja katalogu, kliknij pozycję Więcej |
| 4 |
Po przeczytaniu monitu kliknij opcję Dezaktywuj. Jeśli w środowisku o wysokiej dostępności (HA) nie ma innego łącznika usług katalogowych, konta użytkowników nie są już synchronizowane. |
Uruchamianie narzędzia diagnostycznego
Do rozwiązania problemów z wdrożeniem łącznika usług katalogowych można użyć wbudowanego narzędzia diagnostycznego. Narzędzie to jest instalowane jako część łącznika usług katalogowych w wersji 3.4.
Jeśli synchronizacja nie działała prawidłowo, może wystąpić błąd konfiguracji lub sieci. To narzędzie testuje połączenie z LDAP, dzięki czemu możesz samodzielnie zdiagnozować błędy przed skontaktowaniem się z pomocą techniczną. Jeśli narzędzie zwróci jakikolwiek błąd, można wysłać szczegółowe wyniki dziennika do obsługi.
-
Aby uruchomić testy usług domeny Active Directory:
-
Aby uruchomić testy usług katalogowych Active Directory:
-
Aby uruchomić testy protokołu Lightweight Directory Access Protocol (LDAP):
Rozwiązywanie problemów z łącznikiem usług katalogowych Ciso
Rozwiązywanie problemów i poprawki dotyczące łącznika usług katalogowych
W łączniku usług katalogowych może pojawić się komunikat o błędzie lub inny problem. Ponadto, po zsynchronizowaniu przez łącznik usług katalogowych informacji o użytkownikach, łącznik może wysłać Ci raport e-mail z listą wszelkich problemów z synchronizacją. Informacje o występujących problemach, ich możliwych przyczynach i proponowanych rozwiązaniach można znaleźć w poniższych sekcjach.
Instaluj
Łącznik usług katalogowych przestał działać
Otrzymano wiadomości e-mail z powiadomieniem, że Twój łącznik usług katalogowych nie działa.
-
Łącznik usług katalogowych może nie być poprawnie zainstalowany.
-
Łącznik usług katalogowych może nie być uruchomiony.
-
Sieć może być niedostępna.
Wykonaj następujące czynności:
-
Otwórz . Odszukaj łącznik usług katalogowych. Jeśli go tam nie ma, pobierz najnowszą wersję z Control Hub i zainstaluj ją.
-
Otwórz usługę i znajdź usługę Cisco DirSync. Upewnij się, że wyświetlany jest stan Rozpoczęte. Jeśli usługa jest zatrzymana, kliknij prawym przyciskiem myszy i wybierz opcję Rozpocznij, aby ponownie uruchomić usługę.
-
Upewnij się, że serwer, na którym zainstalowano łącznik usług katalogowych, ma dostęp do Internetu.
Błąd ponownej instalacji
Problem — jeśli natychmiast zainstalujesz nowy łącznik po odinstalowaniu starego, może zostać wyświetlony komunikat o błędzie.
Możliwa przyczyna — w systemie Windows Server 2012 odinstalowywanie klienta wymaga czasu na usunięcie konta usługi z listy usług.
Rozwiązanie — po pewnym czasie spróbuj zainstalować ponownie.
Zaloguj
Łącznik usług katalogowych ulega awarii podczas logowania SSO
Problem
Po wprowadzeniu adresu e-mail ze strony logowania jednokrotnego może się zawiesić Łącznik usług katalogowych.
Rozwiązanie
Wykonaj następujące czynności:
Wykonaj poniższe czynności, aby skonfigurować zasady nowej grupy:
-
Przejdź do kontrolera domeny i otwórz Zarządzanie zasadami grupy (gpedit.msc).
-
Kliknij prawym przyciskiem myszy określony OU lub domenę, a następnie wybierz opcję Utwórz GPO w tej domenie, a następnie Połącz go tutaj
-
Nadaj nazwę zasadom, a następnie kliknij prawym przyciskiem myszy i wybierz opcję Edytuj.
Wykonaj poniższe czynności, aby zmienić zasady na poziomie maszyny:
-
Przejdź do , kliknij prawym przyciskiem myszy pozycję Rejestr, wybierz opcję Nowy, a następnie Element rejestru.
-
W polu Ścieżka klucza wprowadź lub przejdź do HKEY_LOCAL_\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Wprowadź
Disable Script Debuggerdla wartości i wprowadźNiedla danych wartości.Ustawienia powinny być zgodne z tym zrzutem ekranu:
Aby zmienić zasady na poziomie użytkownika, wykonaj następujące czynności:
-
Przejdź do , kliknij prawym przyciskiem myszy pozycję Rejestr, wybierz opcję Nowy, a następnie Element rejestru.
-
W polu Ścieżka klucza wprowadź lub przejdź do HKEY_BIEŻĄCY_UŻYTKOWNIK\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Wprowadź
Disable Script Debuggerdla wartości i wprowadźNiedla danych wartości.Ustawienia powinny być zgodne z tym zrzutem ekranu:
Zmiany wchodzą w życie po uruchomieniu gpupdate /force, ponownym uruchomieniu maszyny (w przypadku zmian maszyny) lub ponownym zalogowaniu użytkownika (w przypadku zmian użytkownika).
Nie można zarejestrować łącznika usług Cisco DirSync
Problem
Logowanie nie powiedzie się i pojawia się następujący komunikat: „Nie można zarejestrować łącznika usług Cisco DirSync”.
Rozwiązanie
System Windows, w którym zainstalowany jest łącznik usług katalogowych, musi być członkiem usługi Active Directory.
Nie pojawia się strona logowania
Problem
Otwarto łącznik usług katalogowych, a strona logowania nie została wyświetlona.
Rozwiązanie
Wykonaj następujące czynności:
-
W programie Internet Explorer przejdź do obszaru https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Wypróbuj to łącze w innych przeglądarkach, takich jak Chrome i Firefox.
-
Jeśli program Internet Explorer nie może odwiedzić łącza, ale inne przeglądarki mogą, sprawdź ustawienia programu Internet Explorer i zaznacz pola wyboru TLS 1.1 i 1.2. (Użyj procedury Włącz TLS w przeglądarce Internet Explorer ).
Pojawi się monit o zalogowanie
Problem
Zostanie wyświetlony monit z prośbą o podanie nazwy użytkownika i hasła w celu przejścia uwierzytelniania.
Możliwa przyczyna
Łącznik usług katalogowych cicho uzupełnia uwierzytelnianie zabezpieczeń NTLM kontem logowania. Jeśli uwierzytelnienie się nie powiedzie, zostanie wyświetlone okno dialogowe z prośbą o nazwę użytkownika i hasło uwierzytelniania.
Rozwiązanie
Gdy pojawi się okno podręczne logowania, w celu zapewnienia bezpieczeństwa należy podać prawidłowe konto z poprawnym uwierzytelnieniem.
Nie można połączyć się ze zdalnym serwerem
Problem
W trakcie normalnej pracy pojawia się komunikat o błędzie "Nie można połączyć się ze zdalnym serwerem".
Możliwa przyczyna
Mogą wystąpić problemy z serwerem proxy, które trzeba rozwiązać.
Rozwiązanie
Więcej informacji na temat rozwiązywania problemów z logowaniem do konta usługi zawiera temat Rozwiązywanie problemów z logowaniem do konta usługi.
Nie można zarejestrować łącznika
Problem
Zostanie wyświetlony komunikat o błędzie „Nie można zarejestrować łącznika. Wystąpił ogólny wyjątek”.
Możliwa przyczyna
W większości przypadków problem jest taki, że łącznik usług katalogowych nie ma uprawnień do łączenia się z kontekstem głównym LDAP.
Rozwiązanie
Wykonaj następujące czynności:
-
Uruchom monit z poleceniem (cmd), a następnie wprowadź ldp.exe.
-
Kliknij kolejno opcje , wybierz opcję Powiązanie jako aktualnie zalogowanego użytkownika, a następnie kliknij przycisk OK.
-
Kliknij kolejno opcje i wprowadź DC=arbonneintl,DC=ad jako BaseDN, a następnie kliknij OK.
-
Jeśli problem będzie nadal występował, otwórz sprawę w dziale pomocy technicznej.
Synchronizacja
Awatary niezsynchronizowane
Problem
Łącznik usług katalogowych Cisco synchronizował dane użytkowników AD z chmurą Webex. Nie zsynchronizowano jednak żadnych danych awatara.
Możliwa przyczyna
Jeśli ponownie użyłeś istniejącego serwera awatara, a awatary użytkowników zostały już zsynchronizowane, lokalna pamięć podręczna przechwytuje je i zapobiega ponownemu wysyłaniu, aby oszczędzać przepustowość.
Rozwiązanie
Usuń lokalną pamięć podręczną, wykonując następujące czynności:
-
Przejdź do C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Usuń DirSyncPluginAvatar.dll-cache.bin.
-
Uruchom ponownie synchronizację awatara z poziomu łącznika usług katalogowych Cisco.
Sprzeczne konta e-mail użytkowników
Problem
Wyniki synchronizacji mogą wskazywać sprzeczne konta e-mail użytkowników.
-
Jeśli użytkownicy wypróbowali bezpłatną wersję aplikacji Webex, ich adresy e-mail znajdują się w bezpłatnej organizacji konsumenckiej.
-
Czy adresy e-mail użytkowników były kiedykolwiek synchronizowane w innej organizacji.
-
jeśli adresy e-mail użytkowników istnieją w wielu domenach należących do organizacji.
Rozwiązanie
Wykonaj następujące czynności:
-
Jeśli próbujesz zgłosić użytkowników, wykonaj następujące czynności:
-
Upewnij się, że zweryfikowano domenę w Control Hub.
-
Całkowicie wyłącz łącznik usług katalogowych Cisco.
-
Użyj opcji Zgłoś użytkownika w Control Hub, aby zgłosić wszystkie konta, które mogą istnieć w bezpłatnej organizacji konsumenckiej. Aby uzyskać więcej informacji, zobacz Zgłaszanie użytkowników do organizacji (konwertowanie użytkowników) .
-
Przeprowadź przebieg próbny w łączniku usług katalogowych Cisco, a następnie ponownie włącz synchronizację katalogów
-
-
W ostatnim przypadku należy dwukrotnie sprawdzić dane użytkowników ze źródeł usługi Active Directory.
Skonwertowany użytkownik oznaczony jako nieaktywny
Problem
W środowisku zsynchronizowanym z katalogiem przekonwertowano użytkownika bezpłatnego (organizacji konsumenckiej) na organizację firmową, ale przekonwertowany użytkownik nie może zalogować się do aplikacji Webex.
Możliwa przyczyna
Gdy użytkownik bezpłatny zostanie przekonwertowany na organizację firmową, jest on oznaczany jako nieaktywny przez 30 dni jako środek dotyczący zgodności z przepisami bezpieczeństwa. W tym okresie użytkownik nie może zalogować się do aplikacji Webex i jest oznaczany do usunięcia po upływie 30-dniowego okresu. Wynika to z faktu, że informacje o użytkowniku w wersji bezpłatnej nie znajdują się w usłudze Active Directory.
Rozwiązanie
Musisz podjąć działania, jeśli nie chcesz usunąć konta użytkownika. Aby rozwiązać ten problem, utwórz konto użytkownika w usłudze Active Directory w siedzibie, które odpowiada skonwertowanemu bezpłatnemu konwertowanemu kontowanemu koncie użytkownika. Następnie wykonaj synchronizację z poziomu łącznika usług katalogowych Cisco. Wówczas użytkownik będzie mógł ponownie zalogować się do aplikacji Webex, a konto nie zostanie usunięte.
Synchronizacja przyrostowa nie powiodła się
Problem
Synchronizacja przyrostowa nie powiodła się.
Ten problem może wystąpić w systemie Windows Server 2008 R2 w następujących warunkach:
-
Obsługiwane są aktualizacje wartości przyrostowych.
-
Używany filtr odwołuje się do atrybutu wartości połączonej.
-
Wartości wyników tego atrybutu były aktualizowane od czasu ostatniej pełnej synchronizacji.
Rozwiązanie
W systemie Windows Server 2008 R2 występuje błąd związany z tym problemem. Błąd został naprawiony w 2012 r2 i później. Zalecamy uaktualnienie serwera Windows do co najmniej 2012 R2.
Nieprawidłowa wartość atrybutu
Problem
W przypadku atrybutu [user dn (nazwa wyróżniająca)] atrybut [nazwa atrybutu] ma następującą nieprawidłową wartość [wartość atrybutu].
Możliwa przyczyna
Dla CN=b,OU=Pracownicy,OU=C Użytkownicy,DC=c,DC=com atrybut [numer telefonu] ma następującą nieprawidłową wartość: +. Ten atrybut musi zawierać co najmniej jedną cyfrę.
Rozwiązanie
Atrybut tego użytkownika nie ma prawidłowej wartości. Napraw wartość zgodnie z opisem w komunikacie ostrzegawczym. Następnie wykonaj inną synchronizację.
Dopasowani użytkownicy do usunięcia
Problem
Dopasowani użytkownicy są oznaczani jako usunięci.
Podczas wykonywania synchronizacji przebiegu próbnego w celu sprawdzenia danych między usługą Active Directory a chmurą, w obu przypadkach może być widoczny ten sam adres e-mail. Użytkownik jest jednak oznaczany jako obiekt, który ma zostać usunięty.
Rozwiązanie
Wybierz odpowiednią poprawkę:
-
Jeśli usunięcie użytkownika i powtórzyć licencje po jego zakończeniu, możesz użyć łącznika usług katalogowych do naprawienia. Wykonaj synchronizację, aby usunąć użytkownika, a następnie wykonaj inną synchronizację, aby zsynchronizować użytkownika z lokalnej usługi AD z chmurą.
-
Jeśli nie możesz usunąć i odtworzyć konta użytkownika, otwórz sprawę w dziale pomocy technicznej.
Brak atrybutu
Problem
Wymagany atrybut [attribute_name] podczas dodawania wpisu lokalnego [user dn (nazwa wyróżniająca)]. Wpis nie zostanie utworzony w Control Hub, dopóki wszystkie wymagane atrybuty nie będą miały wartości.
Możliwa przyczyna
Brak wymaganego adresu e-mail atrybutu. Podczas dodawania wpisu lokalnego [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local] wpis nie zostanie utworzony w Control Hub, dopóki wszystkie wymagane atrybuty nie będą miały wartości.
Rozwiązanie
Brakuje jednego z wymaganych atrybutów użytkownika [user_email_address]. Podaj wymagane wartości dla tego użytkownika.
Grupa zagnieżdżona nie zostanie zsynchronizowana
Problem
Użytkownicy w zagnieżdżonej grupie Active Directory nie są prawidłowo synchronizowani z chmurą.
Możliwa przyczyna
Używany jest filtr zawierający zarówno grupę podrzędną, jak i grupę nadrzędną, co nie jest obsługiwane. Na przykład: (memberof=CN=testgroup1,CN=użytkownicy,DC=rktest2008,DC=org)
Rozwiązanie
Należy ponownie skonfigurować filtr, który synchronizuje grupy. Na przykład: |(memberof=CN=testgroup1,CN=użytkownicy,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=użytkownicy,DC=rktest2008,DC=org)
Konflikt nazewnictwa użytkowników
Problem
Wystąpił konflikt nazw dla [user dn] dla istniejącego obiektu wpisu w chmurze o nazwie: [adres e-mail użytkownika] i typ użytkownika [user_type].
Możliwa przyczyna
Użytkownik o tym adresie e-mail już istnieje w Control Hub.
Rozwiązanie
Utwórz użytkownika w usłudze Active Directory z tym samym adresem e-mail, co konto zarejestrowane w Control Hub.
Control Hub
Brak listy użytkowników w Control Hub
Problem
Jeśli masz organizację Webex z ponad 1000 zsynchronizowanymi użytkownikami, lista użytkowników może nie być widoczna w Control Hub.
Rozwiązanie
Za pomocą funkcji wyszukiwania można znaleźć konto użytkownika. W Control Hub przejdź do strony Użytkownicy, kliknij pozycję Szukaj , a następnie wprowadź kryteria wyszukiwania, aby zlokalizować określonego użytkownika.
Grupy nie zostaną zsynchronizowane z Control Hub
Problem
Użytkownicy w grupie książki adresowej nie będą prawidłowo synchronizowani z Control Hub.
Możliwa przyczyna
Grupa nie jest oznaczona jako isCriticalSystemObject w usłudze Active Directory.
Rozwiązanie
Upewnij się, że atrybut isCriticalSystemObject jest ustawiony na TRUE w Active Directory.
Włącz rozwiązywanie problemów z łącznikiem usług katalogowych
Możesz włączyć rozwiązywanie problemów, aby pomóc zdiagnozować wszelkie błędy napotkane w łączniku usług katalogowych. Rozwiązywanie problemów umożliwia przechwytywanie informacji o ruchu w sieci i zapisywanie ich w pliku.
Pliki dziennika, które są: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Uruchom plik |
| 2 |
Uruchom ponownie usługę. Wskazówki zawiera temat Jak uruchamiać usługi . |
| 3 |
W Łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 4 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Narzędzia > Rozwiązywanie problemów . |
| 5 |
Po włączeniu funkcji rozwiązywania problemów należy powtórzyć czynności, które powodowały błąd. Przechwytuje to dane o ruchu, aby można je było zbadać. |
| 6 |
Sprawdź pliki dzienników: Jeśli plik jest pusty, upewnij się, że konto ma uprawnienia dostępu do usług AD DS lub AD LDS. W folderze dzienników są zapisywane tylko pliki przez ostatnie 3 dni. Zawartość w plikach dziennika jest zgodna z emisją dziennika zdarzeń do systemu. |
| 7 |
W razie potrzeby wyślij plik dziennika, aby uzyskać pomoc. |
| 8 |
Po zakończeniu wyłącz funkcję rozwiązywania problemów. |
Uruchom przeglądarkę zdarzeń
Aby zobaczyć zdarzenia, które wystąpiły podczas pełnej lub stopniowej synchronizacji, uruchom przeglądarkę zdarzeń. Zawiera on podsumowanie zdarzeń administracyjnych i dzienników błędów.
| 1 |
W Directory Connector przejdź do Dashboard, a następnie kliknij kolejno opcje . W oknie dialogowym Właściwości zdarzenia są wyświetlane szczegóły zdarzenia synchronizacji i szczegóły błędu. |
| 2 |
W Podglądzie zdarzeń przejdź do .
|
| 3 |
W obszarze Czynności kliknij pozycję Zapisz wszystkie zdarzenia jako , aby wyeksportować wszystkie dzienniki jako pojedynczy plik zdarzeń (*.evtx) lub inny format, taki jak xml lub csv. |
Co zrobić dalej
Jeśli chcesz otworzyć zgłoszenie, skontaktuj się z pomocą techniczną, opisz problem z łącznikiem, a następnie załącz plik Events do zgłoszenia.
Dzienniki zdarzeń przechwytują czynności użytkownika. Aby uzyskać pomoc w zarządzaniu ruchem sieciowym, włącz rozwiązywanie problemów z konektorem.
Włączanie protokołu TLS w przeglądarce Internet Explorer
W przypadku przełączenia dostawców jednokrotnego logowania (SSO) mogą zostać wyświetlone następujące komunikaty o błędach łącznika usług katalogowych Cisco:
-
Wystąpił błąd podczas logowania do usługi
-
Na tej stronie wystąpił błąd w skrypcie
Jeśli pojawią się te błędy, należy włączyć ustawienie TLS w przeglądarce.
| 1 |
Otwórz Internet Explorer, a następnie wybierz pozycję Narzędzia. Zaznacz pola wyboru wersji TLS/SSL, którą chcesz włączyć. Kliknij przycisk OK Zamknij przeglądarkę i otwórz ją ponownie. |
| 2 |
Kliknij pozycję Opcje internetowe , przejdź do sekcji Zaawansowane , przewiń do sekcji Zabezpieczenia. |
| 3 |
Zaznacz pola wyboru Użyj protokołu TLS 1.1 i Użyj protokołu TLS 1.2 , a następnie kliknij przycisk OK.
|
| 4 |
Aby zmiany odniosły skutek, uruchom ponownie system. |
Rozwiązywanie problemów z logowaniem do konta usługi
Jeśli nie możesz zalogować się do łącznika usług katalogowych Cisco lub nie możesz uruchomić synchronizacji, wykonaj poniższe czynności, aby spróbować rozwiązać problem przed skontaktowaniem się z pomocą techniczną.
| 1 |
Spróbuj odwiedzić witrynę https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL w przeglądarce internetowej. |
| 2 |
Wybierz jedną z nich, w zależności od wyników:
|
| 3 |
Należy upewnić się co najmniej, że skonfigurowane konto dla usługi Cisco DirSync (które można znaleźć w usługach systemu Windows) ma poziom uprawnień umożliwiający dostęp do danych awatara i danych usługi AD. Domyślnie usługa wykorzystuje poświadczenia logowania do konta systemu Windows oraz uwierzytelnianie. |
Sprawdź SafeDllSearchMode w rejestrze systemu Windows
Tryb wyszukiwania biblioteki łączy dynamicznych (DLL) jest domyślnie ustawiony w rejestrze systemu Windows i umieszcza bieżący katalog użytkownika w kolejności wyszukiwania DLL. Jeśli ten tryb został w jakiś sposób wyłączony, napastnik może umieścić złośliwy plik DLL (o nazwie takiej samej jak plik DLL znajdujący się w folderze systemowym) do bieżącego katalogu roboczego aplikacji.
Zazwyczaj SafeDllSearchMode jest włączony, ale ta procedura służy do podwójnego sprawdzenia ustawień rejestru.
Przed rozpoczęciem
Zmiany w rejestrze systemu Windows należy przeprowadzać z dużą ostrożnością. Zalecamy, aby przed wykonaniem tych czynności wykonać kopię zapasową rejestru.
| 1 |
W oknie wyszukiwania systemu Windows lub oknie Uruchom wpisz regedit , a następnie naciśnij Enter. |
| 2 |
Przejdź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wybierz jedną z nich:
|
Aby uzyskać więcej informacji, zobacz Kolejność wyszukiwania biblioteki dynamicznych łączy.
Omówienie łącznika usług katalogowych Cisco
Omówienie łącznika usług katalogowych
Łącznik usług katalogowych to lokalna aplikacja do synchronizacji tożsamości z chmurą. Pobierz oprogramowanie łącznika z Control Hub i zainstaluj je na komputerze lokalnym.
Dzięki Directory Connector możesz utrzymywać konta użytkowników i dane w Active Directory, dzięki czemu Active Directory staje się jedynym źródłem prawdy. Zmiana wprowadzona lokalnie jest replikowana w chmurze.
Zobacz wszystkie funkcje, opisy i korzyści w tabeli:
| Funkcja | Opis i korzyści |
|---|---|
| Łatwy w użyciu pulpit nawigacyjny | Pulpit nawigacyjny zawiera harmonogram synchronizacji, podsumowanie oraz stan synchronizacji oraz stan Directory Connector. Konsolę można wyświetlić w dowolnym momencie logowania. |
| Uruchom próbne przed synchronizacją z chmurą | Przeprowadź przebieg próbny zmian w katalogu, zanim zostaną zaimplementowane w chmurze. Następnie uruchom raport, aby sprawdzić, czy zmiany, które chcesz wprowadzić, są zgodne z oczekiwaniami. |
| Synchronizacja pełna i przyrostowa | Synchronizuj cały katalog. Lub po prostu zsynchronizuj zmiany przyrostowe, aby zaoszczędzić moc przetwarzania i skrócić czas synchronizacji. |
|
Synchronizowanie wielu domen (pojedynczego lasu lub wielu lasów) |
Directory Connector obsługuje wiele domen w ramach jednego lasu lub wielu lasów (bez konieczności korzystania z usługi AD LDS). W przypadku przedsiębiorstw z wieloma domenami Active Directory możesz zainstalować łącznik usług katalogowych dla każdej domeny, powiązać każdą domenę z organizacją, a następnie zsynchronizować każdą bazę użytkowników z usługą Webex. Control Hub odzwierciedla stan, pokazując stan synchronizacji dla wielu łączników usług katalogowych, umożliwia wyłączenie synchronizacji dla określonej domeny i dezaktywację łącznika usług katalogowych w wdrożeniu o wysokiej dostępności. |
| Zaplanowana synchronizacja | Ustaw harmonogram synchronizacji według dnia, godziny i minuty. |
| Filtry LDAP (Lightweight Directory Access Protocol) | Zdefiniuj kryteria wyszukiwania LDAP i zapewnij wydajny import. |
| Mapowanie atrybutów Active Directory | Mapuj atrybuty usługi Microsoft Active Directory do odpowiednich atrybutów chmury Webex. Można mapować atrybuty, które są istotne dla konfiguracji usługi Active Directory, a także definiować atrybuty niestandardowe w celu mapowania na chmurę. Atrybuty z lokalizacji lokalnych tworzą różne dane w chmurze, takie jak dane konta użytkownika, numery telefonów korporacyjnych w aplikacji Webex Teams, adresy SIP zasobów pokoju i inne dane kart kontaktów użytkownika (stanowisko, dział, menedżer itd.). |
|
Firmowa książka telefoniczna dla lokalnych zasobów pokojów oraz użytkowników i kontaktów korporacyjnych Cisco Webex Calling (w chmurze PSTN) bez licencji Webex |
Jeśli część organizacji korzysta z chmury PSTN Cisco Webex Calling dla usługi połączeń lub masz lokalne urządzenia Room, ta funkcja umożliwia użytkownikom wyszukiwanie w katalogu kontaktów korporacyjnych na podstawie telefonów Cisco Webex Calling (chmura PSTN) lub zasobów Room.
|
| Przeglądarka zdarzeń | Użyj przeglądarki zdarzeń, aby sprawdzić, czy nie wystąpiły problemy z synchronizacją. |
| Narzędzie diagnostyczne i rozwiązywanie problemów | Możesz użyć wbudowanego narzędzia diagnostycznego do rozwiązywania problemów z wdrożeniem Cisco Directory Connector. Jeśli synchronizacja nie działała prawidłowo, może wystąpić błąd konfiguracji lub sieci. Narzędzie testuje połączenie z usługą Active Directory, aby można było samodzielnie zdiagnozować błędy przed skontaktowaniem się z pomocą techniczną. Po włączeniu rozwiązywania problemów w łączniku usług katalogowych tworzone są dzienniki, które można wysłać do pomocy technicznej. |
| Automatyczne uaktualnianie | Po zainstalowaniu Directory Connector wysyłane jest powiadomienie, gdy dostępna jest nowa wersja oprogramowania. Możesz skonfigurować automatyczne uaktualnianie, aby zawsze korzystać z najnowszej wersji oprogramowania podczas wydania nowej wersji. |
| Wysoka dostępność | Skonfiguruj wiele złączy, aby istniała kopia zapasowa, na wypadek awarii głównego złącza lub maszyny hostującej. |
Łącznik usług katalogowych dzieli się na trzy obszary:
-
Control Hub to pojedynczy interfejs, który umożliwia zarządzanie wszystkimi aspektami organizacji Webex: wyświetlanie użytkowników, przypisywanie licencji, pobieranie łącznika usług katalogowych i konfigurowanie jednokrotnego logowania (SSO) , jeśli chcesz, aby użytkownicy uwierzytelniali się za pośrednictwem swojego korporacyjnego dostawcy tożsamości i nie chcesz wysyłać zaproszeń e-mail do aplikacji Webex.
-
Interfejs zarządzania łącznikiem usług katalogowych to oprogramowanie, które można pobrać z Control Hub i zainstalować na zaufanym serwerze Windows. W przypadku wielu domen Active Directory można zainstalować jedną instancję oprogramowania dla każdej domeny, którą chcesz zsynchronizować. Przy użyciu oprogramowania można uruchomić synchronizację, aby przenieść konta użytkowników usługi Active Directory do usługi Webex, wyświetlić i monitorować stan synchronizacji oraz skonfigurować usługi Directory Connector.
-
Usługa synchronizacji katalogu wysyła zapytanie do usługi Active Directory w celu pobrania użytkowników i grup do zsynchronizowania z usługą łącznika i łącznikiem usług katalogowych.
Zapoznaj się z tym schematem, aby zrozumieć architekturę łącznika usług katalogowych:
Przygotuj środowisko dla łącznika usług katalogowych
Wymagania dotyczące łącznika usług katalogowych
Wymagania dotyczące systemu Windows i Active Directory
Łącznik usług katalogowych można zainstalować na tych obsługiwanych serwerach systemu Windows:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Aby rozwiązać problem z plikami cookie, zalecamy uaktualnienie kontrolera domeny do wersji zawierającej poprawkę — Windows Server 2012 R2 lub 2016.
Łącznik usług katalogowych jest obsługiwany przez następujące usługi Active Directory:
-
Active Directory 2016
(Directory Connector jest obsługiwany w przypadku korzystania z najnowszej wersji usługi Active Directory w systemie Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Zwróć uwagę na następujące wymagania dodatkowe:
-
Łącznik usług katalogowych wymaga TLS1.2. Należy zainstalować następujące elementy:
-
Wersja .NET Framework v3.5 (wymagana dla aplikacji Directory Connector. Jeśli napotkasz jakiekolwiek problemy, skorzystaj z instrukcji w sekcji Włącz .NET Framework 3.5 za pomocą kreatora dodawania ról i funkcji).
-
Wersja .NET Framework w wersji 4.5 (wymagana w przypadku TLS1.2)
-
-
Wymagany jest poziom funkcjonalności lasu Active Directory 2 (Windows Server 2003) lub nowszy. (Aby uzyskać więcej informacji, zobacz Czym są poziomy funkcjonalne usługi Active Directory? ).
Wymagania sprzętowe
Musisz zainstalować Directory Connector na komputerze z następującymi minimalnymi wymaganiami sprzętowymi:
-
8 GB pamięci RAM
-
50 GB miejsca do przechowywania
-
Brak minimalnych wymagań dotyczących procesora
Wymagania sieciowe
Jeśli sieć znajduje się za zaporą, upewnij się, że system ma dostęp do Internetu za pośrednictwem protokołu HTTPS (port 443).
Wymagania organizacji Webex
-
Dostęp do oprogramowania łącznika usług katalogowych z poziomu Control Hub wymaga organizacji Webex z wersją próbną lub płatną subskrypcją.
-
(Opcjonalnie) Jeśli chcesz, aby nowe konta użytkowników aplikacji Webex były Aktywne przed pierwszym zalogowaniem się, zalecamy wykonanie następujących czynności:
-
Dodaj, zweryfikuj i opcjonalnie zgłoś prawa do domen zawierających adresy e-mail użytkowników, które chcesz zsynchronizować z chmurą.
-
Wykonaj integrację dostawcy tożsamości (IdP) z organizacją Webex za pomocą jednokrotnego logowania (SSO).
-
Pomijaj automatyczne zaproszenia e-mail, aby nowi użytkownicy nie otrzymali automatycznego zaproszenia e-mail i mogli prowadzić własną kampanię wiadomości e-mail. (Ta funkcja wymaga integracji logowania SSO).
-
Aby uzyskać więcej informacji, zobacz Stany i czynności użytkowników w Control Hub.
Wymagania instalacyjne
-
W przypadku środowiska z wieloma domenami (pojedynczego lasu lub wielu lasów) należy zainstalować jeden łącznik usług katalogowych dla każdej domeny Active Directory. Jeśli chcesz zsynchronizować nową domenę (B) przy jednoczesnym zachowaniu zsynchronizowanych danych użytkownika w innej istniejącej domenie (A), upewnij się, że masz oddzielny obsługiwany serwer Windows, aby zainstalować łącznik usług katalogowych dla synchronizacji domeny (B).
-
Aby zalogować się do łącznika, nie potrzebujemy konta administracyjnego w usłudze Active Directory. Wymagamy konta użytkownika lokalnego, które jest tym samym użytkownikiem, co pełne konto administratora w Control Hub.
Ten użytkownik lokalny musi mieć uprawnienia na tym komputerze z systemem Windows, aby nawiązać połączenie z kontrolerem domeny i czytać obiekty użytkownika usługi Active Directory. Konto logowania do maszyny powinno być administratorem komputera z uprawnieniami do instalowania oprogramowania na komputerze lokalnym. (Informacje te dotyczą również logowania do maszyny wirtualnej).
-
Podczas logowania się do łącznika konto logowania musi być takie samo jak pełne konto administratora usługi Control Hub. Domyślnie łącznik korzysta z konta systemu lokalnego w celu uzyskania dostępu do usługi Active Directory. Można jednak użyć usług systemu Windows, aby skonfigurować inne konto, aby uzyskać dostęp do usługi Active Directory. (Informacje te dotyczą również logowania do maszyny wirtualnej).
-
Należy się upewnić, że tryb wyszukiwania biblioteki łączy dynamicznych (DLL) systemu Windows jest włączony, wykonując następującą procedurę: Sprawdź SafeDllSearchMode w rejestrze systemu Windows.
-
Jeśli używasz usługi AD LDS dla wielu domen w jednym lesie, zalecamy zainstalowanie na osobnych komputerach łącznika usług katalogowych i usługi domeny Active Directory/lekkich usług katalogowych Active Directory (DS/AD LDS).
Wiele wymagań dotyczących domeny
Przed wykonaniem zadań w przepływie zadań wdrożenia łącznika usług katalogowych Cisco należy pamiętać o następujących wymaganiach i zaleceniach, jeśli zamierzasz zsynchronizować do chmury informacje Active Directory z wielu domen:
-
Dla każdej domeny wymagane jest osobne wystąpienie łącznika usług katalogowych.
-
Oprogramowanie łącznika usług katalogowych musi być uruchomione na hoście znajdującym się w tej samej domenie, którą będzie synchronizowane.
-
Zalecamy zweryfikowanie lub zgłoszenie domen w Control Hub. (Zobacz Dodawanie, weryfikowanie i zgłaszanie praw do domen).
-
Jeśli chcesz synchronizować więcej niż 50 domen, otwórz zgłoszenie , aby przenieść organizację do dużej listy organizacji.
-
W razie potrzeby można synchronizować informacje o zasobach pokoju z kontami użytkowników. (Zobacz Synchronizowanie informacji o pokoju w siedzibie z chmurą Webex).
Zalecenia grupy Active Directory dotyczące automatycznego przypisywania licencji
Grupy Active Directory służą do zbierania kont użytkowników, kont komputerów i innych grup w jednostki zarządzane. Praca z grupami zamiast z indywidualnymi użytkownikami pomaga uprościć konserwację sieci i administrowanie nią.
W usłudze Active Directory dostępne są dwa typy grup:
-
Grupy dystrybucji — służą do tworzenia list dystrybucyjnych wiadomości e-mail.
-
Grupy zabezpieczeń — używane do przypisywania uprawnień do udostępnianych zasobów.
Podczas tworzenia grup w usłudze Active Directory należy pamiętać o następujących wytycznych:
-
Utwórz globalną grupę dla każdej roli, działu lub usługi (takiej jak sprzedaż, marketing, menedżerowie, księgowi, licencjonowanie usługi Webex itd.)
-
W całej organizacji stosuj standardowe konwencje nazewnictwa, aby ułatwić identyfikowanie ważnych informacji o grupach. Nazwy grup mogą zawierać szczegółowe informacje na temat grupy, takie jak poziom dostępu, typ zasobu, poziom zabezpieczeń, zakres grupy, możliwość przesyłania poczty i tak dalej. Na przykład nazwa grupy „GSG_Webex_Licensing_EMEAR” odnosi się do globalnej grupy zabezpieczeń użytkowników EMEAR licencji Webex.
-
Organizuj grupy w łatwy do zrozumienia sposób, na przykład na podstawie geografii lub hierarchii kierowniczej. Użyj opisów grup, aby całkowicie opisać przeznaczenie grupy.
-
Przed dodaniem użytkowników do nowo skonfigurowanych grup zdefiniuj szablon grupy automatycznego przypisywania licencji w Control Hub dla tych grup. Aby uzyskać więcej informacji, zobacz Konfigurowanie szablonu automatycznego przypisywania licencji .
Informacje o rozmiarze
Łącznik usług katalogowych działa jako most między lokalną usługą Active Directory a chmurą Webex. W związku z tym łącznik nie ma górnego limitu liczby obiektów Active Directory, które mogą być synchronizowane z chmurą. Wszelkie ograniczenia dotyczące obiektów katalogu lokalnego są powiązane z określoną wersją i specyfikacjami środowiska Active Directory, które jest synchronizowane z chmurą, a nie z samym konektorem.
Szybkość synchronizacji może mieć wpływ na kilka czynników:
-
Łączna liczba obiektów Active Directory. (Zadanie synchronizacji 5000 użytkowników nie zajmie aż 50 000).
-
Prędkość i przepustowość sieci.
-
Obciążenie systemu i specyfikacje.
Jeśli synchronizujesz ponad 50 000 użytkowników, zdecydowanie zalecamy używanie drugiego łącznika do pracy awaryjnej i redundancji.
Ponieważ w synchronizację zaangażowanych jest kilka czynników, a każde wdrożenie różni się w zależności od powyższych czynników, nie możemy podać określonych wartości czasu, przez jaki synchronizacja obiektu potrwa.
Sprawdź SafeDllSearchMode w rejestrze systemu Windows
Tryb wyszukiwania biblioteki łączy dynamicznych (DLL) jest domyślnie ustawiony w rejestrze systemu Windows i umieszcza bieżący katalog użytkownika w kolejności wyszukiwania DLL. Jeśli ten tryb został w jakiś sposób wyłączony, napastnik może umieścić złośliwy plik DLL (o nazwie takiej samej jak plik DLL znajdujący się w folderze systemowym) do bieżącego katalogu roboczego aplikacji.
Zazwyczaj SafeDllSearchMode jest włączony, ale ta procedura służy do podwójnego sprawdzenia ustawień rejestru.
Przed rozpoczęciem
Zmiany w rejestrze systemu Windows należy przeprowadzać z dużą ostrożnością. Zalecamy, aby przed wykonaniem tych czynności wykonać kopię zapasową rejestru.
| 1 |
W oknie wyszukiwania systemu Windows lub oknie Uruchom wpisz regedit , a następnie naciśnij Enter. |
| 2 |
Przejdź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wybierz jedną z nich:
|
Aby uzyskać więcej informacji, zobacz Kolejność wyszukiwania biblioteki dynamicznych łączy.
Integracja z serwerem proxy WWW
Integracja z serwerem proxy WWW
Jeśli w środowisku włączone jest uwierzytelnianie serwera proxy sieci Web, można nadal korzystać z łącznika usług katalogowych.
Jeśli Twoja organizacja korzysta z przezroczystego serwera proxy sieci WWW, uwierzytelnianie nie jest obsługiwane. Konektor pomyślnie łączy się i synchronizuje użytkowników.
Można zastosować jedno z następujących podejść:
-
Jawny serwer proxy sieci WWW za pośrednictwem przeglądarki Internet Explorer (łącznik dziedziczy ustawienia serwera WWW)
-
Jawny serwer proxy sieci Web za pomocą pliku .pac (łącznik dziedziczy ustawienia serwera proxy specyficzne dla przedsiębiorstwa)
-
Przezroczysty serwer proxy, który współpracuje z konektorem bez żadnych zmian
Użyj serwera Proxy Sieci Web W Przeglądarce
Łącznik usług katalogowych można skonfigurować tak, aby korzystał z serwera proxy internetowego za pośrednictwem programu Internet Explorer.
Jeśli usługa Cisco DirSync jest uruchomiona z innego konta niż aktualnie zalogowany użytkownik, należy również zalogować się przy użyciu tego konta i skonfigurować serwer proxy sieci WWW.
| 1 |
W programie Internet Explorer przejdź do pozycji Opcje internetowe, kliknij pozycję Połączenia, a następnie wybierz pozycję Ustawienia sieci LAN. |
| 2 |
Wskaż wystąpienie systemu Windows, w którym łącznik jest zainstalowany na serwerze proxy sieci Web. Konektor dziedziczy te ustawienia serwera proxy sieci WWW. |
| 3 |
Jeśli środowisko korzysta z uwierzytelniania serwera proxy, dodaj te adresy URL do listy dozwolonych:
Można to wykonać dla całej witryny (dla wszystkich prowadzących) lub tylko dla hosta, który ma łącznik. Jeśli dodasz te adresy URL do listy dozwolonych, aby całkowicie ominąć serwer proxy sieci WWW, upewnij się, że tabela ACL zapory została zaktualizowana, aby umożliwić hoście łącznika bezpośredni dostęp do adresów URL. |
| 4 |
Jeśli środowisko musi zażądać list unieważnień certyfikatów od urzędów certyfikacji, dodaj te adresy URL do listy dozwolonych:
Aby uzyskać więcej informacji, zobacz ten artykuł o domenach i adresach URL, do których należy uzyskać dostęp dla usług Webex. |
Konfigurowanie serwera proxy sieci WWW za pomocą pliku PAC
W przeglądarce klienta można skonfigurować używanie pliku .pac. Ten plik zawiera informacje o adresie i porcie serwera proxy sieci WWW. Łącznik usług katalogowych bezpośrednio dziedziczy konfigurację serwera proxy sieci WWW specyficzną dla przedsiębiorstwa.
| 1 |
Aby konektor mógł pomyślnie połączyć się i zsynchronizować informacje o użytkownikach z chmurą Webex, upewnij się, że uwierzytelnianie proxy jest wyłączone dla |
| 2 |
Jeśli środowisko korzysta z uwierzytelniania serwera proxy, dodaj te adresy URL do listy dozwolonych:
Można to wykonać dla całej witryny (dla wszystkich prowadzących) lub tylko dla hosta, który ma łącznik. Jeśli dodasz te adresy URL do listy dozwolonych, aby całkowicie ominąć serwer proxy sieci WWW, upewnij się, że tabela ACL zapory została zaktualizowana, aby umożliwić hoście łącznika bezpośredni dostęp do adresów URL. |
| 3 |
Jeśli środowisko musi zażądać list unieważnień certyfikatów od urzędów certyfikacji, dodaj te adresy URL do listy dozwolonych:
Aby uzyskać więcej informacji, zobacz ten artykuł o domenach i adresach URL, do których należy uzyskać dostęp dla usług Webex. |
Serwer proxy NTLM
Directory Connector obsługuje NT LAN Manager (NTLM). NTLM to jedno z podejść do obsługi uwierzytelniania Windows wśród urządzeń domeny i zapewnienia ich bezpieczeństwa.
Projekt NTLM
W większości przypadków użytkownik chce uzyskać dostęp do innych zasobów stacji roboczej za pośrednictwem komputera klienckiego, co może być trudne do wykonania w bezpieczny sposób.
Ogólnie rzecz biorąc, projekt techniczny NTLM opiera się na mechanizmie Wyzwanie
i Odpowiedź
:
-
Użytkownik loguje się na komputerze klienckim za pomocą konta systemu Windows i hasła. Hasło nigdy nie jest zapisywane lokalnie. Zamiast zwykłego hasła tekstowego lokalnie jest przechowywana wartość hash hasła. Gdy użytkownik loguje się za pomocą hasła do klienta, system operacyjny Windows porównuje zapisaną wartość skrótu z wartością skrótu z wprowadzonego hasła. Jeśli oba są takie same, uwierzytelnianie zostanie zakończone.
Gdy użytkownik chce uzyskać dostęp do dowolnego zasobu na innym serwerze, klient wysyła do serwera żądanie z nazwą konta w postaci zwykłego tekstu.
-
Gdy serwer odbierze żądanie, generuje 16-bitowy klucz losowy. Klucz nosi nazwę Challenge (lub Nonce). Zanim serwer wyśle z powrotem do klienta, zadanie jest zapisywane na serwerze. Następnie serwer wysyła wyzwanie do klienta w postaci zwykłego tekstu.
-
Gdy tylko klient otrzyma wyzwanie wysłane z serwera, zaszyfruje wyzwanie za pomocą wartości hash wymienionej w kroku 1. Po zaszyfrowaniu wartość jest zwracana do serwera.
-
Gdy serwer odbierze zaszyfrowaną wartość od klienta, wysyła ją do kontrolera domeny w celu weryfikacji. Żądanie zawiera: nazwa konta, zaszyfrowane wyzwanie wysłane przez klienta oraz oryginalne wyzwanie proste.
-
Kontroler domeny może pobierać wartości skrótu hasła w zależności od nazwy konta. Następnie kontroler domeny może zaszyfrować oryginalne wyzwanie. Kontroler doman może następnie porównać z otrzymaną wartością hash i zaszyfrowaną wartością hash. Jeśli są takie same, weryfikacja przebiega pomyślnie.
Uwierzytelnianie zabezpieczeń jest wbudowane w system operacyjny, co ułatwia aplikacjom obsługę uwierzytelniania zabezpieczeń. W związku z tym nie musisz kończyć dalszej konfiguracji.
Konfigurowanie przezroczystego serwera proxy
W tym scenariuszu przeglądarka nie wie, że przezroczysty serwer proxy sieci WWW przechwytuje żądania HTTP (port 80/port 443) i nie jest wymagana konfiguracja po stronie klienta.
| 1 |
Wdróż przezroczysty serwer proxy, aby łącznik mógł łączyć się i synchronizować użytkowników. |
| 2 |
Upewnij się, że serwer proxy działa — po uruchomieniu konektora zobaczysz oczekiwane wyskakujące okienko uwierzytelniania przeglądarki. |
Ustaw uwierzytelnianie serwera proxy
Dodaj adres URL cloudconnector.webex.com do listy dozwolonych, tworząc listę kontroli dostępu.
Na serwerze zapory korporacyjnej:
| 1 |
Włącz wyszukiwanie w usłudze DNS, jeśli funkcja nie jest jeszcze włączona. |
| 2 |
Określ szacowaną przepustowość dla tego połączenia (około 2 Mb/s lub mniej dla konektora). Może to nie być wymagane. |
| 3 |
Utwórz listę kontroli dostępu, aby zastosować ją do hosta łącznika, i określ Na przykład: access-list 2000 acl-inside rozszerzone zezwolenie TCP [IP łącznika] cloudconnector.webex.com eq https |
| 4 |
Zastosuj to ACL do odpowiedniego interfejsu zapory, który ma zastosowanie tylko do tego hosta z pojedynczym łącznikiem. |
| 5 |
Upewnij się, że pozostałe hosty w przedsiębiorstwie nadal muszą korzystać z serwera proxy internetowego, konfigurując odpowiednie oświadczenie o odrzuceniu. |
Wdróż łącznik usług katalogowych
Przepływ zadań wdrażania łącznika usług katalogowych Cisco
Przed rozpoczęciem
| 1 |
Zainstaluj łącznik usług katalogowych Control Hub początkowo pokazuje synchronizację katalogu jako wyłączoną. Aby włączyć synchronizację katalogu w organizacji, należy zainstalować i skonfigurować Directory Connector, a następnie pomyślnie przeprowadzić pełną synchronizację. W przypadku nowej instalacji Directory Connector zawsze przejdź do Control Hub ( https://admin.webex.com), aby uzyskać najnowszą wersję oprogramowania, aby korzystać z najnowszych funkcji i poprawek błędów. Po zainstalowaniu oprogramowania uaktualnienia są raportowane za pośrednictwem oprogramowania i instalowane automatycznie, gdy jest dostępne. |
| 2 |
Zaloguj się do łącznika usług katalogowych Zaloguj się, używając poświadczeń administratora Webex i przeprowadź konfigurację początkową. |
| 3card symbol |
Ustaw automatyczne uaktualnianie Zawsze ważne jest, aby oprogramowanie Directory Connector było aktualne do najnowszej wersji. Zalecamy użycie tej procedury, aby umożliwić cichą instalację automatycznych uaktualnień oprogramowania, gdy jest dostępne. |
| 4 |
Wybierz obiekty usługi Active Directory do zsynchronizowania Domyślnie Directory Connector synchronizuje wszystkich użytkowników, którzy nie są komputerami, oraz wszystkie grupy, które nie są krytycznymi obiektami systemowymi dla domeny. Aby uzyskać większą kontrolę nad tym, które obiekty są synchronizowane, można wybrać określonych użytkowników do synchronizacji i określić filtry LDAP na stronie Wybór obiektów w łączniku usług katalogowych. |
| 5. |
Atrybuty z lokalnej usługi Active Directory można mapować na odpowiednie atrybuty w chmurze. Jedynym wymaganym polem jest *uid. |
| 6 |
Zsynchronizuj awatary katalogów, korzystając z jednej z następujących procedur:
Możesz synchronizować awatary użytkowników z chmurą, aby awatar każdego użytkownika był wyświetlany po zalogowaniu się do aplikacji. Awatary można synchronizować z atrybutu Active Directory lub serwera zasobów. |
| 7 |
Synchronizuj informacje o pokoju w siedzibie z chmurą Webex Ta procedura służy do synchronizowania informacji o lokalnym pokoju z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia pokojowe ze skonfigurowanym, zmapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach pokojowych zarejestrowanych w chmurze, takich jak urządzenie Webex Room lub Cisco Webex Board |
| 8 |
Aby Zainicjować Obsługę Administracyjną Użytkowników Z Active Directory Do Control Hub, wykonaj następujące czynności:
Wykonaj tę sekwencję, aby skonfigurować użytkowników usługi Active Directory na potrzeby kont aplikacji Webex. Możesz skonfigurować użytkowników z wielu wdrożeń usługi Active Directory w systemie Directory Connector 3.0 lub nowszym. Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Celem jest dokładne dopasowanie między aktywnymi katalogami a chmurą Webex. |
Zainstaluj łącznik usług katalogowych
Control Hub początkowo pokazuje synchronizację katalogu jako wyłączoną. Aby włączyć synchronizację katalogu w organizacji, należy zainstalować i skonfigurować Directory Connector, a następnie pomyślnie przeprowadzić pełną synchronizację.
Należy zainstalować jeden łącznik dla każdej domeny Active Directory, którą chcesz zsynchronizować. Pojedyncze wystąpienie łącznika usług katalogowych może obsługiwać tylko jedną domenę. Aby zrozumieć przepływ synchronizacji wielu domen, zobacz poniższy diagram:
Przed rozpoczęciem
Jeśli uwierzytelniasz się za pośrednictwem serwera proxy, upewnij się, że masz poświadczenia serwera proxy:
-
W przypadku podstawowego uwierzytelniania proxy wprowadź nazwę użytkownika i hasło po zainstalowaniu wystąpienia łącznika. Konfiguracja serwera proxy programu Internet Explorer jest również wymagana do uwierzytelniania podstawowego; zobacz Używanie Serwera Proxy Internetowego W Przeglądarce
-
W przypadku serwera proxy NTLM przy pierwszym otwarciu łącznika może pojawić się błąd. Zobacz Korzystanie z Serwera Proxy Sieci Web W Przeglądarce.
| 1 |
W Control Hub wybierz kolejno pozycje i wybierz Dalej. |
| 2 |
Kliknij łącze Pobierz i zainstaluj, aby zapisać najnowszą wersję pliku .zip instalacyjnego łącznika na swoim serwerze VMware lub Windows. Plik .zip można pobrać bezpośrednio z tego łącza, ale aby to oprogramowanie działało, musisz mieć pełny dostęp administracyjny do organizacji Control Hub. W przypadku nowej instalacji pobierz najnowszą wersję oprogramowania, aby korzystać z najnowszych funkcji i poprawek błędów. Po zainstalowaniu oprogramowania uaktualnienia są raportowane za pośrednictwem oprogramowania i instalowane automatycznie, gdy jest dostępne. |
| 3card symbol |
Na serwerze VMware lub na serwerze Windows rozpakuj i uruchom plik .msi w folderze konfiguracji, aby uruchomić kreatora konfiguracji. |
| 4 |
Kliknij przycisk Dalej, zaznacz pole wyboru, aby zaakceptować umowę licencyjną, a następnie kliknij przycisk Dalej, aż zostanie wyświetlony ekran typu konta. |
| 5. |
Wybierz typ konta usługi, którego chcesz używać, i wykonaj instalację za pomocą konta administratora:
Aby uniknąć błędów, upewnij się, że istnieją następujące uprawnienia:
|
| 6 |
Kliknij przycisk Instaluj. Po uruchomieniu testu sieci wprowadź podstawowe poświadczenia serwera proxy, kliknij przycisk OK, a następnie kliknij przycisk Zakończ. |
Co zrobić dalej
Zalecamy ponowne uruchomienie serwera po instalacji. Raport przebiegu próbnego nie może wyświetlić prawidłowego wyniku, gdy dane nie zostały zwolnione. Podczas ponownego uruchamiania maszyny wszystkie dane są odświeżane, aby pokazać dokładny wynik w raporcie.
Zaloguj się do łącznika usług katalogowych
Przed rozpoczęciem
Upewnij się, że masz poświadczenia serwera proxy.
-
W przypadku podstawowego uwierzytelniania serwera proxy wprowadź nazwę użytkownika i hasło po pierwszym otwarciu łącznika.
-
W przypadku serwera proxy NTLM otwórz program Internet Explorer, kliknij ikonę koła zębatego, wybierz kolejno pozycje Opcje internetowe > Połączenia > Ustawienia sieci LAN, upewnij się, że dodano informacje o serwerze proxy, a następnie kliknij OK. Zobacz Korzystanie z Serwera Proxy Sieci Web W Przeglądarce.
| 1 |
Otwórz konektor, a następnie dodaj |
| 2 |
Jeśli zostanie wyświetlony monit, zaloguj się przy użyciu poświadczeń uwierzytelniania serwera proxy, a następnie zaloguj się do usługi Webex za pomocą konta administratora i kliknij przycisk Dalej. |
| 3card symbol |
Potwierdź swoją organizację i domenę.
|
| 4 |
Po wyświetleniu ekranu Potwierdź organizację kliknij przycisk Potwierdź. Jeśli usługi AD DS/AD LDS są już powiązane, zostanie wyświetlony ekran Potwierdź organizację. |
| 5. |
Kliknij przycisk Potwierdź. |
| 6 |
Wybierz jedną w zależności od liczby domen Active Directory, które chcesz powiązać z łącznikiem usług katalogowych:
|
Co zrobić dalej
Po zalogowaniu się zostanie wyświetlony monit o wykonanie synchronizacji przebiegu próbnego.
Pulpit nawigacyjny łącznika usług katalogowych
Przy pierwszym logowaniu do łącznika usług katalogowych zostanie wyświetlona konsola. W tym miejscu możesz wyświetlić podsumowanie wszystkich działań synchronizacji, wyświetlić statystyki chmury, przeprowadzić synchronizację przebiegu próbnego, rozpocząć synchronizację pełną lub stopniową oraz uruchomić widok zdarzenia, aby wyświetlić informacje o błędach.
Te zadania można łatwo uruchomić z paska narzędzi czynności lub menu czynności.
|
Komponent |
Opis |
|---|---|
|
Bieżąca synchronizacja |
Wyświetla informacje o stanie aktualnie trwającej synchronizacji. Gdy żadna synchronizacja nie jest uruchomiona, wyświetlanie stanu jest bezczynne. |
|
Następna synchronizacja |
Wyświetla następne zaplanowane pełne i przyrostowe synchronizacje. Jeśli nie ustawiono harmonogramu, wyświetlana jest opcja Nie zaplanowano. |
|
Ostatnia synchronizacja |
Wyświetla stan dwóch ostatnich wykonanych synchronizacji. |
|
Bieżący stan synchronizacji |
Wyświetla ogólny stan synchronizacji. |
|
Łączniki |
Wyświetla bieżące lokalne łączniki dostępne dla chmury. |
|
Statystyki chmury |
Wyświetla ogólny stan synchronizacji. |
|
Harmonogram synchronizacji |
Wyświetla harmonogram synchronizacji dla synchronizacji przyrostowej i pełnej. |
|
Podsumowanie konfiguracji |
Wyświetla ustawienia, które zostały zmienione w konfiguracji. Podsumowanie może na przykład zawierać następujące informacje:
|
| Czynność | Opis |
|---|---|
| Rozpocznij synchronizację przyrostową |
Ręcznie rozpocznij synchronizację przyrostową Ta czynność jest wyłączona po wstrzymaniu lub wyłączeniu synchronizacji, jeśli pełna synchronizacja nie została ukończona lub jeśli synchronizacja jest w toku. |
|
Synchronizuj przebieg próbny |
Wykonaj synchronizację przebiegu próbnego. |
|
Uruchom przeglądarkę zdarzeń |
Uruchom przeglądarkę zdarzeń firmy Microsoft |
|
Odśwież |
Odśwież pulpit nawigacyjny łącznika usług katalogowych Cisco |
|
Czynność |
Opis |
|---|---|
| Synchronizuj teraz |
Natychmiast rozpocznij pełną synchronizację. |
|
Tryb synchronizacji |
Wybierz tryb synchronizacji przyrostowej lub pełnej. |
|
Zresetuj klucz tajny łącznika |
Nawiąż rozmowę między łącznikiem usług katalogowych Cisco a konektorem. Wybranie tej czynności spowoduje zresetowanie tajnego klucza w chmurze, a następnie zapisanie klucza lokalnego. |
|
Przebieg próbny |
Wykonaj test procesu synchronizacji. Przed wykonaniem pełnej synchronizacji należy wykonać przebieg próbny. |
|
Rozwiązywanie problemów |
Włącz/wyłącz rozwiązywanie problemów. |
|
Odśwież |
Odśwież ekran główny łącznika usług katalogowych Cisco. |
|
Zamknij |
Zamknij łącznik usług katalogowych Cisco. |
|
Kombinacja klawiszy |
Czynność |
|---|---|
|
Alt+A |
Pokaż menu Czynności |
|
|
Synchronizuj teraz |
|
|
Zresetuj klucz tajny łącznika |
|
|
Przebieg próbny |
|
|
Synchronizacja przyrostowa |
|
|
Pełna synchronizacja |
|
|
Pokaż menuPomoc |
|
|
Pomoc |
|
|
Informacje |
|
|
często zadawane pytania |
Ustaw automatyczne uaktualnianie
| 1 |
W Directory Connector przejdź do , a następnie zaznacz pole wyboru Automatycznie uaktualnij do nowej wersji Cisco Directory Connector. |
| 2 |
Kliknij Zastosuj, aby zapisać zmiany. |
Nowe wersje łącznika są automatycznie instalowane, gdy są dostępne.
Uaktualnieniami można zarządzać ręcznie, jeśli wolisz. Aby uzyskać więcej informacji, zobacz Uaktualnianie do najnowszej wersji oprogramowania.
Wybierz obiekty usługi Active Directory do zsynchronizowania
Domyślnie Directory Connector synchronizuje wszystkich użytkowników, którzy nie są komputerami, oraz wszystkie grupy, które nie są krytycznymi obiektami systemowymi dla domeny. Aby uzyskać większą kontrolę nad tym, które obiekty są synchronizowane, można wybrać określonych użytkowników do synchronizacji i określić filtry LDAP na stronie Wybór obiektów w łączniku usług katalogowych.
Grupy do automatycznego przypisywania licencji
Control Hub umożliwia zarządzanie przypisaniami licencji w odniesieniu do poszczególnych grup. Można utworzyć szablony licencji i mapować je do grup Active Directory, które synchronizujesz z chmurą. W momencie tworzenia użytkownika Webex sprawdza członkostwo użytkownika i mapowanie szablonu automatycznego przypisywania licencji dla tego nowego użytkownika.
Zalecamy używanie filtra LDAP w celu synchronizowania tylko odpowiednich grup z chmurą. Filtr można na przykład ustawić jako:
(&(cn=Przykład)(objectClass=Group))*
Ten filtr synchronizuje wszystkie grupy w ramach podstawowej nazwy wyróżniającej, gdzie nazwa zaczyna się od Example. Użytkownikom, którzy nie są przypisani do grup, przypisane są licencje z domyślnego szablonu automatycznego przypisywania licencji skonfigurowanego w Control Hub.
Grupy dla wdrożeń hybrydowego zabezpieczenia danych
W Łączniku usług katalogowych zaznacz opcję Grupy, jeśli używasz usługi hybrydowego zabezpieczenia danych, aby skonfigurować grupę wersji próbnej dla użytkowników pilotażowych. Wskazówki można znaleźć w Przewodniku wdrażania hybrydowego zabezpieczenia danych. To ustawienie łącznika usług katalogowych nie wpływa na synchronizację innych użytkowników z chmurą.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, a następnie kliknij pozycję Wybór obiektu. |
| 2 |
W sekcji Typ obiektu zaznacz opcję Użytkownicy i rozważ ograniczenie liczby pojemników możliwych do wyszukania dla użytkowników. Jeśli na przykład chcesz zsynchronizować tylko użytkowników w określonej grupie, w polu Użytkownicy należy wprowadzić filtr LDAP. Jeśli chcesz synchronizować użytkowników w grupie Przykład-menedżer, użyj filtra takiego jak ten:
|
| 3card symbol |
Zaznacz opcję Identyfikacja pokoju, aby oddzielić dane pokoju od danych użytkownika. Kliknij opcję Dostosuj, jeśli chcesz skonfigurować dodatkowe atrybuty w celu identyfikacji danych użytkownika jako danych pokoju. Użyj tego ustawienia, jeśli chcesz synchronizować informacje o pokoju lokalnym z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia systemu biurowego ze skonfigurowanym, mapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach systemu biurowego zarejestrowanych w chmurze. Aby uzyskać więcej informacji, zobacz Synchronizowanie informacji o pokoju w siedzibie z chmurą Webex. |
| 4 |
Zaznacz opcję Grupy, jeśli chcesz zsynchronizować grupy użytkowników usługi Active Directory z chmurą. Nie dodawaj filtru LDAP synchronizacji użytkowników do pola Grupy. Do synchronizacji danych grupy z chmurą należy używać tylko pola Grupy. Domyślnie grupy nie są synchronizowane dla nowych klientów. Należy włączyć synchronizację grup. Musisz również synchronizować grupy zabezpieczeń. |
| 5. |
Zaznacz opcję Kontakty, jeśli chcesz zsynchronizować informacje kontaktowe użytkowników z chmurą. Łącznik usług katalogowych zarządza tylko Kontaktami zsynchronizowanymi przez łącznik. Jeśli istnieją już kontakty w Control Hub, synchronizacja nie usunie tych kontaktów. Jeśli kontakty zostaną usunięte z zakresu synchronizacji, informacje kontaktowe użytkowników zostaną również usunięte w Control Hub. |
| 6 |
Skonfiguruj filtry LDAP. Filtry rozszerzone można dodawać, podając prawidłowy filtr LDAP. Zobacz ten artykuł, aby uzyskać więcej informacji o konfigurowaniu filtrów LDAP. |
| 7 |
Określ nazwy domen bazy lokalnej do synchronizacji, klikając przycisk Wybierz, aby zobaczyć strukturę drzewa usługi Active Directory. Tutaj możesz wybrać lub usunąć zaznaczenie, które kontenery mają być przeszukiwane. |
| 8 |
Sprawdź, czy obiekty, które chcesz dodać do tej konfiguracji, a następnie kliknij przycisk Wybierz. Można wybrać pojedyncze lub nadrzędne pojemniki, które mają być używane do synchronizacji. Wybierz pojemnik nadrzędny, aby włączyć wszystkie pojemniki podrzędne. Po wybraniu kontenera dla dziecka w kontenerze nadrzędnym zostanie wyświetlony szary znak wyboru wskazujący, że dziecko zostało zaznaczone. Następnie możesz kliknąć przycisk Wybierz, aby zaakceptować zaznaczone kontenery Active Directory. Jeśli organizacja umieści wszystkich użytkowników i grupy w kontenerze Użytkownicy, nie trzeba wyszukiwać innych kontenerów. Jeśli Twoja organizacja jest podzielona na jednostki organizacyjne, upewnij się, że wybrano jednostki organizacyjne. |
| 9 |
Kliknij przycisk Zastosuj. Wybierz opcję:
Aby uzyskać informacje na temat uruchamiania próbnego, zobacz Przeprowadzanie synchronizacji próbnej u użytkowników usługi Active Directory. W przypadku synchronizacji grup należy przeprowadzić pełną synchronizację: Wykonywanie pełnej synchronizacji użytkowników usługi Active Directory Z chmurą. |
Mapuj atrybuty użytkownika
Atrybuty z lokalnej usługi Active Directory można mapować na odpowiednie atrybuty w chmurze. Jedynym wymaganym polem jest *uid — unikatowy identyfikator każdego konta użytkownika w usłudze tożsamości w chmurze.
Możesz wybrać, który atrybut Active Directory ma być mapowany na chmurę — na przykład możesz mapować imię i nazwisko w usłudze Active Directory lub wyrażenie atrybutu niestandardowego na displayName w chmurze.
Konta w usłudze Active Directory muszą mieć adres e-mail. Identyfikator uid jest domyślnie mapowany na pole poczty ad (a nie sAMAccountName).
Jeśli zdecydujesz się, aby preferowany język pochodził z Active Directory, wówczas Active Directory jest jedynym źródłem prawdy: użytkownicy nie będą mogli zmienić swojego ustawienia języka w ustawieniach Webex, a administratorzy nie będą mogli zmienić tego ustawienia w Control Hub.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja , a następnie wybierz pozycjęMapowanie atrybutów użytkownika. Na tej stronie wyświetlane są nazwy atrybutów Active Directory (po lewej stronie) i chmury Webex (po prawej). Wszystkie wymagane atrybuty są oznaczone czerwoną gwiazdką. |
| 2 |
Przewiń w dół do dołu nazwy atrybutów usługi Active Directory, a następnie wybierz jeden z tych atrybutów usługi Active Directory, aby zamapować atrybut uid chmury:
Możesz mapować dowolny z pozostałych atrybutów Active Directory na identyfikator uid, ale zalecamy używanie poczty lub userPrincipalName w sposób opisany w powyższych wytycznych. W niektórych przypadkach do logowania się służy nazwa userPrincipalName, ale do zarządzania kalendarzem użytkownika jest używany jego adres e-mail. Należy podać adres e-mail dla map zarządzania kalendarzem na główne pole adresu e-mail w usłudze Webex. Dodaj userPrincipalName jako alternatywny adres e-mail. Aby zobaczyć, które atrybuty w usłudze Active Directory odpowiadają w chmurze, zobacz Mapowanie atrybutów Active Directory w Directory Connector. Aby synchronizacja działała, należy się upewnić, że wybrany atrybut Active Directory jest w formacie e-mail. Łącznik usług katalogowych wyświetla wyskakujące okienko z przypomnieniem, że nie wybrano jednego z zalecanych atrybutów. |
| 3card symbol |
Jeśli wstępnie zdefiniowane atrybuty usługi Active Directory nie działają dla Twojego wdrożenia, kliknij rozwijany atrybut, przewiń do dołu, a następnie wybierz pozycję Dostosuj atrybut, aby otworzyć okno umożliwiające zdefiniowanie wyrażenia atrybutu. Kliknij Pomoc, aby uzyskać więcej informacji o wyrażeniach i zobaczyć przykłady działania wyrażeń. Więcej informacji zawiera temat Wyrażenia dla niestandardowych atrybutów. W tym przykładzie zmapujmy atrybuty
Łącznik usług katalogowych weryfikuje wartość atrybutu uid w usłudze tożsamości i pobiera 3 dostępnych użytkowników w ramach bieżących opcji filtrowania użytkownika. Jeśli wszyscy z tych 3 użytkowników mają prawidłowy format wiadomości e-mail, Cisco Directory Connector wyświetli następujący komunikat:
Jeśli nie można zweryfikować atrybutu, zobaczysz następujące ostrzeżenie i możesz powrócić do usługi Active Directory, aby sprawdzić i naprawić dane użytkownika:
|
| 4 |
(Opcjonalnie) Wybierz mapowania dla urządzeń mobilnych i telephoneNumber, jeśli chcesz, aby numery komórkowe i służbowe pojawiały się na przykład w karcie kontaktu użytkownika w aplikacji Webex. Dane numeru telefonu pojawiają się w aplikacji Webex, gdy użytkownik najedzie kursorem na zdjęcie profilowe innego użytkownika. Aby uzyskać więcej informacji na temat nawiązywania połączeń z karty kontaktu użytkownika, zobacz Przewodnik wdrażania połączeń w usłudze Webex (Unified CM) (administratorzy). |
| 5. |
Wybierz dodatkowe mapowania, aby więcej danych mogło pojawić się na karcie kontaktu:
Po zmapowaniu atrybutów informacje są wyświetlane, gdy użytkownik najedzie kursorem na zdjęcie profilowe innego użytkownika:
Aby uzyskać więcej informacji na temat karty kontaktu, zobacz Sprawdzanie, z kim się kontaktujesz. Po zsynchronizowaniu tych atrybutów z każdym kontem użytkownika można również włączyć funkcję People Insights w Control Hub. Ta funkcja pozwala użytkownikom aplikacji Webex udostępniać więcej informacji w swoich profilach i dowiedzieć się więcej o sobie. Aby uzyskać więcej informacji na temat tej funkcji i sposobu jej włączenia, zobacz Profile użytkowników aplikacji Webex, Jabber, Webex Meetings i Webex Events (nowość) w Control Hub |
| 6 |
Po dokonaniu wyboru kliknij Zastosuj. |
Wszelkie dane użytkownika zawarte w usłudze Active Directory zastępują dane w chmurze odpowiadające temu użytkownikowi. Na przykład jeśli użytkownik został ręcznie utworzony w Control Hub, jego adres e-mail musi być identyczny z adresem e-mail w usłudze Active Directory. Każdy użytkownik bez odpowiedniego adresu e-mail w usłudze Active Directory zostanie usunięty.
Usunięci użytkownicy są przechowywani w usłudze tożsamości w chmurze przez 7 dni przed ich trwale usunięciem.
Atrybuty Active Directory i chmury
Za pomocą karty Mapowanie atrybutów użytkownika można mapować atrybuty z lokalnej usługi Active Directory na odpowiednie atrybuty w chmurze.
W tej tabeli porównano mapowanie między nazwami atrybutów usługi Active Directory i nazwami atrybutów chmury Cisco. Te wartości i mapowania są ustawieniem domyślnym w łączniku usług katalogowych. Możesz wybrać różne atrybuty w rozwijanej usłudze Active Directory i określić, który atrybut lokalny jest synchronizowany z którym atrybutem chmury.
Pomyślcie o atrybutach rozwijanych jako o ustawieniach wstępnych. Zamiast wartości w wierszu Active Directory można również określić niestandardowy atrybut, własne ustawienie wstępne, w usłudze Active Directory (wyrażenie z wieloma atrybutami), aby zamapować go na jeden atrybut chmury w odpowiednim wierszu. Dzięki temu masz elastyczność określania nazw wyświetlanych użytkowników — na przykład możesz dodać wyrażenie, które tworzy niestandardowy atrybut na podstawie tytułu pracownika, imienia i nazwiska w usłudze Active Directory.
Można również określić dowolny z atrybutów usługi Active Directory, aby być mapowanym na identyfikator uid w chmurze. Należy jednak się upewnić, że atrybut lokalny jest zgodny z prawidłowym formatem wiadomości e-mail.
Możesz także użyć alternatywnych adresów e-mail, na przykład jeśli chcesz użyć nazwy userPrincipalName do logowania, ale adres e-mail użytkownika jest używany do zarządzania kalendarzem użytkownika. W takim przypadku zamapuj inny adres e-mail na atrybut e-mail;type-work. To jest adres e-mail używany do uwierzytelniania; nie jest używany do zarządzania kalendarzem. Adres e-mail mapowany z usługi AD musi pochodzić ze zweryfikowanej domeny w ramach organizacji, być unikatowy i nie musi być przypisany do innego użytkownika.
|
Nazwy atrybutów Active Directory |
Nazwy atrybutów chmury Webex |
Uwagi |
|---|---|---|
|
— |
budynekName |
— |
|
c |
c |
Ten atrybut określa skrót kraju użytkownika. |
|
działNumer |
działNumer |
Ten atrybut jest używany dla numeru działu użytkownika, który pojawia się na karcie kontaktu i informacjach o użytkowniku. |
|
nazwa wyświetlana |
nazwa wyświetlana |
Ten atrybut jest używany dla nazwy wyświetlanej konta użytkownika, która pojawia się w Control Hub, na karcie kontaktu i informacjach o użytkowniku. |
|
kontrolaKontaUżytkownika |
ds-pwp-account-wyłączony |
Ten atrybut jest używany do synchronizacji użytkowników. Upewnij się, że atrybut userAccountControl jest mapowany na ds-pwp-account-disabled. W przeciwnym razie użytkownicy nie będą poprawnie synchronizowani. |
|
Liczba pracowników |
Liczba pracowników |
— |
|
faksyleTelefonNumer |
faksyleTelefonNumer |
— |
|
— |
identyfikator jabber |
Ten atrybut chmury odnosi się do adresów wiadomości błyskawicznych (typ XMPP) używanych przez Jabbera. Ta wartość nie jest taka sama jak adres sipAddresses. |
|
l |
l |
Ten atrybut określa miejscowość użytkownika. |
|
— |
język |
— |
|
menedżer |
menedżer |
Ten atrybut jest używany dla nazwy menedżera użytkownika, która jest wyświetlana na karcie kontaktu i informacjach o użytkowniku. |
|
przenośne |
przenośne |
Ten atrybut jest używany jako numer telefonu komórkowego wyświetlany do nawiązania połączenia z użytkownikiem z karty kontaktu. |
|
o |
o |
Ten atrybut określa nazwę firmy lub organizacji i jest wyświetlany na karcie kontaktu. |
|
lub |
lub |
Ten atrybut określa nazwę jednostki organizacyjnej. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Ten atrybut określa lokalizację biura użytkownika. |
|
Kod pocztowy |
Kod pocztowy |
Ten atrybut określa kod pocztowy użytkownika do fizycznego dostarczania poczty. |
|
preferowanyJęzyk |
preferowanyJęzyk |
Ten atrybut ustawia preferowany język użytkownika oraz obsługiwane są następujące formaty: xx_YY lub xx-YY. Oto kilka przykładów: en_US, en_GB, fr-CA. Jeśli używasz nieobsługiwanego języka lub nieprawidłowego formatu, preferowany język użytkowników zostanie zmieniony na język ustawiony dla organizacji. |
|
MSRTCSIP - główny adres użytkownika Telefon ipPhone |
Adresy Sip;type=przedsiębiorstwo |
Ten atrybut jest używany do synchronizacji informacji o pokoju lokalnym z usługi Active Directory z chmurą Cisco Webex. |
|
sn |
sn |
Ten atrybut jest używany dla nazwiska konta użytkownika wyświetlanego w Control Hub, na karcie kontaktu i informacjach o użytkowniku. |
|
st. |
st. |
Ten atrybut określa stan lub prowincję użytkownika. |
|
ulicaAdres |
ulica |
Ten atrybut określa adres ulicy użytkownika do fizycznej dostawy poczty. |
|
numer telefonu |
numer telefonu |
Ten atrybut określa główny (służbowy) numer telefonu użytkownika służący do nawiązania połączenia z użytkownikiem z karty kontaktu. |
|
— |
strefa czasowa |
Ten atrybut chmury określa strefę czasową użytkownika. |
|
tytuł |
tytuł |
Ten atrybut określa tytuł użytkownika, który pojawia się na karcie kontaktu i informacjach o użytkowniku. |
|
wpisz |
przedsiębiorstwo |
— |
|
*poczta *Główna nazwa użytkownika |
identyfikator użytkownika |
Obowiązkowe mapowanie atrybutów. Dla każdego konta użytkownika wartość usługi Active Directory jest mapowana na unikatowy identyfikator UID w chmurze. W niektórych przypadkach do logowania się służy nazwa userPrincipalName, ale do zarządzania kalendarzem użytkownika jest używany jego adres e-mail. Należy podać adres e-mail dla map zarządzania kalendarzem na główne pole adresu e-mail w usłudze Webex. Dodaj userPrincipalName jako alternatywny adres e-mail. Użytkownik może wówczas użyć dowolnego z tych adresów e-mail do zalogowania się, o ile działa prawidłowe mapowanie atrybutów SAML. Zobacz Przykładowe mapowanie atrybutów poniżej, aby dowiedzieć się, jak można zmapować alternatywny adres e-mail. |
|
*Główna nazwa użytkownika *poczta <atrybut niestandardowy> |
wiadomości e-mail; praca typu |
To mapowanie jest opcjonalne. Użyj go, jeśli chcesz używać alternatywnych adresów e-mail. To jest adres e-mail używany do uwierzytelniania; nie jest używany do zarządzania kalendarzem. Adres e-mail mapowany z usługi AD musi pochodzić ze zweryfikowanej domeny w ramach organizacji, być unikatowy i nie musi być przypisany do innego użytkownika. |
|
<Nowy atrybut obiektuId użytkownika platformy Azure> |
Identyfikator zewnętrzny |
Utwórz nowy atrybut Active Directory, aby zachować identyfikator obiektu użytkownika platformy Azure, tak aby nie zderzył się z istniejącym atrybutem. Ten atrybut jest następnie mapowany na atrybut externalId, zapewniając, że gdy użytkownicy Webex tworzą grupy w Microsoft 365, automatycznie tworzą zespoły w Webex. |
Mapowanie alternatywnego adresu e-mail
Wyrażenia dla niestandardowych atrybutów
|
Operator |
Opis i przykład |
|---|---|
|
% |
Usuwa wszystkie znaki od początku ciągu do pozycji znaku lub argumentu ciągu, jeśli są dopasowane.
|
|
- |
Przesuwa tył ciągu wejściowego od końca określonego ciągu.
|
|
+ |
Powoduje złożenie ciągów wejściowych lub wyrażeń.
|
|
| |
Dokonuje oceny wyrażeń oddzielonych od pustego ciągu i wybiera pierwszy niepusty wynik.
|
Synchronizuj awatary katalogu z atrybutu usługi Active Directory do chmury
Możesz zsynchronizować awatary katalogu użytkowników z chmurą, aby każdy awatar był wyświetlany po zalogowaniu się do aplikacji Webex. Ta procedura służy do synchronizowania surowych danych awatara z atrybutu Active Directory.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, kliknij pozycję Awatar, a następnie zaznacz pole wyboru Włącz. |
| 2 |
W polu Pobierz awatar z wybierz atrybut AD, a następnie wybierz atrybut Awatar zawierający surowe dane awatara, które chcesz zsynchronizować z chmurą. |
| 3card symbol |
Aby sprawdzić, czy awatar jest poprawnie dostępny, wprowadź adres e-mail użytkownika, a następnie kliknij opcję Pobierz awatar użytkownika. Awatar pojawi się po prawej stronie. |
| 4 |
Po sprawdzeniu, czy awatar pojawił się poprawnie, kliknij przycisk Zastosuj, aby zapisać zmiany. |
-
Zsynchronizowane obrazy stają się domyślnym awatarem dla użytkowników w aplikacji Webex. Użytkownicy nie mogą ustawić własnego awatara, gdy ta funkcja zostanie włączona z poziomu łącznika usług katalogowych.
-
Awatary użytkowników są synchronizowane zarówno z aplikacją Webex, jak i ze wszystkimi pasującymi kontami w witrynie Webex.
Co zrobić dalej
Wykonaj synchronizację przebiegu próbnego; jeśli nie ma problemów, wykonaj pełną synchronizację, aby umożliwić synchronizację kont użytkowników i awatarów usługi Active Directory z chmurą i wyświetlenie ich w portalu Control Hub.
Synchronizuj awatary katalogu Z serwera zasobów do chmury
Możesz zsynchronizować awatary katalogu użytkowników z chmurą, aby każdy awatar był wyświetlany po zalogowaniu się do aplikacji Webex. Ta procedura służy do synchronizowania awatarów z serwera zasobów.
Przed rozpoczęciem
-
Wzorzec URI i wartość zmiennej w tej procedurze są przykładami. Musisz używać rzeczywistych adresów URL, w których znajdują się awatary katalogów.
-
Wzorzec URI awatara i serwer, na którym znajdują się awatary, muszą być dostępne z poziomu aplikacji Directory Connector. Konektor wymaga dostępu do obrazów w protokole HTTP lub HTTPS, ale obrazy nie muszą być publicznie dostępne w Internecie.
-
Synchronizacja danych awatara jest oddzielona od profili użytkowników w usłudze Active Directory. Jeśli jest uruchomiony serwer proxy, należy się upewnić, że dane awatara są dostępne za pomocą uwierzytelniania NTLM lub uwierzytelniania podstawowego.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, kliknij pozycję Awatar, a następnie zaznacz pole wyboru Włącz. |
| 2 |
W polu Pobierz awatar z wybierz pozycję Serwer zasobów, a następnie wprowadź wzorzec URI awatara, na przykład Przyjrzyjmy się każdej części wzorca URI awatara i co one oznaczają:
|
| 3card symbol |
(Opcjonalnie) Jeśli serwer zasobów wymaga poświadczeń, zaznacz opcję Ustaw poświadczenia użytkownika dla awatara, a następnie wybierz opcję Użyj bieżącego użytkownika logowania do usługi lub Użyj tego użytkownika i wprowadź hasło. |
| 4 |
Wprowadź wartość zmiennej — na przykład: |
| 5. |
Kliknij przycisk Testuj, aby upewnić się, że wzorzec URI awatara działa poprawnie. W tym przykładzie, jeśli wartością poczty dla jednego wpisu usługi AD jest |
| 6 |
Gdy informacje o identyfikatorze URI zostaną zweryfikowane i wyglądają poprawnie, kliknij przycisk Zastosuj. Aby uzyskać szczegółowe informacje na temat używania wyrażeń regularnych, zobacz Skrócona instrukcja obsługi języka wyrażeń regularnych firmy Microsoft. |
-
Zsynchronizowane obrazy stają się domyślnym awatarem dla użytkowników w aplikacji Webex. Użytkownicy nie mogą ustawić własnego awatara, gdy ta funkcja zostanie włączona z poziomu łącznika usług katalogowych.
-
Awatary użytkowników są synchronizowane zarówno z aplikacją Webex, jak i ze wszystkimi pasującymi kontami w witrynie Webex.
Co zrobić dalej
Wykonaj synchronizację przebiegu próbnego; jeśli nie ma problemów, wykonaj pełną synchronizację, aby umożliwić synchronizację kont użytkowników i awatarów usługi Active Directory z chmurą i wyświetlenie ich w portalu Control Hub.
Synchronizuj informacje o pokoju w siedzibie z chmurą Webex
Ta procedura służy do synchronizowania informacji o lokalnym pokoju z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia pokojowe ze skonfigurowanym, zmapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach Webex zarejestrowanych w chmurze (Room, Desk i Board).
| 1 |
W Directory Connector przejdź do pozycji Synchronizuj, kliknij więcej |
| 2 |
Zaznacz opcję Synchronizuj informacje o pokoju z chmurą, aby oddzielić dane pokoju od danych użytkowników podczas synchronizacji. Gdy to ustawienie jest wyłączone, dane pokoju są traktowane tak samo jak dane zsynchronizowane przez użytkowników. |
| 3card symbol |
Przejdź do pozycji Mapowanie atrybutów, a następnie zmień mapowanie atrybutów dla atrybutu sipAddresses;type=enterprise w chmurze. Aby można było użyć sprawdzania poprawności wartości, wartością adresu SIP powinna być Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Tworzenie skrzynki pocztowej zasobów pokoju w programie Exchange. Spowoduje to dodanie atrybutu msExchResourceMetaData;ResourceType:Room, którego łącznik używa następnie do identyfikowania pokojów.
|
| 5. |
Z użytkowników i komputerów usługi Active Directory przejdź do właściwości pokoju i edytuj je. Dodaj w pełni kwalifikowany identyfikator URI SIP z przedrostkiem sip:
|
| 6 |
Wykonaj synchronizację przebiegu próbnego, a następnie pełną synchronizację przebiegu w konektorze. Nowe obiekty pokoju są wyświetlane na liście Dodane obiekty, a dopasowane obiekty pokoju są wyświetlane w Obiekty dopasowane w raporcie przebiegu próbnego. Wszystkie obiekty pokojów oznaczone flagą usunięcia znajdują się w obszarze Pokoje usunięte.
Wyniki przebiegu próbnego pokazują wszystkie zasoby pokojów, które zostały dopasowane.
To ustawienie oddziela dane pokoju Active Directory (w tym atrybut pokoju) od danych użytkownika. Po zakończeniu synchronizacji statystyki chmury w pulpicie nawigacyjnym łącznika pokazują dane pokojów, które zostały zsynchronizowane z chmurą.
|
Co zrobić dalej
Teraz, po wykonaniu tych czynności, podczas wyszukiwania na urządzeniu zarejestrowanym w chmurze Webex zostaną wyświetlone zsynchronizowane wpisy pokojów skonfigurowane z adresami SIP. Po nawiązaniu połączenia z urządzenia Webex na tym wpisie połączenie jest nawiązywane na adres SIP skonfigurowany dla pokoju.
Z Control Hub można automatycznie importować pokoje z katalogu i tworzyć obszary robocze.
Punkt końcowy nie może nawiązać połączenia zwrotnego do aplikacji Webex. W przypadku testowych wybierania numerów urządzenia te muszą być zarejestrowane jako lokalny identyfikator URI SIP lub miejsce inne niż aplikacja Webex. Jeśli system pokojów Active Directory, którego szukasz, jest zarejestrowany w usłudze Webex, a ten sam adres e-mail znajduje się na urządzeniu Webex Room Device, urządzeniu Desk lub Webex Board dla usługi kalendarza, wyniki wyszukiwania nie wyświetlają zduplikowanego wpisu. Urządzenie Room, Desk lub Board jest wybierane bezpośrednio w aplikacji Webex, a połączenie SIP nie jest nawiązywane.
Wysyłanie raportów e-mail dotyczących wyników synchronizacji katalogów
Domyślnie kontakty lub administratorzy organizacji zawsze otrzymują powiadomienia e-mail. Dzięki temu ustawieniu możesz określić, kto powinien otrzymywać powiadomienia e-mail podsumowujące raporty synchronizacji katalogów.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja, a następnie wybierz pozycję Powiadomienia. |
| 2 |
W Łączniku usług katalogowych kliknij pozycję Ustawienia, a obok pozycji Odbiornik wiadomości e-mail włącz synchronizację raportu. |
| 3card symbol |
Zaznacz opcję Włącz powiadomienia, jeśli chcesz zastąpić domyślne działanie powiadomień i dodać jednego lub więcej odbiorców wiadomości e-mail. |
| 4 |
Kliknij przycisk Dodaj, a następnie wprowadź adres e-mail. W przypadku wprowadzenia adresu e-mail o nieprawidłowym formacie zostanie wyświetlony komunikat z prośbą o naprawienie problemu, zanim będzie można zapisać i zastosować zmiany. |
| 5. |
Kliknij Dodaj adres e-mail, a następnie wprowadź adres e-mail. W przypadku wprowadzenia adresu e-mail o nieprawidłowym formacie zostanie wyświetlony komunikat z prośbą o naprawienie problemu, zanim będzie można zapisać i zastosować zmiany. |
| 6 |
Jeśli chcesz edytować wprowadzone adresy e-mail, kliknij dwukrotnie wpis e-mail w lewej kolumnie, a następnie wprowadź niezbędne zmiany. |
| 7 |
Po dodaniu wszystkich prawidłowych adresów e-mail kliknij opcję Zastosuj. |
| 8 |
Po dodaniu wszystkich prawidłowych adresów e-mail kliknij przycisk Zapisz. |
Co zrobić dalej
Jeśli zdecydowano, że chcesz usunąć adresy e-mail, możesz kliknąć wiadomość e-mail, aby zaznaczyć ten wpis, a następnie kliknąć opcję Usuń.
Jeśli zdecydowano, że chcesz usunąć adresy e-mail, możesz kliknąć przycisk Usuń obok określonych wpisów adresu e-mail.
Aprowizacja Użytkowników Z Usługi Active Directory Do Control Hub
Wykonaj poniższe czynności, aby skonfigurować użytkowników usługi Active Directory i utworzyć odpowiadające im konta użytkowników w Control Hub. Po zainstalowaniu łącznika usług katalogowych dla każdej domeny można skonfigurować użytkowników z wdrożenia usługi Active Directory w wielu domenach (z jednym lub wieloma lasami). Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Celem jest dokładne dopasowanie między aktywnymi katalogami a chmurą Webex.
| 1 |
Wykonywanie synchronizacji próbnej na użytkownikach usługi Active Directory Przeprowadź przebieg próbny, aby porównać obiekty w lokalnej usłudze Active Directory z obiektami w chmurze Webex. Przebieg próbny pozwala zobaczyć, które obiekty zostaną dodane, zmodyfikowane lub usunięte, zanim uruchomisz pełną lub stopniową synchronizację i zatwierdzisz zmiany w chmurze. |
| 2 |
Wykonaj pełną synchronizację użytkowników usługi Active Directory z chmurą Po uruchomieniu pełnej synchronizacji usługa łącznika wysyła wszystkie odfiltrowane obiekty z usługi Active Directory (AD) do chmury. Usługa łącznika aktualizuje następnie magazyn tożsamości za pomocą wpisów usługi AD. Jeśli utworzono szablon automatycznego przypisywania licencji, możesz przypisać go do nowo zsynchronizowanych użytkowników. |
| 3card symbol |
Przypisz usługi Webex do użytkowników zsynchronizowanych z katalogiem w Control Hub Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych w Control Hub można przypisać licencje usług Webex przy użyciu różnych metod. Zalecamy skonfigurowanie szablonu automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory. Po tym początkowym kroku można również wprowadzić indywidualne zmiany. |
Wykonywanie synchronizacji próbnej na użytkownikach usługi Active Directory
Przeprowadź przebieg próbny, aby porównać obiekty w lokalnej usłudze Active Directory z obiektami w chmurze Webex. Przebieg próbny pozwala zobaczyć, które obiekty zostaną dodane, zmodyfikowane lub usunięte, zanim uruchomisz pełną lub stopniową synchronizację i zatwierdzisz zmiany w chmurze.
Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Dzięki Łącznikowi usług katalogowych celem jest dokładne dopasowanie między Active Directories a chmurą Webex.
Jeśli w jednym lub wielu lasach znajduje się wiele domen, wykonaj ten krok w każdym wystąpieniu łącznika usług katalogowych Cisco, które zainstalowałeś dla każdej domeny Active Directory.
Przed rozpoczęciem
Przed użyciem łącznika usług katalogowych niektórzy użytkownicy aplikacji Webex mogą już znajdować się w Control Hub. Wśród użytkowników w chmurze niektórzy mogą pasować do lokalnego obiektu Active Directory i mieć przypisane licencje na usługi. Ale niektóre z nich mogą być użytkownikami testowymi, których chcesz usunąć podczas synchronizacji. Należy utworzyć dokładne dopasowanie między usługą Active Directory i Control Hub.
| 1 |
Wybierz jedną z nich:
Po zakończeniu przebiegu próbnego zostanie wyświetlony jeden z następujących wyników:
Podsumowanie zawiera informacje o dopasowywaniu obiektów:
Przebieg próbny identyfikuje użytkowników poprzez porównanie ich z użytkownikami domeny. Aplikacja może zidentyfikować użytkowników, jeśli należą do bieżącej domeny. W następnym kroku musisz zdecydować, czy usunąć obiekty, czy zachować je. Niedopasowane obiekty są identyfikowane jako istniejące już w chmurze Webex, ale nie istnieją w lokalnej usłudze Active Directory. |
| 2 |
Przejrzyj wyniki uruchomienia próbnego, a następnie wybierz opcję w zależności od tego, czy korzystasz z jednej czy wielu domen:
|
| 3card symbol |
W wierszu Potwierdź przebieg próbny kliknij przycisk Tak, aby ponowić synchronizację przebiegu próbnego i wyświetl pulpit nawigacyjny, aby zobaczyć wyniki. Wszystkie konta, które zostały pomyślnie zsynchronizowane w przebiegu próbnym, pojawiają się w sekcji Dopasowane obiekty. Jeśli użytkownik w chmurze nie ma odpowiadającego użytkownika z tym samym adresem e-mail w usłudze Active Directory, pozycja ta znajduje się w sekcji Usunięci użytkownicy. Aby uniknąć tej flagi usuwania, możesz dodać użytkownika w usłudze Active Directory z tym samym adresem e-mail. Aby wyświetlić szczegóły zsynchronizowanych elementów, kliknij odpowiednią kartę dla określonych elementów lub Dopasowane obiekty. Aby zapisać informacje podsumowania, kliknij opcję Zapisz wyniki w pliku. |
| 4 |
Jeśli oczekiwane wyniki są oczekiwane, przejdź do , a następnie kliknij przycisk Włącz teraz, aby wykonać synchronizację ręczną i uruchomić w tym momencie tryb ręczny. Po wykonaniu synchronizacji w ostatniej domenie Active Directory w wdrożeniu wielu domen należy włączyć tryb automatyczny dla łącznika usług katalogowych. Tryb automatyczny można włączyć tylko wtedy, gdy obiekty są całkowicie dopasowane między chmurą Webex a wszystkimi lokalnymi aktywnymi katalogami. |
Co zrobić dalej
-
W przypadku jakichkolwiek zachowanych niedopasowanych obiektów użytkownika należy je dodać do usługi Active Directory, aby istniało dokładne dopasowanie między środowiskiem lokalnym a chmurą.
-
Wybierz typ synchronizacji:
-
Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut (w wersjach 3.4 i starszych) lub co 4 godziny (w wersjach 3.5 i nowszych), ale można zmienić tę wartość. Synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji.
-
Jeśli masz wiele domen, powtórz te kroki na każdym innym zainstalowanym łączniku usług katalogowych.
O czym należy pamiętać
-
Przeprowadź przebieg próbny przed włączeniem pełnej synchronizacji lub zmianą parametrów synchronizacji. Jeśli przebieg próbny został zainicjowany przez zmianę konfiguracji, można zapisać ustawienia po jego ukończeniu. Jeśli użytkownicy zostali już dodani ręcznie, synchronizacja z usługą Active Directory może spowodować usunięcie poprzednio dodanych użytkowników. Przed pełną synchronizacją z chmurą można sprawdzić raporty Dry Run łącznika usług katalogowych, aby sprawdzić, czy wszyscy oczekiwani użytkownicy są obecni.
-
Jeśli dopasowani użytkownicy są oznaczeni jako usunięci i nie masz pewności, jak kontynuować, zapoznaj się z informacjami o rozwiązywaniu problemów i jak skontaktować się z pomocą techniczną w sekcji Rozwiązywanie problemów i poprawki dotyczące łącznika usług katalogowych.
Usunięci użytkownicy są przechowywani w usłudze tożsamości w chmurze przez 7 dni przed ich trwale usunięciem.
Wykonaj pełną synchronizację użytkowników usługi Active Directory z chmurą
Po uruchomieniu pełnej synchronizacji usługa łącznika wysyła wszystkie odfiltrowane obiekty z usługi Active Directory (AD) do chmury. Usługa łącznika aktualizuje następnie magazyn tożsamości za pomocą wpisów usługi AD. Jeśli utworzono szablon automatycznego przypisywania licencji, możesz przypisać go do nowo zsynchronizowanych użytkowników.
Jeśli masz wiele domen, wykonaj ten krok w każdym wystąpieniu łącznika usług katalogowych, które zainstalowałeś dla każdej domeny Active Directory.
Łącznik usług katalogowych synchronizuje stan konta użytkownika — w usłudze Active Directory wszyscy użytkownicy oznaczeni jako wyłączeni są również wyświetlani jako nieaktywni w chmurze.
Przed rozpoczęciem
-
Jeśli chcesz, aby konta użytkowników aplikacji Webex były w stanie Aktywne po pełnej synchronizacji i przed pierwszym zalogowaniem się użytkowników, musisz wykonać następujące czynności, aby pominąć sprawdzanie poprawności wiadomości e-mail:
-
Zintegruj jednokrotne logowanie ze swoją organizacją Webex. Patrz
Jednokrotne logowanie przy użyciu usług Cisco Webex i dostawcy tożsamości organizacji
aby uzyskać więcej informacji. -
Za pomocą Control Hub można zweryfikować i opcjonalnie zgłosić domeny zawarte w adresach e-mail. Patrz
Dodawanie, weryfikowanie i zgłaszanie praw do domen
. -
Pomijaj automatyczne zaproszenia e-mail, aby nowi użytkownicy nie otrzymywali automatycznego zaproszenia e-mail do aplikacji Webex. (Możesz wykonać własną kampanię wiadomości e-mail).
Aktywowani użytkownicy, którzy nie zalogowali się, są wyświetlani ze stanem Zweryfikowany w Control Hub. Po zalogowaniu się są wyświetlane jako Aktywne. Aby uzyskać więcej informacji o stanach użytkowników, zobacz Stany i czynności użytkowników w Cisco Webex Control Hub.
-
-
Po włączeniu synchronizacji łącznik usług katalogowych prosi o najpierw uruchomienie próbne. Zalecamy uruchomienie próbne przed pełną synchronizacją w celu wykrycia potencjalnych błędów.
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
Jeśli nie używasz szablonów automatycznego przypisywania licencji, nowo zsynchronizowani użytkownicy automatycznie otrzymają darmowe licencje. Użytkownicy będą mogli korzystać z tych samych bezpłatnych funkcji, co w przypadku bezpłatnych kont.
| 1 |
Wybierz jedną z nich:
|
| 2 |
W Directory Connector przejdź do pozycji Synchronizuj, kliknij więcej |
| 3card symbol |
Potwierdź rozpoczęcie synchronizacji. W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany do 72 godzin po wykonaniu synchronizacji. Możesz spróbować wyczyścić lokalną pamięć podręczną aplikacji Webex, wykonując następujące czynności: Windows lub Mac.
|
| 4 |
Kliknij przycisk Odśwież, jeśli chcesz zaktualizować stan synchronizacji. (Zsynchronizowane elementy są wyświetlane w obszarze Statystyki chmury). |
| 5. |
Aby uzyskać informacje o błędach, wybierz pozycję Uruchom przeglądarkę zdarzeń na pasku narzędzi Czynności, aby wyświetlić dzienniki błędów. |
| 6 |
Aby ustawić harmonogram synchronizacji dla bieżących synchronizacji przyrostowych z chmurą, zobacz Ustawianie harmonogramu łącznika i Uruchamianie synchronizacji przyrostowej. |
-
Po zakończeniu pełnej synchronizacji stan synchronizacji katalogów zostanie zaktualizowany z Wyłączony na Działający na stronie Ustawienia w Control Hub.
-
Gdy wszystkie dane zostaną dopasowane między środowiskiem lokalnym a chmurą, łącznik usług katalogowych zmienia się z trybu ręcznego na tryb automatycznej synchronizacji.
-
Jeśli nie zintegrujesz jednokrotnego logowania, zweryfikujesz domeny i opcjonalnie zgłosisz domeny dla zsynchronizowanych kont e-mail oraz wyłączysz automatyczne wiadomości e-mail, konta użytkowników aplikacji Webex pozostają w stanie Niezweryfikowany do czasu, aż użytkownicy po raz pierwszy zalogują się do aplikacji Webex w celu potwierdzenia swoich kont. Wskazówki na temat synchronizowania kont jako Aktywnych użytkowników można znaleźć w sekcji Przed rozpoczęciem.
-
Jeśli masz wiele domen, wykonaj ten krok przy użyciu dowolnego innego łącznika usług katalogowych, który został zainstalowany. Po synchronizacji użytkownicy we wszystkich dodanych domenach są wyświetlani w Control Hub.
-
Jeśli zintegrowano jednokrotne logowanie z usługą Webex i zablokowano powiadomienia e-mail, zaproszenia e-mail nie będą wysyłane do nowo zsynchronizowanych użytkowników.
-
Po włączeniu łącznika usług katalogowych nie można ręcznie dodawać użytkowników w Control Hub. Po włączeniu tej opcji zarządzanie użytkownikami jest wykonywane za pomocą łącznika usług katalogowych Cisco, a usługa Active Directory jest jedynym źródłem prawdy.
-
Wszystkie zsynchronizowane grupy są wyświetlane w portalu Control Hub i można przypisać szablon licencji, dzięki czemu użytkownikom w tej grupie zostaną przypisane licencje.
Co zrobić dalej
-
Usunięcie użytkownika z usługi Active Directory powoduje jego miękkie usunięcie po następnej synchronizacji. Użytkownik staje się nieaktywny, ale profil tożsamości w chmurze jest przechowywany przez siedem dni (aby umożliwić odzyskanie po przypadkowym usunięciu).
Jeśli zaznaczysz opcję Konto jest wyłączone w usłudze Active Directory, użytkownik staje się Nieaktywny po następnej synchronizacji. Profil tożsamości w chmurze nie zostanie usunięty po siedmiu dniach, na wypadek, gdy chcesz ponownie włączyć użytkownika.
-
Zwróć uwagę na następujące wyjątki od synchronizacji przyrostowej (zamiast tego wykonaj pełne czynności synchronizacji powyżej):
-
W przypadku zaktualizowanego awatara, ale bez żadnej innej zmiany atrybutu, synchronizacja przyrostowa nie aktualizuje awatara użytkownika do chmury.
-
Zmiany konfiguracji mapowania atrybutów, podstawowej nazwy DN, filtru i ustawienia awatara wymagają pełnej synchronizacji.
-
Przypisz usługi Webex do użytkowników zsynchronizowanych z katalogiem w Control Hub
Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych Cisco w Control Hub możesz użyć narzędzia Control Hub, aby przypisać te same licencje usługi Webex jednocześnie wszystkim użytkownikom lub dodać dodatkowe licencje nowym użytkownikom, jeśli skonfigurowano już szablon licencji przypisanych automatycznie. Po tym początkowym kroku można wprowadzić zmiany na koncie poszczególnych użytkowników.
Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych w Control Hub możesz użyć metod w Control Hub, aby globalnie przypisywać licencje usług Webex do wszystkich użytkowników, użytkowników indywidualnych, za pomocą zbiorczego szablonu CSV lub automatycznie do nowych użytkowników, jeśli został już skonfigurowany szablon automatycznego przypisywania licencji. Po tym początkowym kroku można wprowadzić zmiany na koncie poszczególnych użytkowników.
Gdy przypiszesz licencję użytkownikowi aplikacji Webex, ten użytkownik domyślnie otrzymuje wiadomość e-mail potwierdzającą przypisanie. Wiadomość e-mail jest wysyłana przez usługę powiadomień w Control Hub. Jeśli zintegrowano logowanie jednokrotne (SSO) z organizacją Webex, możesz również wyłączyć te automatyczne powiadomienia e-mail, jeśli wolisz bezpośrednio kontaktować się z użytkownikami.
Przed rozpoczęciem
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
-
Wykonaj synchronizację przebiegu próbnego u użytkowników usługi Active Directory.
-
Po potwierdzeniu wyników przebiegu próbnego wykonaj pełną synchronizację użytkowników usługi Active Directory.
W momencie pełnej synchronizacji użytkownik jest tworzony w chmurze, nie są dodawane żadne przypisania usług, a aktywacyjna wiadomość e-mail nie jest wysyłana. Jeśli wiadomości e-mail nie zostaną zablokowane, nowi użytkownicy otrzymają aktywacyjną wiadomość e-mail podczas przypisywania usług do użytkowników za pomocą standardowej metody zarządzania użytkownikami w Control Hub, takiej jak importowanie pliku CSV, ręczna aktualizacja użytkownika lub poprzez pomyślne ukończenie automatycznego przypisywania.
| 1 |
W widoku klienta w witrynie https://admin.webex.com przejdź do sekcji , kliknij opcję Zarządzaj użytkownikami, wybierz opcję Modyfikuj zsynchronizowanych użytkowników i kliknij przycisk Dalej. |
| 2 |
Wybierz opcję: |
Co zrobić dalej
-
Jeśli wiadomości e-mail nie są blokowane, do każdego użytkownika wysyłana jest wiadomość e-mail z zaproszeniem do dołączenia i pobrania usługi Webex.
-
Jeśli wybrano te same usługi Webex dla wszystkich użytkowników, następnie można zmienić licencje przypisane indywidualnie lub zbiorczo.
Znane problemy z łącznikiem usług katalogowych
-
W wersjach Windows Server wcześniejszych niż 2012 R2 wystąpił problem z plikami cookie, który wpływa na łącznik usług katalogowych. Ten problem został rozwiązany w wersjach 2012 R2 i 2016.
-
W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany po 72 godzinach od wykonania synchronizacji.
Możesz spróbować wyczyścić lokalną pamięć podręczną aplikacji Webex, wykonując następujące czynności: Windows lub Mac.
-
Gdy użytkownik korzysta z aplikacji Webex na komputerze lub urządzeniu przenośnym, aby wyszukać i nawiązać połączenie z pokojem, który ma tylko zsynchronizowany identyfikator URI SIP, wówczas połączenie będzie dzwonić w tej chwili bez końca.
Zarządzanie użytkownikami aplikacji Webex
Uruchom synchronizację przyrostową
Synchronizacja przyrostowa wysyła zapytanie do usługi Active Directory i szuka zmian, które wystąpiły od czasu ostatniej synchronizacji. Ten krok następnie łączy te zmiany i wysyła je do usługi łącznika. Zmiany obejmują modyfikację atrybutów użytkowników oraz sposób dodawania lub usuwania użytkownika.
Ta synchronizacja nie nakłada tak dużego obciążenia na serwery i nie zajmuje tyle czasu, co pełna synchronizacja. Po wykonaniu początkowej pełnej synchronizacji zalecamy opcję przyrostową dla kolejnych synchronizacji.
Przed rozpoczęciem
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
-
Zwróć uwagę na następujące wyjątki, których synchronizacja przyrostowa nie obsługuje (zamiast tego zobacz Wykonaj pełną synchronizację użytkowników usługi Active Directory do chmury ):
-
W przypadku zaktualizowanego awatara, ale bez żadnej innej zmiany atrybutu, synchronizacja przyrostowa nie aktualizuje awatara użytkownika do chmury.
-
W przypadku nowych zmian konfiguracji mapowania atrybutów, podstawowej nazwy domeny, filtru i ustawienia awatara synchronizacja przyrostowa nie będzie działać i wymagają one pełnej synchronizacji.
-
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. Po włączeniu synchronizacji łącznik usług katalogowych prosi o najpierw uruchomienie próbne. |
| 2 |
W obszarze Czynności kliknij kolejno opcje Tryb synchronizacji > Włącz synchronizację , jeśli nie jest jeszcze włączony. Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut (w wersjach 3.4 i starszych) lub co 4 godziny (w wersjach 3.5 i nowszych), ale można zmienić tę wartość. Synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji. Po upływie nowego interwału czasu przyrostowego program sprawdza zmiany na podstawie ostatniego znacznika czasu. |
| 3 |
W sekcji Czynności kliknij kolejno opcje Synchronizuj teraz > Przyrostowe. W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany po 72 godzinach od wykonania synchronizacji.
|
| 4 |
Aby uzyskać informacje o błędach, kliknij opcję Uruchom przeglądarkę zdarzeń na pasku narzędzi Czynności , aby wyświetlić dzienniki błędów. |
Co zrobić dalej
Jeśli masz wiele domen, wykonaj ten krok w innych zainstalowanych wystąpieniach łącznika usług katalogowych.
Odzyskaj przypadkowo usuniętych użytkowników
Łącznik usług katalogowych udostępnia mechanizmy kontroli i równowagi, aby zapobiec niezamierzonemu usunięciu użytkowników. Niestety zdarzają się wypadki; być może nieprawidłowo skonfigurowałeś filtr LDAP w Active Directory, który usuwał niektórych użytkowników podczas synchronizacji z chmurą. Funkcja miękkiego usuwania może pomóc Ci wyjść z tych awarii i przywrócić konta użytkowników w Control Hub.
Domyślnie ta funkcja jest włączona dla wszystkich organizacji. Gdy użytkownicy zostaną usunięci z chmury, na przykład z powodu problemu z niedopasowanym obiektem po synchronizacji z łącznika usług katalogowych, użytkownicy mogą zostać odzyskani. Jeśli zauważyłeś niedopasowane obiekty lub zauważyłeś, że użytkownicy zostali usunięci, możesz być w stanie je odzyskać, jeśli zachowasz się szybko.
Użytkownicy są oznaczani jako nieaktywni w Control Hub, gdy odpowiednie konta zostaną usunięte z usługi Active Directory. Usługa chmury w tle zachowuje użytkowników przez maks. 7 dni. W tym okresie nadal będzie można korzystać z łącznika usług katalogowych Cisco do odzyskiwania użytkowników. Zalecamy jak najszybsze odzyskanie tych użytkowników.
Użytkownicy wyłączeni w usłudze Active Directory są również oznaczani jako nieaktywni w portalu Control Hub, ale konto użytkownika nie zostanie usunięte po 7 dniach.
| 1 |
Zaloguj się do centrum sterowania. |
| 2 |
Przejdź do opcji Użytkownicy i potwierdź, czy określone konto użytkownika jest w stanie Nieaktywne, czy nie jest wymienione na liście. Aby uzyskać więcej informacji, zobacz Stany i czynności użytkowników w Control Hub. |
| 3 |
Jeśli użytkownicy zostali usunięci w Control Hub lub zauważysz użytkowników w stanie nieaktywnym, przejdź do usługi Active Directory, dodaj brakujące konta użytkowników, a następnie wykonaj synchronizację przebiegu próbnego w łączniku usług katalogowych. Celem łącznika usług katalogowych jest stworzenie dokładnego dopasowania informacji o użytkownikach w usłudze Active Directory i w chmurze. |
| 4 |
Wykonaj pełną synchronizację, aby ponownie zsynchronizować tymczasowo usunięte konta użytkowników z Control Hub. Nastąpi odzyskanie użytkowników i przejście do stanu pierwotnego, w tym stanu konta i przypisań usług. |
Co zrobić dalej
Wróć do usługi Control Hub, wybierz kolejno opcje i upewnij się, że wcześniej usunięte konta użytkowników pojawiają się na liście użytkowników.
Trwałe usuwanie użytkowników po usunięciu programowym
Po wykonaniu przebiegu próbnego można zdecydować się na trwałe usunięcie użytkowników, którzy zostali miękko usunięci podczas następnej synchronizacji.
| 1 |
Po zakończeniu przebiegu próbnego wybierz pozycję Obiekty usunięte programowo. |
| 2 |
Zaznacz pole wyboru obok użytkowników, których chcesz usunąć. |
| 3 |
Wybierz opcję Gotowe. |
Co zrobić dalej
Podczas następnej synchronizacji zaznaczeni użytkownicy zostaną trwale usunięci.
Zmienianie adresu e-mail aplikacji Webex
Jeśli chcesz zmienić adresy e-mail użytkowników, a Twoja organizacja korzysta z Directory Connector, zmień te adresy e-mail w usłudze Active Directory. Ta procedura obejmuje sposób zmiany adresu e-mail aplikacji Webex dla pojedynczej domeny oraz proces zmiany domeny.
Jeśli chcesz zmienić adres e-mail lub jakąś wartość tylko dla jednego użytkownika, nie usuwaj go z usługi Active Directory, a następnie odtwórz nowy przy użyciu tego samego adresu e-mail. Chmura interpretuje tę czynność jako nowe konto użytkownika, a obszary użytkownika i inne dane w chmurze zostaną utracone.
Directory Connector nie ogranicza zmiany domeny e-mail. Jednak gdy użytkownik ponownie zsynchronizuje się z chmurą, stan użytkownika jest zależny od tego, czy nowa domena jest zweryfikowana w organizacji. Jeśli domena nie jest zweryfikowana w organizacji, stan użytkownika zmieni się na Oczekiwanie po pełnej synchronizacji. Aby uzyskać więcej informacji, zobacz Zarządzanie swoimi domenami.
Jeśli Twoja organizacja nie korzysta z łącznika usług katalogowych, adresy e-mail aplikacji Webex można zmienić na stronie ustawień konta. Aby uzyskać informacje na temat kroków, które użytkownicy mogą wykonać, aby zmienić swoje adresy e-mail, zobacz Zmiana adresu e-mail konta .
Zmiana domeny Active Directory
Ta procedura służy do tworzenia nowych domen i adresów e-mail. Są one synchronizowane z usługą tożsamości w chmurze.
| 1 |
Skonfiguruj nową domenę usługi Active Directory (AD). |
| 2 |
Wyłącz synchronizacje we wszystkich konektorach. |
| 3 |
Odinstaluj wszystkie łączniki. |
| 4 |
Otwórz sprawę, aby zmienić domenę. W zgłoszeniu sprawy poproś o usunięcie konfiguracji domeny i wszystkich atrybutów synchronizacji w organizacji. Przed otwarciem sprawy w celu zmiany domeny upewnij się, że nie uruchomiono synchronizacji. Nie zmieniaj żadnych adresów e-mail użytkowników w usłudze Active Directory, dopóki sprawa nie zostanie rozwiązana. |
| 5 |
Po rozstrzygnięciu sprawy: Przed wykonaniem rzeczywistej synchronizacji uruchom test z łącznikiem usług katalogowych. |
Roszczenie do domeny
Roszczenie o domenę pojawia się, jeśli zgłaszasz prawa do domeny e-mail dla organizacji, aby dowolne konto dołączone było tworzone w płatnej organizacji klienta, a nie w bezpłatnej organizacji konsumenckiej. Prawo do domeny można zgłosić tylko w przypadku pomocy technicznej (więcej informacji można znaleźć pod poniższym linkiem).
Jeśli Directory Connector jest aktywny, a domena została zgłoszona, konta współbieżne nie są tworzone ani w organizacji klienta, ani w bezpłatnej organizacji konsumenckiej. Tylko Directory Connector może aprowizować konta organizacji z usługi Active Directory. Informacje przechowywane w usłudze Active Directory są oryginalnym źródłem. Podczas próby dołączenia konta zaproszony użytkownik otrzyma błąd. Jedynym sposobem, w jaki zaproszony użytkownik może zostać dodany do obszaru aplikacji Webex, jest najpierw użycie łącznika usług katalogowych w celu zainicjowania obsługi konta w Control Hub.
Konwertowanie użytkowników bezpłatnej aplikacji Webex w organizacji zsynchronizowanej z katalogami
Można używać wyłącznie unikatowych adresów e-mail w katalogu aplikacji Webex. Jeśli Twoi użytkownicy zarejestrowali się w bezpłatnej wersji aplikacji Webex, ich konto istnieje w bezpłatnej organizacji konsumenckiej. Aby zarządzać użytkownikami w tej organizacji przy użyciu łącznika usług katalogowych, przed włączeniem łącznika usług katalogowych należy przeprowadzić migrację (przekonwertować) ich do organizacji klienta. Następnie dodajesz użytkowników do usługi Active Directory przy użyciu dokładnego adresu e-mail, a następnie synchronizujesz je z chmurą.
Jeśli nie przekonwertujesz kont przed aktywacją, wyłącz łącznik usług katalogowych, aby je przekonwertować.
Jeśli próbujesz przekonwertować użytkownika, gdy synchronizacja katalogu jest włączona, nie można przekonwertować komunikatu o błędzie . Aby uniknąć problemu, możesz wykonać poniższe czynności jako obejście.
Niektórzy zgłoszeni użytkownicy mogą wyświetlić się z atrybutem movedfrom podczas uruchamiania próbnego. Ci użytkownicy będą na liście Usunięty obiekt zamiast MismatchedObject. Musisz dodać tych użytkowników do listy AD, jeśli chcesz przenieść ich do swojej organizacji.
Jeśli nie dodasz tych użytkowników, wszyscy zostaną usunięci obok Ciebie zsynchronizowani z chmurą.
| 1 |
Wyłącz synchronizację katalogu z łącznika usług katalogowych. |
| 2 |
Postępuj zgodnie z procedurą Konwertuj użytkowników bez licencji w Control Hub , aby przekonwertować użytkownika z bezpłatnej organizacji konsumenckiej na organizację firmową. Ten krok dodaje użytkownika do organizacji, a konto pojawi się w Control Hub. Łącznik usług katalogowych sprawia, że Active Directory jest jedynym źródłem prawdy dla kont użytkowników, a celem jest dokładne dopasowanie usług Active Directory i Control Hub. Przed ponownym włączenia synchronizacji upewnij się, że w usłudze Active Directory są pasujący użytkownicy dla wszystkich ostatnio przekonwertowanych użytkowników. Synchronizacja Suchego Przebiegu może być użyta, aby upewnić się, że nie ma już niezrównanych użytkowników. |
| 3 |
W konektorze usług katalogowych wykonaj synchronizację przebiegu próbnego. Po zakończeniu prowadzenia na sucho sprawdź kartę Dodaj obiekty. Sprawdź, czy przekonwertowani użytkownicy nie zostaną usunięci. Przed ponownym włączeniem synchronizacji należy wykonać przebieg próbny, aby upewnić się, że wszystkie skonwertowane konta użytkowników pojawiają się w usłudze Active Directory. Jeśli włączysz synchronizację, a konta znajdują się tylko w Control Hub, Łącznik usług katalogowych rozróżnia wielkość liter i usunie skonwertowanych użytkowników, których wykryje z niedopasowanymi adresami e-mail (na przykład user1@example.com i User1@example.com). Jeśli którykolwiek z skonwertowanych użytkowników zostanie usunięty, tracą oni wszystkie obszary aplikacji Webex. |
| 4 |
Jeśli masz pewność, że następna synchronizacja nie usunie żadnych kont, włącz ponownie synchronizację katalogu z łączników usług katalogowych. |
Przekonwertowane konta użytkowników nie są aktywowane automatycznie, jeśli domena nie została zweryfikowana. Jeśli na przykład włączono szablon automatycznego przypisywania licencji, a następnie włączono Łącznik usług katalogowych bez weryfikacji domeny, skonwertowani użytkownicy są nieaktywni w zapleczu chmury, dopóki nie potwierdzą swoich adresów e-mail.
Boczne konta użytkowników aplikacji Webex
Gdy zaprosisz innego użytkownika do obszaru w aplikacji Webex, jeśli zaproszony użytkownik nie ma konta aplikacji Webex, zostanie dla niego utworzone konto („współdzielone”). Domyślnie konta utworzone w ten sposób są dodawane do bezpłatnej organizacji konsumenckiej.
Jeśli chcesz zarządzać kontem dołączonym przy użyciu Directory Connector, musisz przekonwertować konto.
Zmiana formatu nazwy użytkownika aplikacji Webex po synchronizacji katalogu
Domyślnie łącznik usług katalogowych mapuje atrybut displayName w usłudze Active Directory na atrybut displayName w chmurze.
Po wykonaniu synchronizacji katalogu może okazać się, że nazwy użytkowników są wyświetlane w formacie .
Ta nazwa użytkownika może być wyświetlana, jeśli atrybut displayName w usłudze Active Directory jest skonfigurowany w ten sposób. Gdy atrybut jest mapowany na displayName w chmurze, nazwy są wyświetlane w formacie w Control Hub.
Aby zmienić format, na ekranie mapowania atrybutów łącznika usług katalogowych: mapuje atrybut usługi Active Directory givenName sn (lub sn givenName) na displayName w nazwach atrybutów w chmurze Cisco.
Alternatywnie, mapuj atrybut sn givenName na displayName:
Możesz również użyć opcji Dostosuj atrybut, jeśli chcesz zmapować własne wyrażenie atrybutu niestandardowego na displayName.
Na przykład wprowadź givenName + "" + sn (imię, spacja, nazwisko) jako wyrażenie. Spowoduje to mapowanie dwóch atrybutów w usłudze Active Directory na adres displayName w chmurze.
Zezwalaj użytkownikom na zmianę nazw wyświetlanych w spotkaniach Webex
Możesz usunąć mapowanie atrybutu displayName z synchronizowania z chmurą w Łączniku usług katalogowych, jeśli chcesz zezwolić użytkownikom na edycję ich preferowanych nazw wyświetlanych. Użytkownicy mogą wprowadzić nazwę wyświetlaną, która ma być wyświetlana podczas spotkań Webex zamiast swojego imienia i nazwiska. Administratorzy mogą również ręcznie zmienić nazwę wyświetlaną użytkownika w Control Hub.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja , a następnie wybierz pozycjęMapowanie atrybutów użytkownika. |
| 2 |
Wybierz opcję displayName w obszarze Nazwa atrybutu chmury Cisco. |
| 3 |
Wybierz opcję Nie synchronizuj tego atrybutu. |
Co zrobić dalej
Użytkownicy mogą teraz edytować swoje nazwy wyświetlane w witrynie Webex.
Rozwiązywanie problemów z łącznikiem usług katalogowych
Uaktualnij do najnowszej wersji oprogramowania
Aby zapewnić zgodność wdrożenia i uzyskać najnowsze funkcje, funkcjonalności, poprawki błędów i ulepszenia zabezpieczeń, należy zawsze uaktualnić łącznik usług katalogowych do najnowszej wersji. Jeśli nie nastąpi aktualizacja do najnowszej dostępnej wersji, mogą wystąpić problemy, takie jak brak prawidłowej synchronizacji łącznika usług katalogowych lub uruchomienie wersji, która nie obsługuje obowiązkowego wymagania TLS 1.2.
Directory Connector automatycznie powiadamia o dostępności nowej wersji. Zawsze uaktualniaj do najnowszej wersji, aby uniknąć problemów. Na pasku zadań systemu Windows wyświetlane jest również powiadomienie.
Chociaż można ręcznie zainstalować aktualizacje oprogramowania łącznika, zalecamy wykonanie czynności opisanych w części Ustawianie automatycznych uaktualnień , aby umożliwić aplikacji automatyczne zarządzanie uaktualnieniami.
| 1 |
Aby rozpocząć proces uaktualniania, kliknij powiadomienie na pasku zadań systemu Windows lub kliknij prawym przyciskiem myszy ikonę Łącznik usług katalogowych na pasku zadań systemu Windows. |
| 2 |
Postępuj zgodnie z instrukcjami, aby wykonać uaktualnienie. |
| 3 |
Uruchom ponownie łącznik i zaloguj się przy użyciu poświadczeń administratora. |
| 4 |
Sprawdź numer wersji oprogramowania w sekcji . |
Co zrobić dalej
Aby przeprowadzić nową instalację łącznika usług katalogowych, można pobrać plik zip , a następnie wykonać czynności instalacji opisane w tym podręczniku.
Konfigurowanie ustawień ogólnych dla Directory Connector
Ta procedura służy do konfigurowania ustawień ogólnych, takich jak nazwa serwera obsługującego Łącznik usług katalogowych, poziomy dzienników, automatyczne uaktualnienia i preferowane ustawienia kontrolerów domen. Nazwa łącznika jest wyświetlana na pulpicie nawigacyjnym w sekcji łączniki wraz z innymi działającymi łącznikami.
| 1 |
W Directory Connector przejdź do sekcji Konfiguracja, a następnie kliknij przycisk General (Ogólne). |
| 2 |
W polu Nazwa łącznika wprowadź nazwę łącznika. To pole zawiera tylko nazwę komputera, na którym obecnie działa łącznik. |
| 3 |
Wybierz poziom dziennika z listy rozwijanej. Domyślnie poziom dziennika jest ustawiony na informacje. Dostępne poziomy dziennika są następujące:
Te ustawienia mają wpływ na wysyłany pocztą e-mail raport synchronizacji. Jeśli ustawisz poziom dziennika na Błąd, w raporcie synchronizacji będą zgłaszane tylko błędy. Jeśli nie istnieją błędy, raport synchronizacji nie zostanie wysłany. Zmień ustawienie na Informacje, a następnie po pełnej synchronizacji będą wyświetlane raporty synchronizacji. (Należy pamiętać, że w przypadku synchronizacji przyrostowej nie są wysyłane żadne raporty, jeśli nie zgłoszono żadnych błędów). |
| 4 |
Wybierz preferowane kontrolery domen , aby ustawić kolejność kontrolerów domen do synchronizowania tożsamości. Dostęp do kontrolerów domeny odbywa się od góry do dołu. Jeśli górny kontroler jest niedostępny, wybierz drugi kontroler z listy. Jeśli na liście nie ma żadnego kontrolera, można uzyskać dostęp do głównego kontrolera. |
| 5 |
Zaznacz opcję Automatycznie uaktualnij do nowej wersji Cisco Directory Connector , jeśli chcesz dokonać automatycznych uaktualnień. Zawsze ważne jest, aby oprogramowanie Cisco Directory Connector było aktualne do najnowszej wersji. Zalecamy sprawdzenie tego ustawienia, aby umożliwić cichą instalację automatycznych aktualizacji oprogramowania, gdy jest dostępne. |
| 6 |
Zaznacz opcję LDAP przez SSL , aby używać bezpiecznego protokołu LDAP (LDAPS) jako protokołu połączenia. Jeśli nie zaznaczysz opcji LDAP przez SSL, łącznik usług katalogowych nadal będzie używał protokołu połączeń LDAP. Protokół połączeń LDAP (Lightweight Directory Application Protocol) i Secure LDAP (LDAPS) to protokoły połączeń używane między aplikacją a kontrolerem domeny w ramach infrastruktury. Komunikacja LDAPS jest szyfrowana i zabezpieczona. |
Skonfiguruj zasady łączników
Możesz ustawić maksymalną liczbę usunięć, które mogą wystąpić podczas synchronizacji. Uruchomiona synchronizacja nie usuwa obiektów z lokalnej usługi Active Directory. Wszystkie obiekty są usuwane tylko z chmury.
Na przykład ustawiono 1 jako wartość wyzwalacza progu usunięcia. Jeśli podczas synchronizacji pełnej lub przyrostowej liczba użytkowników, których chcesz usunąć, jest większa niż wartość ustawienia, łącznik usług katalogowych wyświetla ostrzeżenie. Jeśli klikniesz Zastąp próg, możesz pomyślnie rozpocząć synchronizację przyrostową lub pełną, ale przy następnym uruchomieniu zasad zobaczysz to powiadomienie o zastąpieniu.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja, a następnie wybierz pozycję Zasady. |
| 2 |
Zaznacz pole Włącz usuwanie wyzwalacza progu , jeśli chcesz dodać wyzwalacz progu. Wybranie tej opcji wyzwala alert, jeśli liczba usunięć przekroczy próg. Gdy konto usuwania przekracza wartość zdefiniowaną, synchronizacja nie powiedzie się.
|
| 3 |
Wprowadź maksymalną liczbę żądanych usunięć. Wartość domyślna to 20. Zalecamy, aby nie zwiększać wartości domyślnej. |
| 4 |
Kliknij przycisk Zastosuj. |
Ustaw harmonogram łącznika
Ustaw czas synchronizacji w usłudze Active Directory. Przełączenie awaryjne służy do zapewnienia wysokiej dostępności (HA). Jeśli jedno złącze nie działa, przełączamy się na inne złącze rezerwowe po wstępnie zdefiniowanym interwale.
| 1 |
W Directory Connector kliknij pozycję Konfiguracja, a następnie wybierz pozycję Harmonogram. |
| 2 |
Określ Interwał synchronizacji przyrostowej w minutach. Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut. Pełna synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji. |
| 3 |
Jeśli chcesz zmienić częstotliwość wysyłania raportów, zmień wartość Wysyłaj raporty według czasu . |
| 4 |
Zaznacz opcję Włącz harmonogram pełnej synchronizacji , aby określić dni i godziny, w których ma nastąpić pełna synchronizacja. |
| 5 |
Określ interwał przełączania awaryjnego w minutach. |
| 6 |
Kliknij przycisk Zastosuj. |
Scenariusze wielu domen
Wiele domen jest opartych na priorytecie domeny. W przypadku obiektów, które mają tę samą wartość klucza w różnych domenach, po synchronizacji dane z domeny o wyższym priorytecie ponownie zapisują dane z domeny o niższym priorytecie.
Obiekty o tej samej wartości klucza są połączone w jeden rekord w bazie danych.
Wartością klucza w przypadku „Użytkownik” jest Adres e-mail, natomiast wartością klucza w przypadku „Grupa” jest Nazwa grupy.
Przykładowy przypadek użycia dla wielu domen
W tym przykładzie założono organizację z dwiema domenami — example1.com i example2.com, w kolejności priorytetów.
-
Dodaj użytkownika 1 (e-mail: użytkownik@przyklad1.com) do usługi Active Directory z przyklad1.com.
-
Dodaj grupę1 (nazwa grupy: Testuj) do usługi Active Directory example1.com.
-
Dodaj użytkownika 2 (e-mail: użytkownik@przyklad2.com) do usługi Active Directory na stronie przyklad2.com.
-
Dodaj grupę2 (nazwa grupy: Testuj) w usłudze Active Directory example2.com.
- Synchronizacja na przykładzie1.com
-
W przypadku użycia użytkownicy2 i group2 są zsynchronizowani z chmurą i wyświetlani w menu https://admin.webex.com, podczas gdy user1 i group1 nie są.
Jeśli na przykład wykonasz synchronizację pełną lub przyrostową 1.com, użytkownik1 i group1 zostaną zsynchronizowane. Ponadto użytkownicy2 i group2 są zastępowane informacjami o użytkowniku1 i group1.
Użytkownik1 łączy użytkownika2 z tym samym rekordem w bazie danych; group1 łączy group2 z tym samym rekordem w bazie danych.
- Synchronizacja w przykładzie1.com i przykładzie2.com
-
W przypadku użycia użytkownicy2 i group2 są zsynchronizowani z chmurą i wyświetlani w menu https://admin.webex.com, podczas gdy user1 i group1 nie są.
Należy rozważyć następujące czynności:
- Usuń użytkownika1 i grupę1 z usługi Active Directory, na przykład1.com.
- Wykonaj synchronizację pełną lub przyrostową, na przykład 1.com.
Wynik: informacje o użytkowniku nie zostały zmienione w sekcji https://admin.webex.com. Użytkownik2 nie jest połączony z użytkownikiem1, a grupa2 nie jest połączona z grupą1.
- Wykonaj synchronizację przyrostową, na przykład 2.com.
Wynik: informacje o użytkowniku nie zostały zmienione w sekcji https://admin.webex.com.
- Wykonaj pełną synchronizację na przykład 2.com.
Wynik: Informacje o użytkownikach2 i grupie2 są wyświetlane w sekcji https://admin.webex.com.
Synchronizowanie nowej domeny I zachowywanie istniejącej domeny
Jeśli chcesz zsynchronizować nową domenę (B) przy jednoczesnym utrzymaniu zsynchronizowanych danych użytkownika w innej istniejącej domenie (A), upewnij się, że zainstalowano synchronizację łącznika usług katalogowych dla domeny (B) na obsługiwanym serwerze Windows. Konektor łączy się z nową domeną po początkowej konfiguracji, a informacje o użytkowniku w domenie (A) pozostają niezmienione.
Każda domena musi mieć własny aktywny łącznik. Rozważ dwie domeny z następującą konfiguracją: domena A z łącznikami (ca1) i (ca2) dla lokalnej wysokiej dostępności (HA); domena B z łącznikiem (cb1). (ca1)i (ca2) obsługują domenę A. W tym scenariuszu jeden łącznik jest aktywny, a drugi jest w trybie gotowości (HA). W tym projekcie domena jest zsynchronizowana, ponieważ jeden łącznik jest zawsze aktywny. Tak więc cb1 jest aktywnym łącznikiem dla domeny B, ponieważ domena A ma już aktywny łącznik (ca1 lub ca2).
Ustawianie priorytetu domeny
Ta procedura umożliwia zmianę priorytetu domen Active Directory. Priorytet domeny pozwala określić domenę podstawową, domenę dodatkową itd. Pomaga to, gdy dwóch użytkowników z dwóch różnych domen ma tę samą wartość e-mail zsynchronizowaną z jedną organizacją.
Nie należy korzystać z tej procedury, jeśli w łączniku usług katalogowych jest widoczna jedna domena. Jeśli spróbujesz, łącznik wyświetli komunikat z informacją, że priorytet domeny nie jest wymagany.
Przed rozpoczęciem
Aby uniknąć błędów, zainstaluj lub zaktualizuj łącznik usług katalogowych Cisco do najnowszej wersji. Należy ją pobrać z https://admin.webex.com.
| 1 |
W łączniku usług katalogowych Cisco kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Ustaw priorytet domeny. |
| 3 |
Zaznacz jedną domenę na liście, kliknij przycisk W górę lub W dół, aby zmienić priorytet tej domeny, a następnie kliknij przycisk Zapisz , aby zapisać tę zmianę. Domeny są posortowane według priorytetu od góry do dołu. |
Przełącz domeny
Ta procedura umożliwia ponowne powiązanie łącznika usług katalogowych Cisco z inną domeną.
Przed rozpoczęciem
-
Przed przełączeniem domen upewnij się, że nie są uruchomione żadne zadania synchronizacji.
-
Aby uniknąć błędów, zainstaluj lub zaktualizuj łącznik usług katalogowych Cisco do najnowszej wersji. Należy go pobrać z Control Hub.
| 1 |
W łączniku usług katalogowych Cisco kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Przełącz domenę. |
| 3 |
Jeśli rozumiesz wpływ tej zmiany na Twoje wdrożenie po przeczytaniu przestrogi, a mimo to masz pewność, kliknij przycisk Tak. Po przełączeniu domeny nastąpi wylogowanie z bieżącego łącznika usług katalogowych Cisco, inne domeny w łączniku zostaną wyrejestrowane, a informacje o łączniku na tym komputerze zostaną usunięte. |
| 4 |
Zaloguj się ponownie do łącznika usług katalogowych Cisco i ponownie powiąż domenę. |
Wyłącz synchronizację katalogu
Jeśli musisz zatrzymać synchronizację z łącznika usług katalogowych, możesz ją tymczasowo wyłączyć w Control Hub.
| 1 |
W widoku klienta na stronie https://admin.webex.com wybierz kolejno pozycje , przewiń do pozycji Synchronizacja katalogu i wybierz jedną z nich:
|
| 2 |
Po przeczytaniu monitu kliknij opcję Wyłącz. Synchronizacja zatrzymuje się do czasu ponownego włączenia jej z poziomu łącznika usług katalogowych. |
Usuń mapowanie atrybutów użytkownika
Użyj łącznika usług katalogowych, aby usunąć mapowanie atrybutów Active Directory wcześniej zmapowanych do chmury i zsynchronizowanych z Webex. Po usunięciu mapowania atrybutów wartości atrybutów zostaną usunięte z chmury i nie będą już synchronizowane z usługą Webex. Wartości te można następnie edytować ręcznie.
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Narzędzia > Usuń mapowanie atrybutów użytkownika . |
| 3 |
Wybierz mapowanie, które chcesz usunąć z listy Nazwa atrybutu . |
| 4 |
W obszarze Zakres użytkownika, którego to dotyczy, wybierz jedną z następujących opcji:
|
| 5 |
Kliknij przycisk Zastosuj. |
Zarządzaj zdjęciami profilowymi
Użyj łącznika usług katalogowych, aby zaktualizować zdjęcia profilowe użytkownika lub usunąć puste zdjęcia profilowe użytkownika.
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania , a następnie kliknij kolejno opcje. |
| 3 |
W obszarze Czynności wybierz jedną z następujących opcji:
|
| 4 |
Kliknij przycisk Zastosuj. |
Odinstaluj i dezaktywuj łącznik usług katalogowych
Po odinstalowaniu wystąpienia łącznika usług katalogowych należy je wyrejestrować. Całkowicie usuń łącznik usług katalogowych dla każdego z poniższych scenariuszy:
-
Nie chcesz już korzystać z synchronizacji katalogu.
-
Nie chcesz korzystać z jednego z wielu łączników usług katalogowych (wysoka dostępność).
-
Chcesz zmienić domenę i zainstalować inny łącznik.
Przed rozpoczęciem
-
W systemie może być skonfigurowanych wiele wystąpień łącznika usług katalogowych dla wysokiej dostępności (HA) lub wielu synchronizacji domen. Wyłącz synchronizację, jeśli odinstalowujesz jedyne lub ostatnie pozostałe wystąpienie łącznika usług katalogowych.
-
Przed odinstalowaniem łącznika usług katalogowych zapisz i zamknij wszystkie ważne prace.
| 1 |
Na komputerze z systemem Windows przejdź do Panelu sterowania, a następnie kliknij pozycję Programy i funkcje. |
| 2 |
Z listy programów kliknij pozycję Łącznik usług katalogowych, wybierz pozycję Odinstaluj, a następnie postępuj zgodnie z monitami. Aby dokończyć odinstalowanie, może być konieczne ponowne uruchomienie systemu. |
| 3 |
W widoku klienta na stronie https://admin.webex.com wybierz kolejno pozycje , przewiń do pozycji Synchronizacja katalogu, kliknij pozycję Więcej |
| 4 |
Po przeczytaniu monitu kliknij opcję Dezaktywuj. Jeśli w środowisku o wysokiej dostępności (HA) nie ma innego łącznika usług katalogowych, konta użytkowników nie są już synchronizowane. |
Uruchamianie narzędzia diagnostycznego
Do rozwiązania problemów z wdrożeniem łącznika usług katalogowych można użyć wbudowanego narzędzia diagnostycznego. Narzędzie to jest instalowane jako część łącznika usług katalogowych w wersji 3.4.
Jeśli synchronizacja nie działała prawidłowo, może wystąpić błąd konfiguracji lub sieci. To narzędzie testuje połączenie z LDAP, dzięki czemu możesz samodzielnie zdiagnozować błędy przed skontaktowaniem się z pomocą techniczną. Jeśli narzędzie zwróci jakikolwiek błąd, można wysłać szczegółowe wyniki dziennika do obsługi.
-
Aby uruchomić testy usług domeny Active Directory:
-
Aby uruchomić testy usług katalogowych Active Directory:
-
Aby uruchomić testy protokołu Lightweight Directory Access Protocol (LDAP):
Rozwiązywanie problemów z łącznikiem usług katalogowych Ciso
Rozwiązywanie problemów i poprawki dotyczące łącznika usług katalogowych
W łączniku usług katalogowych może pojawić się komunikat o błędzie lub inny problem. Ponadto, po zsynchronizowaniu przez łącznik usług katalogowych informacji o użytkownikach, łącznik może wysłać Ci raport e-mail z listą wszelkich problemów z synchronizacją. Informacje o występujących problemach, ich możliwych przyczynach i proponowanych rozwiązaniach można znaleźć w poniższych sekcjach.
Instaluj
Łącznik usług katalogowych przestał działać
Otrzymano wiadomości e-mail z powiadomieniem, że Twój łącznik usług katalogowych nie działa.
-
Łącznik usług katalogowych może nie być poprawnie zainstalowany.
-
Łącznik usług katalogowych może nie być uruchomiony.
-
Sieć może być niedostępna.
Wykonaj następujące czynności:
-
Otwórz . Odszukaj łącznik usług katalogowych. Jeśli go tam nie ma, pobierz najnowszą wersję z Control Hub i zainstaluj ją.
-
Otwórz usługę i znajdź usługę Cisco DirSync. Upewnij się, że wyświetlany jest stan Rozpoczęte. Jeśli usługa jest zatrzymana, kliknij prawym przyciskiem myszy i wybierz opcję Rozpocznij, aby ponownie uruchomić usługę.
-
Upewnij się, że serwer, na którym zainstalowano łącznik usług katalogowych, ma dostęp do Internetu.
Błąd ponownej instalacji
Problem — jeśli natychmiast zainstalujesz nowy łącznik po odinstalowaniu starego, może zostać wyświetlony komunikat o błędzie.
Możliwa przyczyna — w systemie Windows Server 2012 odinstalowywanie klienta wymaga czasu na usunięcie konta usługi z listy usług.
Rozwiązanie — po pewnym czasie spróbuj zainstalować ponownie.
Zaloguj
Łącznik usług katalogowych ulega awarii podczas logowania SSO
Problem
Po wprowadzeniu adresu e-mail ze strony logowania jednokrotnego może się zawiesić Łącznik usług katalogowych.
Rozwiązanie
Wykonaj następujące czynności:
Wykonaj poniższe czynności, aby skonfigurować zasady nowej grupy:
-
Przejdź do kontrolera domeny i otwórz Zarządzanie zasadami grupy (gpedit.msc).
-
Kliknij prawym przyciskiem myszy określony OU lub domenę, a następnie wybierz opcję Utwórz GPO w tej domenie, a następnie Połącz go tutaj
-
Nadaj nazwę zasadom, a następnie kliknij prawym przyciskiem myszy i wybierz opcję Edytuj.
Wykonaj poniższe czynności, aby zmienić zasady na poziomie maszyny:
-
Przejdź do , kliknij prawym przyciskiem myszy pozycję Rejestr, wybierz opcję Nowy, a następnie Element rejestru.
-
W polu Ścieżka klucza wprowadź lub przejdź do HKEY_LOCAL_\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Wprowadź
Disable Script Debuggerdla wartości i wprowadźNiedla danych wartości.Ustawienia powinny być zgodne z tym zrzutem ekranu:
Aby zmienić zasady na poziomie użytkownika, wykonaj następujące czynności:
-
Przejdź do , kliknij prawym przyciskiem myszy pozycję Rejestr, wybierz opcję Nowy, a następnie Element rejestru.
-
W polu Ścieżka klucza wprowadź lub przejdź do HKEY_BIEŻĄCY_UŻYTKOWNIK\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Wprowadź
Disable Script Debuggerdla wartości i wprowadźNiedla danych wartości.Ustawienia powinny być zgodne z tym zrzutem ekranu:
Zmiany wchodzą w życie po uruchomieniu gpupdate /force, ponownym uruchomieniu maszyny (w przypadku zmian maszyny) lub ponownym zalogowaniu użytkownika (w przypadku zmian użytkownika).
Nie można zarejestrować łącznika usług Cisco DirSync
Problem
Logowanie nie powiedzie się i pojawia się następujący komunikat: „Nie można zarejestrować łącznika usług Cisco DirSync”.
Rozwiązanie
System Windows, w którym zainstalowany jest łącznik usług katalogowych, musi być członkiem usługi Active Directory.
Nie pojawia się strona logowania
Problem
Otwarto łącznik usług katalogowych, a strona logowania nie została wyświetlona.
Rozwiązanie
Wykonaj następujące czynności:
-
W programie Internet Explorer przejdź do obszaru https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Wypróbuj to łącze w innych przeglądarkach, takich jak Chrome i Firefox.
-
Jeśli program Internet Explorer nie może odwiedzić łącza, ale inne przeglądarki mogą, sprawdź ustawienia programu Internet Explorer i zaznacz pola wyboru TLS 1.1 i 1.2. (Użyj procedury Włącz TLS w przeglądarce Internet Explorer ).
Pojawi się monit o zalogowanie
Problem
Zostanie wyświetlony monit z prośbą o podanie nazwy użytkownika i hasła w celu przejścia uwierzytelniania.
Możliwa przyczyna
Łącznik usług katalogowych cicho uzupełnia uwierzytelnianie zabezpieczeń NTLM kontem logowania. Jeśli uwierzytelnienie się nie powiedzie, zostanie wyświetlone okno dialogowe z prośbą o nazwę użytkownika i hasło uwierzytelniania.
Rozwiązanie
Gdy pojawi się okno podręczne logowania, w celu zapewnienia bezpieczeństwa należy podać prawidłowe konto z poprawnym uwierzytelnieniem.
Nie można połączyć się ze zdalnym serwerem
Problem
W trakcie normalnej pracy pojawia się komunikat o błędzie "Nie można połączyć się ze zdalnym serwerem".
Możliwa przyczyna
Mogą wystąpić problemy z serwerem proxy, które trzeba rozwiązać.
Rozwiązanie
Więcej informacji na temat rozwiązywania problemów z logowaniem do konta usługi zawiera temat Rozwiązywanie problemów z logowaniem do konta usługi.
Nie można zarejestrować łącznika
Problem
Zostanie wyświetlony komunikat o błędzie „Nie można zarejestrować łącznika. Wystąpił ogólny wyjątek”.
Możliwa przyczyna
W większości przypadków problem jest taki, że łącznik usług katalogowych nie ma uprawnień do łączenia się z kontekstem głównym LDAP.
Rozwiązanie
Wykonaj następujące czynności:
-
Uruchom monit z poleceniem (cmd), a następnie wprowadź ldp.exe.
-
Kliknij kolejno opcje , wybierz opcję Powiązanie jako aktualnie zalogowanego użytkownika, a następnie kliknij przycisk OK.
-
Kliknij kolejno opcje i wprowadź DC=arbonneintl,DC=ad jako BaseDN, a następnie kliknij OK.
-
Jeśli problem będzie nadal występował, otwórz sprawę w dziale pomocy technicznej.
Synchronizacja
Awatary niezsynchronizowane
Problem
Łącznik usług katalogowych Cisco synchronizował dane użytkowników AD z chmurą Webex. Nie zsynchronizowano jednak żadnych danych awatara.
Możliwa przyczyna
Jeśli ponownie użyłeś istniejącego serwera awatara, a awatary użytkowników zostały już zsynchronizowane, lokalna pamięć podręczna przechwytuje je i zapobiega ponownemu wysyłaniu, aby oszczędzać przepustowość.
Rozwiązanie
Usuń lokalną pamięć podręczną, wykonując następujące czynności:
-
Przejdź do C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Usuń DirSyncPluginAvatar.dll-cache.bin.
-
Uruchom ponownie synchronizację awatara z poziomu łącznika usług katalogowych Cisco.
Sprzeczne konta e-mail użytkowników
Problem
Wyniki synchronizacji mogą wskazywać sprzeczne konta e-mail użytkowników.
-
Jeśli użytkownicy wypróbowali bezpłatną wersję aplikacji Webex, ich adresy e-mail znajdują się w bezpłatnej organizacji konsumenckiej.
-
Czy adresy e-mail użytkowników były kiedykolwiek synchronizowane w innej organizacji.
-
jeśli adresy e-mail użytkowników istnieją w wielu domenach należących do organizacji.
Rozwiązanie
Wykonaj następujące czynności:
-
Jeśli próbujesz zgłosić użytkowników, wykonaj następujące czynności:
-
Upewnij się, że zweryfikowano domenę w Control Hub.
-
Całkowicie wyłącz łącznik usług katalogowych Cisco.
-
Użyj opcji Zgłoś użytkownika w Control Hub, aby zgłosić wszystkie konta, które mogą istnieć w bezpłatnej organizacji konsumenckiej. Aby uzyskać więcej informacji, zobacz Zgłaszanie użytkowników do organizacji (konwertowanie użytkowników) .
-
Przeprowadź przebieg próbny w łączniku usług katalogowych Cisco, a następnie ponownie włącz synchronizację katalogów
-
-
W ostatnim przypadku należy dwukrotnie sprawdzić dane użytkowników ze źródeł usługi Active Directory.
Skonwertowany użytkownik oznaczony jako nieaktywny
Problem
W środowisku zsynchronizowanym z katalogiem przekonwertowano użytkownika bezpłatnego (organizacji konsumenckiej) na organizację firmową, ale przekonwertowany użytkownik nie może zalogować się do aplikacji Webex.
Możliwa przyczyna
Gdy użytkownik bezpłatny zostanie przekonwertowany na organizację firmową, jest on oznaczany jako nieaktywny przez 30 dni jako środek dotyczący zgodności z przepisami bezpieczeństwa. W tym okresie użytkownik nie może zalogować się do aplikacji Webex i jest oznaczany do usunięcia po upływie 30-dniowego okresu. Wynika to z faktu, że informacje o użytkowniku w wersji bezpłatnej nie znajdują się w usłudze Active Directory.
Rozwiązanie
Musisz podjąć działania, jeśli nie chcesz usunąć konta użytkownika. Aby rozwiązać ten problem, utwórz konto użytkownika w usłudze Active Directory w siedzibie, które odpowiada skonwertowanemu bezpłatnemu konwertowanemu kontowanemu koncie użytkownika. Następnie wykonaj synchronizację z poziomu łącznika usług katalogowych Cisco. Wówczas użytkownik będzie mógł ponownie zalogować się do aplikacji Webex, a konto nie zostanie usunięte.
Synchronizacja przyrostowa nie powiodła się
Problem
Synchronizacja przyrostowa nie powiodła się.
Ten problem może wystąpić w systemie Windows Server 2008 R2 w następujących warunkach:
-
Obsługiwane są aktualizacje wartości przyrostowych.
-
Używany filtr odwołuje się do atrybutu wartości połączonej.
-
Wartości wyników tego atrybutu były aktualizowane od czasu ostatniej pełnej synchronizacji.
Rozwiązanie
W systemie Windows Server 2008 R2 występuje błąd związany z tym problemem. Błąd został naprawiony w 2012 r2 i później. Zalecamy uaktualnienie serwera Windows do co najmniej 2012 R2.
Nieprawidłowa wartość atrybutu
Problem
W przypadku atrybutu [user dn (nazwa wyróżniająca)] atrybut [nazwa atrybutu] ma następującą nieprawidłową wartość [wartość atrybutu].
Możliwa przyczyna
Dla CN=b,OU=Pracownicy,OU=C Użytkownicy,DC=c,DC=com atrybut [numer telefonu] ma następującą nieprawidłową wartość: +. Ten atrybut musi zawierać co najmniej jedną cyfrę.
Rozwiązanie
Atrybut tego użytkownika nie ma prawidłowej wartości. Napraw wartość zgodnie z opisem w komunikacie ostrzegawczym. Następnie wykonaj inną synchronizację.
Dopasowani użytkownicy do usunięcia
Problem
Dopasowani użytkownicy są oznaczani jako usunięci.
Podczas wykonywania synchronizacji przebiegu próbnego w celu sprawdzenia danych między usługą Active Directory a chmurą, w obu przypadkach może być widoczny ten sam adres e-mail. Użytkownik jest jednak oznaczany jako obiekt, który ma zostać usunięty.
Rozwiązanie
Wybierz odpowiednią poprawkę:
-
Jeśli usunięcie użytkownika i powtórzyć licencje po jego zakończeniu, możesz użyć łącznika usług katalogowych do naprawienia. Wykonaj synchronizację, aby usunąć użytkownika, a następnie wykonaj inną synchronizację, aby zsynchronizować użytkownika z lokalnej usługi AD z chmurą.
-
Jeśli nie możesz usunąć i odtworzyć konta użytkownika, otwórz sprawę w dziale pomocy technicznej.
Brak atrybutu
Problem
Wymagany atrybut [attribute_name] podczas dodawania wpisu lokalnego [user dn (nazwa wyróżniająca)]. Wpis nie zostanie utworzony w Control Hub, dopóki wszystkie wymagane atrybuty nie będą miały wartości.
Możliwa przyczyna
Brak wymaganego adresu e-mail atrybutu. Podczas dodawania wpisu lokalnego [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local] wpis nie zostanie utworzony w Control Hub, dopóki wszystkie wymagane atrybuty nie będą miały wartości.
Rozwiązanie
Brakuje jednego z wymaganych atrybutów użytkownika [user_email_address]. Podaj wymagane wartości dla tego użytkownika.
Grupa zagnieżdżona nie zostanie zsynchronizowana
Problem
Użytkownicy w zagnieżdżonej grupie Active Directory nie są prawidłowo synchronizowani z chmurą.
Możliwa przyczyna
Używany jest filtr zawierający zarówno grupę podrzędną, jak i grupę nadrzędną, co nie jest obsługiwane. Na przykład: (memberof=CN=testgroup1,CN=użytkownicy,DC=rktest2008,DC=org)
Rozwiązanie
Należy ponownie skonfigurować filtr, który synchronizuje grupy. Na przykład: |(memberof=CN=testgroup1,CN=użytkownicy,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=użytkownicy,DC=rktest2008,DC=org)
Konflikt nazewnictwa użytkowników
Problem
Wystąpił konflikt nazw dla [user dn] dla istniejącego obiektu wpisu w chmurze o nazwie: [adres e-mail użytkownika] i typ użytkownika [user_type].
Możliwa przyczyna
Użytkownik o tym adresie e-mail już istnieje w Control Hub.
Rozwiązanie
Utwórz użytkownika w usłudze Active Directory z tym samym adresem e-mail, co konto zarejestrowane w Control Hub.
Control Hub
Brak listy użytkowników w Control Hub
Problem
Jeśli masz organizację Webex z ponad 1000 zsynchronizowanymi użytkownikami, lista użytkowników może nie być widoczna w Control Hub.
Rozwiązanie
Za pomocą funkcji wyszukiwania można znaleźć konto użytkownika. W Control Hub przejdź do strony Użytkownicy, kliknij pozycję Szukaj , a następnie wprowadź kryteria wyszukiwania, aby zlokalizować określonego użytkownika.
Grupy nie zostaną zsynchronizowane z Control Hub
Problem
Użytkownicy w grupie książki adresowej nie będą prawidłowo synchronizowani z Control Hub.
Możliwa przyczyna
Grupa nie jest oznaczona jako isCriticalSystemObject w usłudze Active Directory.
Rozwiązanie
Upewnij się, że atrybut isCriticalSystemObject jest ustawiony na TRUE w Active Directory.
Włącz rozwiązywanie problemów z łącznikiem usług katalogowych
Możesz włączyć rozwiązywanie problemów, aby pomóc zdiagnozować wszelkie błędy napotkane w łączniku usług katalogowych. Rozwiązywanie problemów umożliwia przechwytywanie informacji o ruchu w sieci i zapisywanie ich w pliku.
Pliki dziennika, które są: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Uruchom plik |
| 2 |
Uruchom ponownie usługę. Wskazówki zawiera temat Jak uruchamiać usługi . |
| 3 |
W Łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 4 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Narzędzia > Rozwiązywanie problemów . |
| 5 |
Po włączeniu funkcji rozwiązywania problemów należy powtórzyć czynności, które powodowały błąd. Przechwytuje to dane o ruchu, aby można je było zbadać. |
| 6 |
Sprawdź pliki dzienników: Jeśli plik jest pusty, upewnij się, że konto ma uprawnienia dostępu do usług AD DS lub AD LDS. W folderze dzienników są zapisywane tylko pliki przez ostatnie 3 dni. Zawartość w plikach dziennika jest zgodna z emisją dziennika zdarzeń do systemu. |
| 7 |
W razie potrzeby wyślij plik dziennika, aby uzyskać pomoc. |
| 8 |
Po zakończeniu wyłącz funkcję rozwiązywania problemów. |
Uruchom przeglądarkę zdarzeń
Aby zobaczyć zdarzenia, które wystąpiły podczas pełnej lub stopniowej synchronizacji, uruchom przeglądarkę zdarzeń. Zawiera on podsumowanie zdarzeń administracyjnych i dzienników błędów.
| 1 |
W Directory Connector przejdź do Dashboard, a następnie kliknij kolejno opcje . W oknie dialogowym Właściwości zdarzenia są wyświetlane szczegóły zdarzenia synchronizacji i szczegóły błędu. |
| 2 |
W Podglądzie zdarzeń przejdź do .
|
| 3 |
W obszarze Czynności kliknij pozycję Zapisz wszystkie zdarzenia jako , aby wyeksportować wszystkie dzienniki jako pojedynczy plik zdarzeń (*.evtx) lub inny format, taki jak xml lub csv. |
Co zrobić dalej
Jeśli chcesz otworzyć zgłoszenie, skontaktuj się z pomocą techniczną, opisz problem z łącznikiem, a następnie załącz plik Events do zgłoszenia.
Dzienniki zdarzeń przechwytują czynności użytkownika. Aby uzyskać pomoc w zarządzaniu ruchem sieciowym, włącz rozwiązywanie problemów z konektorem.
Włączanie protokołu TLS w przeglądarce Internet Explorer
W przypadku przełączenia dostawców jednokrotnego logowania (SSO) mogą zostać wyświetlone następujące komunikaty o błędach łącznika usług katalogowych Cisco:
-
Wystąpił błąd podczas logowania do usługi
-
Na tej stronie wystąpił błąd w skrypcie
Jeśli pojawią się te błędy, należy włączyć ustawienie TLS w przeglądarce.
| 1 |
Otwórz Internet Explorer, a następnie wybierz pozycję Narzędzia. Zaznacz pola wyboru wersji TLS/SSL, którą chcesz włączyć. Kliknij przycisk OK Zamknij przeglądarkę i otwórz ją ponownie. |
| 2 |
Kliknij pozycję Opcje internetowe , przejdź do sekcji Zaawansowane , przewiń do sekcji Zabezpieczenia. |
| 3 |
Zaznacz pola wyboru Użyj protokołu TLS 1.1 i Użyj protokołu TLS 1.2 , a następnie kliknij przycisk OK.
|
| 4 |
Aby zmiany odniosły skutek, uruchom ponownie system. |
Rozwiązywanie problemów z logowaniem do konta usługi
Jeśli nie możesz zalogować się do łącznika usług katalogowych Cisco lub nie możesz uruchomić synchronizacji, wykonaj poniższe czynności, aby spróbować rozwiązać problem przed skontaktowaniem się z pomocą techniczną.
| 1 |
Spróbuj odwiedzić witrynę https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL w przeglądarce internetowej. |
| 2 |
Wybierz jedną z nich, w zależności od wyników:
|
| 3 |
Należy upewnić się co najmniej, że skonfigurowane konto dla usługi Cisco DirSync (które można znaleźć w usługach systemu Windows) ma poziom uprawnień umożliwiający dostęp do danych awatara i danych usługi AD. Domyślnie usługa wykorzystuje poświadczenia logowania do konta systemu Windows oraz uwierzytelnianie. |
Sprawdź SafeDllSearchMode w rejestrze systemu Windows
Tryb wyszukiwania biblioteki łączy dynamicznych (DLL) jest domyślnie ustawiony w rejestrze systemu Windows i umieszcza bieżący katalog użytkownika w kolejności wyszukiwania DLL. Jeśli ten tryb został w jakiś sposób wyłączony, napastnik może umieścić złośliwy plik DLL (o nazwie takiej samej jak plik DLL znajdujący się w folderze systemowym) do bieżącego katalogu roboczego aplikacji.
Zazwyczaj SafeDllSearchMode jest włączony, ale ta procedura służy do podwójnego sprawdzenia ustawień rejestru.
Przed rozpoczęciem
Zmiany w rejestrze systemu Windows należy przeprowadzać z dużą ostrożnością. Zalecamy, aby przed wykonaniem tych czynności wykonać kopię zapasową rejestru.
| 1 |
W oknie wyszukiwania systemu Windows lub oknie Uruchom wpisz regedit , a następnie naciśnij Enter. |
| 2 |
Przejdź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wybierz jedną z nich:
|
Aby uzyskać więcej informacji, zobacz Kolejność wyszukiwania biblioteki dynamicznych łączy.
Omówienie łącznika usług katalogowych Cisco
Omówienie łącznika usług katalogowych
Łącznik usług katalogowych to lokalna aplikacja do synchronizacji tożsamości z chmurą. Pobierz oprogramowanie łącznika z Control Hub i zainstaluj je na komputerze lokalnym.
Dzięki Directory Connector możesz utrzymywać konta użytkowników i dane w Active Directory, dzięki czemu Active Directory staje się jedynym źródłem prawdy. Zmiana wprowadzona lokalnie jest replikowana w chmurze.
Zobacz wszystkie funkcje, opisy i korzyści w tabeli:
| Funkcja | Opis i korzyści |
|---|---|
| Łatwy w użyciu pulpit nawigacyjny | Pulpit nawigacyjny zawiera harmonogram synchronizacji, podsumowanie oraz stan synchronizacji oraz stan Directory Connector. Konsolę można wyświetlić w dowolnym momencie logowania. |
| Uruchom próbne przed synchronizacją z chmurą | Przeprowadź przebieg próbny zmian w katalogu, zanim zostaną zaimplementowane w chmurze. Następnie uruchom raport, aby sprawdzić, czy zmiany, które chcesz wprowadzić, są zgodne z oczekiwaniami. |
| Synchronizacja pełna i przyrostowa | Synchronizuj cały katalog. Lub po prostu zsynchronizuj zmiany przyrostowe, aby zaoszczędzić moc przetwarzania i skrócić czas synchronizacji. |
|
Synchronizowanie wielu domen (pojedynczego lasu lub wielu lasów) |
Directory Connector obsługuje wiele domen w ramach jednego lasu lub wielu lasów (bez konieczności korzystania z usługi AD LDS). W przypadku przedsiębiorstw z wieloma domenami Active Directory możesz zainstalować łącznik usług katalogowych dla każdej domeny, powiązać każdą domenę z organizacją, a następnie zsynchronizować każdą bazę użytkowników z usługą Webex. Control Hub odzwierciedla stan, pokazując stan synchronizacji dla wielu łączników usług katalogowych, umożliwia wyłączenie synchronizacji dla określonej domeny i dezaktywację łącznika usług katalogowych w wdrożeniu o wysokiej dostępności. |
| Zaplanowana synchronizacja | Ustaw harmonogram synchronizacji według dnia, godziny i minuty. |
| Filtry LDAP (Lightweight Directory Access Protocol) | Zdefiniuj kryteria wyszukiwania LDAP i zapewnij wydajny import. |
| Mapowanie atrybutów Active Directory | Mapuj atrybuty usługi Microsoft Active Directory do odpowiednich atrybutów chmury Webex. Można mapować atrybuty, które są istotne dla konfiguracji usługi Active Directory, a także definiować atrybuty niestandardowe w celu mapowania na chmurę. Atrybuty z lokalizacji lokalnych tworzą różne dane w chmurze, takie jak dane konta użytkownika, numery telefonów korporacyjnych w aplikacji Webex Teams, adresy SIP zasobów pokoju i inne dane kart kontaktów użytkownika (stanowisko, dział, menedżer itd.). |
|
Firmowa książka telefoniczna dla lokalnych zasobów pokojów oraz użytkowników i kontaktów korporacyjnych Cisco Webex Calling (w chmurze PSTN) bez licencji Webex |
Jeśli część organizacji korzysta z chmury PSTN Cisco Webex Calling dla usługi połączeń lub masz lokalne urządzenia Room, ta funkcja umożliwia użytkownikom wyszukiwanie w katalogu kontaktów korporacyjnych na podstawie telefonów Cisco Webex Calling (chmura PSTN) lub zasobów Room.
|
| Przeglądarka zdarzeń | Użyj przeglądarki zdarzeń, aby sprawdzić, czy nie wystąpiły problemy z synchronizacją. |
| Narzędzie diagnostyczne i rozwiązywanie problemów | Możesz użyć wbudowanego narzędzia diagnostycznego do rozwiązywania problemów z wdrożeniem Cisco Directory Connector. Jeśli synchronizacja nie działała prawidłowo, może wystąpić błąd konfiguracji lub sieci. Narzędzie testuje połączenie z usługą Active Directory, aby można było samodzielnie zdiagnozować błędy przed skontaktowaniem się z pomocą techniczną. Po włączeniu rozwiązywania problemów w łączniku usług katalogowych tworzone są dzienniki, które można wysłać do pomocy technicznej. |
| Automatyczne uaktualnianie | Po zainstalowaniu Directory Connector wysyłane jest powiadomienie, gdy dostępna jest nowa wersja oprogramowania. Możesz skonfigurować automatyczne uaktualnianie, aby zawsze korzystać z najnowszej wersji oprogramowania podczas wydania nowej wersji. |
| Wysoka dostępność | Skonfiguruj wiele złączy, aby istniała kopia zapasowa, na wypadek awarii głównego złącza lub maszyny hostującej. |
Łącznik usług katalogowych dzieli się na trzy obszary:
-
Control Hub to pojedynczy interfejs, który umożliwia zarządzanie wszystkimi aspektami organizacji Webex: wyświetlanie użytkowników, przypisywanie licencji, pobieranie łącznika usług katalogowych i konfigurowanie jednokrotnego logowania (SSO) , jeśli chcesz, aby użytkownicy uwierzytelniali się za pośrednictwem swojego korporacyjnego dostawcy tożsamości i nie chcesz wysyłać zaproszeń e-mail do aplikacji Webex.
-
Interfejs zarządzania łącznikiem usług katalogowych to oprogramowanie, które można pobrać z Control Hub i zainstalować na zaufanym serwerze Windows. W przypadku wielu domen Active Directory można zainstalować jedną instancję oprogramowania dla każdej domeny, którą chcesz zsynchronizować. Przy użyciu oprogramowania można uruchomić synchronizację, aby przenieść konta użytkowników usługi Active Directory do usługi Webex, wyświetlić i monitorować stan synchronizacji oraz skonfigurować usługi Directory Connector.
-
Usługa synchronizacji katalogu wysyła zapytanie do usługi Active Directory w celu pobrania użytkowników i grup do zsynchronizowania z usługą łącznika i łącznikiem usług katalogowych.
Zapoznaj się z tym schematem, aby zrozumieć architekturę łącznika usług katalogowych:
Przygotuj środowisko dla łącznika usług katalogowych
Wymagania dotyczące łącznika usług katalogowych
Wymagania dotyczące systemu Windows i Active Directory
Łącznik usług katalogowych można zainstalować na tych obsługiwanych serwerach systemu Windows:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Aby rozwiązać problem z plikami cookie, zalecamy uaktualnienie kontrolera domeny do wersji zawierającej poprawkę — Windows Server 2012 R2 lub 2016.
Łącznik usług katalogowych jest obsługiwany przez następujące usługi Active Directory:
-
Active Directory 2016
(Directory Connector jest obsługiwany w przypadku korzystania z najnowszej wersji usługi Active Directory w systemie Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Zwróć uwagę na następujące wymagania dodatkowe:
-
Łącznik usług katalogowych wymaga TLS1.2. Należy zainstalować następujące elementy:
-
Wersja .NET Framework v3.5 (wymagana dla aplikacji Directory Connector. Jeśli napotkasz jakiekolwiek problemy, skorzystaj z instrukcji w sekcji Włącz .NET Framework 3.5 za pomocą kreatora dodawania ról i funkcji).
-
Wersja .NET Framework w wersji 4.5 (wymagana w przypadku TLS1.2)
-
-
Wymagany jest poziom funkcjonalności lasu Active Directory 2 (Windows Server 2003) lub nowszy. (Aby uzyskać więcej informacji, zobacz Czym są poziomy funkcjonalne usługi Active Directory? ).
Wymagania sprzętowe
Musisz zainstalować Directory Connector na komputerze z następującymi minimalnymi wymaganiami sprzętowymi:
-
8 GB pamięci RAM
-
50 GB miejsca do przechowywania
-
Brak minimalnych wymagań dotyczących procesora
Wymagania sieciowe
Jeśli sieć znajduje się za zaporą, upewnij się, że system ma dostęp do Internetu za pośrednictwem protokołu HTTPS (port 443).
Wymagania organizacji Webex
-
Dostęp do oprogramowania łącznika usług katalogowych z poziomu Control Hub wymaga organizacji Webex z wersją próbną lub płatną subskrypcją.
-
(Opcjonalnie) Jeśli chcesz, aby nowe konta użytkowników aplikacji Webex były Aktywne przed pierwszym zalogowaniem się, zalecamy wykonanie następujących czynności:
-
Dodaj, zweryfikuj i opcjonalnie zgłoś prawa do domen zawierających adresy e-mail użytkowników, które chcesz zsynchronizować z chmurą.
-
Wykonaj integrację dostawcy tożsamości (IdP) z organizacją Webex za pomocą jednokrotnego logowania (SSO).
-
Pomijaj automatyczne zaproszenia e-mail, aby nowi użytkownicy nie otrzymali automatycznego zaproszenia e-mail i mogli prowadzić własną kampanię wiadomości e-mail. (Ta funkcja wymaga integracji logowania SSO).
-
Aby uzyskać więcej informacji, zobacz Stany i czynności użytkowników w Control Hub.
Wymagania instalacyjne
-
W przypadku środowiska z wieloma domenami (pojedynczego lasu lub wielu lasów) należy zainstalować jeden łącznik usług katalogowych dla każdej domeny Active Directory. Jeśli chcesz zsynchronizować nową domenę (B) przy jednoczesnym zachowaniu zsynchronizowanych danych użytkownika w innej istniejącej domenie (A), upewnij się, że masz oddzielny obsługiwany serwer Windows, aby zainstalować łącznik usług katalogowych dla synchronizacji domeny (B).
-
Aby zalogować się do łącznika, nie potrzebujemy konta administracyjnego w usłudze Active Directory. Wymagamy konta użytkownika lokalnego, które jest tym samym użytkownikiem, co pełne konto administratora w Control Hub.
Ten użytkownik lokalny musi mieć uprawnienia na tym komputerze z systemem Windows, aby nawiązać połączenie z kontrolerem domeny i czytać obiekty użytkownika usługi Active Directory. Konto logowania do maszyny powinno być administratorem komputera z uprawnieniami do instalowania oprogramowania na komputerze lokalnym. (Informacje te dotyczą również logowania do maszyny wirtualnej).
-
Podczas logowania się do łącznika konto logowania musi być takie samo jak pełne konto administratora usługi Control Hub. Domyślnie łącznik korzysta z konta systemu lokalnego w celu uzyskania dostępu do usługi Active Directory. Można jednak użyć usług systemu Windows, aby skonfigurować inne konto, aby uzyskać dostęp do usługi Active Directory. (Informacje te dotyczą również logowania do maszyny wirtualnej).
-
Należy się upewnić, że tryb wyszukiwania biblioteki łączy dynamicznych (DLL) systemu Windows jest włączony, wykonując następującą procedurę: Sprawdź SafeDllSearchMode w rejestrze systemu Windows.
-
Jeśli używasz usługi AD LDS dla wielu domen w jednym lesie, zalecamy zainstalowanie na osobnych komputerach łącznika usług katalogowych i usługi domeny Active Directory/lekkich usług katalogowych Active Directory (DS/AD LDS).
Wiele wymagań dotyczących domeny
Przed wykonaniem zadań w przepływie zadań wdrożenia łącznika usług katalogowych Cisco należy pamiętać o następujących wymaganiach i zaleceniach, jeśli zamierzasz zsynchronizować do chmury informacje Active Directory z wielu domen:
-
Dla każdej domeny wymagane jest osobne wystąpienie łącznika usług katalogowych.
-
Oprogramowanie łącznika usług katalogowych musi być uruchomione na hoście znajdującym się w tej samej domenie, którą będzie synchronizowane.
-
Zalecamy zweryfikowanie lub zgłoszenie domen w Control Hub. (Zobacz Dodawanie, weryfikowanie i zgłaszanie praw do domen).
-
Jeśli chcesz synchronizować więcej niż 50 domen, otwórz zgłoszenie , aby przenieść organizację do dużej listy organizacji.
-
W razie potrzeby można synchronizować informacje o zasobach pokoju z kontami użytkowników. (Zobacz Synchronizowanie informacji o pokoju w siedzibie z chmurą Webex).
Zalecenia grupy Active Directory dotyczące automatycznego przypisywania licencji
Grupy Active Directory służą do zbierania kont użytkowników, kont komputerów i innych grup w jednostki zarządzane. Praca z grupami zamiast z indywidualnymi użytkownikami pomaga uprościć konserwację sieci i administrowanie nią.
W usłudze Active Directory dostępne są dwa typy grup:
-
Grupy dystrybucji — służą do tworzenia list dystrybucyjnych wiadomości e-mail.
-
Grupy zabezpieczeń — używane do przypisywania uprawnień do udostępnianych zasobów.
Podczas tworzenia grup w usłudze Active Directory należy pamiętać o następujących wytycznych:
-
Utwórz globalną grupę dla każdej roli, działu lub usługi (takiej jak sprzedaż, marketing, menedżerowie, księgowi, licencjonowanie usługi Webex itd.)
-
W całej organizacji stosuj standardowe konwencje nazewnictwa, aby ułatwić identyfikowanie ważnych informacji o grupach. Nazwy grup mogą zawierać szczegółowe informacje na temat grupy, takie jak poziom dostępu, typ zasobu, poziom zabezpieczeń, zakres grupy, możliwość przesyłania poczty i tak dalej. Na przykład nazwa grupy „GSG_Webex_Licensing_EMEAR” odnosi się do globalnej grupy zabezpieczeń użytkowników EMEAR licencji Webex.
-
Organizuj grupy w łatwy do zrozumienia sposób, na przykład na podstawie geografii lub hierarchii kierowniczej. Użyj opisów grup, aby całkowicie opisać przeznaczenie grupy.
-
Przed dodaniem użytkowników do nowo skonfigurowanych grup zdefiniuj szablon grupy automatycznego przypisywania licencji w Control Hub dla tych grup. Aby uzyskać więcej informacji, zobacz Konfigurowanie szablonu automatycznego przypisywania licencji .
Informacje o rozmiarze
Łącznik usług katalogowych działa jako most między lokalną usługą Active Directory a chmurą Webex. W związku z tym łącznik nie ma górnego limitu liczby obiektów Active Directory, które mogą być synchronizowane z chmurą. Wszelkie ograniczenia dotyczące obiektów katalogu lokalnego są powiązane z określoną wersją i specyfikacjami środowiska Active Directory, które jest synchronizowane z chmurą, a nie z samym konektorem.
Szybkość synchronizacji może mieć wpływ na kilka czynników:
-
Łączna liczba obiektów Active Directory. (Zadanie synchronizacji 5000 użytkowników nie zajmie aż 50 000).
-
Prędkość i przepustowość sieci.
-
Obciążenie systemu i specyfikacje.
Jeśli synchronizujesz ponad 50 000 użytkowników, zdecydowanie zalecamy używanie drugiego łącznika do pracy awaryjnej i redundancji.
Ponieważ w synchronizację zaangażowanych jest kilka czynników, a każde wdrożenie różni się w zależności od powyższych czynników, nie możemy podać określonych wartości czasu, przez jaki synchronizacja obiektu potrwa.
Sprawdź SafeDllSearchMode w rejestrze systemu Windows
Tryb wyszukiwania biblioteki łączy dynamicznych (DLL) jest domyślnie ustawiony w rejestrze systemu Windows i umieszcza bieżący katalog użytkownika w kolejności wyszukiwania DLL. Jeśli ten tryb został w jakiś sposób wyłączony, napastnik może umieścić złośliwy plik DLL (o nazwie takiej samej jak plik DLL znajdujący się w folderze systemowym) do bieżącego katalogu roboczego aplikacji.
Zazwyczaj SafeDllSearchMode jest włączony, ale ta procedura służy do podwójnego sprawdzenia ustawień rejestru.
Przed rozpoczęciem
Zmiany w rejestrze systemu Windows należy przeprowadzać z dużą ostrożnością. Zalecamy, aby przed wykonaniem tych czynności wykonać kopię zapasową rejestru.
| 1 |
W oknie wyszukiwania systemu Windows lub oknie Uruchom wpisz regedit , a następnie naciśnij Enter. |
| 2 |
Przejdź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wybierz jedną z nich:
|
Aby uzyskać więcej informacji, zobacz Kolejność wyszukiwania biblioteki dynamicznych łączy.
Integracja z serwerem proxy WWW
Integracja z serwerem proxy WWW
Jeśli w środowisku włączone jest uwierzytelnianie serwera proxy sieci Web, można nadal korzystać z łącznika usług katalogowych.
Jeśli Twoja organizacja korzysta z przezroczystego serwera proxy sieci WWW, uwierzytelnianie nie jest obsługiwane. Konektor pomyślnie łączy się i synchronizuje użytkowników.
Można zastosować jedno z następujących podejść:
-
Jawny serwer proxy sieci WWW za pośrednictwem przeglądarki Internet Explorer (łącznik dziedziczy ustawienia serwera WWW)
-
Jawny serwer proxy sieci Web za pomocą pliku .pac (łącznik dziedziczy ustawienia serwera proxy specyficzne dla przedsiębiorstwa)
-
Przezroczysty serwer proxy, który współpracuje z konektorem bez żadnych zmian
Użyj serwera Proxy Sieci Web W Przeglądarce
Łącznik usług katalogowych można skonfigurować tak, aby korzystał z serwera proxy internetowego za pośrednictwem programu Internet Explorer.
Jeśli usługa Cisco DirSync jest uruchomiona z innego konta niż aktualnie zalogowany użytkownik, należy również zalogować się przy użyciu tego konta i skonfigurować serwer proxy sieci WWW.
| 1 |
W programie Internet Explorer przejdź do pozycji Opcje internetowe, kliknij pozycję Połączenia, a następnie wybierz pozycję Ustawienia sieci LAN. |
| 2 |
Wskaż wystąpienie systemu Windows, w którym łącznik jest zainstalowany na serwerze proxy sieci Web. Konektor dziedziczy te ustawienia serwera proxy sieci WWW. |
| 3 |
Jeśli środowisko korzysta z uwierzytelniania serwera proxy, dodaj te adresy URL do listy dozwolonych:
Można to wykonać dla całej witryny (dla wszystkich prowadzących) lub tylko dla hosta, który ma łącznik. Jeśli dodasz te adresy URL do listy dozwolonych, aby całkowicie ominąć serwer proxy sieci WWW, upewnij się, że tabela ACL zapory została zaktualizowana, aby umożliwić hoście łącznika bezpośredni dostęp do adresów URL. |
| 4 |
Jeśli środowisko musi zażądać list unieważnień certyfikatów od urzędów certyfikacji, dodaj te adresy URL do listy dozwolonych:
Aby uzyskać więcej informacji, zobacz ten artykuł o domenach i adresach URL, do których należy uzyskać dostęp dla usług Webex. |
Konfigurowanie serwera proxy sieci WWW za pomocą pliku PAC
W przeglądarce klienta można skonfigurować używanie pliku .pac. Ten plik zawiera informacje o adresie i porcie serwera proxy sieci WWW. Łącznik usług katalogowych bezpośrednio dziedziczy konfigurację serwera proxy sieci WWW specyficzną dla przedsiębiorstwa.
| 1 |
Aby konektor mógł pomyślnie połączyć się i zsynchronizować informacje o użytkownikach z chmurą Webex, upewnij się, że uwierzytelnianie proxy jest wyłączone dla |
| 2 |
Jeśli środowisko korzysta z uwierzytelniania serwera proxy, dodaj te adresy URL do listy dozwolonych:
Można to wykonać dla całej witryny (dla wszystkich prowadzących) lub tylko dla hosta, który ma łącznik. Jeśli dodasz te adresy URL do listy dozwolonych, aby całkowicie ominąć serwer proxy sieci WWW, upewnij się, że tabela ACL zapory została zaktualizowana, aby umożliwić hoście łącznika bezpośredni dostęp do adresów URL. |
| 3 |
Jeśli środowisko musi zażądać list unieważnień certyfikatów od urzędów certyfikacji, dodaj te adresy URL do listy dozwolonych:
Aby uzyskać więcej informacji, zobacz ten artykuł o domenach i adresach URL, do których należy uzyskać dostęp dla usług Webex. |
Serwer proxy NTLM
Directory Connector obsługuje NT LAN Manager (NTLM). NTLM to jedno z podejść do obsługi uwierzytelniania Windows wśród urządzeń domeny i zapewnienia ich bezpieczeństwa.
Projekt NTLM
W większości przypadków użytkownik chce uzyskać dostęp do innych zasobów stacji roboczej za pośrednictwem komputera klienckiego, co może być trudne do wykonania w bezpieczny sposób.
Ogólnie rzecz biorąc, projekt techniczny NTLM opiera się na mechanizmie Wyzwanie
i Odpowiedź
:
-
Użytkownik loguje się na komputerze klienckim za pomocą konta systemu Windows i hasła. Hasło nigdy nie jest zapisywane lokalnie. Zamiast zwykłego hasła tekstowego lokalnie jest przechowywana wartość hash hasła. Gdy użytkownik loguje się za pomocą hasła do klienta, system operacyjny Windows porównuje zapisaną wartość skrótu z wartością skrótu z wprowadzonego hasła. Jeśli oba są takie same, uwierzytelnianie zostanie zakończone.
Gdy użytkownik chce uzyskać dostęp do dowolnego zasobu na innym serwerze, klient wysyła do serwera żądanie z nazwą konta w postaci zwykłego tekstu.
-
Gdy serwer odbierze żądanie, generuje 16-bitowy klucz losowy. Klucz nosi nazwę Challenge (lub Nonce). Zanim serwer wyśle z powrotem do klienta, zadanie jest zapisywane na serwerze. Następnie serwer wysyła wyzwanie do klienta w postaci zwykłego tekstu.
-
Gdy tylko klient otrzyma wyzwanie wysłane z serwera, zaszyfruje wyzwanie za pomocą wartości hash wymienionej w kroku 1. Po zaszyfrowaniu wartość jest zwracana do serwera.
-
Gdy serwer odbierze zaszyfrowaną wartość od klienta, wysyła ją do kontrolera domeny w celu weryfikacji. Żądanie zawiera: nazwa konta, zaszyfrowane wyzwanie wysłane przez klienta oraz oryginalne wyzwanie proste.
-
Kontroler domeny może pobierać wartości skrótu hasła w zależności od nazwy konta. Następnie kontroler domeny może zaszyfrować oryginalne wyzwanie. Kontroler doman może następnie porównać z otrzymaną wartością hash i zaszyfrowaną wartością hash. Jeśli są takie same, weryfikacja przebiega pomyślnie.
Uwierzytelnianie zabezpieczeń jest wbudowane w system operacyjny, co ułatwia aplikacjom obsługę uwierzytelniania zabezpieczeń. W związku z tym nie musisz kończyć dalszej konfiguracji.
Konfigurowanie przezroczystego serwera proxy
W tym scenariuszu przeglądarka nie wie, że przezroczysty serwer proxy sieci WWW przechwytuje żądania HTTP (port 80/port 443) i nie jest wymagana konfiguracja po stronie klienta.
| 1 |
Wdróż przezroczysty serwer proxy, aby łącznik mógł łączyć się i synchronizować użytkowników. |
| 2 |
Upewnij się, że serwer proxy działa — po uruchomieniu konektora zobaczysz oczekiwane wyskakujące okienko uwierzytelniania przeglądarki. |
Ustaw uwierzytelnianie serwera proxy
Dodaj adres URL cloudconnector.webex.com do listy dozwolonych, tworząc listę kontroli dostępu.
Na serwerze zapory korporacyjnej:
| 1 |
Włącz wyszukiwanie w usłudze DNS, jeśli funkcja nie jest jeszcze włączona. |
| 2 |
Określ szacowaną przepustowość dla tego połączenia (około 2 Mb/s lub mniej dla konektora). Może to nie być wymagane. |
| 3 |
Utwórz listę kontroli dostępu, aby zastosować ją do hosta łącznika, i określ Na przykład: access-list 2000 acl-inside rozszerzone zezwolenie TCP [IP łącznika] cloudconnector.webex.com eq https |
| 4 |
Zastosuj to ACL do odpowiedniego interfejsu zapory, który ma zastosowanie tylko do tego hosta z pojedynczym łącznikiem. |
| 5 |
Upewnij się, że pozostałe hosty w przedsiębiorstwie nadal muszą korzystać z serwera proxy internetowego, konfigurując odpowiednie oświadczenie o odrzuceniu. |
Wdróż łącznik usług katalogowych
Przepływ zadań wdrażania łącznika usług katalogowych Cisco
Przed rozpoczęciem
| 1 |
Zainstaluj łącznik usług katalogowych Control Hub początkowo pokazuje synchronizację katalogu jako wyłączoną. Aby włączyć synchronizację katalogu w organizacji, należy zainstalować i skonfigurować Directory Connector, a następnie pomyślnie przeprowadzić pełną synchronizację. W przypadku nowej instalacji Directory Connector zawsze przejdź do Control Hub ( https://admin.webex.com), aby uzyskać najnowszą wersję oprogramowania, aby korzystać z najnowszych funkcji i poprawek błędów. Po zainstalowaniu oprogramowania uaktualnienia są raportowane za pośrednictwem oprogramowania i instalowane automatycznie, gdy jest dostępne. |
| 2 |
Zaloguj się do łącznika usług katalogowych Zaloguj się, używając poświadczeń administratora Webex i przeprowadź konfigurację początkową. |
| 3card symbol |
Ustaw automatyczne uaktualnianie Zawsze ważne jest, aby oprogramowanie Directory Connector było aktualne do najnowszej wersji. Zalecamy użycie tej procedury, aby umożliwić cichą instalację automatycznych uaktualnień oprogramowania, gdy jest dostępne. |
| 4 |
Wybierz obiekty usługi Active Directory do zsynchronizowania Domyślnie Directory Connector synchronizuje wszystkich użytkowników, którzy nie są komputerami, oraz wszystkie grupy, które nie są krytycznymi obiektami systemowymi dla domeny. Aby uzyskać większą kontrolę nad tym, które obiekty są synchronizowane, można wybrać określonych użytkowników do synchronizacji i określić filtry LDAP na stronie Wybór obiektów w łączniku usług katalogowych. |
| 5. |
Atrybuty z lokalnej usługi Active Directory można mapować na odpowiednie atrybuty w chmurze. Jedynym wymaganym polem jest *uid. |
| 6 |
Zsynchronizuj awatary katalogów, korzystając z jednej z następujących procedur:
Możesz synchronizować awatary użytkowników z chmurą, aby awatar każdego użytkownika był wyświetlany po zalogowaniu się do aplikacji. Awatary można synchronizować z atrybutu Active Directory lub serwera zasobów. |
| 7 |
Synchronizuj informacje o pokoju w siedzibie z chmurą Webex Ta procedura służy do synchronizowania informacji o lokalnym pokoju z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia pokojowe ze skonfigurowanym, zmapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach pokojowych zarejestrowanych w chmurze, takich jak urządzenie Webex Room lub Cisco Webex Board |
| 8 |
Aby Zainicjować Obsługę Administracyjną Użytkowników Z Active Directory Do Control Hub, wykonaj następujące czynności:
Wykonaj tę sekwencję, aby skonfigurować użytkowników usługi Active Directory na potrzeby kont aplikacji Webex. Możesz skonfigurować użytkowników z wielu wdrożeń usługi Active Directory w systemie Directory Connector 3.0 lub nowszym. Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Celem jest dokładne dopasowanie między aktywnymi katalogami a chmurą Webex. |
Zainstaluj łącznik usług katalogowych
Control Hub początkowo pokazuje synchronizację katalogu jako wyłączoną. Aby włączyć synchronizację katalogu w organizacji, należy zainstalować i skonfigurować Directory Connector, a następnie pomyślnie przeprowadzić pełną synchronizację.
Należy zainstalować jeden łącznik dla każdej domeny Active Directory, którą chcesz zsynchronizować. Pojedyncze wystąpienie łącznika usług katalogowych może obsługiwać tylko jedną domenę. Aby zrozumieć przepływ synchronizacji wielu domen, zobacz poniższy diagram:
Przed rozpoczęciem
Jeśli uwierzytelniasz się za pośrednictwem serwera proxy, upewnij się, że masz poświadczenia serwera proxy:
-
W przypadku podstawowego uwierzytelniania proxy wprowadź nazwę użytkownika i hasło po zainstalowaniu wystąpienia łącznika. Konfiguracja serwera proxy programu Internet Explorer jest również wymagana do uwierzytelniania podstawowego; zobacz Używanie Serwera Proxy Internetowego W Przeglądarce
-
W przypadku serwera proxy NTLM przy pierwszym otwarciu łącznika może pojawić się błąd. Zobacz Korzystanie z Serwera Proxy Sieci Web W Przeglądarce.
| 1 |
W Control Hub wybierz kolejno pozycje i wybierz Dalej. |
| 2 |
Kliknij łącze Pobierz i zainstaluj, aby zapisać najnowszą wersję pliku .zip instalacyjnego łącznika na swoim serwerze VMware lub Windows. Plik .zip można pobrać bezpośrednio z tego łącza, ale aby to oprogramowanie działało, musisz mieć pełny dostęp administracyjny do organizacji Control Hub. W przypadku nowej instalacji pobierz najnowszą wersję oprogramowania, aby korzystać z najnowszych funkcji i poprawek błędów. Po zainstalowaniu oprogramowania uaktualnienia są raportowane za pośrednictwem oprogramowania i instalowane automatycznie, gdy jest dostępne. |
| 3card symbol |
Na serwerze VMware lub na serwerze Windows rozpakuj i uruchom plik .msi w folderze konfiguracji, aby uruchomić kreatora konfiguracji. |
| 4 |
Kliknij przycisk Dalej, zaznacz pole wyboru, aby zaakceptować umowę licencyjną, a następnie kliknij przycisk Dalej, aż zostanie wyświetlony ekran typu konta. |
| 5. |
Wybierz typ konta usługi, którego chcesz używać, i wykonaj instalację za pomocą konta administratora:
Aby uniknąć błędów, upewnij się, że istnieją następujące uprawnienia:
|
| 6 |
Kliknij przycisk Instaluj. Po uruchomieniu testu sieci wprowadź podstawowe poświadczenia serwera proxy, kliknij przycisk OK, a następnie kliknij przycisk Zakończ. |
Co zrobić dalej
Zalecamy ponowne uruchomienie serwera po instalacji. Raport przebiegu próbnego nie może wyświetlić prawidłowego wyniku, gdy dane nie zostały zwolnione. Podczas ponownego uruchamiania maszyny wszystkie dane są odświeżane, aby pokazać dokładny wynik w raporcie.
Zaloguj się do łącznika usług katalogowych
Przed rozpoczęciem
Upewnij się, że masz poświadczenia serwera proxy.
-
W przypadku podstawowego uwierzytelniania serwera proxy wprowadź nazwę użytkownika i hasło po pierwszym otwarciu łącznika.
-
W przypadku serwera proxy NTLM otwórz program Internet Explorer, kliknij ikonę koła zębatego, wybierz kolejno pozycje Opcje internetowe > Połączenia > Ustawienia sieci LAN, upewnij się, że dodano informacje o serwerze proxy, a następnie kliknij OK. Zobacz Korzystanie z Serwera Proxy Sieci Web W Przeglądarce.
| 1 |
Otwórz konektor, a następnie dodaj |
| 2 |
Jeśli zostanie wyświetlony monit, zaloguj się przy użyciu poświadczeń uwierzytelniania serwera proxy, a następnie zaloguj się do usługi Webex za pomocą konta administratora i kliknij przycisk Dalej. |
| 3card symbol |
Potwierdź swoją organizację i domenę.
|
| 4 |
Po wyświetleniu ekranu Potwierdź organizację kliknij przycisk Potwierdź. Jeśli usługi AD DS/AD LDS są już powiązane, zostanie wyświetlony ekran Potwierdź organizację. |
| 5. |
Kliknij przycisk Potwierdź. |
| 6 |
Wybierz jedną w zależności od liczby domen Active Directory, które chcesz powiązać z łącznikiem usług katalogowych:
|
Co zrobić dalej
Po zalogowaniu się zostanie wyświetlony monit o wykonanie synchronizacji przebiegu próbnego.
Pulpit nawigacyjny łącznika usług katalogowych
Przy pierwszym logowaniu do łącznika usług katalogowych zostanie wyświetlona konsola. W tym miejscu możesz wyświetlić podsumowanie wszystkich działań synchronizacji, wyświetlić statystyki chmury, przeprowadzić synchronizację przebiegu próbnego, rozpocząć synchronizację pełną lub stopniową oraz uruchomić widok zdarzenia, aby wyświetlić informacje o błędach.
Te zadania można łatwo uruchomić z paska narzędzi czynności lub menu czynności.
|
Komponent |
Opis |
|---|---|
|
Bieżąca synchronizacja |
Wyświetla informacje o stanie aktualnie trwającej synchronizacji. Gdy żadna synchronizacja nie jest uruchomiona, wyświetlanie stanu jest bezczynne. |
|
Następna synchronizacja |
Wyświetla następne zaplanowane pełne i przyrostowe synchronizacje. Jeśli nie ustawiono harmonogramu, wyświetlana jest opcja Nie zaplanowano. |
|
Ostatnia synchronizacja |
Wyświetla stan dwóch ostatnich wykonanych synchronizacji. |
|
Bieżący stan synchronizacji |
Wyświetla ogólny stan synchronizacji. |
|
Łączniki |
Wyświetla bieżące lokalne łączniki dostępne dla chmury. |
|
Statystyki chmury |
Wyświetla ogólny stan synchronizacji. |
|
Harmonogram synchronizacji |
Wyświetla harmonogram synchronizacji dla synchronizacji przyrostowej i pełnej. |
|
Podsumowanie konfiguracji |
Wyświetla ustawienia, które zostały zmienione w konfiguracji. Podsumowanie może na przykład zawierać następujące informacje:
|
| Czynność | Opis |
|---|---|
| Rozpocznij synchronizację przyrostową |
Ręcznie rozpocznij synchronizację przyrostową Ta czynność jest wyłączona po wstrzymaniu lub wyłączeniu synchronizacji, jeśli pełna synchronizacja nie została ukończona lub jeśli synchronizacja jest w toku. |
|
Synchronizuj przebieg próbny |
Wykonaj synchronizację przebiegu próbnego. |
|
Uruchom przeglądarkę zdarzeń |
Uruchom przeglądarkę zdarzeń firmy Microsoft |
|
Odśwież |
Odśwież pulpit nawigacyjny łącznika usług katalogowych Cisco |
|
Czynność |
Opis |
|---|---|
| Synchronizuj teraz |
Natychmiast rozpocznij pełną synchronizację. |
|
Tryb synchronizacji |
Wybierz tryb synchronizacji przyrostowej lub pełnej. |
|
Zresetuj klucz tajny łącznika |
Nawiąż rozmowę między łącznikiem usług katalogowych Cisco a konektorem. Wybranie tej czynności spowoduje zresetowanie tajnego klucza w chmurze, a następnie zapisanie klucza lokalnego. |
|
Przebieg próbny |
Wykonaj test procesu synchronizacji. Przed wykonaniem pełnej synchronizacji należy wykonać przebieg próbny. |
|
Rozwiązywanie problemów |
Włącz/wyłącz rozwiązywanie problemów. |
|
Odśwież |
Odśwież ekran główny łącznika usług katalogowych Cisco. |
|
Zamknij |
Zamknij łącznik usług katalogowych Cisco. |
|
Kombinacja klawiszy |
Czynność |
|---|---|
|
Alt+A |
Pokaż menu Czynności |
|
|
Synchronizuj teraz |
|
|
Zresetuj klucz tajny łącznika |
|
|
Przebieg próbny |
|
|
Synchronizacja przyrostowa |
|
|
Pełna synchronizacja |
|
|
Pokaż menuPomoc |
|
|
Pomoc |
|
|
Informacje |
|
|
często zadawane pytania |
Ustaw automatyczne uaktualnianie
| 1 |
W Directory Connector przejdź do , a następnie zaznacz pole wyboru Automatycznie uaktualnij do nowej wersji Cisco Directory Connector. |
| 2 |
Kliknij Zastosuj, aby zapisać zmiany. |
Nowe wersje łącznika są automatycznie instalowane, gdy są dostępne.
Uaktualnieniami można zarządzać ręcznie, jeśli wolisz. Aby uzyskać więcej informacji, zobacz Uaktualnianie do najnowszej wersji oprogramowania.
Wybierz obiekty usługi Active Directory do zsynchronizowania
Domyślnie Directory Connector synchronizuje wszystkich użytkowników, którzy nie są komputerami, oraz wszystkie grupy, które nie są krytycznymi obiektami systemowymi dla domeny. Aby uzyskać większą kontrolę nad tym, które obiekty są synchronizowane, można wybrać określonych użytkowników do synchronizacji i określić filtry LDAP na stronie Wybór obiektów w łączniku usług katalogowych.
Grupy do automatycznego przypisywania licencji
Control Hub umożliwia zarządzanie przypisaniami licencji w odniesieniu do poszczególnych grup. Można utworzyć szablony licencji i mapować je do grup Active Directory, które synchronizujesz z chmurą. W momencie tworzenia użytkownika Webex sprawdza członkostwo użytkownika i mapowanie szablonu automatycznego przypisywania licencji dla tego nowego użytkownika.
Zalecamy używanie filtra LDAP w celu synchronizowania tylko odpowiednich grup z chmurą. Filtr można na przykład ustawić jako:
(&(cn=Przykład)(objectClass=Group))*
Ten filtr synchronizuje wszystkie grupy w ramach podstawowej nazwy wyróżniającej, gdzie nazwa zaczyna się od Example. Użytkownikom, którzy nie są przypisani do grup, przypisane są licencje z domyślnego szablonu automatycznego przypisywania licencji skonfigurowanego w Control Hub.
Grupy dla wdrożeń hybrydowego zabezpieczenia danych
W Łączniku usług katalogowych zaznacz opcję Grupy, jeśli używasz usługi hybrydowego zabezpieczenia danych, aby skonfigurować grupę wersji próbnej dla użytkowników pilotażowych. Wskazówki można znaleźć w Przewodniku wdrażania hybrydowego zabezpieczenia danych. To ustawienie łącznika usług katalogowych nie wpływa na synchronizację innych użytkowników z chmurą.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, a następnie kliknij pozycję Wybór obiektu. |
| 2 |
W sekcji Typ obiektu zaznacz opcję Użytkownicy i rozważ ograniczenie liczby pojemników możliwych do wyszukania dla użytkowników. Jeśli na przykład chcesz zsynchronizować tylko użytkowników w określonej grupie, w polu Użytkownicy należy wprowadzić filtr LDAP. Jeśli chcesz synchronizować użytkowników w grupie Przykład-menedżer, użyj filtra takiego jak ten:
|
| 3card symbol |
Zaznacz opcję Identyfikacja pokoju, aby oddzielić dane pokoju od danych użytkownika. Kliknij opcję Dostosuj, jeśli chcesz skonfigurować dodatkowe atrybuty w celu identyfikacji danych użytkownika jako danych pokoju. Użyj tego ustawienia, jeśli chcesz synchronizować informacje o pokoju lokalnym z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia systemu biurowego ze skonfigurowanym, mapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach systemu biurowego zarejestrowanych w chmurze. Aby uzyskać więcej informacji, zobacz Synchronizowanie informacji o pokoju w siedzibie z chmurą Webex. |
| 4 |
Zaznacz opcję Grupy, jeśli chcesz zsynchronizować grupy użytkowników usługi Active Directory z chmurą. Nie dodawaj filtru LDAP synchronizacji użytkowników do pola Grupy. Do synchronizacji danych grupy z chmurą należy używać tylko pola Grupy. Domyślnie grupy nie są synchronizowane dla nowych klientów. Należy włączyć synchronizację grup. Musisz również synchronizować grupy zabezpieczeń. |
| 5. |
Zaznacz opcję Kontakty, jeśli chcesz zsynchronizować informacje kontaktowe użytkowników z chmurą. Łącznik usług katalogowych zarządza tylko Kontaktami zsynchronizowanymi przez łącznik. Jeśli istnieją już kontakty w Control Hub, synchronizacja nie usunie tych kontaktów. Jeśli kontakty zostaną usunięte z zakresu synchronizacji, informacje kontaktowe użytkowników zostaną również usunięte w Control Hub. |
| 6 |
Skonfiguruj filtry LDAP. Filtry rozszerzone można dodawać, podając prawidłowy filtr LDAP. Zobacz ten artykuł, aby uzyskać więcej informacji o konfigurowaniu filtrów LDAP. |
| 7 |
Określ nazwy domen bazy lokalnej do synchronizacji, klikając przycisk Wybierz, aby zobaczyć strukturę drzewa usługi Active Directory. Tutaj możesz wybrać lub usunąć zaznaczenie, które kontenery mają być przeszukiwane. |
| 8 |
Sprawdź, czy obiekty, które chcesz dodać do tej konfiguracji, a następnie kliknij przycisk Wybierz. Można wybrać pojedyncze lub nadrzędne pojemniki, które mają być używane do synchronizacji. Wybierz pojemnik nadrzędny, aby włączyć wszystkie pojemniki podrzędne. Po wybraniu kontenera dla dziecka w kontenerze nadrzędnym zostanie wyświetlony szary znak wyboru wskazujący, że dziecko zostało zaznaczone. Następnie możesz kliknąć przycisk Wybierz, aby zaakceptować zaznaczone kontenery Active Directory. Jeśli organizacja umieści wszystkich użytkowników i grupy w kontenerze Użytkownicy, nie trzeba wyszukiwać innych kontenerów. Jeśli Twoja organizacja jest podzielona na jednostki organizacyjne, upewnij się, że wybrano jednostki organizacyjne. |
| 9 |
Kliknij przycisk Zastosuj. Wybierz opcję:
Aby uzyskać informacje na temat uruchamiania próbnego, zobacz Przeprowadzanie synchronizacji próbnej u użytkowników usługi Active Directory. W przypadku synchronizacji grup należy przeprowadzić pełną synchronizację: Wykonywanie pełnej synchronizacji użytkowników usługi Active Directory Z chmurą. |
Mapuj atrybuty użytkownika
Atrybuty z lokalnej usługi Active Directory można mapować na odpowiednie atrybuty w chmurze. Jedynym wymaganym polem jest *uid — unikatowy identyfikator każdego konta użytkownika w usłudze tożsamości w chmurze.
Możesz wybrać, który atrybut Active Directory ma być mapowany na chmurę — na przykład możesz mapować imię i nazwisko w usłudze Active Directory lub wyrażenie atrybutu niestandardowego na displayName w chmurze.
Konta w usłudze Active Directory muszą mieć adres e-mail. Identyfikator uid jest domyślnie mapowany na pole poczty ad (a nie sAMAccountName).
Jeśli zdecydujesz się, aby preferowany język pochodził z Active Directory, wówczas Active Directory jest jedynym źródłem prawdy: użytkownicy nie będą mogli zmienić swojego ustawienia języka w ustawieniach Webex, a administratorzy nie będą mogli zmienić tego ustawienia w Control Hub.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja , a następnie wybierz pozycjęMapowanie atrybutów użytkownika. Na tej stronie wyświetlane są nazwy atrybutów Active Directory (po lewej stronie) i chmury Webex (po prawej). Wszystkie wymagane atrybuty są oznaczone czerwoną gwiazdką. |
| 2 |
Przewiń w dół do dołu nazwy atrybutów usługi Active Directory, a następnie wybierz jeden z tych atrybutów usługi Active Directory, aby zamapować atrybut uid chmury:
Możesz mapować dowolny z pozostałych atrybutów Active Directory na identyfikator uid, ale zalecamy używanie poczty lub userPrincipalName w sposób opisany w powyższych wytycznych. W niektórych przypadkach do logowania się służy nazwa userPrincipalName, ale do zarządzania kalendarzem użytkownika jest używany jego adres e-mail. Należy podać adres e-mail dla map zarządzania kalendarzem na główne pole adresu e-mail w usłudze Webex. Dodaj userPrincipalName jako alternatywny adres e-mail. Aby zobaczyć, które atrybuty w usłudze Active Directory odpowiadają w chmurze, zobacz Mapowanie atrybutów Active Directory w Directory Connector. Aby synchronizacja działała, należy się upewnić, że wybrany atrybut Active Directory jest w formacie e-mail. Łącznik usług katalogowych wyświetla wyskakujące okienko z przypomnieniem, że nie wybrano jednego z zalecanych atrybutów. |
| 3card symbol |
Jeśli wstępnie zdefiniowane atrybuty usługi Active Directory nie działają dla Twojego wdrożenia, kliknij rozwijany atrybut, przewiń do dołu, a następnie wybierz pozycję Dostosuj atrybut, aby otworzyć okno umożliwiające zdefiniowanie wyrażenia atrybutu. Kliknij Pomoc, aby uzyskać więcej informacji o wyrażeniach i zobaczyć przykłady działania wyrażeń. Więcej informacji zawiera temat Wyrażenia dla niestandardowych atrybutów. W tym przykładzie zmapujmy atrybuty
Łącznik usług katalogowych weryfikuje wartość atrybutu uid w usłudze tożsamości i pobiera 3 dostępnych użytkowników w ramach bieżących opcji filtrowania użytkownika. Jeśli wszyscy z tych 3 użytkowników mają prawidłowy format wiadomości e-mail, Cisco Directory Connector wyświetli następujący komunikat:
Jeśli nie można zweryfikować atrybutu, zobaczysz następujące ostrzeżenie i możesz powrócić do usługi Active Directory, aby sprawdzić i naprawić dane użytkownika:
|
| 4 |
(Opcjonalnie) Wybierz mapowania dla urządzeń mobilnych i telephoneNumber, jeśli chcesz, aby numery komórkowe i służbowe pojawiały się na przykład w karcie kontaktu użytkownika w aplikacji Webex. Dane numeru telefonu pojawiają się w aplikacji Webex, gdy użytkownik najedzie kursorem na zdjęcie profilowe innego użytkownika. Aby uzyskać więcej informacji na temat nawiązywania połączeń z karty kontaktu użytkownika, zobacz Przewodnik wdrażania połączeń w usłudze Webex (Unified CM) (administratorzy). |
| 5. |
Wybierz dodatkowe mapowania, aby więcej danych mogło pojawić się na karcie kontaktu:
Po zmapowaniu atrybutów informacje są wyświetlane, gdy użytkownik najedzie kursorem na zdjęcie profilowe innego użytkownika:
Aby uzyskać więcej informacji na temat karty kontaktu, zobacz Sprawdzanie, z kim się kontaktujesz. Po zsynchronizowaniu tych atrybutów z każdym kontem użytkownika można również włączyć funkcję People Insights w Control Hub. Ta funkcja pozwala użytkownikom aplikacji Webex udostępniać więcej informacji w swoich profilach i dowiedzieć się więcej o sobie. Aby uzyskać więcej informacji na temat tej funkcji i sposobu jej włączenia, zobacz Profile użytkowników aplikacji Webex, Jabber, Webex Meetings i Webex Events (nowość) w Control Hub |
| 6 |
Po dokonaniu wyboru kliknij Zastosuj. |
Wszelkie dane użytkownika zawarte w usłudze Active Directory zastępują dane w chmurze odpowiadające temu użytkownikowi. Na przykład jeśli użytkownik został ręcznie utworzony w Control Hub, jego adres e-mail musi być identyczny z adresem e-mail w usłudze Active Directory. Każdy użytkownik bez odpowiedniego adresu e-mail w usłudze Active Directory zostanie usunięty.
Usunięci użytkownicy są przechowywani w usłudze tożsamości w chmurze przez 7 dni przed ich trwale usunięciem.
Atrybuty Active Directory i chmury
Za pomocą karty Mapowanie atrybutów użytkownika można mapować atrybuty z lokalnej usługi Active Directory na odpowiednie atrybuty w chmurze.
W tej tabeli porównano mapowanie między nazwami atrybutów usługi Active Directory i nazwami atrybutów chmury Cisco. Te wartości i mapowania są ustawieniem domyślnym w łączniku usług katalogowych. Możesz wybrać różne atrybuty w rozwijanej usłudze Active Directory i określić, który atrybut lokalny jest synchronizowany z którym atrybutem chmury.
Pomyślcie o atrybutach rozwijanych jako o ustawieniach wstępnych. Zamiast wartości w wierszu Active Directory można również określić niestandardowy atrybut, własne ustawienie wstępne, w usłudze Active Directory (wyrażenie z wieloma atrybutami), aby zamapować go na jeden atrybut chmury w odpowiednim wierszu. Dzięki temu masz elastyczność określania nazw wyświetlanych użytkowników — na przykład możesz dodać wyrażenie, które tworzy niestandardowy atrybut na podstawie tytułu pracownika, imienia i nazwiska w usłudze Active Directory.
Można również określić dowolny z atrybutów usługi Active Directory, aby być mapowanym na identyfikator uid w chmurze. Należy jednak się upewnić, że atrybut lokalny jest zgodny z prawidłowym formatem wiadomości e-mail.
Możesz także użyć alternatywnych adresów e-mail, na przykład jeśli chcesz użyć nazwy userPrincipalName do logowania, ale adres e-mail użytkownika jest używany do zarządzania kalendarzem użytkownika. W takim przypadku zamapuj inny adres e-mail na atrybut e-mail;type-work. To jest adres e-mail używany do uwierzytelniania; nie jest używany do zarządzania kalendarzem. Adres e-mail mapowany z usługi AD musi pochodzić ze zweryfikowanej domeny w ramach organizacji, być unikatowy i nie musi być przypisany do innego użytkownika.
|
Nazwy atrybutów Active Directory |
Nazwy atrybutów chmury Webex |
Uwagi |
|---|---|---|
|
— |
budynekName |
— |
|
c |
c |
Ten atrybut określa skrót kraju użytkownika. |
|
działNumer |
działNumer |
Ten atrybut jest używany dla numeru działu użytkownika, który pojawia się na karcie kontaktu i informacjach o użytkowniku. |
|
nazwa wyświetlana |
nazwa wyświetlana |
Ten atrybut jest używany dla nazwy wyświetlanej konta użytkownika, która pojawia się w Control Hub, na karcie kontaktu i informacjach o użytkowniku. |
|
kontrolaKontaUżytkownika |
ds-pwp-account-wyłączony |
Ten atrybut jest używany do synchronizacji użytkowników. Upewnij się, że atrybut userAccountControl jest mapowany na ds-pwp-account-disabled. W przeciwnym razie użytkownicy nie będą poprawnie synchronizowani. |
|
Liczba pracowników |
Liczba pracowników |
— |
|
faksyleTelefonNumer |
faksyleTelefonNumer |
— |
|
— |
identyfikator jabber |
Ten atrybut chmury odnosi się do adresów wiadomości błyskawicznych (typ XMPP) używanych przez Jabbera. Ta wartość nie jest taka sama jak adres sipAddresses. |
|
l |
l |
Ten atrybut określa miejscowość użytkownika. |
|
— |
język |
— |
|
menedżer |
menedżer |
Ten atrybut jest używany dla nazwy menedżera użytkownika, która jest wyświetlana na karcie kontaktu i informacjach o użytkowniku. |
|
przenośne |
przenośne |
Ten atrybut jest używany jako numer telefonu komórkowego wyświetlany do nawiązania połączenia z użytkownikiem z karty kontaktu. |
|
o |
o |
Ten atrybut określa nazwę firmy lub organizacji i jest wyświetlany na karcie kontaktu. |
|
lub |
lub |
Ten atrybut określa nazwę jednostki organizacyjnej. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Ten atrybut określa lokalizację biura użytkownika. |
|
Kod pocztowy |
Kod pocztowy |
Ten atrybut określa kod pocztowy użytkownika do fizycznego dostarczania poczty. |
|
preferowanyJęzyk |
preferowanyJęzyk |
Ten atrybut ustawia preferowany język użytkownika oraz obsługiwane są następujące formaty: xx_YY lub xx-YY. Oto kilka przykładów: en_US, en_GB, fr-CA. Jeśli używasz nieobsługiwanego języka lub nieprawidłowego formatu, preferowany język użytkowników zostanie zmieniony na język ustawiony dla organizacji. |
|
MSRTCSIP - główny adres użytkownika Telefon ipPhone |
Adresy Sip;type=przedsiębiorstwo |
Ten atrybut jest używany do synchronizacji informacji o pokoju lokalnym z usługi Active Directory z chmurą Cisco Webex. |
|
sn |
sn |
Ten atrybut jest używany dla nazwiska konta użytkownika wyświetlanego w Control Hub, na karcie kontaktu i informacjach o użytkowniku. |
|
st. |
st. |
Ten atrybut określa stan lub prowincję użytkownika. |
|
ulicaAdres |
ulica |
Ten atrybut określa adres ulicy użytkownika do fizycznej dostawy poczty. |
|
numer telefonu |
numer telefonu |
Ten atrybut określa główny (służbowy) numer telefonu użytkownika służący do nawiązania połączenia z użytkownikiem z karty kontaktu. |
|
— |
strefa czasowa |
Ten atrybut chmury określa strefę czasową użytkownika. |
|
tytuł |
tytuł |
Ten atrybut określa tytuł użytkownika, który pojawia się na karcie kontaktu i informacjach o użytkowniku. |
|
wpisz |
przedsiębiorstwo |
— |
|
*poczta *Główna nazwa użytkownika |
identyfikator użytkownika |
Obowiązkowe mapowanie atrybutów. Dla każdego konta użytkownika wartość usługi Active Directory jest mapowana na unikatowy identyfikator UID w chmurze. W niektórych przypadkach do logowania się służy nazwa userPrincipalName, ale do zarządzania kalendarzem użytkownika jest używany jego adres e-mail. Należy podać adres e-mail dla map zarządzania kalendarzem na główne pole adresu e-mail w usłudze Webex. Dodaj userPrincipalName jako alternatywny adres e-mail. Użytkownik może wówczas użyć dowolnego z tych adresów e-mail do zalogowania się, o ile działa prawidłowe mapowanie atrybutów SAML. Zobacz Przykładowe mapowanie atrybutów poniżej, aby dowiedzieć się, jak można zmapować alternatywny adres e-mail. |
|
*Główna nazwa użytkownika *poczta <atrybut niestandardowy> |
wiadomości e-mail; praca typu |
To mapowanie jest opcjonalne. Użyj go, jeśli chcesz używać alternatywnych adresów e-mail. To jest adres e-mail używany do uwierzytelniania; nie jest używany do zarządzania kalendarzem. Adres e-mail mapowany z usługi AD musi pochodzić ze zweryfikowanej domeny w ramach organizacji, być unikatowy i nie musi być przypisany do innego użytkownika. |
|
<Nowy atrybut obiektuId użytkownika platformy Azure> |
Identyfikator zewnętrzny |
Utwórz nowy atrybut Active Directory, aby zachować identyfikator obiektu użytkownika platformy Azure, tak aby nie zderzył się z istniejącym atrybutem. Ten atrybut jest następnie mapowany na atrybut externalId, zapewniając, że gdy użytkownicy Webex tworzą grupy w Microsoft 365, automatycznie tworzą zespoły w Webex. |
Mapowanie alternatywnego adresu e-mail
Wyrażenia dla niestandardowych atrybutów
|
Operator |
Opis i przykład |
|---|---|
|
% |
Usuwa wszystkie znaki od początku ciągu do pozycji znaku lub argumentu ciągu, jeśli są dopasowane.
|
|
- |
Przesuwa tył ciągu wejściowego od końca określonego ciągu.
|
|
+ |
Powoduje złożenie ciągów wejściowych lub wyrażeń.
|
|
| |
Dokonuje oceny wyrażeń oddzielonych od pustego ciągu i wybiera pierwszy niepusty wynik.
|
Synchronizuj awatary katalogu z atrybutu usługi Active Directory do chmury
Możesz zsynchronizować awatary katalogu użytkowników z chmurą, aby każdy awatar był wyświetlany po zalogowaniu się do aplikacji Webex. Ta procedura służy do synchronizowania surowych danych awatara z atrybutu Active Directory.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, kliknij pozycję Awatar, a następnie zaznacz pole wyboru Włącz. |
| 2 |
W polu Pobierz awatar z wybierz atrybut AD, a następnie wybierz atrybut Awatar zawierający surowe dane awatara, które chcesz zsynchronizować z chmurą. |
| 3card symbol |
Aby sprawdzić, czy awatar jest poprawnie dostępny, wprowadź adres e-mail użytkownika, a następnie kliknij opcję Pobierz awatar użytkownika. Awatar pojawi się po prawej stronie. |
| 4 |
Po sprawdzeniu, czy awatar pojawił się poprawnie, kliknij przycisk Zastosuj, aby zapisać zmiany. |
-
Zsynchronizowane obrazy stają się domyślnym awatarem dla użytkowników w aplikacji Webex. Użytkownicy nie mogą ustawić własnego awatara, gdy ta funkcja zostanie włączona z poziomu łącznika usług katalogowych.
-
Awatary użytkowników są synchronizowane zarówno z aplikacją Webex, jak i ze wszystkimi pasującymi kontami w witrynie Webex.
Co zrobić dalej
Wykonaj synchronizację przebiegu próbnego; jeśli nie ma problemów, wykonaj pełną synchronizację, aby umożliwić synchronizację kont użytkowników i awatarów usługi Active Directory z chmurą i wyświetlenie ich w portalu Control Hub.
Synchronizuj awatary katalogu Z serwera zasobów do chmury
Możesz zsynchronizować awatary katalogu użytkowników z chmurą, aby każdy awatar był wyświetlany po zalogowaniu się do aplikacji Webex. Ta procedura służy do synchronizowania awatarów z serwera zasobów.
Przed rozpoczęciem
-
Wzorzec URI i wartość zmiennej w tej procedurze są przykładami. Musisz używać rzeczywistych adresów URL, w których znajdują się awatary katalogów.
-
Wzorzec URI awatara i serwer, na którym znajdują się awatary, muszą być dostępne z poziomu aplikacji Directory Connector. Konektor wymaga dostępu do obrazów w protokole HTTP lub HTTPS, ale obrazy nie muszą być publicznie dostępne w Internecie.
-
Synchronizacja danych awatara jest oddzielona od profili użytkowników w usłudze Active Directory. Jeśli jest uruchomiony serwer proxy, należy się upewnić, że dane awatara są dostępne za pomocą uwierzytelniania NTLM lub uwierzytelniania podstawowego.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, kliknij pozycję Awatar, a następnie zaznacz pole wyboru Włącz. |
| 2 |
W polu Pobierz awatar z wybierz pozycję Serwer zasobów, a następnie wprowadź wzorzec URI awatara, na przykład Przyjrzyjmy się każdej części wzorca URI awatara i co one oznaczają:
|
| 3card symbol |
(Opcjonalnie) Jeśli serwer zasobów wymaga poświadczeń, zaznacz opcję Ustaw poświadczenia użytkownika dla awatara, a następnie wybierz opcję Użyj bieżącego użytkownika logowania do usługi lub Użyj tego użytkownika i wprowadź hasło. |
| 4 |
Wprowadź wartość zmiennej — na przykład: |
| 5. |
Kliknij przycisk Testuj, aby upewnić się, że wzorzec URI awatara działa poprawnie. W tym przykładzie, jeśli wartością poczty dla jednego wpisu usługi AD jest |
| 6 |
Gdy informacje o identyfikatorze URI zostaną zweryfikowane i wyglądają poprawnie, kliknij przycisk Zastosuj. Aby uzyskać szczegółowe informacje na temat używania wyrażeń regularnych, zobacz Skrócona instrukcja obsługi języka wyrażeń regularnych firmy Microsoft. |
-
Zsynchronizowane obrazy stają się domyślnym awatarem dla użytkowników w aplikacji Webex. Użytkownicy nie mogą ustawić własnego awatara, gdy ta funkcja zostanie włączona z poziomu łącznika usług katalogowych.
-
Awatary użytkowników są synchronizowane zarówno z aplikacją Webex, jak i ze wszystkimi pasującymi kontami w witrynie Webex.
Co zrobić dalej
Wykonaj synchronizację przebiegu próbnego; jeśli nie ma problemów, wykonaj pełną synchronizację, aby umożliwić synchronizację kont użytkowników i awatarów usługi Active Directory z chmurą i wyświetlenie ich w portalu Control Hub.
Synchronizuj informacje o pokoju w siedzibie z chmurą Webex
Ta procedura służy do synchronizowania informacji o lokalnym pokoju z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia pokojowe ze skonfigurowanym, zmapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach Webex zarejestrowanych w chmurze (Room, Desk i Board).
| 1 |
W Directory Connector przejdź do pozycji Synchronizuj, kliknij więcej |
| 2 |
Zaznacz opcję Synchronizuj informacje o pokoju z chmurą, aby oddzielić dane pokoju od danych użytkowników podczas synchronizacji. Gdy to ustawienie jest wyłączone, dane pokoju są traktowane tak samo jak dane zsynchronizowane przez użytkowników. |
| 3card symbol |
Przejdź do pozycji Mapowanie atrybutów, a następnie zmień mapowanie atrybutów dla atrybutu sipAddresses;type=enterprise w chmurze. Aby można było użyć sprawdzania poprawności wartości, wartością adresu SIP powinna być Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Tworzenie skrzynki pocztowej zasobów pokoju w programie Exchange. Spowoduje to dodanie atrybutu msExchResourceMetaData;ResourceType:Room, którego łącznik używa następnie do identyfikowania pokojów.
|
| 5. |
Z użytkowników i komputerów usługi Active Directory przejdź do właściwości pokoju i edytuj je. Dodaj w pełni kwalifikowany identyfikator URI SIP z przedrostkiem sip:
|
| 6 |
Wykonaj synchronizację przebiegu próbnego, a następnie pełną synchronizację przebiegu w konektorze. Nowe obiekty pokoju są wyświetlane na liście Dodane obiekty, a dopasowane obiekty pokoju są wyświetlane w Obiekty dopasowane w raporcie przebiegu próbnego. Wszystkie obiekty pokojów oznaczone flagą usunięcia znajdują się w obszarze Pokoje usunięte.
Wyniki przebiegu próbnego pokazują wszystkie zasoby pokojów, które zostały dopasowane.
To ustawienie oddziela dane pokoju Active Directory (w tym atrybut pokoju) od danych użytkownika. Po zakończeniu synchronizacji statystyki chmury w pulpicie nawigacyjnym łącznika pokazują dane pokojów, które zostały zsynchronizowane z chmurą.
|
Co zrobić dalej
Teraz, po wykonaniu tych czynności, podczas wyszukiwania na urządzeniu zarejestrowanym w chmurze Webex zostaną wyświetlone zsynchronizowane wpisy pokojów skonfigurowane z adresami SIP. Po nawiązaniu połączenia z urządzenia Webex na tym wpisie połączenie jest nawiązywane na adres SIP skonfigurowany dla pokoju.
Z Control Hub można automatycznie importować pokoje z katalogu i tworzyć obszary robocze.
Punkt końcowy nie może nawiązać połączenia zwrotnego do aplikacji Webex. W przypadku testowych wybierania numerów urządzenia te muszą być zarejestrowane jako lokalny identyfikator URI SIP lub miejsce inne niż aplikacja Webex. Jeśli system pokojów Active Directory, którego szukasz, jest zarejestrowany w usłudze Webex, a ten sam adres e-mail znajduje się na urządzeniu Webex Room Device, urządzeniu Desk lub Webex Board dla usługi kalendarza, wyniki wyszukiwania nie wyświetlają zduplikowanego wpisu. Urządzenie Room, Desk lub Board jest wybierane bezpośrednio w aplikacji Webex, a połączenie SIP nie jest nawiązywane.
Wysyłanie raportów e-mail dotyczących wyników synchronizacji katalogów
Domyślnie kontakty lub administratorzy organizacji zawsze otrzymują powiadomienia e-mail. Dzięki temu ustawieniu możesz określić, kto powinien otrzymywać powiadomienia e-mail podsumowujące raporty synchronizacji katalogów.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja, a następnie wybierz pozycję Powiadomienia. |
| 2 |
W Łączniku usług katalogowych kliknij pozycję Ustawienia, a obok pozycji Odbiornik wiadomości e-mail włącz synchronizację raportu. |
| 3card symbol |
Zaznacz opcję Włącz powiadomienia, jeśli chcesz zastąpić domyślne działanie powiadomień i dodać jednego lub więcej odbiorców wiadomości e-mail. |
| 4 |
Kliknij przycisk Dodaj, a następnie wprowadź adres e-mail. W przypadku wprowadzenia adresu e-mail o nieprawidłowym formacie zostanie wyświetlony komunikat z prośbą o naprawienie problemu, zanim będzie można zapisać i zastosować zmiany. |
| 5. |
Kliknij Dodaj adres e-mail, a następnie wprowadź adres e-mail. W przypadku wprowadzenia adresu e-mail o nieprawidłowym formacie zostanie wyświetlony komunikat z prośbą o naprawienie problemu, zanim będzie można zapisać i zastosować zmiany. |
| 6 |
Jeśli chcesz edytować wprowadzone adresy e-mail, kliknij dwukrotnie wpis e-mail w lewej kolumnie, a następnie wprowadź niezbędne zmiany. |
| 7 |
Po dodaniu wszystkich prawidłowych adresów e-mail kliknij opcję Zastosuj. |
| 8 |
Po dodaniu wszystkich prawidłowych adresów e-mail kliknij przycisk Zapisz. |
Co zrobić dalej
Jeśli zdecydowano, że chcesz usunąć adresy e-mail, możesz kliknąć wiadomość e-mail, aby zaznaczyć ten wpis, a następnie kliknąć opcję Usuń.
Jeśli zdecydowano, że chcesz usunąć adresy e-mail, możesz kliknąć przycisk Usuń obok określonych wpisów adresu e-mail.
Aprowizacja Użytkowników Z Usługi Active Directory Do Control Hub
Wykonaj poniższe czynności, aby skonfigurować użytkowników usługi Active Directory i utworzyć odpowiadające im konta użytkowników w Control Hub. Po zainstalowaniu łącznika usług katalogowych dla każdej domeny można skonfigurować użytkowników z wdrożenia usługi Active Directory w wielu domenach (z jednym lub wieloma lasami). Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Celem jest dokładne dopasowanie między aktywnymi katalogami a chmurą Webex.
| 1 |
Wykonywanie synchronizacji próbnej na użytkownikach usługi Active Directory Przeprowadź przebieg próbny, aby porównać obiekty w lokalnej usłudze Active Directory z obiektami w chmurze Webex. Przebieg próbny pozwala zobaczyć, które obiekty zostaną dodane, zmodyfikowane lub usunięte, zanim uruchomisz pełną lub stopniową synchronizację i zatwierdzisz zmiany w chmurze. |
| 2 |
Wykonaj pełną synchronizację użytkowników usługi Active Directory z chmurą Po uruchomieniu pełnej synchronizacji usługa łącznika wysyła wszystkie odfiltrowane obiekty z usługi Active Directory (AD) do chmury. Usługa łącznika aktualizuje następnie magazyn tożsamości za pomocą wpisów usługi AD. Jeśli utworzono szablon automatycznego przypisywania licencji, możesz przypisać go do nowo zsynchronizowanych użytkowników. |
| 3card symbol |
Przypisz usługi Webex do użytkowników zsynchronizowanych z katalogiem w Control Hub Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych w Control Hub można przypisać licencje usług Webex przy użyciu różnych metod. Zalecamy skonfigurowanie szablonu automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory. Po tym początkowym kroku można również wprowadzić indywidualne zmiany. |
Wykonywanie synchronizacji próbnej na użytkownikach usługi Active Directory
Przeprowadź przebieg próbny, aby porównać obiekty w lokalnej usłudze Active Directory z obiektami w chmurze Webex. Przebieg próbny pozwala zobaczyć, które obiekty zostaną dodane, zmodyfikowane lub usunięte, zanim uruchomisz pełną lub stopniową synchronizację i zatwierdzisz zmiany w chmurze.
Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Dzięki Łącznikowi usług katalogowych celem jest dokładne dopasowanie między Active Directories a chmurą Webex.
Jeśli w jednym lub wielu lasach znajduje się wiele domen, wykonaj ten krok w każdym wystąpieniu łącznika usług katalogowych Cisco, które zainstalowałeś dla każdej domeny Active Directory.
Przed rozpoczęciem
Przed użyciem łącznika usług katalogowych niektórzy użytkownicy aplikacji Webex mogą już znajdować się w Control Hub. Wśród użytkowników w chmurze niektórzy mogą pasować do lokalnego obiektu Active Directory i mieć przypisane licencje na usługi. Ale niektóre z nich mogą być użytkownikami testowymi, których chcesz usunąć podczas synchronizacji. Należy utworzyć dokładne dopasowanie między usługą Active Directory i Control Hub.
| 1 |
Wybierz jedną z nich:
Po zakończeniu przebiegu próbnego zostanie wyświetlony jeden z następujących wyników:
Podsumowanie zawiera informacje o dopasowywaniu obiektów:
Przebieg próbny identyfikuje użytkowników poprzez porównanie ich z użytkownikami domeny. Aplikacja może zidentyfikować użytkowników, jeśli należą do bieżącej domeny. W następnym kroku musisz zdecydować, czy usunąć obiekty, czy zachować je. Niedopasowane obiekty są identyfikowane jako istniejące już w chmurze Webex, ale nie istnieją w lokalnej usłudze Active Directory. |
| 2 |
Przejrzyj wyniki uruchomienia próbnego, a następnie wybierz opcję w zależności od tego, czy korzystasz z jednej czy wielu domen:
|
| 3card symbol |
W wierszu Potwierdź przebieg próbny kliknij przycisk Tak, aby ponowić synchronizację przebiegu próbnego i wyświetl pulpit nawigacyjny, aby zobaczyć wyniki. Wszystkie konta, które zostały pomyślnie zsynchronizowane w przebiegu próbnym, pojawiają się w sekcji Dopasowane obiekty. Jeśli użytkownik w chmurze nie ma odpowiadającego użytkownika z tym samym adresem e-mail w usłudze Active Directory, pozycja ta znajduje się w sekcji Usunięci użytkownicy. Aby uniknąć tej flagi usuwania, możesz dodać użytkownika w usłudze Active Directory z tym samym adresem e-mail. Aby wyświetlić szczegóły zsynchronizowanych elementów, kliknij odpowiednią kartę dla określonych elementów lub Dopasowane obiekty. Aby zapisać informacje podsumowania, kliknij opcję Zapisz wyniki w pliku. |
| 4 |
Jeśli oczekiwane wyniki są oczekiwane, przejdź do , a następnie kliknij przycisk Włącz teraz, aby wykonać synchronizację ręczną i uruchomić w tym momencie tryb ręczny. Po wykonaniu synchronizacji w ostatniej domenie Active Directory w wdrożeniu wielu domen należy włączyć tryb automatyczny dla łącznika usług katalogowych. Tryb automatyczny można włączyć tylko wtedy, gdy obiekty są całkowicie dopasowane między chmurą Webex a wszystkimi lokalnymi aktywnymi katalogami. |
Co zrobić dalej
-
W przypadku jakichkolwiek zachowanych niedopasowanych obiektów użytkownika należy je dodać do usługi Active Directory, aby istniało dokładne dopasowanie między środowiskiem lokalnym a chmurą.
-
Wybierz typ synchronizacji:
-
Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut (w wersjach 3.4 i starszych) lub co 4 godziny (w wersjach 3.5 i nowszych), ale można zmienić tę wartość. Synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji.
-
Jeśli masz wiele domen, powtórz te kroki na każdym innym zainstalowanym łączniku usług katalogowych.
O czym należy pamiętać
-
Przeprowadź przebieg próbny przed włączeniem pełnej synchronizacji lub zmianą parametrów synchronizacji. Jeśli przebieg próbny został zainicjowany przez zmianę konfiguracji, można zapisać ustawienia po jego ukończeniu. Jeśli użytkownicy zostali już dodani ręcznie, synchronizacja z usługą Active Directory może spowodować usunięcie poprzednio dodanych użytkowników. Przed pełną synchronizacją z chmurą można sprawdzić raporty Dry Run łącznika usług katalogowych, aby sprawdzić, czy wszyscy oczekiwani użytkownicy są obecni.
-
Jeśli dopasowani użytkownicy są oznaczeni jako usunięci i nie masz pewności, jak kontynuować, zapoznaj się z informacjami o rozwiązywaniu problemów i jak skontaktować się z pomocą techniczną w sekcji Rozwiązywanie problemów i poprawki dotyczące łącznika usług katalogowych.
Usunięci użytkownicy są przechowywani w usłudze tożsamości w chmurze przez 7 dni przed ich trwale usunięciem.
Wykonaj pełną synchronizację użytkowników usługi Active Directory z chmurą
Po uruchomieniu pełnej synchronizacji usługa łącznika wysyła wszystkie odfiltrowane obiekty z usługi Active Directory (AD) do chmury. Usługa łącznika aktualizuje następnie magazyn tożsamości za pomocą wpisów usługi AD. Jeśli utworzono szablon automatycznego przypisywania licencji, możesz przypisać go do nowo zsynchronizowanych użytkowników.
Jeśli masz wiele domen, wykonaj ten krok w każdym wystąpieniu łącznika usług katalogowych, które zainstalowałeś dla każdej domeny Active Directory.
Łącznik usług katalogowych synchronizuje stan konta użytkownika — w usłudze Active Directory wszyscy użytkownicy oznaczeni jako wyłączeni są również wyświetlani jako nieaktywni w chmurze.
Przed rozpoczęciem
-
Jeśli chcesz, aby konta użytkowników aplikacji Webex były w stanie Aktywne po pełnej synchronizacji i przed pierwszym zalogowaniem się użytkowników, musisz wykonać następujące czynności, aby pominąć sprawdzanie poprawności wiadomości e-mail:
-
Zintegruj jednokrotne logowanie ze swoją organizacją Webex. Patrz
Jednokrotne logowanie przy użyciu usług Cisco Webex i dostawcy tożsamości organizacji
aby uzyskać więcej informacji. -
Za pomocą Control Hub można zweryfikować i opcjonalnie zgłosić domeny zawarte w adresach e-mail. Patrz
Dodawanie, weryfikowanie i zgłaszanie praw do domen
. -
Pomijaj automatyczne zaproszenia e-mail, aby nowi użytkownicy nie otrzymywali automatycznego zaproszenia e-mail do aplikacji Webex. (Możesz wykonać własną kampanię wiadomości e-mail).
Aktywowani użytkownicy, którzy nie zalogowali się, są wyświetlani ze stanem Zweryfikowany w Control Hub. Po zalogowaniu się są wyświetlane jako Aktywne. Aby uzyskać więcej informacji o stanach użytkowników, zobacz Stany i czynności użytkowników w Cisco Webex Control Hub.
-
-
Po włączeniu synchronizacji łącznik usług katalogowych prosi o najpierw uruchomienie próbne. Zalecamy uruchomienie próbne przed pełną synchronizacją w celu wykrycia potencjalnych błędów.
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
Jeśli nie używasz szablonów automatycznego przypisywania licencji, nowo zsynchronizowani użytkownicy automatycznie otrzymają darmowe licencje. Użytkownicy będą mogli korzystać z tych samych bezpłatnych funkcji, co w przypadku bezpłatnych kont.
| 1 |
Wybierz jedną z nich:
|
| 2 |
W Directory Connector przejdź do pozycji Synchronizuj, kliknij więcej |
| 3card symbol |
Potwierdź rozpoczęcie synchronizacji. W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany do 72 godzin po wykonaniu synchronizacji. Możesz spróbować wyczyścić lokalną pamięć podręczną aplikacji Webex, wykonując następujące czynności: Windows lub Mac.
|
| 4 |
Kliknij przycisk Odśwież, jeśli chcesz zaktualizować stan synchronizacji. (Zsynchronizowane elementy są wyświetlane w obszarze Statystyki chmury). |
| 5. |
Aby uzyskać informacje o błędach, wybierz pozycję Uruchom przeglądarkę zdarzeń na pasku narzędzi Czynności, aby wyświetlić dzienniki błędów. |
| 6 |
Aby ustawić harmonogram synchronizacji dla bieżących synchronizacji przyrostowych z chmurą, zobacz Ustawianie harmonogramu łącznika i Uruchamianie synchronizacji przyrostowej. |
-
Po zakończeniu pełnej synchronizacji stan synchronizacji katalogów zostanie zaktualizowany z Wyłączony na Działający na stronie Ustawienia w Control Hub.
-
Gdy wszystkie dane zostaną dopasowane między środowiskiem lokalnym a chmurą, łącznik usług katalogowych zmienia się z trybu ręcznego na tryb automatycznej synchronizacji.
-
Jeśli nie zintegrujesz jednokrotnego logowania, zweryfikujesz domeny i opcjonalnie zgłosisz domeny dla zsynchronizowanych kont e-mail oraz wyłączysz automatyczne wiadomości e-mail, konta użytkowników aplikacji Webex pozostają w stanie Niezweryfikowany do czasu, aż użytkownicy po raz pierwszy zalogują się do aplikacji Webex w celu potwierdzenia swoich kont. Wskazówki na temat synchronizowania kont jako Aktywnych użytkowników można znaleźć w sekcji Przed rozpoczęciem.
-
Jeśli masz wiele domen, wykonaj ten krok przy użyciu dowolnego innego łącznika usług katalogowych, który został zainstalowany. Po synchronizacji użytkownicy we wszystkich dodanych domenach są wyświetlani w Control Hub.
-
Jeśli zintegrowano jednokrotne logowanie z usługą Webex i zablokowano powiadomienia e-mail, zaproszenia e-mail nie będą wysyłane do nowo zsynchronizowanych użytkowników.
-
Po włączeniu łącznika usług katalogowych nie można ręcznie dodawać użytkowników w Control Hub. Po włączeniu tej opcji zarządzanie użytkownikami jest wykonywane za pomocą łącznika usług katalogowych Cisco, a usługa Active Directory jest jedynym źródłem prawdy.
-
Wszystkie zsynchronizowane grupy są wyświetlane w portalu Control Hub i można przypisać szablon licencji, dzięki czemu użytkownikom w tej grupie zostaną przypisane licencje.
Co zrobić dalej
-
Usunięcie użytkownika z usługi Active Directory powoduje jego miękkie usunięcie po następnej synchronizacji. Użytkownik staje się nieaktywny, ale profil tożsamości w chmurze jest przechowywany przez siedem dni (aby umożliwić odzyskanie po przypadkowym usunięciu).
Jeśli zaznaczysz opcję Konto jest wyłączone w usłudze Active Directory, użytkownik staje się Nieaktywny po następnej synchronizacji. Profil tożsamości w chmurze nie zostanie usunięty po siedmiu dniach, na wypadek, gdy chcesz ponownie włączyć użytkownika.
-
Zwróć uwagę na następujące wyjątki od synchronizacji przyrostowej (zamiast tego wykonaj pełne czynności synchronizacji powyżej):
-
W przypadku zaktualizowanego awatara, ale bez żadnej innej zmiany atrybutu, synchronizacja przyrostowa nie aktualizuje awatara użytkownika do chmury.
-
Zmiany konfiguracji mapowania atrybutów, podstawowej nazwy DN, filtru i ustawienia awatara wymagają pełnej synchronizacji.
-
Przypisz usługi Webex do użytkowników zsynchronizowanych z katalogiem w Control Hub
Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych Cisco w Control Hub możesz użyć narzędzia Control Hub, aby przypisać te same licencje usługi Webex jednocześnie wszystkim użytkownikom lub dodać dodatkowe licencje nowym użytkownikom, jeśli skonfigurowano już szablon licencji przypisanych automatycznie. Po tym początkowym kroku można wprowadzić zmiany na koncie poszczególnych użytkowników.
Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych w Control Hub możesz użyć metod w Control Hub, aby globalnie przypisywać licencje usług Webex do wszystkich użytkowników, użytkowników indywidualnych, za pomocą zbiorczego szablonu CSV lub automatycznie do nowych użytkowników, jeśli został już skonfigurowany szablon automatycznego przypisywania licencji. Po tym początkowym kroku można wprowadzić zmiany na koncie poszczególnych użytkowników.
Gdy przypiszesz licencję użytkownikowi aplikacji Webex, ten użytkownik domyślnie otrzymuje wiadomość e-mail potwierdzającą przypisanie. Wiadomość e-mail jest wysyłana przez usługę powiadomień w Control Hub. Jeśli zintegrowano logowanie jednokrotne (SSO) z organizacją Webex, możesz również wyłączyć te automatyczne powiadomienia e-mail, jeśli wolisz bezpośrednio kontaktować się z użytkownikami.
Przed rozpoczęciem
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
-
Wykonaj synchronizację przebiegu próbnego u użytkowników usługi Active Directory.
-
Po potwierdzeniu wyników przebiegu próbnego wykonaj pełną synchronizację użytkowników usługi Active Directory.
W momencie pełnej synchronizacji użytkownik jest tworzony w chmurze, nie są dodawane żadne przypisania usług, a aktywacyjna wiadomość e-mail nie jest wysyłana. Jeśli wiadomości e-mail nie zostaną zablokowane, nowi użytkownicy otrzymają aktywacyjną wiadomość e-mail podczas przypisywania usług do użytkowników za pomocą standardowej metody zarządzania użytkownikami w Control Hub, takiej jak importowanie pliku CSV, ręczna aktualizacja użytkownika lub poprzez pomyślne ukończenie automatycznego przypisywania.
| 1 |
W widoku klienta w witrynie https://admin.webex.com przejdź do sekcji , kliknij opcję Zarządzaj użytkownikami, wybierz opcję Modyfikuj zsynchronizowanych użytkowników i kliknij przycisk Dalej. |
| 2 |
Wybierz opcję: |
Co zrobić dalej
-
Jeśli wiadomości e-mail nie są blokowane, do każdego użytkownika wysyłana jest wiadomość e-mail z zaproszeniem do dołączenia i pobrania usługi Webex.
-
Jeśli wybrano te same usługi Webex dla wszystkich użytkowników, następnie można zmienić licencje przypisane indywidualnie lub zbiorczo.
Znane problemy z łącznikiem usług katalogowych
-
W wersjach Windows Server wcześniejszych niż 2012 R2 wystąpił problem z plikami cookie, który wpływa na łącznik usług katalogowych. Ten problem został rozwiązany w wersjach 2012 R2 i 2016.
-
W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany po 72 godzinach od wykonania synchronizacji.
Możesz spróbować wyczyścić lokalną pamięć podręczną aplikacji Webex, wykonując następujące czynności: Windows lub Mac.
-
Gdy użytkownik korzysta z aplikacji Webex na komputerze lub urządzeniu przenośnym, aby wyszukać i nawiązać połączenie z pokojem, który ma tylko zsynchronizowany identyfikator URI SIP, wówczas połączenie będzie dzwonić w tej chwili bez końca.
Zarządzanie użytkownikami aplikacji Webex
Uruchom synchronizację przyrostową
Synchronizacja przyrostowa wysyła zapytanie do usługi Active Directory i szuka zmian, które wystąpiły od czasu ostatniej synchronizacji. Ten krok następnie łączy te zmiany i wysyła je do usługi łącznika. Zmiany obejmują modyfikację atrybutów użytkowników oraz sposób dodawania lub usuwania użytkownika.
Ta synchronizacja nie nakłada tak dużego obciążenia na serwery i nie zajmuje tyle czasu, co pełna synchronizacja. Po wykonaniu początkowej pełnej synchronizacji zalecamy opcję przyrostową dla kolejnych synchronizacji.
Przed rozpoczęciem
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
-
Zwróć uwagę na następujące wyjątki, których synchronizacja przyrostowa nie obsługuje (zamiast tego zobacz Wykonaj pełną synchronizację użytkowników usługi Active Directory do chmury ):
-
W przypadku zaktualizowanego awatara, ale bez żadnej innej zmiany atrybutu, synchronizacja przyrostowa nie aktualizuje awatara użytkownika do chmury.
-
W przypadku nowych zmian konfiguracji mapowania atrybutów, podstawowej nazwy domeny, filtru i ustawienia awatara synchronizacja przyrostowa nie będzie działać i wymagają one pełnej synchronizacji.
-
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. Po włączeniu synchronizacji łącznik usług katalogowych prosi o najpierw uruchomienie próbne. |
| 2 |
W obszarze Czynności kliknij kolejno opcje Tryb synchronizacji > Włącz synchronizację , jeśli nie jest jeszcze włączony. Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut (w wersjach 3.4 i starszych) lub co 4 godziny (w wersjach 3.5 i nowszych), ale można zmienić tę wartość. Synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji. Po upływie nowego interwału czasu przyrostowego program sprawdza zmiany na podstawie ostatniego znacznika czasu. |
| 3 |
W sekcji Czynności kliknij kolejno opcje Synchronizuj teraz > Przyrostowe. W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany po 72 godzinach od wykonania synchronizacji.
|
| 4 |
Aby uzyskać informacje o błędach, kliknij opcję Uruchom przeglądarkę zdarzeń na pasku narzędzi Czynności , aby wyświetlić dzienniki błędów. |
Co zrobić dalej
Jeśli masz wiele domen, wykonaj ten krok w innych zainstalowanych wystąpieniach łącznika usług katalogowych.
Odzyskaj przypadkowo usuniętych użytkowników
Łącznik usług katalogowych udostępnia mechanizmy kontroli i równowagi, aby zapobiec niezamierzonemu usunięciu użytkowników. Niestety zdarzają się wypadki; być może nieprawidłowo skonfigurowałeś filtr LDAP w Active Directory, który usuwał niektórych użytkowników podczas synchronizacji z chmurą. Funkcja miękkiego usuwania może pomóc Ci wyjść z tych awarii i przywrócić konta użytkowników w Control Hub.
Domyślnie ta funkcja jest włączona dla wszystkich organizacji. Gdy użytkownicy zostaną usunięci z chmury, na przykład z powodu problemu z niedopasowanym obiektem po synchronizacji z łącznika usług katalogowych, użytkownicy mogą zostać odzyskani. Jeśli zauważyłeś niedopasowane obiekty lub zauważyłeś, że użytkownicy zostali usunięci, możesz być w stanie je odzyskać, jeśli zachowasz się szybko.
Użytkownicy są oznaczani jako nieaktywni w Control Hub, gdy odpowiednie konta zostaną usunięte z usługi Active Directory. Usługa chmury w tle zachowuje użytkowników przez maks. 7 dni. W tym okresie nadal będzie można korzystać z łącznika usług katalogowych Cisco do odzyskiwania użytkowników. Zalecamy jak najszybsze odzyskanie tych użytkowników.
Użytkownicy wyłączeni w usłudze Active Directory są również oznaczani jako nieaktywni w portalu Control Hub, ale konto użytkownika nie zostanie usunięte po 7 dniach.
| 1 |
Zaloguj się do centrum sterowania. |
| 2 |
Przejdź do opcji Użytkownicy i potwierdź, czy określone konto użytkownika jest w stanie Nieaktywne, czy nie jest wymienione na liście. Aby uzyskać więcej informacji, zobacz Stany i czynności użytkowników w Control Hub. |
| 3 |
Jeśli użytkownicy zostali usunięci w Control Hub lub zauważysz użytkowników w stanie nieaktywnym, przejdź do usługi Active Directory, dodaj brakujące konta użytkowników, a następnie wykonaj synchronizację przebiegu próbnego w łączniku usług katalogowych. Celem łącznika usług katalogowych jest stworzenie dokładnego dopasowania informacji o użytkownikach w usłudze Active Directory i w chmurze. |
| 4 |
Wykonaj pełną synchronizację, aby ponownie zsynchronizować tymczasowo usunięte konta użytkowników z Control Hub. Nastąpi odzyskanie użytkowników i przejście do stanu pierwotnego, w tym stanu konta i przypisań usług. |
Co zrobić dalej
Wróć do usługi Control Hub, wybierz kolejno opcje i upewnij się, że wcześniej usunięte konta użytkowników pojawiają się na liście użytkowników.
Trwałe usuwanie użytkowników po usunięciu programowym
Po wykonaniu przebiegu próbnego można zdecydować się na trwałe usunięcie użytkowników, którzy zostali miękko usunięci podczas następnej synchronizacji.
| 1 |
Po zakończeniu przebiegu próbnego wybierz pozycję Obiekty usunięte programowo. |
| 2 |
Zaznacz pole wyboru obok użytkowników, których chcesz usunąć. |
| 3 |
Wybierz opcję Gotowe. |
Co zrobić dalej
Podczas następnej synchronizacji zaznaczeni użytkownicy zostaną trwale usunięci.
Zmienianie adresu e-mail aplikacji Webex
Jeśli chcesz zmienić adresy e-mail użytkowników, a Twoja organizacja korzysta z Directory Connector, zmień te adresy e-mail w usłudze Active Directory. Ta procedura obejmuje sposób zmiany adresu e-mail aplikacji Webex dla pojedynczej domeny oraz proces zmiany domeny.
Jeśli chcesz zmienić adres e-mail lub jakąś wartość tylko dla jednego użytkownika, nie usuwaj go z usługi Active Directory, a następnie odtwórz nowy przy użyciu tego samego adresu e-mail. Chmura interpretuje tę czynność jako nowe konto użytkownika, a obszary użytkownika i inne dane w chmurze zostaną utracone.
Directory Connector nie ogranicza zmiany domeny e-mail. Jednak gdy użytkownik ponownie zsynchronizuje się z chmurą, stan użytkownika jest zależny od tego, czy nowa domena jest zweryfikowana w organizacji. Jeśli domena nie jest zweryfikowana w organizacji, stan użytkownika zmieni się na Oczekiwanie po pełnej synchronizacji. Aby uzyskać więcej informacji, zobacz Zarządzanie swoimi domenami.
Jeśli Twoja organizacja nie korzysta z łącznika usług katalogowych, adresy e-mail aplikacji Webex można zmienić na stronie ustawień konta. Aby uzyskać informacje na temat kroków, które użytkownicy mogą wykonać, aby zmienić swoje adresy e-mail, zobacz Zmiana adresu e-mail konta .
Zmiana domeny Active Directory
Ta procedura służy do tworzenia nowych domen i adresów e-mail. Są one synchronizowane z usługą tożsamości w chmurze.
| 1 |
Skonfiguruj nową domenę usługi Active Directory (AD). |
| 2 |
Wyłącz synchronizacje we wszystkich konektorach. |
| 3 |
Odinstaluj wszystkie łączniki. |
| 4 |
Otwórz sprawę, aby zmienić domenę. W zgłoszeniu sprawy poproś o usunięcie konfiguracji domeny i wszystkich atrybutów synchronizacji w organizacji. Przed otwarciem sprawy w celu zmiany domeny upewnij się, że nie uruchomiono synchronizacji. Nie zmieniaj żadnych adresów e-mail użytkowników w usłudze Active Directory, dopóki sprawa nie zostanie rozwiązana. |
| 5 |
Po rozstrzygnięciu sprawy: Przed wykonaniem rzeczywistej synchronizacji uruchom test z łącznikiem usług katalogowych. |
Roszczenie do domeny
Roszczenie o domenę pojawia się, jeśli zgłaszasz prawa do domeny e-mail dla organizacji, aby dowolne konto dołączone było tworzone w płatnej organizacji klienta, a nie w bezpłatnej organizacji konsumenckiej. Prawo do domeny można zgłosić tylko w przypadku pomocy technicznej (więcej informacji można znaleźć pod poniższym linkiem).
Jeśli Directory Connector jest aktywny, a domena została zgłoszona, konta współbieżne nie są tworzone ani w organizacji klienta, ani w bezpłatnej organizacji konsumenckiej. Tylko Directory Connector może aprowizować konta organizacji z usługi Active Directory. Informacje przechowywane w usłudze Active Directory są oryginalnym źródłem. Podczas próby dołączenia konta zaproszony użytkownik otrzyma błąd. Jedynym sposobem, w jaki zaproszony użytkownik może zostać dodany do obszaru aplikacji Webex, jest najpierw użycie łącznika usług katalogowych w celu zainicjowania obsługi konta w Control Hub.
Konwertowanie użytkowników bezpłatnej aplikacji Webex w organizacji zsynchronizowanej z katalogami
Można używać wyłącznie unikatowych adresów e-mail w katalogu aplikacji Webex. Jeśli Twoi użytkownicy zarejestrowali się w bezpłatnej wersji aplikacji Webex, ich konto istnieje w bezpłatnej organizacji konsumenckiej. Aby zarządzać użytkownikami w tej organizacji przy użyciu łącznika usług katalogowych, przed włączeniem łącznika usług katalogowych należy przeprowadzić migrację (przekonwertować) ich do organizacji klienta. Następnie dodajesz użytkowników do usługi Active Directory przy użyciu dokładnego adresu e-mail, a następnie synchronizujesz je z chmurą.
Jeśli nie przekonwertujesz kont przed aktywacją, wyłącz łącznik usług katalogowych, aby je przekonwertować.
Jeśli próbujesz przekonwertować użytkownika, gdy synchronizacja katalogu jest włączona, nie można przekonwertować komunikatu o błędzie . Aby uniknąć problemu, możesz wykonać poniższe czynności jako obejście.
Niektórzy zgłoszeni użytkownicy mogą wyświetlić się z atrybutem movedfrom podczas uruchamiania próbnego. Ci użytkownicy będą na liście Usunięty obiekt zamiast MismatchedObject. Musisz dodać tych użytkowników do listy AD, jeśli chcesz przenieść ich do swojej organizacji.
Jeśli nie dodasz tych użytkowników, wszyscy zostaną usunięci obok Ciebie zsynchronizowani z chmurą.
| 1 |
Wyłącz synchronizację katalogu z łącznika usług katalogowych. |
| 2 |
Postępuj zgodnie z procedurą Konwertuj użytkowników bez licencji w Control Hub , aby przekonwertować użytkownika z bezpłatnej organizacji konsumenckiej na organizację firmową. Ten krok dodaje użytkownika do organizacji, a konto pojawi się w Control Hub. Łącznik usług katalogowych sprawia, że Active Directory jest jedynym źródłem prawdy dla kont użytkowników, a celem jest dokładne dopasowanie usług Active Directory i Control Hub. Przed ponownym włączenia synchronizacji upewnij się, że w usłudze Active Directory są pasujący użytkownicy dla wszystkich ostatnio przekonwertowanych użytkowników. Synchronizacja Suchego Przebiegu może być użyta, aby upewnić się, że nie ma już niezrównanych użytkowników. |
| 3 |
W konektorze usług katalogowych wykonaj synchronizację przebiegu próbnego. Po zakończeniu prowadzenia na sucho sprawdź kartę Dodaj obiekty. Sprawdź, czy przekonwertowani użytkownicy nie zostaną usunięci. Przed ponownym włączeniem synchronizacji należy wykonać przebieg próbny, aby upewnić się, że wszystkie skonwertowane konta użytkowników pojawiają się w usłudze Active Directory. Jeśli włączysz synchronizację, a konta znajdują się tylko w Control Hub, Łącznik usług katalogowych rozróżnia wielkość liter i usunie skonwertowanych użytkowników, których wykryje z niedopasowanymi adresami e-mail (na przykład user1@example.com i User1@example.com). Jeśli którykolwiek z skonwertowanych użytkowników zostanie usunięty, tracą oni wszystkie obszary aplikacji Webex. |
| 4 |
Jeśli masz pewność, że następna synchronizacja nie usunie żadnych kont, włącz ponownie synchronizację katalogu z łączników usług katalogowych. |
Przekonwertowane konta użytkowników nie są aktywowane automatycznie, jeśli domena nie została zweryfikowana. Jeśli na przykład włączono szablon automatycznego przypisywania licencji, a następnie włączono Łącznik usług katalogowych bez weryfikacji domeny, skonwertowani użytkownicy są nieaktywni w zapleczu chmury, dopóki nie potwierdzą swoich adresów e-mail.
Boczne konta użytkowników aplikacji Webex
Gdy zaprosisz innego użytkownika do obszaru w aplikacji Webex, jeśli zaproszony użytkownik nie ma konta aplikacji Webex, zostanie dla niego utworzone konto („współdzielone”). Domyślnie konta utworzone w ten sposób są dodawane do bezpłatnej organizacji konsumenckiej.
Jeśli chcesz zarządzać kontem dołączonym przy użyciu Directory Connector, musisz przekonwertować konto.
Zmiana formatu nazwy użytkownika aplikacji Webex po synchronizacji katalogu
Domyślnie łącznik usług katalogowych mapuje atrybut displayName w usłudze Active Directory na atrybut displayName w chmurze.
Po wykonaniu synchronizacji katalogu może okazać się, że nazwy użytkowników są wyświetlane w formacie .
Ta nazwa użytkownika może być wyświetlana, jeśli atrybut displayName w usłudze Active Directory jest skonfigurowany w ten sposób. Gdy atrybut jest mapowany na displayName w chmurze, nazwy są wyświetlane w formacie w Control Hub.
Aby zmienić format, na ekranie mapowania atrybutów łącznika usług katalogowych: mapuje atrybut usługi Active Directory givenName sn (lub sn givenName) na displayName w nazwach atrybutów w chmurze Cisco.
Alternatywnie, mapuj atrybut sn givenName na displayName:
Możesz również użyć opcji Dostosuj atrybut, jeśli chcesz zmapować własne wyrażenie atrybutu niestandardowego na displayName.
Na przykład wprowadź givenName + "" + sn (imię, spacja, nazwisko) jako wyrażenie. Spowoduje to mapowanie dwóch atrybutów w usłudze Active Directory na adres displayName w chmurze.
Zezwalaj użytkownikom na zmianę nazw wyświetlanych w spotkaniach Webex
Możesz usunąć mapowanie atrybutu displayName z synchronizowania z chmurą w Łączniku usług katalogowych, jeśli chcesz zezwolić użytkownikom na edycję ich preferowanych nazw wyświetlanych. Użytkownicy mogą wprowadzić nazwę wyświetlaną, która ma być wyświetlana podczas spotkań Webex zamiast swojego imienia i nazwiska. Administratorzy mogą również ręcznie zmienić nazwę wyświetlaną użytkownika w Control Hub.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja , a następnie wybierz pozycjęMapowanie atrybutów użytkownika. |
| 2 |
Wybierz opcję displayName w obszarze Nazwa atrybutu chmury Cisco. |
| 3 |
Wybierz opcję Nie synchronizuj tego atrybutu. |
Co zrobić dalej
Użytkownicy mogą teraz edytować swoje nazwy wyświetlane w witrynie Webex.
Rozwiązywanie problemów z łącznikiem usług katalogowych
Uaktualnij do najnowszej wersji oprogramowania
Aby zapewnić zgodność wdrożenia i uzyskać najnowsze funkcje, funkcjonalności, poprawki błędów i ulepszenia zabezpieczeń, należy zawsze uaktualnić łącznik usług katalogowych do najnowszej wersji. Jeśli nie nastąpi aktualizacja do najnowszej dostępnej wersji, mogą wystąpić problemy, takie jak brak prawidłowej synchronizacji łącznika usług katalogowych lub uruchomienie wersji, która nie obsługuje obowiązkowego wymagania TLS 1.2.
Directory Connector automatycznie powiadamia o dostępności nowej wersji. Zawsze uaktualniaj do najnowszej wersji, aby uniknąć problemów. Na pasku zadań systemu Windows wyświetlane jest również powiadomienie.
Chociaż można ręcznie zainstalować aktualizacje oprogramowania łącznika, zalecamy wykonanie czynności opisanych w części Ustawianie automatycznych uaktualnień , aby umożliwić aplikacji automatyczne zarządzanie uaktualnieniami.
| 1 |
Aby rozpocząć proces uaktualniania, kliknij powiadomienie na pasku zadań systemu Windows lub kliknij prawym przyciskiem myszy ikonę Łącznik usług katalogowych na pasku zadań systemu Windows. |
| 2 |
Postępuj zgodnie z instrukcjami, aby wykonać uaktualnienie. |
| 3 |
Uruchom ponownie łącznik i zaloguj się przy użyciu poświadczeń administratora. |
| 4 |
Sprawdź numer wersji oprogramowania w sekcji . |
Co zrobić dalej
Aby przeprowadzić nową instalację łącznika usług katalogowych, można pobrać plik zip , a następnie wykonać czynności instalacji opisane w tym podręczniku.
Konfigurowanie ustawień ogólnych dla Directory Connector
Ta procedura służy do konfigurowania ustawień ogólnych, takich jak nazwa serwera obsługującego Łącznik usług katalogowych, poziomy dzienników, automatyczne uaktualnienia i preferowane ustawienia kontrolerów domen. Nazwa łącznika jest wyświetlana na pulpicie nawigacyjnym w sekcji łączniki wraz z innymi działającymi łącznikami.
| 1 |
W Directory Connector przejdź do sekcji Konfiguracja, a następnie kliknij przycisk General (Ogólne). |
| 2 |
W polu Nazwa łącznika wprowadź nazwę łącznika. To pole zawiera tylko nazwę komputera, na którym obecnie działa łącznik. |
| 3 |
Wybierz poziom dziennika z listy rozwijanej. Domyślnie poziom dziennika jest ustawiony na informacje. Dostępne poziomy dziennika są następujące:
Te ustawienia mają wpływ na wysyłany pocztą e-mail raport synchronizacji. Jeśli ustawisz poziom dziennika na Błąd, w raporcie synchronizacji będą zgłaszane tylko błędy. Jeśli nie istnieją błędy, raport synchronizacji nie zostanie wysłany. Zmień ustawienie na Informacje, a następnie po pełnej synchronizacji będą wyświetlane raporty synchronizacji. (Należy pamiętać, że w przypadku synchronizacji przyrostowej nie są wysyłane żadne raporty, jeśli nie zgłoszono żadnych błędów). |
| 4 |
Wybierz preferowane kontrolery domen , aby ustawić kolejność kontrolerów domen do synchronizowania tożsamości. Dostęp do kontrolerów domeny odbywa się od góry do dołu. Jeśli górny kontroler jest niedostępny, wybierz drugi kontroler z listy. Jeśli na liście nie ma żadnego kontrolera, można uzyskać dostęp do głównego kontrolera. |
| 5 |
Zaznacz opcję Automatycznie uaktualnij do nowej wersji Cisco Directory Connector , jeśli chcesz dokonać automatycznych uaktualnień. Zawsze ważne jest, aby oprogramowanie Cisco Directory Connector było aktualne do najnowszej wersji. Zalecamy sprawdzenie tego ustawienia, aby umożliwić cichą instalację automatycznych aktualizacji oprogramowania, gdy jest dostępne. |
| 6 |
Zaznacz opcję LDAP przez SSL , aby używać bezpiecznego protokołu LDAP (LDAPS) jako protokołu połączenia. Jeśli nie zaznaczysz opcji LDAP przez SSL, łącznik usług katalogowych nadal będzie używał protokołu połączeń LDAP. Protokół połączeń LDAP (Lightweight Directory Application Protocol) i Secure LDAP (LDAPS) to protokoły połączeń używane między aplikacją a kontrolerem domeny w ramach infrastruktury. Komunikacja LDAPS jest szyfrowana i zabezpieczona. |
Skonfiguruj zasady łączników
Możesz ustawić maksymalną liczbę usunięć, które mogą wystąpić podczas synchronizacji. Uruchomiona synchronizacja nie usuwa obiektów z lokalnej usługi Active Directory. Wszystkie obiekty są usuwane tylko z chmury.
Na przykład ustawiono 1 jako wartość wyzwalacza progu usunięcia. Jeśli podczas synchronizacji pełnej lub przyrostowej liczba użytkowników, których chcesz usunąć, jest większa niż wartość ustawienia, łącznik usług katalogowych wyświetla ostrzeżenie. Jeśli klikniesz Zastąp próg, możesz pomyślnie rozpocząć synchronizację przyrostową lub pełną, ale przy następnym uruchomieniu zasad zobaczysz to powiadomienie o zastąpieniu.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja, a następnie wybierz pozycję Zasady. |
| 2 |
Zaznacz pole Włącz usuwanie wyzwalacza progu , jeśli chcesz dodać wyzwalacz progu. Wybranie tej opcji wyzwala alert, jeśli liczba usunięć przekroczy próg. Gdy konto usuwania przekracza wartość zdefiniowaną, synchronizacja nie powiedzie się.
|
| 3 |
Wprowadź maksymalną liczbę żądanych usunięć. Wartość domyślna to 20. Zalecamy, aby nie zwiększać wartości domyślnej. |
| 4 |
Kliknij przycisk Zastosuj. |
Ustaw harmonogram łącznika
Ustaw czas synchronizacji w usłudze Active Directory. Przełączenie awaryjne służy do zapewnienia wysokiej dostępności (HA). Jeśli jedno złącze nie działa, przełączamy się na inne złącze rezerwowe po wstępnie zdefiniowanym interwale.
| 1 |
W Directory Connector kliknij pozycję Konfiguracja, a następnie wybierz pozycję Harmonogram. |
| 2 |
Określ Interwał synchronizacji przyrostowej w minutach. Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut. Pełna synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji. |
| 3 |
Jeśli chcesz zmienić częstotliwość wysyłania raportów, zmień wartość Wysyłaj raporty według czasu . |
| 4 |
Zaznacz opcję Włącz harmonogram pełnej synchronizacji , aby określić dni i godziny, w których ma nastąpić pełna synchronizacja. |
| 5 |
Określ interwał przełączania awaryjnego w minutach. |
| 6 |
Kliknij przycisk Zastosuj. |
Scenariusze wielu domen
Wiele domen jest opartych na priorytecie domeny. W przypadku obiektów, które mają tę samą wartość klucza w różnych domenach, po synchronizacji dane z domeny o wyższym priorytecie ponownie zapisują dane z domeny o niższym priorytecie.
Obiekty o tej samej wartości klucza są połączone w jeden rekord w bazie danych.
Wartością klucza w przypadku „Użytkownik” jest Adres e-mail, natomiast wartością klucza w przypadku „Grupa” jest Nazwa grupy.
Przykładowy przypadek użycia dla wielu domen
W tym przykładzie założono organizację z dwiema domenami — example1.com i example2.com, w kolejności priorytetów.
-
Dodaj użytkownika 1 (e-mail: użytkownik@przyklad1.com) do usługi Active Directory z przyklad1.com.
-
Dodaj grupę1 (nazwa grupy: Testuj) do usługi Active Directory example1.com.
-
Dodaj użytkownika 2 (e-mail: użytkownik@przyklad2.com) do usługi Active Directory na stronie przyklad2.com.
-
Dodaj grupę2 (nazwa grupy: Testuj) w usłudze Active Directory example2.com.
- Synchronizacja na przykładzie1.com
-
W przypadku użycia użytkownicy2 i group2 są zsynchronizowani z chmurą i wyświetlani w menu https://admin.webex.com, podczas gdy user1 i group1 nie są.
Jeśli na przykład wykonasz synchronizację pełną lub przyrostową 1.com, użytkownik1 i group1 zostaną zsynchronizowane. Ponadto użytkownicy2 i group2 są zastępowane informacjami o użytkowniku1 i group1.
Użytkownik1 łączy użytkownika2 z tym samym rekordem w bazie danych; group1 łączy group2 z tym samym rekordem w bazie danych.
- Synchronizacja w przykładzie1.com i przykładzie2.com
-
W przypadku użycia użytkownicy2 i group2 są zsynchronizowani z chmurą i wyświetlani w menu https://admin.webex.com, podczas gdy user1 i group1 nie są.
Należy rozważyć następujące czynności:
- Usuń użytkownika1 i grupę1 z usługi Active Directory, na przykład1.com.
- Wykonaj synchronizację pełną lub przyrostową, na przykład 1.com.
Wynik: informacje o użytkowniku nie zostały zmienione w sekcji https://admin.webex.com. Użytkownik2 nie jest połączony z użytkownikiem1, a grupa2 nie jest połączona z grupą1.
- Wykonaj synchronizację przyrostową, na przykład 2.com.
Wynik: informacje o użytkowniku nie zostały zmienione w sekcji https://admin.webex.com.
- Wykonaj pełną synchronizację na przykład 2.com.
Wynik: Informacje o użytkownikach2 i grupie2 są wyświetlane w sekcji https://admin.webex.com.
Synchronizowanie nowej domeny I zachowywanie istniejącej domeny
Jeśli chcesz zsynchronizować nową domenę (B) przy jednoczesnym utrzymaniu zsynchronizowanych danych użytkownika w innej istniejącej domenie (A), upewnij się, że zainstalowano synchronizację łącznika usług katalogowych dla domeny (B) na obsługiwanym serwerze Windows. Konektor łączy się z nową domeną po początkowej konfiguracji, a informacje o użytkowniku w domenie (A) pozostają niezmienione.
Każda domena musi mieć własny aktywny łącznik. Rozważ dwie domeny z następującą konfiguracją: domena A z łącznikami (ca1) i (ca2) dla lokalnej wysokiej dostępności (HA); domena B z łącznikiem (cb1). (ca1)i (ca2) obsługują domenę A. W tym scenariuszu jeden łącznik jest aktywny, a drugi jest w trybie gotowości (HA). W tym projekcie domena jest zsynchronizowana, ponieważ jeden łącznik jest zawsze aktywny. Tak więc cb1 jest aktywnym łącznikiem dla domeny B, ponieważ domena A ma już aktywny łącznik (ca1 lub ca2).
Ustawianie priorytetu domeny
Ta procedura umożliwia zmianę priorytetu domen Active Directory. Priorytet domeny pozwala określić domenę podstawową, domenę dodatkową itd. Pomaga to, gdy dwóch użytkowników z dwóch różnych domen ma tę samą wartość e-mail zsynchronizowaną z jedną organizacją.
Nie należy korzystać z tej procedury, jeśli w łączniku usług katalogowych jest widoczna jedna domena. Jeśli spróbujesz, łącznik wyświetli komunikat z informacją, że priorytet domeny nie jest wymagany.
Przed rozpoczęciem
Aby uniknąć błędów, zainstaluj lub zaktualizuj łącznik usług katalogowych Cisco do najnowszej wersji. Należy ją pobrać z https://admin.webex.com.
| 1 |
W łączniku usług katalogowych Cisco kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Ustaw priorytet domeny. |
| 3 |
Zaznacz jedną domenę na liście, kliknij przycisk W górę lub W dół, aby zmienić priorytet tej domeny, a następnie kliknij przycisk Zapisz , aby zapisać tę zmianę. Domeny są posortowane według priorytetu od góry do dołu. |
Przełącz domeny
Ta procedura umożliwia ponowne powiązanie łącznika usług katalogowych Cisco z inną domeną.
Przed rozpoczęciem
-
Przed przełączeniem domen upewnij się, że nie są uruchomione żadne zadania synchronizacji.
-
Aby uniknąć błędów, zainstaluj lub zaktualizuj łącznik usług katalogowych Cisco do najnowszej wersji. Należy go pobrać z Control Hub.
| 1 |
W łączniku usług katalogowych Cisco kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Przełącz domenę. |
| 3 |
Jeśli rozumiesz wpływ tej zmiany na Twoje wdrożenie po przeczytaniu przestrogi, a mimo to masz pewność, kliknij przycisk Tak. Po przełączeniu domeny nastąpi wylogowanie z bieżącego łącznika usług katalogowych Cisco, inne domeny w łączniku zostaną wyrejestrowane, a informacje o łączniku na tym komputerze zostaną usunięte. |
| 4 |
Zaloguj się ponownie do łącznika usług katalogowych Cisco i ponownie powiąż domenę. |
Wyłącz synchronizację katalogu
Jeśli musisz zatrzymać synchronizację z łącznika usług katalogowych, możesz ją tymczasowo wyłączyć w Control Hub.
| 1 |
W widoku klienta na stronie https://admin.webex.com wybierz kolejno pozycje , przewiń do pozycji Synchronizacja katalogu i wybierz jedną z nich:
|
| 2 |
Po przeczytaniu monitu kliknij opcję Wyłącz. Synchronizacja zatrzymuje się do czasu ponownego włączenia jej z poziomu łącznika usług katalogowych. |
Usuń mapowanie atrybutów użytkownika
Użyj łącznika usług katalogowych, aby usunąć mapowanie atrybutów Active Directory wcześniej zmapowanych do chmury i zsynchronizowanych z Webex. Po usunięciu mapowania atrybutów wartości atrybutów zostaną usunięte z chmury i nie będą już synchronizowane z usługą Webex. Wartości te można następnie edytować ręcznie.
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Narzędzia > Usuń mapowanie atrybutów użytkownika . |
| 3 |
Wybierz mapowanie, które chcesz usunąć z listy Nazwa atrybutu . |
| 4 |
W obszarze Zakres użytkownika, którego to dotyczy, wybierz jedną z następujących opcji:
|
| 5 |
Kliknij przycisk Zastosuj. |
Zarządzaj zdjęciami profilowymi
Użyj łącznika usług katalogowych, aby zaktualizować zdjęcia profilowe użytkownika lub usunąć puste zdjęcia profilowe użytkownika.
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania , a następnie kliknij kolejno opcje. |
| 3 |
W obszarze Czynności wybierz jedną z następujących opcji:
|
| 4 |
Kliknij przycisk Zastosuj. |
Odinstaluj i dezaktywuj łącznik usług katalogowych
Po odinstalowaniu wystąpienia łącznika usług katalogowych należy je wyrejestrować. Całkowicie usuń łącznik usług katalogowych dla każdego z poniższych scenariuszy:
-
Nie chcesz już korzystać z synchronizacji katalogu.
-
Nie chcesz korzystać z jednego z wielu łączników usług katalogowych (wysoka dostępność).
-
Chcesz zmienić domenę i zainstalować inny łącznik.
Przed rozpoczęciem
-
W systemie może być skonfigurowanych wiele wystąpień łącznika usług katalogowych dla wysokiej dostępności (HA) lub wielu synchronizacji domen. Wyłącz synchronizację, jeśli odinstalowujesz jedyne lub ostatnie pozostałe wystąpienie łącznika usług katalogowych.
-
Przed odinstalowaniem łącznika usług katalogowych zapisz i zamknij wszystkie ważne prace.
| 1 |
Na komputerze z systemem Windows przejdź do Panelu sterowania, a następnie kliknij pozycję Programy i funkcje. |
| 2 |
Z listy programów kliknij pozycję Łącznik usług katalogowych, wybierz pozycję Odinstaluj, a następnie postępuj zgodnie z monitami. Aby dokończyć odinstalowanie, może być konieczne ponowne uruchomienie systemu. |
| 3 |
W widoku klienta na stronie https://admin.webex.com wybierz kolejno pozycje , przewiń do pozycji Synchronizacja katalogu, kliknij pozycję Więcej |
| 4 |
Po przeczytaniu monitu kliknij opcję Dezaktywuj. Jeśli w środowisku o wysokiej dostępności (HA) nie ma innego łącznika usług katalogowych, konta użytkowników nie są już synchronizowane. |
Uruchamianie narzędzia diagnostycznego
Do rozwiązania problemów z wdrożeniem łącznika usług katalogowych można użyć wbudowanego narzędzia diagnostycznego. Narzędzie to jest instalowane jako część łącznika usług katalogowych w wersji 3.4.
Jeśli synchronizacja nie działała prawidłowo, może wystąpić błąd konfiguracji lub sieci. To narzędzie testuje połączenie z LDAP, dzięki czemu możesz samodzielnie zdiagnozować błędy przed skontaktowaniem się z pomocą techniczną. Jeśli narzędzie zwróci jakikolwiek błąd, można wysłać szczegółowe wyniki dziennika do obsługi.
-
Aby uruchomić testy usług domeny Active Directory:
-
Aby uruchomić testy usług katalogowych Active Directory:
-
Aby uruchomić testy protokołu Lightweight Directory Access Protocol (LDAP):
Rozwiązywanie problemów z łącznikiem usług katalogowych Ciso
Rozwiązywanie problemów i poprawki dotyczące łącznika usług katalogowych
W łączniku usług katalogowych może pojawić się komunikat o błędzie lub inny problem. Ponadto, po zsynchronizowaniu przez łącznik usług katalogowych informacji o użytkownikach, łącznik może wysłać Ci raport e-mail z listą wszelkich problemów z synchronizacją. Informacje o występujących problemach, ich możliwych przyczynach i proponowanych rozwiązaniach można znaleźć w poniższych sekcjach.
Instaluj
Łącznik usług katalogowych przestał działać
Otrzymano wiadomości e-mail z powiadomieniem, że Twój łącznik usług katalogowych nie działa.
-
Łącznik usług katalogowych może nie być poprawnie zainstalowany.
-
Łącznik usług katalogowych może nie być uruchomiony.
-
Sieć może być niedostępna.
Wykonaj następujące czynności:
-
Otwórz . Odszukaj łącznik usług katalogowych. Jeśli go tam nie ma, pobierz najnowszą wersję z Control Hub i zainstaluj ją.
-
Otwórz usługę i znajdź usługę Cisco DirSync. Upewnij się, że wyświetlany jest stan Rozpoczęte. Jeśli usługa jest zatrzymana, kliknij prawym przyciskiem myszy i wybierz opcję Rozpocznij, aby ponownie uruchomić usługę.
-
Upewnij się, że serwer, na którym zainstalowano łącznik usług katalogowych, ma dostęp do Internetu.
Błąd ponownej instalacji
Problem — jeśli natychmiast zainstalujesz nowy łącznik po odinstalowaniu starego, może zostać wyświetlony komunikat o błędzie.
Możliwa przyczyna — w systemie Windows Server 2012 odinstalowywanie klienta wymaga czasu na usunięcie konta usługi z listy usług.
Rozwiązanie — po pewnym czasie spróbuj zainstalować ponownie.
Zaloguj
Łącznik usług katalogowych ulega awarii podczas logowania SSO
Problem
Po wprowadzeniu adresu e-mail ze strony logowania jednokrotnego może się zawiesić Łącznik usług katalogowych.
Rozwiązanie
Wykonaj następujące czynności:
Wykonaj poniższe czynności, aby skonfigurować zasady nowej grupy:
-
Przejdź do kontrolera domeny i otwórz Zarządzanie zasadami grupy (gpedit.msc).
-
Kliknij prawym przyciskiem myszy określony OU lub domenę, a następnie wybierz opcję Utwórz GPO w tej domenie, a następnie Połącz go tutaj
-
Nadaj nazwę zasadom, a następnie kliknij prawym przyciskiem myszy i wybierz opcję Edytuj.
Wykonaj poniższe czynności, aby zmienić zasady na poziomie maszyny:
-
Przejdź do , kliknij prawym przyciskiem myszy pozycję Rejestr, wybierz opcję Nowy, a następnie Element rejestru.
-
W polu Ścieżka klucza wprowadź lub przejdź do HKEY_LOCAL_\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Wprowadź
Disable Script Debuggerdla wartości i wprowadźNiedla danych wartości.Ustawienia powinny być zgodne z tym zrzutem ekranu:
Aby zmienić zasady na poziomie użytkownika, wykonaj następujące czynności:
-
Przejdź do , kliknij prawym przyciskiem myszy pozycję Rejestr, wybierz opcję Nowy, a następnie Element rejestru.
-
W polu Ścieżka klucza wprowadź lub przejdź do HKEY_BIEŻĄCY_UŻYTKOWNIK\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Wprowadź
Disable Script Debuggerdla wartości i wprowadźNiedla danych wartości.Ustawienia powinny być zgodne z tym zrzutem ekranu:
Zmiany wchodzą w życie po uruchomieniu gpupdate /force, ponownym uruchomieniu maszyny (w przypadku zmian maszyny) lub ponownym zalogowaniu użytkownika (w przypadku zmian użytkownika).
Nie można zarejestrować łącznika usług Cisco DirSync
Problem
Logowanie nie powiedzie się i pojawia się następujący komunikat: „Nie można zarejestrować łącznika usług Cisco DirSync”.
Rozwiązanie
System Windows, w którym zainstalowany jest łącznik usług katalogowych, musi być członkiem usługi Active Directory.
Nie pojawia się strona logowania
Problem
Otwarto łącznik usług katalogowych, a strona logowania nie została wyświetlona.
Rozwiązanie
Wykonaj następujące czynności:
-
W programie Internet Explorer przejdź do obszaru https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Wypróbuj to łącze w innych przeglądarkach, takich jak Chrome i Firefox.
-
Jeśli program Internet Explorer nie może odwiedzić łącza, ale inne przeglądarki mogą, sprawdź ustawienia programu Internet Explorer i zaznacz pola wyboru TLS 1.1 i 1.2. (Użyj procedury Włącz TLS w przeglądarce Internet Explorer ).
Pojawi się monit o zalogowanie
Problem
Zostanie wyświetlony monit z prośbą o podanie nazwy użytkownika i hasła w celu przejścia uwierzytelniania.
Możliwa przyczyna
Łącznik usług katalogowych cicho uzupełnia uwierzytelnianie zabezpieczeń NTLM kontem logowania. Jeśli uwierzytelnienie się nie powiedzie, zostanie wyświetlone okno dialogowe z prośbą o nazwę użytkownika i hasło uwierzytelniania.
Rozwiązanie
Gdy pojawi się okno podręczne logowania, w celu zapewnienia bezpieczeństwa należy podać prawidłowe konto z poprawnym uwierzytelnieniem.
Nie można połączyć się ze zdalnym serwerem
Problem
W trakcie normalnej pracy pojawia się komunikat o błędzie "Nie można połączyć się ze zdalnym serwerem".
Możliwa przyczyna
Mogą wystąpić problemy z serwerem proxy, które trzeba rozwiązać.
Rozwiązanie
Więcej informacji na temat rozwiązywania problemów z logowaniem do konta usługi zawiera temat Rozwiązywanie problemów z logowaniem do konta usługi.
Nie można zarejestrować łącznika
Problem
Zostanie wyświetlony komunikat o błędzie „Nie można zarejestrować łącznika. Wystąpił ogólny wyjątek”.
Możliwa przyczyna
W większości przypadków problem jest taki, że łącznik usług katalogowych nie ma uprawnień do łączenia się z kontekstem głównym LDAP.
Rozwiązanie
Wykonaj następujące czynności:
-
Uruchom monit z poleceniem (cmd), a następnie wprowadź ldp.exe.
-
Kliknij kolejno opcje , wybierz opcję Powiązanie jako aktualnie zalogowanego użytkownika, a następnie kliknij przycisk OK.
-
Kliknij kolejno opcje i wprowadź DC=arbonneintl,DC=ad jako BaseDN, a następnie kliknij OK.
-
Jeśli problem będzie nadal występował, otwórz sprawę w dziale pomocy technicznej.
Synchronizacja
Awatary niezsynchronizowane
Problem
Łącznik usług katalogowych Cisco synchronizował dane użytkowników AD z chmurą Webex. Nie zsynchronizowano jednak żadnych danych awatara.
Możliwa przyczyna
Jeśli ponownie użyłeś istniejącego serwera awatara, a awatary użytkowników zostały już zsynchronizowane, lokalna pamięć podręczna przechwytuje je i zapobiega ponownemu wysyłaniu, aby oszczędzać przepustowość.
Rozwiązanie
Usuń lokalną pamięć podręczną, wykonując następujące czynności:
-
Przejdź do C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Usuń DirSyncPluginAvatar.dll-cache.bin.
-
Uruchom ponownie synchronizację awatara z poziomu łącznika usług katalogowych Cisco.
Sprzeczne konta e-mail użytkowników
Problem
Wyniki synchronizacji mogą wskazywać sprzeczne konta e-mail użytkowników.
-
Jeśli użytkownicy wypróbowali bezpłatną wersję aplikacji Webex, ich adresy e-mail znajdują się w bezpłatnej organizacji konsumenckiej.
-
Czy adresy e-mail użytkowników były kiedykolwiek synchronizowane w innej organizacji.
-
jeśli adresy e-mail użytkowników istnieją w wielu domenach należących do organizacji.
Rozwiązanie
Wykonaj następujące czynności:
-
Jeśli próbujesz zgłosić użytkowników, wykonaj następujące czynności:
-
Upewnij się, że zweryfikowano domenę w Control Hub.
-
Całkowicie wyłącz łącznik usług katalogowych Cisco.
-
Użyj opcji Zgłoś użytkownika w Control Hub, aby zgłosić wszystkie konta, które mogą istnieć w bezpłatnej organizacji konsumenckiej. Aby uzyskać więcej informacji, zobacz Zgłaszanie użytkowników do organizacji (konwertowanie użytkowników) .
-
Przeprowadź przebieg próbny w łączniku usług katalogowych Cisco, a następnie ponownie włącz synchronizację katalogów
-
-
W ostatnim przypadku należy dwukrotnie sprawdzić dane użytkowników ze źródeł usługi Active Directory.
Skonwertowany użytkownik oznaczony jako nieaktywny
Problem
W środowisku zsynchronizowanym z katalogiem przekonwertowano użytkownika bezpłatnego (organizacji konsumenckiej) na organizację firmową, ale przekonwertowany użytkownik nie może zalogować się do aplikacji Webex.
Możliwa przyczyna
Gdy użytkownik bezpłatny zostanie przekonwertowany na organizację firmową, jest on oznaczany jako nieaktywny przez 30 dni jako środek dotyczący zgodności z przepisami bezpieczeństwa. W tym okresie użytkownik nie może zalogować się do aplikacji Webex i jest oznaczany do usunięcia po upływie 30-dniowego okresu. Wynika to z faktu, że informacje o użytkowniku w wersji bezpłatnej nie znajdują się w usłudze Active Directory.
Rozwiązanie
Musisz podjąć działania, jeśli nie chcesz usunąć konta użytkownika. Aby rozwiązać ten problem, utwórz konto użytkownika w usłudze Active Directory w siedzibie, które odpowiada skonwertowanemu bezpłatnemu konwertowanemu kontowanemu koncie użytkownika. Następnie wykonaj synchronizację z poziomu łącznika usług katalogowych Cisco. Wówczas użytkownik będzie mógł ponownie zalogować się do aplikacji Webex, a konto nie zostanie usunięte.
Synchronizacja przyrostowa nie powiodła się
Problem
Synchronizacja przyrostowa nie powiodła się.
Ten problem może wystąpić w systemie Windows Server 2008 R2 w następujących warunkach:
-
Obsługiwane są aktualizacje wartości przyrostowych.
-
Używany filtr odwołuje się do atrybutu wartości połączonej.
-
Wartości wyników tego atrybutu były aktualizowane od czasu ostatniej pełnej synchronizacji.
Rozwiązanie
W systemie Windows Server 2008 R2 występuje błąd związany z tym problemem. Błąd został naprawiony w 2012 r2 i później. Zalecamy uaktualnienie serwera Windows do co najmniej 2012 R2.
Nieprawidłowa wartość atrybutu
Problem
W przypadku atrybutu [user dn (nazwa wyróżniająca)] atrybut [nazwa atrybutu] ma następującą nieprawidłową wartość [wartość atrybutu].
Możliwa przyczyna
Dla CN=b,OU=Pracownicy,OU=C Użytkownicy,DC=c,DC=com atrybut [numer telefonu] ma następującą nieprawidłową wartość: +. Ten atrybut musi zawierać co najmniej jedną cyfrę.
Rozwiązanie
Atrybut tego użytkownika nie ma prawidłowej wartości. Napraw wartość zgodnie z opisem w komunikacie ostrzegawczym. Następnie wykonaj inną synchronizację.
Dopasowani użytkownicy do usunięcia
Problem
Dopasowani użytkownicy są oznaczani jako usunięci.
Podczas wykonywania synchronizacji przebiegu próbnego w celu sprawdzenia danych między usługą Active Directory a chmurą, w obu przypadkach może być widoczny ten sam adres e-mail. Użytkownik jest jednak oznaczany jako obiekt, który ma zostać usunięty.
Rozwiązanie
Wybierz odpowiednią poprawkę:
-
Jeśli usunięcie użytkownika i powtórzyć licencje po jego zakończeniu, możesz użyć łącznika usług katalogowych do naprawienia. Wykonaj synchronizację, aby usunąć użytkownika, a następnie wykonaj inną synchronizację, aby zsynchronizować użytkownika z lokalnej usługi AD z chmurą.
-
Jeśli nie możesz usunąć i odtworzyć konta użytkownika, otwórz sprawę w dziale pomocy technicznej.
Brak atrybutu
Problem
Wymagany atrybut [attribute_name] podczas dodawania wpisu lokalnego [user dn (nazwa wyróżniająca)]. Wpis nie zostanie utworzony w Control Hub, dopóki wszystkie wymagane atrybuty nie będą miały wartości.
Możliwa przyczyna
Brak wymaganego adresu e-mail atrybutu. Podczas dodawania wpisu lokalnego [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local] wpis nie zostanie utworzony w Control Hub, dopóki wszystkie wymagane atrybuty nie będą miały wartości.
Rozwiązanie
Brakuje jednego z wymaganych atrybutów użytkownika [user_email_address]. Podaj wymagane wartości dla tego użytkownika.
Grupa zagnieżdżona nie zostanie zsynchronizowana
Problem
Użytkownicy w zagnieżdżonej grupie Active Directory nie są prawidłowo synchronizowani z chmurą.
Możliwa przyczyna
Używany jest filtr zawierający zarówno grupę podrzędną, jak i grupę nadrzędną, co nie jest obsługiwane. Na przykład: (memberof=CN=testgroup1,CN=użytkownicy,DC=rktest2008,DC=org)
Rozwiązanie
Należy ponownie skonfigurować filtr, który synchronizuje grupy. Na przykład: |(memberof=CN=testgroup1,CN=użytkownicy,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=użytkownicy,DC=rktest2008,DC=org)
Konflikt nazewnictwa użytkowników
Problem
Wystąpił konflikt nazw dla [user dn] dla istniejącego obiektu wpisu w chmurze o nazwie: [adres e-mail użytkownika] i typ użytkownika [user_type].
Możliwa przyczyna
Użytkownik o tym adresie e-mail już istnieje w Control Hub.
Rozwiązanie
Utwórz użytkownika w usłudze Active Directory z tym samym adresem e-mail, co konto zarejestrowane w Control Hub.
Control Hub
Brak listy użytkowników w Control Hub
Problem
Jeśli masz organizację Webex z ponad 1000 zsynchronizowanymi użytkownikami, lista użytkowników może nie być widoczna w Control Hub.
Rozwiązanie
Za pomocą funkcji wyszukiwania można znaleźć konto użytkownika. W Control Hub przejdź do strony Użytkownicy, kliknij pozycję Szukaj , a następnie wprowadź kryteria wyszukiwania, aby zlokalizować określonego użytkownika.
Grupy nie zostaną zsynchronizowane z Control Hub
Problem
Użytkownicy w grupie książki adresowej nie będą prawidłowo synchronizowani z Control Hub.
Możliwa przyczyna
Grupa nie jest oznaczona jako isCriticalSystemObject w usłudze Active Directory.
Rozwiązanie
Upewnij się, że atrybut isCriticalSystemObject jest ustawiony na TRUE w Active Directory.
Włącz rozwiązywanie problemów z łącznikiem usług katalogowych
Możesz włączyć rozwiązywanie problemów, aby pomóc zdiagnozować wszelkie błędy napotkane w łączniku usług katalogowych. Rozwiązywanie problemów umożliwia przechwytywanie informacji o ruchu w sieci i zapisywanie ich w pliku.
Pliki dziennika, które są: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Uruchom plik |
| 2 |
Uruchom ponownie usługę. Wskazówki zawiera temat Jak uruchamiać usługi . |
| 3 |
W Łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 4 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Narzędzia > Rozwiązywanie problemów . |
| 5 |
Po włączeniu funkcji rozwiązywania problemów należy powtórzyć czynności, które powodowały błąd. Przechwytuje to dane o ruchu, aby można je było zbadać. |
| 6 |
Sprawdź pliki dzienników: Jeśli plik jest pusty, upewnij się, że konto ma uprawnienia dostępu do usług AD DS lub AD LDS. W folderze dzienników są zapisywane tylko pliki przez ostatnie 3 dni. Zawartość w plikach dziennika jest zgodna z emisją dziennika zdarzeń do systemu. |
| 7 |
W razie potrzeby wyślij plik dziennika, aby uzyskać pomoc. |
| 8 |
Po zakończeniu wyłącz funkcję rozwiązywania problemów. |
Uruchom przeglądarkę zdarzeń
Aby zobaczyć zdarzenia, które wystąpiły podczas pełnej lub stopniowej synchronizacji, uruchom przeglądarkę zdarzeń. Zawiera on podsumowanie zdarzeń administracyjnych i dzienników błędów.
| 1 |
W Directory Connector przejdź do Dashboard, a następnie kliknij kolejno opcje . W oknie dialogowym Właściwości zdarzenia są wyświetlane szczegóły zdarzenia synchronizacji i szczegóły błędu. |
| 2 |
W Podglądzie zdarzeń przejdź do .
|
| 3 |
W obszarze Czynności kliknij pozycję Zapisz wszystkie zdarzenia jako , aby wyeksportować wszystkie dzienniki jako pojedynczy plik zdarzeń (*.evtx) lub inny format, taki jak xml lub csv. |
Co zrobić dalej
Jeśli chcesz otworzyć zgłoszenie, skontaktuj się z pomocą techniczną, opisz problem z łącznikiem, a następnie załącz plik Events do zgłoszenia.
Dzienniki zdarzeń przechwytują czynności użytkownika. Aby uzyskać pomoc w zarządzaniu ruchem sieciowym, włącz rozwiązywanie problemów z konektorem.
Włączanie protokołu TLS w przeglądarce Internet Explorer
W przypadku przełączenia dostawców jednokrotnego logowania (SSO) mogą zostać wyświetlone następujące komunikaty o błędach łącznika usług katalogowych Cisco:
-
Wystąpił błąd podczas logowania do usługi
-
Na tej stronie wystąpił błąd w skrypcie
Jeśli pojawią się te błędy, należy włączyć ustawienie TLS w przeglądarce.
| 1 |
Otwórz Internet Explorer, a następnie wybierz pozycję Narzędzia. Zaznacz pola wyboru wersji TLS/SSL, którą chcesz włączyć. Kliknij przycisk OK Zamknij przeglądarkę i otwórz ją ponownie. |
| 2 |
Kliknij pozycję Opcje internetowe , przejdź do sekcji Zaawansowane , przewiń do sekcji Zabezpieczenia. |
| 3 |
Zaznacz pola wyboru Użyj protokołu TLS 1.1 i Użyj protokołu TLS 1.2 , a następnie kliknij przycisk OK.
|
| 4 |
Aby zmiany odniosły skutek, uruchom ponownie system. |
Rozwiązywanie problemów z logowaniem do konta usługi
Jeśli nie możesz zalogować się do łącznika usług katalogowych Cisco lub nie możesz uruchomić synchronizacji, wykonaj poniższe czynności, aby spróbować rozwiązać problem przed skontaktowaniem się z pomocą techniczną.
| 1 |
Spróbuj odwiedzić witrynę https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL w przeglądarce internetowej. |
| 2 |
Wybierz jedną z nich, w zależności od wyników:
|
| 3 |
Należy upewnić się co najmniej, że skonfigurowane konto dla usługi Cisco DirSync (które można znaleźć w usługach systemu Windows) ma poziom uprawnień umożliwiający dostęp do danych awatara i danych usługi AD. Domyślnie usługa wykorzystuje poświadczenia logowania do konta systemu Windows oraz uwierzytelnianie. |
Sprawdź SafeDllSearchMode w rejestrze systemu Windows
Tryb wyszukiwania biblioteki łączy dynamicznych (DLL) jest domyślnie ustawiony w rejestrze systemu Windows i umieszcza bieżący katalog użytkownika w kolejności wyszukiwania DLL. Jeśli ten tryb został w jakiś sposób wyłączony, napastnik może umieścić złośliwy plik DLL (o nazwie takiej samej jak plik DLL znajdujący się w folderze systemowym) do bieżącego katalogu roboczego aplikacji.
Zazwyczaj SafeDllSearchMode jest włączony, ale ta procedura służy do podwójnego sprawdzenia ustawień rejestru.
Przed rozpoczęciem
Zmiany w rejestrze systemu Windows należy przeprowadzać z dużą ostrożnością. Zalecamy, aby przed wykonaniem tych czynności wykonać kopię zapasową rejestru.
| 1 |
W oknie wyszukiwania systemu Windows lub oknie Uruchom wpisz regedit , a następnie naciśnij Enter. |
| 2 |
Przejdź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wybierz jedną z nich:
|
Aby uzyskać więcej informacji, zobacz Kolejność wyszukiwania biblioteki dynamicznych łączy.
Omówienie łącznika usług katalogowych Cisco
Omówienie łącznika usług katalogowych
Łącznik usług katalogowych to lokalna aplikacja do synchronizacji tożsamości z chmurą. Pobierz oprogramowanie łącznika z Control Hub i zainstaluj je na komputerze lokalnym.
Dzięki Directory Connector możesz utrzymywać konta użytkowników i dane w Active Directory, dzięki czemu Active Directory staje się jedynym źródłem prawdy. Zmiana wprowadzona lokalnie jest replikowana w chmurze.
Zobacz wszystkie funkcje, opisy i korzyści w tabeli:
| Funkcja | Opis i korzyści |
|---|---|
| Łatwy w użyciu pulpit nawigacyjny | Pulpit nawigacyjny zawiera harmonogram synchronizacji, podsumowanie oraz stan synchronizacji oraz stan Directory Connector. Konsolę można wyświetlić w dowolnym momencie logowania. |
| Uruchom próbne przed synchronizacją z chmurą | Przeprowadź przebieg próbny zmian w katalogu, zanim zostaną zaimplementowane w chmurze. Następnie uruchom raport, aby sprawdzić, czy zmiany, które chcesz wprowadzić, są zgodne z oczekiwaniami. |
| Synchronizacja pełna i przyrostowa | Synchronizuj cały katalog. Lub po prostu zsynchronizuj zmiany przyrostowe, aby zaoszczędzić moc przetwarzania i skrócić czas synchronizacji. |
|
Synchronizowanie wielu domen (pojedynczego lasu lub wielu lasów) |
Directory Connector obsługuje wiele domen w ramach jednego lasu lub wielu lasów (bez konieczności korzystania z usługi AD LDS). W przypadku przedsiębiorstw z wieloma domenami Active Directory możesz zainstalować łącznik usług katalogowych dla każdej domeny, powiązać każdą domenę z organizacją, a następnie zsynchronizować każdą bazę użytkowników z usługą Webex. Control Hub odzwierciedla stan, pokazując stan synchronizacji dla wielu łączników usług katalogowych, umożliwia wyłączenie synchronizacji dla określonej domeny i dezaktywację łącznika usług katalogowych w wdrożeniu o wysokiej dostępności. |
| Zaplanowana synchronizacja | Ustaw harmonogram synchronizacji według dnia, godziny i minuty. |
| Filtry LDAP (Lightweight Directory Access Protocol) | Zdefiniuj kryteria wyszukiwania LDAP i zapewnij wydajny import. |
| Mapowanie atrybutów Active Directory | Mapuj atrybuty usługi Microsoft Active Directory do odpowiednich atrybutów chmury Webex. Można mapować atrybuty, które są istotne dla konfiguracji usługi Active Directory, a także definiować atrybuty niestandardowe w celu mapowania na chmurę. Atrybuty z lokalizacji lokalnych tworzą różne dane w chmurze, takie jak dane konta użytkownika, numery telefonów korporacyjnych w aplikacji Webex Teams, adresy SIP zasobów pokoju i inne dane kart kontaktów użytkownika (stanowisko, dział, menedżer itd.). |
|
Firmowa książka telefoniczna dla lokalnych zasobów pokojów oraz użytkowników i kontaktów korporacyjnych Cisco Webex Calling (w chmurze PSTN) bez licencji Webex |
Jeśli część organizacji korzysta z chmury PSTN Cisco Webex Calling dla usługi połączeń lub masz lokalne urządzenia Room, ta funkcja umożliwia użytkownikom wyszukiwanie w katalogu kontaktów korporacyjnych na podstawie telefonów Cisco Webex Calling (chmura PSTN) lub zasobów Room.
|
| Przeglądarka zdarzeń | Użyj przeglądarki zdarzeń, aby sprawdzić, czy nie wystąpiły problemy z synchronizacją. |
| Narzędzie diagnostyczne i rozwiązywanie problemów | Możesz użyć wbudowanego narzędzia diagnostycznego do rozwiązywania problemów z wdrożeniem Cisco Directory Connector. Jeśli synchronizacja nie działała prawidłowo, może wystąpić błąd konfiguracji lub sieci. Narzędzie testuje połączenie z usługą Active Directory, aby można było samodzielnie zdiagnozować błędy przed skontaktowaniem się z pomocą techniczną. Po włączeniu rozwiązywania problemów w łączniku usług katalogowych tworzone są dzienniki, które można wysłać do pomocy technicznej. |
| Automatyczne uaktualnianie | Po zainstalowaniu Directory Connector wysyłane jest powiadomienie, gdy dostępna jest nowa wersja oprogramowania. Możesz skonfigurować automatyczne uaktualnianie, aby zawsze korzystać z najnowszej wersji oprogramowania podczas wydania nowej wersji. |
| Wysoka dostępność | Skonfiguruj wiele złączy, aby istniała kopia zapasowa, na wypadek awarii głównego złącza lub maszyny hostującej. |
Łącznik usług katalogowych dzieli się na trzy obszary:
-
Control Hub to pojedynczy interfejs, który umożliwia zarządzanie wszystkimi aspektami organizacji Webex: wyświetlanie użytkowników, przypisywanie licencji, pobieranie łącznika usług katalogowych i konfigurowanie jednokrotnego logowania (SSO) , jeśli chcesz, aby użytkownicy uwierzytelniali się za pośrednictwem swojego korporacyjnego dostawcy tożsamości i nie chcesz wysyłać zaproszeń e-mail do aplikacji Webex.
-
Interfejs zarządzania łącznikiem usług katalogowych to oprogramowanie, które można pobrać z Control Hub i zainstalować na zaufanym serwerze Windows. W przypadku wielu domen Active Directory można zainstalować jedną instancję oprogramowania dla każdej domeny, którą chcesz zsynchronizować. Przy użyciu oprogramowania można uruchomić synchronizację, aby przenieść konta użytkowników usługi Active Directory do usługi Webex, wyświetlić i monitorować stan synchronizacji oraz skonfigurować usługi Directory Connector.
-
Usługa synchronizacji katalogu wysyła zapytanie do usługi Active Directory w celu pobrania użytkowników i grup do zsynchronizowania z usługą łącznika i łącznikiem usług katalogowych.
Zapoznaj się z tym schematem, aby zrozumieć architekturę łącznika usług katalogowych:
Przygotuj środowisko dla łącznika usług katalogowych
Wymagania dotyczące łącznika usług katalogowych
Wymagania dotyczące systemu Windows i Active Directory
Łącznik usług katalogowych można zainstalować na tych obsługiwanych serwerach systemu Windows:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Aby rozwiązać problem z plikami cookie, zalecamy uaktualnienie kontrolera domeny do wersji zawierającej poprawkę — Windows Server 2012 R2 lub 2016.
Łącznik usług katalogowych jest obsługiwany przez następujące usługi Active Directory:
-
Active Directory 2016
(Directory Connector jest obsługiwany w przypadku korzystania z najnowszej wersji usługi Active Directory w systemie Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Zwróć uwagę na następujące wymagania dodatkowe:
-
Łącznik usług katalogowych wymaga TLS1.2. Należy zainstalować następujące elementy:
-
Wersja .NET Framework v3.5 (wymagana dla aplikacji Directory Connector. Jeśli napotkasz jakiekolwiek problemy, skorzystaj z instrukcji w sekcji Włącz .NET Framework 3.5 za pomocą kreatora dodawania ról i funkcji).
-
Wersja .NET Framework w wersji 4.5 (wymagana w przypadku TLS1.2)
-
-
Wymagany jest poziom funkcjonalności lasu Active Directory 2 (Windows Server 2003) lub nowszy. (Aby uzyskać więcej informacji, zobacz Czym są poziomy funkcjonalne usługi Active Directory? ).
Wymagania sprzętowe
Musisz zainstalować Directory Connector na komputerze z następującymi minimalnymi wymaganiami sprzętowymi:
-
8 GB pamięci RAM
-
50 GB miejsca do przechowywania
-
Brak minimalnych wymagań dotyczących procesora
Wymagania sieciowe
Jeśli sieć znajduje się za zaporą, upewnij się, że system ma dostęp do Internetu za pośrednictwem protokołu HTTPS (port 443).
Wymagania organizacji Webex
-
Dostęp do oprogramowania łącznika usług katalogowych z poziomu Control Hub wymaga organizacji Webex z wersją próbną lub płatną subskrypcją.
-
(Opcjonalnie) Jeśli chcesz, aby nowe konta użytkowników aplikacji Webex były Aktywne przed pierwszym zalogowaniem się, zalecamy wykonanie następujących czynności:
-
Dodaj, zweryfikuj i opcjonalnie zgłoś prawa do domen zawierających adresy e-mail użytkowników, które chcesz zsynchronizować z chmurą.
-
Wykonaj integrację dostawcy tożsamości (IdP) z organizacją Webex za pomocą jednokrotnego logowania (SSO).
-
Pomijaj automatyczne zaproszenia e-mail, aby nowi użytkownicy nie otrzymali automatycznego zaproszenia e-mail i mogli prowadzić własną kampanię wiadomości e-mail. (Ta funkcja wymaga integracji logowania SSO).
-
Aby uzyskać więcej informacji, zobacz Stany i czynności użytkowników w Control Hub.
Wymagania instalacyjne
-
W przypadku środowiska z wieloma domenami (pojedynczego lasu lub wielu lasów) należy zainstalować jeden łącznik usług katalogowych dla każdej domeny Active Directory. Jeśli chcesz zsynchronizować nową domenę (B) przy jednoczesnym zachowaniu zsynchronizowanych danych użytkownika w innej istniejącej domenie (A), upewnij się, że masz oddzielny obsługiwany serwer Windows, aby zainstalować łącznik usług katalogowych dla synchronizacji domeny (B).
-
Aby zalogować się do łącznika, nie potrzebujemy konta administracyjnego w usłudze Active Directory. Wymagamy konta użytkownika lokalnego, które jest tym samym użytkownikiem, co pełne konto administratora w Control Hub.
Ten użytkownik lokalny musi mieć uprawnienia na tym komputerze z systemem Windows, aby nawiązać połączenie z kontrolerem domeny i czytać obiekty użytkownika usługi Active Directory. Konto logowania do maszyny powinno być administratorem komputera z uprawnieniami do instalowania oprogramowania na komputerze lokalnym. (Informacje te dotyczą również logowania do maszyny wirtualnej).
-
Podczas logowania się do łącznika konto logowania musi być takie samo jak pełne konto administratora usługi Control Hub. Domyślnie łącznik korzysta z konta systemu lokalnego w celu uzyskania dostępu do usługi Active Directory. Można jednak użyć usług systemu Windows, aby skonfigurować inne konto, aby uzyskać dostęp do usługi Active Directory. (Informacje te dotyczą również logowania do maszyny wirtualnej).
-
Należy się upewnić, że tryb wyszukiwania biblioteki łączy dynamicznych (DLL) systemu Windows jest włączony, wykonując następującą procedurę: Sprawdź SafeDllSearchMode w rejestrze systemu Windows.
-
Jeśli używasz usługi AD LDS dla wielu domen w jednym lesie, zalecamy zainstalowanie na osobnych komputerach łącznika usług katalogowych i usługi domeny Active Directory/lekkich usług katalogowych Active Directory (DS/AD LDS).
Wiele wymagań dotyczących domeny
Przed wykonaniem zadań w przepływie zadań wdrożenia łącznika usług katalogowych Cisco należy pamiętać o następujących wymaganiach i zaleceniach, jeśli zamierzasz zsynchronizować do chmury informacje Active Directory z wielu domen:
-
Dla każdej domeny wymagane jest osobne wystąpienie łącznika usług katalogowych.
-
Oprogramowanie łącznika usług katalogowych musi być uruchomione na hoście znajdującym się w tej samej domenie, którą będzie synchronizowane.
-
Zalecamy zweryfikowanie lub zgłoszenie domen w Control Hub. (Zobacz Dodawanie, weryfikowanie i zgłaszanie praw do domen).
-
Jeśli chcesz synchronizować więcej niż 50 domen, otwórz zgłoszenie , aby przenieść organizację do dużej listy organizacji.
-
W razie potrzeby można synchronizować informacje o zasobach pokoju z kontami użytkowników. (Zobacz Synchronizowanie informacji o pokoju w siedzibie z chmurą Webex).
Zalecenia grupy Active Directory dotyczące automatycznego przypisywania licencji
Grupy Active Directory służą do zbierania kont użytkowników, kont komputerów i innych grup w jednostki zarządzane. Praca z grupami zamiast z indywidualnymi użytkownikami pomaga uprościć konserwację sieci i administrowanie nią.
W usłudze Active Directory dostępne są dwa typy grup:
-
Grupy dystrybucji — służą do tworzenia list dystrybucyjnych wiadomości e-mail.
-
Grupy zabezpieczeń — używane do przypisywania uprawnień do udostępnianych zasobów.
Podczas tworzenia grup w usłudze Active Directory należy pamiętać o następujących wytycznych:
-
Utwórz globalną grupę dla każdej roli, działu lub usługi (takiej jak sprzedaż, marketing, menedżerowie, księgowi, licencjonowanie usługi Webex itd.)
-
W całej organizacji stosuj standardowe konwencje nazewnictwa, aby ułatwić identyfikowanie ważnych informacji o grupach. Nazwy grup mogą zawierać szczegółowe informacje na temat grupy, takie jak poziom dostępu, typ zasobu, poziom zabezpieczeń, zakres grupy, możliwość przesyłania poczty i tak dalej. Na przykład nazwa grupy „GSG_Webex_Licensing_EMEAR” odnosi się do globalnej grupy zabezpieczeń użytkowników EMEAR licencji Webex.
-
Organizuj grupy w łatwy do zrozumienia sposób, na przykład na podstawie geografii lub hierarchii kierowniczej. Użyj opisów grup, aby całkowicie opisać przeznaczenie grupy.
-
Przed dodaniem użytkowników do nowo skonfigurowanych grup zdefiniuj szablon grupy automatycznego przypisywania licencji w Control Hub dla tych grup. Aby uzyskać więcej informacji, zobacz Konfigurowanie szablonu automatycznego przypisywania licencji .
Informacje o rozmiarze
Łącznik usług katalogowych działa jako most między lokalną usługą Active Directory a chmurą Webex. W związku z tym łącznik nie ma górnego limitu liczby obiektów Active Directory, które mogą być synchronizowane z chmurą. Wszelkie ograniczenia dotyczące obiektów katalogu lokalnego są powiązane z określoną wersją i specyfikacjami środowiska Active Directory, które jest synchronizowane z chmurą, a nie z samym konektorem.
Szybkość synchronizacji może mieć wpływ na kilka czynników:
-
Łączna liczba obiektów Active Directory. (Zadanie synchronizacji 5000 użytkowników nie zajmie aż 50 000).
-
Prędkość i przepustowość sieci.
-
Obciążenie systemu i specyfikacje.
Jeśli synchronizujesz ponad 50 000 użytkowników, zdecydowanie zalecamy używanie drugiego łącznika do pracy awaryjnej i redundancji.
Ponieważ w synchronizację zaangażowanych jest kilka czynników, a każde wdrożenie różni się w zależności od powyższych czynników, nie możemy podać określonych wartości czasu, przez jaki synchronizacja obiektu potrwa.
Sprawdź SafeDllSearchMode w rejestrze systemu Windows
Tryb wyszukiwania biblioteki łączy dynamicznych (DLL) jest domyślnie ustawiony w rejestrze systemu Windows i umieszcza bieżący katalog użytkownika w kolejności wyszukiwania DLL. Jeśli ten tryb został w jakiś sposób wyłączony, napastnik może umieścić złośliwy plik DLL (o nazwie takiej samej jak plik DLL znajdujący się w folderze systemowym) do bieżącego katalogu roboczego aplikacji.
Zazwyczaj SafeDllSearchMode jest włączony, ale ta procedura służy do podwójnego sprawdzenia ustawień rejestru.
Przed rozpoczęciem
Zmiany w rejestrze systemu Windows należy przeprowadzać z dużą ostrożnością. Zalecamy, aby przed wykonaniem tych czynności wykonać kopię zapasową rejestru.
| 1 |
W oknie wyszukiwania systemu Windows lub oknie Uruchom wpisz regedit , a następnie naciśnij Enter. |
| 2 |
Przejdź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wybierz jedną z nich:
|
Aby uzyskać więcej informacji, zobacz Kolejność wyszukiwania biblioteki dynamicznych łączy.
Integracja z serwerem proxy WWW
Integracja z serwerem proxy WWW
Jeśli w środowisku włączone jest uwierzytelnianie serwera proxy sieci Web, można nadal korzystać z łącznika usług katalogowych.
Jeśli Twoja organizacja korzysta z przezroczystego serwera proxy sieci WWW, uwierzytelnianie nie jest obsługiwane. Konektor pomyślnie łączy się i synchronizuje użytkowników.
Można zastosować jedno z następujących podejść:
-
Jawny serwer proxy sieci WWW za pośrednictwem przeglądarki Internet Explorer (łącznik dziedziczy ustawienia serwera WWW)
-
Jawny serwer proxy sieci Web za pomocą pliku .pac (łącznik dziedziczy ustawienia serwera proxy specyficzne dla przedsiębiorstwa)
-
Przezroczysty serwer proxy, który współpracuje z konektorem bez żadnych zmian
Użyj serwera Proxy Sieci Web W Przeglądarce
Łącznik usług katalogowych można skonfigurować tak, aby korzystał z serwera proxy internetowego za pośrednictwem programu Internet Explorer.
Jeśli usługa Cisco DirSync jest uruchomiona z innego konta niż aktualnie zalogowany użytkownik, należy również zalogować się przy użyciu tego konta i skonfigurować serwer proxy sieci WWW.
| 1 |
W programie Internet Explorer przejdź do pozycji Opcje internetowe, kliknij pozycję Połączenia, a następnie wybierz pozycję Ustawienia sieci LAN. |
| 2 |
Wskaż wystąpienie systemu Windows, w którym łącznik jest zainstalowany na serwerze proxy sieci Web. Konektor dziedziczy te ustawienia serwera proxy sieci WWW. |
| 3 |
Jeśli środowisko korzysta z uwierzytelniania serwera proxy, dodaj te adresy URL do listy dozwolonych:
Można to wykonać dla całej witryny (dla wszystkich prowadzących) lub tylko dla hosta, który ma łącznik. Jeśli dodasz te adresy URL do listy dozwolonych, aby całkowicie ominąć serwer proxy sieci WWW, upewnij się, że tabela ACL zapory została zaktualizowana, aby umożliwić hoście łącznika bezpośredni dostęp do adresów URL. |
| 4 |
Jeśli środowisko musi zażądać list unieważnień certyfikatów od urzędów certyfikacji, dodaj te adresy URL do listy dozwolonych:
Aby uzyskać więcej informacji, zobacz ten artykuł o domenach i adresach URL, do których należy uzyskać dostęp dla usług Webex. |
Konfigurowanie serwera proxy sieci WWW za pomocą pliku PAC
W przeglądarce klienta można skonfigurować używanie pliku .pac. Ten plik zawiera informacje o adresie i porcie serwera proxy sieci WWW. Łącznik usług katalogowych bezpośrednio dziedziczy konfigurację serwera proxy sieci WWW specyficzną dla przedsiębiorstwa.
| 1 |
Aby konektor mógł pomyślnie połączyć się i zsynchronizować informacje o użytkownikach z chmurą Webex, upewnij się, że uwierzytelnianie proxy jest wyłączone dla |
| 2 |
Jeśli środowisko korzysta z uwierzytelniania serwera proxy, dodaj te adresy URL do listy dozwolonych:
Można to wykonać dla całej witryny (dla wszystkich prowadzących) lub tylko dla hosta, który ma łącznik. Jeśli dodasz te adresy URL do listy dozwolonych, aby całkowicie ominąć serwer proxy sieci WWW, upewnij się, że tabela ACL zapory została zaktualizowana, aby umożliwić hoście łącznika bezpośredni dostęp do adresów URL. |
| 3 |
Jeśli środowisko musi zażądać list unieważnień certyfikatów od urzędów certyfikacji, dodaj te adresy URL do listy dozwolonych:
Aby uzyskać więcej informacji, zobacz ten artykuł o domenach i adresach URL, do których należy uzyskać dostęp dla usług Webex. |
Serwer proxy NTLM
Directory Connector obsługuje NT LAN Manager (NTLM). NTLM to jedno z podejść do obsługi uwierzytelniania Windows wśród urządzeń domeny i zapewnienia ich bezpieczeństwa.
Projekt NTLM
W większości przypadków użytkownik chce uzyskać dostęp do innych zasobów stacji roboczej za pośrednictwem komputera klienckiego, co może być trudne do wykonania w bezpieczny sposób.
Ogólnie rzecz biorąc, projekt techniczny NTLM opiera się na mechanizmie Wyzwanie
i Odpowiedź
:
-
Użytkownik loguje się na komputerze klienckim za pomocą konta systemu Windows i hasła. Hasło nigdy nie jest zapisywane lokalnie. Zamiast zwykłego hasła tekstowego lokalnie jest przechowywana wartość hash hasła. Gdy użytkownik loguje się za pomocą hasła do klienta, system operacyjny Windows porównuje zapisaną wartość skrótu z wartością skrótu z wprowadzonego hasła. Jeśli oba są takie same, uwierzytelnianie zostanie zakończone.
Gdy użytkownik chce uzyskać dostęp do dowolnego zasobu na innym serwerze, klient wysyła do serwera żądanie z nazwą konta w postaci zwykłego tekstu.
-
Gdy serwer odbierze żądanie, generuje 16-bitowy klucz losowy. Klucz nosi nazwę Challenge (lub Nonce). Zanim serwer wyśle z powrotem do klienta, zadanie jest zapisywane na serwerze. Następnie serwer wysyła wyzwanie do klienta w postaci zwykłego tekstu.
-
Gdy tylko klient otrzyma wyzwanie wysłane z serwera, zaszyfruje wyzwanie za pomocą wartości hash wymienionej w kroku 1. Po zaszyfrowaniu wartość jest zwracana do serwera.
-
Gdy serwer odbierze zaszyfrowaną wartość od klienta, wysyła ją do kontrolera domeny w celu weryfikacji. Żądanie zawiera: nazwa konta, zaszyfrowane wyzwanie wysłane przez klienta oraz oryginalne wyzwanie proste.
-
Kontroler domeny może pobierać wartości skrótu hasła w zależności od nazwy konta. Następnie kontroler domeny może zaszyfrować oryginalne wyzwanie. Kontroler doman może następnie porównać z otrzymaną wartością hash i zaszyfrowaną wartością hash. Jeśli są takie same, weryfikacja przebiega pomyślnie.
Uwierzytelnianie zabezpieczeń jest wbudowane w system operacyjny, co ułatwia aplikacjom obsługę uwierzytelniania zabezpieczeń. W związku z tym nie musisz kończyć dalszej konfiguracji.
Konfigurowanie przezroczystego serwera proxy
W tym scenariuszu przeglądarka nie wie, że przezroczysty serwer proxy sieci WWW przechwytuje żądania HTTP (port 80/port 443) i nie jest wymagana konfiguracja po stronie klienta.
| 1 |
Wdróż przezroczysty serwer proxy, aby łącznik mógł łączyć się i synchronizować użytkowników. |
| 2 |
Upewnij się, że serwer proxy działa — po uruchomieniu konektora zobaczysz oczekiwane wyskakujące okienko uwierzytelniania przeglądarki. |
Ustaw uwierzytelnianie serwera proxy
Dodaj adres URL cloudconnector.webex.com do listy dozwolonych, tworząc listę kontroli dostępu.
Na serwerze zapory korporacyjnej:
| 1 |
Włącz wyszukiwanie w usłudze DNS, jeśli funkcja nie jest jeszcze włączona. |
| 2 |
Określ szacowaną przepustowość dla tego połączenia (około 2 Mb/s lub mniej dla konektora). Może to nie być wymagane. |
| 3 |
Utwórz listę kontroli dostępu, aby zastosować ją do hosta łącznika, i określ Na przykład: access-list 2000 acl-inside rozszerzone zezwolenie TCP [IP łącznika] cloudconnector.webex.com eq https |
| 4 |
Zastosuj to ACL do odpowiedniego interfejsu zapory, który ma zastosowanie tylko do tego hosta z pojedynczym łącznikiem. |
| 5 |
Upewnij się, że pozostałe hosty w przedsiębiorstwie nadal muszą korzystać z serwera proxy internetowego, konfigurując odpowiednie oświadczenie o odrzuceniu. |
Wdróż łącznik usług katalogowych
Przepływ zadań wdrażania łącznika usług katalogowych Cisco
Przed rozpoczęciem
| 1 |
Zainstaluj łącznik usług katalogowych Control Hub początkowo pokazuje synchronizację katalogu jako wyłączoną. Aby włączyć synchronizację katalogu w organizacji, należy zainstalować i skonfigurować Directory Connector, a następnie pomyślnie przeprowadzić pełną synchronizację. W przypadku nowej instalacji Directory Connector zawsze przejdź do Control Hub ( https://admin.webex.com), aby uzyskać najnowszą wersję oprogramowania, aby korzystać z najnowszych funkcji i poprawek błędów. Po zainstalowaniu oprogramowania uaktualnienia są raportowane za pośrednictwem oprogramowania i instalowane automatycznie, gdy jest dostępne. |
| 2 |
Zaloguj się do łącznika usług katalogowych Zaloguj się, używając poświadczeń administratora Webex i przeprowadź konfigurację początkową. |
| 3card symbol |
Ustaw automatyczne uaktualnianie Zawsze ważne jest, aby oprogramowanie Directory Connector było aktualne do najnowszej wersji. Zalecamy użycie tej procedury, aby umożliwić cichą instalację automatycznych uaktualnień oprogramowania, gdy jest dostępne. |
| 4 |
Wybierz obiekty usługi Active Directory do zsynchronizowania Domyślnie Directory Connector synchronizuje wszystkich użytkowników, którzy nie są komputerami, oraz wszystkie grupy, które nie są krytycznymi obiektami systemowymi dla domeny. Aby uzyskać większą kontrolę nad tym, które obiekty są synchronizowane, można wybrać określonych użytkowników do synchronizacji i określić filtry LDAP na stronie Wybór obiektów w łączniku usług katalogowych. |
| 5. |
Atrybuty z lokalnej usługi Active Directory można mapować na odpowiednie atrybuty w chmurze. Jedynym wymaganym polem jest *uid. |
| 6 |
Zsynchronizuj awatary katalogów, korzystając z jednej z następujących procedur:
Możesz synchronizować awatary użytkowników z chmurą, aby awatar każdego użytkownika był wyświetlany po zalogowaniu się do aplikacji. Awatary można synchronizować z atrybutu Active Directory lub serwera zasobów. |
| 7 |
Synchronizuj informacje o pokoju w siedzibie z chmurą Webex Ta procedura służy do synchronizowania informacji o lokalnym pokoju z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia pokojowe ze skonfigurowanym, zmapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach pokojowych zarejestrowanych w chmurze, takich jak urządzenie Webex Room lub Cisco Webex Board |
| 8 |
Aby Zainicjować Obsługę Administracyjną Użytkowników Z Active Directory Do Control Hub, wykonaj następujące czynności:
Wykonaj tę sekwencję, aby skonfigurować użytkowników usługi Active Directory na potrzeby kont aplikacji Webex. Możesz skonfigurować użytkowników z wielu wdrożeń usługi Active Directory w systemie Directory Connector 3.0 lub nowszym. Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Celem jest dokładne dopasowanie między aktywnymi katalogami a chmurą Webex. |
Zainstaluj łącznik usług katalogowych
Control Hub początkowo pokazuje synchronizację katalogu jako wyłączoną. Aby włączyć synchronizację katalogu w organizacji, należy zainstalować i skonfigurować Directory Connector, a następnie pomyślnie przeprowadzić pełną synchronizację.
Należy zainstalować jeden łącznik dla każdej domeny Active Directory, którą chcesz zsynchronizować. Pojedyncze wystąpienie łącznika usług katalogowych może obsługiwać tylko jedną domenę. Aby zrozumieć przepływ synchronizacji wielu domen, zobacz poniższy diagram:
Przed rozpoczęciem
Jeśli uwierzytelniasz się za pośrednictwem serwera proxy, upewnij się, że masz poświadczenia serwera proxy:
-
W przypadku podstawowego uwierzytelniania proxy wprowadź nazwę użytkownika i hasło po zainstalowaniu wystąpienia łącznika. Konfiguracja serwera proxy programu Internet Explorer jest również wymagana do uwierzytelniania podstawowego; zobacz Używanie Serwera Proxy Internetowego W Przeglądarce
-
W przypadku serwera proxy NTLM przy pierwszym otwarciu łącznika może pojawić się błąd. Zobacz Korzystanie z Serwera Proxy Sieci Web W Przeglądarce.
| 1 |
W Control Hub wybierz kolejno pozycje i wybierz Dalej. |
| 2 |
Kliknij łącze Pobierz i zainstaluj, aby zapisać najnowszą wersję pliku .zip instalacyjnego łącznika na swoim serwerze VMware lub Windows. Plik .zip można pobrać bezpośrednio z tego łącza, ale aby to oprogramowanie działało, musisz mieć pełny dostęp administracyjny do organizacji Control Hub. W przypadku nowej instalacji pobierz najnowszą wersję oprogramowania, aby korzystać z najnowszych funkcji i poprawek błędów. Po zainstalowaniu oprogramowania uaktualnienia są raportowane za pośrednictwem oprogramowania i instalowane automatycznie, gdy jest dostępne. |
| 3card symbol |
Na serwerze VMware lub na serwerze Windows rozpakuj i uruchom plik .msi w folderze konfiguracji, aby uruchomić kreatora konfiguracji. |
| 4 |
Kliknij przycisk Dalej, zaznacz pole wyboru, aby zaakceptować umowę licencyjną, a następnie kliknij przycisk Dalej, aż zostanie wyświetlony ekran typu konta. |
| 5. |
Wybierz typ konta usługi, którego chcesz używać, i wykonaj instalację za pomocą konta administratora:
Aby uniknąć błędów, upewnij się, że istnieją następujące uprawnienia:
|
| 6 |
Kliknij przycisk Instaluj. Po uruchomieniu testu sieci wprowadź podstawowe poświadczenia serwera proxy, kliknij przycisk OK, a następnie kliknij przycisk Zakończ. |
Co zrobić dalej
Zalecamy ponowne uruchomienie serwera po instalacji. Raport przebiegu próbnego nie może wyświetlić prawidłowego wyniku, gdy dane nie zostały zwolnione. Podczas ponownego uruchamiania maszyny wszystkie dane są odświeżane, aby pokazać dokładny wynik w raporcie.
Zaloguj się do łącznika usług katalogowych
Przed rozpoczęciem
Upewnij się, że masz poświadczenia serwera proxy.
-
W przypadku podstawowego uwierzytelniania serwera proxy wprowadź nazwę użytkownika i hasło po pierwszym otwarciu łącznika.
-
W przypadku serwera proxy NTLM otwórz program Internet Explorer, kliknij ikonę koła zębatego, wybierz kolejno pozycje Opcje internetowe > Połączenia > Ustawienia sieci LAN, upewnij się, że dodano informacje o serwerze proxy, a następnie kliknij OK. Zobacz Korzystanie z Serwera Proxy Sieci Web W Przeglądarce.
| 1 |
Otwórz konektor, a następnie dodaj |
| 2 |
Jeśli zostanie wyświetlony monit, zaloguj się przy użyciu poświadczeń uwierzytelniania serwera proxy, a następnie zaloguj się do usługi Webex za pomocą konta administratora i kliknij przycisk Dalej. |
| 3card symbol |
Potwierdź swoją organizację i domenę.
|
| 4 |
Po wyświetleniu ekranu Potwierdź organizację kliknij przycisk Potwierdź. Jeśli usługi AD DS/AD LDS są już powiązane, zostanie wyświetlony ekran Potwierdź organizację. |
| 5. |
Kliknij przycisk Potwierdź. |
| 6 |
Wybierz jedną w zależności od liczby domen Active Directory, które chcesz powiązać z łącznikiem usług katalogowych:
|
Co zrobić dalej
Po zalogowaniu się zostanie wyświetlony monit o wykonanie synchronizacji przebiegu próbnego.
Pulpit nawigacyjny łącznika usług katalogowych
Przy pierwszym logowaniu do łącznika usług katalogowych zostanie wyświetlona konsola. W tym miejscu możesz wyświetlić podsumowanie wszystkich działań synchronizacji, wyświetlić statystyki chmury, przeprowadzić synchronizację przebiegu próbnego, rozpocząć synchronizację pełną lub stopniową oraz uruchomić widok zdarzenia, aby wyświetlić informacje o błędach.
Te zadania można łatwo uruchomić z paska narzędzi czynności lub menu czynności.
|
Komponent |
Opis |
|---|---|
|
Bieżąca synchronizacja |
Wyświetla informacje o stanie aktualnie trwającej synchronizacji. Gdy żadna synchronizacja nie jest uruchomiona, wyświetlanie stanu jest bezczynne. |
|
Następna synchronizacja |
Wyświetla następne zaplanowane pełne i przyrostowe synchronizacje. Jeśli nie ustawiono harmonogramu, wyświetlana jest opcja Nie zaplanowano. |
|
Ostatnia synchronizacja |
Wyświetla stan dwóch ostatnich wykonanych synchronizacji. |
|
Bieżący stan synchronizacji |
Wyświetla ogólny stan synchronizacji. |
|
Łączniki |
Wyświetla bieżące lokalne łączniki dostępne dla chmury. |
|
Statystyki chmury |
Wyświetla ogólny stan synchronizacji. |
|
Harmonogram synchronizacji |
Wyświetla harmonogram synchronizacji dla synchronizacji przyrostowej i pełnej. |
|
Podsumowanie konfiguracji |
Wyświetla ustawienia, które zostały zmienione w konfiguracji. Podsumowanie może na przykład zawierać następujące informacje:
|
| Czynność | Opis |
|---|---|
| Rozpocznij synchronizację przyrostową |
Ręcznie rozpocznij synchronizację przyrostową Ta czynność jest wyłączona po wstrzymaniu lub wyłączeniu synchronizacji, jeśli pełna synchronizacja nie została ukończona lub jeśli synchronizacja jest w toku. |
|
Synchronizuj przebieg próbny |
Wykonaj synchronizację przebiegu próbnego. |
|
Uruchom przeglądarkę zdarzeń |
Uruchom przeglądarkę zdarzeń firmy Microsoft |
|
Odśwież |
Odśwież pulpit nawigacyjny łącznika usług katalogowych Cisco |
|
Czynność |
Opis |
|---|---|
| Synchronizuj teraz |
Natychmiast rozpocznij pełną synchronizację. |
|
Tryb synchronizacji |
Wybierz tryb synchronizacji przyrostowej lub pełnej. |
|
Zresetuj klucz tajny łącznika |
Nawiąż rozmowę między łącznikiem usług katalogowych Cisco a konektorem. Wybranie tej czynności spowoduje zresetowanie tajnego klucza w chmurze, a następnie zapisanie klucza lokalnego. |
|
Przebieg próbny |
Wykonaj test procesu synchronizacji. Przed wykonaniem pełnej synchronizacji należy wykonać przebieg próbny. |
|
Rozwiązywanie problemów |
Włącz/wyłącz rozwiązywanie problemów. |
|
Odśwież |
Odśwież ekran główny łącznika usług katalogowych Cisco. |
|
Zamknij |
Zamknij łącznik usług katalogowych Cisco. |
|
Kombinacja klawiszy |
Czynność |
|---|---|
|
Alt+A |
Pokaż menu Czynności |
|
|
Synchronizuj teraz |
|
|
Zresetuj klucz tajny łącznika |
|
|
Przebieg próbny |
|
|
Synchronizacja przyrostowa |
|
|
Pełna synchronizacja |
|
|
Pokaż menuPomoc |
|
|
Pomoc |
|
|
Informacje |
|
|
często zadawane pytania |
Ustaw automatyczne uaktualnianie
| 1 |
W Directory Connector przejdź do , a następnie zaznacz pole wyboru Automatycznie uaktualnij do nowej wersji Cisco Directory Connector. |
| 2 |
Kliknij Zastosuj, aby zapisać zmiany. |
Nowe wersje łącznika są automatycznie instalowane, gdy są dostępne.
Uaktualnieniami można zarządzać ręcznie, jeśli wolisz. Aby uzyskać więcej informacji, zobacz Uaktualnianie do najnowszej wersji oprogramowania.
Wybierz obiekty usługi Active Directory do zsynchronizowania
Domyślnie Directory Connector synchronizuje wszystkich użytkowników, którzy nie są komputerami, oraz wszystkie grupy, które nie są krytycznymi obiektami systemowymi dla domeny. Aby uzyskać większą kontrolę nad tym, które obiekty są synchronizowane, można wybrać określonych użytkowników do synchronizacji i określić filtry LDAP na stronie Wybór obiektów w łączniku usług katalogowych.
Grupy do automatycznego przypisywania licencji
Control Hub umożliwia zarządzanie przypisaniami licencji w odniesieniu do poszczególnych grup. Można utworzyć szablony licencji i mapować je do grup Active Directory, które synchronizujesz z chmurą. W momencie tworzenia użytkownika Webex sprawdza członkostwo użytkownika i mapowanie szablonu automatycznego przypisywania licencji dla tego nowego użytkownika.
Zalecamy używanie filtra LDAP w celu synchronizowania tylko odpowiednich grup z chmurą. Filtr można na przykład ustawić jako:
(&(cn=Przykład)(objectClass=Group))*
Ten filtr synchronizuje wszystkie grupy w ramach podstawowej nazwy wyróżniającej, gdzie nazwa zaczyna się od Example. Użytkownikom, którzy nie są przypisani do grup, przypisane są licencje z domyślnego szablonu automatycznego przypisywania licencji skonfigurowanego w Control Hub.
Grupy dla wdrożeń hybrydowego zabezpieczenia danych
W Łączniku usług katalogowych zaznacz opcję Grupy, jeśli używasz usługi hybrydowego zabezpieczenia danych, aby skonfigurować grupę wersji próbnej dla użytkowników pilotażowych. Wskazówki można znaleźć w Przewodniku wdrażania hybrydowego zabezpieczenia danych. To ustawienie łącznika usług katalogowych nie wpływa na synchronizację innych użytkowników z chmurą.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, a następnie kliknij pozycję Wybór obiektu. |
| 2 |
W sekcji Typ obiektu zaznacz opcję Użytkownicy i rozważ ograniczenie liczby pojemników możliwych do wyszukania dla użytkowników. Jeśli na przykład chcesz zsynchronizować tylko użytkowników w określonej grupie, w polu Użytkownicy należy wprowadzić filtr LDAP. Jeśli chcesz synchronizować użytkowników w grupie Przykład-menedżer, użyj filtra takiego jak ten:
|
| 3card symbol |
Zaznacz opcję Identyfikacja pokoju, aby oddzielić dane pokoju od danych użytkownika. Kliknij opcję Dostosuj, jeśli chcesz skonfigurować dodatkowe atrybuty w celu identyfikacji danych użytkownika jako danych pokoju. Użyj tego ustawienia, jeśli chcesz synchronizować informacje o pokoju lokalnym z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia systemu biurowego ze skonfigurowanym, mapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach systemu biurowego zarejestrowanych w chmurze. Aby uzyskać więcej informacji, zobacz Synchronizowanie informacji o pokoju w siedzibie z chmurą Webex. |
| 4 |
Zaznacz opcję Grupy, jeśli chcesz zsynchronizować grupy użytkowników usługi Active Directory z chmurą. Nie dodawaj filtru LDAP synchronizacji użytkowników do pola Grupy. Do synchronizacji danych grupy z chmurą należy używać tylko pola Grupy. Domyślnie grupy nie są synchronizowane dla nowych klientów. Należy włączyć synchronizację grup. Musisz również synchronizować grupy zabezpieczeń. |
| 5. |
Zaznacz opcję Kontakty, jeśli chcesz zsynchronizować informacje kontaktowe użytkowników z chmurą. Łącznik usług katalogowych zarządza tylko Kontaktami zsynchronizowanymi przez łącznik. Jeśli istnieją już kontakty w Control Hub, synchronizacja nie usunie tych kontaktów. Jeśli kontakty zostaną usunięte z zakresu synchronizacji, informacje kontaktowe użytkowników zostaną również usunięte w Control Hub. |
| 6 |
Skonfiguruj filtry LDAP. Filtry rozszerzone można dodawać, podając prawidłowy filtr LDAP. Zobacz ten artykuł, aby uzyskać więcej informacji o konfigurowaniu filtrów LDAP. |
| 7 |
Określ nazwy domen bazy lokalnej do synchronizacji, klikając przycisk Wybierz, aby zobaczyć strukturę drzewa usługi Active Directory. Tutaj możesz wybrać lub usunąć zaznaczenie, które kontenery mają być przeszukiwane. |
| 8 |
Sprawdź, czy obiekty, które chcesz dodać do tej konfiguracji, a następnie kliknij przycisk Wybierz. Można wybrać pojedyncze lub nadrzędne pojemniki, które mają być używane do synchronizacji. Wybierz pojemnik nadrzędny, aby włączyć wszystkie pojemniki podrzędne. Po wybraniu kontenera dla dziecka w kontenerze nadrzędnym zostanie wyświetlony szary znak wyboru wskazujący, że dziecko zostało zaznaczone. Następnie możesz kliknąć przycisk Wybierz, aby zaakceptować zaznaczone kontenery Active Directory. Jeśli organizacja umieści wszystkich użytkowników i grupy w kontenerze Użytkownicy, nie trzeba wyszukiwać innych kontenerów. Jeśli Twoja organizacja jest podzielona na jednostki organizacyjne, upewnij się, że wybrano jednostki organizacyjne. |
| 9 |
Kliknij przycisk Zastosuj. Wybierz opcję:
Aby uzyskać informacje na temat uruchamiania próbnego, zobacz Przeprowadzanie synchronizacji próbnej u użytkowników usługi Active Directory. W przypadku synchronizacji grup należy przeprowadzić pełną synchronizację: Wykonywanie pełnej synchronizacji użytkowników usługi Active Directory Z chmurą. |
Mapuj atrybuty użytkownika
Atrybuty z lokalnej usługi Active Directory można mapować na odpowiednie atrybuty w chmurze. Jedynym wymaganym polem jest *uid — unikatowy identyfikator każdego konta użytkownika w usłudze tożsamości w chmurze.
Możesz wybrać, który atrybut Active Directory ma być mapowany na chmurę — na przykład możesz mapować imię i nazwisko w usłudze Active Directory lub wyrażenie atrybutu niestandardowego na displayName w chmurze.
Konta w usłudze Active Directory muszą mieć adres e-mail. Identyfikator uid jest domyślnie mapowany na pole poczty ad (a nie sAMAccountName).
Jeśli zdecydujesz się, aby preferowany język pochodził z Active Directory, wówczas Active Directory jest jedynym źródłem prawdy: użytkownicy nie będą mogli zmienić swojego ustawienia języka w ustawieniach Webex, a administratorzy nie będą mogli zmienić tego ustawienia w Control Hub.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja , a następnie wybierz pozycjęMapowanie atrybutów użytkownika. Na tej stronie wyświetlane są nazwy atrybutów Active Directory (po lewej stronie) i chmury Webex (po prawej). Wszystkie wymagane atrybuty są oznaczone czerwoną gwiazdką. |
| 2 |
Przewiń w dół do dołu nazwy atrybutów usługi Active Directory, a następnie wybierz jeden z tych atrybutów usługi Active Directory, aby zamapować atrybut uid chmury:
Możesz mapować dowolny z pozostałych atrybutów Active Directory na identyfikator uid, ale zalecamy używanie poczty lub userPrincipalName w sposób opisany w powyższych wytycznych. W niektórych przypadkach do logowania się służy nazwa userPrincipalName, ale do zarządzania kalendarzem użytkownika jest używany jego adres e-mail. Należy podać adres e-mail dla map zarządzania kalendarzem na główne pole adresu e-mail w usłudze Webex. Dodaj userPrincipalName jako alternatywny adres e-mail. Aby zobaczyć, które atrybuty w usłudze Active Directory odpowiadają w chmurze, zobacz Mapowanie atrybutów Active Directory w Directory Connector. Aby synchronizacja działała, należy się upewnić, że wybrany atrybut Active Directory jest w formacie e-mail. Łącznik usług katalogowych wyświetla wyskakujące okienko z przypomnieniem, że nie wybrano jednego z zalecanych atrybutów. |
| 3card symbol |
Jeśli wstępnie zdefiniowane atrybuty usługi Active Directory nie działają dla Twojego wdrożenia, kliknij rozwijany atrybut, przewiń do dołu, a następnie wybierz pozycję Dostosuj atrybut, aby otworzyć okno umożliwiające zdefiniowanie wyrażenia atrybutu. Kliknij Pomoc, aby uzyskać więcej informacji o wyrażeniach i zobaczyć przykłady działania wyrażeń. Więcej informacji zawiera temat Wyrażenia dla niestandardowych atrybutów. W tym przykładzie zmapujmy atrybuty
Łącznik usług katalogowych weryfikuje wartość atrybutu uid w usłudze tożsamości i pobiera 3 dostępnych użytkowników w ramach bieżących opcji filtrowania użytkownika. Jeśli wszyscy z tych 3 użytkowników mają prawidłowy format wiadomości e-mail, Cisco Directory Connector wyświetli następujący komunikat:
Jeśli nie można zweryfikować atrybutu, zobaczysz następujące ostrzeżenie i możesz powrócić do usługi Active Directory, aby sprawdzić i naprawić dane użytkownika:
|
| 4 |
(Opcjonalnie) Wybierz mapowania dla urządzeń mobilnych i telephoneNumber, jeśli chcesz, aby numery komórkowe i służbowe pojawiały się na przykład w karcie kontaktu użytkownika w aplikacji Webex. Dane numeru telefonu pojawiają się w aplikacji Webex, gdy użytkownik najedzie kursorem na zdjęcie profilowe innego użytkownika. Aby uzyskać więcej informacji na temat nawiązywania połączeń z karty kontaktu użytkownika, zobacz Przewodnik wdrażania połączeń w usłudze Webex (Unified CM) (administratorzy). |
| 5. |
Wybierz dodatkowe mapowania, aby więcej danych mogło pojawić się na karcie kontaktu:
Po zmapowaniu atrybutów informacje są wyświetlane, gdy użytkownik najedzie kursorem na zdjęcie profilowe innego użytkownika:
Aby uzyskać więcej informacji na temat karty kontaktu, zobacz Sprawdzanie, z kim się kontaktujesz. Po zsynchronizowaniu tych atrybutów z każdym kontem użytkownika można również włączyć funkcję People Insights w Control Hub. Ta funkcja pozwala użytkownikom aplikacji Webex udostępniać więcej informacji w swoich profilach i dowiedzieć się więcej o sobie. Aby uzyskać więcej informacji na temat tej funkcji i sposobu jej włączenia, zobacz Profile użytkowników aplikacji Webex, Jabber, Webex Meetings i Webex Events (nowość) w Control Hub |
| 6 |
Po dokonaniu wyboru kliknij Zastosuj. |
Wszelkie dane użytkownika zawarte w usłudze Active Directory zastępują dane w chmurze odpowiadające temu użytkownikowi. Na przykład jeśli użytkownik został ręcznie utworzony w Control Hub, jego adres e-mail musi być identyczny z adresem e-mail w usłudze Active Directory. Każdy użytkownik bez odpowiedniego adresu e-mail w usłudze Active Directory zostanie usunięty.
Usunięci użytkownicy są przechowywani w usłudze tożsamości w chmurze przez 7 dni przed ich trwale usunięciem.
Atrybuty Active Directory i chmury
Za pomocą karty Mapowanie atrybutów użytkownika można mapować atrybuty z lokalnej usługi Active Directory na odpowiednie atrybuty w chmurze.
W tej tabeli porównano mapowanie między nazwami atrybutów usługi Active Directory i nazwami atrybutów chmury Cisco. Te wartości i mapowania są ustawieniem domyślnym w łączniku usług katalogowych. Możesz wybrać różne atrybuty w rozwijanej usłudze Active Directory i określić, który atrybut lokalny jest synchronizowany z którym atrybutem chmury.
Pomyślcie o atrybutach rozwijanych jako o ustawieniach wstępnych. Zamiast wartości w wierszu Active Directory można również określić niestandardowy atrybut, własne ustawienie wstępne, w usłudze Active Directory (wyrażenie z wieloma atrybutami), aby zamapować go na jeden atrybut chmury w odpowiednim wierszu. Dzięki temu masz elastyczność określania nazw wyświetlanych użytkowników — na przykład możesz dodać wyrażenie, które tworzy niestandardowy atrybut na podstawie tytułu pracownika, imienia i nazwiska w usłudze Active Directory.
Można również określić dowolny z atrybutów usługi Active Directory, aby być mapowanym na identyfikator uid w chmurze. Należy jednak się upewnić, że atrybut lokalny jest zgodny z prawidłowym formatem wiadomości e-mail.
Możesz także użyć alternatywnych adresów e-mail, na przykład jeśli chcesz użyć nazwy userPrincipalName do logowania, ale adres e-mail użytkownika jest używany do zarządzania kalendarzem użytkownika. W takim przypadku zamapuj inny adres e-mail na atrybut e-mail;type-work. To jest adres e-mail używany do uwierzytelniania; nie jest używany do zarządzania kalendarzem. Adres e-mail mapowany z usługi AD musi pochodzić ze zweryfikowanej domeny w ramach organizacji, być unikatowy i nie musi być przypisany do innego użytkownika.
|
Nazwy atrybutów Active Directory |
Nazwy atrybutów chmury Webex |
Uwagi |
|---|---|---|
|
— |
budynekName |
— |
|
c |
c |
Ten atrybut określa skrót kraju użytkownika. |
|
działNumer |
działNumer |
Ten atrybut jest używany dla numeru działu użytkownika, który pojawia się na karcie kontaktu i informacjach o użytkowniku. |
|
nazwa wyświetlana |
nazwa wyświetlana |
Ten atrybut jest używany dla nazwy wyświetlanej konta użytkownika, która pojawia się w Control Hub, na karcie kontaktu i informacjach o użytkowniku. |
|
kontrolaKontaUżytkownika |
ds-pwp-account-wyłączony |
Ten atrybut jest używany do synchronizacji użytkowników. Upewnij się, że atrybut userAccountControl jest mapowany na ds-pwp-account-disabled. W przeciwnym razie użytkownicy nie będą poprawnie synchronizowani. |
|
Liczba pracowników |
Liczba pracowników |
— |
|
faksyleTelefonNumer |
faksyleTelefonNumer |
— |
|
— |
identyfikator jabber |
Ten atrybut chmury odnosi się do adresów wiadomości błyskawicznych (typ XMPP) używanych przez Jabbera. Ta wartość nie jest taka sama jak adres sipAddresses. |
|
l |
l |
Ten atrybut określa miejscowość użytkownika. |
|
— |
język |
— |
|
menedżer |
menedżer |
Ten atrybut jest używany dla nazwy menedżera użytkownika, która jest wyświetlana na karcie kontaktu i informacjach o użytkowniku. |
|
przenośne |
przenośne |
Ten atrybut jest używany jako numer telefonu komórkowego wyświetlany do nawiązania połączenia z użytkownikiem z karty kontaktu. |
|
o |
o |
Ten atrybut określa nazwę firmy lub organizacji i jest wyświetlany na karcie kontaktu. |
|
lub |
lub |
Ten atrybut określa nazwę jednostki organizacyjnej. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Ten atrybut określa lokalizację biura użytkownika. |
|
Kod pocztowy |
Kod pocztowy |
Ten atrybut określa kod pocztowy użytkownika do fizycznego dostarczania poczty. |
|
preferowanyJęzyk |
preferowanyJęzyk |
Ten atrybut ustawia preferowany język użytkownika oraz obsługiwane są następujące formaty: xx_YY lub xx-YY. Oto kilka przykładów: en_US, en_GB, fr-CA. Jeśli używasz nieobsługiwanego języka lub nieprawidłowego formatu, preferowany język użytkowników zostanie zmieniony na język ustawiony dla organizacji. |
|
MSRTCSIP - główny adres użytkownika Telefon ipPhone |
Adresy Sip;type=przedsiębiorstwo |
Ten atrybut jest używany do synchronizacji informacji o pokoju lokalnym z usługi Active Directory z chmurą Cisco Webex. |
|
sn |
sn |
Ten atrybut jest używany dla nazwiska konta użytkownika wyświetlanego w Control Hub, na karcie kontaktu i informacjach o użytkowniku. |
|
st. |
st. |
Ten atrybut określa stan lub prowincję użytkownika. |
|
ulicaAdres |
ulica |
Ten atrybut określa adres ulicy użytkownika do fizycznej dostawy poczty. |
|
numer telefonu |
numer telefonu |
Ten atrybut określa główny (służbowy) numer telefonu użytkownika służący do nawiązania połączenia z użytkownikiem z karty kontaktu. |
|
— |
strefa czasowa |
Ten atrybut chmury określa strefę czasową użytkownika. |
|
tytuł |
tytuł |
Ten atrybut określa tytuł użytkownika, który pojawia się na karcie kontaktu i informacjach o użytkowniku. |
|
wpisz |
przedsiębiorstwo |
— |
|
*poczta *Główna nazwa użytkownika |
identyfikator użytkownika |
Obowiązkowe mapowanie atrybutów. Dla każdego konta użytkownika wartość usługi Active Directory jest mapowana na unikatowy identyfikator UID w chmurze. W niektórych przypadkach do logowania się służy nazwa userPrincipalName, ale do zarządzania kalendarzem użytkownika jest używany jego adres e-mail. Należy podać adres e-mail dla map zarządzania kalendarzem na główne pole adresu e-mail w usłudze Webex. Dodaj userPrincipalName jako alternatywny adres e-mail. Użytkownik może wówczas użyć dowolnego z tych adresów e-mail do zalogowania się, o ile działa prawidłowe mapowanie atrybutów SAML. Zobacz Przykładowe mapowanie atrybutów poniżej, aby dowiedzieć się, jak można zmapować alternatywny adres e-mail. |
|
*Główna nazwa użytkownika *poczta <atrybut niestandardowy> |
wiadomości e-mail; praca typu |
To mapowanie jest opcjonalne. Użyj go, jeśli chcesz używać alternatywnych adresów e-mail. To jest adres e-mail używany do uwierzytelniania; nie jest używany do zarządzania kalendarzem. Adres e-mail mapowany z usługi AD musi pochodzić ze zweryfikowanej domeny w ramach organizacji, być unikatowy i nie musi być przypisany do innego użytkownika. |
|
<Nowy atrybut obiektuId użytkownika platformy Azure> |
Identyfikator zewnętrzny |
Utwórz nowy atrybut Active Directory, aby zachować identyfikator obiektu użytkownika platformy Azure, tak aby nie zderzył się z istniejącym atrybutem. Ten atrybut jest następnie mapowany na atrybut externalId, zapewniając, że gdy użytkownicy Webex tworzą grupy w Microsoft 365, automatycznie tworzą zespoły w Webex. |
Mapowanie alternatywnego adresu e-mail
Wyrażenia dla niestandardowych atrybutów
|
Operator |
Opis i przykład |
|---|---|
|
% |
Usuwa wszystkie znaki od początku ciągu do pozycji znaku lub argumentu ciągu, jeśli są dopasowane.
|
|
- |
Przesuwa tył ciągu wejściowego od końca określonego ciągu.
|
|
+ |
Powoduje złożenie ciągów wejściowych lub wyrażeń.
|
|
| |
Dokonuje oceny wyrażeń oddzielonych od pustego ciągu i wybiera pierwszy niepusty wynik.
|
Synchronizuj awatary katalogu z atrybutu usługi Active Directory do chmury
Możesz zsynchronizować awatary katalogu użytkowników z chmurą, aby każdy awatar był wyświetlany po zalogowaniu się do aplikacji Webex. Ta procedura służy do synchronizowania surowych danych awatara z atrybutu Active Directory.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, kliknij pozycję Awatar, a następnie zaznacz pole wyboru Włącz. |
| 2 |
W polu Pobierz awatar z wybierz atrybut AD, a następnie wybierz atrybut Awatar zawierający surowe dane awatara, które chcesz zsynchronizować z chmurą. |
| 3card symbol |
Aby sprawdzić, czy awatar jest poprawnie dostępny, wprowadź adres e-mail użytkownika, a następnie kliknij opcję Pobierz awatar użytkownika. Awatar pojawi się po prawej stronie. |
| 4 |
Po sprawdzeniu, czy awatar pojawił się poprawnie, kliknij przycisk Zastosuj, aby zapisać zmiany. |
-
Zsynchronizowane obrazy stają się domyślnym awatarem dla użytkowników w aplikacji Webex. Użytkownicy nie mogą ustawić własnego awatara, gdy ta funkcja zostanie włączona z poziomu łącznika usług katalogowych.
-
Awatary użytkowników są synchronizowane zarówno z aplikacją Webex, jak i ze wszystkimi pasującymi kontami w witrynie Webex.
Co zrobić dalej
Wykonaj synchronizację przebiegu próbnego; jeśli nie ma problemów, wykonaj pełną synchronizację, aby umożliwić synchronizację kont użytkowników i awatarów usługi Active Directory z chmurą i wyświetlenie ich w portalu Control Hub.
Synchronizuj awatary katalogu Z serwera zasobów do chmury
Możesz zsynchronizować awatary katalogu użytkowników z chmurą, aby każdy awatar był wyświetlany po zalogowaniu się do aplikacji Webex. Ta procedura służy do synchronizowania awatarów z serwera zasobów.
Przed rozpoczęciem
-
Wzorzec URI i wartość zmiennej w tej procedurze są przykładami. Musisz używać rzeczywistych adresów URL, w których znajdują się awatary katalogów.
-
Wzorzec URI awatara i serwer, na którym znajdują się awatary, muszą być dostępne z poziomu aplikacji Directory Connector. Konektor wymaga dostępu do obrazów w protokole HTTP lub HTTPS, ale obrazy nie muszą być publicznie dostępne w Internecie.
-
Synchronizacja danych awatara jest oddzielona od profili użytkowników w usłudze Active Directory. Jeśli jest uruchomiony serwer proxy, należy się upewnić, że dane awatara są dostępne za pomocą uwierzytelniania NTLM lub uwierzytelniania podstawowego.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, kliknij pozycję Awatar, a następnie zaznacz pole wyboru Włącz. |
| 2 |
W polu Pobierz awatar z wybierz pozycję Serwer zasobów, a następnie wprowadź wzorzec URI awatara, na przykład Przyjrzyjmy się każdej części wzorca URI awatara i co one oznaczają:
|
| 3card symbol |
(Opcjonalnie) Jeśli serwer zasobów wymaga poświadczeń, zaznacz opcję Ustaw poświadczenia użytkownika dla awatara, a następnie wybierz opcję Użyj bieżącego użytkownika logowania do usługi lub Użyj tego użytkownika i wprowadź hasło. |
| 4 |
Wprowadź wartość zmiennej — na przykład: |
| 5. |
Kliknij przycisk Testuj, aby upewnić się, że wzorzec URI awatara działa poprawnie. W tym przykładzie, jeśli wartością poczty dla jednego wpisu usługi AD jest |
| 6 |
Gdy informacje o identyfikatorze URI zostaną zweryfikowane i wyglądają poprawnie, kliknij przycisk Zastosuj. Aby uzyskać szczegółowe informacje na temat używania wyrażeń regularnych, zobacz Skrócona instrukcja obsługi języka wyrażeń regularnych firmy Microsoft. |
-
Zsynchronizowane obrazy stają się domyślnym awatarem dla użytkowników w aplikacji Webex. Użytkownicy nie mogą ustawić własnego awatara, gdy ta funkcja zostanie włączona z poziomu łącznika usług katalogowych.
-
Awatary użytkowników są synchronizowane zarówno z aplikacją Webex, jak i ze wszystkimi pasującymi kontami w witrynie Webex.
Co zrobić dalej
Wykonaj synchronizację przebiegu próbnego; jeśli nie ma problemów, wykonaj pełną synchronizację, aby umożliwić synchronizację kont użytkowników i awatarów usługi Active Directory z chmurą i wyświetlenie ich w portalu Control Hub.
Synchronizuj informacje o pokoju w siedzibie z chmurą Webex
Ta procedura służy do synchronizowania informacji o lokalnym pokoju z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia pokojowe ze skonfigurowanym, zmapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach Webex zarejestrowanych w chmurze (Room, Desk i Board).
| 1 |
W Directory Connector przejdź do pozycji Synchronizuj, kliknij więcej |
| 2 |
Zaznacz opcję Synchronizuj informacje o pokoju z chmurą, aby oddzielić dane pokoju od danych użytkowników podczas synchronizacji. Gdy to ustawienie jest wyłączone, dane pokoju są traktowane tak samo jak dane zsynchronizowane przez użytkowników. |
| 3card symbol |
Przejdź do pozycji Mapowanie atrybutów, a następnie zmień mapowanie atrybutów dla atrybutu sipAddresses;type=enterprise w chmurze. Aby można było użyć sprawdzania poprawności wartości, wartością adresu SIP powinna być Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Tworzenie skrzynki pocztowej zasobów pokoju w programie Exchange. Spowoduje to dodanie atrybutu msExchResourceMetaData;ResourceType:Room, którego łącznik używa następnie do identyfikowania pokojów.
|
| 5. |
Z użytkowników i komputerów usługi Active Directory przejdź do właściwości pokoju i edytuj je. Dodaj w pełni kwalifikowany identyfikator URI SIP z przedrostkiem sip:
|
| 6 |
Wykonaj synchronizację przebiegu próbnego, a następnie pełną synchronizację przebiegu w konektorze. Nowe obiekty pokoju są wyświetlane na liście Dodane obiekty, a dopasowane obiekty pokoju są wyświetlane w Obiekty dopasowane w raporcie przebiegu próbnego. Wszystkie obiekty pokojów oznaczone flagą usunięcia znajdują się w obszarze Pokoje usunięte.
Wyniki przebiegu próbnego pokazują wszystkie zasoby pokojów, które zostały dopasowane.
To ustawienie oddziela dane pokoju Active Directory (w tym atrybut pokoju) od danych użytkownika. Po zakończeniu synchronizacji statystyki chmury w pulpicie nawigacyjnym łącznika pokazują dane pokojów, które zostały zsynchronizowane z chmurą.
|
Co zrobić dalej
Teraz, po wykonaniu tych czynności, podczas wyszukiwania na urządzeniu zarejestrowanym w chmurze Webex zostaną wyświetlone zsynchronizowane wpisy pokojów skonfigurowane z adresami SIP. Po nawiązaniu połączenia z urządzenia Webex na tym wpisie połączenie jest nawiązywane na adres SIP skonfigurowany dla pokoju.
Z Control Hub można automatycznie importować pokoje z katalogu i tworzyć obszary robocze.
Punkt końcowy nie może nawiązać połączenia zwrotnego do aplikacji Webex. W przypadku testowych wybierania numerów urządzenia te muszą być zarejestrowane jako lokalny identyfikator URI SIP lub miejsce inne niż aplikacja Webex. Jeśli system pokojów Active Directory, którego szukasz, jest zarejestrowany w usłudze Webex, a ten sam adres e-mail znajduje się na urządzeniu Webex Room Device, urządzeniu Desk lub Webex Board dla usługi kalendarza, wyniki wyszukiwania nie wyświetlają zduplikowanego wpisu. Urządzenie Room, Desk lub Board jest wybierane bezpośrednio w aplikacji Webex, a połączenie SIP nie jest nawiązywane.
Wysyłanie raportów e-mail dotyczących wyników synchronizacji katalogów
Domyślnie kontakty lub administratorzy organizacji zawsze otrzymują powiadomienia e-mail. Dzięki temu ustawieniu możesz określić, kto powinien otrzymywać powiadomienia e-mail podsumowujące raporty synchronizacji katalogów.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja, a następnie wybierz pozycję Powiadomienia. |
| 2 |
W Łączniku usług katalogowych kliknij pozycję Ustawienia, a obok pozycji Odbiornik wiadomości e-mail włącz synchronizację raportu. |
| 3card symbol |
Zaznacz opcję Włącz powiadomienia, jeśli chcesz zastąpić domyślne działanie powiadomień i dodać jednego lub więcej odbiorców wiadomości e-mail. |
| 4 |
Kliknij przycisk Dodaj, a następnie wprowadź adres e-mail. W przypadku wprowadzenia adresu e-mail o nieprawidłowym formacie zostanie wyświetlony komunikat z prośbą o naprawienie problemu, zanim będzie można zapisać i zastosować zmiany. |
| 5. |
Kliknij Dodaj adres e-mail, a następnie wprowadź adres e-mail. W przypadku wprowadzenia adresu e-mail o nieprawidłowym formacie zostanie wyświetlony komunikat z prośbą o naprawienie problemu, zanim będzie można zapisać i zastosować zmiany. |
| 6 |
Jeśli chcesz edytować wprowadzone adresy e-mail, kliknij dwukrotnie wpis e-mail w lewej kolumnie, a następnie wprowadź niezbędne zmiany. |
| 7 |
Po dodaniu wszystkich prawidłowych adresów e-mail kliknij opcję Zastosuj. |
| 8 |
Po dodaniu wszystkich prawidłowych adresów e-mail kliknij przycisk Zapisz. |
Co zrobić dalej
Jeśli zdecydowano, że chcesz usunąć adresy e-mail, możesz kliknąć wiadomość e-mail, aby zaznaczyć ten wpis, a następnie kliknąć opcję Usuń.
Jeśli zdecydowano, że chcesz usunąć adresy e-mail, możesz kliknąć przycisk Usuń obok określonych wpisów adresu e-mail.
Aprowizacja Użytkowników Z Usługi Active Directory Do Control Hub
Wykonaj poniższe czynności, aby skonfigurować użytkowników usługi Active Directory i utworzyć odpowiadające im konta użytkowników w Control Hub. Po zainstalowaniu łącznika usług katalogowych dla każdej domeny można skonfigurować użytkowników z wdrożenia usługi Active Directory w wielu domenach (z jednym lub wieloma lasami). Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Celem jest dokładne dopasowanie między aktywnymi katalogami a chmurą Webex.
| 1 |
Wykonywanie synchronizacji próbnej na użytkownikach usługi Active Directory Przeprowadź przebieg próbny, aby porównać obiekty w lokalnej usłudze Active Directory z obiektami w chmurze Webex. Przebieg próbny pozwala zobaczyć, które obiekty zostaną dodane, zmodyfikowane lub usunięte, zanim uruchomisz pełną lub stopniową synchronizację i zatwierdzisz zmiany w chmurze. |
| 2 |
Wykonaj pełną synchronizację użytkowników usługi Active Directory z chmurą Po uruchomieniu pełnej synchronizacji usługa łącznika wysyła wszystkie odfiltrowane obiekty z usługi Active Directory (AD) do chmury. Usługa łącznika aktualizuje następnie magazyn tożsamości za pomocą wpisów usługi AD. Jeśli utworzono szablon automatycznego przypisywania licencji, możesz przypisać go do nowo zsynchronizowanych użytkowników. |
| 3card symbol |
Przypisz usługi Webex do użytkowników zsynchronizowanych z katalogiem w Control Hub Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych w Control Hub można przypisać licencje usług Webex przy użyciu różnych metod. Zalecamy skonfigurowanie szablonu automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory. Po tym początkowym kroku można również wprowadzić indywidualne zmiany. |
Wykonywanie synchronizacji próbnej na użytkownikach usługi Active Directory
Przeprowadź przebieg próbny, aby porównać obiekty w lokalnej usłudze Active Directory z obiektami w chmurze Webex. Przebieg próbny pozwala zobaczyć, które obiekty zostaną dodane, zmodyfikowane lub usunięte, zanim uruchomisz pełną lub stopniową synchronizację i zatwierdzisz zmiany w chmurze.
Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Dzięki Łącznikowi usług katalogowych celem jest dokładne dopasowanie między Active Directories a chmurą Webex.
Jeśli w jednym lub wielu lasach znajduje się wiele domen, wykonaj ten krok w każdym wystąpieniu łącznika usług katalogowych Cisco, które zainstalowałeś dla każdej domeny Active Directory.
Przed rozpoczęciem
Przed użyciem łącznika usług katalogowych niektórzy użytkownicy aplikacji Webex mogą już znajdować się w Control Hub. Wśród użytkowników w chmurze niektórzy mogą pasować do lokalnego obiektu Active Directory i mieć przypisane licencje na usługi. Ale niektóre z nich mogą być użytkownikami testowymi, których chcesz usunąć podczas synchronizacji. Należy utworzyć dokładne dopasowanie między usługą Active Directory i Control Hub.
| 1 |
Wybierz jedną z nich:
Po zakończeniu przebiegu próbnego zostanie wyświetlony jeden z następujących wyników:
Podsumowanie zawiera informacje o dopasowywaniu obiektów:
Przebieg próbny identyfikuje użytkowników poprzez porównanie ich z użytkownikami domeny. Aplikacja może zidentyfikować użytkowników, jeśli należą do bieżącej domeny. W następnym kroku musisz zdecydować, czy usunąć obiekty, czy zachować je. Niedopasowane obiekty są identyfikowane jako istniejące już w chmurze Webex, ale nie istnieją w lokalnej usłudze Active Directory. |
| 2 |
Przejrzyj wyniki uruchomienia próbnego, a następnie wybierz opcję w zależności od tego, czy korzystasz z jednej czy wielu domen:
|
| 3card symbol |
W wierszu Potwierdź przebieg próbny kliknij przycisk Tak, aby ponowić synchronizację przebiegu próbnego i wyświetl pulpit nawigacyjny, aby zobaczyć wyniki. Wszystkie konta, które zostały pomyślnie zsynchronizowane w przebiegu próbnym, pojawiają się w sekcji Dopasowane obiekty. Jeśli użytkownik w chmurze nie ma odpowiadającego użytkownika z tym samym adresem e-mail w usłudze Active Directory, pozycja ta znajduje się w sekcji Usunięci użytkownicy. Aby uniknąć tej flagi usuwania, możesz dodać użytkownika w usłudze Active Directory z tym samym adresem e-mail. Aby wyświetlić szczegóły zsynchronizowanych elementów, kliknij odpowiednią kartę dla określonych elementów lub Dopasowane obiekty. Aby zapisać informacje podsumowania, kliknij opcję Zapisz wyniki w pliku. |
| 4 |
Jeśli oczekiwane wyniki są oczekiwane, przejdź do , a następnie kliknij przycisk Włącz teraz, aby wykonać synchronizację ręczną i uruchomić w tym momencie tryb ręczny. Po wykonaniu synchronizacji w ostatniej domenie Active Directory w wdrożeniu wielu domen należy włączyć tryb automatyczny dla łącznika usług katalogowych. Tryb automatyczny można włączyć tylko wtedy, gdy obiekty są całkowicie dopasowane między chmurą Webex a wszystkimi lokalnymi aktywnymi katalogami. |
Co zrobić dalej
-
W przypadku jakichkolwiek zachowanych niedopasowanych obiektów użytkownika należy je dodać do usługi Active Directory, aby istniało dokładne dopasowanie między środowiskiem lokalnym a chmurą.
-
Wybierz typ synchronizacji:
-
Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut (w wersjach 3.4 i starszych) lub co 4 godziny (w wersjach 3.5 i nowszych), ale można zmienić tę wartość. Synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji.
-
Jeśli masz wiele domen, powtórz te kroki na każdym innym zainstalowanym łączniku usług katalogowych.
O czym należy pamiętać
-
Przeprowadź przebieg próbny przed włączeniem pełnej synchronizacji lub zmianą parametrów synchronizacji. Jeśli przebieg próbny został zainicjowany przez zmianę konfiguracji, można zapisać ustawienia po jego ukończeniu. Jeśli użytkownicy zostali już dodani ręcznie, synchronizacja z usługą Active Directory może spowodować usunięcie poprzednio dodanych użytkowników. Przed pełną synchronizacją z chmurą można sprawdzić raporty Dry Run łącznika usług katalogowych, aby sprawdzić, czy wszyscy oczekiwani użytkownicy są obecni.
-
Jeśli dopasowani użytkownicy są oznaczeni jako usunięci i nie masz pewności, jak kontynuować, zapoznaj się z informacjami o rozwiązywaniu problemów i jak skontaktować się z pomocą techniczną w sekcji Rozwiązywanie problemów i poprawki dotyczące łącznika usług katalogowych.
Usunięci użytkownicy są przechowywani w usłudze tożsamości w chmurze przez 7 dni przed ich trwale usunięciem.
Wykonaj pełną synchronizację użytkowników usługi Active Directory z chmurą
Po uruchomieniu pełnej synchronizacji usługa łącznika wysyła wszystkie odfiltrowane obiekty z usługi Active Directory (AD) do chmury. Usługa łącznika aktualizuje następnie magazyn tożsamości za pomocą wpisów usługi AD. Jeśli utworzono szablon automatycznego przypisywania licencji, możesz przypisać go do nowo zsynchronizowanych użytkowników.
Jeśli masz wiele domen, wykonaj ten krok w każdym wystąpieniu łącznika usług katalogowych, które zainstalowałeś dla każdej domeny Active Directory.
Łącznik usług katalogowych synchronizuje stan konta użytkownika — w usłudze Active Directory wszyscy użytkownicy oznaczeni jako wyłączeni są również wyświetlani jako nieaktywni w chmurze.
Przed rozpoczęciem
-
Jeśli chcesz, aby konta użytkowników aplikacji Webex były w stanie Aktywne po pełnej synchronizacji i przed pierwszym zalogowaniem się użytkowników, musisz wykonać następujące czynności, aby pominąć sprawdzanie poprawności wiadomości e-mail:
-
Zintegruj jednokrotne logowanie ze swoją organizacją Webex. Patrz
Jednokrotne logowanie przy użyciu usług Cisco Webex i dostawcy tożsamości organizacji
aby uzyskać więcej informacji. -
Za pomocą Control Hub można zweryfikować i opcjonalnie zgłosić domeny zawarte w adresach e-mail. Patrz
Dodawanie, weryfikowanie i zgłaszanie praw do domen
. -
Pomijaj automatyczne zaproszenia e-mail, aby nowi użytkownicy nie otrzymywali automatycznego zaproszenia e-mail do aplikacji Webex. (Możesz wykonać własną kampanię wiadomości e-mail).
Aktywowani użytkownicy, którzy nie zalogowali się, są wyświetlani ze stanem Zweryfikowany w Control Hub. Po zalogowaniu się są wyświetlane jako Aktywne. Aby uzyskać więcej informacji o stanach użytkowników, zobacz Stany i czynności użytkowników w Cisco Webex Control Hub.
-
-
Po włączeniu synchronizacji łącznik usług katalogowych prosi o najpierw uruchomienie próbne. Zalecamy uruchomienie próbne przed pełną synchronizacją w celu wykrycia potencjalnych błędów.
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
Jeśli nie używasz szablonów automatycznego przypisywania licencji, nowo zsynchronizowani użytkownicy automatycznie otrzymają darmowe licencje. Użytkownicy będą mogli korzystać z tych samych bezpłatnych funkcji, co w przypadku bezpłatnych kont.
| 1 |
Wybierz jedną z nich:
|
| 2 |
W Directory Connector przejdź do pozycji Synchronizuj, kliknij więcej |
| 3card symbol |
Potwierdź rozpoczęcie synchronizacji. W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany do 72 godzin po wykonaniu synchronizacji. Możesz spróbować wyczyścić lokalną pamięć podręczną aplikacji Webex, wykonując następujące czynności: Windows lub Mac.
|
| 4 |
Kliknij przycisk Odśwież, jeśli chcesz zaktualizować stan synchronizacji. (Zsynchronizowane elementy są wyświetlane w obszarze Statystyki chmury). |
| 5. |
Aby uzyskać informacje o błędach, wybierz pozycję Uruchom przeglądarkę zdarzeń na pasku narzędzi Czynności, aby wyświetlić dzienniki błędów. |
| 6 |
Aby ustawić harmonogram synchronizacji dla bieżących synchronizacji przyrostowych z chmurą, zobacz Ustawianie harmonogramu łącznika i Uruchamianie synchronizacji przyrostowej. |
-
Po zakończeniu pełnej synchronizacji stan synchronizacji katalogów zostanie zaktualizowany z Wyłączony na Działający na stronie Ustawienia w Control Hub.
-
Gdy wszystkie dane zostaną dopasowane między środowiskiem lokalnym a chmurą, łącznik usług katalogowych zmienia się z trybu ręcznego na tryb automatycznej synchronizacji.
-
Jeśli nie zintegrujesz jednokrotnego logowania, zweryfikujesz domeny i opcjonalnie zgłosisz domeny dla zsynchronizowanych kont e-mail oraz wyłączysz automatyczne wiadomości e-mail, konta użytkowników aplikacji Webex pozostają w stanie Niezweryfikowany do czasu, aż użytkownicy po raz pierwszy zalogują się do aplikacji Webex w celu potwierdzenia swoich kont. Wskazówki na temat synchronizowania kont jako Aktywnych użytkowników można znaleźć w sekcji Przed rozpoczęciem.
-
Jeśli masz wiele domen, wykonaj ten krok przy użyciu dowolnego innego łącznika usług katalogowych, który został zainstalowany. Po synchronizacji użytkownicy we wszystkich dodanych domenach są wyświetlani w Control Hub.
-
Jeśli zintegrowano jednokrotne logowanie z usługą Webex i zablokowano powiadomienia e-mail, zaproszenia e-mail nie będą wysyłane do nowo zsynchronizowanych użytkowników.
-
Po włączeniu łącznika usług katalogowych nie można ręcznie dodawać użytkowników w Control Hub. Po włączeniu tej opcji zarządzanie użytkownikami jest wykonywane za pomocą łącznika usług katalogowych Cisco, a usługa Active Directory jest jedynym źródłem prawdy.
-
Wszystkie zsynchronizowane grupy są wyświetlane w portalu Control Hub i można przypisać szablon licencji, dzięki czemu użytkownikom w tej grupie zostaną przypisane licencje.
Co zrobić dalej
-
Usunięcie użytkownika z usługi Active Directory powoduje jego miękkie usunięcie po następnej synchronizacji. Użytkownik staje się nieaktywny, ale profil tożsamości w chmurze jest przechowywany przez siedem dni (aby umożliwić odzyskanie po przypadkowym usunięciu).
Jeśli zaznaczysz opcję Konto jest wyłączone w usłudze Active Directory, użytkownik staje się Nieaktywny po następnej synchronizacji. Profil tożsamości w chmurze nie zostanie usunięty po siedmiu dniach, na wypadek, gdy chcesz ponownie włączyć użytkownika.
-
Zwróć uwagę na następujące wyjątki od synchronizacji przyrostowej (zamiast tego wykonaj pełne czynności synchronizacji powyżej):
-
W przypadku zaktualizowanego awatara, ale bez żadnej innej zmiany atrybutu, synchronizacja przyrostowa nie aktualizuje awatara użytkownika do chmury.
-
Zmiany konfiguracji mapowania atrybutów, podstawowej nazwy DN, filtru i ustawienia awatara wymagają pełnej synchronizacji.
-
Przypisz usługi Webex do użytkowników zsynchronizowanych z katalogiem w Control Hub
Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych Cisco w Control Hub możesz użyć narzędzia Control Hub, aby przypisać te same licencje usługi Webex jednocześnie wszystkim użytkownikom lub dodać dodatkowe licencje nowym użytkownikom, jeśli skonfigurowano już szablon licencji przypisanych automatycznie. Po tym początkowym kroku można wprowadzić zmiany na koncie poszczególnych użytkowników.
Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych w Control Hub możesz użyć metod w Control Hub, aby globalnie przypisywać licencje usług Webex do wszystkich użytkowników, użytkowników indywidualnych, za pomocą zbiorczego szablonu CSV lub automatycznie do nowych użytkowników, jeśli został już skonfigurowany szablon automatycznego przypisywania licencji. Po tym początkowym kroku można wprowadzić zmiany na koncie poszczególnych użytkowników.
Gdy przypiszesz licencję użytkownikowi aplikacji Webex, ten użytkownik domyślnie otrzymuje wiadomość e-mail potwierdzającą przypisanie. Wiadomość e-mail jest wysyłana przez usługę powiadomień w Control Hub. Jeśli zintegrowano logowanie jednokrotne (SSO) z organizacją Webex, możesz również wyłączyć te automatyczne powiadomienia e-mail, jeśli wolisz bezpośrednio kontaktować się z użytkownikami.
Przed rozpoczęciem
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
-
Wykonaj synchronizację przebiegu próbnego u użytkowników usługi Active Directory.
-
Po potwierdzeniu wyników przebiegu próbnego wykonaj pełną synchronizację użytkowników usługi Active Directory.
W momencie pełnej synchronizacji użytkownik jest tworzony w chmurze, nie są dodawane żadne przypisania usług, a aktywacyjna wiadomość e-mail nie jest wysyłana. Jeśli wiadomości e-mail nie zostaną zablokowane, nowi użytkownicy otrzymają aktywacyjną wiadomość e-mail podczas przypisywania usług do użytkowników za pomocą standardowej metody zarządzania użytkownikami w Control Hub, takiej jak importowanie pliku CSV, ręczna aktualizacja użytkownika lub poprzez pomyślne ukończenie automatycznego przypisywania.
| 1 |
W widoku klienta w witrynie https://admin.webex.com przejdź do sekcji , kliknij opcję Zarządzaj użytkownikami, wybierz opcję Modyfikuj zsynchronizowanych użytkowników i kliknij przycisk Dalej. |
| 2 |
Wybierz opcję: |
Co zrobić dalej
-
Jeśli wiadomości e-mail nie są blokowane, do każdego użytkownika wysyłana jest wiadomość e-mail z zaproszeniem do dołączenia i pobrania usługi Webex.
-
Jeśli wybrano te same usługi Webex dla wszystkich użytkowników, następnie można zmienić licencje przypisane indywidualnie lub zbiorczo.
Znane problemy z łącznikiem usług katalogowych
-
W wersjach Windows Server wcześniejszych niż 2012 R2 wystąpił problem z plikami cookie, który wpływa na łącznik usług katalogowych. Ten problem został rozwiązany w wersjach 2012 R2 i 2016.
-
W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany po 72 godzinach od wykonania synchronizacji.
Możesz spróbować wyczyścić lokalną pamięć podręczną aplikacji Webex, wykonując następujące czynności: Windows lub Mac.
-
Gdy użytkownik korzysta z aplikacji Webex na komputerze lub urządzeniu przenośnym, aby wyszukać i nawiązać połączenie z pokojem, który ma tylko zsynchronizowany identyfikator URI SIP, wówczas połączenie będzie dzwonić w tej chwili bez końca.
Zarządzanie użytkownikami aplikacji Webex
Uruchom synchronizację przyrostową
Synchronizacja przyrostowa wysyła zapytanie do usługi Active Directory i szuka zmian, które wystąpiły od czasu ostatniej synchronizacji. Ten krok następnie łączy te zmiany i wysyła je do usługi łącznika. Zmiany obejmują modyfikację atrybutów użytkowników oraz sposób dodawania lub usuwania użytkownika.
Ta synchronizacja nie nakłada tak dużego obciążenia na serwery i nie zajmuje tyle czasu, co pełna synchronizacja. Po wykonaniu początkowej pełnej synchronizacji zalecamy opcję przyrostową dla kolejnych synchronizacji.
Przed rozpoczęciem
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
-
Zwróć uwagę na następujące wyjątki, których synchronizacja przyrostowa nie obsługuje (zamiast tego zobacz Wykonaj pełną synchronizację użytkowników usługi Active Directory do chmury ):
-
W przypadku zaktualizowanego awatara, ale bez żadnej innej zmiany atrybutu, synchronizacja przyrostowa nie aktualizuje awatara użytkownika do chmury.
-
W przypadku nowych zmian konfiguracji mapowania atrybutów, podstawowej nazwy domeny, filtru i ustawienia awatara synchronizacja przyrostowa nie będzie działać i wymagają one pełnej synchronizacji.
-
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. Po włączeniu synchronizacji łącznik usług katalogowych prosi o najpierw uruchomienie próbne. |
| 2 |
W obszarze Czynności kliknij kolejno opcje Tryb synchronizacji > Włącz synchronizację , jeśli nie jest jeszcze włączony. Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut (w wersjach 3.4 i starszych) lub co 4 godziny (w wersjach 3.5 i nowszych), ale można zmienić tę wartość. Synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji. Po upływie nowego interwału czasu przyrostowego program sprawdza zmiany na podstawie ostatniego znacznika czasu. |
| 3 |
W sekcji Czynności kliknij kolejno opcje Synchronizuj teraz > Przyrostowe. W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany po 72 godzinach od wykonania synchronizacji.
|
| 4 |
Aby uzyskać informacje o błędach, kliknij opcję Uruchom przeglądarkę zdarzeń na pasku narzędzi Czynności , aby wyświetlić dzienniki błędów. |
Co zrobić dalej
Jeśli masz wiele domen, wykonaj ten krok w innych zainstalowanych wystąpieniach łącznika usług katalogowych.
Odzyskaj przypadkowo usuniętych użytkowników
Łącznik usług katalogowych udostępnia mechanizmy kontroli i równowagi, aby zapobiec niezamierzonemu usunięciu użytkowników. Niestety zdarzają się wypadki; być może nieprawidłowo skonfigurowałeś filtr LDAP w Active Directory, który usuwał niektórych użytkowników podczas synchronizacji z chmurą. Funkcja miękkiego usuwania może pomóc Ci wyjść z tych awarii i przywrócić konta użytkowników w Control Hub.
Domyślnie ta funkcja jest włączona dla wszystkich organizacji. Gdy użytkownicy zostaną usunięci z chmury, na przykład z powodu problemu z niedopasowanym obiektem po synchronizacji z łącznika usług katalogowych, użytkownicy mogą zostać odzyskani. Jeśli zauważyłeś niedopasowane obiekty lub zauważyłeś, że użytkownicy zostali usunięci, możesz być w stanie je odzyskać, jeśli zachowasz się szybko.
Użytkownicy są oznaczani jako nieaktywni w Control Hub, gdy odpowiednie konta zostaną usunięte z usługi Active Directory. Usługa chmury w tle zachowuje użytkowników przez maks. 7 dni. W tym okresie nadal będzie można korzystać z łącznika usług katalogowych Cisco do odzyskiwania użytkowników. Zalecamy jak najszybsze odzyskanie tych użytkowników.
Użytkownicy wyłączeni w usłudze Active Directory są również oznaczani jako nieaktywni w portalu Control Hub, ale konto użytkownika nie zostanie usunięte po 7 dniach.
| 1 |
Zaloguj się do centrum sterowania. |
| 2 |
Przejdź do opcji Użytkownicy i potwierdź, czy określone konto użytkownika jest w stanie Nieaktywne, czy nie jest wymienione na liście. Aby uzyskać więcej informacji, zobacz Stany i czynności użytkowników w Control Hub. |
| 3 |
Jeśli użytkownicy zostali usunięci w Control Hub lub zauważysz użytkowników w stanie nieaktywnym, przejdź do usługi Active Directory, dodaj brakujące konta użytkowników, a następnie wykonaj synchronizację przebiegu próbnego w łączniku usług katalogowych. Celem łącznika usług katalogowych jest stworzenie dokładnego dopasowania informacji o użytkownikach w usłudze Active Directory i w chmurze. |
| 4 |
Wykonaj pełną synchronizację, aby ponownie zsynchronizować tymczasowo usunięte konta użytkowników z Control Hub. Nastąpi odzyskanie użytkowników i przejście do stanu pierwotnego, w tym stanu konta i przypisań usług. |
Co zrobić dalej
Wróć do usługi Control Hub, wybierz kolejno opcje i upewnij się, że wcześniej usunięte konta użytkowników pojawiają się na liście użytkowników.
Trwałe usuwanie użytkowników po usunięciu programowym
Po wykonaniu przebiegu próbnego można zdecydować się na trwałe usunięcie użytkowników, którzy zostali miękko usunięci podczas następnej synchronizacji.
| 1 |
Po zakończeniu przebiegu próbnego wybierz pozycję Obiekty usunięte programowo. |
| 2 |
Zaznacz pole wyboru obok użytkowników, których chcesz usunąć. |
| 3 |
Wybierz opcję Gotowe. |
Co zrobić dalej
Podczas następnej synchronizacji zaznaczeni użytkownicy zostaną trwale usunięci.
Zmienianie adresu e-mail aplikacji Webex
Jeśli chcesz zmienić adresy e-mail użytkowników, a Twoja organizacja korzysta z Directory Connector, zmień te adresy e-mail w usłudze Active Directory. Ta procedura obejmuje sposób zmiany adresu e-mail aplikacji Webex dla pojedynczej domeny oraz proces zmiany domeny.
Jeśli chcesz zmienić adres e-mail lub jakąś wartość tylko dla jednego użytkownika, nie usuwaj go z usługi Active Directory, a następnie odtwórz nowy przy użyciu tego samego adresu e-mail. Chmura interpretuje tę czynność jako nowe konto użytkownika, a obszary użytkownika i inne dane w chmurze zostaną utracone.
Directory Connector nie ogranicza zmiany domeny e-mail. Jednak gdy użytkownik ponownie zsynchronizuje się z chmurą, stan użytkownika jest zależny od tego, czy nowa domena jest zweryfikowana w organizacji. Jeśli domena nie jest zweryfikowana w organizacji, stan użytkownika zmieni się na Oczekiwanie po pełnej synchronizacji. Aby uzyskać więcej informacji, zobacz Zarządzanie swoimi domenami.
Jeśli Twoja organizacja nie korzysta z łącznika usług katalogowych, adresy e-mail aplikacji Webex można zmienić na stronie ustawień konta. Aby uzyskać informacje na temat kroków, które użytkownicy mogą wykonać, aby zmienić swoje adresy e-mail, zobacz Zmiana adresu e-mail konta .
Zmiana domeny Active Directory
Ta procedura służy do tworzenia nowych domen i adresów e-mail. Są one synchronizowane z usługą tożsamości w chmurze.
| 1 |
Skonfiguruj nową domenę usługi Active Directory (AD). |
| 2 |
Wyłącz synchronizacje we wszystkich konektorach. |
| 3 |
Odinstaluj wszystkie łączniki. |
| 4 |
Otwórz sprawę, aby zmienić domenę. W zgłoszeniu sprawy poproś o usunięcie konfiguracji domeny i wszystkich atrybutów synchronizacji w organizacji. Przed otwarciem sprawy w celu zmiany domeny upewnij się, że nie uruchomiono synchronizacji. Nie zmieniaj żadnych adresów e-mail użytkowników w usłudze Active Directory, dopóki sprawa nie zostanie rozwiązana. |
| 5 |
Po rozstrzygnięciu sprawy: Przed wykonaniem rzeczywistej synchronizacji uruchom test z łącznikiem usług katalogowych. |
Roszczenie do domeny
Roszczenie o domenę pojawia się, jeśli zgłaszasz prawa do domeny e-mail dla organizacji, aby dowolne konto dołączone było tworzone w płatnej organizacji klienta, a nie w bezpłatnej organizacji konsumenckiej. Prawo do domeny można zgłosić tylko w przypadku pomocy technicznej (więcej informacji można znaleźć pod poniższym linkiem).
Jeśli Directory Connector jest aktywny, a domena została zgłoszona, konta współbieżne nie są tworzone ani w organizacji klienta, ani w bezpłatnej organizacji konsumenckiej. Tylko Directory Connector może aprowizować konta organizacji z usługi Active Directory. Informacje przechowywane w usłudze Active Directory są oryginalnym źródłem. Podczas próby dołączenia konta zaproszony użytkownik otrzyma błąd. Jedynym sposobem, w jaki zaproszony użytkownik może zostać dodany do obszaru aplikacji Webex, jest najpierw użycie łącznika usług katalogowych w celu zainicjowania obsługi konta w Control Hub.
Konwertowanie użytkowników bezpłatnej aplikacji Webex w organizacji zsynchronizowanej z katalogami
Można używać wyłącznie unikatowych adresów e-mail w katalogu aplikacji Webex. Jeśli Twoi użytkownicy zarejestrowali się w bezpłatnej wersji aplikacji Webex, ich konto istnieje w bezpłatnej organizacji konsumenckiej. Aby zarządzać użytkownikami w tej organizacji przy użyciu łącznika usług katalogowych, przed włączeniem łącznika usług katalogowych należy przeprowadzić migrację (przekonwertować) ich do organizacji klienta. Następnie dodajesz użytkowników do usługi Active Directory przy użyciu dokładnego adresu e-mail, a następnie synchronizujesz je z chmurą.
Jeśli nie przekonwertujesz kont przed aktywacją, wyłącz łącznik usług katalogowych, aby je przekonwertować.
Jeśli próbujesz przekonwertować użytkownika, gdy synchronizacja katalogu jest włączona, nie można przekonwertować komunikatu o błędzie . Aby uniknąć problemu, możesz wykonać poniższe czynności jako obejście.
Niektórzy zgłoszeni użytkownicy mogą wyświetlić się z atrybutem movedfrom podczas uruchamiania próbnego. Ci użytkownicy będą na liście Usunięty obiekt zamiast MismatchedObject. Musisz dodać tych użytkowników do listy AD, jeśli chcesz przenieść ich do swojej organizacji.
Jeśli nie dodasz tych użytkowników, wszyscy zostaną usunięci obok Ciebie zsynchronizowani z chmurą.
| 1 |
Wyłącz synchronizację katalogu z łącznika usług katalogowych. |
| 2 |
Postępuj zgodnie z procedurą Konwertuj użytkowników bez licencji w Control Hub , aby przekonwertować użytkownika z bezpłatnej organizacji konsumenckiej na organizację firmową. Ten krok dodaje użytkownika do organizacji, a konto pojawi się w Control Hub. Łącznik usług katalogowych sprawia, że Active Directory jest jedynym źródłem prawdy dla kont użytkowników, a celem jest dokładne dopasowanie usług Active Directory i Control Hub. Przed ponownym włączenia synchronizacji upewnij się, że w usłudze Active Directory są pasujący użytkownicy dla wszystkich ostatnio przekonwertowanych użytkowników. Synchronizacja Suchego Przebiegu może być użyta, aby upewnić się, że nie ma już niezrównanych użytkowników. |
| 3 |
W konektorze usług katalogowych wykonaj synchronizację przebiegu próbnego. Po zakończeniu prowadzenia na sucho sprawdź kartę Dodaj obiekty. Sprawdź, czy przekonwertowani użytkownicy nie zostaną usunięci. Przed ponownym włączeniem synchronizacji należy wykonać przebieg próbny, aby upewnić się, że wszystkie skonwertowane konta użytkowników pojawiają się w usłudze Active Directory. Jeśli włączysz synchronizację, a konta znajdują się tylko w Control Hub, Łącznik usług katalogowych rozróżnia wielkość liter i usunie skonwertowanych użytkowników, których wykryje z niedopasowanymi adresami e-mail (na przykład user1@example.com i User1@example.com). Jeśli którykolwiek z skonwertowanych użytkowników zostanie usunięty, tracą oni wszystkie obszary aplikacji Webex. |
| 4 |
Jeśli masz pewność, że następna synchronizacja nie usunie żadnych kont, włącz ponownie synchronizację katalogu z łączników usług katalogowych. |
Przekonwertowane konta użytkowników nie są aktywowane automatycznie, jeśli domena nie została zweryfikowana. Jeśli na przykład włączono szablon automatycznego przypisywania licencji, a następnie włączono Łącznik usług katalogowych bez weryfikacji domeny, skonwertowani użytkownicy są nieaktywni w zapleczu chmury, dopóki nie potwierdzą swoich adresów e-mail.
Boczne konta użytkowników aplikacji Webex
Gdy zaprosisz innego użytkownika do obszaru w aplikacji Webex, jeśli zaproszony użytkownik nie ma konta aplikacji Webex, zostanie dla niego utworzone konto („współdzielone”). Domyślnie konta utworzone w ten sposób są dodawane do bezpłatnej organizacji konsumenckiej.
Jeśli chcesz zarządzać kontem dołączonym przy użyciu Directory Connector, musisz przekonwertować konto.
Zmiana formatu nazwy użytkownika aplikacji Webex po synchronizacji katalogu
Domyślnie łącznik usług katalogowych mapuje atrybut displayName w usłudze Active Directory na atrybut displayName w chmurze.
Po wykonaniu synchronizacji katalogu może okazać się, że nazwy użytkowników są wyświetlane w formacie .
Ta nazwa użytkownika może być wyświetlana, jeśli atrybut displayName w usłudze Active Directory jest skonfigurowany w ten sposób. Gdy atrybut jest mapowany na displayName w chmurze, nazwy są wyświetlane w formacie w Control Hub.
Aby zmienić format, na ekranie mapowania atrybutów łącznika usług katalogowych: mapuje atrybut usługi Active Directory givenName sn (lub sn givenName) na displayName w nazwach atrybutów w chmurze Cisco.
Alternatywnie, mapuj atrybut sn givenName na displayName:
Możesz również użyć opcji Dostosuj atrybut, jeśli chcesz zmapować własne wyrażenie atrybutu niestandardowego na displayName.
Na przykład wprowadź givenName + "" + sn (imię, spacja, nazwisko) jako wyrażenie. Spowoduje to mapowanie dwóch atrybutów w usłudze Active Directory na adres displayName w chmurze.
Zezwalaj użytkownikom na zmianę nazw wyświetlanych w spotkaniach Webex
Możesz usunąć mapowanie atrybutu displayName z synchronizowania z chmurą w Łączniku usług katalogowych, jeśli chcesz zezwolić użytkownikom na edycję ich preferowanych nazw wyświetlanych. Użytkownicy mogą wprowadzić nazwę wyświetlaną, która ma być wyświetlana podczas spotkań Webex zamiast swojego imienia i nazwiska. Administratorzy mogą również ręcznie zmienić nazwę wyświetlaną użytkownika w Control Hub.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja , a następnie wybierz pozycjęMapowanie atrybutów użytkownika. |
| 2 |
Wybierz opcję displayName w obszarze Nazwa atrybutu chmury Cisco. |
| 3 |
Wybierz opcję Nie synchronizuj tego atrybutu. |
Co zrobić dalej
Użytkownicy mogą teraz edytować swoje nazwy wyświetlane w witrynie Webex.
Rozwiązywanie problemów z łącznikiem usług katalogowych
Uaktualnij do najnowszej wersji oprogramowania
Aby zapewnić zgodność wdrożenia i uzyskać najnowsze funkcje, funkcjonalności, poprawki błędów i ulepszenia zabezpieczeń, należy zawsze uaktualnić łącznik usług katalogowych do najnowszej wersji. Jeśli nie nastąpi aktualizacja do najnowszej dostępnej wersji, mogą wystąpić problemy, takie jak brak prawidłowej synchronizacji łącznika usług katalogowych lub uruchomienie wersji, która nie obsługuje obowiązkowego wymagania TLS 1.2.
Directory Connector automatycznie powiadamia o dostępności nowej wersji. Zawsze uaktualniaj do najnowszej wersji, aby uniknąć problemów. Na pasku zadań systemu Windows wyświetlane jest również powiadomienie.
Chociaż można ręcznie zainstalować aktualizacje oprogramowania łącznika, zalecamy wykonanie czynności opisanych w części Ustawianie automatycznych uaktualnień , aby umożliwić aplikacji automatyczne zarządzanie uaktualnieniami.
| 1 |
Aby rozpocząć proces uaktualniania, kliknij powiadomienie na pasku zadań systemu Windows lub kliknij prawym przyciskiem myszy ikonę Łącznik usług katalogowych na pasku zadań systemu Windows. |
| 2 |
Postępuj zgodnie z instrukcjami, aby wykonać uaktualnienie. |
| 3 |
Uruchom ponownie łącznik i zaloguj się przy użyciu poświadczeń administratora. |
| 4 |
Sprawdź numer wersji oprogramowania w sekcji . |
Co zrobić dalej
Aby przeprowadzić nową instalację łącznika usług katalogowych, można pobrać plik zip , a następnie wykonać czynności instalacji opisane w tym podręczniku.
Konfigurowanie ustawień ogólnych dla Directory Connector
Ta procedura służy do konfigurowania ustawień ogólnych, takich jak nazwa serwera obsługującego Łącznik usług katalogowych, poziomy dzienników, automatyczne uaktualnienia i preferowane ustawienia kontrolerów domen. Nazwa łącznika jest wyświetlana na pulpicie nawigacyjnym w sekcji łączniki wraz z innymi działającymi łącznikami.
| 1 |
W Directory Connector przejdź do sekcji Konfiguracja, a następnie kliknij przycisk General (Ogólne). |
| 2 |
W polu Nazwa łącznika wprowadź nazwę łącznika. To pole zawiera tylko nazwę komputera, na którym obecnie działa łącznik. |
| 3 |
Wybierz poziom dziennika z listy rozwijanej. Domyślnie poziom dziennika jest ustawiony na informacje. Dostępne poziomy dziennika są następujące:
Te ustawienia mają wpływ na wysyłany pocztą e-mail raport synchronizacji. Jeśli ustawisz poziom dziennika na Błąd, w raporcie synchronizacji będą zgłaszane tylko błędy. Jeśli nie istnieją błędy, raport synchronizacji nie zostanie wysłany. Zmień ustawienie na Informacje, a następnie po pełnej synchronizacji będą wyświetlane raporty synchronizacji. (Należy pamiętać, że w przypadku synchronizacji przyrostowej nie są wysyłane żadne raporty, jeśli nie zgłoszono żadnych błędów). |
| 4 |
Wybierz preferowane kontrolery domen , aby ustawić kolejność kontrolerów domen do synchronizowania tożsamości. Dostęp do kontrolerów domeny odbywa się od góry do dołu. Jeśli górny kontroler jest niedostępny, wybierz drugi kontroler z listy. Jeśli na liście nie ma żadnego kontrolera, można uzyskać dostęp do głównego kontrolera. |
| 5 |
Zaznacz opcję Automatycznie uaktualnij do nowej wersji Cisco Directory Connector , jeśli chcesz dokonać automatycznych uaktualnień. Zawsze ważne jest, aby oprogramowanie Cisco Directory Connector było aktualne do najnowszej wersji. Zalecamy sprawdzenie tego ustawienia, aby umożliwić cichą instalację automatycznych aktualizacji oprogramowania, gdy jest dostępne. |
| 6 |
Zaznacz opcję LDAP przez SSL , aby używać bezpiecznego protokołu LDAP (LDAPS) jako protokołu połączenia. Jeśli nie zaznaczysz opcji LDAP przez SSL, łącznik usług katalogowych nadal będzie używał protokołu połączeń LDAP. Protokół połączeń LDAP (Lightweight Directory Application Protocol) i Secure LDAP (LDAPS) to protokoły połączeń używane między aplikacją a kontrolerem domeny w ramach infrastruktury. Komunikacja LDAPS jest szyfrowana i zabezpieczona. |
Skonfiguruj zasady łączników
Możesz ustawić maksymalną liczbę usunięć, które mogą wystąpić podczas synchronizacji. Uruchomiona synchronizacja nie usuwa obiektów z lokalnej usługi Active Directory. Wszystkie obiekty są usuwane tylko z chmury.
Na przykład ustawiono 1 jako wartość wyzwalacza progu usunięcia. Jeśli podczas synchronizacji pełnej lub przyrostowej liczba użytkowników, których chcesz usunąć, jest większa niż wartość ustawienia, łącznik usług katalogowych wyświetla ostrzeżenie. Jeśli klikniesz Zastąp próg, możesz pomyślnie rozpocząć synchronizację przyrostową lub pełną, ale przy następnym uruchomieniu zasad zobaczysz to powiadomienie o zastąpieniu.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja, a następnie wybierz pozycję Zasady. |
| 2 |
Zaznacz pole Włącz usuwanie wyzwalacza progu , jeśli chcesz dodać wyzwalacz progu. Wybranie tej opcji wyzwala alert, jeśli liczba usunięć przekroczy próg. Gdy konto usuwania przekracza wartość zdefiniowaną, synchronizacja nie powiedzie się.
|
| 3 |
Wprowadź maksymalną liczbę żądanych usunięć. Wartość domyślna to 20. Zalecamy, aby nie zwiększać wartości domyślnej. |
| 4 |
Kliknij przycisk Zastosuj. |
Ustaw harmonogram łącznika
Ustaw czas synchronizacji w usłudze Active Directory. Przełączenie awaryjne służy do zapewnienia wysokiej dostępności (HA). Jeśli jedno złącze nie działa, przełączamy się na inne złącze rezerwowe po wstępnie zdefiniowanym interwale.
| 1 |
W Directory Connector kliknij pozycję Konfiguracja, a następnie wybierz pozycję Harmonogram. |
| 2 |
Określ Interwał synchronizacji przyrostowej w minutach. Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut. Pełna synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji. |
| 3 |
Jeśli chcesz zmienić częstotliwość wysyłania raportów, zmień wartość Wysyłaj raporty według czasu . |
| 4 |
Zaznacz opcję Włącz harmonogram pełnej synchronizacji , aby określić dni i godziny, w których ma nastąpić pełna synchronizacja. |
| 5 |
Określ interwał przełączania awaryjnego w minutach. |
| 6 |
Kliknij przycisk Zastosuj. |
Scenariusze wielu domen
Wiele domen jest opartych na priorytecie domeny. W przypadku obiektów, które mają tę samą wartość klucza w różnych domenach, po synchronizacji dane z domeny o wyższym priorytecie ponownie zapisują dane z domeny o niższym priorytecie.
Obiekty o tej samej wartości klucza są połączone w jeden rekord w bazie danych.
Wartością klucza w przypadku „Użytkownik” jest Adres e-mail, natomiast wartością klucza w przypadku „Grupa” jest Nazwa grupy.
Przykładowy przypadek użycia dla wielu domen
W tym przykładzie założono organizację z dwiema domenami — example1.com i example2.com, w kolejności priorytetów.
-
Dodaj użytkownika 1 (e-mail: użytkownik@przyklad1.com) do usługi Active Directory z przyklad1.com.
-
Dodaj grupę1 (nazwa grupy: Testuj) do usługi Active Directory example1.com.
-
Dodaj użytkownika 2 (e-mail: użytkownik@przyklad2.com) do usługi Active Directory na stronie przyklad2.com.
-
Dodaj grupę2 (nazwa grupy: Testuj) w usłudze Active Directory example2.com.
- Synchronizacja na przykładzie1.com
-
W przypadku użycia użytkownicy2 i group2 są zsynchronizowani z chmurą i wyświetlani w menu https://admin.webex.com, podczas gdy user1 i group1 nie są.
Jeśli na przykład wykonasz synchronizację pełną lub przyrostową 1.com, użytkownik1 i group1 zostaną zsynchronizowane. Ponadto użytkownicy2 i group2 są zastępowane informacjami o użytkowniku1 i group1.
Użytkownik1 łączy użytkownika2 z tym samym rekordem w bazie danych; group1 łączy group2 z tym samym rekordem w bazie danych.
- Synchronizacja w przykładzie1.com i przykładzie2.com
-
W przypadku użycia użytkownicy2 i group2 są zsynchronizowani z chmurą i wyświetlani w menu https://admin.webex.com, podczas gdy user1 i group1 nie są.
Należy rozważyć następujące czynności:
- Usuń użytkownika1 i grupę1 z usługi Active Directory, na przykład1.com.
- Wykonaj synchronizację pełną lub przyrostową, na przykład 1.com.
Wynik: informacje o użytkowniku nie zostały zmienione w sekcji https://admin.webex.com. Użytkownik2 nie jest połączony z użytkownikiem1, a grupa2 nie jest połączona z grupą1.
- Wykonaj synchronizację przyrostową, na przykład 2.com.
Wynik: informacje o użytkowniku nie zostały zmienione w sekcji https://admin.webex.com.
- Wykonaj pełną synchronizację na przykład 2.com.
Wynik: Informacje o użytkownikach2 i grupie2 są wyświetlane w sekcji https://admin.webex.com.
Synchronizowanie nowej domeny I zachowywanie istniejącej domeny
Jeśli chcesz zsynchronizować nową domenę (B) przy jednoczesnym utrzymaniu zsynchronizowanych danych użytkownika w innej istniejącej domenie (A), upewnij się, że zainstalowano synchronizację łącznika usług katalogowych dla domeny (B) na obsługiwanym serwerze Windows. Konektor łączy się z nową domeną po początkowej konfiguracji, a informacje o użytkowniku w domenie (A) pozostają niezmienione.
Każda domena musi mieć własny aktywny łącznik. Rozważ dwie domeny z następującą konfiguracją: domena A z łącznikami (ca1) i (ca2) dla lokalnej wysokiej dostępności (HA); domena B z łącznikiem (cb1). (ca1)i (ca2) obsługują domenę A. W tym scenariuszu jeden łącznik jest aktywny, a drugi jest w trybie gotowości (HA). W tym projekcie domena jest zsynchronizowana, ponieważ jeden łącznik jest zawsze aktywny. Tak więc cb1 jest aktywnym łącznikiem dla domeny B, ponieważ domena A ma już aktywny łącznik (ca1 lub ca2).
Ustawianie priorytetu domeny
Ta procedura umożliwia zmianę priorytetu domen Active Directory. Priorytet domeny pozwala określić domenę podstawową, domenę dodatkową itd. Pomaga to, gdy dwóch użytkowników z dwóch różnych domen ma tę samą wartość e-mail zsynchronizowaną z jedną organizacją.
Nie należy korzystać z tej procedury, jeśli w łączniku usług katalogowych jest widoczna jedna domena. Jeśli spróbujesz, łącznik wyświetli komunikat z informacją, że priorytet domeny nie jest wymagany.
Przed rozpoczęciem
Aby uniknąć błędów, zainstaluj lub zaktualizuj łącznik usług katalogowych Cisco do najnowszej wersji. Należy ją pobrać z https://admin.webex.com.
| 1 |
W łączniku usług katalogowych Cisco kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Ustaw priorytet domeny. |
| 3 |
Zaznacz jedną domenę na liście, kliknij przycisk W górę lub W dół, aby zmienić priorytet tej domeny, a następnie kliknij przycisk Zapisz , aby zapisać tę zmianę. Domeny są posortowane według priorytetu od góry do dołu. |
Przełącz domeny
Ta procedura umożliwia ponowne powiązanie łącznika usług katalogowych Cisco z inną domeną.
Przed rozpoczęciem
-
Przed przełączeniem domen upewnij się, że nie są uruchomione żadne zadania synchronizacji.
-
Aby uniknąć błędów, zainstaluj lub zaktualizuj łącznik usług katalogowych Cisco do najnowszej wersji. Należy go pobrać z Control Hub.
| 1 |
W łączniku usług katalogowych Cisco kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Przełącz domenę. |
| 3 |
Jeśli rozumiesz wpływ tej zmiany na Twoje wdrożenie po przeczytaniu przestrogi, a mimo to masz pewność, kliknij przycisk Tak. Po przełączeniu domeny nastąpi wylogowanie z bieżącego łącznika usług katalogowych Cisco, inne domeny w łączniku zostaną wyrejestrowane, a informacje o łączniku na tym komputerze zostaną usunięte. |
| 4 |
Zaloguj się ponownie do łącznika usług katalogowych Cisco i ponownie powiąż domenę. |
Wyłącz synchronizację katalogu
Jeśli musisz zatrzymać synchronizację z łącznika usług katalogowych, możesz ją tymczasowo wyłączyć w Control Hub.
| 1 |
W widoku klienta na stronie https://admin.webex.com wybierz kolejno pozycje , przewiń do pozycji Synchronizacja katalogu i wybierz jedną z nich:
|
| 2 |
Po przeczytaniu monitu kliknij opcję Wyłącz. Synchronizacja zatrzymuje się do czasu ponownego włączenia jej z poziomu łącznika usług katalogowych. |
Usuń mapowanie atrybutów użytkownika
Użyj łącznika usług katalogowych, aby usunąć mapowanie atrybutów Active Directory wcześniej zmapowanych do chmury i zsynchronizowanych z Webex. Po usunięciu mapowania atrybutów wartości atrybutów zostaną usunięte z chmury i nie będą już synchronizowane z usługą Webex. Wartości te można następnie edytować ręcznie.
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Narzędzia > Usuń mapowanie atrybutów użytkownika . |
| 3 |
Wybierz mapowanie, które chcesz usunąć z listy Nazwa atrybutu . |
| 4 |
W obszarze Zakres użytkownika, którego to dotyczy, wybierz jedną z następujących opcji:
|
| 5 |
Kliknij przycisk Zastosuj. |
Zarządzaj zdjęciami profilowymi
Użyj łącznika usług katalogowych, aby zaktualizować zdjęcia profilowe użytkownika lub usunąć puste zdjęcia profilowe użytkownika.
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania , a następnie kliknij kolejno opcje. |
| 3 |
W obszarze Czynności wybierz jedną z następujących opcji:
|
| 4 |
Kliknij przycisk Zastosuj. |
Odinstaluj i dezaktywuj łącznik usług katalogowych
Po odinstalowaniu wystąpienia łącznika usług katalogowych należy je wyrejestrować. Całkowicie usuń łącznik usług katalogowych dla każdego z poniższych scenariuszy:
-
Nie chcesz już korzystać z synchronizacji katalogu.
-
Nie chcesz korzystać z jednego z wielu łączników usług katalogowych (wysoka dostępność).
-
Chcesz zmienić domenę i zainstalować inny łącznik.
Przed rozpoczęciem
-
W systemie może być skonfigurowanych wiele wystąpień łącznika usług katalogowych dla wysokiej dostępności (HA) lub wielu synchronizacji domen. Wyłącz synchronizację, jeśli odinstalowujesz jedyne lub ostatnie pozostałe wystąpienie łącznika usług katalogowych.
-
Przed odinstalowaniem łącznika usług katalogowych zapisz i zamknij wszystkie ważne prace.
| 1 |
Na komputerze z systemem Windows przejdź do Panelu sterowania, a następnie kliknij pozycję Programy i funkcje. |
| 2 |
Z listy programów kliknij pozycję Łącznik usług katalogowych, wybierz pozycję Odinstaluj, a następnie postępuj zgodnie z monitami. Aby dokończyć odinstalowanie, może być konieczne ponowne uruchomienie systemu. |
| 3 |
W widoku klienta na stronie https://admin.webex.com wybierz kolejno pozycje , przewiń do pozycji Synchronizacja katalogu, kliknij pozycję Więcej |
| 4 |
Po przeczytaniu monitu kliknij opcję Dezaktywuj. Jeśli w środowisku o wysokiej dostępności (HA) nie ma innego łącznika usług katalogowych, konta użytkowników nie są już synchronizowane. |
Uruchamianie narzędzia diagnostycznego
Do rozwiązania problemów z wdrożeniem łącznika usług katalogowych można użyć wbudowanego narzędzia diagnostycznego. Narzędzie to jest instalowane jako część łącznika usług katalogowych w wersji 3.4.
Jeśli synchronizacja nie działała prawidłowo, może wystąpić błąd konfiguracji lub sieci. To narzędzie testuje połączenie z LDAP, dzięki czemu możesz samodzielnie zdiagnozować błędy przed skontaktowaniem się z pomocą techniczną. Jeśli narzędzie zwróci jakikolwiek błąd, można wysłać szczegółowe wyniki dziennika do obsługi.
-
Aby uruchomić testy usług domeny Active Directory:
-
Aby uruchomić testy usług katalogowych Active Directory:
-
Aby uruchomić testy protokołu Lightweight Directory Access Protocol (LDAP):
Rozwiązywanie problemów z łącznikiem usług katalogowych Ciso
Rozwiązywanie problemów i poprawki dotyczące łącznika usług katalogowych
W łączniku usług katalogowych może pojawić się komunikat o błędzie lub inny problem. Ponadto, po zsynchronizowaniu przez łącznik usług katalogowych informacji o użytkownikach, łącznik może wysłać Ci raport e-mail z listą wszelkich problemów z synchronizacją. Informacje o występujących problemach, ich możliwych przyczynach i proponowanych rozwiązaniach można znaleźć w poniższych sekcjach.
Instaluj
Łącznik usług katalogowych przestał działać
Otrzymano wiadomości e-mail z powiadomieniem, że Twój łącznik usług katalogowych nie działa.
-
Łącznik usług katalogowych może nie być poprawnie zainstalowany.
-
Łącznik usług katalogowych może nie być uruchomiony.
-
Sieć może być niedostępna.
Wykonaj następujące czynności:
-
Otwórz . Odszukaj łącznik usług katalogowych. Jeśli go tam nie ma, pobierz najnowszą wersję z Control Hub i zainstaluj ją.
-
Otwórz usługę i znajdź usługę Cisco DirSync. Upewnij się, że wyświetlany jest stan Rozpoczęte. Jeśli usługa jest zatrzymana, kliknij prawym przyciskiem myszy i wybierz opcję Rozpocznij, aby ponownie uruchomić usługę.
-
Upewnij się, że serwer, na którym zainstalowano łącznik usług katalogowych, ma dostęp do Internetu.
Błąd ponownej instalacji
Problem — jeśli natychmiast zainstalujesz nowy łącznik po odinstalowaniu starego, może zostać wyświetlony komunikat o błędzie.
Możliwa przyczyna — w systemie Windows Server 2012 odinstalowywanie klienta wymaga czasu na usunięcie konta usługi z listy usług.
Rozwiązanie — po pewnym czasie spróbuj zainstalować ponownie.
Zaloguj
Łącznik usług katalogowych ulega awarii podczas logowania SSO
Problem
Po wprowadzeniu adresu e-mail ze strony logowania jednokrotnego może się zawiesić Łącznik usług katalogowych.
Rozwiązanie
Wykonaj następujące czynności:
Wykonaj poniższe czynności, aby skonfigurować zasady nowej grupy:
-
Przejdź do kontrolera domeny i otwórz Zarządzanie zasadami grupy (gpedit.msc).
-
Kliknij prawym przyciskiem myszy określony OU lub domenę, a następnie wybierz opcję Utwórz GPO w tej domenie, a następnie Połącz go tutaj
-
Nadaj nazwę zasadom, a następnie kliknij prawym przyciskiem myszy i wybierz opcję Edytuj.
Wykonaj poniższe czynności, aby zmienić zasady na poziomie maszyny:
-
Przejdź do , kliknij prawym przyciskiem myszy pozycję Rejestr, wybierz opcję Nowy, a następnie Element rejestru.
-
W polu Ścieżka klucza wprowadź lub przejdź do HKEY_LOCAL_\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Wprowadź
Disable Script Debuggerdla wartości i wprowadźNiedla danych wartości.Ustawienia powinny być zgodne z tym zrzutem ekranu:
Aby zmienić zasady na poziomie użytkownika, wykonaj następujące czynności:
-
Przejdź do , kliknij prawym przyciskiem myszy pozycję Rejestr, wybierz opcję Nowy, a następnie Element rejestru.
-
W polu Ścieżka klucza wprowadź lub przejdź do HKEY_BIEŻĄCY_UŻYTKOWNIK\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Wprowadź
Disable Script Debuggerdla wartości i wprowadźNiedla danych wartości.Ustawienia powinny być zgodne z tym zrzutem ekranu:
Zmiany wchodzą w życie po uruchomieniu gpupdate /force, ponownym uruchomieniu maszyny (w przypadku zmian maszyny) lub ponownym zalogowaniu użytkownika (w przypadku zmian użytkownika).
Nie można zarejestrować łącznika usług Cisco DirSync
Problem
Logowanie nie powiedzie się i pojawia się następujący komunikat: „Nie można zarejestrować łącznika usług Cisco DirSync”.
Rozwiązanie
System Windows, w którym zainstalowany jest łącznik usług katalogowych, musi być członkiem usługi Active Directory.
Nie pojawia się strona logowania
Problem
Otwarto łącznik usług katalogowych, a strona logowania nie została wyświetlona.
Rozwiązanie
Wykonaj następujące czynności:
-
W programie Internet Explorer przejdź do obszaru https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Wypróbuj to łącze w innych przeglądarkach, takich jak Chrome i Firefox.
-
Jeśli program Internet Explorer nie może odwiedzić łącza, ale inne przeglądarki mogą, sprawdź ustawienia programu Internet Explorer i zaznacz pola wyboru TLS 1.1 i 1.2. (Użyj procedury Włącz TLS w przeglądarce Internet Explorer ).
Pojawi się monit o zalogowanie
Problem
Zostanie wyświetlony monit z prośbą o podanie nazwy użytkownika i hasła w celu przejścia uwierzytelniania.
Możliwa przyczyna
Łącznik usług katalogowych cicho uzupełnia uwierzytelnianie zabezpieczeń NTLM kontem logowania. Jeśli uwierzytelnienie się nie powiedzie, zostanie wyświetlone okno dialogowe z prośbą o nazwę użytkownika i hasło uwierzytelniania.
Rozwiązanie
Gdy pojawi się okno podręczne logowania, w celu zapewnienia bezpieczeństwa należy podać prawidłowe konto z poprawnym uwierzytelnieniem.
Nie można połączyć się ze zdalnym serwerem
Problem
W trakcie normalnej pracy pojawia się komunikat o błędzie "Nie można połączyć się ze zdalnym serwerem".
Możliwa przyczyna
Mogą wystąpić problemy z serwerem proxy, które trzeba rozwiązać.
Rozwiązanie
Więcej informacji na temat rozwiązywania problemów z logowaniem do konta usługi zawiera temat Rozwiązywanie problemów z logowaniem do konta usługi.
Nie można zarejestrować łącznika
Problem
Zostanie wyświetlony komunikat o błędzie „Nie można zarejestrować łącznika. Wystąpił ogólny wyjątek”.
Możliwa przyczyna
W większości przypadków problem jest taki, że łącznik usług katalogowych nie ma uprawnień do łączenia się z kontekstem głównym LDAP.
Rozwiązanie
Wykonaj następujące czynności:
-
Uruchom monit z poleceniem (cmd), a następnie wprowadź ldp.exe.
-
Kliknij kolejno opcje , wybierz opcję Powiązanie jako aktualnie zalogowanego użytkownika, a następnie kliknij przycisk OK.
-
Kliknij kolejno opcje i wprowadź DC=arbonneintl,DC=ad jako BaseDN, a następnie kliknij OK.
-
Jeśli problem będzie nadal występował, otwórz sprawę w dziale pomocy technicznej.
Synchronizacja
Awatary niezsynchronizowane
Problem
Łącznik usług katalogowych Cisco synchronizował dane użytkowników AD z chmurą Webex. Nie zsynchronizowano jednak żadnych danych awatara.
Możliwa przyczyna
Jeśli ponownie użyłeś istniejącego serwera awatara, a awatary użytkowników zostały już zsynchronizowane, lokalna pamięć podręczna przechwytuje je i zapobiega ponownemu wysyłaniu, aby oszczędzać przepustowość.
Rozwiązanie
Usuń lokalną pamięć podręczną, wykonując następujące czynności:
-
Przejdź do C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Usuń DirSyncPluginAvatar.dll-cache.bin.
-
Uruchom ponownie synchronizację awatara z poziomu łącznika usług katalogowych Cisco.
Sprzeczne konta e-mail użytkowników
Problem
Wyniki synchronizacji mogą wskazywać sprzeczne konta e-mail użytkowników.
-
Jeśli użytkownicy wypróbowali bezpłatną wersję aplikacji Webex, ich adresy e-mail znajdują się w bezpłatnej organizacji konsumenckiej.
-
Czy adresy e-mail użytkowników były kiedykolwiek synchronizowane w innej organizacji.
-
jeśli adresy e-mail użytkowników istnieją w wielu domenach należących do organizacji.
Rozwiązanie
Wykonaj następujące czynności:
-
Jeśli próbujesz zgłosić użytkowników, wykonaj następujące czynności:
-
Upewnij się, że zweryfikowano domenę w Control Hub.
-
Całkowicie wyłącz łącznik usług katalogowych Cisco.
-
Użyj opcji Zgłoś użytkownika w Control Hub, aby zgłosić wszystkie konta, które mogą istnieć w bezpłatnej organizacji konsumenckiej. Aby uzyskać więcej informacji, zobacz Zgłaszanie użytkowników do organizacji (konwertowanie użytkowników) .
-
Przeprowadź przebieg próbny w łączniku usług katalogowych Cisco, a następnie ponownie włącz synchronizację katalogów
-
-
W ostatnim przypadku należy dwukrotnie sprawdzić dane użytkowników ze źródeł usługi Active Directory.
Skonwertowany użytkownik oznaczony jako nieaktywny
Problem
W środowisku zsynchronizowanym z katalogiem przekonwertowano użytkownika bezpłatnego (organizacji konsumenckiej) na organizację firmową, ale przekonwertowany użytkownik nie może zalogować się do aplikacji Webex.
Możliwa przyczyna
Gdy użytkownik bezpłatny zostanie przekonwertowany na organizację firmową, jest on oznaczany jako nieaktywny przez 30 dni jako środek dotyczący zgodności z przepisami bezpieczeństwa. W tym okresie użytkownik nie może zalogować się do aplikacji Webex i jest oznaczany do usunięcia po upływie 30-dniowego okresu. Wynika to z faktu, że informacje o użytkowniku w wersji bezpłatnej nie znajdują się w usłudze Active Directory.
Rozwiązanie
Musisz podjąć działania, jeśli nie chcesz usunąć konta użytkownika. Aby rozwiązać ten problem, utwórz konto użytkownika w usłudze Active Directory w siedzibie, które odpowiada skonwertowanemu bezpłatnemu konwertowanemu kontowanemu koncie użytkownika. Następnie wykonaj synchronizację z poziomu łącznika usług katalogowych Cisco. Wówczas użytkownik będzie mógł ponownie zalogować się do aplikacji Webex, a konto nie zostanie usunięte.
Synchronizacja przyrostowa nie powiodła się
Problem
Synchronizacja przyrostowa nie powiodła się.
Ten problem może wystąpić w systemie Windows Server 2008 R2 w następujących warunkach:
-
Obsługiwane są aktualizacje wartości przyrostowych.
-
Używany filtr odwołuje się do atrybutu wartości połączonej.
-
Wartości wyników tego atrybutu były aktualizowane od czasu ostatniej pełnej synchronizacji.
Rozwiązanie
W systemie Windows Server 2008 R2 występuje błąd związany z tym problemem. Błąd został naprawiony w 2012 r2 i później. Zalecamy uaktualnienie serwera Windows do co najmniej 2012 R2.
Nieprawidłowa wartość atrybutu
Problem
W przypadku atrybutu [user dn (nazwa wyróżniająca)] atrybut [nazwa atrybutu] ma następującą nieprawidłową wartość [wartość atrybutu].
Możliwa przyczyna
Dla CN=b,OU=Pracownicy,OU=C Użytkownicy,DC=c,DC=com atrybut [numer telefonu] ma następującą nieprawidłową wartość: +. Ten atrybut musi zawierać co najmniej jedną cyfrę.
Rozwiązanie
Atrybut tego użytkownika nie ma prawidłowej wartości. Napraw wartość zgodnie z opisem w komunikacie ostrzegawczym. Następnie wykonaj inną synchronizację.
Dopasowani użytkownicy do usunięcia
Problem
Dopasowani użytkownicy są oznaczani jako usunięci.
Podczas wykonywania synchronizacji przebiegu próbnego w celu sprawdzenia danych między usługą Active Directory a chmurą, w obu przypadkach może być widoczny ten sam adres e-mail. Użytkownik jest jednak oznaczany jako obiekt, który ma zostać usunięty.
Rozwiązanie
Wybierz odpowiednią poprawkę:
-
Jeśli usunięcie użytkownika i powtórzyć licencje po jego zakończeniu, możesz użyć łącznika usług katalogowych do naprawienia. Wykonaj synchronizację, aby usunąć użytkownika, a następnie wykonaj inną synchronizację, aby zsynchronizować użytkownika z lokalnej usługi AD z chmurą.
-
Jeśli nie możesz usunąć i odtworzyć konta użytkownika, otwórz sprawę w dziale pomocy technicznej.
Brak atrybutu
Problem
Wymagany atrybut [attribute_name] podczas dodawania wpisu lokalnego [user dn (nazwa wyróżniająca)]. Wpis nie zostanie utworzony w Control Hub, dopóki wszystkie wymagane atrybuty nie będą miały wartości.
Możliwa przyczyna
Brak wymaganego adresu e-mail atrybutu. Podczas dodawania wpisu lokalnego [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local] wpis nie zostanie utworzony w Control Hub, dopóki wszystkie wymagane atrybuty nie będą miały wartości.
Rozwiązanie
Brakuje jednego z wymaganych atrybutów użytkownika [user_email_address]. Podaj wymagane wartości dla tego użytkownika.
Grupa zagnieżdżona nie zostanie zsynchronizowana
Problem
Użytkownicy w zagnieżdżonej grupie Active Directory nie są prawidłowo synchronizowani z chmurą.
Możliwa przyczyna
Używany jest filtr zawierający zarówno grupę podrzędną, jak i grupę nadrzędną, co nie jest obsługiwane. Na przykład: (memberof=CN=testgroup1,CN=użytkownicy,DC=rktest2008,DC=org)
Rozwiązanie
Należy ponownie skonfigurować filtr, który synchronizuje grupy. Na przykład: |(memberof=CN=testgroup1,CN=użytkownicy,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=użytkownicy,DC=rktest2008,DC=org)
Konflikt nazewnictwa użytkowników
Problem
Wystąpił konflikt nazw dla [user dn] dla istniejącego obiektu wpisu w chmurze o nazwie: [adres e-mail użytkownika] i typ użytkownika [user_type].
Możliwa przyczyna
Użytkownik o tym adresie e-mail już istnieje w Control Hub.
Rozwiązanie
Utwórz użytkownika w usłudze Active Directory z tym samym adresem e-mail, co konto zarejestrowane w Control Hub.
Control Hub
Brak listy użytkowników w Control Hub
Problem
Jeśli masz organizację Webex z ponad 1000 zsynchronizowanymi użytkownikami, lista użytkowników może nie być widoczna w Control Hub.
Rozwiązanie
Za pomocą funkcji wyszukiwania można znaleźć konto użytkownika. W Control Hub przejdź do strony Użytkownicy, kliknij pozycję Szukaj , a następnie wprowadź kryteria wyszukiwania, aby zlokalizować określonego użytkownika.
Grupy nie zostaną zsynchronizowane z Control Hub
Problem
Użytkownicy w grupie książki adresowej nie będą prawidłowo synchronizowani z Control Hub.
Możliwa przyczyna
Grupa nie jest oznaczona jako isCriticalSystemObject w usłudze Active Directory.
Rozwiązanie
Upewnij się, że atrybut isCriticalSystemObject jest ustawiony na TRUE w Active Directory.
Włącz rozwiązywanie problemów z łącznikiem usług katalogowych
Możesz włączyć rozwiązywanie problemów, aby pomóc zdiagnozować wszelkie błędy napotkane w łączniku usług katalogowych. Rozwiązywanie problemów umożliwia przechwytywanie informacji o ruchu w sieci i zapisywanie ich w pliku.
Pliki dziennika, które są: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Uruchom plik |
| 2 |
Uruchom ponownie usługę. Wskazówki zawiera temat Jak uruchamiać usługi . |
| 3 |
W Łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 4 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Narzędzia > Rozwiązywanie problemów . |
| 5 |
Po włączeniu funkcji rozwiązywania problemów należy powtórzyć czynności, które powodowały błąd. Przechwytuje to dane o ruchu, aby można je było zbadać. |
| 6 |
Sprawdź pliki dzienników: Jeśli plik jest pusty, upewnij się, że konto ma uprawnienia dostępu do usług AD DS lub AD LDS. W folderze dzienników są zapisywane tylko pliki przez ostatnie 3 dni. Zawartość w plikach dziennika jest zgodna z emisją dziennika zdarzeń do systemu. |
| 7 |
W razie potrzeby wyślij plik dziennika, aby uzyskać pomoc. |
| 8 |
Po zakończeniu wyłącz funkcję rozwiązywania problemów. |
Uruchom przeglądarkę zdarzeń
Aby zobaczyć zdarzenia, które wystąpiły podczas pełnej lub stopniowej synchronizacji, uruchom przeglądarkę zdarzeń. Zawiera on podsumowanie zdarzeń administracyjnych i dzienników błędów.
| 1 |
W Directory Connector przejdź do Dashboard, a następnie kliknij kolejno opcje . W oknie dialogowym Właściwości zdarzenia są wyświetlane szczegóły zdarzenia synchronizacji i szczegóły błędu. |
| 2 |
W Podglądzie zdarzeń przejdź do .
|
| 3 |
W obszarze Czynności kliknij pozycję Zapisz wszystkie zdarzenia jako , aby wyeksportować wszystkie dzienniki jako pojedynczy plik zdarzeń (*.evtx) lub inny format, taki jak xml lub csv. |
Co zrobić dalej
Jeśli chcesz otworzyć zgłoszenie, skontaktuj się z pomocą techniczną, opisz problem z łącznikiem, a następnie załącz plik Events do zgłoszenia.
Dzienniki zdarzeń przechwytują czynności użytkownika. Aby uzyskać pomoc w zarządzaniu ruchem sieciowym, włącz rozwiązywanie problemów z konektorem.
Włączanie protokołu TLS w przeglądarce Internet Explorer
W przypadku przełączenia dostawców jednokrotnego logowania (SSO) mogą zostać wyświetlone następujące komunikaty o błędach łącznika usług katalogowych Cisco:
-
Wystąpił błąd podczas logowania do usługi
-
Na tej stronie wystąpił błąd w skrypcie
Jeśli pojawią się te błędy, należy włączyć ustawienie TLS w przeglądarce.
| 1 |
Otwórz Internet Explorer, a następnie wybierz pozycję Narzędzia. Zaznacz pola wyboru wersji TLS/SSL, którą chcesz włączyć. Kliknij przycisk OK Zamknij przeglądarkę i otwórz ją ponownie. |
| 2 |
Kliknij pozycję Opcje internetowe , przejdź do sekcji Zaawansowane , przewiń do sekcji Zabezpieczenia. |
| 3 |
Zaznacz pola wyboru Użyj protokołu TLS 1.1 i Użyj protokołu TLS 1.2 , a następnie kliknij przycisk OK.
|
| 4 |
Aby zmiany odniosły skutek, uruchom ponownie system. |
Rozwiązywanie problemów z logowaniem do konta usługi
Jeśli nie możesz zalogować się do łącznika usług katalogowych Cisco lub nie możesz uruchomić synchronizacji, wykonaj poniższe czynności, aby spróbować rozwiązać problem przed skontaktowaniem się z pomocą techniczną.
| 1 |
Spróbuj odwiedzić witrynę https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL w przeglądarce internetowej. |
| 2 |
Wybierz jedną z nich, w zależności od wyników:
|
| 3 |
Należy upewnić się co najmniej, że skonfigurowane konto dla usługi Cisco DirSync (które można znaleźć w usługach systemu Windows) ma poziom uprawnień umożliwiający dostęp do danych awatara i danych usługi AD. Domyślnie usługa wykorzystuje poświadczenia logowania do konta systemu Windows oraz uwierzytelnianie. |
Sprawdź SafeDllSearchMode w rejestrze systemu Windows
Tryb wyszukiwania biblioteki łączy dynamicznych (DLL) jest domyślnie ustawiony w rejestrze systemu Windows i umieszcza bieżący katalog użytkownika w kolejności wyszukiwania DLL. Jeśli ten tryb został w jakiś sposób wyłączony, napastnik może umieścić złośliwy plik DLL (o nazwie takiej samej jak plik DLL znajdujący się w folderze systemowym) do bieżącego katalogu roboczego aplikacji.
Zazwyczaj SafeDllSearchMode jest włączony, ale ta procedura służy do podwójnego sprawdzenia ustawień rejestru.
Przed rozpoczęciem
Zmiany w rejestrze systemu Windows należy przeprowadzać z dużą ostrożnością. Zalecamy, aby przed wykonaniem tych czynności wykonać kopię zapasową rejestru.
| 1 |
W oknie wyszukiwania systemu Windows lub oknie Uruchom wpisz regedit , a następnie naciśnij Enter. |
| 2 |
Przejdź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wybierz jedną z nich:
|
Aby uzyskać więcej informacji, zobacz Kolejność wyszukiwania biblioteki dynamicznych łączy.
Omówienie łącznika usług katalogowych Cisco
Omówienie łącznika usług katalogowych
Łącznik usług katalogowych to lokalna aplikacja do synchronizacji tożsamości z chmurą. Pobierz oprogramowanie łącznika z Control Hub i zainstaluj je na komputerze lokalnym.
Dzięki Directory Connector możesz utrzymywać konta użytkowników i dane w Active Directory, dzięki czemu Active Directory staje się jedynym źródłem prawdy. Zmiana wprowadzona lokalnie jest replikowana w chmurze.
Zobacz wszystkie funkcje, opisy i korzyści w tabeli:
| Funkcja | Opis i korzyści |
|---|---|
| Łatwy w użyciu pulpit nawigacyjny | Pulpit nawigacyjny zawiera harmonogram synchronizacji, podsumowanie oraz stan synchronizacji oraz stan Directory Connector. Konsolę można wyświetlić w dowolnym momencie logowania. |
| Uruchom próbne przed synchronizacją z chmurą | Przeprowadź przebieg próbny zmian w katalogu, zanim zostaną zaimplementowane w chmurze. Następnie uruchom raport, aby sprawdzić, czy zmiany, które chcesz wprowadzić, są zgodne z oczekiwaniami. |
| Synchronizacja pełna i przyrostowa | Synchronizuj cały katalog. Lub po prostu zsynchronizuj zmiany przyrostowe, aby zaoszczędzić moc przetwarzania i skrócić czas synchronizacji. |
|
Synchronizowanie wielu domen (pojedynczego lasu lub wielu lasów) |
Directory Connector obsługuje wiele domen w ramach jednego lasu lub wielu lasów (bez konieczności korzystania z usługi AD LDS). W przypadku przedsiębiorstw z wieloma domenami Active Directory możesz zainstalować łącznik usług katalogowych dla każdej domeny, powiązać każdą domenę z organizacją, a następnie zsynchronizować każdą bazę użytkowników z usługą Webex. Control Hub odzwierciedla stan, pokazując stan synchronizacji dla wielu łączników usług katalogowych, umożliwia wyłączenie synchronizacji dla określonej domeny i dezaktywację łącznika usług katalogowych w wdrożeniu o wysokiej dostępności. |
| Zaplanowana synchronizacja | Ustaw harmonogram synchronizacji według dnia, godziny i minuty. |
| Filtry LDAP (Lightweight Directory Access Protocol) | Zdefiniuj kryteria wyszukiwania LDAP i zapewnij wydajny import. |
| Mapowanie atrybutów Active Directory | Mapuj atrybuty usługi Microsoft Active Directory do odpowiednich atrybutów chmury Webex. Można mapować atrybuty, które są istotne dla konfiguracji usługi Active Directory, a także definiować atrybuty niestandardowe w celu mapowania na chmurę. Atrybuty z lokalizacji lokalnych tworzą różne dane w chmurze, takie jak dane konta użytkownika, numery telefonów korporacyjnych w aplikacji Webex Teams, adresy SIP zasobów pokoju i inne dane kart kontaktów użytkownika (stanowisko, dział, menedżer itd.). |
|
Firmowa książka telefoniczna dla lokalnych zasobów pokojów oraz użytkowników i kontaktów korporacyjnych Cisco Webex Calling (w chmurze PSTN) bez licencji Webex |
Jeśli część organizacji korzysta z chmury PSTN Cisco Webex Calling dla usługi połączeń lub masz lokalne urządzenia Room, ta funkcja umożliwia użytkownikom wyszukiwanie w katalogu kontaktów korporacyjnych na podstawie telefonów Cisco Webex Calling (chmura PSTN) lub zasobów Room.
|
| Przeglądarka zdarzeń | Użyj przeglądarki zdarzeń, aby sprawdzić, czy nie wystąpiły problemy z synchronizacją. |
| Narzędzie diagnostyczne i rozwiązywanie problemów | Możesz użyć wbudowanego narzędzia diagnostycznego do rozwiązywania problemów z wdrożeniem Cisco Directory Connector. Jeśli synchronizacja nie działała prawidłowo, może wystąpić błąd konfiguracji lub sieci. Narzędzie testuje połączenie z usługą Active Directory, aby można było samodzielnie zdiagnozować błędy przed skontaktowaniem się z pomocą techniczną. Po włączeniu rozwiązywania problemów w łączniku usług katalogowych tworzone są dzienniki, które można wysłać do pomocy technicznej. |
| Automatyczne uaktualnianie | Po zainstalowaniu Directory Connector wysyłane jest powiadomienie, gdy dostępna jest nowa wersja oprogramowania. Możesz skonfigurować automatyczne uaktualnianie, aby zawsze korzystać z najnowszej wersji oprogramowania podczas wydania nowej wersji. |
| Wysoka dostępność | Skonfiguruj wiele złączy, aby istniała kopia zapasowa, na wypadek awarii głównego złącza lub maszyny hostującej. |
Łącznik usług katalogowych dzieli się na trzy obszary:
-
Control Hub to pojedynczy interfejs, który umożliwia zarządzanie wszystkimi aspektami organizacji Webex: wyświetlanie użytkowników, przypisywanie licencji, pobieranie łącznika usług katalogowych i konfigurowanie jednokrotnego logowania (SSO) , jeśli chcesz, aby użytkownicy uwierzytelniali się za pośrednictwem swojego korporacyjnego dostawcy tożsamości i nie chcesz wysyłać zaproszeń e-mail do aplikacji Webex.
-
Interfejs zarządzania łącznikiem usług katalogowych to oprogramowanie, które można pobrać z Control Hub i zainstalować na zaufanym serwerze Windows. W przypadku wielu domen Active Directory można zainstalować jedną instancję oprogramowania dla każdej domeny, którą chcesz zsynchronizować. Przy użyciu oprogramowania można uruchomić synchronizację, aby przenieść konta użytkowników usługi Active Directory do usługi Webex, wyświetlić i monitorować stan synchronizacji oraz skonfigurować usługi Directory Connector.
-
Usługa synchronizacji katalogu wysyła zapytanie do usługi Active Directory w celu pobrania użytkowników i grup do zsynchronizowania z usługą łącznika i łącznikiem usług katalogowych.
Zapoznaj się z tym schematem, aby zrozumieć architekturę łącznika usług katalogowych:
Przygotuj środowisko dla łącznika usług katalogowych
Wymagania dotyczące łącznika usług katalogowych
Wymagania dotyczące systemu Windows i Active Directory
Łącznik usług katalogowych można zainstalować na tych obsługiwanych serwerach systemu Windows:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
Aby rozwiązać problem z plikami cookie, zalecamy uaktualnienie kontrolera domeny do wersji zawierającej poprawkę — Windows Server 2012 R2 lub 2016.
Łącznik usług katalogowych jest obsługiwany przez następujące usługi Active Directory:
-
Active Directory 2016
(Directory Connector jest obsługiwany w przypadku korzystania z najnowszej wersji usługi Active Directory w systemie Windows Server 2019)
-
Active Directory 2012
-
Active Directory 2008 R2
-
Active Directory 2008
Zwróć uwagę na następujące wymagania dodatkowe:
-
Łącznik usług katalogowych wymaga TLS1.2. Należy zainstalować następujące elementy:
-
Wersja .NET Framework v3.5 (wymagana dla aplikacji Directory Connector. Jeśli napotkasz jakiekolwiek problemy, skorzystaj z instrukcji w sekcji Włącz .NET Framework 3.5 za pomocą kreatora dodawania ról i funkcji).
-
Wersja .NET Framework w wersji 4.5 (wymagana w przypadku TLS1.2)
-
-
Wymagany jest poziom funkcjonalności lasu Active Directory 2 (Windows Server 2003) lub nowszy. (Aby uzyskać więcej informacji, zobacz Czym są poziomy funkcjonalne usługi Active Directory? ).
Wymagania sprzętowe
Musisz zainstalować Directory Connector na komputerze z następującymi minimalnymi wymaganiami sprzętowymi:
-
8 GB pamięci RAM
-
50 GB miejsca do przechowywania
-
Brak minimalnych wymagań dotyczących procesora
Wymagania sieciowe
Jeśli sieć znajduje się za zaporą, upewnij się, że system ma dostęp do Internetu za pośrednictwem protokołu HTTPS (port 443).
Wymagania organizacji Webex
-
Dostęp do oprogramowania łącznika usług katalogowych z poziomu Control Hub wymaga organizacji Webex z wersją próbną lub płatną subskrypcją.
-
(Opcjonalnie) Jeśli chcesz, aby nowe konta użytkowników aplikacji Webex były Aktywne przed pierwszym zalogowaniem się, zalecamy wykonanie następujących czynności:
-
Dodaj, zweryfikuj i opcjonalnie zgłoś prawa do domen zawierających adresy e-mail użytkowników, które chcesz zsynchronizować z chmurą.
-
Wykonaj integrację dostawcy tożsamości (IdP) z organizacją Webex za pomocą jednokrotnego logowania (SSO).
-
Pomijaj automatyczne zaproszenia e-mail, aby nowi użytkownicy nie otrzymali automatycznego zaproszenia e-mail i mogli prowadzić własną kampanię wiadomości e-mail. (Ta funkcja wymaga integracji logowania SSO).
-
Aby uzyskać więcej informacji, zobacz Stany i czynności użytkowników w Control Hub.
Wymagania instalacyjne
-
W przypadku środowiska z wieloma domenami (pojedynczego lasu lub wielu lasów) należy zainstalować jeden łącznik usług katalogowych dla każdej domeny Active Directory. Jeśli chcesz zsynchronizować nową domenę (B) przy jednoczesnym zachowaniu zsynchronizowanych danych użytkownika w innej istniejącej domenie (A), upewnij się, że masz oddzielny obsługiwany serwer Windows, aby zainstalować łącznik usług katalogowych dla synchronizacji domeny (B).
-
Aby zalogować się do łącznika, nie potrzebujemy konta administracyjnego w usłudze Active Directory. Wymagamy konta użytkownika lokalnego, które jest tym samym użytkownikiem, co pełne konto administratora w Control Hub.
Ten użytkownik lokalny musi mieć uprawnienia na tym komputerze z systemem Windows, aby nawiązać połączenie z kontrolerem domeny i czytać obiekty użytkownika usługi Active Directory. Konto logowania do maszyny powinno być administratorem komputera z uprawnieniami do instalowania oprogramowania na komputerze lokalnym. (Informacje te dotyczą również logowania do maszyny wirtualnej).
-
Podczas logowania się do łącznika konto logowania musi być takie samo jak pełne konto administratora usługi Control Hub. Domyślnie łącznik korzysta z konta systemu lokalnego w celu uzyskania dostępu do usługi Active Directory. Można jednak użyć usług systemu Windows, aby skonfigurować inne konto, aby uzyskać dostęp do usługi Active Directory. (Informacje te dotyczą również logowania do maszyny wirtualnej).
-
Należy się upewnić, że tryb wyszukiwania biblioteki łączy dynamicznych (DLL) systemu Windows jest włączony, wykonując następującą procedurę: Sprawdź SafeDllSearchMode w rejestrze systemu Windows.
-
Jeśli używasz usługi AD LDS dla wielu domen w jednym lesie, zalecamy zainstalowanie na osobnych komputerach łącznika usług katalogowych i usługi domeny Active Directory/lekkich usług katalogowych Active Directory (DS/AD LDS).
Wiele wymagań dotyczących domeny
Przed wykonaniem zadań w przepływie zadań wdrożenia łącznika usług katalogowych Cisco należy pamiętać o następujących wymaganiach i zaleceniach, jeśli zamierzasz zsynchronizować do chmury informacje Active Directory z wielu domen:
-
Dla każdej domeny wymagane jest osobne wystąpienie łącznika usług katalogowych.
-
Oprogramowanie łącznika usług katalogowych musi być uruchomione na hoście znajdującym się w tej samej domenie, którą będzie synchronizowane.
-
Zalecamy zweryfikowanie lub zgłoszenie domen w Control Hub. (Zobacz Dodawanie, weryfikowanie i zgłaszanie praw do domen).
-
Jeśli chcesz synchronizować więcej niż 50 domen, otwórz zgłoszenie , aby przenieść organizację do dużej listy organizacji.
-
W razie potrzeby można synchronizować informacje o zasobach pokoju z kontami użytkowników. (Zobacz Synchronizowanie informacji o pokoju w siedzibie z chmurą Webex).
Zalecenia grupy Active Directory dotyczące automatycznego przypisywania licencji
Grupy Active Directory służą do zbierania kont użytkowników, kont komputerów i innych grup w jednostki zarządzane. Praca z grupami zamiast z indywidualnymi użytkownikami pomaga uprościć konserwację sieci i administrowanie nią.
W usłudze Active Directory dostępne są dwa typy grup:
-
Grupy dystrybucji — służą do tworzenia list dystrybucyjnych wiadomości e-mail.
-
Grupy zabezpieczeń — używane do przypisywania uprawnień do udostępnianych zasobów.
Podczas tworzenia grup w usłudze Active Directory należy pamiętać o następujących wytycznych:
-
Utwórz globalną grupę dla każdej roli, działu lub usługi (takiej jak sprzedaż, marketing, menedżerowie, księgowi, licencjonowanie usługi Webex itd.)
-
W całej organizacji stosuj standardowe konwencje nazewnictwa, aby ułatwić identyfikowanie ważnych informacji o grupach. Nazwy grup mogą zawierać szczegółowe informacje na temat grupy, takie jak poziom dostępu, typ zasobu, poziom zabezpieczeń, zakres grupy, możliwość przesyłania poczty i tak dalej. Na przykład nazwa grupy „GSG_Webex_Licensing_EMEAR” odnosi się do globalnej grupy zabezpieczeń użytkowników EMEAR licencji Webex.
-
Organizuj grupy w łatwy do zrozumienia sposób, na przykład na podstawie geografii lub hierarchii kierowniczej. Użyj opisów grup, aby całkowicie opisać przeznaczenie grupy.
-
Przed dodaniem użytkowników do nowo skonfigurowanych grup zdefiniuj szablon grupy automatycznego przypisywania licencji w Control Hub dla tych grup. Aby uzyskać więcej informacji, zobacz Konfigurowanie szablonu automatycznego przypisywania licencji .
Informacje o rozmiarze
Łącznik usług katalogowych działa jako most między lokalną usługą Active Directory a chmurą Webex. W związku z tym łącznik nie ma górnego limitu liczby obiektów Active Directory, które mogą być synchronizowane z chmurą. Wszelkie ograniczenia dotyczące obiektów katalogu lokalnego są powiązane z określoną wersją i specyfikacjami środowiska Active Directory, które jest synchronizowane z chmurą, a nie z samym konektorem.
Szybkość synchronizacji może mieć wpływ na kilka czynników:
-
Łączna liczba obiektów Active Directory. (Zadanie synchronizacji 5000 użytkowników nie zajmie aż 50 000).
-
Prędkość i przepustowość sieci.
-
Obciążenie systemu i specyfikacje.
Jeśli synchronizujesz ponad 50 000 użytkowników, zdecydowanie zalecamy używanie drugiego łącznika do pracy awaryjnej i redundancji.
Ponieważ w synchronizację zaangażowanych jest kilka czynników, a każde wdrożenie różni się w zależności od powyższych czynników, nie możemy podać określonych wartości czasu, przez jaki synchronizacja obiektu potrwa.
Sprawdź SafeDllSearchMode w rejestrze systemu Windows
Tryb wyszukiwania biblioteki łączy dynamicznych (DLL) jest domyślnie ustawiony w rejestrze systemu Windows i umieszcza bieżący katalog użytkownika w kolejności wyszukiwania DLL. Jeśli ten tryb został w jakiś sposób wyłączony, napastnik może umieścić złośliwy plik DLL (o nazwie takiej samej jak plik DLL znajdujący się w folderze systemowym) do bieżącego katalogu roboczego aplikacji.
Zazwyczaj SafeDllSearchMode jest włączony, ale ta procedura służy do podwójnego sprawdzenia ustawień rejestru.
Przed rozpoczęciem
Zmiany w rejestrze systemu Windows należy przeprowadzać z dużą ostrożnością. Zalecamy, aby przed wykonaniem tych czynności wykonać kopię zapasową rejestru.
| 1 |
W oknie wyszukiwania systemu Windows lub oknie Uruchom wpisz regedit , a następnie naciśnij Enter. |
| 2 |
Przejdź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wybierz jedną z nich:
|
Aby uzyskać więcej informacji, zobacz Kolejność wyszukiwania biblioteki dynamicznych łączy.
Integracja z serwerem proxy WWW
Integracja z serwerem proxy WWW
Jeśli w środowisku włączone jest uwierzytelnianie serwera proxy sieci Web, można nadal korzystać z łącznika usług katalogowych.
Jeśli Twoja organizacja korzysta z przezroczystego serwera proxy sieci WWW, uwierzytelnianie nie jest obsługiwane. Konektor pomyślnie łączy się i synchronizuje użytkowników.
Można zastosować jedno z następujących podejść:
-
Jawny serwer proxy sieci WWW za pośrednictwem przeglądarki Internet Explorer (łącznik dziedziczy ustawienia serwera WWW)
-
Jawny serwer proxy sieci Web za pomocą pliku .pac (łącznik dziedziczy ustawienia serwera proxy specyficzne dla przedsiębiorstwa)
-
Przezroczysty serwer proxy, który współpracuje z konektorem bez żadnych zmian
Użyj serwera Proxy Sieci Web W Przeglądarce
Łącznik usług katalogowych można skonfigurować tak, aby korzystał z serwera proxy internetowego za pośrednictwem programu Internet Explorer.
Jeśli usługa Cisco DirSync jest uruchomiona z innego konta niż aktualnie zalogowany użytkownik, należy również zalogować się przy użyciu tego konta i skonfigurować serwer proxy sieci WWW.
| 1 |
W programie Internet Explorer przejdź do pozycji Opcje internetowe, kliknij pozycję Połączenia, a następnie wybierz pozycję Ustawienia sieci LAN. |
| 2 |
Wskaż wystąpienie systemu Windows, w którym łącznik jest zainstalowany na serwerze proxy sieci Web. Konektor dziedziczy te ustawienia serwera proxy sieci WWW. |
| 3 |
Jeśli środowisko korzysta z uwierzytelniania serwera proxy, dodaj te adresy URL do listy dozwolonych:
Można to wykonać dla całej witryny (dla wszystkich prowadzących) lub tylko dla hosta, który ma łącznik. Jeśli dodasz te adresy URL do listy dozwolonych, aby całkowicie ominąć serwer proxy sieci WWW, upewnij się, że tabela ACL zapory została zaktualizowana, aby umożliwić hoście łącznika bezpośredni dostęp do adresów URL. |
| 4 |
Jeśli środowisko musi zażądać list unieważnień certyfikatów od urzędów certyfikacji, dodaj te adresy URL do listy dozwolonych:
Aby uzyskać więcej informacji, zobacz ten artykuł o domenach i adresach URL, do których należy uzyskać dostęp dla usług Webex. |
Konfigurowanie serwera proxy sieci WWW za pomocą pliku PAC
W przeglądarce klienta można skonfigurować używanie pliku .pac. Ten plik zawiera informacje o adresie i porcie serwera proxy sieci WWW. Łącznik usług katalogowych bezpośrednio dziedziczy konfigurację serwera proxy sieci WWW specyficzną dla przedsiębiorstwa.
| 1 |
Aby konektor mógł pomyślnie połączyć się i zsynchronizować informacje o użytkownikach z chmurą Webex, upewnij się, że uwierzytelnianie proxy jest wyłączone dla |
| 2 |
Jeśli środowisko korzysta z uwierzytelniania serwera proxy, dodaj te adresy URL do listy dozwolonych:
Można to wykonać dla całej witryny (dla wszystkich prowadzących) lub tylko dla hosta, który ma łącznik. Jeśli dodasz te adresy URL do listy dozwolonych, aby całkowicie ominąć serwer proxy sieci WWW, upewnij się, że tabela ACL zapory została zaktualizowana, aby umożliwić hoście łącznika bezpośredni dostęp do adresów URL. |
| 3 |
Jeśli środowisko musi zażądać list unieważnień certyfikatów od urzędów certyfikacji, dodaj te adresy URL do listy dozwolonych:
Aby uzyskać więcej informacji, zobacz ten artykuł o domenach i adresach URL, do których należy uzyskać dostęp dla usług Webex. |
Serwer proxy NTLM
Directory Connector obsługuje NT LAN Manager (NTLM). NTLM to jedno z podejść do obsługi uwierzytelniania Windows wśród urządzeń domeny i zapewnienia ich bezpieczeństwa.
Projekt NTLM
W większości przypadków użytkownik chce uzyskać dostęp do innych zasobów stacji roboczej za pośrednictwem komputera klienckiego, co może być trudne do wykonania w bezpieczny sposób.
Ogólnie rzecz biorąc, projekt techniczny NTLM opiera się na mechanizmie Wyzwanie
i Odpowiedź
:
-
Użytkownik loguje się na komputerze klienckim za pomocą konta systemu Windows i hasła. Hasło nigdy nie jest zapisywane lokalnie. Zamiast zwykłego hasła tekstowego lokalnie jest przechowywana wartość hash hasła. Gdy użytkownik loguje się za pomocą hasła do klienta, system operacyjny Windows porównuje zapisaną wartość skrótu z wartością skrótu z wprowadzonego hasła. Jeśli oba są takie same, uwierzytelnianie zostanie zakończone.
Gdy użytkownik chce uzyskać dostęp do dowolnego zasobu na innym serwerze, klient wysyła do serwera żądanie z nazwą konta w postaci zwykłego tekstu.
-
Gdy serwer odbierze żądanie, generuje 16-bitowy klucz losowy. Klucz nosi nazwę Challenge (lub Nonce). Zanim serwer wyśle z powrotem do klienta, zadanie jest zapisywane na serwerze. Następnie serwer wysyła wyzwanie do klienta w postaci zwykłego tekstu.
-
Gdy tylko klient otrzyma wyzwanie wysłane z serwera, zaszyfruje wyzwanie za pomocą wartości hash wymienionej w kroku 1. Po zaszyfrowaniu wartość jest zwracana do serwera.
-
Gdy serwer odbierze zaszyfrowaną wartość od klienta, wysyła ją do kontrolera domeny w celu weryfikacji. Żądanie zawiera: nazwa konta, zaszyfrowane wyzwanie wysłane przez klienta oraz oryginalne wyzwanie proste.
-
Kontroler domeny może pobierać wartości skrótu hasła w zależności od nazwy konta. Następnie kontroler domeny może zaszyfrować oryginalne wyzwanie. Kontroler doman może następnie porównać z otrzymaną wartością hash i zaszyfrowaną wartością hash. Jeśli są takie same, weryfikacja przebiega pomyślnie.
Uwierzytelnianie zabezpieczeń jest wbudowane w system operacyjny, co ułatwia aplikacjom obsługę uwierzytelniania zabezpieczeń. W związku z tym nie musisz kończyć dalszej konfiguracji.
Konfigurowanie przezroczystego serwera proxy
W tym scenariuszu przeglądarka nie wie, że przezroczysty serwer proxy sieci WWW przechwytuje żądania HTTP (port 80/port 443) i nie jest wymagana konfiguracja po stronie klienta.
| 1 |
Wdróż przezroczysty serwer proxy, aby łącznik mógł łączyć się i synchronizować użytkowników. |
| 2 |
Upewnij się, że serwer proxy działa — po uruchomieniu konektora zobaczysz oczekiwane wyskakujące okienko uwierzytelniania przeglądarki. |
Ustaw uwierzytelnianie serwera proxy
Dodaj adres URL cloudconnector.webex.com do listy dozwolonych, tworząc listę kontroli dostępu.
Na serwerze zapory korporacyjnej:
| 1 |
Włącz wyszukiwanie w usłudze DNS, jeśli funkcja nie jest jeszcze włączona. |
| 2 |
Określ szacowaną przepustowość dla tego połączenia (około 2 Mb/s lub mniej dla konektora). Może to nie być wymagane. |
| 3 |
Utwórz listę kontroli dostępu, aby zastosować ją do hosta łącznika, i określ Na przykład: access-list 2000 acl-inside rozszerzone zezwolenie TCP [IP łącznika] cloudconnector.webex.com eq https |
| 4 |
Zastosuj to ACL do odpowiedniego interfejsu zapory, który ma zastosowanie tylko do tego hosta z pojedynczym łącznikiem. |
| 5 |
Upewnij się, że pozostałe hosty w przedsiębiorstwie nadal muszą korzystać z serwera proxy internetowego, konfigurując odpowiednie oświadczenie o odrzuceniu. |
Wdróż łącznik usług katalogowych
Przepływ zadań wdrażania łącznika usług katalogowych Cisco
Przed rozpoczęciem
| 1 |
Zainstaluj łącznik usług katalogowych Control Hub początkowo pokazuje synchronizację katalogu jako wyłączoną. Aby włączyć synchronizację katalogu w organizacji, należy zainstalować i skonfigurować Directory Connector, a następnie pomyślnie przeprowadzić pełną synchronizację. W przypadku nowej instalacji Directory Connector zawsze przejdź do Control Hub ( https://admin.webex.com), aby uzyskać najnowszą wersję oprogramowania, aby korzystać z najnowszych funkcji i poprawek błędów. Po zainstalowaniu oprogramowania uaktualnienia są raportowane za pośrednictwem oprogramowania i instalowane automatycznie, gdy jest dostępne. |
| 2 |
Zaloguj się do łącznika usług katalogowych Zaloguj się, używając poświadczeń administratora Webex i przeprowadź konfigurację początkową. |
| 3card symbol |
Ustaw automatyczne uaktualnianie Zawsze ważne jest, aby oprogramowanie Directory Connector było aktualne do najnowszej wersji. Zalecamy użycie tej procedury, aby umożliwić cichą instalację automatycznych uaktualnień oprogramowania, gdy jest dostępne. |
| 4 |
Wybierz obiekty usługi Active Directory do zsynchronizowania Domyślnie Directory Connector synchronizuje wszystkich użytkowników, którzy nie są komputerami, oraz wszystkie grupy, które nie są krytycznymi obiektami systemowymi dla domeny. Aby uzyskać większą kontrolę nad tym, które obiekty są synchronizowane, można wybrać określonych użytkowników do synchronizacji i określić filtry LDAP na stronie Wybór obiektów w łączniku usług katalogowych. |
| 5. |
Atrybuty z lokalnej usługi Active Directory można mapować na odpowiednie atrybuty w chmurze. Jedynym wymaganym polem jest *uid. |
| 6 |
Zsynchronizuj awatary katalogów, korzystając z jednej z następujących procedur:
Możesz synchronizować awatary użytkowników z chmurą, aby awatar każdego użytkownika był wyświetlany po zalogowaniu się do aplikacji. Awatary można synchronizować z atrybutu Active Directory lub serwera zasobów. |
| 7 |
Synchronizuj informacje o pokoju w siedzibie z chmurą Webex Ta procedura służy do synchronizowania informacji o lokalnym pokoju z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia pokojowe ze skonfigurowanym, zmapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach pokojowych zarejestrowanych w chmurze, takich jak urządzenie Webex Room lub Cisco Webex Board |
| 8 |
Aby Zainicjować Obsługę Administracyjną Użytkowników Z Active Directory Do Control Hub, wykonaj następujące czynności:
Wykonaj tę sekwencję, aby skonfigurować użytkowników usługi Active Directory na potrzeby kont aplikacji Webex. Możesz skonfigurować użytkowników z wielu wdrożeń usługi Active Directory w systemie Directory Connector 3.0 lub nowszym. Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Celem jest dokładne dopasowanie między aktywnymi katalogami a chmurą Webex. |
Zainstaluj łącznik usług katalogowych
Control Hub początkowo pokazuje synchronizację katalogu jako wyłączoną. Aby włączyć synchronizację katalogu w organizacji, należy zainstalować i skonfigurować Directory Connector, a następnie pomyślnie przeprowadzić pełną synchronizację.
Należy zainstalować jeden łącznik dla każdej domeny Active Directory, którą chcesz zsynchronizować. Pojedyncze wystąpienie łącznika usług katalogowych może obsługiwać tylko jedną domenę. Aby zrozumieć przepływ synchronizacji wielu domen, zobacz poniższy diagram:
Przed rozpoczęciem
Jeśli uwierzytelniasz się za pośrednictwem serwera proxy, upewnij się, że masz poświadczenia serwera proxy:
-
W przypadku podstawowego uwierzytelniania proxy wprowadź nazwę użytkownika i hasło po zainstalowaniu wystąpienia łącznika. Konfiguracja serwera proxy programu Internet Explorer jest również wymagana do uwierzytelniania podstawowego; zobacz Używanie Serwera Proxy Internetowego W Przeglądarce
-
W przypadku serwera proxy NTLM przy pierwszym otwarciu łącznika może pojawić się błąd. Zobacz Korzystanie z Serwera Proxy Sieci Web W Przeglądarce.
| 1 |
W Control Hub wybierz kolejno pozycje i wybierz Dalej. |
| 2 |
Kliknij łącze Pobierz i zainstaluj, aby zapisać najnowszą wersję pliku .zip instalacyjnego łącznika na swoim serwerze VMware lub Windows. Plik .zip można pobrać bezpośrednio z tego łącza, ale aby to oprogramowanie działało, musisz mieć pełny dostęp administracyjny do organizacji Control Hub. W przypadku nowej instalacji pobierz najnowszą wersję oprogramowania, aby korzystać z najnowszych funkcji i poprawek błędów. Po zainstalowaniu oprogramowania uaktualnienia są raportowane za pośrednictwem oprogramowania i instalowane automatycznie, gdy jest dostępne. |
| 3card symbol |
Na serwerze VMware lub na serwerze Windows rozpakuj i uruchom plik .msi w folderze konfiguracji, aby uruchomić kreatora konfiguracji. |
| 4 |
Kliknij przycisk Dalej, zaznacz pole wyboru, aby zaakceptować umowę licencyjną, a następnie kliknij przycisk Dalej, aż zostanie wyświetlony ekran typu konta. |
| 5. |
Wybierz typ konta usługi, którego chcesz używać, i wykonaj instalację za pomocą konta administratora:
Aby uniknąć błędów, upewnij się, że istnieją następujące uprawnienia:
|
| 6 |
Kliknij przycisk Instaluj. Po uruchomieniu testu sieci wprowadź podstawowe poświadczenia serwera proxy, kliknij przycisk OK, a następnie kliknij przycisk Zakończ. |
Co zrobić dalej
Zalecamy ponowne uruchomienie serwera po instalacji. Raport przebiegu próbnego nie może wyświetlić prawidłowego wyniku, gdy dane nie zostały zwolnione. Podczas ponownego uruchamiania maszyny wszystkie dane są odświeżane, aby pokazać dokładny wynik w raporcie.
Zaloguj się do łącznika usług katalogowych
Przed rozpoczęciem
Upewnij się, że masz poświadczenia serwera proxy.
-
W przypadku podstawowego uwierzytelniania serwera proxy wprowadź nazwę użytkownika i hasło po pierwszym otwarciu łącznika.
-
W przypadku serwera proxy NTLM otwórz program Internet Explorer, kliknij ikonę koła zębatego, wybierz kolejno pozycje Opcje internetowe > Połączenia > Ustawienia sieci LAN, upewnij się, że dodano informacje o serwerze proxy, a następnie kliknij OK. Zobacz Korzystanie z Serwera Proxy Sieci Web W Przeglądarce.
| 1 |
Otwórz konektor, a następnie dodaj |
| 2 |
Jeśli zostanie wyświetlony monit, zaloguj się przy użyciu poświadczeń uwierzytelniania serwera proxy, a następnie zaloguj się do usługi Webex za pomocą konta administratora i kliknij przycisk Dalej. |
| 3card symbol |
Potwierdź swoją organizację i domenę.
|
| 4 |
Po wyświetleniu ekranu Potwierdź organizację kliknij przycisk Potwierdź. Jeśli usługi AD DS/AD LDS są już powiązane, zostanie wyświetlony ekran Potwierdź organizację. |
| 5. |
Kliknij przycisk Potwierdź. |
| 6 |
Wybierz jedną w zależności od liczby domen Active Directory, które chcesz powiązać z łącznikiem usług katalogowych:
|
Co zrobić dalej
Po zalogowaniu się zostanie wyświetlony monit o wykonanie synchronizacji przebiegu próbnego.
Pulpit nawigacyjny łącznika usług katalogowych
Przy pierwszym logowaniu do łącznika usług katalogowych zostanie wyświetlona konsola. W tym miejscu możesz wyświetlić podsumowanie wszystkich działań synchronizacji, wyświetlić statystyki chmury, przeprowadzić synchronizację przebiegu próbnego, rozpocząć synchronizację pełną lub stopniową oraz uruchomić widok zdarzenia, aby wyświetlić informacje o błędach.
Te zadania można łatwo uruchomić z paska narzędzi czynności lub menu czynności.
|
Komponent |
Opis |
|---|---|
|
Bieżąca synchronizacja |
Wyświetla informacje o stanie aktualnie trwającej synchronizacji. Gdy żadna synchronizacja nie jest uruchomiona, wyświetlanie stanu jest bezczynne. |
|
Następna synchronizacja |
Wyświetla następne zaplanowane pełne i przyrostowe synchronizacje. Jeśli nie ustawiono harmonogramu, wyświetlana jest opcja Nie zaplanowano. |
|
Ostatnia synchronizacja |
Wyświetla stan dwóch ostatnich wykonanych synchronizacji. |
|
Bieżący stan synchronizacji |
Wyświetla ogólny stan synchronizacji. |
|
Łączniki |
Wyświetla bieżące lokalne łączniki dostępne dla chmury. |
|
Statystyki chmury |
Wyświetla ogólny stan synchronizacji. |
|
Harmonogram synchronizacji |
Wyświetla harmonogram synchronizacji dla synchronizacji przyrostowej i pełnej. |
|
Podsumowanie konfiguracji |
Wyświetla ustawienia, które zostały zmienione w konfiguracji. Podsumowanie może na przykład zawierać następujące informacje:
|
| Czynność | Opis |
|---|---|
| Rozpocznij synchronizację przyrostową |
Ręcznie rozpocznij synchronizację przyrostową Ta czynność jest wyłączona po wstrzymaniu lub wyłączeniu synchronizacji, jeśli pełna synchronizacja nie została ukończona lub jeśli synchronizacja jest w toku. |
|
Synchronizuj przebieg próbny |
Wykonaj synchronizację przebiegu próbnego. |
|
Uruchom przeglądarkę zdarzeń |
Uruchom przeglądarkę zdarzeń firmy Microsoft |
|
Odśwież |
Odśwież pulpit nawigacyjny łącznika usług katalogowych Cisco |
|
Czynność |
Opis |
|---|---|
| Synchronizuj teraz |
Natychmiast rozpocznij pełną synchronizację. |
|
Tryb synchronizacji |
Wybierz tryb synchronizacji przyrostowej lub pełnej. |
|
Zresetuj klucz tajny łącznika |
Nawiąż rozmowę między łącznikiem usług katalogowych Cisco a konektorem. Wybranie tej czynności spowoduje zresetowanie tajnego klucza w chmurze, a następnie zapisanie klucza lokalnego. |
|
Przebieg próbny |
Wykonaj test procesu synchronizacji. Przed wykonaniem pełnej synchronizacji należy wykonać przebieg próbny. |
|
Rozwiązywanie problemów |
Włącz/wyłącz rozwiązywanie problemów. |
|
Odśwież |
Odśwież ekran główny łącznika usług katalogowych Cisco. |
|
Zamknij |
Zamknij łącznik usług katalogowych Cisco. |
|
Kombinacja klawiszy |
Czynność |
|---|---|
|
Alt+A |
Pokaż menu Czynności |
|
|
Synchronizuj teraz |
|
|
Zresetuj klucz tajny łącznika |
|
|
Przebieg próbny |
|
|
Synchronizacja przyrostowa |
|
|
Pełna synchronizacja |
|
|
Pokaż menuPomoc |
|
|
Pomoc |
|
|
Informacje |
|
|
często zadawane pytania |
Ustaw automatyczne uaktualnianie
| 1 |
W Directory Connector przejdź do , a następnie zaznacz pole wyboru Automatycznie uaktualnij do nowej wersji Cisco Directory Connector. |
| 2 |
Kliknij Zastosuj, aby zapisać zmiany. |
Nowe wersje łącznika są automatycznie instalowane, gdy są dostępne.
Uaktualnieniami można zarządzać ręcznie, jeśli wolisz. Aby uzyskać więcej informacji, zobacz Uaktualnianie do najnowszej wersji oprogramowania.
Wybierz obiekty usługi Active Directory do zsynchronizowania
Domyślnie Directory Connector synchronizuje wszystkich użytkowników, którzy nie są komputerami, oraz wszystkie grupy, które nie są krytycznymi obiektami systemowymi dla domeny. Aby uzyskać większą kontrolę nad tym, które obiekty są synchronizowane, można wybrać określonych użytkowników do synchronizacji i określić filtry LDAP na stronie Wybór obiektów w łączniku usług katalogowych.
Grupy do automatycznego przypisywania licencji
Control Hub umożliwia zarządzanie przypisaniami licencji w odniesieniu do poszczególnych grup. Można utworzyć szablony licencji i mapować je do grup Active Directory, które synchronizujesz z chmurą. W momencie tworzenia użytkownika Webex sprawdza członkostwo użytkownika i mapowanie szablonu automatycznego przypisywania licencji dla tego nowego użytkownika.
Zalecamy używanie filtra LDAP w celu synchronizowania tylko odpowiednich grup z chmurą. Filtr można na przykład ustawić jako:
(&(cn=Przykład)(objectClass=Group))*
Ten filtr synchronizuje wszystkie grupy w ramach podstawowej nazwy wyróżniającej, gdzie nazwa zaczyna się od Example. Użytkownikom, którzy nie są przypisani do grup, przypisane są licencje z domyślnego szablonu automatycznego przypisywania licencji skonfigurowanego w Control Hub.
Grupy dla wdrożeń hybrydowego zabezpieczenia danych
W Łączniku usług katalogowych zaznacz opcję Grupy, jeśli używasz usługi hybrydowego zabezpieczenia danych, aby skonfigurować grupę wersji próbnej dla użytkowników pilotażowych. Wskazówki można znaleźć w Przewodniku wdrażania hybrydowego zabezpieczenia danych. To ustawienie łącznika usług katalogowych nie wpływa na synchronizację innych użytkowników z chmurą.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, a następnie kliknij pozycję Wybór obiektu. |
| 2 |
W sekcji Typ obiektu zaznacz opcję Użytkownicy i rozważ ograniczenie liczby pojemników możliwych do wyszukania dla użytkowników. Jeśli na przykład chcesz zsynchronizować tylko użytkowników w określonej grupie, w polu Użytkownicy należy wprowadzić filtr LDAP. Jeśli chcesz synchronizować użytkowników w grupie Przykład-menedżer, użyj filtra takiego jak ten:
|
| 3card symbol |
Zaznacz opcję Identyfikacja pokoju, aby oddzielić dane pokoju od danych użytkownika. Kliknij opcję Dostosuj, jeśli chcesz skonfigurować dodatkowe atrybuty w celu identyfikacji danych użytkownika jako danych pokoju. Użyj tego ustawienia, jeśli chcesz synchronizować informacje o pokoju lokalnym z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia systemu biurowego ze skonfigurowanym, mapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach systemu biurowego zarejestrowanych w chmurze. Aby uzyskać więcej informacji, zobacz Synchronizowanie informacji o pokoju w siedzibie z chmurą Webex. |
| 4 |
Zaznacz opcję Grupy, jeśli chcesz zsynchronizować grupy użytkowników usługi Active Directory z chmurą. Nie dodawaj filtru LDAP synchronizacji użytkowników do pola Grupy. Do synchronizacji danych grupy z chmurą należy używać tylko pola Grupy. Domyślnie grupy nie są synchronizowane dla nowych klientów. Należy włączyć synchronizację grup. Musisz również synchronizować grupy zabezpieczeń. |
| 5. |
Zaznacz opcję Kontakty, jeśli chcesz zsynchronizować informacje kontaktowe użytkowników z chmurą. Łącznik usług katalogowych zarządza tylko Kontaktami zsynchronizowanymi przez łącznik. Jeśli istnieją już kontakty w Control Hub, synchronizacja nie usunie tych kontaktów. Jeśli kontakty zostaną usunięte z zakresu synchronizacji, informacje kontaktowe użytkowników zostaną również usunięte w Control Hub. |
| 6 |
Skonfiguruj filtry LDAP. Filtry rozszerzone można dodawać, podając prawidłowy filtr LDAP. Zobacz ten artykuł, aby uzyskać więcej informacji o konfigurowaniu filtrów LDAP. |
| 7 |
Określ nazwy domen bazy lokalnej do synchronizacji, klikając przycisk Wybierz, aby zobaczyć strukturę drzewa usługi Active Directory. Tutaj możesz wybrać lub usunąć zaznaczenie, które kontenery mają być przeszukiwane. |
| 8 |
Sprawdź, czy obiekty, które chcesz dodać do tej konfiguracji, a następnie kliknij przycisk Wybierz. Można wybrać pojedyncze lub nadrzędne pojemniki, które mają być używane do synchronizacji. Wybierz pojemnik nadrzędny, aby włączyć wszystkie pojemniki podrzędne. Po wybraniu kontenera dla dziecka w kontenerze nadrzędnym zostanie wyświetlony szary znak wyboru wskazujący, że dziecko zostało zaznaczone. Następnie możesz kliknąć przycisk Wybierz, aby zaakceptować zaznaczone kontenery Active Directory. Jeśli organizacja umieści wszystkich użytkowników i grupy w kontenerze Użytkownicy, nie trzeba wyszukiwać innych kontenerów. Jeśli Twoja organizacja jest podzielona na jednostki organizacyjne, upewnij się, że wybrano jednostki organizacyjne. |
| 9 |
Kliknij przycisk Zastosuj. Wybierz opcję:
Aby uzyskać informacje na temat uruchamiania próbnego, zobacz Przeprowadzanie synchronizacji próbnej u użytkowników usługi Active Directory. W przypadku synchronizacji grup należy przeprowadzić pełną synchronizację: Wykonywanie pełnej synchronizacji użytkowników usługi Active Directory Z chmurą. |
Mapuj atrybuty użytkownika
Atrybuty z lokalnej usługi Active Directory można mapować na odpowiednie atrybuty w chmurze. Jedynym wymaganym polem jest *uid — unikatowy identyfikator każdego konta użytkownika w usłudze tożsamości w chmurze.
Możesz wybrać, który atrybut Active Directory ma być mapowany na chmurę — na przykład możesz mapować imię i nazwisko w usłudze Active Directory lub wyrażenie atrybutu niestandardowego na displayName w chmurze.
Konta w usłudze Active Directory muszą mieć adres e-mail. Identyfikator uid jest domyślnie mapowany na pole poczty ad (a nie sAMAccountName).
Jeśli zdecydujesz się, aby preferowany język pochodził z Active Directory, wówczas Active Directory jest jedynym źródłem prawdy: użytkownicy nie będą mogli zmienić swojego ustawienia języka w ustawieniach Webex, a administratorzy nie będą mogli zmienić tego ustawienia w Control Hub.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja , a następnie wybierz pozycjęMapowanie atrybutów użytkownika. Na tej stronie wyświetlane są nazwy atrybutów Active Directory (po lewej stronie) i chmury Webex (po prawej). Wszystkie wymagane atrybuty są oznaczone czerwoną gwiazdką. |
| 2 |
Przewiń w dół do dołu nazwy atrybutów usługi Active Directory, a następnie wybierz jeden z tych atrybutów usługi Active Directory, aby zamapować atrybut uid chmury:
Możesz mapować dowolny z pozostałych atrybutów Active Directory na identyfikator uid, ale zalecamy używanie poczty lub userPrincipalName w sposób opisany w powyższych wytycznych. W niektórych przypadkach do logowania się służy nazwa userPrincipalName, ale do zarządzania kalendarzem użytkownika jest używany jego adres e-mail. Należy podać adres e-mail dla map zarządzania kalendarzem na główne pole adresu e-mail w usłudze Webex. Dodaj userPrincipalName jako alternatywny adres e-mail. Aby zobaczyć, które atrybuty w usłudze Active Directory odpowiadają w chmurze, zobacz Mapowanie atrybutów Active Directory w Directory Connector. Aby synchronizacja działała, należy się upewnić, że wybrany atrybut Active Directory jest w formacie e-mail. Łącznik usług katalogowych wyświetla wyskakujące okienko z przypomnieniem, że nie wybrano jednego z zalecanych atrybutów. |
| 3card symbol |
Jeśli wstępnie zdefiniowane atrybuty usługi Active Directory nie działają dla Twojego wdrożenia, kliknij rozwijany atrybut, przewiń do dołu, a następnie wybierz pozycję Dostosuj atrybut, aby otworzyć okno umożliwiające zdefiniowanie wyrażenia atrybutu. Kliknij Pomoc, aby uzyskać więcej informacji o wyrażeniach i zobaczyć przykłady działania wyrażeń. Więcej informacji zawiera temat Wyrażenia dla niestandardowych atrybutów. W tym przykładzie zmapujmy atrybuty
Łącznik usług katalogowych weryfikuje wartość atrybutu uid w usłudze tożsamości i pobiera 3 dostępnych użytkowników w ramach bieżących opcji filtrowania użytkownika. Jeśli wszyscy z tych 3 użytkowników mają prawidłowy format wiadomości e-mail, Cisco Directory Connector wyświetli następujący komunikat:
Jeśli nie można zweryfikować atrybutu, zobaczysz następujące ostrzeżenie i możesz powrócić do usługi Active Directory, aby sprawdzić i naprawić dane użytkownika:
|
| 4 |
(Opcjonalnie) Wybierz mapowania dla urządzeń mobilnych i telephoneNumber, jeśli chcesz, aby numery komórkowe i służbowe pojawiały się na przykład w karcie kontaktu użytkownika w aplikacji Webex. Dane numeru telefonu pojawiają się w aplikacji Webex, gdy użytkownik najedzie kursorem na zdjęcie profilowe innego użytkownika. Aby uzyskać więcej informacji na temat nawiązywania połączeń z karty kontaktu użytkownika, zobacz Przewodnik wdrażania połączeń w usłudze Webex (Unified CM) (administratorzy). |
| 5. |
Wybierz dodatkowe mapowania, aby więcej danych mogło pojawić się na karcie kontaktu:
Po zmapowaniu atrybutów informacje są wyświetlane, gdy użytkownik najedzie kursorem na zdjęcie profilowe innego użytkownika:
Aby uzyskać więcej informacji na temat karty kontaktu, zobacz Sprawdzanie, z kim się kontaktujesz. Po zsynchronizowaniu tych atrybutów z każdym kontem użytkownika można również włączyć funkcję People Insights w Control Hub. Ta funkcja pozwala użytkownikom aplikacji Webex udostępniać więcej informacji w swoich profilach i dowiedzieć się więcej o sobie. Aby uzyskać więcej informacji na temat tej funkcji i sposobu jej włączenia, zobacz Profile użytkowników aplikacji Webex, Jabber, Webex Meetings i Webex Events (nowość) w Control Hub |
| 6 |
Po dokonaniu wyboru kliknij Zastosuj. |
Wszelkie dane użytkownika zawarte w usłudze Active Directory zastępują dane w chmurze odpowiadające temu użytkownikowi. Na przykład jeśli użytkownik został ręcznie utworzony w Control Hub, jego adres e-mail musi być identyczny z adresem e-mail w usłudze Active Directory. Każdy użytkownik bez odpowiedniego adresu e-mail w usłudze Active Directory zostanie usunięty.
Usunięci użytkownicy są przechowywani w usłudze tożsamości w chmurze przez 7 dni przed ich trwale usunięciem.
Atrybuty Active Directory i chmury
Za pomocą karty Mapowanie atrybutów użytkownika można mapować atrybuty z lokalnej usługi Active Directory na odpowiednie atrybuty w chmurze.
W tej tabeli porównano mapowanie między nazwami atrybutów usługi Active Directory i nazwami atrybutów chmury Cisco. Te wartości i mapowania są ustawieniem domyślnym w łączniku usług katalogowych. Możesz wybrać różne atrybuty w rozwijanej usłudze Active Directory i określić, który atrybut lokalny jest synchronizowany z którym atrybutem chmury.
Pomyślcie o atrybutach rozwijanych jako o ustawieniach wstępnych. Zamiast wartości w wierszu Active Directory można również określić niestandardowy atrybut, własne ustawienie wstępne, w usłudze Active Directory (wyrażenie z wieloma atrybutami), aby zamapować go na jeden atrybut chmury w odpowiednim wierszu. Dzięki temu masz elastyczność określania nazw wyświetlanych użytkowników — na przykład możesz dodać wyrażenie, które tworzy niestandardowy atrybut na podstawie tytułu pracownika, imienia i nazwiska w usłudze Active Directory.
Można również określić dowolny z atrybutów usługi Active Directory, aby być mapowanym na identyfikator uid w chmurze. Należy jednak się upewnić, że atrybut lokalny jest zgodny z prawidłowym formatem wiadomości e-mail.
Możesz także użyć alternatywnych adresów e-mail, na przykład jeśli chcesz użyć nazwy userPrincipalName do logowania, ale adres e-mail użytkownika jest używany do zarządzania kalendarzem użytkownika. W takim przypadku zamapuj inny adres e-mail na atrybut e-mail;type-work. To jest adres e-mail używany do uwierzytelniania; nie jest używany do zarządzania kalendarzem. Adres e-mail mapowany z usługi AD musi pochodzić ze zweryfikowanej domeny w ramach organizacji, być unikatowy i nie musi być przypisany do innego użytkownika.
|
Nazwy atrybutów Active Directory |
Nazwy atrybutów chmury Webex |
Uwagi |
|---|---|---|
|
— |
budynekName |
— |
|
c |
c |
Ten atrybut określa skrót kraju użytkownika. |
|
działNumer |
działNumer |
Ten atrybut jest używany dla numeru działu użytkownika, który pojawia się na karcie kontaktu i informacjach o użytkowniku. |
|
nazwa wyświetlana |
nazwa wyświetlana |
Ten atrybut jest używany dla nazwy wyświetlanej konta użytkownika, która pojawia się w Control Hub, na karcie kontaktu i informacjach o użytkowniku. |
|
kontrolaKontaUżytkownika |
ds-pwp-account-wyłączony |
Ten atrybut jest używany do synchronizacji użytkowników. Upewnij się, że atrybut userAccountControl jest mapowany na ds-pwp-account-disabled. W przeciwnym razie użytkownicy nie będą poprawnie synchronizowani. |
|
Liczba pracowników |
Liczba pracowników |
— |
|
faksyleTelefonNumer |
faksyleTelefonNumer |
— |
|
— |
identyfikator jabber |
Ten atrybut chmury odnosi się do adresów wiadomości błyskawicznych (typ XMPP) używanych przez Jabbera. Ta wartość nie jest taka sama jak adres sipAddresses. |
|
l |
l |
Ten atrybut określa miejscowość użytkownika. |
|
— |
język |
— |
|
menedżer |
menedżer |
Ten atrybut jest używany dla nazwy menedżera użytkownika, która jest wyświetlana na karcie kontaktu i informacjach o użytkowniku. |
|
przenośne |
przenośne |
Ten atrybut jest używany jako numer telefonu komórkowego wyświetlany do nawiązania połączenia z użytkownikiem z karty kontaktu. |
|
o |
o |
Ten atrybut określa nazwę firmy lub organizacji i jest wyświetlany na karcie kontaktu. |
|
lub |
lub |
Ten atrybut określa nazwę jednostki organizacyjnej. |
|
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
Ten atrybut określa lokalizację biura użytkownika. |
|
Kod pocztowy |
Kod pocztowy |
Ten atrybut określa kod pocztowy użytkownika do fizycznego dostarczania poczty. |
|
preferowanyJęzyk |
preferowanyJęzyk |
Ten atrybut ustawia preferowany język użytkownika oraz obsługiwane są następujące formaty: xx_YY lub xx-YY. Oto kilka przykładów: en_US, en_GB, fr-CA. Jeśli używasz nieobsługiwanego języka lub nieprawidłowego formatu, preferowany język użytkowników zostanie zmieniony na język ustawiony dla organizacji. |
|
MSRTCSIP - główny adres użytkownika Telefon ipPhone |
Adresy Sip;type=przedsiębiorstwo |
Ten atrybut jest używany do synchronizacji informacji o pokoju lokalnym z usługi Active Directory z chmurą Cisco Webex. |
|
sn |
sn |
Ten atrybut jest używany dla nazwiska konta użytkownika wyświetlanego w Control Hub, na karcie kontaktu i informacjach o użytkowniku. |
|
st. |
st. |
Ten atrybut określa stan lub prowincję użytkownika. |
|
ulicaAdres |
ulica |
Ten atrybut określa adres ulicy użytkownika do fizycznej dostawy poczty. |
|
numer telefonu |
numer telefonu |
Ten atrybut określa główny (służbowy) numer telefonu użytkownika służący do nawiązania połączenia z użytkownikiem z karty kontaktu. |
|
— |
strefa czasowa |
Ten atrybut chmury określa strefę czasową użytkownika. |
|
tytuł |
tytuł |
Ten atrybut określa tytuł użytkownika, który pojawia się na karcie kontaktu i informacjach o użytkowniku. |
|
wpisz |
przedsiębiorstwo |
— |
|
*poczta *Główna nazwa użytkownika |
identyfikator użytkownika |
Obowiązkowe mapowanie atrybutów. Dla każdego konta użytkownika wartość usługi Active Directory jest mapowana na unikatowy identyfikator UID w chmurze. W niektórych przypadkach do logowania się służy nazwa userPrincipalName, ale do zarządzania kalendarzem użytkownika jest używany jego adres e-mail. Należy podać adres e-mail dla map zarządzania kalendarzem na główne pole adresu e-mail w usłudze Webex. Dodaj userPrincipalName jako alternatywny adres e-mail. Użytkownik może wówczas użyć dowolnego z tych adresów e-mail do zalogowania się, o ile działa prawidłowe mapowanie atrybutów SAML. Zobacz Przykładowe mapowanie atrybutów poniżej, aby dowiedzieć się, jak można zmapować alternatywny adres e-mail. |
|
*Główna nazwa użytkownika *poczta <atrybut niestandardowy> |
wiadomości e-mail; praca typu |
To mapowanie jest opcjonalne. Użyj go, jeśli chcesz używać alternatywnych adresów e-mail. To jest adres e-mail używany do uwierzytelniania; nie jest używany do zarządzania kalendarzem. Adres e-mail mapowany z usługi AD musi pochodzić ze zweryfikowanej domeny w ramach organizacji, być unikatowy i nie musi być przypisany do innego użytkownika. |
|
<Nowy atrybut obiektuId użytkownika platformy Azure> |
Identyfikator zewnętrzny |
Utwórz nowy atrybut Active Directory, aby zachować identyfikator obiektu użytkownika platformy Azure, tak aby nie zderzył się z istniejącym atrybutem. Ten atrybut jest następnie mapowany na atrybut externalId, zapewniając, że gdy użytkownicy Webex tworzą grupy w Microsoft 365, automatycznie tworzą zespoły w Webex. |
Mapowanie alternatywnego adresu e-mail
Wyrażenia dla niestandardowych atrybutów
|
Operator |
Opis i przykład |
|---|---|
|
% |
Usuwa wszystkie znaki od początku ciągu do pozycji znaku lub argumentu ciągu, jeśli są dopasowane.
|
|
- |
Przesuwa tył ciągu wejściowego od końca określonego ciągu.
|
|
+ |
Powoduje złożenie ciągów wejściowych lub wyrażeń.
|
|
| |
Dokonuje oceny wyrażeń oddzielonych od pustego ciągu i wybiera pierwszy niepusty wynik.
|
Synchronizuj awatary katalogu z atrybutu usługi Active Directory do chmury
Możesz zsynchronizować awatary katalogu użytkowników z chmurą, aby każdy awatar był wyświetlany po zalogowaniu się do aplikacji Webex. Ta procedura służy do synchronizowania surowych danych awatara z atrybutu Active Directory.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, kliknij pozycję Awatar, a następnie zaznacz pole wyboru Włącz. |
| 2 |
W polu Pobierz awatar z wybierz atrybut AD, a następnie wybierz atrybut Awatar zawierający surowe dane awatara, które chcesz zsynchronizować z chmurą. |
| 3card symbol |
Aby sprawdzić, czy awatar jest poprawnie dostępny, wprowadź adres e-mail użytkownika, a następnie kliknij opcję Pobierz awatar użytkownika. Awatar pojawi się po prawej stronie. |
| 4 |
Po sprawdzeniu, czy awatar pojawił się poprawnie, kliknij przycisk Zastosuj, aby zapisać zmiany. |
-
Zsynchronizowane obrazy stają się domyślnym awatarem dla użytkowników w aplikacji Webex. Użytkownicy nie mogą ustawić własnego awatara, gdy ta funkcja zostanie włączona z poziomu łącznika usług katalogowych.
-
Awatary użytkowników są synchronizowane zarówno z aplikacją Webex, jak i ze wszystkimi pasującymi kontami w witrynie Webex.
Co zrobić dalej
Wykonaj synchronizację przebiegu próbnego; jeśli nie ma problemów, wykonaj pełną synchronizację, aby umożliwić synchronizację kont użytkowników i awatarów usługi Active Directory z chmurą i wyświetlenie ich w portalu Control Hub.
Synchronizuj awatary katalogu Z serwera zasobów do chmury
Możesz zsynchronizować awatary katalogu użytkowników z chmurą, aby każdy awatar był wyświetlany po zalogowaniu się do aplikacji Webex. Ta procedura służy do synchronizowania awatarów z serwera zasobów.
Przed rozpoczęciem
-
Wzorzec URI i wartość zmiennej w tej procedurze są przykładami. Musisz używać rzeczywistych adresów URL, w których znajdują się awatary katalogów.
-
Wzorzec URI awatara i serwer, na którym znajdują się awatary, muszą być dostępne z poziomu aplikacji Directory Connector. Konektor wymaga dostępu do obrazów w protokole HTTP lub HTTPS, ale obrazy nie muszą być publicznie dostępne w Internecie.
-
Synchronizacja danych awatara jest oddzielona od profili użytkowników w usłudze Active Directory. Jeśli jest uruchomiony serwer proxy, należy się upewnić, że dane awatara są dostępne za pomocą uwierzytelniania NTLM lub uwierzytelniania podstawowego.
| 1 |
W Directory Connector przejdź do pozycji Konfiguracja, kliknij pozycję Awatar, a następnie zaznacz pole wyboru Włącz. |
| 2 |
W polu Pobierz awatar z wybierz pozycję Serwer zasobów, a następnie wprowadź wzorzec URI awatara, na przykład Przyjrzyjmy się każdej części wzorca URI awatara i co one oznaczają:
|
| 3card symbol |
(Opcjonalnie) Jeśli serwer zasobów wymaga poświadczeń, zaznacz opcję Ustaw poświadczenia użytkownika dla awatara, a następnie wybierz opcję Użyj bieżącego użytkownika logowania do usługi lub Użyj tego użytkownika i wprowadź hasło. |
| 4 |
Wprowadź wartość zmiennej — na przykład: |
| 5. |
Kliknij przycisk Testuj, aby upewnić się, że wzorzec URI awatara działa poprawnie. W tym przykładzie, jeśli wartością poczty dla jednego wpisu usługi AD jest |
| 6 |
Gdy informacje o identyfikatorze URI zostaną zweryfikowane i wyglądają poprawnie, kliknij przycisk Zastosuj. Aby uzyskać szczegółowe informacje na temat używania wyrażeń regularnych, zobacz Skrócona instrukcja obsługi języka wyrażeń regularnych firmy Microsoft. |
-
Zsynchronizowane obrazy stają się domyślnym awatarem dla użytkowników w aplikacji Webex. Użytkownicy nie mogą ustawić własnego awatara, gdy ta funkcja zostanie włączona z poziomu łącznika usług katalogowych.
-
Awatary użytkowników są synchronizowane zarówno z aplikacją Webex, jak i ze wszystkimi pasującymi kontami w witrynie Webex.
Co zrobić dalej
Wykonaj synchronizację przebiegu próbnego; jeśli nie ma problemów, wykonaj pełną synchronizację, aby umożliwić synchronizację kont użytkowników i awatarów usługi Active Directory z chmurą i wyświetlenie ich w portalu Control Hub.
Synchronizuj informacje o pokoju w siedzibie z chmurą Webex
Ta procedura służy do synchronizowania informacji o lokalnym pokoju z usługi Active Directory z chmurą Webex. Po zsynchronizowaniu informacji o pokoju lokalne urządzenia pokojowe ze skonfigurowanym, zmapowanym adresem SIP są wyświetlane jako wyszukiwalne wpisy na urządzeniach Webex zarejestrowanych w chmurze (Room, Desk i Board).
| 1 |
W Directory Connector przejdź do pozycji Synchronizuj, kliknij więcej |
| 2 |
Zaznacz opcję Synchronizuj informacje o pokoju z chmurą, aby oddzielić dane pokoju od danych użytkowników podczas synchronizacji. Gdy to ustawienie jest wyłączone, dane pokoju są traktowane tak samo jak dane zsynchronizowane przez użytkowników. |
| 3card symbol |
Przejdź do pozycji Mapowanie atrybutów, a następnie zmień mapowanie atrybutów dla atrybutu sipAddresses;type=enterprise w chmurze. Aby można było użyć sprawdzania poprawności wartości, wartością adresu SIP powinna być Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4 |
Tworzenie skrzynki pocztowej zasobów pokoju w programie Exchange. Spowoduje to dodanie atrybutu msExchResourceMetaData;ResourceType:Room, którego łącznik używa następnie do identyfikowania pokojów.
|
| 5. |
Z użytkowników i komputerów usługi Active Directory przejdź do właściwości pokoju i edytuj je. Dodaj w pełni kwalifikowany identyfikator URI SIP z przedrostkiem sip:
|
| 6 |
Wykonaj synchronizację przebiegu próbnego, a następnie pełną synchronizację przebiegu w konektorze. Nowe obiekty pokoju są wyświetlane na liście Dodane obiekty, a dopasowane obiekty pokoju są wyświetlane w Obiekty dopasowane w raporcie przebiegu próbnego. Wszystkie obiekty pokojów oznaczone flagą usunięcia znajdują się w obszarze Pokoje usunięte.
Wyniki przebiegu próbnego pokazują wszystkie zasoby pokojów, które zostały dopasowane.
To ustawienie oddziela dane pokoju Active Directory (w tym atrybut pokoju) od danych użytkownika. Po zakończeniu synchronizacji statystyki chmury w pulpicie nawigacyjnym łącznika pokazują dane pokojów, które zostały zsynchronizowane z chmurą.
|
Co zrobić dalej
Teraz, po wykonaniu tych czynności, podczas wyszukiwania na urządzeniu zarejestrowanym w chmurze Webex zostaną wyświetlone zsynchronizowane wpisy pokojów skonfigurowane z adresami SIP. Po nawiązaniu połączenia z urządzenia Webex na tym wpisie połączenie jest nawiązywane na adres SIP skonfigurowany dla pokoju.
Z Control Hub można automatycznie importować pokoje z katalogu i tworzyć obszary robocze.
Punkt końcowy nie może nawiązać połączenia zwrotnego do aplikacji Webex. W przypadku testowych wybierania numerów urządzenia te muszą być zarejestrowane jako lokalny identyfikator URI SIP lub miejsce inne niż aplikacja Webex. Jeśli system pokojów Active Directory, którego szukasz, jest zarejestrowany w usłudze Webex, a ten sam adres e-mail znajduje się na urządzeniu Webex Room Device, urządzeniu Desk lub Webex Board dla usługi kalendarza, wyniki wyszukiwania nie wyświetlają zduplikowanego wpisu. Urządzenie Room, Desk lub Board jest wybierane bezpośrednio w aplikacji Webex, a połączenie SIP nie jest nawiązywane.
Wysyłanie raportów e-mail dotyczących wyników synchronizacji katalogów
Domyślnie kontakty lub administratorzy organizacji zawsze otrzymują powiadomienia e-mail. Dzięki temu ustawieniu możesz określić, kto powinien otrzymywać powiadomienia e-mail podsumowujące raporty synchronizacji katalogów.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja, a następnie wybierz pozycję Powiadomienia. |
| 2 |
W Łączniku usług katalogowych kliknij pozycję Ustawienia, a obok pozycji Odbiornik wiadomości e-mail włącz synchronizację raportu. |
| 3card symbol |
Zaznacz opcję Włącz powiadomienia, jeśli chcesz zastąpić domyślne działanie powiadomień i dodać jednego lub więcej odbiorców wiadomości e-mail. |
| 4 |
Kliknij przycisk Dodaj, a następnie wprowadź adres e-mail. W przypadku wprowadzenia adresu e-mail o nieprawidłowym formacie zostanie wyświetlony komunikat z prośbą o naprawienie problemu, zanim będzie można zapisać i zastosować zmiany. |
| 5. |
Kliknij Dodaj adres e-mail, a następnie wprowadź adres e-mail. W przypadku wprowadzenia adresu e-mail o nieprawidłowym formacie zostanie wyświetlony komunikat z prośbą o naprawienie problemu, zanim będzie można zapisać i zastosować zmiany. |
| 6 |
Jeśli chcesz edytować wprowadzone adresy e-mail, kliknij dwukrotnie wpis e-mail w lewej kolumnie, a następnie wprowadź niezbędne zmiany. |
| 7 |
Po dodaniu wszystkich prawidłowych adresów e-mail kliknij opcję Zastosuj. |
| 8 |
Po dodaniu wszystkich prawidłowych adresów e-mail kliknij przycisk Zapisz. |
Co zrobić dalej
Jeśli zdecydowano, że chcesz usunąć adresy e-mail, możesz kliknąć wiadomość e-mail, aby zaznaczyć ten wpis, a następnie kliknąć opcję Usuń.
Jeśli zdecydowano, że chcesz usunąć adresy e-mail, możesz kliknąć przycisk Usuń obok określonych wpisów adresu e-mail.
Aprowizacja Użytkowników Z Usługi Active Directory Do Control Hub
Wykonaj poniższe czynności, aby skonfigurować użytkowników usługi Active Directory i utworzyć odpowiadające im konta użytkowników w Control Hub. Po zainstalowaniu łącznika usług katalogowych dla każdej domeny można skonfigurować użytkowników z wdrożenia usługi Active Directory w wielu domenach (z jednym lub wieloma lasami). Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Celem jest dokładne dopasowanie między aktywnymi katalogami a chmurą Webex.
| 1 |
Wykonywanie synchronizacji próbnej na użytkownikach usługi Active Directory Przeprowadź przebieg próbny, aby porównać obiekty w lokalnej usłudze Active Directory z obiektami w chmurze Webex. Przebieg próbny pozwala zobaczyć, które obiekty zostaną dodane, zmodyfikowane lub usunięte, zanim uruchomisz pełną lub stopniową synchronizację i zatwierdzisz zmiany w chmurze. |
| 2 |
Wykonaj pełną synchronizację użytkowników usługi Active Directory z chmurą Po uruchomieniu pełnej synchronizacji usługa łącznika wysyła wszystkie odfiltrowane obiekty z usługi Active Directory (AD) do chmury. Usługa łącznika aktualizuje następnie magazyn tożsamości za pomocą wpisów usługi AD. Jeśli utworzono szablon automatycznego przypisywania licencji, możesz przypisać go do nowo zsynchronizowanych użytkowników. |
| 3card symbol |
Przypisz usługi Webex do użytkowników zsynchronizowanych z katalogiem w Control Hub Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych w Control Hub można przypisać licencje usług Webex przy użyciu różnych metod. Zalecamy skonfigurowanie szablonu automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory. Po tym początkowym kroku można również wprowadzić indywidualne zmiany. |
Wykonywanie synchronizacji próbnej na użytkownikach usługi Active Directory
Przeprowadź przebieg próbny, aby porównać obiekty w lokalnej usłudze Active Directory z obiektami w chmurze Webex. Przebieg próbny pozwala zobaczyć, które obiekty zostaną dodane, zmodyfikowane lub usunięte, zanim uruchomisz pełną lub stopniową synchronizację i zatwierdzisz zmiany w chmurze.
Podczas procesu wprowadzania użytkowników z różnych domen należy zdecydować, czy zachować, czy usunąć obiekty użytkowników, które mogą już istnieć w chmurze Webex — na przykład konta testowe z okresu próbnego. Dzięki Łącznikowi usług katalogowych celem jest dokładne dopasowanie między Active Directories a chmurą Webex.
Jeśli w jednym lub wielu lasach znajduje się wiele domen, wykonaj ten krok w każdym wystąpieniu łącznika usług katalogowych Cisco, które zainstalowałeś dla każdej domeny Active Directory.
Przed rozpoczęciem
Przed użyciem łącznika usług katalogowych niektórzy użytkownicy aplikacji Webex mogą już znajdować się w Control Hub. Wśród użytkowników w chmurze niektórzy mogą pasować do lokalnego obiektu Active Directory i mieć przypisane licencje na usługi. Ale niektóre z nich mogą być użytkownikami testowymi, których chcesz usunąć podczas synchronizacji. Należy utworzyć dokładne dopasowanie między usługą Active Directory i Control Hub.
| 1 |
Wybierz jedną z nich:
Po zakończeniu przebiegu próbnego zostanie wyświetlony jeden z następujących wyników:
Podsumowanie zawiera informacje o dopasowywaniu obiektów:
Przebieg próbny identyfikuje użytkowników poprzez porównanie ich z użytkownikami domeny. Aplikacja może zidentyfikować użytkowników, jeśli należą do bieżącej domeny. W następnym kroku musisz zdecydować, czy usunąć obiekty, czy zachować je. Niedopasowane obiekty są identyfikowane jako istniejące już w chmurze Webex, ale nie istnieją w lokalnej usłudze Active Directory. |
| 2 |
Przejrzyj wyniki uruchomienia próbnego, a następnie wybierz opcję w zależności od tego, czy korzystasz z jednej czy wielu domen:
|
| 3card symbol |
W wierszu Potwierdź przebieg próbny kliknij przycisk Tak, aby ponowić synchronizację przebiegu próbnego i wyświetl pulpit nawigacyjny, aby zobaczyć wyniki. Wszystkie konta, które zostały pomyślnie zsynchronizowane w przebiegu próbnym, pojawiają się w sekcji Dopasowane obiekty. Jeśli użytkownik w chmurze nie ma odpowiadającego użytkownika z tym samym adresem e-mail w usłudze Active Directory, pozycja ta znajduje się w sekcji Usunięci użytkownicy. Aby uniknąć tej flagi usuwania, możesz dodać użytkownika w usłudze Active Directory z tym samym adresem e-mail. Aby wyświetlić szczegóły zsynchronizowanych elementów, kliknij odpowiednią kartę dla określonych elementów lub Dopasowane obiekty. Aby zapisać informacje podsumowania, kliknij opcję Zapisz wyniki w pliku. |
| 4 |
Jeśli oczekiwane wyniki są oczekiwane, przejdź do , a następnie kliknij przycisk Włącz teraz, aby wykonać synchronizację ręczną i uruchomić w tym momencie tryb ręczny. Po wykonaniu synchronizacji w ostatniej domenie Active Directory w wdrożeniu wielu domen należy włączyć tryb automatyczny dla łącznika usług katalogowych. Tryb automatyczny można włączyć tylko wtedy, gdy obiekty są całkowicie dopasowane między chmurą Webex a wszystkimi lokalnymi aktywnymi katalogami. |
Co zrobić dalej
-
W przypadku jakichkolwiek zachowanych niedopasowanych obiektów użytkownika należy je dodać do usługi Active Directory, aby istniało dokładne dopasowanie między środowiskiem lokalnym a chmurą.
-
Wybierz typ synchronizacji:
-
Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut (w wersjach 3.4 i starszych) lub co 4 godziny (w wersjach 3.5 i nowszych), ale można zmienić tę wartość. Synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji.
-
Jeśli masz wiele domen, powtórz te kroki na każdym innym zainstalowanym łączniku usług katalogowych.
O czym należy pamiętać
-
Przeprowadź przebieg próbny przed włączeniem pełnej synchronizacji lub zmianą parametrów synchronizacji. Jeśli przebieg próbny został zainicjowany przez zmianę konfiguracji, można zapisać ustawienia po jego ukończeniu. Jeśli użytkownicy zostali już dodani ręcznie, synchronizacja z usługą Active Directory może spowodować usunięcie poprzednio dodanych użytkowników. Przed pełną synchronizacją z chmurą można sprawdzić raporty Dry Run łącznika usług katalogowych, aby sprawdzić, czy wszyscy oczekiwani użytkownicy są obecni.
-
Jeśli dopasowani użytkownicy są oznaczeni jako usunięci i nie masz pewności, jak kontynuować, zapoznaj się z informacjami o rozwiązywaniu problemów i jak skontaktować się z pomocą techniczną w sekcji Rozwiązywanie problemów i poprawki dotyczące łącznika usług katalogowych.
Usunięci użytkownicy są przechowywani w usłudze tożsamości w chmurze przez 7 dni przed ich trwale usunięciem.
Wykonaj pełną synchronizację użytkowników usługi Active Directory z chmurą
Po uruchomieniu pełnej synchronizacji usługa łącznika wysyła wszystkie odfiltrowane obiekty z usługi Active Directory (AD) do chmury. Usługa łącznika aktualizuje następnie magazyn tożsamości za pomocą wpisów usługi AD. Jeśli utworzono szablon automatycznego przypisywania licencji, możesz przypisać go do nowo zsynchronizowanych użytkowników.
Jeśli masz wiele domen, wykonaj ten krok w każdym wystąpieniu łącznika usług katalogowych, które zainstalowałeś dla każdej domeny Active Directory.
Łącznik usług katalogowych synchronizuje stan konta użytkownika — w usłudze Active Directory wszyscy użytkownicy oznaczeni jako wyłączeni są również wyświetlani jako nieaktywni w chmurze.
Przed rozpoczęciem
-
Jeśli chcesz, aby konta użytkowników aplikacji Webex były w stanie Aktywne po pełnej synchronizacji i przed pierwszym zalogowaniem się użytkowników, musisz wykonać następujące czynności, aby pominąć sprawdzanie poprawności wiadomości e-mail:
-
Zintegruj jednokrotne logowanie ze swoją organizacją Webex. Patrz
Jednokrotne logowanie przy użyciu usług Cisco Webex i dostawcy tożsamości organizacji
aby uzyskać więcej informacji. -
Za pomocą Control Hub można zweryfikować i opcjonalnie zgłosić domeny zawarte w adresach e-mail. Patrz
Dodawanie, weryfikowanie i zgłaszanie praw do domen
. -
Pomijaj automatyczne zaproszenia e-mail, aby nowi użytkownicy nie otrzymywali automatycznego zaproszenia e-mail do aplikacji Webex. (Możesz wykonać własną kampanię wiadomości e-mail).
Aktywowani użytkownicy, którzy nie zalogowali się, są wyświetlani ze stanem Zweryfikowany w Control Hub. Po zalogowaniu się są wyświetlane jako Aktywne. Aby uzyskać więcej informacji o stanach użytkowników, zobacz Stany i czynności użytkowników w Cisco Webex Control Hub.
-
-
Po włączeniu synchronizacji łącznik usług katalogowych prosi o najpierw uruchomienie próbne. Zalecamy uruchomienie próbne przed pełną synchronizacją w celu wykrycia potencjalnych błędów.
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
Jeśli nie używasz szablonów automatycznego przypisywania licencji, nowo zsynchronizowani użytkownicy automatycznie otrzymają darmowe licencje. Użytkownicy będą mogli korzystać z tych samych bezpłatnych funkcji, co w przypadku bezpłatnych kont.
| 1 |
Wybierz jedną z nich:
|
| 2 |
W Directory Connector przejdź do pozycji Synchronizuj, kliknij więcej |
| 3card symbol |
Potwierdź rozpoczęcie synchronizacji. W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany do 72 godzin po wykonaniu synchronizacji. Możesz spróbować wyczyścić lokalną pamięć podręczną aplikacji Webex, wykonując następujące czynności: Windows lub Mac.
|
| 4 |
Kliknij przycisk Odśwież, jeśli chcesz zaktualizować stan synchronizacji. (Zsynchronizowane elementy są wyświetlane w obszarze Statystyki chmury). |
| 5. |
Aby uzyskać informacje o błędach, wybierz pozycję Uruchom przeglądarkę zdarzeń na pasku narzędzi Czynności, aby wyświetlić dzienniki błędów. |
| 6 |
Aby ustawić harmonogram synchronizacji dla bieżących synchronizacji przyrostowych z chmurą, zobacz Ustawianie harmonogramu łącznika i Uruchamianie synchronizacji przyrostowej. |
-
Po zakończeniu pełnej synchronizacji stan synchronizacji katalogów zostanie zaktualizowany z Wyłączony na Działający na stronie Ustawienia w Control Hub.
-
Gdy wszystkie dane zostaną dopasowane między środowiskiem lokalnym a chmurą, łącznik usług katalogowych zmienia się z trybu ręcznego na tryb automatycznej synchronizacji.
-
Jeśli nie zintegrujesz jednokrotnego logowania, zweryfikujesz domeny i opcjonalnie zgłosisz domeny dla zsynchronizowanych kont e-mail oraz wyłączysz automatyczne wiadomości e-mail, konta użytkowników aplikacji Webex pozostają w stanie Niezweryfikowany do czasu, aż użytkownicy po raz pierwszy zalogują się do aplikacji Webex w celu potwierdzenia swoich kont. Wskazówki na temat synchronizowania kont jako Aktywnych użytkowników można znaleźć w sekcji Przed rozpoczęciem.
-
Jeśli masz wiele domen, wykonaj ten krok przy użyciu dowolnego innego łącznika usług katalogowych, który został zainstalowany. Po synchronizacji użytkownicy we wszystkich dodanych domenach są wyświetlani w Control Hub.
-
Jeśli zintegrowano jednokrotne logowanie z usługą Webex i zablokowano powiadomienia e-mail, zaproszenia e-mail nie będą wysyłane do nowo zsynchronizowanych użytkowników.
-
Po włączeniu łącznika usług katalogowych nie można ręcznie dodawać użytkowników w Control Hub. Po włączeniu tej opcji zarządzanie użytkownikami jest wykonywane za pomocą łącznika usług katalogowych Cisco, a usługa Active Directory jest jedynym źródłem prawdy.
-
Wszystkie zsynchronizowane grupy są wyświetlane w portalu Control Hub i można przypisać szablon licencji, dzięki czemu użytkownikom w tej grupie zostaną przypisane licencje.
Co zrobić dalej
-
Usunięcie użytkownika z usługi Active Directory powoduje jego miękkie usunięcie po następnej synchronizacji. Użytkownik staje się nieaktywny, ale profil tożsamości w chmurze jest przechowywany przez siedem dni (aby umożliwić odzyskanie po przypadkowym usunięciu).
Jeśli zaznaczysz opcję Konto jest wyłączone w usłudze Active Directory, użytkownik staje się Nieaktywny po następnej synchronizacji. Profil tożsamości w chmurze nie zostanie usunięty po siedmiu dniach, na wypadek, gdy chcesz ponownie włączyć użytkownika.
-
Zwróć uwagę na następujące wyjątki od synchronizacji przyrostowej (zamiast tego wykonaj pełne czynności synchronizacji powyżej):
-
W przypadku zaktualizowanego awatara, ale bez żadnej innej zmiany atrybutu, synchronizacja przyrostowa nie aktualizuje awatara użytkownika do chmury.
-
Zmiany konfiguracji mapowania atrybutów, podstawowej nazwy DN, filtru i ustawienia awatara wymagają pełnej synchronizacji.
-
Przypisz usługi Webex do użytkowników zsynchronizowanych z katalogiem w Control Hub
Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych Cisco w Control Hub możesz użyć narzędzia Control Hub, aby przypisać te same licencje usługi Webex jednocześnie wszystkim użytkownikom lub dodać dodatkowe licencje nowym użytkownikom, jeśli skonfigurowano już szablon licencji przypisanych automatycznie. Po tym początkowym kroku można wprowadzić zmiany na koncie poszczególnych użytkowników.
Po ukończeniu pełnej synchronizacji użytkowników z łącznika usług katalogowych w Control Hub możesz użyć metod w Control Hub, aby globalnie przypisywać licencje usług Webex do wszystkich użytkowników, użytkowników indywidualnych, za pomocą zbiorczego szablonu CSV lub automatycznie do nowych użytkowników, jeśli został już skonfigurowany szablon automatycznego przypisywania licencji. Po tym początkowym kroku można wprowadzić zmiany na koncie poszczególnych użytkowników.
Gdy przypiszesz licencję użytkownikowi aplikacji Webex, ten użytkownik domyślnie otrzymuje wiadomość e-mail potwierdzającą przypisanie. Wiadomość e-mail jest wysyłana przez usługę powiadomień w Control Hub. Jeśli zintegrowano logowanie jednokrotne (SSO) z organizacją Webex, możesz również wyłączyć te automatyczne powiadomienia e-mail, jeśli wolisz bezpośrednio kontaktować się z użytkownikami.
Przed rozpoczęciem
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
-
Wykonaj synchronizację przebiegu próbnego u użytkowników usługi Active Directory.
-
Po potwierdzeniu wyników przebiegu próbnego wykonaj pełną synchronizację użytkowników usługi Active Directory.
W momencie pełnej synchronizacji użytkownik jest tworzony w chmurze, nie są dodawane żadne przypisania usług, a aktywacyjna wiadomość e-mail nie jest wysyłana. Jeśli wiadomości e-mail nie zostaną zablokowane, nowi użytkownicy otrzymają aktywacyjną wiadomość e-mail podczas przypisywania usług do użytkowników za pomocą standardowej metody zarządzania użytkownikami w Control Hub, takiej jak importowanie pliku CSV, ręczna aktualizacja użytkownika lub poprzez pomyślne ukończenie automatycznego przypisywania.
| 1 |
W widoku klienta w witrynie https://admin.webex.com przejdź do sekcji , kliknij opcję Zarządzaj użytkownikami, wybierz opcję Modyfikuj zsynchronizowanych użytkowników i kliknij przycisk Dalej. |
| 2 |
Wybierz opcję: |
Co zrobić dalej
-
Jeśli wiadomości e-mail nie są blokowane, do każdego użytkownika wysyłana jest wiadomość e-mail z zaproszeniem do dołączenia i pobrania usługi Webex.
-
Jeśli wybrano te same usługi Webex dla wszystkich użytkowników, następnie można zmienić licencje przypisane indywidualnie lub zbiorczo.
Znane problemy z łącznikiem usług katalogowych
-
W wersjach Windows Server wcześniejszych niż 2012 R2 wystąpił problem z plikami cookie, który wpływa na łącznik usług katalogowych. Ten problem został rozwiązany w wersjach 2012 R2 i 2016.
-
W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany po 72 godzinach od wykonania synchronizacji.
Możesz spróbować wyczyścić lokalną pamięć podręczną aplikacji Webex, wykonując następujące czynności: Windows lub Mac.
-
Gdy użytkownik korzysta z aplikacji Webex na komputerze lub urządzeniu przenośnym, aby wyszukać i nawiązać połączenie z pokojem, który ma tylko zsynchronizowany identyfikator URI SIP, wówczas połączenie będzie dzwonić w tej chwili bez końca.
Zarządzanie użytkownikami aplikacji Webex
Uruchom synchronizację przyrostową
Synchronizacja przyrostowa wysyła zapytanie do usługi Active Directory i szuka zmian, które wystąpiły od czasu ostatniej synchronizacji. Ten krok następnie łączy te zmiany i wysyła je do usługi łącznika. Zmiany obejmują modyfikację atrybutów użytkowników oraz sposób dodawania lub usuwania użytkownika.
Ta synchronizacja nie nakłada tak dużego obciążenia na serwery i nie zajmuje tyle czasu, co pełna synchronizacja. Po wykonaniu początkowej pełnej synchronizacji zalecamy opcję przyrostową dla kolejnych synchronizacji.
Przed rozpoczęciem
-
Należy skonfigurować szablon automatycznego przypisywania licencji przed użyciem go na nowych użytkownikach aplikacji Webex synchronizowanych z usługi Active Directory.
-
Zwróć uwagę na następujące wyjątki, których synchronizacja przyrostowa nie obsługuje (zamiast tego zobacz Wykonaj pełną synchronizację użytkowników usługi Active Directory do chmury ):
-
W przypadku zaktualizowanego awatara, ale bez żadnej innej zmiany atrybutu, synchronizacja przyrostowa nie aktualizuje awatara użytkownika do chmury.
-
W przypadku nowych zmian konfiguracji mapowania atrybutów, podstawowej nazwy domeny, filtru i ustawienia awatara synchronizacja przyrostowa nie będzie działać i wymagają one pełnej synchronizacji.
-
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. Po włączeniu synchronizacji łącznik usług katalogowych prosi o najpierw uruchomienie próbne. |
| 2 |
W obszarze Czynności kliknij kolejno opcje Tryb synchronizacji > Włącz synchronizację , jeśli nie jest jeszcze włączony. Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut (w wersjach 3.4 i starszych) lub co 4 godziny (w wersjach 3.5 i nowszych), ale można zmienić tę wartość. Synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji. Po upływie nowego interwału czasu przyrostowego program sprawdza zmiany na podstawie ostatniego znacznika czasu. |
| 3 |
W sekcji Czynności kliknij kolejno opcje Synchronizuj teraz > Przyrostowe. W przypadku wszelkich zmian wprowadzonych do użytkowników w usłudze Active Directory (na przykład nazwy wyświetlanej) Control Hub odzwierciedla zmianę natychmiast po odświeżeniu widoku użytkownika, ale aplikacja Webex odzwierciedla zmiany po 72 godzinach od wykonania synchronizacji.
|
| 4 |
Aby uzyskać informacje o błędach, kliknij opcję Uruchom przeglądarkę zdarzeń na pasku narzędzi Czynności , aby wyświetlić dzienniki błędów. |
Co zrobić dalej
Jeśli masz wiele domen, wykonaj ten krok w innych zainstalowanych wystąpieniach łącznika usług katalogowych.
Odzyskaj przypadkowo usuniętych użytkowników
Łącznik usług katalogowych udostępnia mechanizmy kontroli i równowagi, aby zapobiec niezamierzonemu usunięciu użytkowników. Niestety zdarzają się wypadki; być może nieprawidłowo skonfigurowałeś filtr LDAP w Active Directory, który usuwał niektórych użytkowników podczas synchronizacji z chmurą. Funkcja miękkiego usuwania może pomóc Ci wyjść z tych awarii i przywrócić konta użytkowników w Control Hub.
Domyślnie ta funkcja jest włączona dla wszystkich organizacji. Gdy użytkownicy zostaną usunięci z chmury, na przykład z powodu problemu z niedopasowanym obiektem po synchronizacji z łącznika usług katalogowych, użytkownicy mogą zostać odzyskani. Jeśli zauważyłeś niedopasowane obiekty lub zauważyłeś, że użytkownicy zostali usunięci, możesz być w stanie je odzyskać, jeśli zachowasz się szybko.
Użytkownicy są oznaczani jako nieaktywni w Control Hub, gdy odpowiednie konta zostaną usunięte z usługi Active Directory. Usługa chmury w tle zachowuje użytkowników przez maks. 7 dni. W tym okresie nadal będzie można korzystać z łącznika usług katalogowych Cisco do odzyskiwania użytkowników. Zalecamy jak najszybsze odzyskanie tych użytkowników.
Użytkownicy wyłączeni w usłudze Active Directory są również oznaczani jako nieaktywni w portalu Control Hub, ale konto użytkownika nie zostanie usunięte po 7 dniach.
| 1 |
Zaloguj się do centrum sterowania. |
| 2 |
Przejdź do opcji Użytkownicy i potwierdź, czy określone konto użytkownika jest w stanie Nieaktywne, czy nie jest wymienione na liście. Aby uzyskać więcej informacji, zobacz Stany i czynności użytkowników w Control Hub. |
| 3 |
Jeśli użytkownicy zostali usunięci w Control Hub lub zauważysz użytkowników w stanie nieaktywnym, przejdź do usługi Active Directory, dodaj brakujące konta użytkowników, a następnie wykonaj synchronizację przebiegu próbnego w łączniku usług katalogowych. Celem łącznika usług katalogowych jest stworzenie dokładnego dopasowania informacji o użytkownikach w usłudze Active Directory i w chmurze. |
| 4 |
Wykonaj pełną synchronizację, aby ponownie zsynchronizować tymczasowo usunięte konta użytkowników z Control Hub. Nastąpi odzyskanie użytkowników i przejście do stanu pierwotnego, w tym stanu konta i przypisań usług. |
Co zrobić dalej
Wróć do usługi Control Hub, wybierz kolejno opcje i upewnij się, że wcześniej usunięte konta użytkowników pojawiają się na liście użytkowników.
Trwałe usuwanie użytkowników po usunięciu programowym
Po wykonaniu przebiegu próbnego można zdecydować się na trwałe usunięcie użytkowników, którzy zostali miękko usunięci podczas następnej synchronizacji.
| 1 |
Po zakończeniu przebiegu próbnego wybierz pozycję Obiekty usunięte programowo. |
| 2 |
Zaznacz pole wyboru obok użytkowników, których chcesz usunąć. |
| 3 |
Wybierz opcję Gotowe. |
Co zrobić dalej
Podczas następnej synchronizacji zaznaczeni użytkownicy zostaną trwale usunięci.
Zmienianie adresu e-mail aplikacji Webex
Jeśli chcesz zmienić adresy e-mail użytkowników, a Twoja organizacja korzysta z Directory Connector, zmień te adresy e-mail w usłudze Active Directory. Ta procedura obejmuje sposób zmiany adresu e-mail aplikacji Webex dla pojedynczej domeny oraz proces zmiany domeny.
Jeśli chcesz zmienić adres e-mail lub jakąś wartość tylko dla jednego użytkownika, nie usuwaj go z usługi Active Directory, a następnie odtwórz nowy przy użyciu tego samego adresu e-mail. Chmura interpretuje tę czynność jako nowe konto użytkownika, a obszary użytkownika i inne dane w chmurze zostaną utracone.
Directory Connector nie ogranicza zmiany domeny e-mail. Jednak gdy użytkownik ponownie zsynchronizuje się z chmurą, stan użytkownika jest zależny od tego, czy nowa domena jest zweryfikowana w organizacji. Jeśli domena nie jest zweryfikowana w organizacji, stan użytkownika zmieni się na Oczekiwanie po pełnej synchronizacji. Aby uzyskać więcej informacji, zobacz Zarządzanie swoimi domenami.
Jeśli Twoja organizacja nie korzysta z łącznika usług katalogowych, adresy e-mail aplikacji Webex można zmienić na stronie ustawień konta. Aby uzyskać informacje na temat kroków, które użytkownicy mogą wykonać, aby zmienić swoje adresy e-mail, zobacz Zmiana adresu e-mail konta .
Zmiana domeny Active Directory
Ta procedura służy do tworzenia nowych domen i adresów e-mail. Są one synchronizowane z usługą tożsamości w chmurze.
| 1 |
Skonfiguruj nową domenę usługi Active Directory (AD). |
| 2 |
Wyłącz synchronizacje we wszystkich konektorach. |
| 3 |
Odinstaluj wszystkie łączniki. |
| 4 |
Otwórz sprawę, aby zmienić domenę. W zgłoszeniu sprawy poproś o usunięcie konfiguracji domeny i wszystkich atrybutów synchronizacji w organizacji. Przed otwarciem sprawy w celu zmiany domeny upewnij się, że nie uruchomiono synchronizacji. Nie zmieniaj żadnych adresów e-mail użytkowników w usłudze Active Directory, dopóki sprawa nie zostanie rozwiązana. |
| 5 |
Po rozstrzygnięciu sprawy: Przed wykonaniem rzeczywistej synchronizacji uruchom test z łącznikiem usług katalogowych. |
Roszczenie do domeny
Roszczenie o domenę pojawia się, jeśli zgłaszasz prawa do domeny e-mail dla organizacji, aby dowolne konto dołączone było tworzone w płatnej organizacji klienta, a nie w bezpłatnej organizacji konsumenckiej. Prawo do domeny można zgłosić tylko w przypadku pomocy technicznej (więcej informacji można znaleźć pod poniższym linkiem).
Jeśli Directory Connector jest aktywny, a domena została zgłoszona, konta współbieżne nie są tworzone ani w organizacji klienta, ani w bezpłatnej organizacji konsumenckiej. Tylko Directory Connector może aprowizować konta organizacji z usługi Active Directory. Informacje przechowywane w usłudze Active Directory są oryginalnym źródłem. Podczas próby dołączenia konta zaproszony użytkownik otrzyma błąd. Jedynym sposobem, w jaki zaproszony użytkownik może zostać dodany do obszaru aplikacji Webex, jest najpierw użycie łącznika usług katalogowych w celu zainicjowania obsługi konta w Control Hub.
Konwertowanie użytkowników bezpłatnej aplikacji Webex w organizacji zsynchronizowanej z katalogami
Można używać wyłącznie unikatowych adresów e-mail w katalogu aplikacji Webex. Jeśli Twoi użytkownicy zarejestrowali się w bezpłatnej wersji aplikacji Webex, ich konto istnieje w bezpłatnej organizacji konsumenckiej. Aby zarządzać użytkownikami w tej organizacji przy użyciu łącznika usług katalogowych, przed włączeniem łącznika usług katalogowych należy przeprowadzić migrację (przekonwertować) ich do organizacji klienta. Następnie dodajesz użytkowników do usługi Active Directory przy użyciu dokładnego adresu e-mail, a następnie synchronizujesz je z chmurą.
Jeśli nie przekonwertujesz kont przed aktywacją, wyłącz łącznik usług katalogowych, aby je przekonwertować.
Jeśli próbujesz przekonwertować użytkownika, gdy synchronizacja katalogu jest włączona, nie można przekonwertować komunikatu o błędzie . Aby uniknąć problemu, możesz wykonać poniższe czynności jako obejście.
Niektórzy zgłoszeni użytkownicy mogą wyświetlić się z atrybutem movedfrom podczas uruchamiania próbnego. Ci użytkownicy będą na liście Usunięty obiekt zamiast MismatchedObject. Musisz dodać tych użytkowników do listy AD, jeśli chcesz przenieść ich do swojej organizacji.
Jeśli nie dodasz tych użytkowników, wszyscy zostaną usunięci obok Ciebie zsynchronizowani z chmurą.
| 1 |
Wyłącz synchronizację katalogu z łącznika usług katalogowych. |
| 2 |
Postępuj zgodnie z procedurą Konwertuj użytkowników bez licencji w Control Hub , aby przekonwertować użytkownika z bezpłatnej organizacji konsumenckiej na organizację firmową. Ten krok dodaje użytkownika do organizacji, a konto pojawi się w Control Hub. Łącznik usług katalogowych sprawia, że Active Directory jest jedynym źródłem prawdy dla kont użytkowników, a celem jest dokładne dopasowanie usług Active Directory i Control Hub. Przed ponownym włączenia synchronizacji upewnij się, że w usłudze Active Directory są pasujący użytkownicy dla wszystkich ostatnio przekonwertowanych użytkowników. Synchronizacja Suchego Przebiegu może być użyta, aby upewnić się, że nie ma już niezrównanych użytkowników. |
| 3 |
W konektorze usług katalogowych wykonaj synchronizację przebiegu próbnego. Po zakończeniu prowadzenia na sucho sprawdź kartę Dodaj obiekty. Sprawdź, czy przekonwertowani użytkownicy nie zostaną usunięci. Przed ponownym włączeniem synchronizacji należy wykonać przebieg próbny, aby upewnić się, że wszystkie skonwertowane konta użytkowników pojawiają się w usłudze Active Directory. Jeśli włączysz synchronizację, a konta znajdują się tylko w Control Hub, Łącznik usług katalogowych rozróżnia wielkość liter i usunie skonwertowanych użytkowników, których wykryje z niedopasowanymi adresami e-mail (na przykład user1@example.com i User1@example.com). Jeśli którykolwiek z skonwertowanych użytkowników zostanie usunięty, tracą oni wszystkie obszary aplikacji Webex. |
| 4 |
Jeśli masz pewność, że następna synchronizacja nie usunie żadnych kont, włącz ponownie synchronizację katalogu z łączników usług katalogowych. |
Przekonwertowane konta użytkowników nie są aktywowane automatycznie, jeśli domena nie została zweryfikowana. Jeśli na przykład włączono szablon automatycznego przypisywania licencji, a następnie włączono Łącznik usług katalogowych bez weryfikacji domeny, skonwertowani użytkownicy są nieaktywni w zapleczu chmury, dopóki nie potwierdzą swoich adresów e-mail.
Boczne konta użytkowników aplikacji Webex
Gdy zaprosisz innego użytkownika do obszaru w aplikacji Webex, jeśli zaproszony użytkownik nie ma konta aplikacji Webex, zostanie dla niego utworzone konto („współdzielone”). Domyślnie konta utworzone w ten sposób są dodawane do bezpłatnej organizacji konsumenckiej.
Jeśli chcesz zarządzać kontem dołączonym przy użyciu Directory Connector, musisz przekonwertować konto.
Zmiana formatu nazwy użytkownika aplikacji Webex po synchronizacji katalogu
Domyślnie łącznik usług katalogowych mapuje atrybut displayName w usłudze Active Directory na atrybut displayName w chmurze.
Po wykonaniu synchronizacji katalogu może okazać się, że nazwy użytkowników są wyświetlane w formacie .
Ta nazwa użytkownika może być wyświetlana, jeśli atrybut displayName w usłudze Active Directory jest skonfigurowany w ten sposób. Gdy atrybut jest mapowany na displayName w chmurze, nazwy są wyświetlane w formacie w Control Hub.
Aby zmienić format, na ekranie mapowania atrybutów łącznika usług katalogowych: mapuje atrybut usługi Active Directory givenName sn (lub sn givenName) na displayName w nazwach atrybutów w chmurze Cisco.
Alternatywnie, mapuj atrybut sn givenName na displayName:
Możesz również użyć opcji Dostosuj atrybut, jeśli chcesz zmapować własne wyrażenie atrybutu niestandardowego na displayName.
Na przykład wprowadź givenName + "" + sn (imię, spacja, nazwisko) jako wyrażenie. Spowoduje to mapowanie dwóch atrybutów w usłudze Active Directory na adres displayName w chmurze.
Zezwalaj użytkownikom na zmianę nazw wyświetlanych w spotkaniach Webex
Możesz usunąć mapowanie atrybutu displayName z synchronizowania z chmurą w Łączniku usług katalogowych, jeśli chcesz zezwolić użytkownikom na edycję ich preferowanych nazw wyświetlanych. Użytkownicy mogą wprowadzić nazwę wyświetlaną, która ma być wyświetlana podczas spotkań Webex zamiast swojego imienia i nazwiska. Administratorzy mogą również ręcznie zmienić nazwę wyświetlaną użytkownika w Control Hub.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja , a następnie wybierz pozycjęMapowanie atrybutów użytkownika. |
| 2 |
Wybierz opcję displayName w obszarze Nazwa atrybutu chmury Cisco. |
| 3 |
Wybierz opcję Nie synchronizuj tego atrybutu. |
Co zrobić dalej
Użytkownicy mogą teraz edytować swoje nazwy wyświetlane w witrynie Webex.
Rozwiązywanie problemów z łącznikiem usług katalogowych
Uaktualnij do najnowszej wersji oprogramowania
Aby zapewnić zgodność wdrożenia i uzyskać najnowsze funkcje, funkcjonalności, poprawki błędów i ulepszenia zabezpieczeń, należy zawsze uaktualnić łącznik usług katalogowych do najnowszej wersji. Jeśli nie nastąpi aktualizacja do najnowszej dostępnej wersji, mogą wystąpić problemy, takie jak brak prawidłowej synchronizacji łącznika usług katalogowych lub uruchomienie wersji, która nie obsługuje obowiązkowego wymagania TLS 1.2.
Directory Connector automatycznie powiadamia o dostępności nowej wersji. Zawsze uaktualniaj do najnowszej wersji, aby uniknąć problemów. Na pasku zadań systemu Windows wyświetlane jest również powiadomienie.
Chociaż można ręcznie zainstalować aktualizacje oprogramowania łącznika, zalecamy wykonanie czynności opisanych w części Ustawianie automatycznych uaktualnień , aby umożliwić aplikacji automatyczne zarządzanie uaktualnieniami.
| 1 |
Aby rozpocząć proces uaktualniania, kliknij powiadomienie na pasku zadań systemu Windows lub kliknij prawym przyciskiem myszy ikonę Łącznik usług katalogowych na pasku zadań systemu Windows. |
| 2 |
Postępuj zgodnie z instrukcjami, aby wykonać uaktualnienie. |
| 3 |
Uruchom ponownie łącznik i zaloguj się przy użyciu poświadczeń administratora. |
| 4 |
Sprawdź numer wersji oprogramowania w sekcji . |
Co zrobić dalej
Aby przeprowadzić nową instalację łącznika usług katalogowych, można pobrać plik zip , a następnie wykonać czynności instalacji opisane w tym podręczniku.
Konfigurowanie ustawień ogólnych dla Directory Connector
Ta procedura służy do konfigurowania ustawień ogólnych, takich jak nazwa serwera obsługującego Łącznik usług katalogowych, poziomy dzienników, automatyczne uaktualnienia i preferowane ustawienia kontrolerów domen. Nazwa łącznika jest wyświetlana na pulpicie nawigacyjnym w sekcji łączniki wraz z innymi działającymi łącznikami.
| 1 |
W Directory Connector przejdź do sekcji Konfiguracja, a następnie kliknij przycisk General (Ogólne). |
| 2 |
W polu Nazwa łącznika wprowadź nazwę łącznika. To pole zawiera tylko nazwę komputera, na którym obecnie działa łącznik. |
| 3 |
Wybierz poziom dziennika z listy rozwijanej. Domyślnie poziom dziennika jest ustawiony na informacje. Dostępne poziomy dziennika są następujące:
Te ustawienia mają wpływ na wysyłany pocztą e-mail raport synchronizacji. Jeśli ustawisz poziom dziennika na Błąd, w raporcie synchronizacji będą zgłaszane tylko błędy. Jeśli nie istnieją błędy, raport synchronizacji nie zostanie wysłany. Zmień ustawienie na Informacje, a następnie po pełnej synchronizacji będą wyświetlane raporty synchronizacji. (Należy pamiętać, że w przypadku synchronizacji przyrostowej nie są wysyłane żadne raporty, jeśli nie zgłoszono żadnych błędów). |
| 4 |
Wybierz preferowane kontrolery domen , aby ustawić kolejność kontrolerów domen do synchronizowania tożsamości. Dostęp do kontrolerów domeny odbywa się od góry do dołu. Jeśli górny kontroler jest niedostępny, wybierz drugi kontroler z listy. Jeśli na liście nie ma żadnego kontrolera, można uzyskać dostęp do głównego kontrolera. |
| 5 |
Zaznacz opcję Automatycznie uaktualnij do nowej wersji Cisco Directory Connector , jeśli chcesz dokonać automatycznych uaktualnień. Zawsze ważne jest, aby oprogramowanie Cisco Directory Connector było aktualne do najnowszej wersji. Zalecamy sprawdzenie tego ustawienia, aby umożliwić cichą instalację automatycznych aktualizacji oprogramowania, gdy jest dostępne. |
| 6 |
Zaznacz opcję LDAP przez SSL , aby używać bezpiecznego protokołu LDAP (LDAPS) jako protokołu połączenia. Jeśli nie zaznaczysz opcji LDAP przez SSL, łącznik usług katalogowych nadal będzie używał protokołu połączeń LDAP. Protokół połączeń LDAP (Lightweight Directory Application Protocol) i Secure LDAP (LDAPS) to protokoły połączeń używane między aplikacją a kontrolerem domeny w ramach infrastruktury. Komunikacja LDAPS jest szyfrowana i zabezpieczona. |
Skonfiguruj zasady łączników
Możesz ustawić maksymalną liczbę usunięć, które mogą wystąpić podczas synchronizacji. Uruchomiona synchronizacja nie usuwa obiektów z lokalnej usługi Active Directory. Wszystkie obiekty są usuwane tylko z chmury.
Na przykład ustawiono 1 jako wartość wyzwalacza progu usunięcia. Jeśli podczas synchronizacji pełnej lub przyrostowej liczba użytkowników, których chcesz usunąć, jest większa niż wartość ustawienia, łącznik usług katalogowych wyświetla ostrzeżenie. Jeśli klikniesz Zastąp próg, możesz pomyślnie rozpocząć synchronizację przyrostową lub pełną, ale przy następnym uruchomieniu zasad zobaczysz to powiadomienie o zastąpieniu.
| 1 |
W Łączniku usług katalogowych kliknij pozycję Konfiguracja, a następnie wybierz pozycję Zasady. |
| 2 |
Zaznacz pole Włącz usuwanie wyzwalacza progu , jeśli chcesz dodać wyzwalacz progu. Wybranie tej opcji wyzwala alert, jeśli liczba usunięć przekroczy próg. Gdy konto usuwania przekracza wartość zdefiniowaną, synchronizacja nie powiedzie się.
|
| 3 |
Wprowadź maksymalną liczbę żądanych usunięć. Wartość domyślna to 20. Zalecamy, aby nie zwiększać wartości domyślnej. |
| 4 |
Kliknij przycisk Zastosuj. |
Ustaw harmonogram łącznika
Ustaw czas synchronizacji w usłudze Active Directory. Przełączenie awaryjne służy do zapewnienia wysokiej dostępności (HA). Jeśli jedno złącze nie działa, przełączamy się na inne złącze rezerwowe po wstępnie zdefiniowanym interwale.
| 1 |
W Directory Connector kliknij pozycję Konfiguracja, a następnie wybierz pozycję Harmonogram. |
| 2 |
Określ Interwał synchronizacji przyrostowej w minutach. Domyślnie synchronizacja przyrostowa jest ustawiona na 30 minut. Pełna synchronizacja przyrostowa występuje dopiero po rozpoczęciu pełnej synchronizacji. |
| 3 |
Jeśli chcesz zmienić częstotliwość wysyłania raportów, zmień wartość Wysyłaj raporty według czasu . |
| 4 |
Zaznacz opcję Włącz harmonogram pełnej synchronizacji , aby określić dni i godziny, w których ma nastąpić pełna synchronizacja. |
| 5 |
Określ interwał przełączania awaryjnego w minutach. |
| 6 |
Kliknij przycisk Zastosuj. |
Scenariusze wielu domen
Wiele domen jest opartych na priorytecie domeny. W przypadku obiektów, które mają tę samą wartość klucza w różnych domenach, po synchronizacji dane z domeny o wyższym priorytecie ponownie zapisują dane z domeny o niższym priorytecie.
Obiekty o tej samej wartości klucza są połączone w jeden rekord w bazie danych.
Wartością klucza w przypadku „Użytkownik” jest Adres e-mail, natomiast wartością klucza w przypadku „Grupa” jest Nazwa grupy.
Przykładowy przypadek użycia dla wielu domen
W tym przykładzie założono organizację z dwiema domenami — example1.com i example2.com, w kolejności priorytetów.
-
Dodaj użytkownika 1 (e-mail: użytkownik@przyklad1.com) do usługi Active Directory z przyklad1.com.
-
Dodaj grupę1 (nazwa grupy: Testuj) do usługi Active Directory example1.com.
-
Dodaj użytkownika 2 (e-mail: użytkownik@przyklad2.com) do usługi Active Directory na stronie przyklad2.com.
-
Dodaj grupę2 (nazwa grupy: Testuj) w usłudze Active Directory example2.com.
- Synchronizacja na przykładzie1.com
-
W przypadku użycia użytkownicy2 i group2 są zsynchronizowani z chmurą i wyświetlani w menu https://admin.webex.com, podczas gdy user1 i group1 nie są.
Jeśli na przykład wykonasz synchronizację pełną lub przyrostową 1.com, użytkownik1 i group1 zostaną zsynchronizowane. Ponadto użytkownicy2 i group2 są zastępowane informacjami o użytkowniku1 i group1.
Użytkownik1 łączy użytkownika2 z tym samym rekordem w bazie danych; group1 łączy group2 z tym samym rekordem w bazie danych.
- Synchronizacja w przykładzie1.com i przykładzie2.com
-
W przypadku użycia użytkownicy2 i group2 są zsynchronizowani z chmurą i wyświetlani w menu https://admin.webex.com, podczas gdy user1 i group1 nie są.
Należy rozważyć następujące czynności:
- Usuń użytkownika1 i grupę1 z usługi Active Directory, na przykład1.com.
- Wykonaj synchronizację pełną lub przyrostową, na przykład 1.com.
Wynik: informacje o użytkowniku nie zostały zmienione w sekcji https://admin.webex.com. Użytkownik2 nie jest połączony z użytkownikiem1, a grupa2 nie jest połączona z grupą1.
- Wykonaj synchronizację przyrostową, na przykład 2.com.
Wynik: informacje o użytkowniku nie zostały zmienione w sekcji https://admin.webex.com.
- Wykonaj pełną synchronizację na przykład 2.com.
Wynik: Informacje o użytkownikach2 i grupie2 są wyświetlane w sekcji https://admin.webex.com.
Synchronizowanie nowej domeny I zachowywanie istniejącej domeny
Jeśli chcesz zsynchronizować nową domenę (B) przy jednoczesnym utrzymaniu zsynchronizowanych danych użytkownika w innej istniejącej domenie (A), upewnij się, że zainstalowano synchronizację łącznika usług katalogowych dla domeny (B) na obsługiwanym serwerze Windows. Konektor łączy się z nową domeną po początkowej konfiguracji, a informacje o użytkowniku w domenie (A) pozostają niezmienione.
Każda domena musi mieć własny aktywny łącznik. Rozważ dwie domeny z następującą konfiguracją: domena A z łącznikami (ca1) i (ca2) dla lokalnej wysokiej dostępności (HA); domena B z łącznikiem (cb1). (ca1)i (ca2) obsługują domenę A. W tym scenariuszu jeden łącznik jest aktywny, a drugi jest w trybie gotowości (HA). W tym projekcie domena jest zsynchronizowana, ponieważ jeden łącznik jest zawsze aktywny. Tak więc cb1 jest aktywnym łącznikiem dla domeny B, ponieważ domena A ma już aktywny łącznik (ca1 lub ca2).
Ustawianie priorytetu domeny
Ta procedura umożliwia zmianę priorytetu domen Active Directory. Priorytet domeny pozwala określić domenę podstawową, domenę dodatkową itd. Pomaga to, gdy dwóch użytkowników z dwóch różnych domen ma tę samą wartość e-mail zsynchronizowaną z jedną organizacją.
Nie należy korzystać z tej procedury, jeśli w łączniku usług katalogowych jest widoczna jedna domena. Jeśli spróbujesz, łącznik wyświetli komunikat z informacją, że priorytet domeny nie jest wymagany.
Przed rozpoczęciem
Aby uniknąć błędów, zainstaluj lub zaktualizuj łącznik usług katalogowych Cisco do najnowszej wersji. Należy ją pobrać z https://admin.webex.com.
| 1 |
W łączniku usług katalogowych Cisco kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Ustaw priorytet domeny. |
| 3 |
Zaznacz jedną domenę na liście, kliknij przycisk W górę lub W dół, aby zmienić priorytet tej domeny, a następnie kliknij przycisk Zapisz , aby zapisać tę zmianę. Domeny są posortowane według priorytetu od góry do dołu. |
Przełącz domeny
Ta procedura umożliwia ponowne powiązanie łącznika usług katalogowych Cisco z inną domeną.
Przed rozpoczęciem
-
Przed przełączeniem domen upewnij się, że nie są uruchomione żadne zadania synchronizacji.
-
Aby uniknąć błędów, zainstaluj lub zaktualizuj łącznik usług katalogowych Cisco do najnowszej wersji. Należy go pobrać z Control Hub.
| 1 |
W łączniku usług katalogowych Cisco kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Przełącz domenę. |
| 3 |
Jeśli rozumiesz wpływ tej zmiany na Twoje wdrożenie po przeczytaniu przestrogi, a mimo to masz pewność, kliknij przycisk Tak. Po przełączeniu domeny nastąpi wylogowanie z bieżącego łącznika usług katalogowych Cisco, inne domeny w łączniku zostaną wyrejestrowane, a informacje o łączniku na tym komputerze zostaną usunięte. |
| 4 |
Zaloguj się ponownie do łącznika usług katalogowych Cisco i ponownie powiąż domenę. |
Wyłącz synchronizację katalogu
Jeśli musisz zatrzymać synchronizację z łącznika usług katalogowych, możesz ją tymczasowo wyłączyć w Control Hub.
| 1 |
W widoku klienta na stronie https://admin.webex.com wybierz kolejno pozycje , przewiń do pozycji Synchronizacja katalogu i wybierz jedną z nich:
|
| 2 |
Po przeczytaniu monitu kliknij opcję Wyłącz. Synchronizacja zatrzymuje się do czasu ponownego włączenia jej z poziomu łącznika usług katalogowych. |
Usuń mapowanie atrybutów użytkownika
Użyj łącznika usług katalogowych, aby usunąć mapowanie atrybutów Active Directory wcześniej zmapowanych do chmury i zsynchronizowanych z Webex. Po usunięciu mapowania atrybutów wartości atrybutów zostaną usunięte z chmury i nie będą już synchronizowane z usługą Webex. Wartości te można następnie edytować ręcznie.
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Narzędzia > Usuń mapowanie atrybutów użytkownika . |
| 3 |
Wybierz mapowanie, które chcesz usunąć z listy Nazwa atrybutu . |
| 4 |
W obszarze Zakres użytkownika, którego to dotyczy, wybierz jedną z następujących opcji:
|
| 5 |
Kliknij przycisk Zastosuj. |
Zarządzaj zdjęciami profilowymi
Użyj łącznika usług katalogowych, aby zaktualizować zdjęcia profilowe użytkownika lub usunąć puste zdjęcia profilowe użytkownika.
| 1 |
W łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 2 |
Przejdź do pozycji Działania , a następnie kliknij kolejno opcje. |
| 3 |
W obszarze Czynności wybierz jedną z następujących opcji:
|
| 4 |
Kliknij przycisk Zastosuj. |
Odinstaluj i dezaktywuj łącznik usług katalogowych
Po odinstalowaniu wystąpienia łącznika usług katalogowych należy je wyrejestrować. Całkowicie usuń łącznik usług katalogowych dla każdego z poniższych scenariuszy:
-
Nie chcesz już korzystać z synchronizacji katalogu.
-
Nie chcesz korzystać z jednego z wielu łączników usług katalogowych (wysoka dostępność).
-
Chcesz zmienić domenę i zainstalować inny łącznik.
Przed rozpoczęciem
-
W systemie może być skonfigurowanych wiele wystąpień łącznika usług katalogowych dla wysokiej dostępności (HA) lub wielu synchronizacji domen. Wyłącz synchronizację, jeśli odinstalowujesz jedyne lub ostatnie pozostałe wystąpienie łącznika usług katalogowych.
-
Przed odinstalowaniem łącznika usług katalogowych zapisz i zamknij wszystkie ważne prace.
| 1 |
Na komputerze z systemem Windows przejdź do Panelu sterowania, a następnie kliknij pozycję Programy i funkcje. |
| 2 |
Z listy programów kliknij pozycję Łącznik usług katalogowych, wybierz pozycję Odinstaluj, a następnie postępuj zgodnie z monitami. Aby dokończyć odinstalowanie, może być konieczne ponowne uruchomienie systemu. |
| 3 |
W widoku klienta na stronie https://admin.webex.com wybierz kolejno pozycje , przewiń do pozycji Synchronizacja katalogu, kliknij pozycję Więcej |
| 4 |
Po przeczytaniu monitu kliknij opcję Dezaktywuj. Jeśli w środowisku o wysokiej dostępności (HA) nie ma innego łącznika usług katalogowych, konta użytkowników nie są już synchronizowane. |
Uruchamianie narzędzia diagnostycznego
Do rozwiązania problemów z wdrożeniem łącznika usług katalogowych można użyć wbudowanego narzędzia diagnostycznego. Narzędzie to jest instalowane jako część łącznika usług katalogowych w wersji 3.4.
Jeśli synchronizacja nie działała prawidłowo, może wystąpić błąd konfiguracji lub sieci. To narzędzie testuje połączenie z LDAP, dzięki czemu możesz samodzielnie zdiagnozować błędy przed skontaktowaniem się z pomocą techniczną. Jeśli narzędzie zwróci jakikolwiek błąd, można wysłać szczegółowe wyniki dziennika do obsługi.
-
Aby uruchomić testy usług domeny Active Directory:
-
Aby uruchomić testy usług katalogowych Active Directory:
-
Aby uruchomić testy protokołu Lightweight Directory Access Protocol (LDAP):
Rozwiązywanie problemów z łącznikiem usług katalogowych Ciso
Rozwiązywanie problemów i poprawki dotyczące łącznika usług katalogowych
W łączniku usług katalogowych może pojawić się komunikat o błędzie lub inny problem. Ponadto, po zsynchronizowaniu przez łącznik usług katalogowych informacji o użytkownikach, łącznik może wysłać Ci raport e-mail z listą wszelkich problemów z synchronizacją. Informacje o występujących problemach, ich możliwych przyczynach i proponowanych rozwiązaniach można znaleźć w poniższych sekcjach.
Instaluj
Łącznik usług katalogowych przestał działać
Otrzymano wiadomości e-mail z powiadomieniem, że Twój łącznik usług katalogowych nie działa.
-
Łącznik usług katalogowych może nie być poprawnie zainstalowany.
-
Łącznik usług katalogowych może nie być uruchomiony.
-
Sieć może być niedostępna.
Wykonaj następujące czynności:
-
Otwórz . Odszukaj łącznik usług katalogowych. Jeśli go tam nie ma, pobierz najnowszą wersję z Control Hub i zainstaluj ją.
-
Otwórz usługę i znajdź usługę Cisco DirSync. Upewnij się, że wyświetlany jest stan Rozpoczęte. Jeśli usługa jest zatrzymana, kliknij prawym przyciskiem myszy i wybierz opcję Rozpocznij, aby ponownie uruchomić usługę.
-
Upewnij się, że serwer, na którym zainstalowano łącznik usług katalogowych, ma dostęp do Internetu.
Błąd ponownej instalacji
Problem — jeśli natychmiast zainstalujesz nowy łącznik po odinstalowaniu starego, może zostać wyświetlony komunikat o błędzie.
Możliwa przyczyna — w systemie Windows Server 2012 odinstalowywanie klienta wymaga czasu na usunięcie konta usługi z listy usług.
Rozwiązanie — po pewnym czasie spróbuj zainstalować ponownie.
Zaloguj
Łącznik usług katalogowych ulega awarii podczas logowania SSO
Problem
Po wprowadzeniu adresu e-mail ze strony logowania jednokrotnego może się zawiesić Łącznik usług katalogowych.
Rozwiązanie
Wykonaj następujące czynności:
Wykonaj poniższe czynności, aby skonfigurować zasady nowej grupy:
-
Przejdź do kontrolera domeny i otwórz Zarządzanie zasadami grupy (gpedit.msc).
-
Kliknij prawym przyciskiem myszy określony OU lub domenę, a następnie wybierz opcję Utwórz GPO w tej domenie, a następnie Połącz go tutaj
-
Nadaj nazwę zasadom, a następnie kliknij prawym przyciskiem myszy i wybierz opcję Edytuj.
Wykonaj poniższe czynności, aby zmienić zasady na poziomie maszyny:
-
Przejdź do , kliknij prawym przyciskiem myszy pozycję Rejestr, wybierz opcję Nowy, a następnie Element rejestru.
-
W polu Ścieżka klucza wprowadź lub przejdź do HKEY_LOCAL_\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Wprowadź
Disable Script Debuggerdla wartości i wprowadźNiedla danych wartości.Ustawienia powinny być zgodne z tym zrzutem ekranu:
Aby zmienić zasady na poziomie użytkownika, wykonaj następujące czynności:
-
Przejdź do , kliknij prawym przyciskiem myszy pozycję Rejestr, wybierz opcję Nowy, a następnie Element rejestru.
-
W polu Ścieżka klucza wprowadź lub przejdź do HKEY_BIEŻĄCY_UŻYTKOWNIK\SOFTWARE\Microsoft\Internet Explorer\Main.
-
Wprowadź
Disable Script Debuggerdla wartości i wprowadźNiedla danych wartości.Ustawienia powinny być zgodne z tym zrzutem ekranu:
Zmiany wchodzą w życie po uruchomieniu gpupdate /force, ponownym uruchomieniu maszyny (w przypadku zmian maszyny) lub ponownym zalogowaniu użytkownika (w przypadku zmian użytkownika).
Nie można zarejestrować łącznika usług Cisco DirSync
Problem
Logowanie nie powiedzie się i pojawia się następujący komunikat: „Nie można zarejestrować łącznika usług Cisco DirSync”.
Rozwiązanie
System Windows, w którym zainstalowany jest łącznik usług katalogowych, musi być członkiem usługi Active Directory.
Nie pojawia się strona logowania
Problem
Otwarto łącznik usług katalogowych, a strona logowania nie została wyświetlona.
Rozwiązanie
Wykonaj następujące czynności:
-
W programie Internet Explorer przejdź do obszaru https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Wypróbuj to łącze w innych przeglądarkach, takich jak Chrome i Firefox.
-
Jeśli program Internet Explorer nie może odwiedzić łącza, ale inne przeglądarki mogą, sprawdź ustawienia programu Internet Explorer i zaznacz pola wyboru TLS 1.1 i 1.2. (Użyj procedury Włącz TLS w przeglądarce Internet Explorer ).
Pojawi się monit o zalogowanie
Problem
Zostanie wyświetlony monit z prośbą o podanie nazwy użytkownika i hasła w celu przejścia uwierzytelniania.
Możliwa przyczyna
Łącznik usług katalogowych cicho uzupełnia uwierzytelnianie zabezpieczeń NTLM kontem logowania. Jeśli uwierzytelnienie się nie powiedzie, zostanie wyświetlone okno dialogowe z prośbą o nazwę użytkownika i hasło uwierzytelniania.
Rozwiązanie
Gdy pojawi się okno podręczne logowania, w celu zapewnienia bezpieczeństwa należy podać prawidłowe konto z poprawnym uwierzytelnieniem.
Nie można połączyć się ze zdalnym serwerem
Problem
W trakcie normalnej pracy pojawia się komunikat o błędzie "Nie można połączyć się ze zdalnym serwerem".
Możliwa przyczyna
Mogą wystąpić problemy z serwerem proxy, które trzeba rozwiązać.
Rozwiązanie
Więcej informacji na temat rozwiązywania problemów z logowaniem do konta usługi zawiera temat Rozwiązywanie problemów z logowaniem do konta usługi.
Nie można zarejestrować łącznika
Problem
Zostanie wyświetlony komunikat o błędzie „Nie można zarejestrować łącznika. Wystąpił ogólny wyjątek”.
Możliwa przyczyna
W większości przypadków problem jest taki, że łącznik usług katalogowych nie ma uprawnień do łączenia się z kontekstem głównym LDAP.
Rozwiązanie
Wykonaj następujące czynności:
-
Uruchom monit z poleceniem (cmd), a następnie wprowadź ldp.exe.
-
Kliknij kolejno opcje , wybierz opcję Powiązanie jako aktualnie zalogowanego użytkownika, a następnie kliknij przycisk OK.
-
Kliknij kolejno opcje i wprowadź DC=arbonneintl,DC=ad jako BaseDN, a następnie kliknij OK.
-
Jeśli problem będzie nadal występował, otwórz sprawę w dziale pomocy technicznej.
Synchronizacja
Awatary niezsynchronizowane
Problem
Łącznik usług katalogowych Cisco synchronizował dane użytkowników AD z chmurą Webex. Nie zsynchronizowano jednak żadnych danych awatara.
Możliwa przyczyna
Jeśli ponownie użyłeś istniejącego serwera awatara, a awatary użytkowników zostały już zsynchronizowane, lokalna pamięć podręczna przechwytuje je i zapobiega ponownemu wysyłaniu, aby oszczędzać przepustowość.
Rozwiązanie
Usuń lokalną pamięć podręczną, wykonując następujące czynności:
-
Przejdź do C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
Usuń DirSyncPluginAvatar.dll-cache.bin.
-
Uruchom ponownie synchronizację awatara z poziomu łącznika usług katalogowych Cisco.
Sprzeczne konta e-mail użytkowników
Problem
Wyniki synchronizacji mogą wskazywać sprzeczne konta e-mail użytkowników.
-
Jeśli użytkownicy wypróbowali bezpłatną wersję aplikacji Webex, ich adresy e-mail znajdują się w bezpłatnej organizacji konsumenckiej.
-
Czy adresy e-mail użytkowników były kiedykolwiek synchronizowane w innej organizacji.
-
jeśli adresy e-mail użytkowników istnieją w wielu domenach należących do organizacji.
Rozwiązanie
Wykonaj następujące czynności:
-
Jeśli próbujesz zgłosić użytkowników, wykonaj następujące czynności:
-
Upewnij się, że zweryfikowano domenę w Control Hub.
-
Całkowicie wyłącz łącznik usług katalogowych Cisco.
-
Użyj opcji Zgłoś użytkownika w Control Hub, aby zgłosić wszystkie konta, które mogą istnieć w bezpłatnej organizacji konsumenckiej. Aby uzyskać więcej informacji, zobacz Zgłaszanie użytkowników do organizacji (konwertowanie użytkowników) .
-
Przeprowadź przebieg próbny w łączniku usług katalogowych Cisco, a następnie ponownie włącz synchronizację katalogów
-
-
W ostatnim przypadku należy dwukrotnie sprawdzić dane użytkowników ze źródeł usługi Active Directory.
Skonwertowany użytkownik oznaczony jako nieaktywny
Problem
W środowisku zsynchronizowanym z katalogiem przekonwertowano użytkownika bezpłatnego (organizacji konsumenckiej) na organizację firmową, ale przekonwertowany użytkownik nie może zalogować się do aplikacji Webex.
Możliwa przyczyna
Gdy użytkownik bezpłatny zostanie przekonwertowany na organizację firmową, jest on oznaczany jako nieaktywny przez 30 dni jako środek dotyczący zgodności z przepisami bezpieczeństwa. W tym okresie użytkownik nie może zalogować się do aplikacji Webex i jest oznaczany do usunięcia po upływie 30-dniowego okresu. Wynika to z faktu, że informacje o użytkowniku w wersji bezpłatnej nie znajdują się w usłudze Active Directory.
Rozwiązanie
Musisz podjąć działania, jeśli nie chcesz usunąć konta użytkownika. Aby rozwiązać ten problem, utwórz konto użytkownika w usłudze Active Directory w siedzibie, które odpowiada skonwertowanemu bezpłatnemu konwertowanemu kontowanemu koncie użytkownika. Następnie wykonaj synchronizację z poziomu łącznika usług katalogowych Cisco. Wówczas użytkownik będzie mógł ponownie zalogować się do aplikacji Webex, a konto nie zostanie usunięte.
Synchronizacja przyrostowa nie powiodła się
Problem
Synchronizacja przyrostowa nie powiodła się.
Ten problem może wystąpić w systemie Windows Server 2008 R2 w następujących warunkach:
-
Obsługiwane są aktualizacje wartości przyrostowych.
-
Używany filtr odwołuje się do atrybutu wartości połączonej.
-
Wartości wyników tego atrybutu były aktualizowane od czasu ostatniej pełnej synchronizacji.
Rozwiązanie
W systemie Windows Server 2008 R2 występuje błąd związany z tym problemem. Błąd został naprawiony w 2012 r2 i później. Zalecamy uaktualnienie serwera Windows do co najmniej 2012 R2.
Nieprawidłowa wartość atrybutu
Problem
W przypadku atrybutu [user dn (nazwa wyróżniająca)] atrybut [nazwa atrybutu] ma następującą nieprawidłową wartość [wartość atrybutu].
Możliwa przyczyna
Dla CN=b,OU=Pracownicy,OU=C Użytkownicy,DC=c,DC=com atrybut [numer telefonu] ma następującą nieprawidłową wartość: +. Ten atrybut musi zawierać co najmniej jedną cyfrę.
Rozwiązanie
Atrybut tego użytkownika nie ma prawidłowej wartości. Napraw wartość zgodnie z opisem w komunikacie ostrzegawczym. Następnie wykonaj inną synchronizację.
Dopasowani użytkownicy do usunięcia
Problem
Dopasowani użytkownicy są oznaczani jako usunięci.
Podczas wykonywania synchronizacji przebiegu próbnego w celu sprawdzenia danych między usługą Active Directory a chmurą, w obu przypadkach może być widoczny ten sam adres e-mail. Użytkownik jest jednak oznaczany jako obiekt, który ma zostać usunięty.
Rozwiązanie
Wybierz odpowiednią poprawkę:
-
Jeśli usunięcie użytkownika i powtórzyć licencje po jego zakończeniu, możesz użyć łącznika usług katalogowych do naprawienia. Wykonaj synchronizację, aby usunąć użytkownika, a następnie wykonaj inną synchronizację, aby zsynchronizować użytkownika z lokalnej usługi AD z chmurą.
-
Jeśli nie możesz usunąć i odtworzyć konta użytkownika, otwórz sprawę w dziale pomocy technicznej.
Brak atrybutu
Problem
Wymagany atrybut [attribute_name] podczas dodawania wpisu lokalnego [user dn (nazwa wyróżniająca)]. Wpis nie zostanie utworzony w Control Hub, dopóki wszystkie wymagane atrybuty nie będą miały wartości.
Możliwa przyczyna
Brak wymaganego adresu e-mail atrybutu. Podczas dodawania wpisu lokalnego [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local] wpis nie zostanie utworzony w Control Hub, dopóki wszystkie wymagane atrybuty nie będą miały wartości.
Rozwiązanie
Brakuje jednego z wymaganych atrybutów użytkownika [user_email_address]. Podaj wymagane wartości dla tego użytkownika.
Grupa zagnieżdżona nie zostanie zsynchronizowana
Problem
Użytkownicy w zagnieżdżonej grupie Active Directory nie są prawidłowo synchronizowani z chmurą.
Możliwa przyczyna
Używany jest filtr zawierający zarówno grupę podrzędną, jak i grupę nadrzędną, co nie jest obsługiwane. Na przykład: (memberof=CN=testgroup1,CN=użytkownicy,DC=rktest2008,DC=org)
Rozwiązanie
Należy ponownie skonfigurować filtr, który synchronizuje grupy. Na przykład: |(memberof=CN=testgroup1,CN=użytkownicy,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=użytkownicy,DC=rktest2008,DC=org)
Konflikt nazewnictwa użytkowników
Problem
Wystąpił konflikt nazw dla [user dn] dla istniejącego obiektu wpisu w chmurze o nazwie: [adres e-mail użytkownika] i typ użytkownika [user_type].
Możliwa przyczyna
Użytkownik o tym adresie e-mail już istnieje w Control Hub.
Rozwiązanie
Utwórz użytkownika w usłudze Active Directory z tym samym adresem e-mail, co konto zarejestrowane w Control Hub.
Control Hub
Brak listy użytkowników w Control Hub
Problem
Jeśli masz organizację Webex z ponad 1000 zsynchronizowanymi użytkownikami, lista użytkowników może nie być widoczna w Control Hub.
Rozwiązanie
Za pomocą funkcji wyszukiwania można znaleźć konto użytkownika. W Control Hub przejdź do strony Użytkownicy, kliknij pozycję Szukaj , a następnie wprowadź kryteria wyszukiwania, aby zlokalizować określonego użytkownika.
Grupy nie zostaną zsynchronizowane z Control Hub
Problem
Użytkownicy w grupie książki adresowej nie będą prawidłowo synchronizowani z Control Hub.
Możliwa przyczyna
Grupa nie jest oznaczona jako isCriticalSystemObject w usłudze Active Directory.
Rozwiązanie
Upewnij się, że atrybut isCriticalSystemObject jest ustawiony na TRUE w Active Directory.
Włącz rozwiązywanie problemów z łącznikiem usług katalogowych
Możesz włączyć rozwiązywanie problemów, aby pomóc zdiagnozować wszelkie błędy napotkane w łączniku usług katalogowych. Rozwiązywanie problemów umożliwia przechwytywanie informacji o ruchu w sieci i zapisywanie ich w pliku.
Pliki dziennika, które są: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
Uruchom plik |
| 2 |
Uruchom ponownie usługę. Wskazówki zawiera temat Jak uruchamiać usługi . |
| 3 |
W Łączniku usług katalogowych kliknij pozycję Pulpit nawigacyjny. |
| 4 |
Przejdź do pozycji Działania, a następnie kliknij pozycję Narzędzia > Rozwiązywanie problemów . |
| 5 |
Po włączeniu funkcji rozwiązywania problemów należy powtórzyć czynności, które powodowały błąd. Przechwytuje to dane o ruchu, aby można je było zbadać. |
| 6 |
Sprawdź pliki dzienników: Jeśli plik jest pusty, upewnij się, że konto ma uprawnienia dostępu do usług AD DS lub AD LDS. W folderze dzienników są zapisywane tylko pliki przez ostatnie 3 dni. Zawartość w plikach dziennika jest zgodna z emisją dziennika zdarzeń do systemu. |
| 7 |
W razie potrzeby wyślij plik dziennika, aby uzyskać pomoc. |
| 8 |
Po zakończeniu wyłącz funkcję rozwiązywania problemów. |
Uruchom przeglądarkę zdarzeń
Aby zobaczyć zdarzenia, które wystąpiły podczas pełnej lub stopniowej synchronizacji, uruchom przeglądarkę zdarzeń. Zawiera on podsumowanie zdarzeń administracyjnych i dzienników błędów.
| 1 |
W Directory Connector przejdź do Dashboard, a następnie kliknij kolejno opcje . W oknie dialogowym Właściwości zdarzenia są wyświetlane szczegóły zdarzenia synchronizacji i szczegóły błędu. |
| 2 |
W Podglądzie zdarzeń przejdź do .
|
| 3 |
W obszarze Czynności kliknij pozycję Zapisz wszystkie zdarzenia jako , aby wyeksportować wszystkie dzienniki jako pojedynczy plik zdarzeń (*.evtx) lub inny format, taki jak xml lub csv. |
Co zrobić dalej
Jeśli chcesz otworzyć zgłoszenie, skontaktuj się z pomocą techniczną, opisz problem z łącznikiem, a następnie załącz plik Events do zgłoszenia.
Dzienniki zdarzeń przechwytują czynności użytkownika. Aby uzyskać pomoc w zarządzaniu ruchem sieciowym, włącz rozwiązywanie problemów z konektorem.
Włączanie protokołu TLS w przeglądarce Internet Explorer
W przypadku przełączenia dostawców jednokrotnego logowania (SSO) mogą zostać wyświetlone następujące komunikaty o błędach łącznika usług katalogowych Cisco:
-
Wystąpił błąd podczas logowania do usługi
-
Na tej stronie wystąpił błąd w skrypcie
Jeśli pojawią się te błędy, należy włączyć ustawienie TLS w przeglądarce.
| 1 |
Otwórz Internet Explorer, a następnie wybierz pozycję Narzędzia. Zaznacz pola wyboru wersji TLS/SSL, którą chcesz włączyć. Kliknij przycisk OK Zamknij przeglądarkę i otwórz ją ponownie. |
| 2 |
Kliknij pozycję Opcje internetowe , przejdź do sekcji Zaawansowane , przewiń do sekcji Zabezpieczenia. |
| 3 |
Zaznacz pola wyboru Użyj protokołu TLS 1.1 i Użyj protokołu TLS 1.2 , a następnie kliknij przycisk OK.
|
| 4 |
Aby zmiany odniosły skutek, uruchom ponownie system. |
Rozwiązywanie problemów z logowaniem do konta usługi
Jeśli nie możesz zalogować się do łącznika usług katalogowych Cisco lub nie możesz uruchomić synchronizacji, wykonaj poniższe czynności, aby spróbować rozwiązać problem przed skontaktowaniem się z pomocą techniczną.
| 1 |
Spróbuj odwiedzić witrynę https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL w przeglądarce internetowej. |
| 2 |
Wybierz jedną z nich, w zależności od wyników:
|
| 3 |
Należy upewnić się co najmniej, że skonfigurowane konto dla usługi Cisco DirSync (które można znaleźć w usługach systemu Windows) ma poziom uprawnień umożliwiający dostęp do danych awatara i danych usługi AD. Domyślnie usługa wykorzystuje poświadczenia logowania do konta systemu Windows oraz uwierzytelnianie. |
Sprawdź SafeDllSearchMode w rejestrze systemu Windows
Tryb wyszukiwania biblioteki łączy dynamicznych (DLL) jest domyślnie ustawiony w rejestrze systemu Windows i umieszcza bieżący katalog użytkownika w kolejności wyszukiwania DLL. Jeśli ten tryb został w jakiś sposób wyłączony, napastnik może umieścić złośliwy plik DLL (o nazwie takiej samej jak plik DLL znajdujący się w folderze systemowym) do bieżącego katalogu roboczego aplikacji.
Zazwyczaj SafeDllSearchMode jest włączony, ale ta procedura służy do podwójnego sprawdzenia ustawień rejestru.
Przed rozpoczęciem
Zmiany w rejestrze systemu Windows należy przeprowadzać z dużą ostrożnością. Zalecamy, aby przed wykonaniem tych czynności wykonać kopię zapasową rejestru.
| 1 |
W oknie wyszukiwania systemu Windows lub oknie Uruchom wpisz regedit , a następnie naciśnij Enter. |
| 2 |
Przejdź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager. |
| 3 |
Wybierz jedną z nich:
|
Aby uzyskać więcej informacji, zobacz Kolejność wyszukiwania biblioteki dynamicznych łączy.
