Благодарим вас за обратную связь.

Способы добавления пользователей и управления ими в вашей организации

1.	Установить соединитель каталога Синхронизация каталога в Control Hub изначально отображается как отключенная. Чтобы включить синхронизацию каталогов для вашей организации, необходимо установить и настроить соединитель каталогов, а затем успешно выполнить полную синхронизацию. Для новой установки соединителя каталогов всегда перейдите в Control Hub ( https://admin.webex.com), чтобы получить последнюю версию программного обеспечения с использованием последних функций и исправлений ошибок. После установки программного обеспечения об обновлениях сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
2.	Вход В Соединитель Каталогов Войдите с помощью учетных данных администратора Webex и выполните начальную настройку.
3.	Настройка автоматической модернизации Всегда важно поддерживать программное обеспечение соединителя каталогов в актуальном состоянии до последней версии. Рекомендуется использовать эту процедуру, чтобы разрешить автоматическую модернизацию программного обеспечения в фоновом режиме, когда она доступна.
4.	Выбор объектов Active Directory для синхронизации По умолчанию соединитель каталогов синхронизирует всех пользователей, которые не являются компьютерами, и все группы, которые не являются критическими системными объектами для домена. Для получения дополнительной информации о том, какие объекты синхронизируются, можно выбрать определенных пользователей для синхронизации и задать фильтры LDAP с помощью страницы выбора объектов в соединителе каталогов.
5	Сопоставление атрибутов пользователя Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid.
6	Синхронизируйте аватары каталога с помощью одной из приведенных ниже процедур. Синхронизация аватаров каталога из атрибута Active Directory в облако Синхронизация аватаров каталогов с сервера ресурсов в облако Можно синхронизировать аватары пользователей с облаком, чтобы аватар каждого пользователя отображался при входе в приложение. Можно синхронизировать аватары с помощью атрибута Active Directory или сервера ресурсов.
7.	Синхронизация информации о локальной комнате с облаком Webex Используйте эту процедуру для синхронизации информации о локальных комнатах из Active Directory в облако Webex. После синхронизации информации о комнате локальные устройства комнат с настроенным сопоставленным адресом SIP отображаются в качестве записей с возможностью поиска на зарегистрированных в облаке устройствах комнат, таких как устройство Webex Room или Cisco Webex Board
8	Чтобы подготовить пользователей из Active Directory в Control Hub, выполните следующие действия. Выполните пробную синхронизацию для пользователей Active Directory Полная синхронизация пользователей Active Directory в облаке Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub Следуйте этой последовательности, чтобы подготовить пользователей Active Directory для учетных записей приложения Webex. Для соединителя каталогов 3.0 и последующих версий можно подготовить пользователей из нескольких лесов или нескольких доменов Active Directory. Во время процесса подключения пользователей из разных доменов необходимо решить, следует ли сохранять или удалять объекты пользователей, которые уже могут существовать в облаке Webex, например, протестировать учетные записи из пробной версии. Цель заключается в точном сопоставлении активных каталогов с облаком Webex.

Установить соединитель каталога

Синхронизация каталога в Control Hub изначально отображается как отключенная. Чтобы включить синхронизацию каталогов для вашей организации, необходимо установить и настроить соединитель каталогов, а затем успешно выполнить полную синхронизацию.

Необходимо установить один соединитель для каждого домена Active Directory, который необходимо синхронизировать. Один экземпляр соединителя каталогов может обслуживать только один домен. Чтобы понять процесс синхронизации нескольких доменов, см. следующую диаграмму.

***Поток нескольких доменов для соединителя каталогов***

Перед началом работы

При аутентификации через прокси-сервер убедитесь, что у вас есть учетные данные прокси:

Для базовой аутентификации прокси вы введете имя пользователя и пароль после установки экземпляра соединителя. Конфигурация прокси-сервера Internet Explorer также необходима для базовой аутентификации; см. статью Использование веб-прокси через браузер
При первом открытии соединителя для прокси-сервера NTLM может возникнуть ошибка. См. статью Использование веб-прокси через браузер.

В Control Hub перейдите к Пользователи > Управление пользователями > Включить синхронизацию каталога и выберите Далее.

Щелкните ссылку Скачать и установить, чтобы сохранить последнюю версию файла установки соединителя ZIP на сервер VMware или Windows.

Файл ZIP можно получить непосредственно по этой ссылке, однако для работы этого программного обеспечения необходимо иметь полный административный доступ к организации Control Hub.

Для новой установки получите последнюю версию программного обеспечения, чтобы вы использовали последние функции и исправления ошибок. После установки программного обеспечения об обновлениях сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.

На сервере VMware или Windows распакуйте и запустите файл .msi в папке setup, чтобы запустить мастер настройки.

Нажмите Далее, установите флажок, чтобы принять лицензионное соглашение, а затем нажмите Далее, пока не отобразится экран типа учетной записи.

Выберите тип учетной записи службы, которую необходимо использовать, и выполните установку с помощью учетной записи администратора.

Локальная система. Параметр по умолчанию. Этот параметр можно использовать, если прокси настроен через Internet Explorer.

Учетная запись домена. Используйте этот параметр, если компьютер является частью домена. Соединитель каталогов должен взаимодействовать с сетевыми службами для доступа к ресурсам домена. Введите данные учетной записи и нажмите ОК. При вводе имени пользователя используйте формат {domain}\{user_name}

Для прокси, который интегрируется с AD (NTLMv2 или Kerberos), необходимо использовать параметр учетной записи домена. Учетная запись, используемая для запуска службы соединителя каталогов, должна иметь достаточные права для передачи прокси и доступа к AD.

Во избежание ошибок убедитесь в наличии следующих прав:

Сервер является частью домена
Учетная запись домена может получить доступ к локальным данным AD и данным аватаров. Учетная запись также должна иметь роль локального администратора, поскольку она должна иметь доступ к файлам доступа в разделе C:\Program Files.
Для входа в виртуальную машину права учетной записи администратора должны быть по крайней мере в состоянии читать информацию о домене.

Щелкните Установить. После запуска сетевого тестирования и при появлении соответствующего запроса введите базовые учетные данные прокси-сервера, нажмите ОК, а затем нажмите Готово.

Дальнейшие действия

Рекомендуется перезагрузить сервер после установки. В пробном отчете не отображается правильный результат, если данные не были опубликованы. Во время перезагрузки машины обновляются все данные, чтобы показать точный результат в отчете.

Вход В Соединитель Каталогов

Перед началом работы

Убедитесь, что у вас есть учетные данные прокси.

Для базовой аутентификации прокси введите имя пользователя и пароль после первого открытия соединителя.
Для прокси-сервера NTLM откройте Internet Explorer, щелкните пиктограмму шестеренки, перейдите в раздел Свойства интернета > Соединения > настройки локальной сети, убедитесь, что информация о прокси-сервере добавлена, а затем нажмите OK. См. статью Использование веб-прокси через браузер.

Откройте разъем, а затем добавьте https://idbroker.webex.com в список доверенных веб-сайтов, если вы видите подсказку.

При появлении соответствующего запроса войдите в систему с помощью учетных данных для аутентификации прокси, затем войдите в Webex с помощью учетной записи администратора и щелкните Далее.

Подтвердите свою организацию и домен.

Если выбран AD DS, установите флажок LDAP по протоколу SSL, чтобы использовать безопасный LDAP (LDAPS) в качестве протокола подключения, выберите домен, с которого необходимо синхронизировать, и нажмите кнопку Подтвердить.

Если вы не проведете проверку LDAP по протоколу SSL, DirSync продолжит использовать протокол подключения LDAP.

LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в пределах инфраструктуры. Связь LDAPS зашифрована и защищена.

Если выбран AD LDS, введите хост, домен и порт, а затем щелкните Обновить , чтобы загрузить все разделы приложения. Затем выберите раздел из раскрывающегося списка и нажмите Confirm. Дополнительную информацию см. в разделе AD LDS.

На вкладке CloudConnectorCommon.dll файл конфигурации, убедитесь, что вы добавили настройку ADAuthLevel в узел appSetting . Значения могут быть 1, 2 или 3. Дополнительную информацию о AuthenticationTypes см. в этой статье от Microsoft. Ниже приведен пример настройки со значением 1:

<appSettings>
<add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" />
<add key="ADAuthLevel" value="1" />
</appSettings>

После отображения экрана Confirm Organization (Подтвердить организацию) щелкните Confirm (Подтвердить).

Если вы уже связали AD DS/AD LDS, отобразится экран Confirm Organization (Подтвердить организацию).

Щелкните Confirm (Подтвердить).

Выберите один из них в зависимости от количества доменов Active Directory, которые необходимо связать с соединителем каталогов.

Если у вас есть один домен, который является AD LDS, свяжите его с существующим источником AD LDS и щелкните Confirm.
Если у вас есть один домен, который является AD DS, свяжите его с существующим доменом или новым. Если вы выбрали Связать с новым доменом, нажмите Далее.
Поскольку существующим типом источника является AD DS, вы не можете выбрать AD LDS для новой привязки.
Если у вас несколько доменов, выберите существующий домен из списка или Связать с новым доменом и нажмите Далее.
Поскольку у вас несколько доменов, существующий тип источника должен быть AD DS. Если вы выберете Связать с новым доменом и нажмите Далее, вы не сможете выбрать AD LDS для новой привязки.

Дальнейшие действия

После входа вам будет предложено выполнить синхронизацию пробного запуска.

Инструментальная панель соединителя каталогов

При первом входе в соединитель каталогов отображается инструментальная панель. Здесь можно просмотреть сводную информацию обо всех действиях по синхронизации, просмотреть статистику в облаке, выполнить пробную синхронизацию, начать полную или инкрементную синхронизацию и запустить представление event-совещания, чтобы просмотреть информацию об ошибках.

Если время ожидания сеанса истекло, войдите в систему.

Эти задачи можно легко выполнить на панели инструментов действий или в меню действий.

Таблица 1. Компоненты инструментальной панели
Компонент	Описание
Начните синхронизацию	Отображает информацию о состоянии синхронизации, которая выполняется в данный момент. Если синхронизация не выполняется, отображение состояния находится в режиме ожидания.
Начните синхронизацию	Отображает следующую запланированную полную и инкрементальную синхронизацию. Если расписание не задано, отображается параметр Не запланировано.
Начните синхронизацию	Отображает состояние последних двух синхронизаций.
Текущее состояние синхронизации	Отображает общее состояние синхронизации.
Соединители	Отображает текущие локальные соединители, доступные в облаке.
Статистика вызовов	Отображает общее состояние синхронизации.
График синхронизации	Отображает график синхронизации для инкрементной и полной синхронизации.
Сводная информация о конфигурации	Список настроек, измененных в конфигурации. Например, резюме может включать следующее: Все объекты будут синхронизированы Все пользователи будут синхронизированы Удаленное пороговое значение отключено.

Таблица 2. панель инструментов действий

Действие

Описание

Начать инкрементальную синхронизацию

Начать инкрементальную синхронизацию вручную

Это действие отключается при приостановке или отключении синхронизации, если полная синхронизация не была завершена или если синхронизация выполняется.

Синхронизация пробного запуска

Выполните синхронизацию пробного запуска.

Запустить программу просмотра event-совещаний

Запустите средство просмотра событий Microsoft.

Обновить

Обновление инструментальной панели соединителя каталогов Cisco

Таблица 3. Действия Menubar
Действие	Описание
Синхронизировать сейчас	Начните полную синхронизацию мгновенно.
Режим синхронизации	Выберите режим инкрементной или полной синхронизации.
Сброс секрета соединителя	Установите разговор между соединителем каталогов Cisco и службой соединителя. При выборе этого действия секретный код будет сброшен в облаке, а затем сохранен локально.
Пробный Запуск	Выполните тест процесса синхронизации. Перед полной синхронизацией необходимо выполнить пробный запуск.
Устранение неполадок	Включение/выключение устранения неполадок.
Обновить	Обновите главный экран соединителя каталогов Cisco.
Выход	Выйдите из соединителя каталогов Cisco.

Таблица 4. Комбинации клавиш
Комбинация клавиш	Действие
Alt +A	Показать меню действий
`Alt +A + S`	Синхронизация сейчас
`Alt +A + R`	Сброс секрета соединителя
`Alt +A + D`	Пробный запуск
`Alt +A + S + I`	Дополнительная синхронизация
`Alt +A + S + F`	Полная синхронизация
`Alt + H`	Показатьменю справки
`Alt + H + H`	Справка
`Alt + H + A`	О приложении
`Alt + H + F`	Вопросы и ответы

Настройка автоматической модернизации

1.	В соединителе каталогов перейдите к Конфигурация > Общие, а затем установите флажок Автоматическая модернизация до новой версии соединителя каталогов Cisco.
2.	Щелкните Применить , чтобы сохранить изменения.

Новые версии соединителя устанавливаются автоматически, когда они доступны.

При желании модернизацию можно управлять вручную. Дополнительную информацию см. в разделе Модернизация до последнего выпуска программного обеспечения.

Выбор объектов Active Directory для синхронизации

По умолчанию соединитель каталогов синхронизирует всех пользователей, которые не являются компьютерами, и все группы, которые не являются критическими системными объектами для домена. Для получения дополнительной информации о том, какие объекты синхронизируются, можно выбрать определенных пользователей для синхронизации и задать фильтры LDAP с помощью страницы выбора объектов в соединителе каталогов.

Группы для автоматического назначения лицензий

Control Hub позволяет управлять назначениями лицензий для каждой группы. Можно создавать шаблоны лицензий и сопоставлять их с группами Active Directory, которые синхронизируются с облаком. В момент создания пользователя Webex проверяет членство пользователей и автоматическое сопоставление шаблонов лицензий для этого нового пользователя.

Рекомендуется использовать фильтр LDAP только для синхронизации соответствующих групп с облаком. Например, можно настроить фильтр следующим образом:

(&(cn=Example)(objectclass=Group))*

Этот фильтр синхронизирует все группы в базовом доменном домене, где имя начинается с Example. Пользователям, не назначенным группам, назначаются лицензии из шаблона автоматических лицензий по умолчанию, настроенного в Control Hub.

Экран выбора объекта в соединителе каталогов

Группы для развертываний безопасности данных гибридного типа

В соединителе каталогов необходимо проверить группы при использовании службы безопасности данных гибридного типа для настройки пробной группы для пилотных пользователей. См. руководство по развертыванию службы безопасности данных гибридного типа . Эта настройка соединителя каталогов не влияет на синхронизацию других пользователей с облаком.

Перед началом работы

В соединителе каталогов перейдите в раздел Конфигурация и щелкните Выбор объекта.

В разделе Тип объекта установите флажок Пользователи и подумайте об ограничении количества контейнеров с возможностью поиска для пользователей.

Например, если необходимо синхронизировать только пользователей из определенной группы, необходимо ввести фильтр LDAP в поле Пользователи LDAP фильтры. Чтобы синхронизировать пользователей из группы Example-manager, используйте фильтр, подобный этому:

(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))

Установите флажок Identify Room , чтобы отделить данные комнаты от данных пользователя. Щелкните Настроить , если необходимо настроить дополнительные атрибуты для идентификации данных пользователей в качестве данных комнаты.

Используйте эту настройку, если необходимо синхронизировать информацию о локальных комнатах из Active Directory в облако Webex. После синхронизации информации о комнате локальные устройства комнат с настроенным сопоставленным SIP-адресом отображаются в качестве записей с возможностью поиска на зарегистрированных в облаке устройствах комнат. Дополнительную информацию см. в статье Синхронизация информации о локальной комнате с облаком Webex.

Установите флажок Группы , если необходимо синхронизировать группы пользователей Active Directory с облаком.

Не добавляйте фильтр LDAP для синхронизации пользователей в поле "Группы". Вы должны использовать только поле "Группы" для синхронизации самих данных группы с облаком.

По умолчанию группы не синхронизируются для новых клиентов. Необходимо включить синхронизацию групп. Необходимо также синхронизировать группы безопасности.

Установите флажок Контакты , если необходимо синхронизировать контактную информацию пользователей с облаком.

Соединитель каталогов управляет только контактами, синхронизированными соединителем. Если в Control Hub уже есть контакты, синхронизация не удаляет их. Если контакты будут удалены из области синхронизации, контактные данные пользователей также будут удалены в Control Hub.

Настройте фильтры LDAP . Можно добавить расширенные фильтры, предоставив действительный фильтр LDAP. Дополнительную информацию о настройке фильтров LDAP см. в этой статье .

Укажите доменные имена локальной базы для синхронизации, щелкнув Выбрать, чтобы просмотреть структуру дерева Active Directory. Здесь можно выбрать или отменить выбор контейнеров для поиска.

Убедитесь, что объекты, которые необходимо добавить для этой конфигурации, и нажмите Select.

Можно выбрать индивидуальные или родительские контейнеры для синхронизации. Выберите родительский контейнер, чтобы включить все дочерние контейнеры. При выборе контейнера для детей в родительском контейнере отображается серый флажок, указывающий на то, что ребенок был отмечен. Затем щелкните Select (Выбрать), чтобы принять проверенные контейнеры Active Directory.

Если ваша организация поместит всех пользователей и группы в контейнер "Пользователи", вам не придется искать другие контейнеры. Если ваша организация разделена на единицы организации, убедитесь, что выбраны OU.

Нажмите Применить.

Выберите один из вариантов.

Применить изменения конфигурации
Пробный Запуск
Отмена

Информацию о пробных запусках см. в разделе Синхронизация пробных запусков для пользователей Active Directory.

Для синхронизации групп необходимо выполнить полную синхронизацию. Выполните полную синхронизацию пользователей Active Directory в облако.

Сопоставление атрибутов пользователя

Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid, уникальный идентификатор для каждой учетной записи пользователя в облачной службе удостоверений.

Можно выбрать атрибут Active Directory для сопоставления с облаком, например firstName lastName в Active Directory или пользовательское выражение атрибута для displayName в облаке.

Учетные записи в Active Directory должны иметь адрес электронной почты; идентификатор UID по умолчанию сопоставляется с ad поле почты (не sAMAccountName).

Если выбран предпочтительный язык из Active Directory, то Active Directory является единственным источником истины: пользователи не смогут изменить настройки языка в настройках Webex, а администраторы не смогут изменить эту настройку в Control Hub.

В соединителе каталогов щелкните Конфигурация, а затем выберите Сопоставление атрибутов пользователя.

На этой странице отображаются имена атрибутов Active Directory (слева) и облака Webex (справа). Все необходимые атрибуты отмечены красной звездочкой.

Прокрутите вниз вниз имена атрибутов Active Directory, а затем выберите один из этих атрибутов Active Directory для сопоставления с идентификатором атрибута облака UID.

mail: используется в большинстве развертываний для формата электронной почты.
userPrincipalName — альтернативный выбор, если атрибут почты используется для других целей в Active Directory. Этот атрибут должен быть в формате электронной почты.

Любой из других атрибутов Active Directory можно сопоставить с UID, однако рекомендуется использовать mail или userPrincipalName, как описано в приведенных выше рекомендациях. В некоторых случаях для входа используется userPrincipalName, но для управления календарем используется адрес электронной почты пользователя. Необходимо указать адрес электронной почты для управления календарем в поле основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. Чтобы узнать, какие атрибуты в Active Directory соответствуют в облаке, см. раздел Сопоставление атрибутов Active Directory в соединителе каталогов.

Чтобы синхронизация работала, необходимо убедиться, что выбранный атрибут Active Directory находится в формате электронной почты. В соединителе каталогов отображается всплывающее окно с напоминанием о том, что вы не выбрали один из рекомендованных атрибутов.

Если предопределенные атрибуты Active Directory не работают для вашего развертывания, щелкните раскрывающийся список атрибутов, прокрутите вниз и выберите Настроить атрибут , чтобы открыть окно, позволяющее определить выражение атрибута.

Щелкните Справка , чтобы получить дополнительную информацию о выражениях и посмотреть примеры работы выражений. Дополнительные сведения см. в разделе Выражения для настраиваемых атрибутов .

В этом примере давайте сопоставим атрибуты Active Directory givenName и Sn к атрибуту облака displayName:

Определить выражение атрибута как givenName + "" + Sn(кавычки являются дополнительным пространством), а затем предоставьте существующий адрес электронной почты пользователя для проверки.
Щелкните Проверить, соответствует ли результат ожидаемому.

Успешный результат выглядит следующим образом:
Если результаты совпадают с ожидаемыми, нажмите OK, чтобы сохранить новый настраиваемый атрибут.

Позже, если вы хотите изменить displayName, можно ввести новое выражение атрибута

Соединитель каталогов проверяет значение атрибута uid в службе удостоверений и извлекает 3 доступных пользователя в соответствии с текущими параметрами фильтра пользователей. Если у всех этих 3 пользователей действительный формат электронной почты, соединитель каталогов Cisco отображает следующее сообщение:

Если атрибут не может быть проверен, будет отображено следующее предупреждение и можно вернуться в Active Directory для проверки и исправления данных пользователя.

(Необязательно) Выберите сопоставления для мобильного и phoneNumber , если необходимо, чтобы мобильные и рабочие номера отображались, например, в карточке контакта пользователя в приложении Webex.

Данные о номере телефона отображаются в приложении Webex при наведении курсора мыши на изображение профиля другого пользователя.

Дополнительную информацию о вызовах с помощью карточки контакта пользователя см. в руководстве по развертыванию Calling в Webex (Unified CM) (администраторы).

Выберите дополнительные сопоставления, чтобы дополнительные данные отображались в карточке контакта.

departmentNumber
displayName
manager
title

После сопоставления атрибутов информация отображается при наведении указателя мыши на изображение профиля другого пользователя.

Просмотр чьей-либо контактная информация

Дополнительную информацию о карточке контакта см. в разделе Проверка контакта.

После синхронизации этих атрибутов с каждой учетной записью пользователя можно также включить функцию "Профессиональные профили" в Control Hub. Эта функция позволяет пользователям приложения Webex предоставлять больше информации в своих профилях и узнавать друг о друге. Дополнительную информацию о функции и способах ее включения см. в профессиональных профилях для Webex, Jabber, Webex Meetings и Webex Events (новая версия) в Control Hub

После выбора нажмите Применить.

Любые данные пользователя, содержащиеся в Active Directory, перезаписывают данные в облаке, соответствующем этому пользователю. Например, при создании пользователя вручную в Control Hub адрес электронной почты пользователя должен совпадать с адресом электронной почты в Active Directory. Любой пользователь без соответствующего адреса электронной почты в Active Directory удаляется.

Удаленные пользователи хранятся в облачной службе удостоверений в течение 7 дней до их окончательного удаления.

Атрибуты Active Directory и облака

Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке с помощью вкладки Сопоставление атрибутов пользователя .

В этой таблице сравнивается сопоставление имен атрибутов Active Directory и имен атрибутов облака Cisco. Эти значения и сопоставления являются настройками по умолчанию в соединителе каталогов. В раскрывающихся списках Active Directory можно выбрать различные атрибуты и определить, какой локальный атрибут синхронизируется с каким атрибутом облака.

Рассматривайте атрибуты раскрывающегося списка как пресеты. В качестве альтернативы значениям в строке Active Directory можно также указать настраиваемый атрибут, свой собственный предустановка, в Active Directory (выражение с несколькими атрибутами) для сопоставления с одним атрибутом облака в соответствующей строке. Таким образом можно гибко определять отображаемые имена пользователей. Например, можно добавить выражение, создающее настраиваемый атрибут на основе заголовка сотрудника, заданного имени и фамилии в Active Directory.

Также можно указать любой атрибут Active Directory для сопоставления с UID в облаке. Однако необходимо убедиться, что локальный атрибут соответствует действительному формату электронной почты.

Можно также использовать альтернативные адреса электронной почты, если, например, вы хотите использовать userPrincipalName для входа в систему, но адрес электронной почты пользователя используется для управления календарем. В этом случае сопоставьте другой адрес электронной почты с атрибутом emails;type-work . Это адрес электронной почты, который используется для аутентификации; он не используется для управления календарем. Адрес электронной почты, который вы сопоставляете из AD, должен быть из проверенного домена в вашей организации. Он должен быть уникальным и не назначаться другому пользователю.

Имена атрибутов Active Directory	Имена атрибутов облака Webex	Примечания
—	имя здания	—
c	c	Этот атрибут указывает аббревиатуру страны пользователя.
номер отдела	номер отдела	Этот атрибут используется для номера отдела пользователя, который отображается в карточке контакта и профессиональных профилях.
displayName	displayName	Этот атрибут используется для отображаемого имени учетной записи пользователя, которое отображается в Control Hub, карточке контакта и профессиональных профилей.
userAccountControl	ds-pwp-account disabled	Этот атрибут используется для синхронизации пользователей. Убедитесь, что атрибут userAccountControl сопоставлен с ds-pwp-account-disabled , иначе синхронизация пользователей не будет выполнена надлежащим образом.
EmployeeNumber	EmployeeNumber	—
facsimileTelephoneNumber	facsimileTelephoneNumber	—
—	jabberID	Этот атрибут облака относится к адресам мгновенных сообщений (типа XMPP), которые используются Jabber. Это значение отличается от sipAddresses.
д	д	Этот атрибут определяет город пользователя.
—	Региональные параметры	—
manager;	manager;	Этот атрибут используется для имени менеджера пользователя, которое отображается в карточке контакта и профессиональных профилях.
mobile	mobile	Этот атрибут используется в качестве мобильного номера, который отображается для вызова пользователя с карточки контакта.
щ	щ	Этот атрибут указывает название компании или организации и отображается в карточке контакта.
ou	ou	Этот атрибут определяет имя организационной единицы.
physicalDeliveryOfficeName	physicalDeliveryOfficeName	Этот атрибут определяет местоположение офиса пользователя.
postalCode	postalCode	Этот атрибут указывает почтовый или почтовый индекс пользователя для физической доставки почты.
Предпочтительный язык	Предпочтительный язык	Этот атрибут устанавливает предпочтительный язык пользователя, поддерживаются следующие форматы: xx_YY или xx-YY. Ниже приведены некоторые примеры. en_США, en_ГБ, fr-CA. При использовании неподдерживаемого языка или недействительного формата предпочтительный язык пользователей будет изменен на язык, заданный для организации.
MSRTCSIP-PrimaryUserAddress ipPhone	SipAddresses;type=enterprise	Этот атрибут используется для синхронизации информации о локальных комнатах из Active Directory в облако Cisco Webex.
sn	sn	Этот атрибут используется для фамилии учетной записи пользователя, которая отображается в Control Hub, карточке контакта и профессиональных профилей.
st	st	Этот атрибут определяет состояние или область пользователя.
streetAddress	Улица	Этот атрибут определяет адрес улицы пользователя для физической доставки почты.
TelephoneNumber	TelephoneNumber	Этот атрибут указывает основной (рабочий) номер телефона пользователя, который используется для вызова пользователя с карточки контакта.
—	часовой пояс	Этот атрибут облака определяет часовой пояс пользователя.
title	title	Этот атрибут определяет заголовок пользователя, отображаемый в карточке контакта и профессиональных профилях.
Тип	Предприятие	—
email *userPrincipalName	uid	Обязательное сопоставление атрибутов. Для каждой учетной записи пользователя значение Active Directory сопоставляется с уникальным идентификатором UID в облаке. В некоторых случаях для входа используется userPrincipalName, но для управления календарем используется адрес электронной почты пользователя. Необходимо указать адрес электронной почты для управления календарем в поле основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. После этого пользователь может использовать любой из этих адресов электронной почты для входа, если установлено правильное сопоставление атрибутов SAML. См. пример сопоставления атрибутов ниже , чтобы узнать, как можно сопоставить альтернативный адрес электронной почты.
*userPrincipalName email <custom attribute="">	электронные сообщения;работа с типами	Это сопоставление необязательно. Используйте его, если необходимо использовать альтернативные адреса электронной почты. Это адрес электронной почты, который используется для аутентификации; он не используется для управления календарем. Адрес электронной почты, который вы сопоставляете из AD, должен быть из проверенного домена в вашей организации. Он должен быть уникальным и не назначаться другому пользователю.
<New attribute="" for="" Azure="" user="" objectId="">	externalId	Создайте новый атрибут Active Directory для удержания пользовательского objectId Azure, чтобы он не конфликтовал с существующим. Затем этот атрибут сопоставляется с атрибутом externalId, обеспечивая автоматическое создание команд пользователями Webex при создании групп в Microsoft 365.

Сопоставление альтернативных адресов электронной почты

Выражения для пользовательских атрибутов

Таблица 5. Выражения для пользовательских атрибутов
Оператор	Описание и пример
%	Удаляет все символы из начала строки в положение символа или аргумента строки, если они совпадают. Выражение примера `"abc@example.com" % "@"` Результат `example.com`
-	Снимает заднюю часть входной строки с конца указанной строки. Выражение примера `"abc@example.com" - "@"` Результат `abc`
+	Объединяет входные строки или выражения. Выражение примера `"abc" + "" + "def"` Результат `abc def`
\|	Оценивает разделенные выражения по пустой строке и выбирает первый непустой результат. Выражение примера `"" \| "abc"` Результат `abc`

Синхронизация аватаров каталога из атрибута Active Directory в облако

Можно синхронизировать аватары каталога пользователей с облаком, чтобы каждый аватар отображался при входе в приложение Webex. Используйте эту процедуру для синхронизации необработанных данных аватара из атрибута Active Directory.

1.	В соединителе каталогов перейдите в раздел Конфигурация, щелкните Аватар, а затем установите флажок Включить.
2.	Для параметра Get avatar from, выберите атрибут AD, а затем выберите атрибут аватара, содержащий необработанные данные аватара, которые необходимо синхронизировать с облаком.
3.	Чтобы проверить правильность доступа к аватару, введите адрес электронной почты пользователя и щелкните Получить аватар пользователя. Аватар отображается справа.
4.	После проверки правильности отображения аватара щелкните Применить, чтобы сохранить изменения.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей приложения Webex. Пользователям не разрешается настраивать собственный аватар после включения этой функции в соединителе каталогов.
Аватары пользователей синхронизируются как с приложением Webex, так и с любыми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Выполните пробную синхронизацию. Если проблем нет, выполните полную синхронизацию, чтобы учетные записи пользователей и аватары Active Directory синхронизировались в облаке и отображались в Control Hub.

Синхронизация аватаров каталогов с сервера ресурсов в облако

Можно синхронизировать аватары каталога пользователей с облаком, чтобы каждый аватар отображался при входе в приложение Webex. Используйте эту процедуру для синхронизации аватаров с сервера ресурсов.

Перед началом работы

Шаблон URI и значение переменной в этой процедуре являются примерами. Необходимо использовать фактические URL-адреса, на которых расположены аватары каталога.
Шаблон URI аватара и сервер, на котором находятся аватары, должны быть доступны из приложения соединителя каталогов. Соединителю необходим доступ к изображениям http или https, однако изображения не должны быть общедоступными в Интернете.
Синхронизация данных аватара отделена от профилей пользователей Active Directory. При запуске прокси необходимо обеспечить доступ к данным аватара с помощью аутентификации NTLM или базовой аутентификации.

1.	В соединителе каталогов перейдите в раздел Конфигурация, щелкните Аватар, а затем установите флажок Включить.
2.	Для параметра Get avatar from, выберите сервер ресурсов и введите шаблон URI аватара. Например, *`http://www.example.com/dir/photo/zoom/{mail: .?(?=@.)}.jpg`* Давайте рассмотрим каждую часть шаблона URI аватара и их значение: http://www.example.com/dir/photo/zoom/—Путь к месту расположения всех фотографий, которые будут синхронизированы. Это должен быть URL-адрес, к которому должна иметь доступ служба соединителя каталогов на вашем сервере. mail: — указывает соединителю каталогов получить значение атрибута mail из Active Directory *.?(?=@.)— синтаксис regex, который выполняет следующие функции: `.`—Любой символ, повторяющий ноль или более раз. `?`— Указывает предшествующей переменной, чтобы она соответствовала как можно меньшему количеству символов. `(?= ... )`— Соответствует группе после основного выражения без включения его в результат. Соединитель каталогов ищет совпадение и не включает его в вывод. `@.`—символ at, за которым следует любой символ, повторяющий ноль или более раз. .jpg* — расширение файла для аватаров пользователей. См. поддерживаемые типы файлов в этом документе и соответствующим образом измените расширение.
3.	(Необязательно) Если для вашего сервера ресурсов требуются учетные данные, установите флажок Задать учетные данные пользователя для аватара, затем выберите Использовать текущего пользователя службы или Использовать этого пользователя и введите пароль.
4.	Введите значение переменной. Например: `abcd@example.com`.
5	Щелкните Тест , чтобы убедиться, что шаблон URI аватара работает правильно. В этом примере, если значение почты для одной записи AD является `abcd@example.com` и изображения в формате jpg были синхронизированы, Final Avatar URI `http://www.example.com/dir/photo/zoom/abcd.jpg`
6	После того, как информация URI будет проверена и будет выглядеть корректно, щелкните Применить. Подробные сведения об использовании регулярных выражений см. в кратком справочнике Microsoft Regular Expression Language .

Синхронизированные изображения становятся аватаром по умолчанию для пользователей приложения Webex. Пользователям не разрешается настраивать собственный аватар после включения этой функции в соединителе каталогов.
Аватары пользователей синхронизируются как с приложением Webex, так и с любыми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Синхронизация информации о локальной комнате с облаком Webex

Используйте эту процедуру для синхронизации информации о локальных комнатах из Active Directory в облако Webex. После синхронизации информации о комнате локальные устройства комнат с настроенным сопоставленным адресом SIP отображаются в качестве записей с возможностью поиска на зарегистрированных в облаке устройствах Webex (Room, Desk и Board).

В соединителе каталогов перейдите в раздел Синхронизация, щелкните подробнеерядом с синхронизированным доменом щелкните Config, а затем выберите Object Selection.

Установите флажок Синхронизировать информацию о комнате с облаком , чтобы отделить данные комнаты от данных пользователя во время синхронизации.

Если эта настройка отключена, данные комнаты обрабатываются так же, как и данные, синхронизированные пользователями.

Перейдите в раздел Сопоставление атрибутов, а затем измените сопоставление атрибутов для атрибута облака sipAddresses;type=enterprise.

Чтобы использовать проверку значений, значение SIP-адреса должно быть Pattern.compile("^([^@])(.*)@(.*)$")

Выберите MSRTCSIP-PrimaryUserAddress , если доступно.
Если в схеме Active Directory отсутствует указанный выше атрибут, используйте другое поле, например ipPhone.

Создайте почтовый ящик ресурса комнаты в Exchange. Это добавляет атрибут msExchResourceMetaData;ResourceType:Room , который соединитель затем использует для идентификации комнат.

На пользователях и компьютерах Active Directory перейдите к свойствам комнаты и измените их. Добавьте URI SIP с префиксом sip:

Выполните пробную синхронизацию запуска, а затем полную синхронизацию запуска в соединителе.

Новые объекты комнат отображаются в списке Объекты добавлены , а совпадающие объекты комнат отображаются в отчете "Объекты ". Все объекты комнат, отмеченные для удаления, находятся в разделе Удаленные комнаты.

В результатах пробного запуска отображаются все ресурсы комнаты, которые были сопоставлены.

Результаты пробного запуска соединителя каталогов с отображением совпадающих объектов

Эта настройка отделяет данные комнаты Active Directory (включая атрибут комнаты) от данных пользователя. По завершении синхронизации в статистике облака на инструментальной панели соединителя отображаются данные комнаты, синхронизированные с облаком.

Инструментальная панель соединителя каталогов с подсветкой окна статистики облака. Статистика облака включает пользователей, группы, комнаты и контакты.

Дальнейшие действия

После выполнения этих действий при поиске на зарегистрированном в облаке устройстве Webex будут отображаться синхронизированные записи комнат, настроенные с использованием SIP-адресов. При совершении вызова с устройства Webex на эту запись вызов будет помещен на SIP-адрес, настроенный для комнаты.

В Control Hub можно автоматически импортировать комнаты из каталога и создавать рабочие пространства.

Терминальное устройство не может выполнить обратный вызов в приложение Webex. Для устройств для набора тестовых номеров эти устройства должны быть зарегистрированы в качестве URI SIP локально или в другом месте, отличном от приложения Webex. Если система комнат Active Directory, которую вы ищете, зарегистрирована в Webex и тот же адрес электронной почты находится на устройстве Webex Room, настольном устройстве или Webex Board для службы календаря, дублирующаяся запись в результатах поиска не будет отображаться. Устройство Room, Desk или Board набирается непосредственно в приложении Webex, а SIP-вызов не совершается.

Отправка отчетов по электронной почте о результатах синхронизации каталога

По умолчанию контактные лица или администраторы организации всегда получают уведомления по электронной почте. С помощью этой настройки можно настроить пользователей, которые должны получать электронные уведомления с сводными отчетами о синхронизации каталога.

1.	В соединителе каталогов щелкните Конфигурация, а затем выберите Уведомление.
2.	В соединителе каталогов щелкните Настройки и рядом с Получатель электронной почты включите Включить синхронизацию отчета.
3.	Установите флажок Включить уведомление , если необходимо переопределить поведение уведомлений по умолчанию и добавить одного или нескольких получателей электронной почты.
4.	Щелкните Добавить и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом появится сообщение с предложением исправить проблему, прежде чем сохранить и применить изменения.
5	Щелкните Добавить адрес электронной почты и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом появится сообщение с предложением исправить проблему, прежде чем сохранить и применить изменения.
6	Если вам необходимо изменить любые введенные вами адреса электронной почты, дважды щелкните запись электронной почты в левом столбце и внесите необходимые изменения.
7.	После добавления всех действительных адресов электронной почты щелкните Применить.
8	После добавления всех действительных адресов электронной почты щелкните Сохранить.

Дальнейшие действия

Если вы решили удалить адреса электронной почты, щелкните сообщение электронной почты, чтобы выделить эту запись, а затем нажмите Удалить.

Если вы решили удалить адреса электронной почты, щелкните Удалить рядом с записями определенных адресов электронной почты.

Подготовка пользователей из Active Directory в Control Hub

Чтобы подготовить пользователей Active Directory и создать соответствующие учетные записи пользователей в Control Hub, выполните приведенные ниже действия. После установки соединителя каталогов для каждого домена можно подготовить пользователей из развертывания Active Directory с несколькими доменами (с одним лесом или несколькими лесами). Во время процесса подключения пользователей из разных доменов необходимо решить, следует ли сохранять или удалять объекты пользователей, которые уже могут существовать в облаке Webex, например, протестировать учетные записи из пробной версии. Цель заключается в точном сопоставлении активных каталогов с облаком Webex.

1.	Выполните пробную синхронизацию для пользователей Active Directory Выполните пробный запуск для сравнения объектов в локальном каталоге Active Directory и объектов в облаке Webex. Пробный запуск позволяет увидеть, какие объекты будут добавлены, изменены или удалены, прежде чем выполнить полную или инкрементную синхронизацию и зафиксировать изменения в облаке.
2.	Полная синхронизация пользователей Active Directory в облаке При выполнении полной синхронизации служба соединителя отправляет все отфильтрованные объекты из Active Directory (AD) в облако. Затем служба соединителя обновляет хранилище удостоверений с помощью записей AD. При создании шаблона автоматического назначения лицензии его можно назначить только что синхронизированным пользователям.
3.	Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub После завершения полной синхронизации пользователей из соединителя каталогов в Control Hub можно назначить лицензии службы Webex с помощью различных методов. Рекомендуется настроить шаблон автоматического назначения лицензий перед его использованием для новых пользователей приложения Webex, синхронизированных из Active Directory. Вы также можете внести отдельные изменения после этого первого шага.

Выполните пробную синхронизацию для пользователей Active Directory

Выполните пробный запуск для сравнения объектов в локальном каталоге Active Directory и объектов в облаке Webex. Пробный запуск позволяет увидеть, какие объекты будут добавлены, изменены или удалены, прежде чем выполнить полную или инкрементную синхронизацию и зафиксировать изменения в облаке.

Во время процесса подключения пользователей из разных доменов необходимо решить, следует ли сохранять или удалять объекты пользователей, которые уже могут существовать в облаке Webex, например, протестировать учетные записи из пробной версии. Цель соединителя каталогов заключается в том, чтобы обеспечить точное соответствие между активными каталогами и облаком Webex.

Если у вас несколько доменов в одном лесу или нескольких лесах, этот шаг необходимо выполнить в каждом экземпляре соединителя каталогов Cisco, установленном для каждого домена Active Directory.

Перед началом работы

Возможно, некоторые пользователи приложения Webex уже находятся в Control Hub до использования соединителя каталогов. Некоторые пользователи в облаке могут соответствовать локальному объекту Active Directory и получать лицензии на службы. Однако некоторые из них могут быть тестовыми пользователями, которых необходимо удалить во время синхронизации. Необходимо создать точное соответствие между Active Directory и Control Hub.

Выберите один из вариантов.

После первого входа в систему щелкните Да на подсказке, чтобы выполнить пробный запуск.
Если вы пропустили напоминание о необходимости выполнения пробного запуска, в любой момент в соединителе каталогов щелкните Инструментальная панель, выберите Синхронизировать пробный запуск, а затем нажмите ОК, чтобы начать синхронизацию пробного запуска.

По завершении пробного запуска вы увидите один из следующих результатов:

Обнаруженные несовпадающие объекты в соединителе каталогов
Сводная информация о результатах пробного запуска и несовпадающих объектах в соединителе каталогов

Сводная информация содержит информацию о совпадении объектов:

Сопоставленные объекты — пользователь, который находится в Webex Common Identity и также существует в домене Active Directory, т.е. если someuser@cisco.com была синхронизирована с Webex и отображена в Control Hub, а тот же пользователь (someuser@cisco.com) существует в Active Directory. Это означает, что пользователь был сопоставлен.
Несовпадающие объекты — пользователь, находящийся в Webex, независимо от того, как пользователь был добавлен в Common Identity, но он не существует в Active Directory. Он называется несовпадающим объектом. Например, если someuser@cisco.com была синхронизирована в Webex и отображена в Control Hub, но один и тот же пользователь (someuser@cisco.com) не управляется Active Directory, в отчете отображается несоответствие пользователя.

Пробный запуск идентифицирует пользователей путем сравнения с пользователями домена. Приложение может идентифицировать пользователей, если они принадлежат к текущему домену. На следующем шаге необходимо решить, следует ли удалить объекты или сохранить их. Несовпадающие объекты идентифицируются как уже существующие в облаке Webex, но не существующие в локальной Active Directory.

Просмотрите результаты пробного запуска и выберите параметр в зависимости от того, используется ли один домен или несколько доменов.

Единый домен. Определите, следует ли сохранять несовпадающих пользователей. Если вы хотите сохранить их, выберите Нет, сохраните объекты; если нет, выберите Да, удалите объекты. После выполнения этих действий и выполнения вручную полной синхронизации, чтобы обеспечить точное соответствие между локальной средой и облаком, соединитель каталогов автоматически включает запланированные задачи автоматической синхронизации.
Несколько доменов. Для организации с доменами A и B сначала выполните пробный запуск домена A. Если необходимо сохранить несовпадающих пользователей, выберите Нет, сохраните объекты. (Эти несовпадающие пользователи могут быть членами домена B.) Чтобы удалить, выберите Да, удалить объекты.
Если вы сохраните пользователей, сначала запустите полную синхронизацию для домена A, а затем выполните пробный запуск для домена B. Если пользователи по-прежнему не совпадают, добавьте этих пользователей в Active Directory, а затем выполните полную синхронизацию для домена B. При точном совпадении между локальной средой и облаком соединитель каталогов автоматически включает запланированные задачи автоматической синхронизации.

В запросе Confirm Dry Run нажмите Yes (Да), чтобы повторить синхронизацию пробного запуска и просмотреть результаты на инструментальной панели.

Все учетные записи, которые были успешно синхронизированы во время пробного запуска, отображаются в разделе Сопоставление объектов.

Если у пользователя в облаке нет соответствующего пользователя с таким же адресом электронной почты в Active Directory, запись будет отображена в разделе Удаленные пользователи. Чтобы избежать этого флажка удаления, можно добавить пользователя в Active Directory с тем же адресом электронной почты.

Чтобы просмотреть сведения о синхронизированных элементах, перейдите на соответствующую вкладку для определенных элементов или Сопоставленные объекты. Чтобы сохранить сводную информацию, щелкните Сохранить результаты в файл.

Если результаты ожидаются, перейдите к Действия > Режим синхронизации > Включить синхронизацию, а затем щелкните Включить , чтобы выполнить синхронизацию вручную и перейти в ручной режим.

После синхронизации последнего домена Active Directory в развертывании нескольких доменов необходимо включить автоматический режим для соединителя каталогов. Автоматический режим можно включить только в том случае, если объекты полностью совпадают между облаком Webex и всеми локальными активными каталогами.

Дальнейшие действия

Для любых несовпадающих пользовательских объектов, которые вы сохранили, их необходимо добавить в Active Directory, чтобы обеспечить точное соответствие между локальным и облаком.
Выберите тип синхронизации:
- Выполните полную синхронизацию пользователей Active Directory в облако при первой синхронизации новых пользователей с облаком. Вы делаете это с помощью Действия > Синхронизировать сейчас > Полностью, после чего синхронизируются пользователи текущего домена.
- Установите расписание соединителя и выполните инкрементальную синхронизацию после выполнения полной синхронизации, а также при необходимости получить изменения после начальной синхронизации. Этот тип синхронизации рекомендуется использовать для небольших изменений, внесенных в источник пользователя Active Directory.
  
  По умолчанию инкрементальная синхронизация должна выполняться каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементальная синхронизация не будет выполнена до тех пор, пока не будет выполнена полная синхронизация.
Если у вас несколько доменов, повторите эти действия на любом другом установленном соединителе каталогов.

Информация, которую необходимо принять к сведению

Выполните пробный запуск перед включением полной синхронизации или при изменении параметров синхронизации. Если пробный запуск был инициирован изменением конфигурации, его можно сохранить после завершения пробного запуска. Если пользователи уже добавлены вручную, синхронизация Active Directory может привести к удалению ранее добавленных пользователей. Перед полной синхронизацией с облаком можно проверить отчеты о пробном запуске соединителя каталогов, чтобы убедиться в наличии всех ожидаемых пользователей.

Если совпадающие пользователи помечены как удаленные и вы не уверены, как продолжить, см. информацию об устранении неполадок и как обратиться в службу поддержки в разделе Устранение неполадок и исправления соединителя каталогов.

Полная синхронизация пользователей Active Directory в облаке

При выполнении полной синхронизации служба соединителя отправляет все отфильтрованные объекты из Active Directory (AD) в облако. Затем служба соединителя обновляет хранилище удостоверений с помощью записей AD. При создании шаблона автоматического назначения лицензии его можно назначить только что синхронизированным пользователям.

Если у вас несколько доменов, этот шаг необходимо выполнить в каждом экземпляре соединителя каталогов, установленном для каждого домена Active Directory.

Соединитель каталогов синхронизирует состояние учетной записи пользователя. В Active Directory все пользователи, помеченные как отключенные, также отображаются в облаке как неактивные.

Перед началом работы

Чтобы учетные записи пользователей приложения Webex находились в активном состоянии после полной синхронизации и до первого входа пользователей в систему, необходимо выполнить следующие действия, чтобы обойти проверку адреса электронной почты.

Интеграция системы единого входа в организацию Webex. Дополнительную информацию см. в статье Единый вход со службами Cisco Webex и поставщиком удостоверений вашей организации.
Используйте Control Hub для проверки и утверждения доменов, содержащихся в адресах электронной почты. См. Добавление, проверка и утверждение доменов.

Отключите автоматические электронные приглашения, чтобы новые пользователи не получали автоматическое электронное приглашение в приложение Webex. (Можно провести собственную кампанию по электронной почте.)

Активированные пользователи, которые не вошли в систему, отображаются с состоянием Verified в Control Hub. После входа они отображаются как активные. Дополнительную информацию о состояниях пользователей см. в статье Действия и состояния пользователей в Cisco Webex Control Hub.

При включении синхронизации соединитель каталогов сначала попросит выполнить пробный запуск. Рекомендуется выполнить пробный запуск перед полной синхронизацией, чтобы выявить возможные ошибки.

Прежде чем использовать шаблон автоматического назначения лицензии для новых пользователей приложения Webex, синхронизированных из Active Directory, необходимо настроить шаблон автоматического назначения лицензий.

Если шаблоны автоматического назначения лицензий не используются, недавно синхронизированные пользователи автоматически получают бесплатные лицензии. Они смогут использовать те же бесплатные функции , что и у пользователей с бесплатными учетными записями.

Выберите один из вариантов.

Если пробный запуск завершен и выглядит корректно для всех доменов после первого входа, щелкните Enable Now , чтобы разрешить автоматическую синхронизацию.
В соединителе каталогов перейдите на инструментальную панель, щелкните Действия, выберите Режим синхронизации > Включить синхронизацию, а затем щелкните Синхронизировать сейчас > Полностью , чтобы начать синхронизацию.

В соединителе каталогов перейдите в раздел Синхронизация, щелкните подробнеерядом с синхронизированным доменом щелкните Config, а затем выберите Full Sync.

Подтвердите начало синхронизации.

Для всех изменений, внесенных пользователями в Active Directory (например, отображаемое имя), Control Hub отражает изменения немедленно при обновлении представления пользователя, а приложение Webex отражает изменения в течение 72 часов после выполнения синхронизации.

Можно попытаться очистить локальный кэш приложения Webex, выполнив приведенные ниже действия. Windows или Mac.

Во время синхронизации на инструментальной панели отображается ход синхронизации. Это может включать тип синхронизации, время ее начала и фазу, на которой синхронизация в данный момент выполняется.
После синхронизации разделы Последняя синхронизация и статистика облака обновляются с новой информацией. Данные пользователя синхронизируются с облаком.
При возникновении ошибок во время синхронизации шарик индикатора состояния становится красным.

Щелкните Обновить , чтобы обновить состояние синхронизации. (Синхронизированные элементы отображаются в разделе Статистика облака.)

Для получения информации об ошибках выберите Запустить средство просмотра событий на панели инструментов Действия для просмотра журналов ошибок.

Чтобы задать график синхронизации для текущих инкрементных синхронизаций с облаком, см. раздел Настройка расписания соединителя и Запуск инкрементной синхронизации.

После завершения полной синхронизации состояние синхронизации каталога обновляется с параметра Отключено на Рабочее на странице настроек в Control Hub.
При сопоставлении всех данных между локальным и облачным соединителем каталогов меняется с ручного режима на режим автоматической синхронизации.
Если вы не интегрируете систему единого входа, не подтвердите домены и не заявите домены для синхронизированных учетных записей электронной почты, а также не подавите автоматические сообщения электронной почты, учетные записи пользователей приложения Webex останутся в состоянии "Не проверено" до тех пор, пока пользователи не войдут в приложение Webex впервые для подтверждения своих учетных записей. Инструкции по синхронизации учетных записей в качестве активных пользователей см. в разделе "Прежде чем начать".
Если у вас несколько доменов, выполните этот шаг на любом другом установленном соединителе каталогов. После синхронизации пользователи всех добавленных доменов будут отображены в Control Hub.
При интеграции системы единого входа с Webex и подавлении электронных уведомлений, электронные приглашения не будут отправлены новым синхронизированным пользователям.
Невозможно добавить пользователей в Control Hub вручную после включения соединителя каталогов. После включения управление пользователями осуществляется из соединителя каталогов Cisco, и Active Directory является единственным источником сведений.
Все синхронизированные группы отображаются в Control Hub. Можно назначить шаблон лицензий, чтобы пользователям в этой группе были назначены лицензии.

Дальнейшие действия

При удалении пользователя из Active Directory он будет мягко удален после следующей синхронизации. Пользователь становится Inactive но профиль идентификации в облаке хранится в течение семи дней (для восстановления после случайного удаления).

Если установить, что учетная запись отключена в Active Directory, пользователь становится Inactive после следующей синхронизации. Профиль удостоверения в облаке не удаляется по истечении семи дней на случай повторного включения пользователя.
Обратите внимание на эти исключения для инкрементальной синхронизации (вместо этого выполните приведенные выше действия полной синхронизации).
- В случае обновленного аватара, но без изменения других атрибутов, инкрементальная синхронизация не обновит аватар пользователя в облако.
- Изменения конфигурации в настройках сопоставления атрибутов, базового доменного имени, фильтра и аватара требуют полной синхронизации.

Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub

После завершения полной синхронизации пользователей из соединителя каталогов Cisco в Control Hub можно использовать Control Hub для одновременного назначения одинаковых лицензий службы Webex всем пользователям или добавления дополнительных лицензий новым пользователям, если шаблон автоматически назначаемых лицензий уже настроен. После этого первого шага можно внести изменения в учетную запись отдельных пользователей.

После завершения полной синхронизации пользователей из соединителя каталогов в Control Hub можно использовать методы в Control Hub для глобального назначения лицензий службы Webex всем пользователям (отдельным пользователям) с помощью массового шаблона CSV или автоматически новым пользователям, если шаблон автоматического назначения лицензий уже настроен. После этого первого шага можно внести изменения в учетную запись отдельных пользователей.

При назначении лицензии пользователю приложения Webex этот пользователь по умолчанию получает электронное сообщение с подтверждением назначения. Сообщение электронной почты отправляется службой уведомлений в Control Hub. При интеграции системы единого входа (SSO) с организацией Webex можно также отключить эти автоматические электронные уведомления , если вы предпочитаете напрямую обращаться к пользователям.

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензии для новых пользователей приложения Webex, синхронизированных из Active Directory, необходимо настроить шаблон автоматического назначения лицензий.
Выполните пробную синхронизацию пользователей Active Directory.
После подтверждения результатов пробного запуска выполните полную синхронизацию пользователей Active Directory.

Во время полной синхронизации пользователь создается в облаке, назначения служб не добавляются и электронное сообщение для активации не отправляется. Если сообщения электронной почты не блокируются, новые пользователи получают электронное сообщение для активации при назначении служб пользователям с помощью стандартного метода управления пользователями в Control Hub, например импорта CSV, обновления пользователей вручную или успешного автоматического назначения.

В окне просмотра информации о клиенте в https://admin.webex.com перейдите к Управление > > Пользователи, нажмите Управление пользователями, выбрать Изменить всех синхронизированных пользователей, а затем щелкните Далее.

Выберите один из вариантов.

Редактирование лицензий служб в Control Hub для отдельных пользователей. Изменение пользователей вручную.
Изменение пользователей в Control Hub с помощью шаблона CSV. Массовое изменение пользователей.

Дальнейшие действия

Если сообщения электронной почты не подавлены, каждому пользователю будет отправлено сообщение электронной почты с приглашением присоединиться и скачать Webex.
Если вы выбрали одни и те же службы Webex для всех пользователей, впоследствии можно изменить лицензию, назначенную отдельно или массово.

Связанная информация

Известные проблемы соединителя каталогов

В версиях Windows Server, предшествующих выпуску 2012 R2, возникла проблема с файлами cookie, которая затрагивает соединитель каталогов. Эта проблема исправлена в версиях 2012 R2 и 2016.
Для всех изменений, внесенных пользователями в Active Directory (например, отображаемое имя), Control Hub отражает изменения немедленно при обновлении представления пользователя, а приложение Webex отражает изменения через 72 часа после выполнения синхронизации.

Можно попытаться очистить локальный кэш приложения Webex, выполнив приведенные ниже действия. Windows или Mac.
Если пользователь использует приложение Webex на настольном или мобильном устройстве для поиска и вызова комнаты, в которой есть только синхронизированный URI SIP, вызов поступает неограниченное время.

Управление пользователями приложения Webex

Выполнение инкрементной синхронизации

Инкрементная синхронизация запрашивает Active Directory и ищет изменения, произошедшие с момента последней синхронизации. На этом этапе эти изменения объединяются и отправляются в службу соединителя. Изменения включают изменение атрибуции пользователей, а также добавление или удаление пользователя.

Эта синхронизация не накладывает столько нагрузки на серверы и не занимает столько времени, сколько полная синхронизация. После первоначальной полной синхронизации рекомендуется использовать инкрементный параметр для последующих синхронизаций.

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензии для новых пользователей приложения Webex, синхронизированных из Active Directory, необходимо настроить шаблон автоматического назначения лицензий.
Обратите внимание на эти исключения, которые не поддерживаются инкрементальной синхронизацией (вместо этого выполните полную синхронизацию пользователей Active Directory в облако ).
- В случае обновленного аватара, но без изменения других атрибутов, инкрементальная синхронизация не обновит аватар пользователя в облако.
- Для новых изменений конфигурации в сопоставлении атрибутов, базовом доменном имени, фильтре и настройках аватара инкрементальная синхронизация не будет работать, и для этого требуется полная синхронизация.

В соединителе каталогов щелкните Инструментальная панель.

При включении синхронизации соединитель каталогов сначала попросит выполнить пробный запуск.

В разделе Действия щелкните Режим синхронизации > Включить синхронизацию , если она еще не включена.

По умолчанию инкрементальная синхронизация должна выполняться каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементальная синхронизация не будет выполнена до тех пор, пока не будет выполнена полная синхронизация. Когда новый инкрементный интервал времени истекает, программа проверяет изменения на основе последней метки времени.

В разделе Действия щелкните Синхронизировать сейчас > Инкрементный.

Для всех изменений, внесенных пользователями в Active Directory (например, отображаемое имя), Control Hub отражает изменения немедленно при обновлении представления пользователя, а приложение Webex отражает изменения через 72 часа после выполнения синхронизации.

Можно попытаться очистить локальный кэш приложения Webex, выполнив приведенные ниже действия. Windows или Mac.

Во время синхронизации на инструментальной панели отображается ход синхронизации. Это может включать тип синхронизации, время ее начала и фазу, на которой синхронизация в данный момент выполняется.
После синхронизации разделы Последняя синхронизация и статистика облака обновляются с новой информацией.
При возникновении ошибок во время синхронизации шарик индикатора состояния становится красным.

Для получения информации об ошибках щелкните Запустить средство просмотра событий на панели инструментов Actions , чтобы просмотреть журналы ошибок.

Дальнейшие действия

Если у вас несколько доменов, выполните этот шаг на других установленных экземплярах соединителя каталогов.

Восстановление случайно удаленных пользователей

Соединитель каталогов имеет систему сдержек и противовесов для предотвращения непреднамеренного удаления пользователей. К сожалению, случайности исключить невозможно. Например, неправильная настройка фильтра LDAP в Active Directory может привести к удалению некоторых пользователей при синхронизации с облаком. Функция программного удаления может помочь вам восстановиться после этих аварий и восстановить учетные записи пользователей в Control Hub.

По умолчанию эта функция включена для всех организаций. При удалении пользователей в облаке, например, из-за несоответствия объекта после синхронизации с соединителем каталогов, пользователи могут быть восстановлены. Если вы увидели несовпадающие объекты или заметили, что пользователи были удалены, их можно будет восстановить, если действовать быстро.

При удалении соответствующих учетных записей в Active Directory пользователи будут помечены как неактивные в Control Hub. Фоновая облачная служба сохраняет пользователей в течение 7 дней. В этот период для восстановления пользователей по-прежнему можно использовать соединитель каталогов Cisco. Рекомендуется как можно скорее восстановить этих пользователей.

Пользователи, отключенные в Active Directory, также помечаются как неактивные в Control Hub, однако учетная запись пользователя не удаляется по истечении 7 дней.

1.	Войдите в Control Hub.
2.	Перейдите в раздел Пользователи и подтвердите, находится ли определенная учетная запись пользователя в неактивном состоянии или скрыта. Дополнительную информацию см. в разделе Состояния и действия пользователей в Control Hub.
3.	Если пользователи были удалены в Control Hub или вы заметили, что пользователи находятся в неактивном состоянии, перейдите в Active Directory, добавьте отсутствующие учетные записи пользователей и выполните пробную синхронизацию в соединителе каталогов. Целью соединителя каталогов является точное соответствие информации о пользователе в Active Directory и облаке.
4.	Выполните полную синхронизацию для повторной синхронизации временно удаленных учетных записей пользователей в Control Hub. Пользователи восстанавливаются и переходят к исходному состоянию, включая состояние учетной записи и назначения служб.

Дальнейшие действия

Вернитесь в Control Hub, перейдите к Управление > Пользователи, и убедитесь, что ранее удаленные учетные записи пользователей отображаются в списке пользователей.

Удаление пользователей без возможности восстановления после мягкого удаления

После выполнения пробного запуска можно настроить окончательное удаление пользователей, которые были мягко удалены при следующей синхронизации.

1.	После завершения пробного запуска выберите Soft-deleted Objects (Объекты с мягким удалением).
2.	Установите флажок рядом с пользователями, которых необходимо удалить.
3.	Нажмите Готово.

Дальнейшие действия

При следующей синхронизации проверенные пользователи будут безвозвратно удалены.

Изменение адреса электронной почты приложения Webex

Если вы хотите изменить адреса электронной почты пользователей и ваша организация использует соединитель каталогов, вы измените эти адреса электронной почты в Active Directory. Эта процедура описывает изменение адреса электронной почты приложения Webex для одного домена и процесс изменения домена.

Если вы хотите изменить только адрес электронной почты или какое-либо значение для одного пользователя, не удаляйте пользователя из Active Directory, а затем создайте новый адрес с тем же адресом электронной почты. Облако интерпретирует это действие как новую учетную запись пользователя, а пространства пользователя и другие данные в облаке будут утеряны.

Изменение адресов электронной почты пользователей без изменения домена.

Откройте учетную запись пользователя (например, user1@example.com) в Active Directory и измените адрес электронной почты (например, user2@example.com).

Возобновить синхронизацию на соединителе каталогов.

После следующей синхронизации изменения будут отображены в списке пользователей в Control Hub, а для пользователей в приложении Webex после обновления кэша.

Этот метод не приводит к потере данных или пространств. Уникальный идентификатор пользователя устанавливается в облаке после первой синхронизации. Все последующие синхронизации основаны на этом идентификаторе.

В развертывании нескольких доменов с соединителем каталогов для изменения адресов электронной почты пользователей при изменении домена (рассмотрим пример1.com старый домен и пример2.com новый домен):

Для старой учетной записи пользователя (user1@example1.com) обратите внимание на атрибут Active Directory, который сопоставляется с uid атрибут облака. Для новой учетной записи необходимо использовать это же значение Active Directory. В этом примере мы будем использовать user1@example1.com как локальный атрибут для сопоставления с uid в облаке.
Приостановить синхронизацию в соединителе каталогов для доменов example1.com и example2.com.
Создайте новую учетную запись пользователя в example2.com и используйте тот же атрибут выше. (Например, user1@example1.com).

В соединителе каталогов возобновите синхронизацию, например2.com

Прежде чем продолжить, убедитесь, что учетная запись user1@example2.com синхронизирована с Control Hub. Рекомендуется поручить пользователю проверить изменение адреса электронной почты в приложении Webex и сохранить все данные (пространства, сообщения, совещания, файлы и т. д.).

Этот метод не приведет к потере данных или пространств, однако в новой учетной записи пользователя необходимо убедиться, что атрибут Active Directory, который сопоставляется с атрибутом UID облака, сохраняется из старой учетной записи пользователя. Если изменить значение Active Directory, новая учетная запись не сохранит данные старой учетной записи.

После проверки изменения адреса электронной почты и нетронутых данных удалите старую учетную запись пользователя на example1.com и возобновите синхронизацию с помощью соединителя каталогов на example1.com.

На этом этапе можно безопасно обновить адрес электронной почты в новом домене Active Directory для user1@example2.com.

Соединитель каталогов не ограничивает изменение домена электронной почты. Однако при повторной синхронизации пользователя с облаком состояние пользователя зависит от того, подтвержден ли новый домен в вашей организации. Если домен не подтвержден в вашей организации, после полной синхронизации состояние пользователя изменится на "Ожидание". Дополнительную информацию см. в разделе Управление доменами.

Если в вашей организации не используется соединитель каталогов, можно изменить адреса электронной почты приложения Webex на странице настроек учетной записи. Действия, которые пользователи могут выполнить для изменения адреса электронной почты, см. в разделе Изменение адреса электронной почты для своей учетной записи .

Введите домен Acive Directory:

Эту процедуру можно использовать для создания новых доменов и адресов электронной почты. Они синхронизируются со службой удостоверений в облаке.

Настройте новый домен Active Directory (AD).

Отключите синхронизацию на всех соединителях.

Удалите все соединители.

Чтобы изменить домен, зарегистрируйте обращение.

При отправке обращения обязательно запросите удаление конфигурации домена и всех атрибутов синхронизации в вашей организации.

Прежде чем открыть обращение для изменения домена, убедитесь, что синхронизация не запущена. Не изменяйте адреса электронной почты пользователей в Active Directory до разрешения проблемы.

После разрешения дела:

Установите соединитель каталогов на том же сервере, что и с новым доменом Active Directory.
Настройте соединитель каталогов так, чтобы он указывал на новый домен Active Directory.

При наличии существующих пользователей в Control Hub ( https://admin.webex.com) убедитесь, что пользователи с соответствующими адресами электронной почты также присутствуют в Active Directory. Если ваша организация отключила softDelete переключайте в DirSync адреса электронной почты пользователей, которые находятся в Control Hub, но не в удалении рисков Active Directory.

Перед фактической синхронизацией выполните тестовый запуск с соединителем каталогов.

заявка на домен

Заявка на домен возникает, если вы заявляете домен электронной почты для организации, чтобы любая боковая учетная запись была создана в платной клиентской организации, а не в бесплатной клиентской организации. Заявление о домене можно сделать только с помощью обращения в службу поддержки (дополнительную информацию см. по ссылке ниже).

Если соединитель каталогов активен и домен заявлен, побочные учетные записи не создаются ни в клиентской организации, ни в свободной потребительской организации. Только соединитель каталогов может подготовить учетные записи для организации из Active Directory. Исходным источником является информация, хранящаяся в Active Directory. При попытке отобразить учетную запись приглашенный пользователь получает сообщение об ошибке. Единственным способом добавления приглашенного пользователя в пространство приложения Webex является вначале использование соединителя каталогов для подготовки учетной записи в Control Hub.

Связанная информация

Преобразование бесплатных пользователей приложения Webex в организации, синхронизированной с каталогом

В каталоге приложения Webex можно использовать только уникальные адреса электронной почты. Если ваши пользователи зарегистрировались на бесплатную версию приложения Webex, их учетная запись существует в бесплатной потребительской организации. Чтобы управлять пользователями в этой организации с помощью соединителя каталогов, перед включением соединителя каталогов выполните их миграцию (преобразование) в клиентскую организацию. Затем вы добавляете пользователей в Active Directory с точным адресом электронной почты и синхронизируете их с облаком.

Если учетные записи не преобразованы до активации, отключите соединитель каталогов, чтобы преобразовать их.

При попытке преобразовать пользователя, пока включена синхронизация каталога, отображается сообщение об ошибке <email address=""> невозможно преобразовать . Чтобы избежать проблемы, можно использовать эти действия в качестве обходного решения.

Некоторые заявленные пользователи могут отображаться с помощью movedfrom атрибут при выполнении пробного запуска. Эти пользователи будут в Deleted Object список вместо MismatchedObject. Чтобы переместить этих пользователей в свою организацию, необходимо добавить их в список AD.

Если вы не добавите этих пользователей, они будут удалены при синхронизации с облаком.

Отключите синхронизацию каталогов из соединителя каталогов.

Чтобы преобразовать пользователя из бесплатной потребительской организации в организацию предприятия, выполните процедуру преобразования нелицензированных пользователей в Control Hub .

На этом этапе пользователь будет добавлен в вашу организацию, и учетная запись будет отображена в Control Hub. Соединитель каталогов делает Active Directory единственным источником достоверных сведений для учетных записей пользователей, и цель состоит в том, чтобы обеспечить точное соответствие между Active Directory и Control Hub. Перед повторной синхронизацией убедитесь, что для всех недавно преобразованных пользователей имеются совпадающие пользователи в Active Directory. Чтобы убедиться, что несовпадающих пользователей не осталось, можно выполнить пробную синхронизацию.

В соединителе каталогов выполните пробную синхронизацию. По завершении пробной синхронизации проверьте вкладку "Добавить объекты". Убедитесь, что никакие преобразованные пользователи не удалены.

Перед повторной синхронизацией необходимо выполнить пробный запуск, чтобы убедиться, что все преобразованные учетные записи пользователей отображаются в Active Directory. При включении синхронизации и использовании учетных записей только в Control Hub соединитель каталогов учитывает регистр и удаляет преобразованных пользователей, обнаруженных с несовпадающими адресами электронной почты (например, user1@example.com и User1@example.com).

При удалении преобразованных пользователей все пространства приложения Webex будут утрачены.

Если вы уверены, что при следующей синхронизации никакие учетные записи не будут удалены, снова включите синхронизацию каталогов из соединителя каталогов.

Преобразованные учетные записи пользователей не будут активированы автоматически, если домен не был подтвержден. Например, если вы включили шаблон автоматического назначения лицензий, а затем включили соединитель каталогов без проверки домена, преобразованные пользователи будут неактивны в облачном сервере, пока они не подтвердят свои адреса электронной почты.

Сторонние учетные записи пользователей приложения Webex

При приглашении другого пользователя в пространство в приложении Webex, если у приглашенного пользователя нет учетной записи приложения Webex, для него создается учетная запись ("боком"). По умолчанию учетные записи, созданные таким образом, добавляются в бесплатную потребительскую организацию.

Чтобы управлять боковой учетной записью с помощью соединителя каталогов, необходимо преобразовать учетную запись.

Изменение формата имени пользователя приложения Webex после синхронизации каталога

По умолчанию соединитель каталогов сопоставляет атрибут displayName в Active Directory с атрибутом displayName в облаке.

После синхронизации каталога имена пользователей могут отображаться в формате <lastName, firstName="">.

Это имя пользователя может отображаться, если displayName атрибут в Active Directory настроен таким образом. Если атрибут сопоставлен с displayName в облаке имена отображаются в формате <lastName, firstName=""> Control Hub.

Чтобы изменить формат, на экране сопоставления атрибутов соединителя каталогов выполните следующие действия. сопоставление атрибута Active Directory givenName sn(или) sn givenName) до displayName в именах атрибутов облака Cisco.

Кроме того, сопоставить атрибут sn givenName до displayName:

Также можно использовать параметр Настройка атрибута, если необходимо сопоставить собственное пользовательское выражение атрибута с displayName.

Например, введите givenName + "" + sn(имя, пробел, фамилия) в качестве выражения. Это сопоставляет два атрибута в Active Directory с displayName в облаке.

Разрешение пользователям изменять отображаемые имена в Webex Meetings

Можно снять карту displayName атрибут синхронизации с облаком в соединителе каталогов, если необходимо разрешить пользователям редактировать предпочтительные отображаемые имена. Пользователи могут ввести отображаемое имя, которое будет отображаться во время совещаний Webex, вместо имени и фамилии. Администраторы также могут вручную изменять отображаемое имя пользователя в Control Hub.

1.	В соединителе каталогов щелкните Конфигурация, а затем выберите Сопоставление атрибутов пользователя.
2.	Выберите displayName в разделе Имя атрибута облака Cisco.
3.	Выберите Не синхронизировать этот атрибут.

Дальнейшие действия

Теперь пользователи могут редактировать свои отображаемые имена на веб-сайте Webex.

Устранение неполадок соединителя каталогов

Модернизация до последнего выпуска программного обеспечения

Чтобы обеспечить соответствие развертыванию и получить новейшие функции, функциональные возможности, исправления ошибок и усовершенствования безопасности, необходимо всегда модернизировать соединитель каталогов до последней версии. Если модернизация до последней доступной версии не выполнена, могут возникнуть проблемы, например, проблемы с синхронизацией соединителя каталогов или с версией, которая не поддерживает обязательное требование TLS 1.2.

Соединитель каталогов автоматически уведомляет вас о доступности новой версии. Всегда выполняйте модернизацию до последней версии во избежание проблем. На панели задач Windows также отображается уведомление.

Несмотря на то, что обновления программного обеспечения соединителя можно установить вручную, рекомендуется выполнить действия, описанные в разделе Настройка автоматической модернизации , чтобы приложение могло управлять модернизацией автоматически.

1.	Щелкните уведомление на панели задач Windows или щелкните правой кнопкой мыши пиктограмму соединителя каталогов на панели задач Windows, чтобы начать процесс обновления.
2.	Следуйте инструкциям для завершения модернизации.
3.	Перезапустите соединитель и войдите с помощью учетных данных администратора.
4.	Проверьте номер версии программного обеспечения в разделе Справка > О программе.

Дальнейшие действия

Для новой установки соединителя каталогов можно скачать zip-файл , а затем выполнить действия по установке, описанные в этом руководстве.

Настройка общих параметров соединителя каталогов

Используйте эту процедуру для настройки общих параметров, таких как имя сервера, на котором запущен соединитель каталогов, уровни журналов, автоматическая модернизация и предпочтительные настройки контроллеров домена. Имя соединителя отображается на инструментальной панели в разделе соединителей вместе с другими работающими соединителями.

В соединителе каталогов перейдите в раздел Конфигурация и щелкните Общие.

В поле Имя соединителя введите имя соединителя. В этом поле отображается только имя компьютера, на котором в данный момент запущен соединитель.

Выберите уровень журнала в раскрывающемся списке. По умолчанию для уровня журнала задано значение info. Доступные уровни журналов:

Информация (по умолчанию) — отображает информационные сообщения, освещающие прогресс приложения на высоком уровне. Используйте эту настройку, если необходимо получать отчеты после полной синхронизации.
Предупреждение — отображает потенциально опасные ситуации.
Отладка — отображает подробные информационные события, наиболее полезные для отладки приложения. При возникновении какой-либо проблемы установите этот уровень журнала и отправьте журнал event-совещаний в службу поддержки при открытии обращения.
Ошибка. Отображает события ошибок, которые могут позволить приложению продолжить работу. При выборе этого параметра отчеты о синхронизации отправляются только при возникновении ошибок.

Эти настройки влияют на отчет о синхронизации, который отправляется по электронной почте. Если для уровня журнала задано значение "Ошибка", в отчете о синхронизации отображаются только ошибки; если ошибок нет, отчет о синхронизации не отправляется. Измените настройку на Info, после полной синхронизации вы получите отчеты о синхронизации. (Имейте в виду, что для инкрементальной синхронизации отчеты не отправляются при отсутствии сообщений об ошибках.)

Выберите предпочтительные контроллеры домена , чтобы задать порядок контроллеров домена для синхронизации удостоверений.

Доступ к контроллерам домена осуществляется сверху вниз. Если главный контроллер недоступен, выберите второй контроллер в списке. Если контроллер не указан в списке, вы можете получить доступ к основному контроллеру.

Установите флажок Автоматическая модернизация до новой версии соединителя каталогов Cisco, если необходимо выполнить автоматическую модернизацию.

Всегда важно поддерживать программное обеспечение соединителя каталогов Cisco в актуальном состоянии до последней версии. Рекомендуется установить этот параметр, чтобы автоматические обновления программного обеспечения устанавливались в фоновом режиме, когда они доступны.

Проверьте LDAP через SSL , чтобы использовать безопасный LDAP (LDAPS) в качестве протокола подключения.

Если не проверить LDAP по протоколу SSL, соединитель каталогов продолжает использовать протокол подключения LDAP.

Настройка политики соединителя

Можно задать максимальное количество удалений, которые могут происходить во время синхронизации. При выполнении синхронизации объекты не удаляются из локального каталога Active Directory. Все объекты удаляются только из облака.

Например, вы задаете 1 в качестве значения триггера порогового значения удаления. При полной или инкрементальной синхронизации, если количество пользователей, которых необходимо удалить, превышает заданную настройку, соединитель каталогов отображает предупреждение. Если щелкнуть Переопределить пороговое значение, можно успешно начать полную или инкрементальную синхронизацию, но это уведомление о переопределении будет отображено при следующем запуске политики.

В соединителе каталогов щелкните Конфигурация, а затем выберите Политика.

Установите флажок Включить удаление триггера порогового значения , если необходимо добавить триггер порогового значения.

При выборе этого параметра появляется предупреждение, если количество удалений превышает пороговое значение. Если учетная запись удаления превышает указанную, синхронизация не выполняется.

Введите максимальное количество удалений, которое необходимо. По умолчанию установлено значение 3.

Рекомендуется не увеличивать значение по умолчанию.

Нажмите Применить.

Настройка расписания соединителя

Задайте время синхронизации в Active Directory. Отработка отказа используется для высокой доступности (HA). Если один разъем не работает, по истечении предопределенного интервала мы переключаемся на другой резервный разъем.

1.	В соединителе каталогов щелкните Конфигурация и выберите Запланировать.
2.	Укажите интервал инкрементной синхронизации в минутах. По умолчанию инкрементальная синхронизация должна выполняться каждые 30 минут. Полная инкрементальная синхронизация выполняется только после первоначального выполнения полной синхронизации.
3.	Измените значение Отправить отчеты по времени , если необходимо изменить частоту отправки отчетов.
4.	Установите флажок Включить расписание полной синхронизации , чтобы указать дни и время, в которые необходимо выполнить полную синхронизацию.
5	Укажите интервал отработки отказа в минутах.
6	Нажмите Применить.

Сценарии нескольких доменов

Несколько доменов основаны на приоритете домена. Для объектов с одинаковым значением ключа в разных доменах после синхронизации данные из домена с более высоким приоритетом перезаписывают данные из домена с более низким приоритетом.

Объекты с одинаковым значением ключа связаны в одну запись в базе данных.

Значение ключа для параметра "Пользователь" — адрес электронной почты; значение ключа для параметра "Группа" — имя группы.

Пример использования для нескольких доменов

В этом примере предполагается организация с двумя доменами: example1.com и example2.com в порядке приоритета.

Добавить пользователя1 (адрес электронной почты: user@example1.com) в Active Directory example1.com.
Добавить группу1 (название группы: Test) в Active Directory example1.com.
Добавить пользователя2 (адрес электронной почты: user@example2.com) в Active Directory example2.com.
Добавить группу2(название группы: Тест) в Active Directory example2.com.

Синхронизация на example1.com

В случае использования user2 и group2 синхронизируются с облаком и отображаются в https://admin.webex.com, в то время как user1 и group1 не отображаются.

Если вы выполняете полную или инкрементную синхронизацию, например1.com, пользователь1 и группа1 синхронизируются. Кроме того, user2 и group2 перезаписываются информацией user1 и group1.

User1 ссылается на user2 как на ту же запись в базе данных; group1 ссылается на group2 как на ту же запись в базе данных.

Синхронизация на example1.com и example2.com

Рассмотрите следующие шаги:

Удалите user1 и group1 в Active Directory, например1.com.
Выполните полную или инкрементальную синхронизацию, например1.com.
Результаты: информация пользователя не изменяется в https://admin.webex.com. User2 не связан с user1, а group2 не связан с group1.
Выполните инкрементальную синхронизацию, например2.com.
Результаты: информация пользователя не изменяется в https://admin.webex.com.
Выполните полную синхронизацию, например2.com.
Результаты: Информация о пользователе2 и группе2 приведена в https://admin.webex.com.

Синхронизация нового домена И сохранение существующего домена

Если необходимо синхронизировать новый домен (B) при сохранении синхронизированных данных пользователей в другом существующем домене (A), убедитесь, что соединитель каталогов для синхронизации домена (B) на поддерживаемом сервере Windows. Соединитель привязывается к новому домену после начальной настройки, а информация о пользователе в домене (A) остается незатронутой.

Каждый домен должен иметь свой активный соединитель. Рассмотрим два домена со следующей настройкой: домен A с соединителями (ca1) и (ca2) для локальной высокой доступности (HA); домен B с соединителем (cb1). (ca1)и (ca2) обслуживают домен A. В этом сценарии один соединитель активен, а другой находится в режиме ожидания (HA). Эта конструкция поддерживает синхронизацию домена, поскольку один соединитель всегда активен. Таким образом, cb1 является активным соединителем для домена B, поскольку у домена A уже есть активный соединитель (ca1 или ca2).

Установка приоритета домена

Используйте эту процедуру для изменения приоритета доменов Active Directory. Приоритет домена позволяет определить основной домен, дополнительный домен и т. д. Это помогает, если два пользователя из двух разных доменов имеют одно и то же значение электронной почты, синхронизированное с одной организацией.

Не используйте эту процедуру, если в соединителе каталогов указан один домен. При попытке соединитель отобразит сообщение о том, что приоритет домена не требуется.

Перед началом работы

Во избежание ошибок установите или модернизируйте соединитель каталогов Cisco до последней версии. Его необходимо скачать из https://admin.webex.com.

В соединителе каталогов Cisco щелкните Инструментальная панель.

Перейдите в раздел Действия и щелкните Установить приоритет домена.

Выделите один домен в списке, нажмите Вверх или Вниз , чтобы изменить приоритет этого домена, а затем нажмите Сохранить , чтобы сохранить это изменение.

Домены отсортированы по приоритету сверху вниз.

Переключить домены

Используйте эту процедуру для повторного подключения соединителя каталогов Cisco к другому домену.

Перед началом работы

Перед переключением доменов убедитесь, что задачи синхронизации не выполняются.
Во избежание ошибок установите или модернизируйте соединитель каталогов Cisco до последней версии. Его необходимо скачать из Control Hub.

1.	В соединителе каталогов Cisco щелкните Инструментальная панель.
2.	Перейдите в раздел Действия, а затем щелкните Переключить домен.
3.	Прочитав предостережение, если вы понимаете, какое влияние это изменение оказывает на развертывание, и вы все еще уверены, нажмите Да. При переключении домена происходит выход из текущего соединителя каталогов Cisco, другие домены в соединителе не зарегистрированы, а информация о соединителе на этом компьютере удаляется.
4.	Снова войдите в соединитель каталогов Cisco и выполните возврат домена.

Выключить синхронизацию каталога

Если необходимо остановить синхронизацию из соединителя каталогов, ее можно временно отключить в Control Hub.

В окне просмотра информации о клиенте в https://admin.webex.com перейдите к Управление > Настройки организации, прокрутите страницу до раздела Синхронизация каталога, а затем выберите один из приведенных ниже вариантов.

Щелкните подробнееи щелкните Выключить рядом с экземпляром соединителя, который необходимо выключить.
Щелкните Turn Off All Directory Synchronizations , чтобы остановить синхронизацию со всеми экземплярами соединителя.

Прочитав подсказку, щелкните Выключить.

Синхронизация останавливается до тех пор, пока она не будет повторно включена из соединителя каталогов.

Удаление сопоставления атрибутов пользователя

Используйте соединитель каталогов, чтобы удалить сопоставление атрибутов Active Directory, ранее сопоставленных с облаком и синхронизированных с Webex. После удаления сопоставления атрибутов значения атрибутов удаляются из облака и больше не синхронизируются с Webex. Затем эти значения можно редактировать вручную.

1.	В соединителе каталогов щелкните Инструментальная панель.
2.	Перейдите в раздел Действия, а затем щелкните Утилиты > Удалить сопоставление атрибутов пользователя.
3.	Выберите сопоставление, которое необходимо удалить из списка Имя атрибута .
4.	В разделе Область охвата затронутого пользователя, выберите один из приведенных ниже вариантов. Только пользователи, синхронизированные с соединителем каталогов: сопоставление будет удалено только у пользователей, синхронизированных соединителем каталогов ранее. Все пользователи : сопоставление будет удалено со всех пользователей Active Directory.
5	Нажмите Применить.

Управление фотографиями профиля

Используйте соединитель каталогов для обновления изображений профилей пользователей или удаления пустых изображений профилей пользователей.

1.	В соединителе каталогов щелкните Инструментальная панель.
2.	Перейдите в раздел Действия, а затем щелкните Утилиты > Управление изображениями профилей.
3.	В разделе Действия выберите один из приведенных ниже вариантов. Удалите изображения профиля для пустых источников аватаров. если изображение профиля Active Directory пустое, этот параметр обеспечивает удаление изображений профиля пользователя из облака, даже если пользователь ранее загрузил собственное изображение в Webex. Повторно загрузите из синхронизированного источника, чтобы переопределить кэшированные изображения. Соединитель каталогов использует тот же Active Directory, что и предыдущий для обновления изображений профилей для всех пользователей. Это гарантирует отсутствие несоответствия изображений профилей в Active Directory и облаке.
4.	Нажмите Применить.

Удаление и деактивация соединителя каталогов

После удаления экземпляра соединителя каталогов его необходимо отменить. Полностью удалите соединитель каталогов для любого из приведенных ниже сценариев.

Вы больше не хотите использовать синхронизацию каталога.
Вы не хотите использовать один из нескольких соединителей каталогов (высокая доступность).
Необходимо изменить домен и установить другой соединитель.

Перед началом работы

Для высокой доступности (HA) или синхронизации нескольких доменов может быть настроено несколько экземпляров соединителя каталогов. Отключите синхронизацию при удалении единственного или последнего оставшегося экземпляра соединителя каталогов.
Сохраните и закройте любую важную работу перед удалением соединителя каталогов.

1.	На компьютере с ОС Windows перейдите к панели управления и щелкните Программы и функции.
2.	В списке программ щелкните Directory Connector, выберите Uninstall, а затем следуйте подсказкам. Для завершения удаления может потребоваться перезагрузка системы.
3.	В окне просмотра информации о клиенте в https://admin.webex.com перейдите к Управление > Настройки организации, прокрутите страницу до Синхронизация каталога, щелкните подробнееи щелкните Деактивировать рядом с экземпляром соединителя каталогов, который необходимо удалить.
4.	Прочитав подсказку, щелкните Деактивировать. Если в развертывании высокой доступности (HA) нет другого соединителя каталогов, учетные записи пользователей больше не синхронизируются.

Запуск средства диагностики

Для устранения неполадок развертывания соединителя каталогов можно использовать встроенный инструмент диагностики. Этот инструмент устанавливается как часть соединителя каталогов 3.4 и далее.

Если синхронизация не работала надлежащим образом, может возникнуть ошибка конфигурации или сети. Это средство тестирует подключение к LDAP, в результате чего можно самостоятельно диагностировать ошибки до обращения в службу поддержки. Если инструмент возвращает какую-либо ошибку, вы можете отправить подробные результаты журнала в службу поддержки.

Запуск тестов для служб домена Active Directory.
1. Перейдите в меню «Пуск», найдите соединитель каталогов Cisco, щелкните Cisco Directory – Diagnostic. Щелкните вкладку AD-DS, введите свой домен и нажмите Load Domain Controllers (Загрузить контроллеры домена).
2. Выберите из списка один контроллер домена.
  
  Не меняйте запись позже, поскольку инкрементный поиск всегда должен выполняться на одном и том же контроллере домена.
3. По умолчанию выполняется поиск всех путей, но можно выбрать один атрибут и нажать Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , такие как пользователи и групповые объекты, а также фильтры поиска.
5. Установите флажок Auto Fill Cookie , чтобы автоматически создать файл cookie для поиска.
6. Щелкните Запрос , чтобы начать новый инкрементный или полный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы запустить тесты служб Active Directory Lightweight Directory, выполните приведенные ниже действия.
1. Перейдите в меню «Пуск», найдите соединитель каталогов Cisco, щелкните Cisco Directory – Diagnostic. Щелкните вкладку AD-LDS, введите хост и порт, а затем выберите Загрузить разделы.
2. Выберите раздел из списка и нажмите Подключиться.
3. По умолчанию выполняется поиск всех путей, но можно выбрать один атрибут и нажать Тест , чтобы проверить это значение.
4. Настройте другие фильтры в разделе Запросы Active Directory, такие как User, UserProxy, UserProxyFull и фильтры поиска.
5. Установите флажок Auto Fill Cookie , чтобы автоматически создать файл cookie для поиска.
6. Щелкните Запрос , чтобы начать новый инкрементный или полный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы запустить тесты для LDAP, выполните приведенные ниже действия.
1. Перейдите в меню «Пуск», найдите соединитель каталогов Cisco, щелкните Cisco Directory – Diagnostic. Щелкните вкладку LDAP RAW, введите Корневой путь, Фильтр и выберите запись в разделе Атрибуты, затем нажмите Загрузить разделы.
2. При необходимости проверьте приведенные ниже параметры.
  - ObjectSecurity. Если этот параметр присутствует, вызывающему абоненту не требуется никаких прав и он может видеть только объекты и атрибуты, доступные вызывающему абоненту. Если этот параметр отсутствует, вызывающий абонент имеет право копировать изменения.
  - ParentsFirst — обеспечивает, чтобы все родители детей приходили раньше своих детей.
3. Выберите значение для ExtendedDN.
  
  Это значение используется при расширенном поиске LDAP для запроса расширенной формы Distinguished Name объекта.
4. Выберите значение для ReferralChasing.
  
  Погоня за рефералами инициируется, когда контроллер домена возвращает реферал из запроса — например, для подробных сведений о результатах запроса, которые могут находиться за пределами пространства имен (например, члены группы в другом домене или лесу).
5. Щелкните Запрос , чтобы начать новый инкрементный или полный поиск. Этот поиск может занять несколько секунд.
6. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.

Устранение неполадок в соединителе каталогов Ciso

Устранение неполадок и исправления соединителя каталогов

В соединителе каталогов может возникнуть сообщение об ошибке или другая проблема. Кроме того, после синхронизации информации о пользователях соединителем каталогов соединитель может отправить вам отчет по электронной почте со списком проблем, связанных с синхронизацией. Проблемы, которые могут возникнуть, возможные причины и предлагаемые решения, см. в следующих разделах.

Установка

Соединитель каталогов перестал работать

Вы получили уведомления по электронной почте о том, что соединитель каталогов не работает.

Соединитель каталогов может быть установлен неправильно.
Соединитель каталогов может не работать.
Сеть может быть недоступна.

Выполните указанные ниже действия.

Открыть Панель управления > Программы и функции. Найдите соединитель каталогов. Если его нет, скачайте последнюю версию из Control Hub и установите ее.
Откройте службу и найдите службу Cisco DirSync. Убедитесь, что состояние отображается как Начато. Если служба остановлена, щелкните правой кнопкой мыши и выберите "Начать", чтобы перезапустить службу.
Убедитесь, что сервер, на котором установлен соединитель каталогов, имеет доступ к Интернету.

Ошибка переустановки

Проблема. При немедленной установке нового соединителя после удаления старого может отображаться сообщение об ошибке.

Возможная причина: в Windows Server 2012 клиенту для удаления требуется время, чтобы удалить учетную запись службы из списка служб.

Решение. Через некоторое время повторите попытку установки.

Вход

Сбой соединителя каталогов при входе в систему SSO

Проблема

После ввода адреса электронной почты со страницы входа в систему SSO может произойти аварийное завершение работы соединителя каталогов.

Решение

Выполните указанные ниже действия.

Чтобы настроить новую групповую политику, выполните следующие действия.

Перейдите к контроллеру домена и откройте управление групповой политикой (gpedit.msc).
Щелкните правой кнопкой мыши конкретный OU или домен и выберите Create a GPO in this domain, and Link it here...
Укажите название политики, щелкните правой кнопкой мыши и выберите Редактировать.

Чтобы изменить политику на уровне машины, выполните следующие действия.

Перейти к Конфигурация Компьютера > > Предпочтительные параметры > > Настройки Windows, щелчок правой кнопкой мыши Реестр, выбрать Новый, а затем Элемент Реестра.
Для ключа введите или перейдите к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger для значения, и введите no для данных значений.

Настройки должны совпадать с этим снимком экрана:

Чтобы изменить политику на уровне пользователя, выполните следующие действия.

Перейти к Конфигурация Компьютера > > Предпочтительные параметры > > Настройки Windows, щелчок правой кнопкой мыши Реестр, выбрать Новый, а затем Элемент Реестра.
Для Key Path введите или перейдите к HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger для значения, и введите no для данных значений.

Настройки должны совпадать с этим снимком экрана:

Изменения вступают в силу после выполнения gpupdate /force, машина перезагружена (для изменений машины) или пользователь снова входит в систему (для изменений пользователя).

Не удалось зарегистрировать соединитель службы Cisco DirSync

Проблема

Сбой входа и отображается следующее сообщение: "Не удалось зарегистрировать соединитель служб Cisco DirSync".

Решение

Система Windows, на которую установлен соединитель каталогов, должна быть членом Active Directory.

Страница входа не отображается

Проблема

Вы открыли соединитель каталогов, и страница входа не отображалась.

Решение

Выполните следующие действия.

В Internet Explorer перейдите в раздел https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Попробуйте использовать ссылку в других браузерах, таких как Chrome и Firefox.
Если Internet Explorer не может перейти по ссылке, но другие браузеры могут это сделать, проверьте настройки Internet Explorer и установите флажки TLS 1.1 и 1.2. (Воспользуйтесь процедурой Включить TLS в Internet Explorer .)

Отобразится подсказка для входа

Проблема

Появится запрос на ввод имени пользователя и пароля для прохождения аутентификации.

Возможная причина

Соединитель каталогов завершает аутентификацию безопасности NTLM в фоновом режиме с помощью учетной записи входа. Если аутентификация не выполнена, появится диалоговое окно с запросом имени пользователя и пароля для аутентификации.

Решение

При отображении всплывающего окна входа необходимо предоставить действительную учетную запись с правильной аутентификацией для обеспечения безопасности передачи.

Не удается подключиться к удаленному серверу

Проблема

Во время обычной работы отображается сообщение об ошибке: "Не удается подключиться к удаленному серверу".

Возможная причина

Могут возникнуть проблемы с прокси-сервером, которые необходимо решить.

Решение

Дополнительную информацию об устранении неполадок см. в разделе Устранение неполадок при входе учетной записи службы.

Не удается зарегистрировать соединитель

Проблема

Отображается сообщение об ошибке "Невозможно зарегистрировать соединитель. Произошло общее исключение".

Возможная причина

В большинстве случаев проблема заключается в том, что соединитель каталогов не имеет прав на подключение к корневому контексту LDAP.

Решение

Выполните указанные ниже действия.

Запустите командную строку (cmd) и введите ldp.exe.
Щелкните Connection > Bind, выберите Bind как зарегистрированный в данный момент пользователь, а затем нажмите OK.
Щелкните Вид > Дерево, введите DC=arbonneintl, DC=ad как BaseDN, а затем нажмите OK.
Если проблема не исчезнет, зарегистрируйте обращение в службу поддержки.

Синхронизация

Аватары не синхронизированы

Проблема

Соединитель каталогов Cisco синхронизировал данные AD пользователей с облаком Webex. Но ни один из данных аватара не был синхронизирован успешно.

Возможная причина

Если вы повторно использовали существующий сервер аватаров и аватары пользователей уже были синхронизированы, локальный кэш фиксирует их и избегает повторной отправки, чтобы сохранить пропускную способность.

Решение

Удалите локальный кэш, выполнив следующие действия.

Перейдите к C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Удалите DirSyncPluginAvatar.dll-cache.bin.
Повторно запустите синхронизацию аватара из соединителя каталогов Cisco.

Конфликтующие учетные записи электронной почты пользователей

Проблема

В результате синхронизации могут отображаться конфликтующие учетные записи электронной почты пользователей.

Если пользователи попробовали бесплатную версию приложения Webex, их адреса электронной почты будут находиться в бесплатной потребительской организации.
Если сообщения электронной почты пользователей когда-либо были синхронизированы в другой организации.
Если сообщения электронной почты пользователей существуют в нескольких доменах, принадлежащих организации.

Решение

Выполните указанные ниже действия.

При попытке заявить пользователей выполните приведенные ниже действия.
1. Убедитесь, что домен подтвержден в Control Hub.
2. Temporaily отключить соединитель каталогов Cisco.
3. Используйте параметр "Утверждение пользователя" в Control Hub, чтобы заявить все учетные записи, которые могут существовать в бесплатной потребительской организации. Дополнительную информацию см. в статье Утверждение пользователей в вашей организации (преобразование пользователей) .
4. Выполните пробный запуск в соединителе каталогов Cisco, а затем повторно включите синхронизацию каталогов
В последнем случае дважды проверьте данные пользователей в источниках Active Directory.

Преобразованный пользователь, помеченный как неактивный

Проблема

В среде, синхронизированной с каталогом, вы преобразовали бесплатного пользователя (потребительской организации) в корпоративную организацию, но преобразованный пользователь не может войти в приложение Webex.

Возможная причина

При преобразовании бесплатного пользователя в корпоративную организацию пользователь будет помечен как неактивный в течение 30 дней в качестве меры обеспечения соответствия требованиям безопасности. В течение этого периода пользователь не может войти в приложение Webex и по истечении 30-дневного периода отмечен для удаления. Эта ситуация возникает из-за того, что бесплатная информация о пользователе не находится в Active Directory.

Решение

Если вы не хотите, чтобы учетная запись пользователя была удалена, необходимо принять меры. Чтобы решить эту проблему, создайте учетную запись пользователя в локальной Active Directory, которая соответствует преобразованной бесплатной учетной записи пользователя. Затем выполните синхронизацию с помощью соединителя каталогов Cisco. После этого пользователь может повторно войти в приложение Webex, и учетная запись не будет удалена.

Сбой инкрементальной синхронизации

Проблема

Сбой инкрементальной синхронизации.

Эта проблема может возникать в Windows Server 2008 R2 при следующих условиях:

Поддерживается инкрементальное обновление значений.
Используемый фильтр ссылается на атрибут связанного значения.
Значения результатов этого атрибута обновлялись с момента последнего выполнения полной синхронизации.

Решение

В Windows Server 2008 R2 есть ошибка, связанная с этой проблемой. Ошибка исправлена в 2012 R2 и последующих выпусках. Рекомендуется модернизировать Windows Server как минимум до версии 2012 R2.

Недопустимое значение для атрибута

Проблема

Для [user dn (distinguished name)] атрибут [attribute name] имеет следующее недопустимое значение [attribute value].

Возможная причина

Для CN=b,OU=Employees,OU=C Users,DC=c,DC=com атрибут [номер телефона] имеет следующее недопустимое значение: +. Этот атрибут должен содержать не менее одного номера.

Решение

Атрибут для этого пользователя не имеет допустимого значения. Зафиксируйте его значение в соответствии с описанием в предупреждающем сообщении. Затем выполните другую синхронизацию.

Совпадающие пользователи, подлежащие удалению

Проблема

Совпадающие пользователи помечены как удаленные.

При выполнении пробной синхронизации для проверки данных между Active Directory и облаком в обоих случаях может отображаться один и тот же адрес электронной почты. Однако пользователь помечается как объект, подлежащий удалению.

Решение

Выберите соответствующее исправление.

Если удалить пользователя и повторно выполнить лицензии можно после этого, для исправления можно использовать соединитель каталогов. Выполните синхронизацию для удаления пользователя, а затем выполните другую синхронизацию для синхронизации пользователя из локального AD в облако.
Если невозможно удалить и воссоздать учетную запись пользователя, зарегистрируйте обращение в службу поддержки.

Отсутствует атрибут

Проблема

Необходимый атрибут [attribute_name] при добавлении локальной записи [user dn (distinguished name)]. Запись не будет создана в Control Hub, пока все необходимые атрибуты не будут иметь значение.

Возможная причина

Адрес электронной почты обязательного атрибута отсутствует. При добавлении локальной записи [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local] запись не будет создана в Control Hub, пока все необходимые атрибуты не получат значение.

Решение

Один из обязательных атрибутов отсутствует для пользователя [user_email_address]. Укажите необходимые значения для этого пользователя.

Вложенная группа не будет синхронизироваться

Проблема

Пользователи во вложенной группе Active Directory не синхронизируются надлежащим образом с облаком.

Возможная причина

Используется фильтр, включающий как дочернюю, так и родительскую группу, которая не поддерживается. Пример. (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)

Решение

Необходимо перенастроить фильтр, синхронизирующий группы. Пример. |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)

Конфликт имен пользователей

Проблема

Существует конфликт имен для [user dn] существующего объекта ввода в облаке с именем: [адрес электронной почты пользователя] и типа пользователя [user_type].

Возможная причина

Пользователь с этим адресом электронной почты уже существует в Control Hub.

Решение

Создайте пользователя в Active Directory с тем же адресом электронной почты, что и учетная запись, зарегистрированная в Control Hub.

Control Hub

Список пользователей отсутствует в Control Hub

Проблема

Если у вас организация Webex с более чем 1000 синхронизированных пользователей, список пользователей в Control Hub может не отображаться.

Решение

Для поиска учетной записи пользователя можно использовать функцию поиска. В Control Hub перейдите в раздел Пользователи, щелкните поиск и введите критерии поиска, чтобы найти определенного пользователя.

Группы не будут синхронизироваться с Control Hub

Проблема

Пользователи в группе каталогов не будут надлежащим образом синхронизироваться с Control Hub.

Возможная причина

Группа не помечена как isCriticalSystemObject в Active Directory.

Решение

Убедитесь, что атрибут isCriticalSystemObject установлен в значение TRUE в Active Directory.

Включение устранения неполадок соединителя каталогов

Можно включить устранение неполадок, чтобы помочь диагностировать любые ошибки, с которыми вы столкнулись в соединителе каталогов. Функция устранения неполадок позволяет собирать данные о сетевом трафике и сохранять их в отдельном файле.

Файлы журнала, которые являются: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

Выполните команду services.msc для изменения запущенной учетной записи службы соединителя каталогов с локальной системы на учетную запись домена, имеющую права доступа к AD DS или AD LDS.

Перезапустите службу.

Руководство см. в разделе Как запустить службы .

В соединителе каталогов щелкните Инструментальная панель.

Перейдите в раздел Действия, а затем щелкните Утилиты > Устранение неполадок.

Если устранение неполадок включено, повторите действия, которые привели к ошибке. Таким образом данные о трафике фиксируются, чтобы их можно было проверить.

Проверьте файлы журналов: если файл пуст, убедитесь, что у учетной записи есть права на доступ к AD DS или AD LDS.

Папка журнала сохраняет файлы только за последние 3 дня. Содержимое файлов журнала соответствует выходу журнала событий в систему.

При необходимости отправьте файл журнала в службу поддержки для получения помощи.

По завершении отключите функцию устранения неполадок.

Связанная информация

Запуск средства просмотра event-совещаний

Чтобы просмотреть события, произошедшие во время полной или инкрементальной синхронизации, запустите средство просмотра событий. На нем отображается сводная информация об административных событиях и журналах ошибок.

1.	В соединителе каталогов перейдите к инструментальной панели, а затем щелкните Действие > Запустить средство просмотра событий. В диалоговом окне "Свойства события" отображаются сведения о событии синхронизации и сведения об ошибках.
2.	В средстве просмотра event-совещаний перейдите к Журналы приложений и служб > Соединитель каталогов Cisco.
3.	В разделе Действия щелкните Сохранить все события как , чтобы экспортировать все журналы в виде одного файла Events (*.evtx) или другого формата, например XML или csv.

Дальнейшие действия

Если необходимо зарегистрировать обращение, обратитесь в службу поддержки, опишите проблему с соединителем, а затем приложите файл Events к вашему обращению.

В журналах событий записываются действия пользователей. Для получения справки по управлению сетевым трафиком включите устранение неполадок в соединителе.

Включение TLS в Internet Explorer

При переключении поставщиков услуг системы единого входа (SSO) от соединителя каталогов Cisco могут отображаться следующие сообщения об ошибках.

При входе в службу произошла ошибка
В сценарии на этой странице произошла ошибка

При обнаружении этих ошибок необходимо включить настройку TLS в браузере.

1.	Откройте Internet Explorer и выберите Tools. Теперь установите флажки для версии TLS/SSL, которую необходимо включить. Нажмите ОК Закрыть браузер и снова откройте его.
2.	Щелкните Internet Options , перейдите в Advanced , прокрутите страницу до Security.
3.	Установите флажки Использовать TLS 1.1 и Использовать TLS 1.2, а затем нажмите ОК.
4.	Перезапустите систему, чтобы изменения вступили в силу.

Устранение неполадок при входе в учетную запись службы

Если вы не можете войти в соединитель каталогов Cisco или не можете запустить синхронизацию, выполните приведенные ниже действия, чтобы попытаться решить проблему, прежде чем обратиться в службу поддержки.

Попробуйте посетить https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL в веб-браузере.

Выберите один вариант в зависимости от результатов:

Если вы не можете перейти по ссылке в браузере, проверьте настройки сети. Если в вашей среде используется прокси, проверьте настройки прокси.
Если вы можете перейти по ссылке в браузере, но не можете открыть соединитель каталогов Cisco (невозможно открыть соединитель и всплывающее сообщение об ошибке 407), щелкните здесь , чтобы получить последнюю версию соединителя каталогов Cisco.

Если вы можете перейти по ссылке в браузере, но не можете запустить синхронизацию из соединителя каталогов Cisco, измените учетную запись для входа в службу на admin домена.

Проверьте, является ли учетная запись, используемая для входа в систему Windows, той же учетной записью, что и в службе Cisco DirSync. Если это 2 разных учетных записи, убедитесь, что обе учетные записи могут посетить https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Если в вашей среде используется прокси, убедитесь в том, что обе учетные записи настроены для прокси в Internet Explorer и могут посетить https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL успешно.

Как минимум, убедитесь, что настроенная учетная запись службы Cisco DirSync (которую можно найти в службах Windows) имеет уровень прав, позволяющий ей получать доступ к данным аватара и AD. По умолчанию служба использует учетные данные и аутентификацию учетной записи Windows.

Связанная информация

Проверка режима SafeDllSearchMode в реестре Windows

Обычно SafeDllSearchMode включен, но используйте эту процедуру для двойной проверки настроек реестра.

Перед началом работы

В окне поиска Windows или Запустить введите regedit и нажмите Enter.

Перейдите в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан в списке — дальнейшие действия не требуются.
Отображается список SafeDllSearchMode. Убедитесь, что для значения установлено значение 1.

Дополнительные сведения см. в разделе Порядок поиска библиотеки динамических ссылок.

Обзор соединителя каталогов Cisco

Обзор соединителя каталогов

Соединитель каталогов – это локальное приложение для синхронизации удостоверений в облаке. Программное обеспечение соединителя можно скачать из Control Hub и установить на локальном компьютере.

Соединитель каталогов позволяет управлять учетными записями пользователей и данными в Active Directory, чтобы Active Directory стал единственным источником достоверных данных. При внесении изменений локально оно реплицируется в облако.

В таблице перечислены все функции, описания и преимущества.

Функция	Описание и преимущества
Простая в использовании инструментальная панель	Инструментальная панель предоставляет график синхронизации, сводную информацию и состояние синхронизации, а также состояние соединителя каталогов. Панель отчетов можно просматривать в любое время при входе в систему.
Пробный запуск перед синхронизацией с облаком	Выполните пробный запуск изменений каталога, прежде чем они будут реализованы в облаке. Затем запустите отчет, чтобы увидеть, что изменения, которые необходимо внести, являются ожидаемыми.
Полная и инкрементная синхронизация	Синхронизируйте весь каталог. Или просто синхронизируйте дополнительные изменения, чтобы сэкономить мощность обработки и сократить время синхронизации.
Синхронизация нескольких доменов (один лес или несколько лесов)	Соединитель каталогов поддерживает несколько доменов в одном лесу или в нескольких лесах (без необходимости AD LDS). Для предприятий с несколькими доменами Active Directory можно установить соединитель каталогов для каждого домена, связать каждый домен с вашей организацией, а затем синхронизировать каждую базу пользователей с Webex. Control Hub отражает состояние синхронизации нескольких соединителей каталогов, позволяет выключить синхронизацию для определенного домена и деактивировать соединитель каталогов в развертывании с высокой доступностью.
Синхронизация запланирована	Настройте график синхронизации на день, час и минуту.
Фильтры протокола доступа к каталогу (LDAP)	Определите критерии поиска LDAP и обеспечьте эффективный импорт.
Сопоставление атрибутов Active Directory	Сопоставьте атрибуты Microsoft Active Directory с соответствующими атрибутами облака Webex. Можно сопоставить атрибуты, относящиеся к конфигурации Active Directory, а также определить пользовательские атрибуты для сопоставления с облаком. Атрибуты локальной среды формируют в облаке различные данные, такие как данные учетной записи пользователя, телефонные номера в Webex Teams, SIP-адреса ресурсов комнаты и другие данные карточки контакта пользователя (должность, отдел, менеджер и т. д.).
Корпоративный каталог для ресурсов локальных комнат и пользователей Cisco Webex Calling (облачная PSTN) и корпоративных контактов без лицензирования Webex	Если в вашей организации для службы вызовов используется облачная PSTN Cisco Webex Calling или у вас есть локальные устройства комнаты, эта функция позволяет пользователям выполнять поиск в каталоге корпоративных контактов на телефонах Cisco Webex Calling (облачная PSTN) или ресурсах комнат. Ресурсы комнаты После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным адресом SIP будут отображены в зарегистрированных в облаке устройствах комнат (таких как устройство Cisco Webex Room или Cisco Webex Board) как записи, доступные для поиска. При поиске пользователей устройства Cisco Webex Room или Cisco Webex Board будут отображены синхронизированные записи комнат, настроенные с помощью SIP-адресов. При поступлении вызова с устройства Webex на эту запись вызов будет размещен на SIP-адрес, настроенный для комнаты. Вызовы Помимо контактов приложения Webex пользователи могут совершать вызовы корпоративным контактам. С помощью соединителя каталогов корпоративные пользователи и их номера телефона будут добавлены в вашу организацию Webex. Для работы этой функции лицензия на службы Webex не требуется. Пользователи, у которых нет лицензий на Webex, будут отображаться в результатах поиска по каталогу, выполненном на телефоне пользователя Cisco Webex Calling, при условии, что в соединителе каталогов синхронизирован URI или номер телефона с Webex. Функции вызовов одинаковы для пользователей обоих типов. Эта функция также обеспечивает возможность редактирования набора для контактов только с номерами телефона. В результатах поиска контактов: Если контакты имеют набираемый URI (адрес SIP Webex) и номер телефона, отображается URI, связанный с контактом. Если у контактов нет набираемого URI, но есть номер телефона, отображается номер телефона. Кроме того, у них есть программная клавиша для редактирования набора. Если контактов нет, они не отображаются в каталоге.
Средство просмотра event-совещаний	С помощью средства просмотра event-совещаний можно определить, возникли ли какие-либо проблемы с синхронизацией.
Средство диагностики и устранение неполадок	С помощью встроенного средства диагностики можно устранять неполадки при развертывании соединителя каталогов Cisco. Если синхронизация не работает надлежащим образом, может возникнуть ошибка конфигурации или сети. Этот инструмент тестирует подключение к Active Directory, чтобы можно было самостоятельно диагностировать ошибки перед обращением в службу поддержки. После включения функции устранения неполадок в соединителе каталогов записываются журналы, которые можно отправить в службу технической поддержки.
Автоматическая модернизация	После установки соединителя каталогов при появлении новой версии программного обеспечения будет отправлено уведомление. Автоматическую модернизацию можно настроить таким образом, чтобы при выпуске новой версии всегда была последняя версия программного обеспечения.
Высокая доступность	Настройте несколько соединителей для резервного копирования, если основной соединитель или размещающая машина не работает.

Соединитель каталогов разделен на три области:

Control Hub – это единый интерфейс, позволяющий управлять всеми аспектами организации Webex. просмотр пользователей, назначение лицензий, скачивание соединителя каталогов и настройка системы единого входа (SSO) , если необходимо, чтобы пользователи выполняли аутентификацию посредством корпоративного поставщика удостоверений и не отправляли электронные приглашения для приложения Webex.
Интерфейс управления соединителем каталогов – это программное обеспечение, которое можно скачать из Control Hub и установить на доверенном сервере Windows. Для нескольких доменов Active Directory можно установить одну минуту программного обеспечения для каждого домена, который необходимо синхронизировать. С помощью этого программного обеспечения можно запустить синхронизацию для переноса учетных записей пользователей Active Directory в Webex, просмотра и отслеживания состояния синхронизации, а также настройки служб соединителя каталогов.
Служба синхронизации каталога запрашивает ваш Active Directory, чтобы получить пользователей и группы для синхронизации со службой соединителя и соединителем каталогов.

Чтобы понять архитектуру соединителя каталогов, см. приведенную ниже диаграмму.

Подготовка среды для соединителя каталогов

Требования для соединителя каталогов

Требования к Windows и Active Directory

Соединитель каталогов можно установить на следующих поддерживаемых серверах Windows:

Windows Server 2022
Windows Server 2019
Windows Server 2003

Чтобы устранить проблему с файлами cookie, рекомендуется модернизировать контроллер домена до выпуска, содержащего исправление: Windows Server 2012 R2 или 2016.

Соединитель каталогов поддерживается следующими службами Active Directory:

Active Directory 2016

(Соединитель каталогов поддерживается при использовании последней версии Active Directory на Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Обратите внимание на следующие дополнительные требования:

Для соединителя каталогов требуется TLS1.2. Необходимо установить приведенное ниже.
- .NET Framework версии 3.5 (требуется для приложения соединителя каталогов. При возникновении каких-либо проблем воспользуйтесь инструкциями, приведенными в статье Включение .NET Framework 3.5 с помощью мастера добавления ролей и функций.)
- .NET Framework версии 4.5 (обязательно для TLS1.2)
Требуется уровень функционального леса Active Directory 2 (Windows Server 2003) или более поздний. (Дополнительную информацию см. в статье Какие функциональные уровни Active Directory? .)

Требования к оборудованию

Необходимо установить соединитель каталогов на компьютер с приведенными ниже минимальными требованиями к аппаратному обеспечению.

8 ГБ ОЗУ
50 ГБ хранилища
Нет минимума для ЦП

Требования к сети

Если сеть защищена брандмауэром, убедитесь, что ваша система имеет доступ к Интернету по протоколу HTTPS (порт 443).

Требования к организации Webex

Для доступа к программному обеспечению соединителя каталогов из Control Hub требуется организация Webex с пробной версией или платной подпиской.
(Необязательно) Чтобы новые учетные записи пользователей приложения Webex были Активными перед первым входом в систему, рекомендуется выполнить приведенные ниже действия.
- Добавляйте, проверяйте и при необходимости заявляйте домены , содержащие адреса электронной почты пользователей, которые необходимо синхронизировать с облаком.
- Выполните интеграцию системы единого входа (SSO) поставщика удостоверений (IdP) с организацией Webex.
- Отключите автоматические электронные приглашения, чтобы новые пользователи не получали автоматические электронные приглашения и вы могли проводить собственную электронную рассылку. (Для работы этой функции требуется интеграция SSO.)

Дополнительную информацию см. в статье Действия и состояния пользователей в Control Hub.

Требования к установке

Для среды с несколькими доменами (один лес или несколько лесов) необходимо установить один соединитель каталогов для каждого домена Active Directory. Если необходимо синхронизировать новый домен (B) при сохранении синхронизированных данных пользователей в другом существующем домене (A), убедитесь, что у вас есть отдельный поддерживаемый сервер Windows для установки соединителя каталогов для синхронизации домена (B).
Для входа в соединитель не требуется учетная запись администратора в Active Directory. Требуется учетная запись локального пользователя, которая является тем же пользователем, что и учетная запись администратора с полными правами в Control Hub.

Этот локальный пользователь должен иметь права на этом компьютере Windows для подключения к контроллеру домена и чтения объектов пользователя Active Directory. Учетная запись для входа в систему компьютера должна быть администратором компьютера с правами на установку программного обеспечения на локальном компьютере. (Эта информация также применима к входу в виртуальную машину.)
При входе в соединитель учетная запись для входа должна совпадать с учетной записью администратора с полными правами для Control Hub. По умолчанию соединитель использует учетную запись локальной системы для доступа к Active Directory. Однако можно использовать службы Windows для настройки другой учетной записи для доступа к Active Directory. (Эта информация также применима к входу в виртуальную машину.)
Убедитесь, что режим поиска библиотеки безопасных динамических ссылок (DLL) Windows включен с помощью следующей процедуры: Проверьте SafeDllSearchMode в реестре Windows.
Если AD LDS используется для нескольких доменов в одном лесу, рекомендуется установить соединитель каталогов и службу домена Active Directory/облегченные службы каталогов Active Directory (AD DS/AD LDS) на отдельных компьютерах.

Требования к нескольким доменам

Перед выполнением задач в потоке задач по развертыванию соединителя каталогов Cisco учтите приведенные ниже требования и рекомендации при синхронизации информации Active Directory из нескольких доменов в облако.

Для каждого домена требуется отдельный экземпляр соединителя каталогов.
ПО соединителя каталогов должно работать на узле, находящемся в том же домене, который будет синхронизирован.
Рекомендуется подтвердить или заявить домены в Control Hub. (См. статью Добавление, проверка и заявление доменов.)
Чтобы синхронизировать более 50 доменов, необходимо зарегистрировать обращение , чтобы переместить организацию в большой список организаций.
При необходимости можно синхронизировать информацию о ресурсах комнаты вместе с учетными записями пользователей. (См. статью Синхронизация информации о локальной комнате с облаком Webex.)

Информация о размещении

Соединитель каталогов работает как мост между локальным каталогом Active Directory и облаком Webex. Таким образом, у соединителя нет верхнего предела количества объектов Active Directory, которые можно синхронизировать с облаком. Любые ограничения локальных объектов каталога связаны с определенной версией и спецификациями среды Active Directory, синхронизированной с облаком, а не с самим соединителем.

На скорость синхронизации может повлиять несколько факторов.

Общее количество объектов Active Directory. (Задача синхронизации 5000 пользователей не будет длиться до 50 000.)
Скорость сети и пропускная способность.
Рабочая нагрузка системы и технические характеристики.

Поскольку при синхронизации задействовано несколько факторов и каждое развертывание отличается в зависимости от указанных выше факторов, мы не можем указать конкретные значения времени, сколько времени потребуется для синхронизации объекта.

Проверка SafeDllSearchMode в реестре Windows

Режим поиска безопасной библиотеки динамических ссылок (DLL) задан по умолчанию в реестре Windows и помещает текущий каталог пользователя позже в порядке поиска DLL. Если этот режим каким-либо образом отключен, злоумышленник может разместить вредоносное DLL (названное так же, как упомянутый файл DLL, находящийся в системной папке) в текущий рабочий каталог приложения.

Как правило, режим SafeDllSearchMode включен, но используйте эту процедуру для повторной проверки настроек реестра.

Перед началом работы

Изменения в реестре Windows следует вносить с особой осторожностью. Рекомендуется создать резервную копию реестра перед выполнением этих действий.

В окне поиска в Windows или в окне "Выполнить" введите regedit и нажмите клавишу ввода.

Перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан. Дальнейшие действия не требуются.
SafeDllSearchMode указан в списке. Убедитесь, что значение 1.

Дополнительную информацию см. в статье Порядок поиска библиотеки динамических ссылок.

Интеграция веб-прокси

Если в вашей среде включена аутентификация веб-прокси, вы по-прежнему можете использовать соединитель каталогов.

Можно воспользоваться одним из приведенных ниже подходов.

Явный веб-прокси с помощью Internet Explorer (соединитель наследует настройки веб-прокси)
Явный веб-прокси с помощью файла .pac (соединитель наследует настройки корпоративного прокси)
Прозрачный прокси, который работает с соединителем без изменений

Использование веб-прокси через браузер

Соединитель каталогов можно настроить использование веб-прокси с помощью Internet Explorer.

Если служба Cisco DirSync работает от учетной записи, отличной от учетной записи пользователя, вошедшего в систему в данный момент, необходимо также войти с помощью этой учетной записи и настроить веб-прокси.

1	В Internet Explorer перейдите к меню Свойства браузера, щелкните Соединения и выберите Настройки LAN.
2	Укажите экземпляр Windows, в котором соединитель установлен на веб-прокси. Соединитель наследует эти настройки веб-прокси.
3	Если в вашей среде используется аутентификация прокси, добавьте эти URL-адреса в список разрешенных: cloudconnector.webex.com для синхронизации. idbroker.webex.com для аутентификации. idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т. д. Это можно сделать на уровне веб-сайта (для всех организаторов) или только для организатора, у которого есть соединитель. При добавлении этих URL-адресов в список разрешенных для полного обхода веб-прокси убедитесь, что таблица ACL брандмауэра обновлена, чтобы разрешить узлу соединителя прямой доступ к URL-адресам.
4	Если в вашей среде необходимо запросить списки отзыва сертификатов у центров сертификации, добавьте эти URL-адреса в список разрешенных. .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Дополнительную информацию см. в этой статье о доменах и URL-адресах, которые должны быть доступны для служб Webex.

Настройка веб-прокси с помощью файла PAC

В браузере клиента можно настроить использование файла .pac. Этот файл предоставляет информацию об адресе веб-прокси и портах. Соединитель каталогов напрямую унаследует конфигурацию веб-прокси, относящуюся к определенному предприятию.

Чтобы соединитель успешно подключился и синхронизировал информацию о пользователях с облаком Webex, убедитесь, что аутентификация прокси для cloudconnector.webex.com отключена в конфигурации файла .pac для узла, на котором установлен соединитель.

Если в вашей среде используется аутентификация прокси, добавьте эти URL-адреса в список разрешенных:

cloudconnector.webex.com для синхронизации.
idbroker.webex.com для аутентификации.
idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т. д.

Это можно сделать на уровне веб-сайта (для всех организаторов) или только для организатора, у которого есть соединитель.

При добавлении этих URL-адресов в список разрешенных для полного обхода веб-прокси убедитесь, что таблица ACL брандмауэра обновлена, чтобы разрешить узлу соединителя прямой доступ к URL-адресам.

Если в вашей среде необходимо запросить списки отзыва сертификатов у центров сертификации, добавьте эти URL-адреса в список разрешенных.

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

Дополнительную информацию см. в этой статье о доменах и URL-адресах, которые должны быть доступны для служб Webex.

NTLM-прокси

Соединитель каталогов поддерживает NT LAN Manager (NTLM). NTLM – это один из подходов к поддержке аутентификации Windows среди устройств домена и обеспечении их безопасности.

Дизайн NTLM

В большинстве случаев пользователь хочет получить доступ к другим ресурсам рабочей станции через клиентский ПК, что может быть сложно сделать безопасным способом.

Как правило, техническая разработка NTLM основана на механизме Challenge (Вызов) и Response (Ответ):

Пользователь входит на ПК клиента с помощью учетной записи Windows и пароля. Пароль не сохраняется локально. Вместо пароля в формате обычного текста значение хеша пароля хранится локально. Когда пользователь входит в клиент с помощью пароля, ОС Windows сравнивает сохраненное значение хеша и значение хеша, полученное от введенного пароля. Если оба совпадают, аутентификация проходит.

Если пользователь хочет получить доступ к любому ресурсу на другом сервере, клиент отправляет запрос на сервер с именем учетной записи в виде обычного текста.
Когда сервер получает запрос, сервер генерирует 16-битный случайный ключ. Ключ называется Challenge (или Nonce). Прежде чем сервер отправит обратно клиенту, вызов хранится на сервере. Затем сервер отправляет вызов клиенту в виде обычного текста.
Как только клиент получает вызов, отправленный с сервера, клиент шифрует вызов с помощью хэша, упомянутого в шаге 1. После шифрования значение отправляется обратно на сервер.
Когда сервер получает зашифрованное значение от клиента, сервер отправляет его на контроллер домена для проверки. Запрос включает приведенное ниже. имя учетной записи, зашифрованный вызов, отправленный клиентом, и исходный простой вызов.
Контроллер домена может получить хеш-значения пароля в соответствии с именем учетной записи. А затем контроллер домена может зашифровать исходную задачу. Затем контроллер домена может сравниться с полученным значением хеша и зашифрованным значением хеша. Если они одинаковы, проверка выполнена успешно.

В операционной системе Windows интегрирована аутентификация безопасности, что упрощает поддержку аутентификации безопасности приложениям. В результате не требуется выполнять дальнейшую настройку.

Настройка прозрачного прокси

В этом сценарии браузер не понимает, что прозрачный веб-прокси перехватывает http-запросы (порт 80/порт 443), и настройка на стороне клиента не требуется.

1	Разверните прозрачный прокси, чтобы соединитель мог подключать и синхронизировать пользователей.
2	Убедитесь в успешном выполнении прокси. При запуске соединителя отображается всплывающее окно ожидаемой аутентификации браузера.

Настройка аутентификации прокси

Добавьте URL-адрес cloudconnector.webex.com в список разрешенных, создав список контроля доступа.

На корпоративном брандмауэре:

1	Включите поиск DNS, если этот параметр еще не включен.
2	Определите приблизительную пропускную способность для этого соединения (примерно 2 Мбит/с или менее для соединителя). Это может быть необязательно.
3	Создайте список контроля доступа, чтобы применить его к узлу соединителя, и укажите `cloudconnector.webex.com` в качестве целевого объекта, который необходимо добавить в список разрешенных. Пример. `access-list 2000 ACL-внутри расширенного разрешения TCP [IP соединителя] cloudconnector.webex.com eq https`
4	Примените этот СКД к соответствующему интерфейсу брандмауэра, который применим только к этому узлу соединителя.
5	Убедитесь, что остальные узлы в вашей организации по-прежнему должны использовать веб-прокси, настроив соответствующее неявное заявление об отказе.

Развертывание соединителя каталогов

Алгоритм выполнения задач по развертыванию соединителя каталогов Cisco

Перед началом работы

Способы добавления пользователей и управления ими в организации

1	Установить соединитель каталогов В Control Hub синхронизация каталога изначально отключена. Чтобы включить синхронизацию каталога для организации, необходимо установить и настроить соединитель каталогов, а затем успешно выполнить полную синхронизацию. Для новой установки соединителя каталогов всегда перейдите в Control Hub (https://admin.webex.com) для получения последней версии программного обеспечения и использования новейших функций и исправлений ошибок. После установки программного обеспечения о модернизации сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
2	Вход В Соединитель Каталогов Войдите с помощью учетных данных администратора Webex и выполните начальную настройку.
3	Настройка автоматической модернизации Всегда важно поддерживать актуальность программного обеспечения соединителя каталогов до последней версии. Рекомендуется использовать эту процедуру, чтобы разрешить автоматическую модернизацию программного обеспечения устанавливать в фоновом режиме, когда она станет доступной.
4	Выберите объекты Active Directory для синхронизации По умолчанию соединитель каталогов синхронизирует всех пользователей, которые не являются компьютерами, и всех групп, которые не являются критически важными объектами системы для домена. Для получения дополнительных сведений о том, какие объекты синхронизируются, можно выбрать определенных пользователей для синхронизации и указать фильтры LDAP на странице выбора объекта в соединителе каталогов.
5	Сопоставить атрибуты пользователя Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid.
6	Синхронизируйте аватары каталогов, выполнив одну из следующих процедур: Синхронизация аватаров каталогов из атрибута Active Directory с облаком Синхронизация аватаров каталогов с сервера ресурсов с облаком Можно синхронизировать аватары пользователей с облаком, чтобы аватар каждого пользователя отображался при входе в приложение. Можно синхронизировать аватары с помощью атрибута Active Directory или сервера ресурсов.
7	Синхронизация информации о локальной комнате с облаком Webex Используйте эту процедуру для синхронизации информации о локальной комнате из Active Directory с облаком Webex. После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным SIP-адресом будут отображаться в качестве записей на зарегистрированных в облаке устройствах комнаты, таких как устройство Webex Room или Cisco Webex Board
8	Чтобы Подготовить Пользователей Из Active Directory В Control Hub, выполните следующие действия. Выполнение пробной синхронизации пользователей Active Directory Выполнение полной синхронизации пользователей Active Directory в облако Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub Следуйте этой последовательности, чтобы подготовить пользователей Active Directory для учетных записей приложения Webex. Можно подготовить пользователей из развертывания Active Directory с несколькими лесами или доменами для соединителя каталогов 3.0 и более поздних версий. Во время процесса добавления пользователей из разных доменов необходимо решить, следует ли сохранить или удалить объекты пользователей, которые могут уже существовать в облаке Webex. Например, протестировать учетные записи из пробной версии. Целью является точное соответствие между Active Directory и облаком Webex.

Установить соединитель каталогов

В Control Hub синхронизация каталога изначально отключена. Чтобы включить синхронизацию каталога для организации, необходимо установить и настроить соединитель каталогов, а затем успешно выполнить полную синхронизацию.

Для каждого домена Active Directory, который необходимо синхронизировать, необходимо установить один соединитель. Один экземпляр соединителя каталогов может обслуживать только один домен. Информацию о потоке синхронизации нескольких доменов см. на следующей схеме.

Перед началом работы

При аутентификации через прокси-сервер убедитесь, что у вас есть учетные данные прокси.

Для базовой аутентификации прокси после установки экземпляра соединителя необходимо ввести имя пользователя и пароль. Для базовой аутентификации также требуется конфигурация прокси Internet Explorer. См. статью Использование веб-прокси Через Браузер.
При первом открытии соединителя для прокси-сервера NTLM может возникнуть ошибка. См. статью Использование веб-прокси Через Браузер.

1	В Control Hub перейдите к меню Пользователи > Управление пользователями > Включить синхронизацию каталога и выберите Далее.
2	Щелкните ссылку Скачать и установить, чтобы сохранить последнюю версию файла установки соединителя ZIP на сервер VMware или Windows. Файл .zip можно получить непосредственно по этой ссылке, однако для работы этого программного обеспечения необходим полный административный доступ к организации Control Hub. Для новой установки установите новейшую версию программного обеспечения, чтобы использовать новейшие функции и исправления ошибок. После установки программного обеспечения о модернизации сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
3	На сервере VMware или Windows распакуйте и запустите файл .msi в папке настроек, чтобы запустить мастер настройки.
4	Щелкните Далее, установите флажок, чтобы принять лицензионное соглашение, а затем щелкните Далее, пока не отобразится экран типа учетной записи.
5	Выберите тип учетной записи службы, которую необходимо использовать, и выполните установку с помощью учетной записи администратора. Локальная система. Параметр по умолчанию. Этот параметр можно использовать при настройке прокси с помощью Internet Explorer. Учетная запись домена. Используйте этот параметр, если компьютер является частью домена. Для доступа к ресурсам домена соединитель каталогов должен взаимодействовать с сетевыми службами. Можно ввести данные учетной записи и щелкнуть ОК. При вводе имени пользователя используйте формат `{domain}\{user_name}` Для прокси, который интегрируется с AD (NTLMv2 или Kerberos), необходимо использовать параметр учетной записи домена. Учетная запись, используемая для запуска службы соединителя каталогов, должна обладать достаточными правами для передачи прокси и доступа к AD. Во избежание ошибок убедитесь в наличии указанных ниже прав. Сервер является частью домена Учетная запись домена может получить доступ к локальным данным AD и данным аватаров. Учетная запись также должна иметь роль локального администратора, поскольку она должна получить доступ к файлам в разделе C:\Program Files. Для входа в виртуальную машину права учетной записи администратора должны иметь по крайней мере возможность чтения информации о домене.
6	Щелкните Установить. После запуска сетевого теста и при отображении соответствующего запроса введите основные учетные данные прокси-сервера, щелкните ОК, а затем щелкните Готово.

Дальнейшие действия

После установки рекомендуется перезагрузить сервер. Отчет пробного запуска не может отображать верный результат, если данные не были выпущены. Во время перезагрузки компьютера все данные обновляются, чтобы в отчете отображался точный результат.

Вход В Соединитель Каталогов

Перед началом работы

Убедитесь, что у вас есть учетные данные прокси.

В случае базовой аутентификации прокси после первого открытия соединителя необходимо ввести имя пользователя и пароль.
Для прокси-сервера NTLM откройте Internet Explorer, щелкните пиктограмму шестеренки, перейдите к меню Свойства браузера > Подключения > Настройки локальной сети, убедитесь, что информация о прокси-сервере добавлена, а затем щелкните ОК. См. статью Использование веб-прокси Через Браузер.

1	Откройте соединитель и при появлении запроса добавьте `https://idbroker.webex.com` в список доверенных веб-сайтов.
2	При отображении соответствующего запроса войдите с помощью учетных данных аутентификации прокси, затем войдите в Webex с помощью учетной записи администратора и щелкните Далее.
3	Подтвердите организацию и домен. При выборе AD DS установите флажок LDAP по SSL, чтобы в качестве протокола соединения использовать безопасный LDAP (LDAPS), выберите домен, из которого необходимо синхронизировать, и щелкните Подтвердить. Если не установить флажок LDAP через SSL, DirSync продолжит использовать протокол соединения LDAP. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в инфраструктуре. Связь LDAPS зашифрована и защищена. При выборе AD LDS введите узел, домен и порт, а затем щелкните Обновить, чтобы загрузить все разделы приложений. Затем выберите раздел в раскрывающемся списке и щелкните Подтвердить. Дополнительную информацию см. в разделе AD LDS. В файле конфигурации CloudConnectorCommon.dll убедитесь, что настройка ADAuthLevel добавлена к узлу appSetting. Значения могут быть 1, 2 или 3. Подробные сведения о типах аутентификации см. в этой статье от Microsoft. Вот пример настройки со значением 1: `<appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	После отображения экрана Подтвердить организацию щелкните Подтвердить. Если AD DS/AD LDS уже связаны, отобразится экран Подтвердить организацию.
5	Щелкните Подтвердить.
6	Выберите один из них в зависимости от количества доменов Active Directory, которые необходимо связать с соединителем каталогов. Если у вас есть единый домен AD LDS, привяжите его к существующему источнику AD LDS и щелкните Подтвердить. Если у вас есть единый домен AD DS, привяжите его к существующему или новому домену. При выборе Привязка к новому домену щелкните Далее. Поскольку существующим типом источника является AD DS, невозможно выбрать AD LDS для новой привязки. Если у вас несколько доменов, выберите из списка существующий домен или Связать с новым доменом, а затем щелкните Далее. Поскольку у вас несколько доменов, существующим типом источника должен быть AD DS. При выборе Привязка к новому домену и нажатии Далее выбрать AD LDS для новой привязки будет невозможно.

Дальнейшие действия

После входа в систему вам будет предложено выполнить пробную синхронизацию.

Инструментальная панель соединителя каталогов

При первом входе в соединитель каталогов отображается инструментальная панель. Здесь можно просмотреть сводную информацию обо всех действиях по синхронизации, просмотреть статистику облака, выполнить пробный запуск синхронизации, запустить полную или инкрементную синхронизацию и запустить представление event-совещания, чтобы просмотреть информацию об ошибках.

Если время сеанса истекло, войдите снова.

Эти задачи можно легко выполнить с помощью панели инструментов или меню действий.

Таблица 1. Компоненты инструментальной панели
Компонент	Описание
Текущая синхронизация	Отображает информацию о состоянии синхронизации, которая в данный момент выполняется. Если синхронизация не запущена, отображается состояние простоя.
Следующая синхронизация	Отображает следующие запланированные полные и инкрементные синхронизации. Если график не задан, отображается параметр Не запланирован.
Последняя синхронизация	Отображает состояние двух последних выполненных синхронизаций.
Текущее состояние синхронизации	Отображает общее состояние синхронизации.
Соединители	Отображает текущие локальные соединители, доступные в облаке.
Облачная статистика	Отображает общее состояние синхронизации.
График синхронизации	Отображает график синхронизации для инкрементной и полной синхронизации.
Сводная информация о конфигурации	Список настроек, измененных в конфигурации. Например, сводная информация может включать следующее: Все объекты будут синхронизированы Все пользователи будут синхронизированы Пороговое значение, которое удалено, отключено.

Таблица 2. Панель инструментов действий
Действие	Описание
Начать инкрементную синхронизацию	Начать инкрементную синхронизацию вручную Это действие будет отключено при приостановке или отключении синхронизации, если полная синхронизация не была завершена или выполняется.
Пробный запуск синхронизации	Выполните синхронизацию пробного запуска.
Запустить средство просмотра event-совещаний	Запустите средство просмотра event-совещаний Microsoft.
Обновить	Обновить инструментальную панель соединителя каталогов Cisco

Таблица 3. Меню действий
Действие	Описание
Синхронизировать сейчас	Мгновенно начните полную синхронизацию.
Режим синхронизации	Выберите режим добавочной синхронизации или режим полной синхронизации.
Сбросить секретный код соединителя	Создайте разговор между соединителем каталогов Cisco и службой соединителя. При выборе этого действия секретный код в облаке будет сброшен, а затем сохранен локально.
Пробный запуск	Выполните тест процесса синхронизации. Перед полной синхронизацией необходимо выполнить пробный запуск.
Устранение неполадок	Включение и выключение функции устранения неполадок.
Обновить	Обновите главный экран соединителя каталогов Cisco.
Выход	Закройте соединитель каталогов Cisco.

Таблица 4. Сочетания клавиш
Комбинация клавиш	Действие
Alt +A	Показать меню Действия
`Alt +A + S`	Синхронизировать сейчас
`Alt +A + R`	Сбросить секретный код соединителя
`Alt +A + D`	Пробный запуск
`Alt +A + S + I`	Инкрементная синхронизация
`Alt +A + S + F`	Полная синхронизация
`Alt + H`	Показать меню Справка
`Alt + H + H`	Справка
`Alt + H + A`	О программе
`Alt + H + F`	вопросы и ответы

Настройка автоматической модернизации

1	В соединителе каталогов перейдите к меню Конфигурация > Общие и установите флажок Автоматическая модернизация до новой версии соединителя каталогов Cisco.
2	Чтобы сохранить изменения, щелкните Применить.

Новые версии соединителя устанавливаются автоматически, когда они становятся доступными.

При необходимости можно вручную управлять модернизациями. Дополнительную информацию см. в статье Модернизация до последнего выпуска программного обеспечения.

Выберите объекты Active Directory для синхронизации

По умолчанию соединитель каталогов синхронизирует всех пользователей, которые не являются компьютерами, и всех групп, которые не являются критически важными объектами системы для домена. Для получения дополнительных сведений о том, какие объекты синхронизируются, можно выбрать определенных пользователей для синхронизации и указать фильтры LDAP на странице выбора объекта в соединителе каталогов.

Группы для автоматического назначения лицензий

Control Hub позволяет управлять назначением лицензий по группе. Можно создавать шаблоны лицензий и сопоставлять их с группами Active Directory, синхронизированными с облаком. В момент создания пользователя Webex проверяет членство пользователей и автоматическое сопоставление шаблона лицензий для этого нового пользователя.

Рекомендуется использовать фильтр LDAP для синхронизации только соответствующих групп с облаком. Например, можно задать для фильтра следующее:

(&(cn=Пример)(objectclass=Group))*

Этот фильтр синхронизирует все группы в базовом DN, где имя начинается с "Пример". Пользователям, не назначенным группам, лицензии назначаются из шаблона автоматического назначения лицензий по умолчанию, настроенного в Control Hub.

Экран выбора объекта в соединителе каталогов

Группы для развертываний безопасности данных гибридного типа

Чтобы настроить пробную группу для пилотных пользователей, в соединителе каталогов необходимо установить флажок Группы. Инструкции см. в руководстве по развертыванию службы безопасности данных гибридного типа. Эта настройка соединителя каталогов не влияет на синхронизацию других пользователей в облаке.

Перед началом работы

1	В соединителе каталогов перейдите к меню Конфигурация и щелкните Выбор объекта.
2	В разделе Тип объекта установите флажок Пользователи и рассмотрите возможность ограничения количества контейнеров, доступных для поиска для пользователей. Например, чтобы синхронизировать только пользователей в определенной группе, необходимо ввести фильтр LDAP в поле фильтров LDAP Пользователи. Чтобы синхронизировать пользователей из группы Example-manager, используйте фильтр, подобный этому: `(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))`
3	Установите флажок Идентифицировать комнату, чтобы отделить данные комнаты от данных пользователей. Щелкните Настройка, чтобы настроить дополнительные атрибуты для идентификации данных пользователей в качестве данных комнаты. Используйте эту настройку, чтобы синхронизировать информацию о локальной комнате из Active Directory с облаком Webex. После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным SIP-адресом отображаются в качестве записей на зарегистрированных в облаке устройствах комнаты. Дополнительную информацию см. в статье Синхронизация информации о локальной комнате с облаком Webex.
4	Установите флажок Группы, если необходимо синхронизировать группы пользователей Active Directory с облаком. Не добавляйте фильтр синхронизации пользователей LDAP в поле «Группы». Для синхронизации данных групп с облаком следует использовать только поле «Группы». По умолчанию группы не синхронизируются для новых клиентов. Необходимо включить синхронизацию группы. Также необходимо синхронизировать группы безопасности.
5	Чтобы синхронизировать контактную информацию пользователей с облаком, установите флажок Контакты. Соединитель каталогов управляет только контактами, синхронизированными с помощью соединителя. Если в Control Hub уже есть контакты, эти контакты не будут удалены. Если контакты удалены из области синхронизации, контактная информация пользователей также будет удалена в Control Hub.
6	Настройте фильтры LDAP. Можно добавить расширенные фильтры, предоставив действительный фильтр LDAP. Дополнительную информацию о настройке фильтров LDAP см. в этой статье.
7	Укажите локальные базовые абонентские номера для синхронизации, щелкнув Выбрать, чтобы просмотреть структуру дерева Active Directory. Здесь можно выбрать или отменить выбор контейнеров для поиска.
8	Убедитесь, что объекты, которые необходимо добавить для этой конфигурации, и щелкните Выбрать. Можно выбрать отдельные или родительские контейнеры для синхронизации. Выберите родительский контейнер, чтобы включить все дочерние контейнеры. Если выбран дочерний контейнер, в родительском контейнере отображается серая галочка, указывающая на то, что дочерний элемент установлен. Затем можно щелкнуть Выбрать, чтобы принять выбранные контейнеры Active Directory. Если в вашей организации все пользователи и группы будут помещены в контейнер "Пользователи", вам не придется искать другие контейнеры. Если ваша организация разделена на единицы организации, выберите OU.
9	Щелкните Применить. Выберите параметр. Применить изменения конфигурации Пробный запуск Отмена Информацию о пробных запусках см. в статье Синхронизация пробного запуска для пользователей Active Directory. Для синхронизации групп необходимо выполнить полную синхронизацию. Полная синхронизация пользователей Active Directory в облако.

Сопоставить атрибуты пользователя

Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid, уникальный идентификатор каждой учетной записи пользователя в облачной службе удостоверений.

Можно выбрать, какой атрибут Active Directory следует сопоставить с облаком. Например, можно сопоставить firstName lastName в Active Directory или пользовательское выражение атрибута с displayName в облаке.

Учетные записи в Active Directory должны иметь адрес электронной почты. UID по умолчанию сопоставляется с полем ad почты (не sAMAccountName).

При выборе предпочтительного языка в Active Directory Active Directory единственным источником достоверности является Active Directory. пользователи не смогут изменить настройку языка в настройках Webex, а администраторы не смогут изменить настройку в Control Hub.

1	В соединителе каталогов щелкните Конфигурация и выберите Сопоставление атрибутов пользователя. На этой странице показаны имена атрибутов для Active Directory (слева) и облака Webex (справа). Все обязательные атрибуты отмечены красной звездочкой.
2	Прокрутите вниз до конца поля Имена атрибутов Active Directory и выберите один из этих атрибутов Active Directory для сопоставления с атрибутом облака UID: mail (Почта). Используется в большинстве развертываний для формата электронной почты. userPrincipalName — альтернативный вариант, если атрибут почты используется в других целях в Active Directory. Этот атрибут должен быть в формате электронной почты. Вы можете сопоставить любые другие атрибуты Active Directory с UID, однако рекомендуется использовать mail или userPrincipalName, как описано в руководстве выше. В некоторых случаях для входа используется параметр userPrincipalName, но адрес электронной почты пользователя используется для управления его календарем. Необходимо убедиться, что адрес электронной почты для управления календарем сопоставлен с полем основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. Чтобы узнать, какие атрибуты в Active Directory соответствуют в облаке, см. статью Сопоставление атрибутов Active Directory в соединителе каталогов. Чтобы синхронизация работала, необходимо убедиться, что выбранный атрибут Active Directory указан в формате электронной почты. Если один из рекомендованных атрибутов не выбран, соединитель каталогов отобразит всплывающее окно с напоминанием.
3	Если предопределенные атрибуты Active Directory не работают в вашем развертывании, щелкните раскрывающийся список атрибутов, прокрутите страницу вниз и выберите Настроить атрибут, чтобы открыть окно, с помощью которого можно определить выражение атрибута. Для получения дополнительной информации об выражениях и просмотра примеров их работы щелкните Справка. Дополнительную информацию также см. в разделе Выражения для настраиваемых атрибутов. В этом примере давайте составим атрибуты Active Directory `givenName` и `Sn` с атрибутом облака `displayName`: Определите выражение атрибута как givenName + "" + Sn (кавычки являются дополнительным пространством), а затем укажите адрес электронной почты существующего пользователя для проверки. Щелкните Проверить и проверьте, соответствует ли результат ожидаемым. Успешный результат выглядит следующим образом: Если результаты совпадают с ожидаемыми, щелкните ОК, чтобы сохранить новый настраиваемый атрибут. Позже при необходимости изменить displayName можно ввести новое выражение атрибута Соединитель каталогов проверяет значение атрибута UID в службе удостоверений и получает 3 доступных пользователя в соответствии с текущими параметрами фильтра пользователя. Если все эти 3 пользователя имеют действительный формат электронной почты, в соединителе каталогов Cisco отображается следующее сообщение: Если атрибут не удается проверить, будет отображено следующее предупреждение. Для проверки и исправления данных пользователя можно будет вернуться в Active Directory.
4	(Необязательно) Выберите сопоставления для мобильного и telephoneNumber, если необходимо, чтобы номера мобильных и рабочих телефонов отображались, например, в карточке контакта пользователя в приложении Webex. Данные номера телефона отображаются в приложении Webex при наведении указателя мыши на изображение профиля другого пользователя. Дополнительную информацию о вызовах с помощью карточки контакта пользователя см. в руководстве по развертыванию вызовов в Webex (Unified CM) (администраторы).
5	Выберите дополнительные сопоставления, чтобы дополнительные данные отображались в карточке контакта. `номер отдела` `отображаемое имя` `менеджер` `заголовок` После сопоставления атрибутов информация отображается при наведении указателя мыши на изображение профиля другого пользователя. Дополнительную информацию о карточке контакта см. в статье Проверка пользователя, с которым вы связываетесь. После синхронизации этих атрибутов с каждой учетной записью пользователя можно также включить People Insights в Control Hub. Эта функция позволяет пользователям приложения Webex предоставлять совместный доступ к дополнительной информации в профилях и узнать больше друг о друге. Дополнительную информацию о функции и способах ее включения см. в статье Профессиональные профили для Webex, Jabber, Webex Meetings и Webex Events (новая версия) в Control Hub
6	После выбора щелкните Применить.

Все данные пользователя, содержащиеся в Active Directory, перезаписывают данные в облаке, соответствующие этому пользователю. Например, если пользователь создан вручную в Control Hub, адрес электронной почты пользователя должен совпадать с адресом электронной почты в Active Directory. Любой пользователь без соответствующего адреса электронной почты в Active Directory удаляется.

Удаленные пользователи хранятся в облачной службе удостоверений в течение 7 дней до окончательного удаления.

Атрибуты Active Directory и облака

Можно сопоставить атрибуты из локального каталога Active Directory с соответствующими атрибутами в облаке на вкладке Сопоставление атрибутов пользователя.

В этой таблице сравнивается сопоставление имен атрибутов Active Directory и имен атрибутов облака Cisco. Эти значения и сопоставления являются настройками по умолчанию в соединителе каталогов. В раскрывающемся списке Active Directory можно выбрать различные атрибуты и определить, какой локальный атрибут будет синхронизирован с каким облачным атрибутом.

Рассматривайте раскрывающиеся атрибуты как предустановки. В качестве альтернативы значениям в строке Active Directory можно также указать настраиваемый атрибут, собственную предустановку, в Active Directory (выражение с несколькими атрибутами), чтобы сопоставить его с одним облачным атрибутом в соответствующей строке. Таким образом, у вас есть возможность определять отображаемые имена пользователей. Например, можно добавить выражение, которое создает настраиваемый атрибут на основе должности сотрудника, заданного имени и фамилии в Active Directory.

Также можно указать любые атрибуты Active Directory для сопоставления с UID в облаке. Однако необходимо убедиться в том, что для локального атрибута используется действительный формат адреса электронной почты.

Вы также можете использовать альтернативные адреса электронной почты, если, например, вы хотите использовать userPrincipalName для входа, но адрес электронной почты пользователя используется для управления календарем. В этом случае сопоставьте другой адрес электронной почты с атрибутом emails;type-work. Это адрес электронной почты, который используется для аутентификации; он не используется для управления вашим календарем. Адрес электронной почты, который вы сопоставляете из AD, должен быть из подтвержденного домена в вашей организации. Он должен быть уникальным и не назначен другому пользователю.

Имена атрибутов Active Directory	Имена атрибутов облака Webex	Примечания
—	зданиеName	—
с	с	Этот атрибут определяет сокращенную страну пользователя.
номер отдела	номер отдела	Этот атрибут используется для номера отдела пользователя, который отображается в карточке контакта и профессиональных профилях.
отображаемое имя	отображаемое имя	Этот атрибут используется для отображаемого имени учетной записи пользователя, которое отображается в Control Hub, карточке контакта и профессиональных профилях.
Управление учетной записью пользователя	ds-pwp-account-disabled	Этот атрибут используется для синхронизации пользователей. Убедитесь, что атрибут userAccountControl сопоставлен с ds-pwp-account-disabled или синхронизация пользователей не будет выполнена надлежащим образом.
Номер сотрудника	Номер сотрудника	—
факсимильный номер телефона	факсимильный номер телефона	—
—	идентификатор jabberID	Этот облачный атрибут относится к адресам обмена мгновенными сообщениями (тип XMPP), которые используются в Jabber. Это значение не совпадает с sipAddresses.
л	л	Этот атрибут определяет город пользователя.
—	региональные параметры	—
менеджер	менеджер	Этот атрибут используется для имени менеджера пользователя, которое отображается в карточке контакта и профессиональных профилях.
мобильный	мобильный	Этот атрибут используется в качестве номера мобильного телефона, который отображается для вызова пользователя из карточки контакта.
о	о	Этот атрибут указывает название компании или организации и отображается в карточке контакта.
или	или	Этот атрибут указывает имя организационного модуля.
physicalDeliveryOfficeName	physicalDeliveryOfficeName	Этот атрибут определяет местоположение офиса пользователя.
почтовый индекс	почтовый индекс	Этот атрибут определяет почтовый индекс или почтовый индекс пользователя для физической доставки почты.
предпочтительный язык	предпочтительный язык	Этот атрибут задает предпочтительный язык пользователя и поддерживаются следующие форматы. xx_YY или xx-YY. Вот несколько примеров. en_US, en_GB, fr-CA. При использовании неподдерживаемого языка или недопустимого формата предпочтительный язык пользователей будет изменен на язык, установленный для организации.
MSRTCSIP-PrimaryUserAddress ipPhone	SipAddresses;type=предприятие	Этот атрибут используется для синхронизации информации о локальной комнате из Active Directory с облаком Cisco Webex.
sn	sn	Этот атрибут используется для фамилии учетной записи пользователя, которая отображается в Control Hub, карточке контакта и профессиональных профилях.
ул	ул	Этот атрибут указывает штат или область пользователя.
streetAddress	улица	Этот атрибут указывает почтовый адрес пользователя для доставки физической почты.
номер телефона	номер телефона	Этот атрибут определяет основной (рабочий) номер телефона пользователя, который используется для вызова пользователя из карточки контакта.
—	часовой пояс	Этот облачный атрибут определяет часовой пояс пользователя.
заголовок	заголовок	Этот атрибут определяет должность пользователя, которая отображается в карточке контакта и профессиональных профилях.
тип	предприятие	—
почта userPrincipalName	идентификатор	Обязательное сопоставление атрибутов. Для каждой учетной записи пользователя значение Active Directory сопоставляется с уникальным UID в облаке. В некоторых случаях для входа используется параметр userPrincipalName, но адрес электронной почты пользователя используется для управления его календарем. Необходимо убедиться, что адрес электронной почты для управления календарем сопоставлен с полем основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. После этого пользователь сможет войти в систему с помощью любого из этих адресов электронной почты, если установлено правильное сопоставление атрибутов SAML. Информацию о том, как можно сопоставить альтернативный адрес электронной почты, см. в разделе Пример сопоставления атрибутов ниже.
userPrincipalName почта <custom attribute>	электронные сообщения; рабочий тип	Это сопоставление необязательно. Используйте его, если необходимо использовать альтернативные адреса электронной почты. Это адрес электронной почты, который используется для аутентификации; он не используется для управления вашим календарем. Адрес электронной почты, который вы сопоставляете из AD, должен быть из подтвержденного домена в вашей организации. Он должен быть уникальным и не назначен другому пользователю.
<Новый атрибут для объекта пользователя Azure>	внешний идентификатор	Создайте новый атрибут Active Directory для удержания идентификатора объекта пользователя Azure, чтобы он не сталкивался с существующим атрибутом. Затем этот атрибут сопоставляется с атрибутом externalId. Благодаря этому при создании групп в Microsoft 365 пользователи Webex автоматически создают команды в Webex.

Сопоставление альтернативных адресов электронной почты

Выражения для настраиваемых атрибутов

Таблица 5. Выражения для настраиваемых атрибутов
Оператор	Описание и пример
%	Удаляет все символы от начала строки до позиции символа или аргумента строки, если они совпадают. Пример выражения `"abc@example.com" % "@"` Результат `пример.com`
-	Отрезок задней строки ввода от конца указанной строки. Пример выражения `"abc@example.com" – "@"` Результат `абс`
+	Объединяет строки ввода или выражения. Пример выражения `"abc" + "" + "def"` Результат `деф ABC`
\|	Вычисляет разделенные выражения по пустой строке и выбирает первый непустой результат. Пример выражения `"" \| "abc"` Результат `абс`

Синхронизация аватаров каталогов из атрибута Active Directory с облаком

1	В соединителе каталогов перейдите к меню Конфигурация, щелкните Аватар и установите флажок Включить.
2	Для параметра Получить аватар из выберите Атрибут AD, а затем Атрибут аватара, содержащий необработанные данные аватара, которые необходимо синхронизировать с облаком.
3	Чтобы проверить правильность доступа к аватару, введите адрес электронной почты пользователя и щелкните Получить аватар пользователя. Аватар отображается справа.
4	Чтобы сохранить изменения, после проверки правильности отображения аватара щелкните Применить.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей в приложении Webex. После включения этой функции в соединителе каталогов пользователям не разрешается настраивать собственный аватар.
Аватары пользователя синхронизируются с приложением Webex и всеми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Выполните пробную синхронизацию. При отсутствии проблем выполните полную синхронизацию, чтобы получить синхронизацию учетных записей пользователей Active Directory и аватаров с облаком и отобразить их в Control Hub.

Синхронизация аватаров каталогов с сервера ресурсов с облаком

Можно синхронизировать аватары каталога пользователей с облаком, чтобы каждый аватар отображался при входе в приложение Webex. Используйте эту процедуру для синхронизации аватаров с сервера ресурсов.

Перед началом работы

В этой процедуре приведены примеры шаблона URI и значения переменной. Необходимо использовать фактические URL-адреса, по которым расположены аватары каталога.
Шаблон URI аватара и сервер, на котором находятся аватары, должны быть доступны из приложения соединителя каталогов. Соединителю необходим доступ по HTTP или HTTPS к изображениям, однако изображения не должны быть общедоступными в Интернете.
Синхронизация данных аватара отделена от профилей пользователей Active Directory. При запуске прокси необходимо обеспечить доступ к данным аватара с помощью аутентификации NTLM или базовой аутентификации.

1	В соединителе каталогов перейдите к меню Конфигурация, щелкните Аватар и установите флажок Включить.
2	Для параметра Получить аватар от выберите Сервер ресурсов и введите шаблон URI аватара. Например, *`http://www.example.com/dir/photo/zoom/{mail: jpg.?(?=@.)}.`* Давайте рассмотрим каждую часть шаблона URI аватара и что они означают: http://www.example.com/dir/photo/zoom/ – путь к местоположению всех фотографий, которые будут синхронизированы. Это должен быть URL-адрес, к которому должна быть доступна служба соединителя каталогов на вашем сервере. mail: указывает соединителю каталогов на получение значения атрибута mail из Active Directory. .?(?=@.). Синтаксис regex, который выполняет следующие функции: *`.: любой символ, повторяющий ноль или более раз.` `? Сообщает, что предыдущая переменная соответствует как можно большему количеству символов.` `(?= ... ): сопоставление группы после основного выражения без включения ее в результат. Соединитель каталогов выполняет поиск соответствия и не включает его в выходные данные.` `@.: символ at, за которым следует любой символ, повторяющийся ноль или более раз.`* `.jpg: расширение файла для аватаров пользователей. Ознакомьтесь с поддерживаемыми типами файлов в этом документе и измените расширение соответствующим образом.`
3	(Необязательно) Если на сервере ресурсов требуются учетные данные, установите флажок Задать учетные данные пользователя для аватара, затем выберите Использовать текущего пользователя для входа в службу или Использовать этого пользователя и введите пароль.
4	Введите значение переменной. Например: `abcd@example.com`.
5	Щелкните Тест, чтобы убедиться в правильности работы шаблона URI аватара. В этом примере, если значение почты для одной записи AD — `abcd@example.com`, а изображения JPG синхронизированы, URI последнего аватара — `http://www.example.com/dir/photo/zoom/abcd.jpg`
6	После того как информация URI будет подтверждена и будет отображена верно, щелкните Применить. Подробную информацию об использовании регулярных выражений см. в статье Краткая справка по языку регулярных выражений Microsoft.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей в приложении Webex. После включения этой функции в соединителе каталогов пользователям не разрешается настраивать собственный аватар.
Аватары пользователя синхронизируются с приложением Webex и всеми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Синхронизация информации о локальной комнате с облаком Webex

Используйте эту процедуру для синхронизации информации о локальной комнате из Active Directory с облаком Webex. После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным SIP-адресом будут отображаться в качестве записей, доступных для поиска на зарегистрированных в облаке устройствах Webex (Room, Desk и Board).

1	В соединителе каталогов перейдите к меню Синхронизация, щелкните рядом с синхронизированным доменом, щелкните Конфигурация и выберите Выбор объекта.
2	Установите флажок параметра Синхронизировать информацию о комнате с облаком, чтобы отделить данные комнаты от данных пользователя во время синхронизации. Если эта настройка отключена, данные комнаты обрабатываются так же, как синхронизированные данные пользователей.
3	Перейдите к меню Сопоставление атрибутов и измените сопоставление атрибутов для облачного атрибута sipAddresses;type=enterprise. Для использования проверки значения значение SIP-адреса должно быть Pattern.compile("^([^@])(.)@(.)$") Выберите MSRTCSIP-PrimaryUserAddress, если он доступен. Если указанный выше атрибут отсутствует в схеме Active Directory, используйте другое поле, например ipPhone.
4	Создайте почтовый ящик ресурса комнаты в Exchange. Будет добавлен атрибут msExchResourceMetaData;ResourceType:Room, который затем используется соединителем для идентификации комнат.
5	В разделе "Пользователи и компьютеры Active Directory" перейдите к свойствам комнаты и измените их. Добавьте полностью квалифицированный URI SIP с префиксом sip:
6	Выполните пробную синхронизацию, а затем полную синхронизацию на соединителе. Новые объекты комнаты перечислены в списке Добавленные объекты, а совпадающие объекты комнаты отображаются в разделе Совпадающие объекты в отчете пробного запуска. Все объекты комнат, отмеченные для удаления, находятся в разделе Удаленные комнаты. В результатах пробного запуска отображаются все совпадающие ресурсы комнаты. Эта настройка отделяет данные комнаты Active Directory (включая атрибут комнаты) от данных пользователя. По завершении синхронизации в облачной статистике на инструментальной панели соединителя отображаются данные комнаты, синхронизированные с облаком.

Дальнейшие действия

После выполнения этих действий при поиске устройства, зарегистрированного в облаке Webex, будут отображены синхронизированные записи комнаты, настроенные с помощью SIP-адресов. При поступлении вызова с устройства Webex на эту запись вызов размещается на SIP-адрес, настроенный для комнаты.

В Control Hub можно автоматически импортировать комнаты из каталога и создавать рабочие пространства.

Терминальное устройство не может выполнить обратный вызов в приложение Webex. Для тестовых устройств набора эти устройства должны быть зарегистрированы в качестве URI SIP локально или в другом месте, отличном от приложения Webex. Если система комнат Active Directory, которую вы ищете, зарегистрирована в Webex и тот же адрес электронной почты указан на устройстве Webex Room, настольном устройстве или Webex Board для службы календаря, в результатах поиска не будет отображаться повторяющаяся запись. Устройство Room, Desk или Board набирается непосредственно в приложении Webex, при этом вызов SIP не совершается.

Отправка отчетов по электронной почте о результатах синхронизации каталога

По умолчанию контакты или администраторы организации всегда получают электронные уведомления. С помощью этой настройки можно настроить получателей электронных уведомлений со сводными отчетами о синхронизации каталога.

1	В соединителе каталогов щелкните Конфигурация и выберите Уведомление.
2	В соединителе каталогов щелкните Настройки и рядом с параметром Получатель электронной почты включите параметр Включить синхронизацию отчета.
3	Чтобы переопределить поведение при уведомлении по умолчанию и добавить одного или нескольких получателей электронных сообщений, установите флажок Включить уведомление.
4	Щелкните Добавить и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом будет отображено сообщение с предложением исправить ошибку, прежде чем вы сможете сохранить и применить изменения.
5	Щелкните Добавить адрес электронной почты и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом будет отображено сообщение с предложением исправить ошибку, прежде чем вы сможете сохранить и применить изменения.
6	Если необходимо изменить введенные адреса электронной почты, дважды щелкните запись электронной почты в левом столбце и внесите необходимые изменения.
7	После добавления всех действительных адресов электронной почты щелкните Применить.
8	После добавления всех действительных адресов электронной почты щелкните Сохранить.

Дальнейшие действия

Если вы решили удалить адреса электронной почты, щелкните сообщение электронной почты, чтобы выделить эту запись, а затем щелкните Удалить.

Подготовка пользователей из Active Directory в Control Hub

Выполните следующие действия, чтобы подготовить пользователей Active Directory и создать соответствующие учетные записи пользователей в Control Hub. После установки соединителя каталогов для каждого домена можно подготовить пользователей из развертывания Active Directory с несколькими доменами (с одним лесом или несколькими лесами). Во время процесса добавления пользователей из разных доменов необходимо решить, следует ли сохранить или удалить объекты пользователей, которые могут уже существовать в облаке Webex. Например, протестировать учетные записи из пробной версии. Целью является точное соответствие между Active Directory и облаком Webex.

1	Выполнение пробной синхронизации пользователей Active Directory Выполните пробный запуск для сравнения объектов в локальном каталоге Active Directory и объектов в облаке Webex. Пробный запуск позволяет просмотреть, какие объекты будут добавлены, изменены или удалены, прежде чем будет запущена полная или инкрементная синхронизация и произведены изменения в облаке.
2	Выполнение полной синхронизации пользователей Active Directory в облако При выполнении полной синхронизации служба соединителя отправляет все отфильтрованные объекты из вашего Active Directory (AD) в облако. Затем служба соединителя обновит хранилище удостоверений с учетом ваших записей AD. Если создан шаблон автоматического назначения лицензий, его можно назначить только синхронизированным пользователям.
3	Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub После завершения полной синхронизации пользователей с помощью соединителя каталогов в Control Hub можно назначить лицензии службы Webex различными способами. Рекомендуется настроить шаблон автоматического назначения лицензий перед его использованием для новых пользователей приложения Webex, синхронизированных из Active Directory. Отдельные изменения также можно внести после этого начального этапа.

Выполнение пробной синхронизации пользователей Active Directory

Выполните пробный запуск для сравнения объектов в локальном каталоге Active Directory и объектов в облаке Webex. Пробный запуск позволяет просмотреть, какие объекты будут добавлены, изменены или удалены, прежде чем будет запущена полная или инкрементная синхронизация и произведены изменения в облаке.

Во время процесса добавления пользователей из разных доменов необходимо решить, следует ли сохранить или удалить объекты пользователей, которые могут уже существовать в облаке Webex. Например, протестировать учетные записи из пробной версии. При использовании соединителя каталогов целью является точное соответствие между Active Directory и облаком Webex.

При наличии нескольких доменов в одном лесу или нескольких лесах этот шаг необходимо выполнить на каждом экземпляре соединителя каталогов Cisco, установленном для каждого домена Active Directory.

Перед началом работы

Возможно, некоторые пользователи приложения Webex в Control Hub уже есть перед использованием соединителя каталогов. Среди пользователей в облаке некоторые пользователи могут совпадать с локальным объектом Active Directory и назначать лицензии для служб. Однако некоторые из них могут быть тестовыми пользователями, которых необходимо удалить во время синхронизации. Необходимо создать точное соответствие между Active Directory и Control Hub.

1	Выберите один из вариантов. После первого входа в систему щелкните Да в окне подсказки, чтобы выполнить пробный запуск. Если вы пропустите напоминание о пробном запуске, в любой момент в соединителе каталогов щелкните Инструментальная панель, выберите Пробный запуск синхронизации, а затем щелкните ОК, чтобы начать синхронизацию пробного запуска. По завершении пробного запуска будет отображен один из приведенных ниже результатов. *Обнаружены несовпадающие объекты в соединителе каталогов* Сводная информация о результатах пробного запуска отчетов и несовпадающих объектах в соединителе каталогов Сводная информация содержит информацию о сопоставлении объектов: Сопоставленные объекты. Пользователь, который находится в общих параметрах идентификации Webex и существует в домене Active Directory, например, если пользователь @cisco.com был синхронизирован с Webex и отображен в Control Hub, а такой же пользователь (someuser@cisco.com) существует в Active Directory. Это означает, что пользователь сопоставляется. Несовпадающие объекты. Пользователь, работающий в Webex, независимо от того, как он был добавлен в Common Identity, но он не существует в Active Directory. Он называется несовпадающим объектом. Например, если адрес someuser@cisco.com был синхронизирован с Webex и отображен в Control Hub, но тот же пользователь (someuser@cisco.com) не управляется Active Directory, в отчете отображается несоответствие пользователя. Пробный запуск идентифицирует пользователей по сравнению с пользователями домена. Приложение может идентифицировать пользователей, принадлежащих к текущему домену. На следующем шаге необходимо решить, следует ли удалить объекты или сохранить их. Несоответствующие объекты идентифицируются как уже существующие в облаке Webex, но не существующие в локальном каталоге Active Directory.
2	Просмотрите результаты пробного запуска и выберите параметр в зависимости от того, используете ли вы один или несколько доменов. Единый домен. Определите, следует ли сохранить несопоставленных пользователей. Если необходимо сохранить их, выберите Нет, сохранить объекты. Если нет, выберите Да, удалить объекты. После выполнения этих действий и запуска вручную полной синхронизации для обеспечения точного соответствия локального местоположения и облака соединитель каталогов автоматически включит запланированные задачи автоматической синхронизации. Несколько доменов. Для организации с доменами A и B сначала выполните пробный запуск домена A. Если необходимо сохранить несовпадающих пользователей, выберите Нет, сохранить объекты. (Эти несовпадающие пользователи могут быть участниками домена B.) Если необходимо удалить, выберите Да, удалить объекты. Если пользователи не будут отображены, сначала запустите полную синхронизацию для домена A, а затем выполните пробный запуск для домена B. Если пользователи не совпадают, добавьте этих пользователей в Active Directory, а затем выполните полную синхронизацию для домена B. При точном совпадении локального местоположения и облака соединитель каталогов автоматически включает запланированные задачи автоматической синхронизации.
3	В запросе Подтвердить пробный запуск щелкните Да, чтобы повторить синхронизацию пробного запуска, а затем просмотреть инструментальную панель и просмотреть результаты. Все учетные записи, которые были успешно синхронизированы в пробном запуске, отображаются в разделе Сопоставленные объекты. Если у пользователя в облаке нет соответствующего пользователя с тем же адресом электронной почты в Active Directory, запись будет отображена в разделе Удаленные пользователи. Чтобы избежать этого флажка удаления, можно добавить пользователя в Active Directory с тем же адресом электронной почты. Чтобы просмотреть сведения о синхронизированных элементах, щелкните соответствующую вкладку для определенных элементов или Сопоставленные объекты. Чтобы сохранить сводную информацию, щелкните Сохранить результаты в файл.
4	Если ожидаются результаты, перейдите к меню Действия > Режим синхронизации > Включить синхронизацию, а затем щелкните Включить сейчас, чтобы выполнить синхронизацию вручную и перевести в ручной режим на данный момент. После синхронизации последнего домена Active Directory в развертывании с несколькими доменами необходимо включить автоматический режим для соединителя каталогов. Автоматический режим можно включить, только когда объекты полностью сопоставляются между облаком Webex и всеми локальными Active Directory.

Дальнейшие действия

Для сохранения любых несовпадающих объектов пользователей необходимо добавить их в Active Directory, чтобы обеспечить точное соответствие между локальной системой и облаком.
Выберите тип синхронизации:
- Выполните полную синхронизацию пользователей Active Directory в облако при первой синхронизации новых пользователей с облаком. Это можно сделать в меню Действия > Синхронизировать сейчас > Полный, после чего будут синхронизированы пользователи из текущего домена.
- Настройте расписание соединителя и Запустить инкрементную синхронизацию после запуска полной синхронизации и при необходимости применить изменения после начальной синхронизации. Этот тип синхронизации рекомендуется учитывать небольшие изменения, внесенные в источник пользователя Active Directory.
  
  По умолчанию инкрементная синхронизация выполняется каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация.
Если у вас несколько доменов, повторите эти действия в любом другом установленном соединителе каталогов.

Что следует учитывать

Перед включением полной синхронизации или изменением параметров синхронизации выполните пробный запуск. Если пробный запуск был инициирован изменением конфигурации, параметры можно сохранить после завершения пробного запуска. Если пользователи уже добавлены вручную, выполнение синхронизации Active Directory может привести к удалению добавленных ранее пользователей. Перед полной синхронизацией с облаком можно проверить отчеты соединителя каталогов по пробному выполнению синхронизации, чтобы убедиться в наличии всех ожидаемых пользователей.

Если соответствующие пользователи помечены как удаленные и вы не уверены, как продолжить, см. информацию об устранении неполадок и обращение в службу поддержки в статье Устранение неполадок и исправления соединителя каталогов.

Удаленные пользователи хранятся в облачной службе удостоверений в течение 7 дней до окончательного удаления.

Выполнение полной синхронизации пользователей Active Directory в облако

При выполнении полной синхронизации служба соединителя отправляет все отфильтрованные объекты из вашего Active Directory (AD) в облако. Затем служба соединителя обновит хранилище удостоверений с учетом ваших записей AD. Если создан шаблон автоматического назначения лицензий, его можно назначить только синхронизированным пользователям.

При наличии нескольких доменов этот шаг необходимо выполнить для каждого установленного вами экземпляра соединителя каталогов для каждого домена Active Directory.

Соединитель каталогов синхронизирует состояние учетной записи пользователя. В Active Directory все пользователи, отмеченные как отключенные, также отображаются в облаке как неактивные.

Перед началом работы

Чтобы учетные записи пользователей приложения Webex оставались в активном состоянии после полной синхронизации и перед первым входом пользователей в систему, необходимо выполнить следующие действия для обхода проверки адреса электронной почты.
- Интегрируйте систему единого входа в свою организацию Webex. См. Единый вход со службами Cisco Webex и поставщиком удостоверений вашей организации для получения дополнительной информации.
- Используйте Control Hub для проверки и при необходимости заявления доменов, содержащихся в адресах электронной почты. См. Добавление, проверка и заявление доменов.
- Блокировать автоматические электронные приглашения, чтобы новые пользователи не получали автоматические электронные приглашения в приложение Webex. (Можно выполнить собственную рассылку по электронной почте.)
  
  Состояние активированных пользователей, которые не вошли в систему, отображается в Control Hub с состоянием Проверено. После входа в систему они отображаются как Активные. Дополнительную информацию о состояниях пользователей см. в статье Действия и состояния пользователей в Cisco Webex Control Hub.
После включения синхронизации соединитель каталогов сначала попросит выполнить пробный запуск. Для выявления возможных ошибок рекомендуется выполнить пробный запуск до полной синхронизации.
Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.

Если шаблоны автоматического назначения лицензий не используются, новые синхронизированные пользователи автоматически получат бесплатные лицензии. Они смогут использовать те же бесплатные функции, что и у бесплатных учетных записей.

1	Выберите один из вариантов. Если после первого входа пробный запуск завершен и он выглядит правильным для всех доменов, щелкните Включить сейчас, чтобы разрешить автоматическую синхронизацию. В соединителе каталогов перейдите к инструментальной панели, щелкните Действия, выберите Режим синхронизации > Включить синхронизацию, а затем щелкните Синхронизировать сейчас > Полный, чтобы начать синхронизацию.
2	В соединителе каталогов перейдите к меню Синхронизация, щелкните рядом с синхронизированным доменом, щелкните Конфигурация и выберите Полная синхронизация.
3	Подтвердите начало синхронизации. Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов после выполнения синхронизации. Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac. Во время синхронизации на инструментальной панели отображается ход выполнения синхронизации. Это может включать тип синхронизации, время ее начала и этап, на котором выполняется синхронизация. После синхронизации разделы Последняя синхронизация и Статистика облака будут обновлены с учетом новой информации. Данные пользователя синхронизированы с облаком. Если во время синхронизации возникают ошибки, индикатор состояния становится красным.
4	Чтобы обновить состояние синхронизации, щелкните Обновить. (Синхронизированные элементы отображаются в разделе Облачная статистика.)
5	Чтобы просмотреть журналы ошибок, выберите Запустить средство просмотра event-совещаний на панели инструментов Действия.
6	Чтобы настроить график синхронизации для текущей инкрементной синхронизации с облаком, см. статьи Установка графика соединителя и Запуск инкрементной синхронизации.

После завершения полной синхронизации состояние синхронизации каталога обновляется из Отключенов В рабочем состояниина странице Настройкив Control Hub.
При сопоставлении всех данных между локальной системой и облаком соединитель каталогов переключается с ручного режима на режим автоматической синхронизации.
Если вы не интегрируете систему единого входа, подтвердите домены и при необходимости заявите домены для синхронизированных учетных записей электронной почты и не заблокируете автоматическую рассылку по электронной почте, учетные записи пользователей приложения Webex будут оставаться в состоянии "Не проверен" до тех пор, пока пользователи не войдут в приложение Webex впервые для подтверждения своих учетных записей. Инструкции по синхронизации учетных записей в качестве Активных пользователей см. в разделе "Перед началом работы".
Если у вас несколько доменов, выполните это действие в любом другом установленном соединителе каталогов. После синхронизации пользователи всех добавленных доменов будут отображены в Control Hub.
Если система единого входа интегрирована с Webex и заблокированными электронными уведомлениями, электронные приглашения не будут отправляться только синхронизированным пользователям.
После включения соединителя каталогов вручную добавить пользователей в Control Hub невозможно. После включения управление пользователями осуществляется с помощью соединителя каталогов Cisco, а Active Directory является единственным источником достоверных данных.
Все синхронизированные группы отображаются в Control Hub. Можно назначить шаблон лицензии, чтобы пользователям в этой группе назначались лицензии.

Дальнейшие действия

При удалении пользователя из Active Directory он будет программно удален после следующей синхронизации. Пользователь становится неактивным, однако профиль удостоверения в облаке сохраняется в течение семи дней (для восстановления после случайного удаления).

Если в Active Directory установлен флажок Учетная запись отключена, пользователь становится неактивным после следующей синхронизации. Профиль удостоверения облака не будет удален по истечении семи дней, если вы хотите снова включить пользователя.
Обратите внимание на эти исключения на инкрементную синхронизацию (вместо этого выполните все действия по синхронизации выше).
- В случае обновления аватара, но другие атрибуты не будут изменены, при инкрементной синхронизации аватар пользователя не будет обновлен в облаке.
- Изменения конфигурации сопоставления атрибутов, базового абонентского номера, фильтра и аватара требуют полной синхронизации.

Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub

После завершения полной синхронизации пользователей с помощью соединителя каталогов Cisco в Control Hub можно назначить те же лицензии службы Webex всем пользователям одновременно или добавить дополнительные лицензии новым пользователям, если шаблон автоматического назначения лицензий уже настроен. После этого начального шага можно внести изменения в учетную запись отдельного пользователя.

После завершения полной синхронизации пользователей с помощью соединителя каталогов в Control Hub можно использовать методы в Control Hub для глобального назначения лицензий служб Webex всем пользователям или отдельным пользователям с помощью пакетного шаблона в формате CSV или автоматического назначения новым пользователям, если шаблон автоматического назначения лицензий уже настроен. После этого начального шага можно внести изменения в учетную запись отдельного пользователя.

При назначении лицензии пользователю приложения Webex этот пользователь по умолчанию получает сообщение электронной почты с подтверждением назначения. Электронное сообщение отправляется службой уведомлений в Control Hub. Если вы интегрировали систему единого входа (SSO) с организацией Webex, можно также отключить эти автоматические уведомления по электронной почте, если вы предпочитаете связаться с пользователями напрямую.

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.
Выполните пробную синхронизацию пользователей Active Directory.
После подтверждения результатов пробного запуска выполните полную синхронизацию пользователей Active Directory.

Во время полной синхронизации пользователь создается в облаке, назначения служб не добавляются и электронные сообщения для активации не отправляются. Если электронные сообщения не блокируются, новые пользователи получат электронное сообщение для активации при назначении служб пользователям стандартным методом управления пользователями в Control Hub, таким как импорт файла CSV, обновление пользователей вручную или успешное автоматическое назначение.

В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите в раздел Управление > Пользователи, щелкните Управление пользователями, выберите Изменить всех синхронизированных пользователей, а затем щелкните Далее.

Выберите параметр.

Дальнейшие действия

Если электронные сообщения не блокируются, каждому пользователю будет отправлено электронное сообщение с приглашением присоединиться и скачать Webex.
Если вы выбрали одни и те же службы Webex для всех пользователей, после этого можно изменить назначенную лицензию индивидуально или массово.

Связанная информация

Известные проблемы с соединителем каталогов

В версиях Windows Server, предшествующих 2012 R2, возникает проблема с файлами cookie, которая влияет на соединитель каталогов. Эта проблема исправлена в версиях 2012 R2 и 2016.
Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов с момента выполнения синхронизации.

Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac.
Если пользователь использует приложение Webex на настольном или мобильном устройстве для поиска и вызова комнаты, в которой есть только синхронизированный URI SIP, вызов поступает в данный момент бессрочно.

Управление пользователями приложения Webex

Запустить инкрементную синхронизацию

Инкрементная синхронизация запрашивает ваш Active Directory и выполняет поиск изменений, произошедших с момента последней синхронизации. На этом этапе будут объединены эти изменения и отправлены в службу соединителя. Изменения включают изменение атрибутов пользователей, а также условия добавления или удаления пользователя.

Эта синхронизация не накладывает столько нагрузки на серверы и не занимает столько времени, сколько полная синхронизация. После выполнения начальной полной синхронизации рекомендуется использовать дополнительный параметр для последующей синхронизации.

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.
Обратите внимание на следующие исключения, которые не поддерживают инкрементную синхронизацию (вместо этого выполните полную синхронизацию пользователей Active Directory в облако ).
- В случае обновления аватара, но другие атрибуты не будут изменены, при инкрементной синхронизации аватар пользователя не будет обновлен в облаке.
- Для новых изменений конфигурации сопоставления атрибутов, базового абонентского номера, фильтра и настройки аватара инкрементная синхронизация не будет работать, и для них требуется полная синхронизация.

1	В соединителе каталогов щелкните Инструментальная панель. После включения синхронизации соединитель каталогов сначала попросит выполнить пробный запуск.
2	В меню Действия щелкните Режим синхронизации > Включить синхронизацию , если эта функция еще не включена. По умолчанию инкрементная синхронизация выполняется каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация. Когда установлен новый добавочный интервал времени, программа проверяет изменения на основе последней метки времени.
3	В меню Действия щелкните Синхронизировать сейчас > Инкрементный. Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов с момента выполнения синхронизации. Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac. Во время синхронизации на инструментальной панели отображается ход выполнения синхронизации. Это может включать тип синхронизации, время ее начала и этап, на котором выполняется синхронизация. После синхронизации разделы Последняя синхронизация и Статистика облака будут обновлены с учетом новой информации. Если во время синхронизации возникают ошибки, индикатор состояния становится красным.
4	Чтобы просмотреть журналы ошибок, щелкните Запустить средство просмотра event-совещаний на панели инструментов Действия .

Дальнейшие действия

Если у вас несколько доменов, выполните это действие в других установленных экземплярах соединителя каталогов.

Восстановление случайно удаленных пользователей

Соединитель каталогов имеет проверки и баланс, чтобы предотвратить непреднамеренное удаление пользователей. К сожалению, случайности исключить невозможно. Например, неправильная настройка фильтра LDAP в Active Directory может привести к удалению некоторых пользователей при синхронизации с облаком. Функция мягкого удаления может помочь в восстановлении после этих аварий и восстановлении учетных записей пользователей в Control Hub.

По умолчанию эта функция включена для всех организаций. Если пользователи удаляются в облаке, например из-за ошибки объекта после синхронизации с соединителем каталогов, их можно восстановить. Если вы видели уведомление о несовпадающих объектах или заметили удаление пользователей, их можно восстановить, если вы выполняете быстрые действия.

При удалении соответствующих учетных записей в Active Directory пользователи будут помечены как неактивные в Control Hub. В фоновой облачной службе пользователи будут храниться до 7 дней. В течение этого периода для восстановления пользователей можно по-прежнему использовать соединитель каталогов Cisco. Рекомендуется как можно скорее восстановить этих пользователей.

1	Войдите в Control Hub.
2	Перейдите в раздел Пользователи и убедитесь, что конкретная учетная запись пользователя находится в неактивном состоянии или скрыта. Дополнительную информацию см. в статье Действия и состояния пользователей в Control Hub.
3	Если пользователи были удалены в Control Hub или вы заметили, что пользователи находятся в неактивном состоянии, перейдите в Active Directory, добавьте отсутствующие учетные записи пользователей и выполните пробную синхронизацию в соединителе каталогов. Цель соединителя каталогов заключается в том, чтобы обеспечить точное соответствие информации о пользователях в Active Directory и в облаке.
4	Выполните полную синхронизацию, чтобы повторно синхронизировать временно удаленные учетные записи пользователей с Control Hub. Пользователи восстановлены и перейдут к исходному состоянию, включая состояние их учетной записи и назначения служб.

Дальнейшие действия

Вернитесь в Control Hub, перейдите к меню Управление > Пользователи и убедитесь, что ранее удаленные учетные записи пользователей отображаются в списке пользователей.

Удаление пользователей без возможности восстановления после мягкого удаления

После выполнения пробного запуска можно окончательно удалить пользователей, которые были мягко удалены при следующей синхронизации.

1	По завершении пробного запуска выберите Мягко удаленные объекты.
2	Установите флажок рядом с пользователями, которых необходимо удалить.
3	Нажмите Готово.

Дальнейшие действия

При следующей синхронизации выбранные пользователи будут удалены без возможности восстановления.

Изменение адреса электронной почты приложения Webex

Если необходимо изменить адреса электронной почты пользователей, а ваша организация использует соединитель каталогов, измените эти адреса электронной почты в Active Directory. Эта процедура описывает изменение адреса электронной почты приложения Webex для одного домена и процесс изменения домена.

Если необходимо изменить только адрес электронной почты или некоторое значение для одного пользователя, не удаляйте этого пользователя из Active Directory, а затем повторно создайте новый с тем же адресом электронной почты. Облако интерпретирует это действие как новую учетную запись пользователя, и пространства и другие данные пользователя в облаке будут утрачены.

Чтобы изменить адреса электронной почты пользователей без изменения домена, выполните приведенные ниже действия.
1. Откройте учетную запись пользователя (например, user1@example.com) в Active Directory и измените адрес электронной почты (например, user2@example.com).
2. Возобновить синхронизацию в соединителе каталогов.
  
  После следующей синхронизации изменения отобразятся в списке пользователей в Control Hub, а для пользователей в приложении Webex после обновления кэша.
  
  При использовании этого метода потери данных или пространств не происходит. Уникальный идентификатор пользователя устанавливается в облаке после первой синхронизации. Все последующие синхронизации основаны на этом идентификаторе.
В развертывании с несколькими доменами с соединителем каталогов для изменения адресов электронной почты пользователей при изменении домена (рассмотрите example1.com старый домен и example2.com новый домен):
1. Для старой учетной записи пользователя (user1@example1.com) обратите внимание на атрибут Active Directory, который сопоставляется с атрибутом облака UID . Для новой учетной записи необходимо использовать то же значение Active Directory. В этом примере в качестве локального атрибута будет использоваться user1@example1.com для сопоставления с uid в облаке.
2. Приостановите синхронизацию в соединителе каталогов, например1.com и example2.com.
3. Создайте новую учетную запись пользователя на веб-сайте example2.com и используйте тот же атрибут, указанный выше. (Например, user1@example1.com).
4. В соединителе каталогов возобновите синхронизацию, например2.com
  
  Прежде чем продолжить, проверьте, синхронизируется ли учетная запись пользователя1@example2.com с Control Hub. Рекомендуется порекомендовать пользователю проверить изменение адреса электронной почты в приложении Webex и сохранить все данные (пространства, сообщения, совещания, файлы и т. д.).
  
  Этот метод не приводит к потере данных или пространств, однако в новой учетной записи пользователя необходимо убедиться в том, что атрибут Active Directory, который сопоставляется с атрибутом UID облака, сохраняется из старой учетной записи пользователя. При изменении значения Active Directory в новой учетной записи не сохраняются данные старой учетной записи.
5. После подтверждения изменения адреса электронной почты и сохранения данных удалите старую учетную запись пользователя на example1.com, а затем используйте соединитель каталогов для возобновления синхронизации, например1.com.
  
  На этом этапе можно безопасно обновить адрес электронной почты в новом домене Active Directory для пользователя1@example2.com.

Соединитель каталогов не ограничивает изменение почтового домена. Однако при повторной синхронизации пользователя с облаком состояние пользователя зависит от того, подтвержден ли новый домен в вашей организации. Если домен не проверен в вашей организации, состояние пользователя изменится на "Рассматривается" после полной синхронизации. Дополнительную информацию см. в статье Управление доменами.

Если в вашей организации не используется соединитель каталогов, можно изменить адреса электронной почты приложения Webex на странице настроек учетной записи. Инструкции, с помощью которых пользователи могут изменить свои адреса электронной почты, см. в статье Изменение адреса электронной почты учетной записи .

Изменение домена Active Directory

1	Настройте новый домен Active Directory (AD).
2	Отключите синхронизацию на всех соединителях.
3	Удалите все соединители.
4	Зарегистрируйте обращение для изменения домена. При отправке запроса на удаление конфигурации домена и всех атрибутов синхронизации в организации обязательно выполните запрос. Прежде чем зарегистрировать обращение для изменения домена, убедитесь, что синхронизация не запущена. Не изменяйте адреса электронной почты пользователей в Active Directory, пока обращение не будет решено.
5	После завершения рассмотрения дела. Установите соединитель каталогов на том же сервере, что и для нового домена Active Directory. Настройте соединитель каталогов так, чтобы он указывал на новый домен Active Directory. Если в Control Hub есть существующие пользователи (https://admin.webex.com), убедитесь, что пользователи с совпадающими адресами электронной почты также присутствуют в Active Directory. Если в вашей организации отключена функция `softDelete` в DirSync, адреса электронной почты пользователей, которые находятся в Control Hub, но не находятся в состоянии удаления Active Directory. Перед фактической синхронизацией выполните тестовый запуск с соединителем каталогов.

Заявление домена

Заявка на домен происходит, если домен электронной почты для организации заявлен таким образом, что в платной клиентской организации создается любая учетная запись, связанная с переносом, а не бесплатной клиентской организации. Заявку на домен можно подать только в рамках обращения в службу поддержки (дополнительную информацию см. по ссылке ниже).

Если соединитель каталогов активен и домен заявлен, боковые учетные записи не создаются ни в клиентской организации, ни в бесплатной клиентской организации. Только соединитель каталогов может подготовить учетные записи для организации из Active Directory. Информация, хранящаяся в Active Directory, является исходным источником. При попытке переноса учетной записи приглашенный пользователь получает сообщение об ошибке. Приглашенного пользователя можно добавить в пространство приложения Webex только с помощью соединителя каталогов для подготовки учетной записи в Control Hub.

Связанная информация

Преобразование пользователей бесплатного приложения Webex в организацию, синхронизированную с каталогом

В каталоге приложения Webex можно использовать только уникальные адреса электронной почты. Если ваши пользователи зарегистрировались для использования бесплатной версии приложения Webex, их учетная запись существует в бесплатной клиентской организации. Для управления пользователями в этой организации с помощью соединителя каталогов выполните миграцию (преобразование) пользователей в клиентскую организацию перед включением соединителя каталогов. Затем вы добавляете пользователей в Active Directory с помощью точного адреса электронной почты, а затем синхронизируетесь в облаке.

Если учетные записи не были преобразованы до активации, выключите соединитель каталогов для их преобразования.

При попытке преобразовать пользователя во время синхронизации каталога отображается сообщение об ошибке не удалось преобразовать . Во избежание этой проблемы эти действия можно использовать в качестве обходного решения.

При пробном запуске у некоторых заявленных пользователей может отображаться атрибут movedfrom . Эти пользователи будут отображаться в списке Удаленные объекты вместо MismatchedObject. Необходимо добавить этих пользователей в список AD, чтобы переместить их в вашу организацию.

Если эти пользователи не будут добавлены, они будут удалены при синхронизации с облаком.

1	Отключите синхронизацию каталога в соединителе каталогов.
2	Выполните процедуру Преобразование нелицензированных пользователей в Control Hub , чтобы преобразовать пользователя из бесплатной клиентской организации в корпоративную. На этом этапе пользователь будет добавлен в вашу организацию, и учетная запись будет отображена в Control Hub. Соединитель каталогов делает Active Directory единственным источником достоверных данных для учетных записей пользователей, и целью является точное соответствие Active Directory и Control Hub. Перед повторной синхронизацией убедитесь, что для всех недавно преобразованных пользователей имеются совпадающие пользователи в Active Directory. Чтобы убедиться, что несовпадающих пользователей не осталось, можно выполнить пробную синхронизацию.
3	Выполните пробную синхронизацию в соединителе каталогов. По завершении пробной синхронизации проверьте вкладку "Добавить объекты". Убедитесь, что никакие преобразованные пользователи не удалены. Перед повторным включением синхронизации необходимо выполнить пробную синхронизацию, чтобы убедиться в том, что все преобразованные учетные записи пользователей отображаются в Active Directory. Если синхронизация включена и учетные записи находятся только в Control Hub, соединитель каталогов чувствителен к регистру и удаляет преобразованных пользователей, которые будут обнаружены с несовпадающими адресами электронной почты (например, user1@example.com и User1@example.com). При удалении преобразованных пользователей все пространства приложения Webex будут утрачены.
4	Если вы уверены, что при следующей синхронизации не будут удалены какие-либо учетные записи, снова включите синхронизацию каталога в соединителе каталогов.

Преобразованные учетные записи пользователей не будут активированы автоматически, если домен не был подтвержден. Например, если вы включили шаблон автоматического назначения лицензий, а затем включили соединитель каталогов без проверки домена, преобразованные пользователи будут неактивны в облачном сервере до тех пор, пока не подтвердят свои адреса электронной почты.

Перенесенные учетные записи пользователей приложения Webex

Если у приглашенного пользователя нет учетной записи приложения Webex, при приглашении в пространство в приложении Webex для него создается учетная запись ("sideboarded"). По умолчанию учетные записи, созданные таким способом, добавляются в бесплатную клиентскую организацию.

Чтобы управлять переносимой учетной записью с помощью соединителя каталогов, необходимо преобразовать учетную запись.

Изменение формата имени пользователя приложения Webex после синхронизации каталога

По умолчанию соединитель каталогов сопоставляет атрибут displayName в Active Directory с атрибутом displayName в облаке.

После выполнения синхронизации каталога имена пользователей могут отображаться в формате .

Это имя пользователя может отображаться, если атрибут displayName в Active Directory настроен таким образом. Если атрибут сопоставлен с displayName в облаке, имена будут отображаться в формате в Control Hub.

Чтобы изменить формат, на экране сопоставления атрибутов соединителя каталогов выполните указанные ниже действия. сопоставьте атрибут Active Directory givenName sn (или sn givenName) с displayName в именах атрибутов облака Cisco.

Кроме того, сопоставьте атрибут sn givenName с displayName:

Также можно использовать параметр "Настроить атрибут", чтобы сопоставить собственное пользовательское выражение атрибута с displayName.

Например, введите в качестве выражения givenName + "" + sn (имя, пробел, фамилия). Сопоставление двух атрибутов в Active Directory с displayName в облаке.

Разрешение пользователям изменять отображаемые имена в Webex Meetings

Чтобы разрешить пользователям изменять предпочтительные отображаемые имена, можно отменить сопоставление атрибута displayName с облаком в соединителе каталогов. Пользователи могут ввести отображаемое имя, которое будет отображаться во время совещаний Webex, а не имя и фамилия. Администраторы также могут вручную изменить отображаемое имя пользователя в Control Hub.

1	В соединителе каталогов щелкните Конфигурация и выберите Сопоставление атрибутов пользователя.
2	Выберите displayName в разделе Name Attribute Cloud Cisco (Имя атрибута облака Cisco).
3	Выберите Не синхронизировать этот атрибут.

Дальнейшие действия

Теперь пользователи могут редактировать свои отображаемые имена на веб-сайте Webex.

Устранение неполадок соединителя каталогов

Модернизация до последнего выпуска программного обеспечения

Для обеспечения соответствия развертывания и получения новейших функций, функциональных возможностей, исправлений ошибок и усовершенствований безопасности всегда необходимо модернизировать соединитель каталогов до последней версии. Если модернизация до последней доступной версии не будет выполнена, могут возникнуть проблемы, такие как несинхронизация соединителя каталогов или версия, которая не поддерживает обязательное требование TLS 1.2.

Соединитель каталогов автоматически уведомляет вас о доступности новой версии. Всегда выполняйте модернизацию до последней версии во избежание проблем. Уведомление также отображается на панели задач Windows.

Несмотря на то что обновления программного обеспечения соединителя можно установить вручную, мы рекомендуем выполнить действия, описанные в статье Настройка автоматической модернизации , чтобы позволить приложению автоматически управлять вашими модернизациями.

1	Чтобы начать процесс модернизации, щелкните уведомление на панели задач Windows или щелкните правой кнопкой мыши пиктограмму соединителя каталогов на панели задач Windows.
2	Чтобы завершить модернизацию, следуйте инструкциям.
3	Перезапустите соединитель и войдите с помощью учетных данных администратора.
4	Проверьте номер версии программного обеспечения в разделе Справка > О программе.

Дальнейшие действия

Чтобы выполнить новую установку соединителя каталогов, можно скачать файл ZIP и выполнить шаги по установке, приведенные в этом руководстве.

Настройка общих параметров соединителя каталогов

Используйте эту процедуру для настройки общих параметров, таких как имя сервера, на котором запущен соединитель каталогов, уровни журналов, автоматическая модернизация и предпочтительные параметры для контроллеров домена. Имя соединителя отображается на инструментальной панели в разделе соединителей вместе с другими запущенными соединителями.

1	В соединителе каталогов перейдите к меню Конфигурация и щелкните Общие.
2	В поле Имя соединителя введите имя соединителя. В этом поле отображается только имя компьютера, на котором в данный момент запущен соединитель.
3	В раскрывающемся списке выберите уровень журнала. По умолчанию для уровня журнала задано значение info. Доступные уровни журналов: Информация (по умолчанию). Отображает информационные сообщения с информацией о ходе работы приложения на высоком уровне. Используйте эту настройку, чтобы получать отчеты после всех полных синхронизаций. Предупреждение: отображает потенциально опасные ситуации. Отладка. Отображает подробные информационные события, наиболее полезные для отладки приложения. При возникновении какой-либо проблемы установите этот уровень журнала и отправьте журнал event-совещания в службу поддержки при регистрации обращения. Ошибка. Отображает события ошибки, которые по-прежнему могут позволить приложению продолжить работу. При выборе этого параметра отчеты о синхронизации будут отправляться только в случае сообщений об ошибках. Эти настройки влияют на отчет о синхронизации, который отправляется по электронной почте. Если для уровня журнала задано значение «Ошибка», в отчете о синхронизации регистрируются только ошибки. Если ошибки отсутствуют, отчет о синхронизации не отправляется. Измените настройку на "Информация", затем вы получите отчеты о синхронизации после полной синхронизации. (Имейте в виду, что при инкрементной синхронизации отчеты не отправляются, если нет сообщений об ошибках.)
4	Выберите Предпочтительные контроллеры домена , чтобы задать порядок синхронизации удостоверений. Доступ к контроллерам домена осуществляется сверху вниз. Если верхний контроллер недоступен, выберите второй контроллер в списке. Если контроллер не указан в списке, можно получить доступ к основному контроллеру.
5	Для автоматической модернизации установите флажок параметра Автоматическая модернизация до новой версии соединителя каталогов Cisco . Всегда важно поддерживать актуальность программного обеспечения соединителя каталогов Cisco до последней версии. Рекомендуется установить эту настройку, чтобы разрешить автоматическую модернизацию программного обеспечения устанавливать в фоновом режиме, когда она станет доступной.
6	Установите флажок LDAP по SSL , чтобы в качестве протокола соединения использовать безопасный LDAP (LDAPS). Если не установлен флажок LDAP через SSL, соединитель каталогов продолжит использовать протокол соединения LDAP. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в инфраструктуре. Связь LDAPS зашифрована и защищена.

Настройка политики соединителя

Можно задать максимальное количество удалений, которые могут выполняться во время синхронизации. Запущенная синхронизация не удаляет объекты из локального каталога Active Directory. Все объекты удаляются только из облака.

Например, в качестве триггера удаления установлено значение 1 . Если количество пользователей, которых необходимо удалить, превышает заданную настройку, соединитель каталогов отображает предупреждение. При нажатии кнопки Переопределить пороговое значение можно успешно начать полную или инкрементную синхронизацию, однако это уведомление о переводе будет отображаться при следующем запуске политики.

1	В соединителе каталогов щелкните Конфигурация и выберите Политика.
2	Если необходимо добавить триггер порогового значения, установите флажок в поле Включить триггер удаления порогового значения . При выборе этого параметра будет отправлено предупреждение, если количество удалений превышает пороговое значение. Если учетная запись удаления превышает заданную вами, синхронизация не будет выполнена.
3	Введите максимальное количество удалений. Значение по умолчанию — 20. Не рекомендуется увеличивать значение по умолчанию.
4	Нажмите Применить.

Настройка графика соединителя

Задайте время синхронизации в Active Directory. Отработка отказа используется для высокой доступности (HA). Если один соединитель не работает, по истечении предварительно определенного интервала переключится на другой резервный соединитель.

1	В соединителе каталогов щелкните Конфигурация и выберите Запланировать.
2	Укажите интервал инкрементной синхронизации в минутах. По умолчанию установлена инкрементная синхронизация каждые 30 минут. Полная инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация.
3	Чтобы изменить частоту отправки отчетов, измените значение Отправлять отчеты для...времени .
4	Установите флажок Включить график полной синхронизации , чтобы указать дни и время, в которые должна произойти полная синхронизация.
5	Укажите интервал отработки отказа в минутах.
6	Нажмите Применить.

Сценарии с несколькими доменами

Объекты с одинаковым ключевым значением связаны в одной записи в базе данных.

Ключевым значением параметра "Пользователь" является Адрес электронной почты, а значением ключа для параметра "Группа" является Имя группы.

Пример сценария использования для нескольких доменов

В этом примере предполагается организация с двумя доменами: example1.com и example2.com в порядке приоритета.

Добавить пользователя1 (адрес электронной почты: user@example1.com) в Active Directory на странице example1.com.
Добавить группу1 (название группы: Тест) в Active Directory на примере example1.com.
Добавить пользователя2 (адрес электронной почты: user@example2.com) в Active Directory на примере example2.com.
Добавить группу2 (имя группы: Тест) в Active Directory на примере example2.com.

Синхронизация на example1.com

В качестве сценария использования пользователь2 и группа2 синхронизируются с облаком и отображаются в https://admin.webex.com, в то время как пользователь1 и группа1 не синхронизируются.

При полной или добавочной синхронизации, например1.com, синхронизируются пользователи1 и группа1. Кроме того, пользователь2 и группа2 перезаписываются информацией пользователя1 и группы1.

Пользователь1 ссылается на пользователя2 как на одну и ту же запись в базе данных; группа1 ссылается на группу2 как на ту же запись в базе данных.

Синхронизация на example1.com и example2.com

Рассмотрим следующие шаги.

Удалите пользователя1 и группу1 в Active Directory, например1.com.
Выполните полную или инкрементную синхронизацию, например1.com.
Результат: информация о пользователе не изменяется в https://admin.webex.com. Пользователь2 не связан с пользователем1, а группа2 не связана с группой1.
Выполните инкрементную синхронизацию, например2.com.
Результат: информация о пользователе не изменяется в https://admin.webex.com.
Выполните полную синхронизацию, например2.com.
Результат: Информация о пользователе2 и группе2 отображается в https://admin.webex.com.

Синхронизация нового домена и сохранение существующего

Если необходимо синхронизировать новый домен (B) при сохранении синхронизированных данных пользователей в другом существующем домене (A), убедитесь, что на поддерживаемом сервере Windows установлен соединитель каталогов для синхронизации домена (B). После начальной настройки соединитель связывается с новым доменом, и информация о пользователе в домене (A) остается нетронутой.

У каждого домена должен быть собственный активный соединитель. Рассмотрим два домена с приведенной ниже настройкой. домен A с соединителями (ca1) и (ca2) для локальной высокой доступности (HA); домен B с соединителем (cb1). (ca1) и (ca2) служит домену A. В этом сценарии один соединитель активен, а другой находится в режиме ожидания. Эта конструкция обеспечивает синхронизацию домена, так как один соединитель всегда активен. Таким образом, cb1 является активным соединителем для домена B, поскольку домен A уже имеет активный соединитель (ca1 или ca2).

Установка приоритета домена

Используйте эту процедуру для изменения приоритета доменов Active Directory. Приоритет домена позволяет определить основной домен, дополнительный домен и т. д. Это помогает, если два пользователя из двух разных доменов имеют одно и то же значение адреса электронной почты, синхронизированное с одной организацией.

Не используйте эту процедуру, если у вас есть один домен, указанный в соединителе каталогов. При попытке соединитель отобразит сообщение о том, что приоритет домена не требуется.

Перед началом работы

1	В соединителе каталогов Cisco щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Задать приоритет домена.
3	Выделите один домен в списке, щелкните Вверх или Вниз , чтобы изменить приоритет этого домена, а затем щелкните Сохранить , чтобы сохранить это изменение. Домены сортируются по приоритету сверху вниз.

Переключить домены

Используйте эту процедуру для повторного связывания соединителя каталогов Cisco с другим доменом.

Перед началом работы

Перед переключением доменов убедитесь, что задачи синхронизации не выполняются.
Во избежание ошибок установите или модернизируйте соединитель каталогов Cisco до последней версии. Его необходимо скачать из Control Hub.

1	В соединителе каталогов Cisco щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Переключить домен.
3	Если после ознакомления с предупреждением вы понимаете влияние этого изменения на развертывание и все еще уверены, щелкните Да. При переключении домена выход из текущего соединителя каталогов Cisco будет выполнен, другие домены в соединителе будут отменены, а информация о соединителе на этом компьютере будет удалена.
4	Снова войдите в соединитель каталогов Cisco и повторно подключите домен.

Выключить синхронизацию каталога

Если необходимо остановить синхронизацию с помощью соединителя каталогов, ее можно временно отключить в Control Hub.

В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню Управление > Настройки организации, прокрутите страницу до раздела Синхронизация каталога и выберите один из приведенных ниже вариантов.

Щелкните "Дополнительно" и затем щелкните Выключить рядом с экземпляром соединителя, который необходимо выключить.
Чтобы остановить синхронизацию со всех экземпляров соединителя, щелкните Выключить все синхронизации каталогов .

После прочтения подсказки щелкните Выключить.

Синхронизация будет остановлена до повторного включения в соединителе каталогов.

Удалить сопоставление атрибутов пользователя

Используйте соединитель каталогов для удаления сопоставления атрибутов Active Directory, которые ранее были сопоставлены с облаком и синхронизированы с Webex. После удаления сопоставления атрибутов значения атрибутов будут удалены из облака и больше не будут синхронизированы с Webex. Затем эти значения можно редактировать вручную.

1	В соединителе каталогов щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Сервисные программы > Удалить сопоставление атрибутов пользователя.
3	Выберите сопоставление, которое необходимо удалить из списка Имя атрибута .
4	В разделе Затронутая область пользователя выберите один из приведенных ниже параметров. Только пользователи, синхронизированные с соединителем каталогов. сопоставление будет удалено только у пользователей, которые ранее синхронизировали соединитель каталогов. Все пользователи. сопоставление будет удалено у всех пользователей Active Directory.
5	Нажмите Применить.

Управление изображениями профиля

Используйте соединитель каталогов, чтобы обновить изображения профилей пользователей или удалить пустые изображения профилей пользователей.

1	В соединителе каталогов щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Сервисные программы > Управление изображениями профиля.
3	В разделе Действия выберите один из приведенных ниже вариантов. Удаление изображений профиля для пустых источников аватара. если изображение профиля Active Directory пустое, этот параметр гарантирует удаление изображений профилей пользователей из облака, даже если пользователь ранее загрузил собственное изображение в Webex. Повторно загрузите из синхронизированного источника для переопределения кэшированных изображений. Соединитель каталогов использует тот же каталог Active Directory, что и предыдущие, для обновления изображений профилей для всех пользователей. Это гарантирует отсутствие несоответствия между изображениями профиля в Active Directory и облаке.
4	Нажмите Применить.

Удаление и деактивация соединителя каталогов

После удаления экземпляра соединителя каталогов его необходимо отменить регистрацию. Полностью удалите соединитель каталогов для любого из следующих сценариев:

Вы больше не хотите использовать синхронизацию каталога.
Не следует использовать один из нескольких соединителей каталогов (высокая доступность).
Необходимо изменить домен и установить другой соединитель.

Перед началом работы

Для высокой доступности может быть настроено несколько экземпляров соединителя каталогов, или синхронизация нескольких доменов. Отключите синхронизацию при удалении единственного или последнего экземпляра соединителя каталогов.
Перед удалением соединителя каталогов сохраните и закройте все важные работы.

1	На компьютере Windows перейдите на панель управления и щелкните Программы и компоненты.
2	В списке программ щелкните Соединитель каталогов, выберите Удалить и следуйте подсказкам. Для завершения удаления может потребоваться перезагрузка системы.
3	В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню Управление > Настройки организации, прокрутите страницу до раздела Синхронизация каталога, щелкните Дополнительно , а затем щелкните Деактивировать рядом с экземпляром соединителя каталогов, который необходимо удалить.
4	После прочтения подсказки щелкните Деактивировать. Если в развертывании высокой доступности не установлен другой соединитель каталогов, учетные записи пользователей больше не синхронизируются.

Запуск средства диагностики

Для устранения неполадок с развертыванием соединителя каталогов можно использовать встроенный инструмент диагностики. Этот инструмент устанавливается как часть соединителя каталогов версии 3.4.

Если синхронизация не работает надлежащим образом, может возникнуть ошибка конфигурации или сети. Это средство тестирует подключение к LDAP, в результате чего можно самостоятельно диагностировать ошибки до обращения в службу поддержки. Если инструмент возвращает сообщение об ошибке, можно отправить в службу поддержки подробные результаты журнала.

Запуск тестов для служб домена Active Directory.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку AD-DS , введите домен , затем щелкните Загрузить контроллеры доменов.
2. Выберите из списка один контроллер домена.
  
  Не изменяйте запись позже, поскольку инкрементный поиск всегда должен выполняться на одном и том же контроллере домена.
3. По умолчанию выполняются поиск всех путей, однако можно выбрать один атрибут , а затем щелкнуть Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , например Пользователи и Группа , а также фильтры поиска.
5. Установите флажок Автоматически заполнять файлы cookie , чтобы автоматически создавать файлы cookie для поиска.
6. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы выполнить тесты для служб облегченного каталога Active Directory, выполните указанные ниже действия.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку AD-LDS , введите Хост и Порт, а затем щелкните Загрузить разделы.
2. Выберите раздел в списке и щелкните Подключить.
3. По умолчанию выполняются поиск всех путей, однако можно выбрать один атрибут , а затем щелкнуть Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , такие как фильтры Пользователь, UserProxy и UserProxyFull и поиска.
5. Установите флажок Автоматически заполнять файлы cookie , чтобы автоматически создавать файлы cookie для поиска.
6. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы запустить тесты протокола LDAP, выполните следующие действия.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку RAW LDAP , введите корневой путь, фильтр и выберите запись в разделе Атрибуты , затем щелкните Загрузить разделы.
2. При необходимости установите флажки следующих параметров.
  - ObjectSecurity. При наличии этого параметра вызывающий абонент не требует прав и может видеть только доступные для вызывающего абонента объекты и атрибуты. Если этот параметр отсутствует, вызывающий абонент имеет право копировать изменения.
  - РодителиFirst (Сначала родители). Обеспечивает, чтобы все родители детей приходили раньше своих детей.
3. Выберите значение для ExtendedDN.
  
  Это значение используется в расширенном поиске LDAP для запроса расширенной формы Distinguished Name объекта.
4. Выберите значение для ReferralChasing.
  
  Охота на рефералов инициируется, когда контроллер домена возвращает реферал из запроса, например для получения сведений о результатах запроса, которые могут находиться за пределами пространства имен (например, участников группы в другом домене или лесу).
5. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
6. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.

Устранение неполадок в соединителе каталогов Ciso

Устранение неполадок и исправления соединителя каталогов

В соединителе каталогов может возникнуть сообщение об ошибке или другая проблема. Кроме того, после синхронизации информации о пользователе соединитель каталогов может отправить вам отчет по электронной почте со списком проблем с синхронизацией. Проблемы, которые могут возникнуть, возможные причины и предлагаемые решения, которые можно попробовать перед обращением в службу поддержки, см. в следующих разделах.

Установка

Соединитель каталогов прекратил работу

Вы получили сообщения электронной почты с предупреждением о том, что соединитель каталогов не работает.

Возможно, соединитель каталогов установлен неверно.
Возможно, соединитель каталогов не работает.
Возможно, сеть недоступна.

Попробуйте выполнить приведенные ниже действия.

Откройте Панель управления > Программы и компоненты. Найдите соединитель каталогов. Если она отсутствует, скачайте последнюю версию из Control Hub и установите ее.
Откройте Служба и найдите службу Cisco DirSync. Убедитесь, что в нем отображается состояние Начато. Если служба остановлена, щелкните правой кнопкой мыши и выберите "Начать", чтобы перезапустить службу.
Убедитесь, что сервер, на котором установлен соединитель каталогов, имеет доступ к Интернету.

Ошибка переустановки

Проблема. Если немедленно установить новый соединитель после удаления старого соединителя, может отобразиться сообщение об ошибке.

Возможная причина. В Windows Server 2012 клиенту для удаления учетной записи службы из списка служб требуется время.

Решение. По прошествии некоторого времени повторите попытку установки.

Вход в систему

Сбой соединителя каталогов во время входа SSO

Проблема

Соединитель каталогов может аварийно завершать работу после ввода адреса электронной почты со страницы входа в систему SSO.

Решение

Попробуйте выполнить приведенные ниже действия.

Чтобы настроить новую групповую политику, выполните следующие действия.

Перейдите к контроллеру домена и откройте раздел Group Policy Management (gpedit.msc).
Щелкните правой кнопкой мыши определенный OU или домен, выберите Создать GPO в этом домене и Связать его здесь...
Укажите название политики, затем щелкните правой кнопкой мыши и выберите Правка.

Чтобы изменить политику на уровне машины, выполните следующие действия:

Перейдите к меню Конфигурация компьютера > Предпочтительные параметры > Настройки Windows, щелкните правой кнопкой мыши Реестр, выберите Создать, а затем Элемент реестра.
Для параметра Key Path (Путь ключа) введите или перейдите к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger (Отключить отладчик сценариев) для параметра Value (Значение) и введите no для параметра Value data (Данные значения).

Настройки должны соответствовать приведенному ниже снимку экрана.

Чтобы изменить политику на уровне пользователя, выполните следующие действия.

Перейдите к меню Конфигурация компьютера > Предпочтительные параметры > Настройки Windows, щелкните правой кнопкой мыши Реестр, выберите Создать, а затем Элемент реестра.
Для параметра Путь ключа введите или перейдите к разделу HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger (Отключить отладчик сценариев) для параметра Value (Значение) и введите no для параметра Value data (Данные значения).

Настройки должны соответствовать приведенному ниже снимку экрана.

Изменения вступят в силу после запуска gpupdate /force, перезапуска машины (для изменений машин) или повторного входа пользователя (для изменений пользователей).

Не удалось зарегистрировать соединитель службы Cisco DirSync

Проблема

Ошибка входа. Отображается сообщение "Не удалось зарегистрировать соединитель службы Cisco DirSync."

Решение

Система Windows, на которой установлен соединитель каталогов, должна быть членом Active Directory.

Страница входа не отображается

Проблема

Вы открыли соединитель каталогов, и страница входа не отображалась.

Решение

Выполните следующие действия.

В Internet Explorer перейдите к https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Попробуйте использовать ссылку в других браузерах, например в Chrome и Firefox.
Если Internet Explorer не может открыть ссылку, но могут использовать другие браузеры, установите флажки в настройках Internet Explorer и установите флажки TLS 1.1 и 1.2. (Используйте процедуру Включить TLS в Internet Explorer .)

Отобразится запрос на вход

Проблема

Отобразится запрос на ввод имени пользователя и пароля для проверки подлинности.

Возможная причина

Соединитель каталогов выполняет аутентификацию безопасности NTLM в фоновом режиме с помощью учетной записи для входа. В случае сбоя аутентификации появится диалоговое окно с запросом имени пользователя и пароля аутентификации.

Решение

При появлении всплывающего окна входа необходимо указать действительную учетную запись с правильной аутентификацией для передачи безопасности.

Не удается подключиться к удаленному серверу

Проблема

Во время обычной работы отображается сообщение об ошибке "Не удается подключиться к удаленному серверу".

Возможная причина

Возможно, у вас возникли проблемы с прокси, которые необходимо решить.

Решение

Дополнительную информацию об устранении неполадок см. в статье Устранение неполадок со входом в учетную запись службы .

Невозможно зарегистрировать соединитель

Проблема

Отображается сообщение об ошибке "Невозможно зарегистрировать соединитель. Произошло общее исключение".

Возможная причина

В большинстве случаев проблема заключается в том, что соединитель каталогов не имеет права подключаться к корневому контексту LDAP.

Решение

Попробуйте выполнить приведенные ниже действия.

Запустите командную строку (cmd) и введите ldp.exe.
Щелкните Connection (Подключение) > Bind (Привязка), выберите Привязка как пользователь, выполнивший вход в систему в данный момент, а затем щелкните ОК.
Щелкните Просмотр > Дерево, введите DC=arbonneintl,DC=ad в качестве BaseDN, а затем щелкните ОК.
Если проблема не исчезнет, зарегистрируйте обращение в службу поддержки.

Синхронизация

Аватары не синхронизированы

Проблема

Соединитель каталогов Cisco синхронизировал данные пользователей AD с облаком Webex. Однако данные аватара не были успешно синхронизированы.

Возможная причина

Если вы повторно использовали существующий сервер аватаров и аватары пользователей уже были синхронизированы, локальный кэш сохраняет их и избегает повторной отправки в целях экономии пропускной способности.

Решение

Удалите локальный кэш, выполнив следующие действия.

Перейдите к C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Удалите DirSyncPluginAvatar.dll-cache.bin.
Перезапустите синхронизацию аватара с помощью соединителя каталогов Cisco.

Конфликтующие учетные записи электронной почты пользователей

Проблема

В результатах синхронизации могут отображаться конфликтующие учетные записи электронной почты пользователей.

Если пользователи попытаются использовать бесплатную версию приложения Webex, их адреса электронной почты будут находиться в бесплатной клиентской организации.
Если адреса электронной почты пользователей когда-либо были синхронизированы в другой организации.
Если адреса электронной почты пользователя существуют в нескольких доменах, принадлежащих организации.

Решение

Попробуйте выполнить приведенные ниже действия.

При попытке заявления пользователей выполните приведенные ниже действия.
1. Убедитесь, что домен подтвержден в Control Hub.
2. Временно отключить соединитель каталогов Cisco.
3. Используйте параметр "Заявить пользователя" в Control Hub, чтобы заявить все учетные записи, которые могут существовать в бесплатной клиентской организации. Дополнительную информацию см. в статье Утверждение пользователей в организации (преобразование пользователей) .
4. Выполните пробный запуск соединителя каталогов Cisco, а затем повторно включите синхронизацию каталога
В последнем случае дважды проверьте данные пользователей в источниках Active Directory.

Преобразованный пользователь помечен как неактивный

Проблема

В среде, синхронизированной с каталогом, вы преобразовали бесплатного пользователя (клиентской организации) в корпоративную организацию, однако преобразованный пользователь не может выполнить вход в приложение Webex.

Возможная причина

При преобразовании бесплатного пользователя в корпоративную организацию пользователь будет отмечен как неактивное состояние в течение 30 дней в качестве меры обеспечения безопасности. В течение этого периода пользователь не может войти в приложение Webex и будет помечена для удаления по истечении 30-дневного периода. Эта ситуация возникает, поскольку информация о бесплатном пользователе не хранится в Active Directory.

Решение

Чтобы удалить учетную запись пользователя, необходимо принять меры. Для решения этой проблемы создайте учетную запись пользователя в локальном каталоге Active Directory, соответствующую преобразованной бесплатной учетной записи пользователя. Затем выполните синхронизацию с помощью соединителя каталогов Cisco. После этого пользователь сможет повторно войти в приложение Webex, и учетная запись не будет удалена.

Ошибка добавочной синхронизации

Проблема

Сбой инкрементной синхронизации.

Эта проблема может возникать в Windows Server 2008 R2 при следующих условиях:

Вы поддерживаете обновления добавочных значений.
Фильтр, который используется, ссылается на связанный атрибут значения.
Значения результата этого атрибута обновлялись с момента последней полной синхронизации.

Решение

В Windows Server 2008 R2 произошла ошибка, связанная с этой проблемой. Ошибка исправлена в 2012 R2 и последующих выпусках. Рекомендуется модернизировать сервер Windows до версии 2012 R2.

Недопустимое значение атрибута

Проблема

Для [dn пользователя (различаемое имя)] атрибут [имя атрибута] имеет следующее недопустимое значение [значение атрибута].

Возможная причина

Для CN=b, OU=Сотрудники, OU=C пользователей, DC=c, DC=com атрибут [номер телефона] имеет следующее недопустимое значение: +. Этот атрибут должен содержать хотя бы одну цифру.

Решение

Атрибут для этого пользователя не имеет действительного значения. Исправьте его значение в соответствии с описанием в сообщении с предупреждением. Затем выполните другую синхронизацию.

Соответствующие пользователи, подлежащие удалению

Проблема

Соответствующие пользователи помечены как удаленные.

При выполнении пробной синхронизации для проверки данных между Active Directory и облаком в обоих случаях может отображаться один и тот же адрес электронной почты. Однако пользователь помечен как объект, подлежащий удалению.

Решение

Выберите соответствующее исправление.

Если удалить пользователя и повторно ввести лицензии после этого, для исправления можно использовать соединитель каталогов. Выполните синхронизацию, чтобы удалить пользователя, а затем другую синхронизацию, чтобы синхронизировать пользователя из локального AD с облаком.
Если вы не можете удалить и повторно создать учетную запись пользователя, зарегистрируйте обращение в службу поддержки.

Отсутствует атрибут

Проблема

Обязательный атрибут [attribute_name] при добавлении локальной записи [dn пользователя (различаемое имя)]. Запись не будет создана в Control Hub, пока все обязательные атрибуты не получат значение.

Возможная причина

Отсутствует обязательный адрес электронной почты атрибута. При добавлении локальной записи [CN=Sales User, OU=Engineers, OU=K, DC=k, DC=local] запись не будет создана в Control Hub, пока все обязательные атрибуты не будут иметь значения.

Решение

Вложенная группа не будет синхронизирована

Проблема

Пользователи во вложенной группе Active Directory не синхронизируются надлежащим образом с облаком.

Возможная причина

Используется фильтр, включающий дочернюю и родительскую группу, которая не поддерживается. Пример. (memberof=CN=testgroup1,CN=пользователи,DC=rktest2008,DC=org)

Решение

Необходимо повторно настроить фильтр, который синхронизирует группы. Пример. |(memberof=CN=testgroup1,CN=пользователи,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=пользователи,DC=rktest2008,DC=org)

Конфликт имен пользователей

Проблема

Существует конфликт имён [dn пользователя] для существующего объекта входа в облако с именем: [адрес электронной почты пользователя] и типа пользователя [user_type].

Возможная причина

Пользователь с таким адресом электронной почты уже существует в Control Hub.

Решение

Создайте пользователя в Active Directory, используя тот же адрес электронной почты, что и для учетной записи, зарегистрированной в Control Hub.

Control Hub

Список пользователей отсутствует в Control Hub

Проблема

Решение

Для поиска учетной записи пользователя можно использовать функцию поиска. В Control Hub перейдите к разделу Пользователи, щелкните поиск и введите критерии поиска, чтобы найти определенного пользователя.

Группы не будут синхронизированы с Control Hub

Проблема

Пользователи в группе каталогов не будут синхронизированы с Control Hub надлежащим образом.

Возможная причина

В Active Directory группа не имеет тегов isCriticalSystemObject .

Решение

Убедитесь, что для атрибута isCriticalSystemObject в Active Directory установлено значение TRUE .

Включение устранения неполадок соединителя каталогов

Можно включить устранение неполадок, чтобы помочь диагностировать любые ошибки, возникающие в соединителе каталогов. Функция устранения неполадок позволяет собирать данные о сетевом трафике и сохранять их в отдельном файле.

Файлы журналов: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Запустите файл `services.msc` , чтобы изменить запущенную учетную запись для службы соединителя каталогов с локальной системы на учетную запись домена, имеющую права на доступ к вашим AD DS или AD LDS.
2	Перезапустите службу. Инструкции см. в статье Начало работы служб .
3	В соединителе каталогов щелкните Инструментальная панель.
4	Перейдите к меню Действия и щелкните Сервисные программы > Устранение неполадок.
5	Если функция устранения неполадок включена, повторите действия, которые привели к ошибке. Таким образом будут фиксированы данные трафика, чтобы их можно было проверить.
6	Просмотрите файлы журналов. если файл пуст, убедитесь, что у учетной записи есть права на доступ к AD DS или AD LDS. В папке журнала сохраняются только файлы за последние 3 дня. Содержимое файлов журнала соответствует выходу журнала события в систему.
7	При необходимости отправьте файл журнала в службу поддержки для получения помощи.
8	По завершении отключите функцию устранения неполадок.

Связанная информация

Запускать средство просмотра событий.

Для просмотра событий, произошедших во время полной или добавочной синхронизации, запустите средство просмотра event-совещаний. Отображается сводная информация об административных событиях и журналах ошибок.

1	В соединителе каталогов перейдите к меню Инструментальная панель и щелкните Действие > Запустить средство просмотра event-совещаний. В диалоговом окне "Свойства события" отображаются сведения о синхронизации события и сведения об ошибке.
2	В средстве просмотра event-совещаний перейдите к меню Журналы приложений и служб > Соединитель каталогов Cisco.
3	В разделе Действия щелкните Сохранить все event-совещания как , чтобы экспортировать все журналы в один файл event-совещаний (*.evtx) или другой формат, например XML или CSV.

Дальнейшие действия

Чтобы зарегистрировать обращение, обратитесь в службу поддержки, опишите проблему с соединителем, а затем прикрепите файл Events к своему обращению.

В журналах event-совещаний фиксируются действия пользователей. Для получения справки по управлению сетевым трафиком включите устранение неполадок на соединителе.

Включение TLS в Internet Explorer

При переключении поставщиков услуг системы единого входа (SSO) из соединителя каталогов Cisco могут отображаться следующие сообщения об ошибках:

При входе в службу произошла ошибка
Произошла ошибка в сценарии на этой странице

При появлении этих ошибок необходимо включить настройку TLS в браузере.

1	Откройте Internet Explorer и выберите Инструменты. Теперь установите флажки для версии TLS/SSL, которую необходимо включить. Щелкните ОК Закрыть браузер и снова открыть его
2	Щелкните Свойства обозревателя , перейдите в раздел Дополнительно , прокрутите страницу до раздела Безопасность.
3	Установите флажки Использовать TLS 1.1 и Использовать TLS 1.2 , а затем щелкните ОК.
4	Чтобы изменения вступили в силу, перезапустите систему.

Устранение неполадок со входом в учетную запись службы

Если не удается войти в соединитель каталогов Cisco или выполнить синхронизацию, выполните приведенные ниже действия, чтобы попытаться решить проблему перед обращением в службу поддержки.

Попробуйте открыть https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL в веб-браузере.

Выберите один из вариантов в зависимости от результатов.

Если вы не можете перейти по ссылке в браузере, проверьте сетевые настройки. Если в вашей среде используется прокси, проверьте настройки прокси.
Если вы можете перейти по ссылке в браузере, но не можете открыть соединитель каталогов Cisco (Не удается открыть соединитель и всплывающее сообщение об ошибке 407), щелкните здесь , чтобы получить последнюю версию соединителя каталогов Cisco.
Если вы можете перейти по ссылке в браузере, но не можете выполнить синхронизацию с помощью соединителя каталогов Cisco, измените учетную запись входа в службу на администратор домена.

Проверьте, является ли учетная запись, использованная для входа в систему Windows, той же учетной записью, что и в службе Cisco DirSync. Если у них 2 разных учетных записи, убедитесь, что обе учетные записи могут посещать https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Если в вашей среде используется прокси, убедитесь, что обе учетные записи настроены для прокси в Internet Explorer и могут https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL успешно посещать учетные записи.

Как минимум, убедитесь, что настроенная учетная запись службы Cisco DirSync (которую можно найти в службах Windows) имеет уровень прав, позволяющий ей доступ к данным аватара и AD. По умолчанию служба использует учетные данные для входа в учетную запись Windows и аутентификацию.

Связанная информация

Проверка SafeDllSearchMode в реестре Windows

Как правило, режим SafeDllSearchMode включен, но используйте эту процедуру для повторной проверки настроек реестра.

Перед началом работы

В окне поиска в Windows или в окне "Выполнить" введите regedit и нажмите клавишу ввода.

Перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан. Дальнейшие действия не требуются.
SafeDllSearchMode указан в списке. Убедитесь, что значение 1.

Дополнительную информацию см. в статье Порядок поиска библиотеки динамических ссылок.

Обзор соединителя каталогов Cisco

Обзор соединителя каталогов

В таблице перечислены все функции, описания и преимущества.

Функция	Описание и преимущества
Простая в использовании инструментальная панель	Инструментальная панель предоставляет график синхронизации, сводную информацию и состояние синхронизации, а также состояние соединителя каталогов. Панель отчетов можно просматривать в любое время при входе в систему.
Пробный запуск перед синхронизацией с облаком	Выполните пробный запуск изменений каталога, прежде чем они будут реализованы в облаке. Затем запустите отчет, чтобы увидеть, что изменения, которые необходимо внести, являются ожидаемыми.
Полная и инкрементная синхронизация	Синхронизируйте весь каталог. Или просто синхронизируйте дополнительные изменения, чтобы сэкономить мощность обработки и сократить время синхронизации.
Синхронизация нескольких доменов (один лес или несколько лесов)	Соединитель каталогов поддерживает несколько доменов в одном лесу или в нескольких лесах (без необходимости AD LDS). Для предприятий с несколькими доменами Active Directory можно установить соединитель каталогов для каждого домена, связать каждый домен с вашей организацией, а затем синхронизировать каждую базу пользователей с Webex. Control Hub отражает состояние синхронизации нескольких соединителей каталогов, позволяет выключить синхронизацию для определенного домена и деактивировать соединитель каталогов в развертывании с высокой доступностью.
Синхронизация запланирована	Настройте график синхронизации на день, час и минуту.
Фильтры протокола доступа к каталогу (LDAP)	Определите критерии поиска LDAP и обеспечьте эффективный импорт.
Сопоставление атрибутов Active Directory	Сопоставьте атрибуты Microsoft Active Directory с соответствующими атрибутами облака Webex. Можно сопоставить атрибуты, относящиеся к конфигурации Active Directory, а также определить пользовательские атрибуты для сопоставления с облаком. Атрибуты локальной среды формируют в облаке различные данные, такие как данные учетной записи пользователя, телефонные номера в Webex Teams, SIP-адреса ресурсов комнаты и другие данные карточки контакта пользователя (должность, отдел, менеджер и т. д.).
Корпоративный каталог для ресурсов локальных комнат и пользователей Cisco Webex Calling (облачная PSTN) и корпоративных контактов без лицензирования Webex	Если в вашей организации для службы вызовов используется облачная PSTN Cisco Webex Calling или у вас есть локальные устройства комнаты, эта функция позволяет пользователям выполнять поиск в каталоге корпоративных контактов на телефонах Cisco Webex Calling (облачная PSTN) или ресурсах комнат. Ресурсы комнаты После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным адресом SIP будут отображены в зарегистрированных в облаке устройствах комнат (таких как устройство Cisco Webex Room или Cisco Webex Board) как записи, доступные для поиска. При поиске пользователей устройства Cisco Webex Room или Cisco Webex Board будут отображены синхронизированные записи комнат, настроенные с помощью SIP-адресов. При поступлении вызова с устройства Webex на эту запись вызов будет размещен на SIP-адрес, настроенный для комнаты. Вызовы Помимо контактов приложения Webex пользователи могут совершать вызовы корпоративным контактам. С помощью соединителя каталогов корпоративные пользователи и их номера телефона будут добавлены в вашу организацию Webex. Для работы этой функции лицензия на службы Webex не требуется. Пользователи, у которых нет лицензий на Webex, будут отображаться в результатах поиска по каталогу, выполненном на телефоне пользователя Cisco Webex Calling, при условии, что в соединителе каталогов синхронизирован URI или номер телефона с Webex. Функции вызовов одинаковы для пользователей обоих типов. Эта функция также обеспечивает возможность редактирования набора для контактов только с номерами телефона. В результатах поиска контактов: Если контакты имеют набираемый URI (адрес SIP Webex) и номер телефона, отображается URI, связанный с контактом. Если у контактов нет набираемого URI, но есть номер телефона, отображается номер телефона. Кроме того, у них есть программная клавиша для редактирования набора. Если контактов нет, они не отображаются в каталоге.
Средство просмотра event-совещаний	С помощью средства просмотра event-совещаний можно определить, возникли ли какие-либо проблемы с синхронизацией.
Средство диагностики и устранение неполадок	С помощью встроенного средства диагностики можно устранять неполадки при развертывании соединителя каталогов Cisco. Если синхронизация не работает надлежащим образом, может возникнуть ошибка конфигурации или сети. Этот инструмент тестирует подключение к Active Directory, чтобы можно было самостоятельно диагностировать ошибки перед обращением в службу поддержки. После включения функции устранения неполадок в соединителе каталогов записываются журналы, которые можно отправить в службу технической поддержки.
Автоматическая модернизация	После установки соединителя каталогов при появлении новой версии программного обеспечения будет отправлено уведомление. Автоматическую модернизацию можно настроить таким образом, чтобы при выпуске новой версии всегда была последняя версия программного обеспечения.
Высокая доступность	Настройте несколько соединителей для резервного копирования, если основной соединитель или размещающая машина не работает.

Соединитель каталогов разделен на три области:

Control Hub – это единый интерфейс, позволяющий управлять всеми аспектами организации Webex. просмотр пользователей, назначение лицензий, скачивание соединителя каталогов и настройка системы единого входа (SSO) , если необходимо, чтобы пользователи выполняли аутентификацию посредством корпоративного поставщика удостоверений и не отправляли электронные приглашения для приложения Webex.
Интерфейс управления соединителем каталогов – это программное обеспечение, которое можно скачать из Control Hub и установить на доверенном сервере Windows. Для нескольких доменов Active Directory можно установить одну минуту программного обеспечения для каждого домена, который необходимо синхронизировать. С помощью этого программного обеспечения можно запустить синхронизацию для переноса учетных записей пользователей Active Directory в Webex, просмотра и отслеживания состояния синхронизации, а также настройки служб соединителя каталогов.
Служба синхронизации каталога запрашивает ваш Active Directory, чтобы получить пользователей и группы для синхронизации со службой соединителя и соединителем каталогов.

Чтобы понять архитектуру соединителя каталогов, см. приведенную ниже диаграмму.

Подготовка среды для соединителя каталогов

Требования для соединителя каталогов

Требования к Windows и Active Directory

Соединитель каталогов можно установить на следующих поддерживаемых серверах Windows:

Windows Server 2022
Windows Server 2019
Windows Server 2003

Соединитель каталогов поддерживается следующими службами Active Directory:

Active Directory 2016

(Соединитель каталогов поддерживается при использовании последней версии Active Directory на Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Обратите внимание на следующие дополнительные требования:

Для соединителя каталогов требуется TLS1.2. Необходимо установить приведенное ниже.
- .NET Framework версии 3.5 (требуется для приложения соединителя каталогов. При возникновении каких-либо проблем воспользуйтесь инструкциями, приведенными в статье Включение .NET Framework 3.5 с помощью мастера добавления ролей и функций.)
- .NET Framework версии 4.5 (обязательно для TLS1.2)
Требуется уровень функционального леса Active Directory 2 (Windows Server 2003) или более поздний. (Дополнительную информацию см. в статье Какие функциональные уровни Active Directory? .)

Требования к оборудованию

8 ГБ ОЗУ
50 ГБ хранилища
Нет минимума для ЦП

Требования к сети

Требования к организации Webex

Для доступа к программному обеспечению соединителя каталогов из Control Hub требуется организация Webex с пробной версией или платной подпиской.
(Необязательно) Чтобы новые учетные записи пользователей приложения Webex были Активными перед первым входом в систему, рекомендуется выполнить приведенные ниже действия.
- Добавляйте, проверяйте и при необходимости заявляйте домены , содержащие адреса электронной почты пользователей, которые необходимо синхронизировать с облаком.
- Выполните интеграцию системы единого входа (SSO) поставщика удостоверений (IdP) с организацией Webex.
- Отключите автоматические электронные приглашения, чтобы новые пользователи не получали автоматические электронные приглашения и вы могли проводить собственную электронную рассылку. (Для работы этой функции требуется интеграция SSO.)

Дополнительную информацию см. в статье Действия и состояния пользователей в Control Hub.

Требования к установке

Для среды с несколькими доменами (один лес или несколько лесов) необходимо установить один соединитель каталогов для каждого домена Active Directory. Если необходимо синхронизировать новый домен (B) при сохранении синхронизированных данных пользователей в другом существующем домене (A), убедитесь, что у вас есть отдельный поддерживаемый сервер Windows для установки соединителя каталогов для синхронизации домена (B).
Для входа в соединитель не требуется учетная запись администратора в Active Directory. Требуется учетная запись локального пользователя, которая является тем же пользователем, что и учетная запись администратора с полными правами в Control Hub.

Этот локальный пользователь должен иметь права на этом компьютере Windows для подключения к контроллеру домена и чтения объектов пользователя Active Directory. Учетная запись для входа в систему компьютера должна быть администратором компьютера с правами на установку программного обеспечения на локальном компьютере. (Эта информация также применима к входу в виртуальную машину.)
При входе в соединитель учетная запись для входа должна совпадать с учетной записью администратора с полными правами для Control Hub. По умолчанию соединитель использует учетную запись локальной системы для доступа к Active Directory. Однако можно использовать службы Windows для настройки другой учетной записи для доступа к Active Directory. (Эта информация также применима к входу в виртуальную машину.)
Убедитесь, что режим поиска библиотеки безопасных динамических ссылок (DLL) Windows включен с помощью следующей процедуры: Проверьте SafeDllSearchMode в реестре Windows.
Если AD LDS используется для нескольких доменов в одном лесу, рекомендуется установить соединитель каталогов и службу домена Active Directory/облегченные службы каталогов Active Directory (AD DS/AD LDS) на отдельных компьютерах.

Требования к нескольким доменам

Для каждого домена требуется отдельный экземпляр соединителя каталогов.
ПО соединителя каталогов должно работать на узле, находящемся в том же домене, который будет синхронизирован.
Рекомендуется подтвердить или заявить домены в Control Hub. (См. статью Добавление, проверка и заявление доменов.)
Чтобы синхронизировать более 50 доменов, необходимо зарегистрировать обращение , чтобы переместить организацию в большой список организаций.
При необходимости можно синхронизировать информацию о ресурсах комнаты вместе с учетными записями пользователей. (См. статью Синхронизация информации о локальной комнате с облаком Webex.)

Информация о размещении

На скорость синхронизации может повлиять несколько факторов.

Общее количество объектов Active Directory. (Задача синхронизации 5000 пользователей не будет длиться до 50 000.)
Скорость сети и пропускная способность.
Рабочая нагрузка системы и технические характеристики.

Проверка SafeDllSearchMode в реестре Windows

Как правило, режим SafeDllSearchMode включен, но используйте эту процедуру для повторной проверки настроек реестра.

Перед началом работы

В окне поиска в Windows или в окне "Выполнить" введите regedit и нажмите клавишу ввода.

Перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан. Дальнейшие действия не требуются.
SafeDllSearchMode указан в списке. Убедитесь, что значение 1.

Дополнительную информацию см. в статье Порядок поиска библиотеки динамических ссылок.

Интеграция веб-прокси

Можно воспользоваться одним из приведенных ниже подходов.

Явный веб-прокси с помощью Internet Explorer (соединитель наследует настройки веб-прокси)
Явный веб-прокси с помощью файла .pac (соединитель наследует настройки корпоративного прокси)
Прозрачный прокси, который работает с соединителем без изменений

Использование веб-прокси через браузер

Соединитель каталогов можно настроить использование веб-прокси с помощью Internet Explorer.

1	В Internet Explorer перейдите к меню Свойства браузера, щелкните Соединения и выберите Настройки LAN.
2	Укажите экземпляр Windows, в котором соединитель установлен на веб-прокси. Соединитель наследует эти настройки веб-прокси.
3	Если в вашей среде используется аутентификация прокси, добавьте эти URL-адреса в список разрешенных: cloudconnector.webex.com для синхронизации. idbroker.webex.com для аутентификации. idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т. д. Это можно сделать на уровне веб-сайта (для всех организаторов) или только для организатора, у которого есть соединитель. При добавлении этих URL-адресов в список разрешенных для полного обхода веб-прокси убедитесь, что таблица ACL брандмауэра обновлена, чтобы разрешить узлу соединителя прямой доступ к URL-адресам.
4	Если в вашей среде необходимо запросить списки отзыва сертификатов у центров сертификации, добавьте эти URL-адреса в список разрешенных. .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Дополнительную информацию см. в этой статье о доменах и URL-адресах, которые должны быть доступны для служб Webex.

Настройка веб-прокси с помощью файла PAC

Если в вашей среде используется аутентификация прокси, добавьте эти URL-адреса в список разрешенных:

cloudconnector.webex.com для синхронизации.
idbroker.webex.com для аутентификации.
idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т. д.

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

NTLM-прокси

Дизайн NTLM

Как правило, техническая разработка NTLM основана на механизме Challenge (Вызов) и Response (Ответ):

Пользователь входит на ПК клиента с помощью учетной записи Windows и пароля. Пароль не сохраняется локально. Вместо пароля в формате обычного текста значение хеша пароля хранится локально. Когда пользователь входит в клиент с помощью пароля, ОС Windows сравнивает сохраненное значение хеша и значение хеша, полученное от введенного пароля. Если оба совпадают, аутентификация проходит.

Если пользователь хочет получить доступ к любому ресурсу на другом сервере, клиент отправляет запрос на сервер с именем учетной записи в виде обычного текста.
Когда сервер получает запрос, сервер генерирует 16-битный случайный ключ. Ключ называется Challenge (или Nonce). Прежде чем сервер отправит обратно клиенту, вызов хранится на сервере. Затем сервер отправляет вызов клиенту в виде обычного текста.
Как только клиент получает вызов, отправленный с сервера, клиент шифрует вызов с помощью хэша, упомянутого в шаге 1. После шифрования значение отправляется обратно на сервер.
Когда сервер получает зашифрованное значение от клиента, сервер отправляет его на контроллер домена для проверки. Запрос включает приведенное ниже. имя учетной записи, зашифрованный вызов, отправленный клиентом, и исходный простой вызов.
Контроллер домена может получить хеш-значения пароля в соответствии с именем учетной записи. А затем контроллер домена может зашифровать исходную задачу. Затем контроллер домена может сравниться с полученным значением хеша и зашифрованным значением хеша. Если они одинаковы, проверка выполнена успешно.

Настройка прозрачного прокси

1	Разверните прозрачный прокси, чтобы соединитель мог подключать и синхронизировать пользователей.
2	Убедитесь в успешном выполнении прокси. При запуске соединителя отображается всплывающее окно ожидаемой аутентификации браузера.

Настройка аутентификации прокси

Добавьте URL-адрес cloudconnector.webex.com в список разрешенных, создав список контроля доступа.

На корпоративном брандмауэре:

1	Включите поиск DNS, если этот параметр еще не включен.
2	Определите приблизительную пропускную способность для этого соединения (примерно 2 Мбит/с или менее для соединителя). Это может быть необязательно.
3	Создайте список контроля доступа, чтобы применить его к узлу соединителя, и укажите `cloudconnector.webex.com` в качестве целевого объекта, который необходимо добавить в список разрешенных. Пример. `access-list 2000 ACL-внутри расширенного разрешения TCP [IP соединителя] cloudconnector.webex.com eq https`
4	Примените этот СКД к соответствующему интерфейсу брандмауэра, который применим только к этому узлу соединителя.
5	Убедитесь, что остальные узлы в вашей организации по-прежнему должны использовать веб-прокси, настроив соответствующее неявное заявление об отказе.

Развертывание соединителя каталогов

Алгоритм выполнения задач по развертыванию соединителя каталогов Cisco

Перед началом работы

Способы добавления пользователей и управления ими в организации

1	Установить соединитель каталогов В Control Hub синхронизация каталога изначально отключена. Чтобы включить синхронизацию каталога для организации, необходимо установить и настроить соединитель каталогов, а затем успешно выполнить полную синхронизацию. Для новой установки соединителя каталогов всегда перейдите в Control Hub (https://admin.webex.com) для получения последней версии программного обеспечения и использования новейших функций и исправлений ошибок. После установки программного обеспечения о модернизации сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
2	Вход В Соединитель Каталогов Войдите с помощью учетных данных администратора Webex и выполните начальную настройку.
3	Настройка автоматической модернизации Всегда важно поддерживать актуальность программного обеспечения соединителя каталогов до последней версии. Рекомендуется использовать эту процедуру, чтобы разрешить автоматическую модернизацию программного обеспечения устанавливать в фоновом режиме, когда она станет доступной.
4	Выберите объекты Active Directory для синхронизации По умолчанию соединитель каталогов синхронизирует всех пользователей, которые не являются компьютерами, и всех групп, которые не являются критически важными объектами системы для домена. Для получения дополнительных сведений о том, какие объекты синхронизируются, можно выбрать определенных пользователей для синхронизации и указать фильтры LDAP на странице выбора объекта в соединителе каталогов.
5	Сопоставить атрибуты пользователя Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid.
6	Синхронизируйте аватары каталогов, выполнив одну из следующих процедур: Синхронизация аватаров каталогов из атрибута Active Directory с облаком Синхронизация аватаров каталогов с сервера ресурсов с облаком Можно синхронизировать аватары пользователей с облаком, чтобы аватар каждого пользователя отображался при входе в приложение. Можно синхронизировать аватары с помощью атрибута Active Directory или сервера ресурсов.
7	Синхронизация информации о локальной комнате с облаком Webex Используйте эту процедуру для синхронизации информации о локальной комнате из Active Directory с облаком Webex. После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным SIP-адресом будут отображаться в качестве записей на зарегистрированных в облаке устройствах комнаты, таких как устройство Webex Room или Cisco Webex Board
8	Чтобы Подготовить Пользователей Из Active Directory В Control Hub, выполните следующие действия. Выполнение пробной синхронизации пользователей Active Directory Выполнение полной синхронизации пользователей Active Directory в облако Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub Следуйте этой последовательности, чтобы подготовить пользователей Active Directory для учетных записей приложения Webex. Можно подготовить пользователей из развертывания Active Directory с несколькими лесами или доменами для соединителя каталогов 3.0 и более поздних версий. Во время процесса добавления пользователей из разных доменов необходимо решить, следует ли сохранить или удалить объекты пользователей, которые могут уже существовать в облаке Webex. Например, протестировать учетные записи из пробной версии. Целью является точное соответствие между Active Directory и облаком Webex.

Установить соединитель каталогов

Перед началом работы

При аутентификации через прокси-сервер убедитесь, что у вас есть учетные данные прокси.

Для базовой аутентификации прокси после установки экземпляра соединителя необходимо ввести имя пользователя и пароль. Для базовой аутентификации также требуется конфигурация прокси Internet Explorer. См. статью Использование веб-прокси Через Браузер.
При первом открытии соединителя для прокси-сервера NTLM может возникнуть ошибка. См. статью Использование веб-прокси Через Браузер.

1	В Control Hub перейдите к меню Пользователи > Управление пользователями > Включить синхронизацию каталога и выберите Далее.
2	Щелкните ссылку Скачать и установить, чтобы сохранить последнюю версию файла установки соединителя ZIP на сервер VMware или Windows. Файл .zip можно получить непосредственно по этой ссылке, однако для работы этого программного обеспечения необходим полный административный доступ к организации Control Hub. Для новой установки установите новейшую версию программного обеспечения, чтобы использовать новейшие функции и исправления ошибок. После установки программного обеспечения о модернизации сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
3	На сервере VMware или Windows распакуйте и запустите файл .msi в папке настроек, чтобы запустить мастер настройки.
4	Щелкните Далее, установите флажок, чтобы принять лицензионное соглашение, а затем щелкните Далее, пока не отобразится экран типа учетной записи.
5	Выберите тип учетной записи службы, которую необходимо использовать, и выполните установку с помощью учетной записи администратора. Локальная система. Параметр по умолчанию. Этот параметр можно использовать при настройке прокси с помощью Internet Explorer. Учетная запись домена. Используйте этот параметр, если компьютер является частью домена. Для доступа к ресурсам домена соединитель каталогов должен взаимодействовать с сетевыми службами. Можно ввести данные учетной записи и щелкнуть ОК. При вводе имени пользователя используйте формат `{domain}\{user_name}` Для прокси, который интегрируется с AD (NTLMv2 или Kerberos), необходимо использовать параметр учетной записи домена. Учетная запись, используемая для запуска службы соединителя каталогов, должна обладать достаточными правами для передачи прокси и доступа к AD. Во избежание ошибок убедитесь в наличии указанных ниже прав. Сервер является частью домена Учетная запись домена может получить доступ к локальным данным AD и данным аватаров. Учетная запись также должна иметь роль локального администратора, поскольку она должна получить доступ к файлам в разделе C:\Program Files. Для входа в виртуальную машину права учетной записи администратора должны иметь по крайней мере возможность чтения информации о домене.
6	Щелкните Установить. После запуска сетевого теста и при отображении соответствующего запроса введите основные учетные данные прокси-сервера, щелкните ОК, а затем щелкните Готово.

Дальнейшие действия

Вход В Соединитель Каталогов

Перед началом работы

Убедитесь, что у вас есть учетные данные прокси.

В случае базовой аутентификации прокси после первого открытия соединителя необходимо ввести имя пользователя и пароль.
Для прокси-сервера NTLM откройте Internet Explorer, щелкните пиктограмму шестеренки, перейдите к меню Свойства браузера > Подключения > Настройки локальной сети, убедитесь, что информация о прокси-сервере добавлена, а затем щелкните ОК. См. статью Использование веб-прокси Через Браузер.

1	Откройте соединитель и при появлении запроса добавьте `https://idbroker.webex.com` в список доверенных веб-сайтов.
2	При отображении соответствующего запроса войдите с помощью учетных данных аутентификации прокси, затем войдите в Webex с помощью учетной записи администратора и щелкните Далее.
3	Подтвердите организацию и домен. При выборе AD DS установите флажок LDAP по SSL, чтобы в качестве протокола соединения использовать безопасный LDAP (LDAPS), выберите домен, из которого необходимо синхронизировать, и щелкните Подтвердить. Если не установить флажок LDAP через SSL, DirSync продолжит использовать протокол соединения LDAP. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в инфраструктуре. Связь LDAPS зашифрована и защищена. При выборе AD LDS введите узел, домен и порт, а затем щелкните Обновить, чтобы загрузить все разделы приложений. Затем выберите раздел в раскрывающемся списке и щелкните Подтвердить. Дополнительную информацию см. в разделе AD LDS. В файле конфигурации CloudConnectorCommon.dll убедитесь, что настройка ADAuthLevel добавлена к узлу appSetting. Значения могут быть 1, 2 или 3. Подробные сведения о типах аутентификации см. в этой статье от Microsoft. Вот пример настройки со значением 1: `<appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	После отображения экрана Подтвердить организацию щелкните Подтвердить. Если AD DS/AD LDS уже связаны, отобразится экран Подтвердить организацию.
5	Щелкните Подтвердить.
6	Выберите один из них в зависимости от количества доменов Active Directory, которые необходимо связать с соединителем каталогов. Если у вас есть единый домен AD LDS, привяжите его к существующему источнику AD LDS и щелкните Подтвердить. Если у вас есть единый домен AD DS, привяжите его к существующему или новому домену. При выборе Привязка к новому домену щелкните Далее. Поскольку существующим типом источника является AD DS, невозможно выбрать AD LDS для новой привязки. Если у вас несколько доменов, выберите из списка существующий домен или Связать с новым доменом, а затем щелкните Далее. Поскольку у вас несколько доменов, существующим типом источника должен быть AD DS. При выборе Привязка к новому домену и нажатии Далее выбрать AD LDS для новой привязки будет невозможно.

Дальнейшие действия

После входа в систему вам будет предложено выполнить пробную синхронизацию.

Инструментальная панель соединителя каталогов

При первом входе в соединитель каталогов отображается инструментальная панель. Здесь можно просмотреть сводную информацию обо всех действиях по синхронизации, просмотреть статистику облака, выполнить пробный запуск синхронизации, запустить полную или инкрементную синхронизацию и запустить представление event-совещания, чтобы просмотреть информацию об ошибках.

Если время сеанса истекло, войдите снова.

Эти задачи можно легко выполнить с помощью панели инструментов или меню действий.

Таблица 1. Компоненты инструментальной панели
Компонент	Описание
Текущая синхронизация	Отображает информацию о состоянии синхронизации, которая в данный момент выполняется. Если синхронизация не запущена, отображается состояние простоя.
Следующая синхронизация	Отображает следующие запланированные полные и инкрементные синхронизации. Если график не задан, отображается параметр Не запланирован.
Последняя синхронизация	Отображает состояние двух последних выполненных синхронизаций.
Текущее состояние синхронизации	Отображает общее состояние синхронизации.
Соединители	Отображает текущие локальные соединители, доступные в облаке.
Облачная статистика	Отображает общее состояние синхронизации.
График синхронизации	Отображает график синхронизации для инкрементной и полной синхронизации.
Сводная информация о конфигурации	Список настроек, измененных в конфигурации. Например, сводная информация может включать следующее: Все объекты будут синхронизированы Все пользователи будут синхронизированы Пороговое значение, которое удалено, отключено.

Таблица 2. Панель инструментов действий
Действие	Описание
Начать инкрементную синхронизацию	Начать инкрементную синхронизацию вручную Это действие будет отключено при приостановке или отключении синхронизации, если полная синхронизация не была завершена или выполняется.
Пробный запуск синхронизации	Выполните синхронизацию пробного запуска.
Запустить средство просмотра event-совещаний	Запустите средство просмотра event-совещаний Microsoft.
Обновить	Обновить инструментальную панель соединителя каталогов Cisco

Таблица 3. Меню действий
Действие	Описание
Синхронизировать сейчас	Мгновенно начните полную синхронизацию.
Режим синхронизации	Выберите режим добавочной синхронизации или режим полной синхронизации.
Сбросить секретный код соединителя	Создайте разговор между соединителем каталогов Cisco и службой соединителя. При выборе этого действия секретный код в облаке будет сброшен, а затем сохранен локально.
Пробный запуск	Выполните тест процесса синхронизации. Перед полной синхронизацией необходимо выполнить пробный запуск.
Устранение неполадок	Включение и выключение функции устранения неполадок.
Обновить	Обновите главный экран соединителя каталогов Cisco.
Выход	Закройте соединитель каталогов Cisco.

Таблица 4. Сочетания клавиш
Комбинация клавиш	Действие
Alt +A	Показать меню Действия
`Alt +A + S`	Синхронизировать сейчас
`Alt +A + R`	Сбросить секретный код соединителя
`Alt +A + D`	Пробный запуск
`Alt +A + S + I`	Инкрементная синхронизация
`Alt +A + S + F`	Полная синхронизация
`Alt + H`	Показать меню Справка
`Alt + H + H`	Справка
`Alt + H + A`	О программе
`Alt + H + F`	вопросы и ответы

Настройка автоматической модернизации

1	В соединителе каталогов перейдите к меню Конфигурация > Общие и установите флажок Автоматическая модернизация до новой версии соединителя каталогов Cisco.
2	Чтобы сохранить изменения, щелкните Применить.

Новые версии соединителя устанавливаются автоматически, когда они становятся доступными.

Выберите объекты Active Directory для синхронизации

Группы для автоматического назначения лицензий

(&(cn=Пример)(objectclass=Group))*

Экран выбора объекта в соединителе каталогов

Группы для развертываний безопасности данных гибридного типа

Перед началом работы

1	В соединителе каталогов перейдите к меню Конфигурация и щелкните Выбор объекта.
2	В разделе Тип объекта установите флажок Пользователи и рассмотрите возможность ограничения количества контейнеров, доступных для поиска для пользователей. Например, чтобы синхронизировать только пользователей в определенной группе, необходимо ввести фильтр LDAP в поле фильтров LDAP Пользователи. Чтобы синхронизировать пользователей из группы Example-manager, используйте фильтр, подобный этому: `(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))`
3	Установите флажок Идентифицировать комнату, чтобы отделить данные комнаты от данных пользователей. Щелкните Настройка, чтобы настроить дополнительные атрибуты для идентификации данных пользователей в качестве данных комнаты. Используйте эту настройку, чтобы синхронизировать информацию о локальной комнате из Active Directory с облаком Webex. После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным SIP-адресом отображаются в качестве записей на зарегистрированных в облаке устройствах комнаты. Дополнительную информацию см. в статье Синхронизация информации о локальной комнате с облаком Webex.
4	Установите флажок Группы, если необходимо синхронизировать группы пользователей Active Directory с облаком. Не добавляйте фильтр синхронизации пользователей LDAP в поле «Группы». Для синхронизации данных групп с облаком следует использовать только поле «Группы». По умолчанию группы не синхронизируются для новых клиентов. Необходимо включить синхронизацию группы. Также необходимо синхронизировать группы безопасности.
5	Чтобы синхронизировать контактную информацию пользователей с облаком, установите флажок Контакты. Соединитель каталогов управляет только контактами, синхронизированными с помощью соединителя. Если в Control Hub уже есть контакты, эти контакты не будут удалены. Если контакты удалены из области синхронизации, контактная информация пользователей также будет удалена в Control Hub.
6	Настройте фильтры LDAP. Можно добавить расширенные фильтры, предоставив действительный фильтр LDAP. Дополнительную информацию о настройке фильтров LDAP см. в этой статье.
7	Укажите локальные базовые абонентские номера для синхронизации, щелкнув Выбрать, чтобы просмотреть структуру дерева Active Directory. Здесь можно выбрать или отменить выбор контейнеров для поиска.
8	Убедитесь, что объекты, которые необходимо добавить для этой конфигурации, и щелкните Выбрать. Можно выбрать отдельные или родительские контейнеры для синхронизации. Выберите родительский контейнер, чтобы включить все дочерние контейнеры. Если выбран дочерний контейнер, в родительском контейнере отображается серая галочка, указывающая на то, что дочерний элемент установлен. Затем можно щелкнуть Выбрать, чтобы принять выбранные контейнеры Active Directory. Если в вашей организации все пользователи и группы будут помещены в контейнер "Пользователи", вам не придется искать другие контейнеры. Если ваша организация разделена на единицы организации, выберите OU.
9	Щелкните Применить. Выберите параметр. Применить изменения конфигурации Пробный запуск Отмена Информацию о пробных запусках см. в статье Синхронизация пробного запуска для пользователей Active Directory. Для синхронизации групп необходимо выполнить полную синхронизацию. Полная синхронизация пользователей Active Directory в облако.

Сопоставить атрибуты пользователя

Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid, уникальный идентификатор каждой учетной записи пользователя в облачной службе удостоверений.

1	В соединителе каталогов щелкните Конфигурация и выберите Сопоставление атрибутов пользователя. На этой странице показаны имена атрибутов для Active Directory (слева) и облака Webex (справа). Все обязательные атрибуты отмечены красной звездочкой.
2	Прокрутите вниз до конца поля Имена атрибутов Active Directory и выберите один из этих атрибутов Active Directory для сопоставления с атрибутом облака UID: mail (Почта). Используется в большинстве развертываний для формата электронной почты. userPrincipalName — альтернативный вариант, если атрибут почты используется в других целях в Active Directory. Этот атрибут должен быть в формате электронной почты. Вы можете сопоставить любые другие атрибуты Active Directory с UID, однако рекомендуется использовать mail или userPrincipalName, как описано в руководстве выше. В некоторых случаях для входа используется параметр userPrincipalName, но адрес электронной почты пользователя используется для управления его календарем. Необходимо убедиться, что адрес электронной почты для управления календарем сопоставлен с полем основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. Чтобы узнать, какие атрибуты в Active Directory соответствуют в облаке, см. статью Сопоставление атрибутов Active Directory в соединителе каталогов. Чтобы синхронизация работала, необходимо убедиться, что выбранный атрибут Active Directory указан в формате электронной почты. Если один из рекомендованных атрибутов не выбран, соединитель каталогов отобразит всплывающее окно с напоминанием.
3	Если предопределенные атрибуты Active Directory не работают в вашем развертывании, щелкните раскрывающийся список атрибутов, прокрутите страницу вниз и выберите Настроить атрибут, чтобы открыть окно, с помощью которого можно определить выражение атрибута. Для получения дополнительной информации об выражениях и просмотра примеров их работы щелкните Справка. Дополнительную информацию также см. в разделе Выражения для настраиваемых атрибутов. В этом примере давайте составим атрибуты Active Directory `givenName` и `Sn` с атрибутом облака `displayName`: Определите выражение атрибута как givenName + "" + Sn (кавычки являются дополнительным пространством), а затем укажите адрес электронной почты существующего пользователя для проверки. Щелкните Проверить и проверьте, соответствует ли результат ожидаемым. Успешный результат выглядит следующим образом: Если результаты совпадают с ожидаемыми, щелкните ОК, чтобы сохранить новый настраиваемый атрибут. Позже при необходимости изменить displayName можно ввести новое выражение атрибута Соединитель каталогов проверяет значение атрибута UID в службе удостоверений и получает 3 доступных пользователя в соответствии с текущими параметрами фильтра пользователя. Если все эти 3 пользователя имеют действительный формат электронной почты, в соединителе каталогов Cisco отображается следующее сообщение: Если атрибут не удается проверить, будет отображено следующее предупреждение. Для проверки и исправления данных пользователя можно будет вернуться в Active Directory.
4	(Необязательно) Выберите сопоставления для мобильного и telephoneNumber, если необходимо, чтобы номера мобильных и рабочих телефонов отображались, например, в карточке контакта пользователя в приложении Webex. Данные номера телефона отображаются в приложении Webex при наведении указателя мыши на изображение профиля другого пользователя. Дополнительную информацию о вызовах с помощью карточки контакта пользователя см. в руководстве по развертыванию вызовов в Webex (Unified CM) (администраторы).
5	Выберите дополнительные сопоставления, чтобы дополнительные данные отображались в карточке контакта. `номер отдела` `отображаемое имя` `менеджер` `заголовок` После сопоставления атрибутов информация отображается при наведении указателя мыши на изображение профиля другого пользователя. Дополнительную информацию о карточке контакта см. в статье Проверка пользователя, с которым вы связываетесь. После синхронизации этих атрибутов с каждой учетной записью пользователя можно также включить People Insights в Control Hub. Эта функция позволяет пользователям приложения Webex предоставлять совместный доступ к дополнительной информации в профилях и узнать больше друг о друге. Дополнительную информацию о функции и способах ее включения см. в статье Профессиональные профили для Webex, Jabber, Webex Meetings и Webex Events (новая версия) в Control Hub
6	После выбора щелкните Применить.

Атрибуты Active Directory и облака

В этой таблице сравнивается сопоставление имен атрибутов Active Directory и имен атрибутов облака Cisco. Эти значения и сопоставления являются настройками по умолчанию в соединителе каталогов. В раскрывающемся списке Active Directory можно выбрать различные атрибуты и определить, какой локальный атрибут будет синхронизирован с каким облачным атрибутом.

Имена атрибутов Active Directory	Имена атрибутов облака Webex	Примечания
—	зданиеName	—
с	с	Этот атрибут определяет сокращенную страну пользователя.
номер отдела	номер отдела	Этот атрибут используется для номера отдела пользователя, который отображается в карточке контакта и профессиональных профилях.
отображаемое имя	отображаемое имя	Этот атрибут используется для отображаемого имени учетной записи пользователя, которое отображается в Control Hub, карточке контакта и профессиональных профилях.
Управление учетной записью пользователя	ds-pwp-account-disabled	Этот атрибут используется для синхронизации пользователей. Убедитесь, что атрибут userAccountControl сопоставлен с ds-pwp-account-disabled или синхронизация пользователей не будет выполнена надлежащим образом.
Номер сотрудника	Номер сотрудника	—
факсимильный номер телефона	факсимильный номер телефона	—
—	идентификатор jabberID	Этот облачный атрибут относится к адресам обмена мгновенными сообщениями (тип XMPP), которые используются в Jabber. Это значение не совпадает с sipAddresses.
л	л	Этот атрибут определяет город пользователя.
—	региональные параметры	—
менеджер	менеджер	Этот атрибут используется для имени менеджера пользователя, которое отображается в карточке контакта и профессиональных профилях.
мобильный	мобильный	Этот атрибут используется в качестве номера мобильного телефона, который отображается для вызова пользователя из карточки контакта.
о	о	Этот атрибут указывает название компании или организации и отображается в карточке контакта.
или	или	Этот атрибут указывает имя организационного модуля.
physicalDeliveryOfficeName	physicalDeliveryOfficeName	Этот атрибут определяет местоположение офиса пользователя.
почтовый индекс	почтовый индекс	Этот атрибут определяет почтовый индекс или почтовый индекс пользователя для физической доставки почты.
предпочтительный язык	предпочтительный язык	Этот атрибут задает предпочтительный язык пользователя и поддерживаются следующие форматы. xx_YY или xx-YY. Вот несколько примеров. en_US, en_GB, fr-CA. При использовании неподдерживаемого языка или недопустимого формата предпочтительный язык пользователей будет изменен на язык, установленный для организации.
MSRTCSIP-PrimaryUserAddress ipPhone	SipAddresses;type=предприятие	Этот атрибут используется для синхронизации информации о локальной комнате из Active Directory с облаком Cisco Webex.
sn	sn	Этот атрибут используется для фамилии учетной записи пользователя, которая отображается в Control Hub, карточке контакта и профессиональных профилях.
ул	ул	Этот атрибут указывает штат или область пользователя.
streetAddress	улица	Этот атрибут указывает почтовый адрес пользователя для доставки физической почты.
номер телефона	номер телефона	Этот атрибут определяет основной (рабочий) номер телефона пользователя, который используется для вызова пользователя из карточки контакта.
—	часовой пояс	Этот облачный атрибут определяет часовой пояс пользователя.
заголовок	заголовок	Этот атрибут определяет должность пользователя, которая отображается в карточке контакта и профессиональных профилях.
тип	предприятие	—
почта userPrincipalName	идентификатор	Обязательное сопоставление атрибутов. Для каждой учетной записи пользователя значение Active Directory сопоставляется с уникальным UID в облаке. В некоторых случаях для входа используется параметр userPrincipalName, но адрес электронной почты пользователя используется для управления его календарем. Необходимо убедиться, что адрес электронной почты для управления календарем сопоставлен с полем основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. После этого пользователь сможет войти в систему с помощью любого из этих адресов электронной почты, если установлено правильное сопоставление атрибутов SAML. Информацию о том, как можно сопоставить альтернативный адрес электронной почты, см. в разделе Пример сопоставления атрибутов ниже.
userPrincipalName почта <custom attribute>	электронные сообщения; рабочий тип	Это сопоставление необязательно. Используйте его, если необходимо использовать альтернативные адреса электронной почты. Это адрес электронной почты, который используется для аутентификации; он не используется для управления вашим календарем. Адрес электронной почты, который вы сопоставляете из AD, должен быть из подтвержденного домена в вашей организации. Он должен быть уникальным и не назначен другому пользователю.
<Новый атрибут для объекта пользователя Azure>	внешний идентификатор	Создайте новый атрибут Active Directory для удержания идентификатора объекта пользователя Azure, чтобы он не сталкивался с существующим атрибутом. Затем этот атрибут сопоставляется с атрибутом externalId. Благодаря этому при создании групп в Microsoft 365 пользователи Webex автоматически создают команды в Webex.

Сопоставление альтернативных адресов электронной почты

Выражения для настраиваемых атрибутов

Таблица 5. Выражения для настраиваемых атрибутов
Оператор	Описание и пример
%	Удаляет все символы от начала строки до позиции символа или аргумента строки, если они совпадают. Пример выражения `"abc@example.com" % "@"` Результат `пример.com`
-	Отрезок задней строки ввода от конца указанной строки. Пример выражения `"abc@example.com" – "@"` Результат `абс`
+	Объединяет строки ввода или выражения. Пример выражения `"abc" + "" + "def"` Результат `деф ABC`
\|	Вычисляет разделенные выражения по пустой строке и выбирает первый непустой результат. Пример выражения `"" \| "abc"` Результат `абс`

Синхронизация аватаров каталогов из атрибута Active Directory с облаком

1	В соединителе каталогов перейдите к меню Конфигурация, щелкните Аватар и установите флажок Включить.
2	Для параметра Получить аватар из выберите Атрибут AD, а затем Атрибут аватара, содержащий необработанные данные аватара, которые необходимо синхронизировать с облаком.
3	Чтобы проверить правильность доступа к аватару, введите адрес электронной почты пользователя и щелкните Получить аватар пользователя. Аватар отображается справа.
4	Чтобы сохранить изменения, после проверки правильности отображения аватара щелкните Применить.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей в приложении Webex. После включения этой функции в соединителе каталогов пользователям не разрешается настраивать собственный аватар.
Аватары пользователя синхронизируются с приложением Webex и всеми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Синхронизация аватаров каталогов с сервера ресурсов с облаком

Можно синхронизировать аватары каталога пользователей с облаком, чтобы каждый аватар отображался при входе в приложение Webex. Используйте эту процедуру для синхронизации аватаров с сервера ресурсов.

Перед началом работы

В этой процедуре приведены примеры шаблона URI и значения переменной. Необходимо использовать фактические URL-адреса, по которым расположены аватары каталога.
Шаблон URI аватара и сервер, на котором находятся аватары, должны быть доступны из приложения соединителя каталогов. Соединителю необходим доступ по HTTP или HTTPS к изображениям, однако изображения не должны быть общедоступными в Интернете.
Синхронизация данных аватара отделена от профилей пользователей Active Directory. При запуске прокси необходимо обеспечить доступ к данным аватара с помощью аутентификации NTLM или базовой аутентификации.

1	В соединителе каталогов перейдите к меню Конфигурация, щелкните Аватар и установите флажок Включить.
2	Для параметра Получить аватар от выберите Сервер ресурсов и введите шаблон URI аватара. Например, *`http://www.example.com/dir/photo/zoom/{mail: jpg.?(?=@.)}.`* Давайте рассмотрим каждую часть шаблона URI аватара и что они означают: http://www.example.com/dir/photo/zoom/ – путь к местоположению всех фотографий, которые будут синхронизированы. Это должен быть URL-адрес, к которому должна быть доступна служба соединителя каталогов на вашем сервере. mail: указывает соединителю каталогов на получение значения атрибута mail из Active Directory. .?(?=@.). Синтаксис regex, который выполняет следующие функции: *`.: любой символ, повторяющий ноль или более раз.` `? Сообщает, что предыдущая переменная соответствует как можно большему количеству символов.` `(?= ... ): сопоставление группы после основного выражения без включения ее в результат. Соединитель каталогов выполняет поиск соответствия и не включает его в выходные данные.` `@.: символ at, за которым следует любой символ, повторяющийся ноль или более раз.`* `.jpg: расширение файла для аватаров пользователей. Ознакомьтесь с поддерживаемыми типами файлов в этом документе и измените расширение соответствующим образом.`
3	(Необязательно) Если на сервере ресурсов требуются учетные данные, установите флажок Задать учетные данные пользователя для аватара, затем выберите Использовать текущего пользователя для входа в службу или Использовать этого пользователя и введите пароль.
4	Введите значение переменной. Например: `abcd@example.com`.
5	Щелкните Тест, чтобы убедиться в правильности работы шаблона URI аватара. В этом примере, если значение почты для одной записи AD — `abcd@example.com`, а изображения JPG синхронизированы, URI последнего аватара — `http://www.example.com/dir/photo/zoom/abcd.jpg`
6	После того как информация URI будет подтверждена и будет отображена верно, щелкните Применить. Подробную информацию об использовании регулярных выражений см. в статье Краткая справка по языку регулярных выражений Microsoft.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей в приложении Webex. После включения этой функции в соединителе каталогов пользователям не разрешается настраивать собственный аватар.
Аватары пользователя синхронизируются с приложением Webex и всеми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Синхронизация информации о локальной комнате с облаком Webex

1	В соединителе каталогов перейдите к меню Синхронизация, щелкните рядом с синхронизированным доменом, щелкните Конфигурация и выберите Выбор объекта.
2	Установите флажок параметра Синхронизировать информацию о комнате с облаком, чтобы отделить данные комнаты от данных пользователя во время синхронизации. Если эта настройка отключена, данные комнаты обрабатываются так же, как синхронизированные данные пользователей.
3	Перейдите к меню Сопоставление атрибутов и измените сопоставление атрибутов для облачного атрибута sipAddresses;type=enterprise. Для использования проверки значения значение SIP-адреса должно быть Pattern.compile("^([^@])(.)@(.)$") Выберите MSRTCSIP-PrimaryUserAddress, если он доступен. Если указанный выше атрибут отсутствует в схеме Active Directory, используйте другое поле, например ipPhone.
4	Создайте почтовый ящик ресурса комнаты в Exchange. Будет добавлен атрибут msExchResourceMetaData;ResourceType:Room, который затем используется соединителем для идентификации комнат.
5	В разделе "Пользователи и компьютеры Active Directory" перейдите к свойствам комнаты и измените их. Добавьте полностью квалифицированный URI SIP с префиксом sip:
6	Выполните пробную синхронизацию, а затем полную синхронизацию на соединителе. Новые объекты комнаты перечислены в списке Добавленные объекты, а совпадающие объекты комнаты отображаются в разделе Совпадающие объекты в отчете пробного запуска. Все объекты комнат, отмеченные для удаления, находятся в разделе Удаленные комнаты. В результатах пробного запуска отображаются все совпадающие ресурсы комнаты. Эта настройка отделяет данные комнаты Active Directory (включая атрибут комнаты) от данных пользователя. По завершении синхронизации в облачной статистике на инструментальной панели соединителя отображаются данные комнаты, синхронизированные с облаком.

Дальнейшие действия

В Control Hub можно автоматически импортировать комнаты из каталога и создавать рабочие пространства.

Отправка отчетов по электронной почте о результатах синхронизации каталога

1	В соединителе каталогов щелкните Конфигурация и выберите Уведомление.
2	В соединителе каталогов щелкните Настройки и рядом с параметром Получатель электронной почты включите параметр Включить синхронизацию отчета.
3	Чтобы переопределить поведение при уведомлении по умолчанию и добавить одного или нескольких получателей электронных сообщений, установите флажок Включить уведомление.
4	Щелкните Добавить и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом будет отображено сообщение с предложением исправить ошибку, прежде чем вы сможете сохранить и применить изменения.
5	Щелкните Добавить адрес электронной почты и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом будет отображено сообщение с предложением исправить ошибку, прежде чем вы сможете сохранить и применить изменения.
6	Если необходимо изменить введенные адреса электронной почты, дважды щелкните запись электронной почты в левом столбце и внесите необходимые изменения.
7	После добавления всех действительных адресов электронной почты щелкните Применить.
8	После добавления всех действительных адресов электронной почты щелкните Сохранить.

Дальнейшие действия

Подготовка пользователей из Active Directory в Control Hub

1	Выполнение пробной синхронизации пользователей Active Directory Выполните пробный запуск для сравнения объектов в локальном каталоге Active Directory и объектов в облаке Webex. Пробный запуск позволяет просмотреть, какие объекты будут добавлены, изменены или удалены, прежде чем будет запущена полная или инкрементная синхронизация и произведены изменения в облаке.
2	Выполнение полной синхронизации пользователей Active Directory в облако При выполнении полной синхронизации служба соединителя отправляет все отфильтрованные объекты из вашего Active Directory (AD) в облако. Затем служба соединителя обновит хранилище удостоверений с учетом ваших записей AD. Если создан шаблон автоматического назначения лицензий, его можно назначить только синхронизированным пользователям.
3	Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub После завершения полной синхронизации пользователей с помощью соединителя каталогов в Control Hub можно назначить лицензии службы Webex различными способами. Рекомендуется настроить шаблон автоматического назначения лицензий перед его использованием для новых пользователей приложения Webex, синхронизированных из Active Directory. Отдельные изменения также можно внести после этого начального этапа.

Выполнение пробной синхронизации пользователей Active Directory

Перед началом работы

1	Выберите один из вариантов. После первого входа в систему щелкните Да в окне подсказки, чтобы выполнить пробный запуск. Если вы пропустите напоминание о пробном запуске, в любой момент в соединителе каталогов щелкните Инструментальная панель, выберите Пробный запуск синхронизации, а затем щелкните ОК, чтобы начать синхронизацию пробного запуска. По завершении пробного запуска будет отображен один из приведенных ниже результатов. *Обнаружены несовпадающие объекты в соединителе каталогов* Сводная информация о результатах пробного запуска отчетов и несовпадающих объектах в соединителе каталогов Сводная информация содержит информацию о сопоставлении объектов: Сопоставленные объекты. Пользователь, который находится в общих параметрах идентификации Webex и существует в домене Active Directory, например, если пользователь @cisco.com был синхронизирован с Webex и отображен в Control Hub, а такой же пользователь (someuser@cisco.com) существует в Active Directory. Это означает, что пользователь сопоставляется. Несовпадающие объекты. Пользователь, работающий в Webex, независимо от того, как он был добавлен в Common Identity, но он не существует в Active Directory. Он называется несовпадающим объектом. Например, если адрес someuser@cisco.com был синхронизирован с Webex и отображен в Control Hub, но тот же пользователь (someuser@cisco.com) не управляется Active Directory, в отчете отображается несоответствие пользователя. Пробный запуск идентифицирует пользователей по сравнению с пользователями домена. Приложение может идентифицировать пользователей, принадлежащих к текущему домену. На следующем шаге необходимо решить, следует ли удалить объекты или сохранить их. Несоответствующие объекты идентифицируются как уже существующие в облаке Webex, но не существующие в локальном каталоге Active Directory.
2	Просмотрите результаты пробного запуска и выберите параметр в зависимости от того, используете ли вы один или несколько доменов. Единый домен. Определите, следует ли сохранить несопоставленных пользователей. Если необходимо сохранить их, выберите Нет, сохранить объекты. Если нет, выберите Да, удалить объекты. После выполнения этих действий и запуска вручную полной синхронизации для обеспечения точного соответствия локального местоположения и облака соединитель каталогов автоматически включит запланированные задачи автоматической синхронизации. Несколько доменов. Для организации с доменами A и B сначала выполните пробный запуск домена A. Если необходимо сохранить несовпадающих пользователей, выберите Нет, сохранить объекты. (Эти несовпадающие пользователи могут быть участниками домена B.) Если необходимо удалить, выберите Да, удалить объекты. Если пользователи не будут отображены, сначала запустите полную синхронизацию для домена A, а затем выполните пробный запуск для домена B. Если пользователи не совпадают, добавьте этих пользователей в Active Directory, а затем выполните полную синхронизацию для домена B. При точном совпадении локального местоположения и облака соединитель каталогов автоматически включает запланированные задачи автоматической синхронизации.
3	В запросе Подтвердить пробный запуск щелкните Да, чтобы повторить синхронизацию пробного запуска, а затем просмотреть инструментальную панель и просмотреть результаты. Все учетные записи, которые были успешно синхронизированы в пробном запуске, отображаются в разделе Сопоставленные объекты. Если у пользователя в облаке нет соответствующего пользователя с тем же адресом электронной почты в Active Directory, запись будет отображена в разделе Удаленные пользователи. Чтобы избежать этого флажка удаления, можно добавить пользователя в Active Directory с тем же адресом электронной почты. Чтобы просмотреть сведения о синхронизированных элементах, щелкните соответствующую вкладку для определенных элементов или Сопоставленные объекты. Чтобы сохранить сводную информацию, щелкните Сохранить результаты в файл.
4	Если ожидаются результаты, перейдите к меню Действия > Режим синхронизации > Включить синхронизацию, а затем щелкните Включить сейчас, чтобы выполнить синхронизацию вручную и перевести в ручной режим на данный момент. После синхронизации последнего домена Active Directory в развертывании с несколькими доменами необходимо включить автоматический режим для соединителя каталогов. Автоматический режим можно включить, только когда объекты полностью сопоставляются между облаком Webex и всеми локальными Active Directory.

Дальнейшие действия

Для сохранения любых несовпадающих объектов пользователей необходимо добавить их в Active Directory, чтобы обеспечить точное соответствие между локальной системой и облаком.
Выберите тип синхронизации:
- Выполните полную синхронизацию пользователей Active Directory в облако при первой синхронизации новых пользователей с облаком. Это можно сделать в меню Действия > Синхронизировать сейчас > Полный, после чего будут синхронизированы пользователи из текущего домена.
- Настройте расписание соединителя и Запустить инкрементную синхронизацию после запуска полной синхронизации и при необходимости применить изменения после начальной синхронизации. Этот тип синхронизации рекомендуется учитывать небольшие изменения, внесенные в источник пользователя Active Directory.
  
  По умолчанию инкрементная синхронизация выполняется каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация.
Если у вас несколько доменов, повторите эти действия в любом другом установленном соединителе каталогов.

Что следует учитывать

Если соответствующие пользователи помечены как удаленные и вы не уверены, как продолжить, см. информацию об устранении неполадок и обращение в службу поддержки в статье Устранение неполадок и исправления соединителя каталогов.

Удаленные пользователи хранятся в облачной службе удостоверений в течение 7 дней до окончательного удаления.

Выполнение полной синхронизации пользователей Active Directory в облако

Перед началом работы

Чтобы учетные записи пользователей приложения Webex оставались в активном состоянии после полной синхронизации и перед первым входом пользователей в систему, необходимо выполнить следующие действия для обхода проверки адреса электронной почты.
- Интегрируйте систему единого входа в свою организацию Webex. См. Единый вход со службами Cisco Webex и поставщиком удостоверений вашей организации для получения дополнительной информации.
- Используйте Control Hub для проверки и при необходимости заявления доменов, содержащихся в адресах электронной почты. См. Добавление, проверка и заявление доменов.
- Блокировать автоматические электронные приглашения, чтобы новые пользователи не получали автоматические электронные приглашения в приложение Webex. (Можно выполнить собственную рассылку по электронной почте.)
  
  Состояние активированных пользователей, которые не вошли в систему, отображается в Control Hub с состоянием Проверено. После входа в систему они отображаются как Активные. Дополнительную информацию о состояниях пользователей см. в статье Действия и состояния пользователей в Cisco Webex Control Hub.
После включения синхронизации соединитель каталогов сначала попросит выполнить пробный запуск. Для выявления возможных ошибок рекомендуется выполнить пробный запуск до полной синхронизации.
Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.

Если шаблоны автоматического назначения лицензий не используются, новые синхронизированные пользователи автоматически получат бесплатные лицензии. Они смогут использовать те же бесплатные функции, что и у бесплатных учетных записей.

1	Выберите один из вариантов. Если после первого входа пробный запуск завершен и он выглядит правильным для всех доменов, щелкните Включить сейчас, чтобы разрешить автоматическую синхронизацию. В соединителе каталогов перейдите к инструментальной панели, щелкните Действия, выберите Режим синхронизации > Включить синхронизацию, а затем щелкните Синхронизировать сейчас > Полный, чтобы начать синхронизацию.
2	В соединителе каталогов перейдите к меню Синхронизация, щелкните рядом с синхронизированным доменом, щелкните Конфигурация и выберите Полная синхронизация.
3	Подтвердите начало синхронизации. Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов после выполнения синхронизации. Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac. Во время синхронизации на инструментальной панели отображается ход выполнения синхронизации. Это может включать тип синхронизации, время ее начала и этап, на котором выполняется синхронизация. После синхронизации разделы Последняя синхронизация и Статистика облака будут обновлены с учетом новой информации. Данные пользователя синхронизированы с облаком. Если во время синхронизации возникают ошибки, индикатор состояния становится красным.
4	Чтобы обновить состояние синхронизации, щелкните Обновить. (Синхронизированные элементы отображаются в разделе Облачная статистика.)
5	Чтобы просмотреть журналы ошибок, выберите Запустить средство просмотра event-совещаний на панели инструментов Действия.
6	Чтобы настроить график синхронизации для текущей инкрементной синхронизации с облаком, см. статьи Установка графика соединителя и Запуск инкрементной синхронизации.

После завершения полной синхронизации состояние синхронизации каталога обновляется из Отключенов В рабочем состояниина странице Настройкив Control Hub.
При сопоставлении всех данных между локальной системой и облаком соединитель каталогов переключается с ручного режима на режим автоматической синхронизации.
Если вы не интегрируете систему единого входа, подтвердите домены и при необходимости заявите домены для синхронизированных учетных записей электронной почты и не заблокируете автоматическую рассылку по электронной почте, учетные записи пользователей приложения Webex будут оставаться в состоянии "Не проверен" до тех пор, пока пользователи не войдут в приложение Webex впервые для подтверждения своих учетных записей. Инструкции по синхронизации учетных записей в качестве Активных пользователей см. в разделе "Перед началом работы".
Если у вас несколько доменов, выполните это действие в любом другом установленном соединителе каталогов. После синхронизации пользователи всех добавленных доменов будут отображены в Control Hub.
Если система единого входа интегрирована с Webex и заблокированными электронными уведомлениями, электронные приглашения не будут отправляться только синхронизированным пользователям.
После включения соединителя каталогов вручную добавить пользователей в Control Hub невозможно. После включения управление пользователями осуществляется с помощью соединителя каталогов Cisco, а Active Directory является единственным источником достоверных данных.
Все синхронизированные группы отображаются в Control Hub. Можно назначить шаблон лицензии, чтобы пользователям в этой группе назначались лицензии.

Дальнейшие действия

При удалении пользователя из Active Directory он будет программно удален после следующей синхронизации. Пользователь становится неактивным, однако профиль удостоверения в облаке сохраняется в течение семи дней (для восстановления после случайного удаления).

Если в Active Directory установлен флажок Учетная запись отключена, пользователь становится неактивным после следующей синхронизации. Профиль удостоверения облака не будет удален по истечении семи дней, если вы хотите снова включить пользователя.
Обратите внимание на эти исключения на инкрементную синхронизацию (вместо этого выполните все действия по синхронизации выше).
- В случае обновления аватара, но другие атрибуты не будут изменены, при инкрементной синхронизации аватар пользователя не будет обновлен в облаке.
- Изменения конфигурации сопоставления атрибутов, базового абонентского номера, фильтра и аватара требуют полной синхронизации.

Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.
Выполните пробную синхронизацию пользователей Active Directory.
После подтверждения результатов пробного запуска выполните полную синхронизацию пользователей Active Directory.

Выберите параметр.

Дальнейшие действия

Если электронные сообщения не блокируются, каждому пользователю будет отправлено электронное сообщение с приглашением присоединиться и скачать Webex.
Если вы выбрали одни и те же службы Webex для всех пользователей, после этого можно изменить назначенную лицензию индивидуально или массово.

Связанная информация

Известные проблемы с соединителем каталогов

В версиях Windows Server, предшествующих 2012 R2, возникает проблема с файлами cookie, которая влияет на соединитель каталогов. Эта проблема исправлена в версиях 2012 R2 и 2016.
Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов с момента выполнения синхронизации.

Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac.
Если пользователь использует приложение Webex на настольном или мобильном устройстве для поиска и вызова комнаты, в которой есть только синхронизированный URI SIP, вызов поступает в данный момент бессрочно.

Управление пользователями приложения Webex

Запустить инкрементную синхронизацию

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.
Обратите внимание на следующие исключения, которые не поддерживают инкрементную синхронизацию (вместо этого выполните полную синхронизацию пользователей Active Directory в облако ).
- В случае обновления аватара, но другие атрибуты не будут изменены, при инкрементной синхронизации аватар пользователя не будет обновлен в облаке.
- Для новых изменений конфигурации сопоставления атрибутов, базового абонентского номера, фильтра и настройки аватара инкрементная синхронизация не будет работать, и для них требуется полная синхронизация.

1	В соединителе каталогов щелкните Инструментальная панель. После включения синхронизации соединитель каталогов сначала попросит выполнить пробный запуск.
2	В меню Действия щелкните Режим синхронизации > Включить синхронизацию , если эта функция еще не включена. По умолчанию инкрементная синхронизация выполняется каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация. Когда установлен новый добавочный интервал времени, программа проверяет изменения на основе последней метки времени.
3	В меню Действия щелкните Синхронизировать сейчас > Инкрементный. Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов с момента выполнения синхронизации. Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac. Во время синхронизации на инструментальной панели отображается ход выполнения синхронизации. Это может включать тип синхронизации, время ее начала и этап, на котором выполняется синхронизация. После синхронизации разделы Последняя синхронизация и Статистика облака будут обновлены с учетом новой информации. Если во время синхронизации возникают ошибки, индикатор состояния становится красным.
4	Чтобы просмотреть журналы ошибок, щелкните Запустить средство просмотра event-совещаний на панели инструментов Действия .

Дальнейшие действия

Восстановление случайно удаленных пользователей

1	Войдите в Control Hub.
2	Перейдите в раздел Пользователи и убедитесь, что конкретная учетная запись пользователя находится в неактивном состоянии или скрыта. Дополнительную информацию см. в статье Действия и состояния пользователей в Control Hub.
3	Если пользователи были удалены в Control Hub или вы заметили, что пользователи находятся в неактивном состоянии, перейдите в Active Directory, добавьте отсутствующие учетные записи пользователей и выполните пробную синхронизацию в соединителе каталогов. Цель соединителя каталогов заключается в том, чтобы обеспечить точное соответствие информации о пользователях в Active Directory и в облаке.
4	Выполните полную синхронизацию, чтобы повторно синхронизировать временно удаленные учетные записи пользователей с Control Hub. Пользователи восстановлены и перейдут к исходному состоянию, включая состояние их учетной записи и назначения служб.

Дальнейшие действия

Удаление пользователей без возможности восстановления после мягкого удаления

1	По завершении пробного запуска выберите Мягко удаленные объекты.
2	Установите флажок рядом с пользователями, которых необходимо удалить.
3	Нажмите Готово.

Дальнейшие действия

При следующей синхронизации выбранные пользователи будут удалены без возможности восстановления.

Изменение адреса электронной почты приложения Webex

Чтобы изменить адреса электронной почты пользователей без изменения домена, выполните приведенные ниже действия.
1. Откройте учетную запись пользователя (например, user1@example.com) в Active Directory и измените адрес электронной почты (например, user2@example.com).
2. Возобновить синхронизацию в соединителе каталогов.
  
  После следующей синхронизации изменения отобразятся в списке пользователей в Control Hub, а для пользователей в приложении Webex после обновления кэша.
  
  При использовании этого метода потери данных или пространств не происходит. Уникальный идентификатор пользователя устанавливается в облаке после первой синхронизации. Все последующие синхронизации основаны на этом идентификаторе.
В развертывании с несколькими доменами с соединителем каталогов для изменения адресов электронной почты пользователей при изменении домена (рассмотрите example1.com старый домен и example2.com новый домен):
1. Для старой учетной записи пользователя (user1@example1.com) обратите внимание на атрибут Active Directory, который сопоставляется с атрибутом облака UID . Для новой учетной записи необходимо использовать то же значение Active Directory. В этом примере в качестве локального атрибута будет использоваться user1@example1.com для сопоставления с uid в облаке.
2. Приостановите синхронизацию в соединителе каталогов, например1.com и example2.com.
3. Создайте новую учетную запись пользователя на веб-сайте example2.com и используйте тот же атрибут, указанный выше. (Например, user1@example1.com).
4. В соединителе каталогов возобновите синхронизацию, например2.com
  
  Прежде чем продолжить, проверьте, синхронизируется ли учетная запись пользователя1@example2.com с Control Hub. Рекомендуется порекомендовать пользователю проверить изменение адреса электронной почты в приложении Webex и сохранить все данные (пространства, сообщения, совещания, файлы и т. д.).
  
  Этот метод не приводит к потере данных или пространств, однако в новой учетной записи пользователя необходимо убедиться в том, что атрибут Active Directory, который сопоставляется с атрибутом UID облака, сохраняется из старой учетной записи пользователя. При изменении значения Active Directory в новой учетной записи не сохраняются данные старой учетной записи.
5. После подтверждения изменения адреса электронной почты и сохранения данных удалите старую учетную запись пользователя на example1.com, а затем используйте соединитель каталогов для возобновления синхронизации, например1.com.
  
  На этом этапе можно безопасно обновить адрес электронной почты в новом домене Active Directory для пользователя1@example2.com.

Изменение домена Active Directory

1	Настройте новый домен Active Directory (AD).
2	Отключите синхронизацию на всех соединителях.
3	Удалите все соединители.
4	Зарегистрируйте обращение для изменения домена. При отправке запроса на удаление конфигурации домена и всех атрибутов синхронизации в организации обязательно выполните запрос. Прежде чем зарегистрировать обращение для изменения домена, убедитесь, что синхронизация не запущена. Не изменяйте адреса электронной почты пользователей в Active Directory, пока обращение не будет решено.
5	После завершения рассмотрения дела. Установите соединитель каталогов на том же сервере, что и для нового домена Active Directory. Настройте соединитель каталогов так, чтобы он указывал на новый домен Active Directory. Если в Control Hub есть существующие пользователи (https://admin.webex.com), убедитесь, что пользователи с совпадающими адресами электронной почты также присутствуют в Active Directory. Если в вашей организации отключена функция `softDelete` в DirSync, адреса электронной почты пользователей, которые находятся в Control Hub, но не находятся в состоянии удаления Active Directory. Перед фактической синхронизацией выполните тестовый запуск с соединителем каталогов.

Заявление домена

Связанная информация

Преобразование пользователей бесплатного приложения Webex в организацию, синхронизированную с каталогом

Если эти пользователи не будут добавлены, они будут удалены при синхронизации с облаком.

1	Отключите синхронизацию каталога в соединителе каталогов.
2	Выполните процедуру Преобразование нелицензированных пользователей в Control Hub , чтобы преобразовать пользователя из бесплатной клиентской организации в корпоративную. На этом этапе пользователь будет добавлен в вашу организацию, и учетная запись будет отображена в Control Hub. Соединитель каталогов делает Active Directory единственным источником достоверных данных для учетных записей пользователей, и целью является точное соответствие Active Directory и Control Hub. Перед повторной синхронизацией убедитесь, что для всех недавно преобразованных пользователей имеются совпадающие пользователи в Active Directory. Чтобы убедиться, что несовпадающих пользователей не осталось, можно выполнить пробную синхронизацию.
3	Выполните пробную синхронизацию в соединителе каталогов. По завершении пробной синхронизации проверьте вкладку "Добавить объекты". Убедитесь, что никакие преобразованные пользователи не удалены. Перед повторным включением синхронизации необходимо выполнить пробную синхронизацию, чтобы убедиться в том, что все преобразованные учетные записи пользователей отображаются в Active Directory. Если синхронизация включена и учетные записи находятся только в Control Hub, соединитель каталогов чувствителен к регистру и удаляет преобразованных пользователей, которые будут обнаружены с несовпадающими адресами электронной почты (например, user1@example.com и User1@example.com). При удалении преобразованных пользователей все пространства приложения Webex будут утрачены.
4	Если вы уверены, что при следующей синхронизации не будут удалены какие-либо учетные записи, снова включите синхронизацию каталога в соединителе каталогов.

Преобразованные учетные записи пользователей не будут активированы автоматически, если домен не был подтвержден. Например, если вы включили шаблон автоматического назначения лицензий, а затем включили соединитель каталогов без проверки домена, преобразованные пользователи будут неактивны в облачном сервере до тех пор, пока не подтвердят свои адреса электронной почты.

Перенесенные учетные записи пользователей приложения Webex

Изменение формата имени пользователя приложения Webex после синхронизации каталога

По умолчанию соединитель каталогов сопоставляет атрибут displayName в Active Directory с атрибутом displayName в облаке.

После выполнения синхронизации каталога имена пользователей могут отображаться в формате .

Кроме того, сопоставьте атрибут sn givenName с displayName:

Разрешение пользователям изменять отображаемые имена в Webex Meetings

1	В соединителе каталогов щелкните Конфигурация и выберите Сопоставление атрибутов пользователя.
2	Выберите displayName в разделе Name Attribute Cloud Cisco (Имя атрибута облака Cisco).
3	Выберите Не синхронизировать этот атрибут.

Дальнейшие действия

Теперь пользователи могут редактировать свои отображаемые имена на веб-сайте Webex.

Устранение неполадок соединителя каталогов

Модернизация до последнего выпуска программного обеспечения

1	Чтобы начать процесс модернизации, щелкните уведомление на панели задач Windows или щелкните правой кнопкой мыши пиктограмму соединителя каталогов на панели задач Windows.
2	Чтобы завершить модернизацию, следуйте инструкциям.
3	Перезапустите соединитель и войдите с помощью учетных данных администратора.
4	Проверьте номер версии программного обеспечения в разделе Справка > О программе.

Дальнейшие действия

Настройка общих параметров соединителя каталогов

Используйте эту процедуру для настройки общих параметров, таких как имя сервера, на котором запущен соединитель каталогов, уровни журналов, автоматическая модернизация и предпочтительные параметры для контроллеров домена. Имя соединителя отображается на инструментальной панели в разделе соединителей вместе с другими запущенными соединителями.

1	В соединителе каталогов перейдите к меню Конфигурация и щелкните Общие.
2	В поле Имя соединителя введите имя соединителя. В этом поле отображается только имя компьютера, на котором в данный момент запущен соединитель.
3	В раскрывающемся списке выберите уровень журнала. По умолчанию для уровня журнала задано значение info. Доступные уровни журналов: Информация (по умолчанию). Отображает информационные сообщения с информацией о ходе работы приложения на высоком уровне. Используйте эту настройку, чтобы получать отчеты после всех полных синхронизаций. Предупреждение: отображает потенциально опасные ситуации. Отладка. Отображает подробные информационные события, наиболее полезные для отладки приложения. При возникновении какой-либо проблемы установите этот уровень журнала и отправьте журнал event-совещания в службу поддержки при регистрации обращения. Ошибка. Отображает события ошибки, которые по-прежнему могут позволить приложению продолжить работу. При выборе этого параметра отчеты о синхронизации будут отправляться только в случае сообщений об ошибках. Эти настройки влияют на отчет о синхронизации, который отправляется по электронной почте. Если для уровня журнала задано значение «Ошибка», в отчете о синхронизации регистрируются только ошибки. Если ошибки отсутствуют, отчет о синхронизации не отправляется. Измените настройку на "Информация", затем вы получите отчеты о синхронизации после полной синхронизации. (Имейте в виду, что при инкрементной синхронизации отчеты не отправляются, если нет сообщений об ошибках.)
4	Выберите Предпочтительные контроллеры домена , чтобы задать порядок синхронизации удостоверений. Доступ к контроллерам домена осуществляется сверху вниз. Если верхний контроллер недоступен, выберите второй контроллер в списке. Если контроллер не указан в списке, можно получить доступ к основному контроллеру.
5	Для автоматической модернизации установите флажок параметра Автоматическая модернизация до новой версии соединителя каталогов Cisco . Всегда важно поддерживать актуальность программного обеспечения соединителя каталогов Cisco до последней версии. Рекомендуется установить эту настройку, чтобы разрешить автоматическую модернизацию программного обеспечения устанавливать в фоновом режиме, когда она станет доступной.
6	Установите флажок LDAP по SSL , чтобы в качестве протокола соединения использовать безопасный LDAP (LDAPS). Если не установлен флажок LDAP через SSL, соединитель каталогов продолжит использовать протокол соединения LDAP. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в инфраструктуре. Связь LDAPS зашифрована и защищена.

Настройка политики соединителя

1	В соединителе каталогов щелкните Конфигурация и выберите Политика.
2	Если необходимо добавить триггер порогового значения, установите флажок в поле Включить триггер удаления порогового значения . При выборе этого параметра будет отправлено предупреждение, если количество удалений превышает пороговое значение. Если учетная запись удаления превышает заданную вами, синхронизация не будет выполнена.
3	Введите максимальное количество удалений. Значение по умолчанию — 20. Не рекомендуется увеличивать значение по умолчанию.
4	Нажмите Применить.

Настройка графика соединителя

1	В соединителе каталогов щелкните Конфигурация и выберите Запланировать.
2	Укажите интервал инкрементной синхронизации в минутах. По умолчанию установлена инкрементная синхронизация каждые 30 минут. Полная инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация.
3	Чтобы изменить частоту отправки отчетов, измените значение Отправлять отчеты для...времени .
4	Установите флажок Включить график полной синхронизации , чтобы указать дни и время, в которые должна произойти полная синхронизация.
5	Укажите интервал отработки отказа в минутах.
6	Нажмите Применить.

Сценарии с несколькими доменами

Объекты с одинаковым ключевым значением связаны в одной записи в базе данных.

Пример сценария использования для нескольких доменов

В этом примере предполагается организация с двумя доменами: example1.com и example2.com в порядке приоритета.

Добавить пользователя1 (адрес электронной почты: user@example1.com) в Active Directory на странице example1.com.
Добавить группу1 (название группы: Тест) в Active Directory на примере example1.com.
Добавить пользователя2 (адрес электронной почты: user@example2.com) в Active Directory на примере example2.com.
Добавить группу2 (имя группы: Тест) в Active Directory на примере example2.com.

Синхронизация на example1.com

Синхронизация на example1.com и example2.com

Рассмотрим следующие шаги.

Удалите пользователя1 и группу1 в Active Directory, например1.com.
Выполните полную или инкрементную синхронизацию, например1.com.
Результат: информация о пользователе не изменяется в https://admin.webex.com. Пользователь2 не связан с пользователем1, а группа2 не связана с группой1.
Выполните инкрементную синхронизацию, например2.com.
Результат: информация о пользователе не изменяется в https://admin.webex.com.
Выполните полную синхронизацию, например2.com.
Результат: Информация о пользователе2 и группе2 отображается в https://admin.webex.com.

Синхронизация нового домена и сохранение существующего

Установка приоритета домена

Используйте эту процедуру для изменения приоритета доменов Active Directory. Приоритет домена позволяет определить основной домен, дополнительный домен и т. д. Это помогает, если два пользователя из двух разных доменов имеют одно и то же значение адреса электронной почты, синхронизированное с одной организацией.

Перед началом работы

1	В соединителе каталогов Cisco щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Задать приоритет домена.
3	Выделите один домен в списке, щелкните Вверх или Вниз , чтобы изменить приоритет этого домена, а затем щелкните Сохранить , чтобы сохранить это изменение. Домены сортируются по приоритету сверху вниз.

Переключить домены

Используйте эту процедуру для повторного связывания соединителя каталогов Cisco с другим доменом.

Перед началом работы

Перед переключением доменов убедитесь, что задачи синхронизации не выполняются.
Во избежание ошибок установите или модернизируйте соединитель каталогов Cisco до последней версии. Его необходимо скачать из Control Hub.

1	В соединителе каталогов Cisco щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Переключить домен.
3	Если после ознакомления с предупреждением вы понимаете влияние этого изменения на развертывание и все еще уверены, щелкните Да. При переключении домена выход из текущего соединителя каталогов Cisco будет выполнен, другие домены в соединителе будут отменены, а информация о соединителе на этом компьютере будет удалена.
4	Снова войдите в соединитель каталогов Cisco и повторно подключите домен.

Выключить синхронизацию каталога

Щелкните "Дополнительно" и затем щелкните Выключить рядом с экземпляром соединителя, который необходимо выключить.
Чтобы остановить синхронизацию со всех экземпляров соединителя, щелкните Выключить все синхронизации каталогов .

После прочтения подсказки щелкните Выключить.

Синхронизация будет остановлена до повторного включения в соединителе каталогов.

Удалить сопоставление атрибутов пользователя

1	В соединителе каталогов щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Сервисные программы > Удалить сопоставление атрибутов пользователя.
3	Выберите сопоставление, которое необходимо удалить из списка Имя атрибута .
4	В разделе Затронутая область пользователя выберите один из приведенных ниже параметров. Только пользователи, синхронизированные с соединителем каталогов. сопоставление будет удалено только у пользователей, которые ранее синхронизировали соединитель каталогов. Все пользователи. сопоставление будет удалено у всех пользователей Active Directory.
5	Нажмите Применить.

Управление изображениями профиля

1	В соединителе каталогов щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Сервисные программы > Управление изображениями профиля.
3	В разделе Действия выберите один из приведенных ниже вариантов. Удаление изображений профиля для пустых источников аватара. если изображение профиля Active Directory пустое, этот параметр гарантирует удаление изображений профилей пользователей из облака, даже если пользователь ранее загрузил собственное изображение в Webex. Повторно загрузите из синхронизированного источника для переопределения кэшированных изображений. Соединитель каталогов использует тот же каталог Active Directory, что и предыдущие, для обновления изображений профилей для всех пользователей. Это гарантирует отсутствие несоответствия между изображениями профиля в Active Directory и облаке.
4	Нажмите Применить.

Удаление и деактивация соединителя каталогов

Вы больше не хотите использовать синхронизацию каталога.
Не следует использовать один из нескольких соединителей каталогов (высокая доступность).
Необходимо изменить домен и установить другой соединитель.

Перед началом работы

Для высокой доступности может быть настроено несколько экземпляров соединителя каталогов, или синхронизация нескольких доменов. Отключите синхронизацию при удалении единственного или последнего экземпляра соединителя каталогов.
Перед удалением соединителя каталогов сохраните и закройте все важные работы.

1	На компьютере Windows перейдите на панель управления и щелкните Программы и компоненты.
2	В списке программ щелкните Соединитель каталогов, выберите Удалить и следуйте подсказкам. Для завершения удаления может потребоваться перезагрузка системы.
3	В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню Управление > Настройки организации, прокрутите страницу до раздела Синхронизация каталога, щелкните Дополнительно , а затем щелкните Деактивировать рядом с экземпляром соединителя каталогов, который необходимо удалить.
4	После прочтения подсказки щелкните Деактивировать. Если в развертывании высокой доступности не установлен другой соединитель каталогов, учетные записи пользователей больше не синхронизируются.

Запуск средства диагностики

Запуск тестов для служб домена Active Directory.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку AD-DS , введите домен , затем щелкните Загрузить контроллеры доменов.
2. Выберите из списка один контроллер домена.
  
  Не изменяйте запись позже, поскольку инкрементный поиск всегда должен выполняться на одном и том же контроллере домена.
3. По умолчанию выполняются поиск всех путей, однако можно выбрать один атрибут , а затем щелкнуть Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , например Пользователи и Группа , а также фильтры поиска.
5. Установите флажок Автоматически заполнять файлы cookie , чтобы автоматически создавать файлы cookie для поиска.
6. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы выполнить тесты для служб облегченного каталога Active Directory, выполните указанные ниже действия.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку AD-LDS , введите Хост и Порт, а затем щелкните Загрузить разделы.
2. Выберите раздел в списке и щелкните Подключить.
3. По умолчанию выполняются поиск всех путей, однако можно выбрать один атрибут , а затем щелкнуть Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , такие как фильтры Пользователь, UserProxy и UserProxyFull и поиска.
5. Установите флажок Автоматически заполнять файлы cookie , чтобы автоматически создавать файлы cookie для поиска.
6. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы запустить тесты протокола LDAP, выполните следующие действия.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку RAW LDAP , введите корневой путь, фильтр и выберите запись в разделе Атрибуты , затем щелкните Загрузить разделы.
2. При необходимости установите флажки следующих параметров.
  - ObjectSecurity. При наличии этого параметра вызывающий абонент не требует прав и может видеть только доступные для вызывающего абонента объекты и атрибуты. Если этот параметр отсутствует, вызывающий абонент имеет право копировать изменения.
  - РодителиFirst (Сначала родители). Обеспечивает, чтобы все родители детей приходили раньше своих детей.
3. Выберите значение для ExtendedDN.
  
  Это значение используется в расширенном поиске LDAP для запроса расширенной формы Distinguished Name объекта.
4. Выберите значение для ReferralChasing.
  
  Охота на рефералов инициируется, когда контроллер домена возвращает реферал из запроса, например для получения сведений о результатах запроса, которые могут находиться за пределами пространства имен (например, участников группы в другом домене или лесу).
5. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
6. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.

Устранение неполадок в соединителе каталогов Ciso

Устранение неполадок и исправления соединителя каталогов

Установка

Соединитель каталогов прекратил работу

Вы получили сообщения электронной почты с предупреждением о том, что соединитель каталогов не работает.

Возможно, соединитель каталогов установлен неверно.
Возможно, соединитель каталогов не работает.
Возможно, сеть недоступна.

Попробуйте выполнить приведенные ниже действия.

Откройте Панель управления > Программы и компоненты. Найдите соединитель каталогов. Если она отсутствует, скачайте последнюю версию из Control Hub и установите ее.
Откройте Служба и найдите службу Cisco DirSync. Убедитесь, что в нем отображается состояние Начато. Если служба остановлена, щелкните правой кнопкой мыши и выберите "Начать", чтобы перезапустить службу.
Убедитесь, что сервер, на котором установлен соединитель каталогов, имеет доступ к Интернету.

Ошибка переустановки

Решение. По прошествии некоторого времени повторите попытку установки.

Вход в систему

Сбой соединителя каталогов во время входа SSO

Проблема

Решение

Попробуйте выполнить приведенные ниже действия.

Чтобы настроить новую групповую политику, выполните следующие действия.

Перейдите к контроллеру домена и откройте раздел Group Policy Management (gpedit.msc).
Щелкните правой кнопкой мыши определенный OU или домен, выберите Создать GPO в этом домене и Связать его здесь...
Укажите название политики, затем щелкните правой кнопкой мыши и выберите Правка.

Чтобы изменить политику на уровне машины, выполните следующие действия:

Перейдите к меню Конфигурация компьютера > Предпочтительные параметры > Настройки Windows, щелкните правой кнопкой мыши Реестр, выберите Создать, а затем Элемент реестра.
Для параметра Key Path (Путь ключа) введите или перейдите к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger (Отключить отладчик сценариев) для параметра Value (Значение) и введите no для параметра Value data (Данные значения).

Настройки должны соответствовать приведенному ниже снимку экрана.

Чтобы изменить политику на уровне пользователя, выполните следующие действия.

Перейдите к меню Конфигурация компьютера > Предпочтительные параметры > Настройки Windows, щелкните правой кнопкой мыши Реестр, выберите Создать, а затем Элемент реестра.
Для параметра Путь ключа введите или перейдите к разделу HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger (Отключить отладчик сценариев) для параметра Value (Значение) и введите no для параметра Value data (Данные значения).

Настройки должны соответствовать приведенному ниже снимку экрана.

Не удалось зарегистрировать соединитель службы Cisco DirSync

Проблема

Ошибка входа. Отображается сообщение "Не удалось зарегистрировать соединитель службы Cisco DirSync."

Решение

Система Windows, на которой установлен соединитель каталогов, должна быть членом Active Directory.

Страница входа не отображается

Проблема

Вы открыли соединитель каталогов, и страница входа не отображалась.

Решение

Выполните следующие действия.

В Internet Explorer перейдите к https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Попробуйте использовать ссылку в других браузерах, например в Chrome и Firefox.
Если Internet Explorer не может открыть ссылку, но могут использовать другие браузеры, установите флажки в настройках Internet Explorer и установите флажки TLS 1.1 и 1.2. (Используйте процедуру Включить TLS в Internet Explorer .)

Отобразится запрос на вход

Проблема

Отобразится запрос на ввод имени пользователя и пароля для проверки подлинности.

Возможная причина

Решение

Не удается подключиться к удаленному серверу

Проблема

Во время обычной работы отображается сообщение об ошибке "Не удается подключиться к удаленному серверу".

Возможная причина

Возможно, у вас возникли проблемы с прокси, которые необходимо решить.

Решение

Невозможно зарегистрировать соединитель

Проблема

Отображается сообщение об ошибке "Невозможно зарегистрировать соединитель. Произошло общее исключение".

Возможная причина

Решение

Попробуйте выполнить приведенные ниже действия.

Запустите командную строку (cmd) и введите ldp.exe.
Щелкните Connection (Подключение) > Bind (Привязка), выберите Привязка как пользователь, выполнивший вход в систему в данный момент, а затем щелкните ОК.
Щелкните Просмотр > Дерево, введите DC=arbonneintl,DC=ad в качестве BaseDN, а затем щелкните ОК.
Если проблема не исчезнет, зарегистрируйте обращение в службу поддержки.

Синхронизация

Аватары не синхронизированы

Проблема

Возможная причина

Решение

Удалите локальный кэш, выполнив следующие действия.

Перейдите к C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Удалите DirSyncPluginAvatar.dll-cache.bin.
Перезапустите синхронизацию аватара с помощью соединителя каталогов Cisco.

Конфликтующие учетные записи электронной почты пользователей

Проблема

Если пользователи попытаются использовать бесплатную версию приложения Webex, их адреса электронной почты будут находиться в бесплатной клиентской организации.
Если адреса электронной почты пользователей когда-либо были синхронизированы в другой организации.
Если адреса электронной почты пользователя существуют в нескольких доменах, принадлежащих организации.

Решение

Попробуйте выполнить приведенные ниже действия.

При попытке заявления пользователей выполните приведенные ниже действия.
1. Убедитесь, что домен подтвержден в Control Hub.
2. Временно отключить соединитель каталогов Cisco.
3. Используйте параметр "Заявить пользователя" в Control Hub, чтобы заявить все учетные записи, которые могут существовать в бесплатной клиентской организации. Дополнительную информацию см. в статье Утверждение пользователей в организации (преобразование пользователей) .
4. Выполните пробный запуск соединителя каталогов Cisco, а затем повторно включите синхронизацию каталога
В последнем случае дважды проверьте данные пользователей в источниках Active Directory.

Преобразованный пользователь помечен как неактивный

Проблема

Возможная причина

Решение

Ошибка добавочной синхронизации

Проблема

Сбой инкрементной синхронизации.

Эта проблема может возникать в Windows Server 2008 R2 при следующих условиях:

Вы поддерживаете обновления добавочных значений.
Фильтр, который используется, ссылается на связанный атрибут значения.
Значения результата этого атрибута обновлялись с момента последней полной синхронизации.

Решение

Недопустимое значение атрибута

Проблема

Возможная причина

Решение

Соответствующие пользователи, подлежащие удалению

Проблема

Соответствующие пользователи помечены как удаленные.

При выполнении пробной синхронизации для проверки данных между Active Directory и облаком в обоих случаях может отображаться один и тот же адрес электронной почты. Однако пользователь помечен как объект, подлежащий удалению.

Решение

Выберите соответствующее исправление.

Если удалить пользователя и повторно ввести лицензии после этого, для исправления можно использовать соединитель каталогов. Выполните синхронизацию, чтобы удалить пользователя, а затем другую синхронизацию, чтобы синхронизировать пользователя из локального AD с облаком.
Если вы не можете удалить и повторно создать учетную запись пользователя, зарегистрируйте обращение в службу поддержки.

Отсутствует атрибут

Проблема

Возможная причина

Решение

Вложенная группа не будет синхронизирована

Проблема

Пользователи во вложенной группе Active Directory не синхронизируются надлежащим образом с облаком.

Возможная причина

Решение

Конфликт имен пользователей

Проблема

Возможная причина

Пользователь с таким адресом электронной почты уже существует в Control Hub.

Решение

Control Hub

Список пользователей отсутствует в Control Hub

Проблема

Решение

Группы не будут синхронизированы с Control Hub

Проблема

Пользователи в группе каталогов не будут синхронизированы с Control Hub надлежащим образом.

Возможная причина

В Active Directory группа не имеет тегов isCriticalSystemObject .

Решение

Убедитесь, что для атрибута isCriticalSystemObject в Active Directory установлено значение TRUE .

Включение устранения неполадок соединителя каталогов

Файлы журналов: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Запустите файл `services.msc` , чтобы изменить запущенную учетную запись для службы соединителя каталогов с локальной системы на учетную запись домена, имеющую права на доступ к вашим AD DS или AD LDS.
2	Перезапустите службу. Инструкции см. в статье Начало работы служб .
3	В соединителе каталогов щелкните Инструментальная панель.
4	Перейдите к меню Действия и щелкните Сервисные программы > Устранение неполадок.
5	Если функция устранения неполадок включена, повторите действия, которые привели к ошибке. Таким образом будут фиксированы данные трафика, чтобы их можно было проверить.
6	Просмотрите файлы журналов. если файл пуст, убедитесь, что у учетной записи есть права на доступ к AD DS или AD LDS. В папке журнала сохраняются только файлы за последние 3 дня. Содержимое файлов журнала соответствует выходу журнала события в систему.
7	При необходимости отправьте файл журнала в службу поддержки для получения помощи.
8	По завершении отключите функцию устранения неполадок.

Связанная информация

Запускать средство просмотра событий.

1	В соединителе каталогов перейдите к меню Инструментальная панель и щелкните Действие > Запустить средство просмотра event-совещаний. В диалоговом окне "Свойства события" отображаются сведения о синхронизации события и сведения об ошибке.
2	В средстве просмотра event-совещаний перейдите к меню Журналы приложений и служб > Соединитель каталогов Cisco.
3	В разделе Действия щелкните Сохранить все event-совещания как , чтобы экспортировать все журналы в один файл event-совещаний (*.evtx) или другой формат, например XML или CSV.

Дальнейшие действия

Включение TLS в Internet Explorer

При входе в службу произошла ошибка
Произошла ошибка в сценарии на этой странице

При появлении этих ошибок необходимо включить настройку TLS в браузере.

1	Откройте Internet Explorer и выберите Инструменты. Теперь установите флажки для версии TLS/SSL, которую необходимо включить. Щелкните ОК Закрыть браузер и снова открыть его
2	Щелкните Свойства обозревателя , перейдите в раздел Дополнительно , прокрутите страницу до раздела Безопасность.
3	Установите флажки Использовать TLS 1.1 и Использовать TLS 1.2 , а затем щелкните ОК.
4	Чтобы изменения вступили в силу, перезапустите систему.

Устранение неполадок со входом в учетную запись службы

Попробуйте открыть https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL в веб-браузере.

Выберите один из вариантов в зависимости от результатов.

Если вы не можете перейти по ссылке в браузере, проверьте сетевые настройки. Если в вашей среде используется прокси, проверьте настройки прокси.
Если вы можете перейти по ссылке в браузере, но не можете открыть соединитель каталогов Cisco (Не удается открыть соединитель и всплывающее сообщение об ошибке 407), щелкните здесь , чтобы получить последнюю версию соединителя каталогов Cisco.
Если вы можете перейти по ссылке в браузере, но не можете выполнить синхронизацию с помощью соединителя каталогов Cisco, измените учетную запись входа в службу на администратор домена.

Проверьте, является ли учетная запись, использованная для входа в систему Windows, той же учетной записью, что и в службе Cisco DirSync. Если у них 2 разных учетных записи, убедитесь, что обе учетные записи могут посещать https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Если в вашей среде используется прокси, убедитесь, что обе учетные записи настроены для прокси в Internet Explorer и могут https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL успешно посещать учетные записи.

Связанная информация

Проверка SafeDllSearchMode в реестре Windows

Как правило, режим SafeDllSearchMode включен, но используйте эту процедуру для повторной проверки настроек реестра.

Перед началом работы

В окне поиска в Windows или в окне "Выполнить" введите regedit и нажмите клавишу ввода.

Перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан. Дальнейшие действия не требуются.
SafeDllSearchMode указан в списке. Убедитесь, что значение 1.

Дополнительную информацию см. в статье Порядок поиска библиотеки динамических ссылок.

Обзор соединителя каталогов Cisco

Обзор соединителя каталогов

В таблице перечислены все функции, описания и преимущества.

Функция	Описание и преимущества
Простая в использовании инструментальная панель	Инструментальная панель предоставляет график синхронизации, сводную информацию и состояние синхронизации, а также состояние соединителя каталогов. Панель отчетов можно просматривать в любое время при входе в систему.
Пробный запуск перед синхронизацией с облаком	Выполните пробный запуск изменений каталога, прежде чем они будут реализованы в облаке. Затем запустите отчет, чтобы увидеть, что изменения, которые необходимо внести, являются ожидаемыми.
Полная и инкрементная синхронизация	Синхронизируйте весь каталог. Или просто синхронизируйте дополнительные изменения, чтобы сэкономить мощность обработки и сократить время синхронизации.
Синхронизация нескольких доменов (один лес или несколько лесов)	Соединитель каталогов поддерживает несколько доменов в одном лесу или в нескольких лесах (без необходимости AD LDS). Для предприятий с несколькими доменами Active Directory можно установить соединитель каталогов для каждого домена, связать каждый домен с вашей организацией, а затем синхронизировать каждую базу пользователей с Webex. Control Hub отражает состояние синхронизации нескольких соединителей каталогов, позволяет выключить синхронизацию для определенного домена и деактивировать соединитель каталогов в развертывании с высокой доступностью.
Синхронизация запланирована	Настройте график синхронизации на день, час и минуту.
Фильтры протокола доступа к каталогу (LDAP)	Определите критерии поиска LDAP и обеспечьте эффективный импорт.
Сопоставление атрибутов Active Directory	Сопоставьте атрибуты Microsoft Active Directory с соответствующими атрибутами облака Webex. Можно сопоставить атрибуты, относящиеся к конфигурации Active Directory, а также определить пользовательские атрибуты для сопоставления с облаком. Атрибуты локальной среды формируют в облаке различные данные, такие как данные учетной записи пользователя, телефонные номера в Webex Teams, SIP-адреса ресурсов комнаты и другие данные карточки контакта пользователя (должность, отдел, менеджер и т. д.).
Корпоративный каталог для ресурсов локальных комнат и пользователей Cisco Webex Calling (облачная PSTN) и корпоративных контактов без лицензирования Webex	Если в вашей организации для службы вызовов используется облачная PSTN Cisco Webex Calling или у вас есть локальные устройства комнаты, эта функция позволяет пользователям выполнять поиск в каталоге корпоративных контактов на телефонах Cisco Webex Calling (облачная PSTN) или ресурсах комнат. Ресурсы комнаты После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным адресом SIP будут отображены в зарегистрированных в облаке устройствах комнат (таких как устройство Cisco Webex Room или Cisco Webex Board) как записи, доступные для поиска. При поиске пользователей устройства Cisco Webex Room или Cisco Webex Board будут отображены синхронизированные записи комнат, настроенные с помощью SIP-адресов. При поступлении вызова с устройства Webex на эту запись вызов будет размещен на SIP-адрес, настроенный для комнаты. Вызовы Помимо контактов приложения Webex пользователи могут совершать вызовы корпоративным контактам. С помощью соединителя каталогов корпоративные пользователи и их номера телефона будут добавлены в вашу организацию Webex. Для работы этой функции лицензия на службы Webex не требуется. Пользователи, у которых нет лицензий на Webex, будут отображаться в результатах поиска по каталогу, выполненном на телефоне пользователя Cisco Webex Calling, при условии, что в соединителе каталогов синхронизирован URI или номер телефона с Webex. Функции вызовов одинаковы для пользователей обоих типов. Эта функция также обеспечивает возможность редактирования набора для контактов только с номерами телефона. В результатах поиска контактов: Если контакты имеют набираемый URI (адрес SIP Webex) и номер телефона, отображается URI, связанный с контактом. Если у контактов нет набираемого URI, но есть номер телефона, отображается номер телефона. Кроме того, у них есть программная клавиша для редактирования набора. Если контактов нет, они не отображаются в каталоге.
Средство просмотра event-совещаний	С помощью средства просмотра event-совещаний можно определить, возникли ли какие-либо проблемы с синхронизацией.
Средство диагностики и устранение неполадок	С помощью встроенного средства диагностики можно устранять неполадки при развертывании соединителя каталогов Cisco. Если синхронизация не работает надлежащим образом, может возникнуть ошибка конфигурации или сети. Этот инструмент тестирует подключение к Active Directory, чтобы можно было самостоятельно диагностировать ошибки перед обращением в службу поддержки. После включения функции устранения неполадок в соединителе каталогов записываются журналы, которые можно отправить в службу технической поддержки.
Автоматическая модернизация	После установки соединителя каталогов при появлении новой версии программного обеспечения будет отправлено уведомление. Автоматическую модернизацию можно настроить таким образом, чтобы при выпуске новой версии всегда была последняя версия программного обеспечения.
Высокая доступность	Настройте несколько соединителей для резервного копирования, если основной соединитель или размещающая машина не работает.

Соединитель каталогов разделен на три области:

Control Hub – это единый интерфейс, позволяющий управлять всеми аспектами организации Webex. просмотр пользователей, назначение лицензий, скачивание соединителя каталогов и настройка системы единого входа (SSO) , если необходимо, чтобы пользователи выполняли аутентификацию посредством корпоративного поставщика удостоверений и не отправляли электронные приглашения для приложения Webex.
Интерфейс управления соединителем каталогов – это программное обеспечение, которое можно скачать из Control Hub и установить на доверенном сервере Windows. Для нескольких доменов Active Directory можно установить одну минуту программного обеспечения для каждого домена, который необходимо синхронизировать. С помощью этого программного обеспечения можно запустить синхронизацию для переноса учетных записей пользователей Active Directory в Webex, просмотра и отслеживания состояния синхронизации, а также настройки служб соединителя каталогов.
Служба синхронизации каталога запрашивает ваш Active Directory, чтобы получить пользователей и группы для синхронизации со службой соединителя и соединителем каталогов.

Чтобы понять архитектуру соединителя каталогов, см. приведенную ниже диаграмму.

Подготовка среды для соединителя каталогов

Требования для соединителя каталогов

Требования к Windows и Active Directory

Соединитель каталогов можно установить на следующих поддерживаемых серверах Windows:

Windows Server 2022
Windows Server 2019
Windows Server 2003

Соединитель каталогов поддерживается следующими службами Active Directory:

Active Directory 2016

(Соединитель каталогов поддерживается при использовании последней версии Active Directory на Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Обратите внимание на следующие дополнительные требования:

Для соединителя каталогов требуется TLS1.2. Необходимо установить приведенное ниже.
- .NET Framework версии 3.5 (требуется для приложения соединителя каталогов. При возникновении каких-либо проблем воспользуйтесь инструкциями, приведенными в статье Включение .NET Framework 3.5 с помощью мастера добавления ролей и функций.)
- .NET Framework версии 4.5 (обязательно для TLS1.2)
Требуется уровень функционального леса Active Directory 2 (Windows Server 2003) или более поздний. (Дополнительную информацию см. в статье Какие функциональные уровни Active Directory? .)

Требования к оборудованию

8 ГБ ОЗУ
50 ГБ хранилища
Нет минимума для ЦП

Требования к сети

Требования к организации Webex

Для доступа к программному обеспечению соединителя каталогов из Control Hub требуется организация Webex с пробной версией или платной подпиской.
(Необязательно) Чтобы новые учетные записи пользователей приложения Webex были Активными перед первым входом в систему, рекомендуется выполнить приведенные ниже действия.
- Добавляйте, проверяйте и при необходимости заявляйте домены , содержащие адреса электронной почты пользователей, которые необходимо синхронизировать с облаком.
- Выполните интеграцию системы единого входа (SSO) поставщика удостоверений (IdP) с организацией Webex.
- Отключите автоматические электронные приглашения, чтобы новые пользователи не получали автоматические электронные приглашения и вы могли проводить собственную электронную рассылку. (Для работы этой функции требуется интеграция SSO.)

Дополнительную информацию см. в статье Действия и состояния пользователей в Control Hub.

Требования к установке

Для среды с несколькими доменами (один лес или несколько лесов) необходимо установить один соединитель каталогов для каждого домена Active Directory. Если необходимо синхронизировать новый домен (B) при сохранении синхронизированных данных пользователей в другом существующем домене (A), убедитесь, что у вас есть отдельный поддерживаемый сервер Windows для установки соединителя каталогов для синхронизации домена (B).
Для входа в соединитель не требуется учетная запись администратора в Active Directory. Требуется учетная запись локального пользователя, которая является тем же пользователем, что и учетная запись администратора с полными правами в Control Hub.

Этот локальный пользователь должен иметь права на этом компьютере Windows для подключения к контроллеру домена и чтения объектов пользователя Active Directory. Учетная запись для входа в систему компьютера должна быть администратором компьютера с правами на установку программного обеспечения на локальном компьютере. (Эта информация также применима к входу в виртуальную машину.)
При входе в соединитель учетная запись для входа должна совпадать с учетной записью администратора с полными правами для Control Hub. По умолчанию соединитель использует учетную запись локальной системы для доступа к Active Directory. Однако можно использовать службы Windows для настройки другой учетной записи для доступа к Active Directory. (Эта информация также применима к входу в виртуальную машину.)
Убедитесь, что режим поиска библиотеки безопасных динамических ссылок (DLL) Windows включен с помощью следующей процедуры: Проверьте SafeDllSearchMode в реестре Windows.
Если AD LDS используется для нескольких доменов в одном лесу, рекомендуется установить соединитель каталогов и службу домена Active Directory/облегченные службы каталогов Active Directory (AD DS/AD LDS) на отдельных компьютерах.

Требования к нескольким доменам

Для каждого домена требуется отдельный экземпляр соединителя каталогов.
ПО соединителя каталогов должно работать на узле, находящемся в том же домене, который будет синхронизирован.
Рекомендуется подтвердить или заявить домены в Control Hub. (См. статью Добавление, проверка и заявление доменов.)
Чтобы синхронизировать более 50 доменов, необходимо зарегистрировать обращение , чтобы переместить организацию в большой список организаций.
При необходимости можно синхронизировать информацию о ресурсах комнаты вместе с учетными записями пользователей. (См. статью Синхронизация информации о локальной комнате с облаком Webex.)

Информация о размещении

На скорость синхронизации может повлиять несколько факторов.

Общее количество объектов Active Directory. (Задача синхронизации 5000 пользователей не будет длиться до 50 000.)
Скорость сети и пропускная способность.
Рабочая нагрузка системы и технические характеристики.

Проверка SafeDllSearchMode в реестре Windows

Как правило, режим SafeDllSearchMode включен, но используйте эту процедуру для повторной проверки настроек реестра.

Перед началом работы

В окне поиска в Windows или в окне "Выполнить" введите regedit и нажмите клавишу ввода.

Перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан. Дальнейшие действия не требуются.
SafeDllSearchMode указан в списке. Убедитесь, что значение 1.

Дополнительную информацию см. в статье Порядок поиска библиотеки динамических ссылок.

Интеграция веб-прокси

Можно воспользоваться одним из приведенных ниже подходов.

Явный веб-прокси с помощью Internet Explorer (соединитель наследует настройки веб-прокси)
Явный веб-прокси с помощью файла .pac (соединитель наследует настройки корпоративного прокси)
Прозрачный прокси, который работает с соединителем без изменений

Использование веб-прокси через браузер

Соединитель каталогов можно настроить использование веб-прокси с помощью Internet Explorer.

1	В Internet Explorer перейдите к меню Свойства браузера, щелкните Соединения и выберите Настройки LAN.
2	Укажите экземпляр Windows, в котором соединитель установлен на веб-прокси. Соединитель наследует эти настройки веб-прокси.
3	Если в вашей среде используется аутентификация прокси, добавьте эти URL-адреса в список разрешенных: cloudconnector.webex.com для синхронизации. idbroker.webex.com для аутентификации. idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т. д. Это можно сделать на уровне веб-сайта (для всех организаторов) или только для организатора, у которого есть соединитель. При добавлении этих URL-адресов в список разрешенных для полного обхода веб-прокси убедитесь, что таблица ACL брандмауэра обновлена, чтобы разрешить узлу соединителя прямой доступ к URL-адресам.
4	Если в вашей среде необходимо запросить списки отзыва сертификатов у центров сертификации, добавьте эти URL-адреса в список разрешенных. .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Дополнительную информацию см. в этой статье о доменах и URL-адресах, которые должны быть доступны для служб Webex.

Настройка веб-прокси с помощью файла PAC

Если в вашей среде используется аутентификация прокси, добавьте эти URL-адреса в список разрешенных:

cloudconnector.webex.com для синхронизации.
idbroker.webex.com для аутентификации.
idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т. д.

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

NTLM-прокси

Дизайн NTLM

Как правило, техническая разработка NTLM основана на механизме Challenge (Вызов) и Response (Ответ):

Пользователь входит на ПК клиента с помощью учетной записи Windows и пароля. Пароль не сохраняется локально. Вместо пароля в формате обычного текста значение хеша пароля хранится локально. Когда пользователь входит в клиент с помощью пароля, ОС Windows сравнивает сохраненное значение хеша и значение хеша, полученное от введенного пароля. Если оба совпадают, аутентификация проходит.

Если пользователь хочет получить доступ к любому ресурсу на другом сервере, клиент отправляет запрос на сервер с именем учетной записи в виде обычного текста.
Когда сервер получает запрос, сервер генерирует 16-битный случайный ключ. Ключ называется Challenge (или Nonce). Прежде чем сервер отправит обратно клиенту, вызов хранится на сервере. Затем сервер отправляет вызов клиенту в виде обычного текста.
Как только клиент получает вызов, отправленный с сервера, клиент шифрует вызов с помощью хэша, упомянутого в шаге 1. После шифрования значение отправляется обратно на сервер.
Когда сервер получает зашифрованное значение от клиента, сервер отправляет его на контроллер домена для проверки. Запрос включает приведенное ниже. имя учетной записи, зашифрованный вызов, отправленный клиентом, и исходный простой вызов.
Контроллер домена может получить хеш-значения пароля в соответствии с именем учетной записи. А затем контроллер домена может зашифровать исходную задачу. Затем контроллер домена может сравниться с полученным значением хеша и зашифрованным значением хеша. Если они одинаковы, проверка выполнена успешно.

Настройка прозрачного прокси

1	Разверните прозрачный прокси, чтобы соединитель мог подключать и синхронизировать пользователей.
2	Убедитесь в успешном выполнении прокси. При запуске соединителя отображается всплывающее окно ожидаемой аутентификации браузера.

Настройка аутентификации прокси

Добавьте URL-адрес cloudconnector.webex.com в список разрешенных, создав список контроля доступа.

На корпоративном брандмауэре:

1	Включите поиск DNS, если этот параметр еще не включен.
2	Определите приблизительную пропускную способность для этого соединения (примерно 2 Мбит/с или менее для соединителя). Это может быть необязательно.
3	Создайте список контроля доступа, чтобы применить его к узлу соединителя, и укажите `cloudconnector.webex.com` в качестве целевого объекта, который необходимо добавить в список разрешенных. Пример. `access-list 2000 ACL-внутри расширенного разрешения TCP [IP соединителя] cloudconnector.webex.com eq https`
4	Примените этот СКД к соответствующему интерфейсу брандмауэра, который применим только к этому узлу соединителя.
5	Убедитесь, что остальные узлы в вашей организации по-прежнему должны использовать веб-прокси, настроив соответствующее неявное заявление об отказе.

Развертывание соединителя каталогов

Алгоритм выполнения задач по развертыванию соединителя каталогов Cisco

Перед началом работы

Способы добавления пользователей и управления ими в организации

1	Установить соединитель каталогов В Control Hub синхронизация каталога изначально отключена. Чтобы включить синхронизацию каталога для организации, необходимо установить и настроить соединитель каталогов, а затем успешно выполнить полную синхронизацию. Для новой установки соединителя каталогов всегда перейдите в Control Hub (https://admin.webex.com) для получения последней версии программного обеспечения и использования новейших функций и исправлений ошибок. После установки программного обеспечения о модернизации сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
2	Вход В Соединитель Каталогов Войдите с помощью учетных данных администратора Webex и выполните начальную настройку.
3	Настройка автоматической модернизации Всегда важно поддерживать актуальность программного обеспечения соединителя каталогов до последней версии. Рекомендуется использовать эту процедуру, чтобы разрешить автоматическую модернизацию программного обеспечения устанавливать в фоновом режиме, когда она станет доступной.
4	Выберите объекты Active Directory для синхронизации По умолчанию соединитель каталогов синхронизирует всех пользователей, которые не являются компьютерами, и всех групп, которые не являются критически важными объектами системы для домена. Для получения дополнительных сведений о том, какие объекты синхронизируются, можно выбрать определенных пользователей для синхронизации и указать фильтры LDAP на странице выбора объекта в соединителе каталогов.
5	Сопоставить атрибуты пользователя Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid.
6	Синхронизируйте аватары каталогов, выполнив одну из следующих процедур: Синхронизация аватаров каталогов из атрибута Active Directory с облаком Синхронизация аватаров каталогов с сервера ресурсов с облаком Можно синхронизировать аватары пользователей с облаком, чтобы аватар каждого пользователя отображался при входе в приложение. Можно синхронизировать аватары с помощью атрибута Active Directory или сервера ресурсов.
7	Синхронизация информации о локальной комнате с облаком Webex Используйте эту процедуру для синхронизации информации о локальной комнате из Active Directory с облаком Webex. После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным SIP-адресом будут отображаться в качестве записей на зарегистрированных в облаке устройствах комнаты, таких как устройство Webex Room или Cisco Webex Board
8	Чтобы Подготовить Пользователей Из Active Directory В Control Hub, выполните следующие действия. Выполнение пробной синхронизации пользователей Active Directory Выполнение полной синхронизации пользователей Active Directory в облако Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub Следуйте этой последовательности, чтобы подготовить пользователей Active Directory для учетных записей приложения Webex. Можно подготовить пользователей из развертывания Active Directory с несколькими лесами или доменами для соединителя каталогов 3.0 и более поздних версий. Во время процесса добавления пользователей из разных доменов необходимо решить, следует ли сохранить или удалить объекты пользователей, которые могут уже существовать в облаке Webex. Например, протестировать учетные записи из пробной версии. Целью является точное соответствие между Active Directory и облаком Webex.

Установить соединитель каталогов

Перед началом работы

При аутентификации через прокси-сервер убедитесь, что у вас есть учетные данные прокси.

Для базовой аутентификации прокси после установки экземпляра соединителя необходимо ввести имя пользователя и пароль. Для базовой аутентификации также требуется конфигурация прокси Internet Explorer. См. статью Использование веб-прокси Через Браузер.
При первом открытии соединителя для прокси-сервера NTLM может возникнуть ошибка. См. статью Использование веб-прокси Через Браузер.

1	В Control Hub перейдите к меню Пользователи > Управление пользователями > Включить синхронизацию каталога и выберите Далее.
2	Щелкните ссылку Скачать и установить, чтобы сохранить последнюю версию файла установки соединителя ZIP на сервер VMware или Windows. Файл .zip можно получить непосредственно по этой ссылке, однако для работы этого программного обеспечения необходим полный административный доступ к организации Control Hub. Для новой установки установите новейшую версию программного обеспечения, чтобы использовать новейшие функции и исправления ошибок. После установки программного обеспечения о модернизации сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
3	На сервере VMware или Windows распакуйте и запустите файл .msi в папке настроек, чтобы запустить мастер настройки.
4	Щелкните Далее, установите флажок, чтобы принять лицензионное соглашение, а затем щелкните Далее, пока не отобразится экран типа учетной записи.
5	Выберите тип учетной записи службы, которую необходимо использовать, и выполните установку с помощью учетной записи администратора. Локальная система. Параметр по умолчанию. Этот параметр можно использовать при настройке прокси с помощью Internet Explorer. Учетная запись домена. Используйте этот параметр, если компьютер является частью домена. Для доступа к ресурсам домена соединитель каталогов должен взаимодействовать с сетевыми службами. Можно ввести данные учетной записи и щелкнуть ОК. При вводе имени пользователя используйте формат `{domain}\{user_name}` Для прокси, который интегрируется с AD (NTLMv2 или Kerberos), необходимо использовать параметр учетной записи домена. Учетная запись, используемая для запуска службы соединителя каталогов, должна обладать достаточными правами для передачи прокси и доступа к AD. Во избежание ошибок убедитесь в наличии указанных ниже прав. Сервер является частью домена Учетная запись домена может получить доступ к локальным данным AD и данным аватаров. Учетная запись также должна иметь роль локального администратора, поскольку она должна получить доступ к файлам в разделе C:\Program Files. Для входа в виртуальную машину права учетной записи администратора должны иметь по крайней мере возможность чтения информации о домене.
6	Щелкните Установить. После запуска сетевого теста и при отображении соответствующего запроса введите основные учетные данные прокси-сервера, щелкните ОК, а затем щелкните Готово.

Дальнейшие действия

Вход В Соединитель Каталогов

Перед началом работы

Убедитесь, что у вас есть учетные данные прокси.

В случае базовой аутентификации прокси после первого открытия соединителя необходимо ввести имя пользователя и пароль.
Для прокси-сервера NTLM откройте Internet Explorer, щелкните пиктограмму шестеренки, перейдите к меню Свойства браузера > Подключения > Настройки локальной сети, убедитесь, что информация о прокси-сервере добавлена, а затем щелкните ОК. См. статью Использование веб-прокси Через Браузер.

1	Откройте соединитель и при появлении запроса добавьте `https://idbroker.webex.com` в список доверенных веб-сайтов.
2	При отображении соответствующего запроса войдите с помощью учетных данных аутентификации прокси, затем войдите в Webex с помощью учетной записи администратора и щелкните Далее.
3	Подтвердите организацию и домен. При выборе AD DS установите флажок LDAP по SSL, чтобы в качестве протокола соединения использовать безопасный LDAP (LDAPS), выберите домен, из которого необходимо синхронизировать, и щелкните Подтвердить. Если не установить флажок LDAP через SSL, DirSync продолжит использовать протокол соединения LDAP. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в инфраструктуре. Связь LDAPS зашифрована и защищена. При выборе AD LDS введите узел, домен и порт, а затем щелкните Обновить, чтобы загрузить все разделы приложений. Затем выберите раздел в раскрывающемся списке и щелкните Подтвердить. Дополнительную информацию см. в разделе AD LDS. В файле конфигурации CloudConnectorCommon.dll убедитесь, что настройка ADAuthLevel добавлена к узлу appSetting. Значения могут быть 1, 2 или 3. Подробные сведения о типах аутентификации см. в этой статье от Microsoft. Вот пример настройки со значением 1: `<appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	После отображения экрана Подтвердить организацию щелкните Подтвердить. Если AD DS/AD LDS уже связаны, отобразится экран Подтвердить организацию.
5	Щелкните Подтвердить.
6	Выберите один из них в зависимости от количества доменов Active Directory, которые необходимо связать с соединителем каталогов. Если у вас есть единый домен AD LDS, привяжите его к существующему источнику AD LDS и щелкните Подтвердить. Если у вас есть единый домен AD DS, привяжите его к существующему или новому домену. При выборе Привязка к новому домену щелкните Далее. Поскольку существующим типом источника является AD DS, невозможно выбрать AD LDS для новой привязки. Если у вас несколько доменов, выберите из списка существующий домен или Связать с новым доменом, а затем щелкните Далее. Поскольку у вас несколько доменов, существующим типом источника должен быть AD DS. При выборе Привязка к новому домену и нажатии Далее выбрать AD LDS для новой привязки будет невозможно.

Дальнейшие действия

После входа в систему вам будет предложено выполнить пробную синхронизацию.

Инструментальная панель соединителя каталогов

При первом входе в соединитель каталогов отображается инструментальная панель. Здесь можно просмотреть сводную информацию обо всех действиях по синхронизации, просмотреть статистику облака, выполнить пробный запуск синхронизации, запустить полную или инкрементную синхронизацию и запустить представление event-совещания, чтобы просмотреть информацию об ошибках.

Если время сеанса истекло, войдите снова.

Эти задачи можно легко выполнить с помощью панели инструментов или меню действий.

Таблица 1. Компоненты инструментальной панели
Компонент	Описание
Текущая синхронизация	Отображает информацию о состоянии синхронизации, которая в данный момент выполняется. Если синхронизация не запущена, отображается состояние простоя.
Следующая синхронизация	Отображает следующие запланированные полные и инкрементные синхронизации. Если график не задан, отображается параметр Не запланирован.
Последняя синхронизация	Отображает состояние двух последних выполненных синхронизаций.
Текущее состояние синхронизации	Отображает общее состояние синхронизации.
Соединители	Отображает текущие локальные соединители, доступные в облаке.
Облачная статистика	Отображает общее состояние синхронизации.
График синхронизации	Отображает график синхронизации для инкрементной и полной синхронизации.
Сводная информация о конфигурации	Список настроек, измененных в конфигурации. Например, сводная информация может включать следующее: Все объекты будут синхронизированы Все пользователи будут синхронизированы Пороговое значение, которое удалено, отключено.

Таблица 2. Панель инструментов действий
Действие	Описание
Начать инкрементную синхронизацию	Начать инкрементную синхронизацию вручную Это действие будет отключено при приостановке или отключении синхронизации, если полная синхронизация не была завершена или выполняется.
Пробный запуск синхронизации	Выполните синхронизацию пробного запуска.
Запустить средство просмотра event-совещаний	Запустите средство просмотра event-совещаний Microsoft.
Обновить	Обновить инструментальную панель соединителя каталогов Cisco

Таблица 3. Меню действий
Действие	Описание
Синхронизировать сейчас	Мгновенно начните полную синхронизацию.
Режим синхронизации	Выберите режим добавочной синхронизации или режим полной синхронизации.
Сбросить секретный код соединителя	Создайте разговор между соединителем каталогов Cisco и службой соединителя. При выборе этого действия секретный код в облаке будет сброшен, а затем сохранен локально.
Пробный запуск	Выполните тест процесса синхронизации. Перед полной синхронизацией необходимо выполнить пробный запуск.
Устранение неполадок	Включение и выключение функции устранения неполадок.
Обновить	Обновите главный экран соединителя каталогов Cisco.
Выход	Закройте соединитель каталогов Cisco.

Таблица 4. Сочетания клавиш
Комбинация клавиш	Действие
Alt +A	Показать меню Действия
`Alt +A + S`	Синхронизировать сейчас
`Alt +A + R`	Сбросить секретный код соединителя
`Alt +A + D`	Пробный запуск
`Alt +A + S + I`	Инкрементная синхронизация
`Alt +A + S + F`	Полная синхронизация
`Alt + H`	Показать меню Справка
`Alt + H + H`	Справка
`Alt + H + A`	О программе
`Alt + H + F`	вопросы и ответы

Настройка автоматической модернизации

1	В соединителе каталогов перейдите к меню Конфигурация > Общие и установите флажок Автоматическая модернизация до новой версии соединителя каталогов Cisco.
2	Чтобы сохранить изменения, щелкните Применить.

Новые версии соединителя устанавливаются автоматически, когда они становятся доступными.

Выберите объекты Active Directory для синхронизации

Группы для автоматического назначения лицензий

(&(cn=Пример)(objectclass=Group))*

Экран выбора объекта в соединителе каталогов

Группы для развертываний безопасности данных гибридного типа

Перед началом работы

1	В соединителе каталогов перейдите к меню Конфигурация и щелкните Выбор объекта.
2	В разделе Тип объекта установите флажок Пользователи и рассмотрите возможность ограничения количества контейнеров, доступных для поиска для пользователей. Например, чтобы синхронизировать только пользователей в определенной группе, необходимо ввести фильтр LDAP в поле фильтров LDAP Пользователи. Чтобы синхронизировать пользователей из группы Example-manager, используйте фильтр, подобный этому: `(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))`
3	Установите флажок Идентифицировать комнату, чтобы отделить данные комнаты от данных пользователей. Щелкните Настройка, чтобы настроить дополнительные атрибуты для идентификации данных пользователей в качестве данных комнаты. Используйте эту настройку, чтобы синхронизировать информацию о локальной комнате из Active Directory с облаком Webex. После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным SIP-адресом отображаются в качестве записей на зарегистрированных в облаке устройствах комнаты. Дополнительную информацию см. в статье Синхронизация информации о локальной комнате с облаком Webex.
4	Установите флажок Группы, если необходимо синхронизировать группы пользователей Active Directory с облаком. Не добавляйте фильтр синхронизации пользователей LDAP в поле «Группы». Для синхронизации данных групп с облаком следует использовать только поле «Группы». По умолчанию группы не синхронизируются для новых клиентов. Необходимо включить синхронизацию группы. Также необходимо синхронизировать группы безопасности.
5	Чтобы синхронизировать контактную информацию пользователей с облаком, установите флажок Контакты. Соединитель каталогов управляет только контактами, синхронизированными с помощью соединителя. Если в Control Hub уже есть контакты, эти контакты не будут удалены. Если контакты удалены из области синхронизации, контактная информация пользователей также будет удалена в Control Hub.
6	Настройте фильтры LDAP. Можно добавить расширенные фильтры, предоставив действительный фильтр LDAP. Дополнительную информацию о настройке фильтров LDAP см. в этой статье.
7	Укажите локальные базовые абонентские номера для синхронизации, щелкнув Выбрать, чтобы просмотреть структуру дерева Active Directory. Здесь можно выбрать или отменить выбор контейнеров для поиска.
8	Убедитесь, что объекты, которые необходимо добавить для этой конфигурации, и щелкните Выбрать. Можно выбрать отдельные или родительские контейнеры для синхронизации. Выберите родительский контейнер, чтобы включить все дочерние контейнеры. Если выбран дочерний контейнер, в родительском контейнере отображается серая галочка, указывающая на то, что дочерний элемент установлен. Затем можно щелкнуть Выбрать, чтобы принять выбранные контейнеры Active Directory. Если в вашей организации все пользователи и группы будут помещены в контейнер "Пользователи", вам не придется искать другие контейнеры. Если ваша организация разделена на единицы организации, выберите OU.
9	Щелкните Применить. Выберите параметр. Применить изменения конфигурации Пробный запуск Отмена Информацию о пробных запусках см. в статье Синхронизация пробного запуска для пользователей Active Directory. Для синхронизации групп необходимо выполнить полную синхронизацию. Полная синхронизация пользователей Active Directory в облако.

Сопоставить атрибуты пользователя

Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid, уникальный идентификатор каждой учетной записи пользователя в облачной службе удостоверений.

1	В соединителе каталогов щелкните Конфигурация и выберите Сопоставление атрибутов пользователя. На этой странице показаны имена атрибутов для Active Directory (слева) и облака Webex (справа). Все обязательные атрибуты отмечены красной звездочкой.
2	Прокрутите вниз до конца поля Имена атрибутов Active Directory и выберите один из этих атрибутов Active Directory для сопоставления с атрибутом облака UID: mail (Почта). Используется в большинстве развертываний для формата электронной почты. userPrincipalName — альтернативный вариант, если атрибут почты используется в других целях в Active Directory. Этот атрибут должен быть в формате электронной почты. Вы можете сопоставить любые другие атрибуты Active Directory с UID, однако рекомендуется использовать mail или userPrincipalName, как описано в руководстве выше. В некоторых случаях для входа используется параметр userPrincipalName, но адрес электронной почты пользователя используется для управления его календарем. Необходимо убедиться, что адрес электронной почты для управления календарем сопоставлен с полем основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. Чтобы узнать, какие атрибуты в Active Directory соответствуют в облаке, см. статью Сопоставление атрибутов Active Directory в соединителе каталогов. Чтобы синхронизация работала, необходимо убедиться, что выбранный атрибут Active Directory указан в формате электронной почты. Если один из рекомендованных атрибутов не выбран, соединитель каталогов отобразит всплывающее окно с напоминанием.
3	Если предопределенные атрибуты Active Directory не работают в вашем развертывании, щелкните раскрывающийся список атрибутов, прокрутите страницу вниз и выберите Настроить атрибут, чтобы открыть окно, с помощью которого можно определить выражение атрибута. Для получения дополнительной информации об выражениях и просмотра примеров их работы щелкните Справка. Дополнительную информацию также см. в разделе Выражения для настраиваемых атрибутов. В этом примере давайте составим атрибуты Active Directory `givenName` и `Sn` с атрибутом облака `displayName`: Определите выражение атрибута как givenName + "" + Sn (кавычки являются дополнительным пространством), а затем укажите адрес электронной почты существующего пользователя для проверки. Щелкните Проверить и проверьте, соответствует ли результат ожидаемым. Успешный результат выглядит следующим образом: Если результаты совпадают с ожидаемыми, щелкните ОК, чтобы сохранить новый настраиваемый атрибут. Позже при необходимости изменить displayName можно ввести новое выражение атрибута Соединитель каталогов проверяет значение атрибута UID в службе удостоверений и получает 3 доступных пользователя в соответствии с текущими параметрами фильтра пользователя. Если все эти 3 пользователя имеют действительный формат электронной почты, в соединителе каталогов Cisco отображается следующее сообщение: Если атрибут не удается проверить, будет отображено следующее предупреждение. Для проверки и исправления данных пользователя можно будет вернуться в Active Directory.
4	(Необязательно) Выберите сопоставления для мобильного и telephoneNumber, если необходимо, чтобы номера мобильных и рабочих телефонов отображались, например, в карточке контакта пользователя в приложении Webex. Данные номера телефона отображаются в приложении Webex при наведении указателя мыши на изображение профиля другого пользователя. Дополнительную информацию о вызовах с помощью карточки контакта пользователя см. в руководстве по развертыванию вызовов в Webex (Unified CM) (администраторы).
5	Выберите дополнительные сопоставления, чтобы дополнительные данные отображались в карточке контакта. `номер отдела` `отображаемое имя` `менеджер` `заголовок` После сопоставления атрибутов информация отображается при наведении указателя мыши на изображение профиля другого пользователя. Дополнительную информацию о карточке контакта см. в статье Проверка пользователя, с которым вы связываетесь. После синхронизации этих атрибутов с каждой учетной записью пользователя можно также включить People Insights в Control Hub. Эта функция позволяет пользователям приложения Webex предоставлять совместный доступ к дополнительной информации в профилях и узнать больше друг о друге. Дополнительную информацию о функции и способах ее включения см. в статье Профессиональные профили для Webex, Jabber, Webex Meetings и Webex Events (новая версия) в Control Hub
6	После выбора щелкните Применить.

Атрибуты Active Directory и облака

В этой таблице сравнивается сопоставление имен атрибутов Active Directory и имен атрибутов облака Cisco. Эти значения и сопоставления являются настройками по умолчанию в соединителе каталогов. В раскрывающемся списке Active Directory можно выбрать различные атрибуты и определить, какой локальный атрибут будет синхронизирован с каким облачным атрибутом.

Имена атрибутов Active Directory	Имена атрибутов облака Webex	Примечания
—	зданиеName	—
с	с	Этот атрибут определяет сокращенную страну пользователя.
номер отдела	номер отдела	Этот атрибут используется для номера отдела пользователя, который отображается в карточке контакта и профессиональных профилях.
отображаемое имя	отображаемое имя	Этот атрибут используется для отображаемого имени учетной записи пользователя, которое отображается в Control Hub, карточке контакта и профессиональных профилях.
Управление учетной записью пользователя	ds-pwp-account-disabled	Этот атрибут используется для синхронизации пользователей. Убедитесь, что атрибут userAccountControl сопоставлен с ds-pwp-account-disabled или синхронизация пользователей не будет выполнена надлежащим образом.
Номер сотрудника	Номер сотрудника	—
факсимильный номер телефона	факсимильный номер телефона	—
—	идентификатор jabberID	Этот облачный атрибут относится к адресам обмена мгновенными сообщениями (тип XMPP), которые используются в Jabber. Это значение не совпадает с sipAddresses.
л	л	Этот атрибут определяет город пользователя.
—	региональные параметры	—
менеджер	менеджер	Этот атрибут используется для имени менеджера пользователя, которое отображается в карточке контакта и профессиональных профилях.
мобильный	мобильный	Этот атрибут используется в качестве номера мобильного телефона, который отображается для вызова пользователя из карточки контакта.
о	о	Этот атрибут указывает название компании или организации и отображается в карточке контакта.
или	или	Этот атрибут указывает имя организационного модуля.
physicalDeliveryOfficeName	physicalDeliveryOfficeName	Этот атрибут определяет местоположение офиса пользователя.
почтовый индекс	почтовый индекс	Этот атрибут определяет почтовый индекс или почтовый индекс пользователя для физической доставки почты.
предпочтительный язык	предпочтительный язык	Этот атрибут задает предпочтительный язык пользователя и поддерживаются следующие форматы. xx_YY или xx-YY. Вот несколько примеров. en_US, en_GB, fr-CA. При использовании неподдерживаемого языка или недопустимого формата предпочтительный язык пользователей будет изменен на язык, установленный для организации.
MSRTCSIP-PrimaryUserAddress ipPhone	SipAddresses;type=предприятие	Этот атрибут используется для синхронизации информации о локальной комнате из Active Directory с облаком Cisco Webex.
sn	sn	Этот атрибут используется для фамилии учетной записи пользователя, которая отображается в Control Hub, карточке контакта и профессиональных профилях.
ул	ул	Этот атрибут указывает штат или область пользователя.
streetAddress	улица	Этот атрибут указывает почтовый адрес пользователя для доставки физической почты.
номер телефона	номер телефона	Этот атрибут определяет основной (рабочий) номер телефона пользователя, который используется для вызова пользователя из карточки контакта.
—	часовой пояс	Этот облачный атрибут определяет часовой пояс пользователя.
заголовок	заголовок	Этот атрибут определяет должность пользователя, которая отображается в карточке контакта и профессиональных профилях.
тип	предприятие	—
почта userPrincipalName	идентификатор	Обязательное сопоставление атрибутов. Для каждой учетной записи пользователя значение Active Directory сопоставляется с уникальным UID в облаке. В некоторых случаях для входа используется параметр userPrincipalName, но адрес электронной почты пользователя используется для управления его календарем. Необходимо убедиться, что адрес электронной почты для управления календарем сопоставлен с полем основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. После этого пользователь сможет войти в систему с помощью любого из этих адресов электронной почты, если установлено правильное сопоставление атрибутов SAML. Информацию о том, как можно сопоставить альтернативный адрес электронной почты, см. в разделе Пример сопоставления атрибутов ниже.
userPrincipalName почта <custom attribute>	электронные сообщения; рабочий тип	Это сопоставление необязательно. Используйте его, если необходимо использовать альтернативные адреса электронной почты. Это адрес электронной почты, который используется для аутентификации; он не используется для управления вашим календарем. Адрес электронной почты, который вы сопоставляете из AD, должен быть из подтвержденного домена в вашей организации. Он должен быть уникальным и не назначен другому пользователю.
<Новый атрибут для объекта пользователя Azure>	внешний идентификатор	Создайте новый атрибут Active Directory для удержания идентификатора объекта пользователя Azure, чтобы он не сталкивался с существующим атрибутом. Затем этот атрибут сопоставляется с атрибутом externalId. Благодаря этому при создании групп в Microsoft 365 пользователи Webex автоматически создают команды в Webex.

Сопоставление альтернативных адресов электронной почты

Выражения для настраиваемых атрибутов

Таблица 5. Выражения для настраиваемых атрибутов
Оператор	Описание и пример
%	Удаляет все символы от начала строки до позиции символа или аргумента строки, если они совпадают. Пример выражения `"abc@example.com" % "@"` Результат `пример.com`
-	Отрезок задней строки ввода от конца указанной строки. Пример выражения `"abc@example.com" – "@"` Результат `абс`
+	Объединяет строки ввода или выражения. Пример выражения `"abc" + "" + "def"` Результат `деф ABC`
\|	Вычисляет разделенные выражения по пустой строке и выбирает первый непустой результат. Пример выражения `"" \| "abc"` Результат `абс`

Синхронизация аватаров каталогов из атрибута Active Directory с облаком

1	В соединителе каталогов перейдите к меню Конфигурация, щелкните Аватар и установите флажок Включить.
2	Для параметра Получить аватар из выберите Атрибут AD, а затем Атрибут аватара, содержащий необработанные данные аватара, которые необходимо синхронизировать с облаком.
3	Чтобы проверить правильность доступа к аватару, введите адрес электронной почты пользователя и щелкните Получить аватар пользователя. Аватар отображается справа.
4	Чтобы сохранить изменения, после проверки правильности отображения аватара щелкните Применить.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей в приложении Webex. После включения этой функции в соединителе каталогов пользователям не разрешается настраивать собственный аватар.
Аватары пользователя синхронизируются с приложением Webex и всеми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Синхронизация аватаров каталогов с сервера ресурсов с облаком

Можно синхронизировать аватары каталога пользователей с облаком, чтобы каждый аватар отображался при входе в приложение Webex. Используйте эту процедуру для синхронизации аватаров с сервера ресурсов.

Перед началом работы

В этой процедуре приведены примеры шаблона URI и значения переменной. Необходимо использовать фактические URL-адреса, по которым расположены аватары каталога.
Шаблон URI аватара и сервер, на котором находятся аватары, должны быть доступны из приложения соединителя каталогов. Соединителю необходим доступ по HTTP или HTTPS к изображениям, однако изображения не должны быть общедоступными в Интернете.
Синхронизация данных аватара отделена от профилей пользователей Active Directory. При запуске прокси необходимо обеспечить доступ к данным аватара с помощью аутентификации NTLM или базовой аутентификации.

1	В соединителе каталогов перейдите к меню Конфигурация, щелкните Аватар и установите флажок Включить.
2	Для параметра Получить аватар от выберите Сервер ресурсов и введите шаблон URI аватара. Например, *`http://www.example.com/dir/photo/zoom/{mail: jpg.?(?=@.)}.`* Давайте рассмотрим каждую часть шаблона URI аватара и что они означают: http://www.example.com/dir/photo/zoom/ – путь к местоположению всех фотографий, которые будут синхронизированы. Это должен быть URL-адрес, к которому должна быть доступна служба соединителя каталогов на вашем сервере. mail: указывает соединителю каталогов на получение значения атрибута mail из Active Directory. .?(?=@.). Синтаксис regex, который выполняет следующие функции: *`.: любой символ, повторяющий ноль или более раз.` `? Сообщает, что предыдущая переменная соответствует как можно большему количеству символов.` `(?= ... ): сопоставление группы после основного выражения без включения ее в результат. Соединитель каталогов выполняет поиск соответствия и не включает его в выходные данные.` `@.: символ at, за которым следует любой символ, повторяющийся ноль или более раз.`* `.jpg: расширение файла для аватаров пользователей. Ознакомьтесь с поддерживаемыми типами файлов в этом документе и измените расширение соответствующим образом.`
3	(Необязательно) Если на сервере ресурсов требуются учетные данные, установите флажок Задать учетные данные пользователя для аватара, затем выберите Использовать текущего пользователя для входа в службу или Использовать этого пользователя и введите пароль.
4	Введите значение переменной. Например: `abcd@example.com`.
5	Щелкните Тест, чтобы убедиться в правильности работы шаблона URI аватара. В этом примере, если значение почты для одной записи AD — `abcd@example.com`, а изображения JPG синхронизированы, URI последнего аватара — `http://www.example.com/dir/photo/zoom/abcd.jpg`
6	После того как информация URI будет подтверждена и будет отображена верно, щелкните Применить. Подробную информацию об использовании регулярных выражений см. в статье Краткая справка по языку регулярных выражений Microsoft.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей в приложении Webex. После включения этой функции в соединителе каталогов пользователям не разрешается настраивать собственный аватар.
Аватары пользователя синхронизируются с приложением Webex и всеми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Синхронизация информации о локальной комнате с облаком Webex

1	В соединителе каталогов перейдите к меню Синхронизация, щелкните рядом с синхронизированным доменом, щелкните Конфигурация и выберите Выбор объекта.
2	Установите флажок параметра Синхронизировать информацию о комнате с облаком, чтобы отделить данные комнаты от данных пользователя во время синхронизации. Если эта настройка отключена, данные комнаты обрабатываются так же, как синхронизированные данные пользователей.
3	Перейдите к меню Сопоставление атрибутов и измените сопоставление атрибутов для облачного атрибута sipAddresses;type=enterprise. Для использования проверки значения значение SIP-адреса должно быть Pattern.compile("^([^@])(.)@(.)$") Выберите MSRTCSIP-PrimaryUserAddress, если он доступен. Если указанный выше атрибут отсутствует в схеме Active Directory, используйте другое поле, например ipPhone.
4	Создайте почтовый ящик ресурса комнаты в Exchange. Будет добавлен атрибут msExchResourceMetaData;ResourceType:Room, который затем используется соединителем для идентификации комнат.
5	В разделе "Пользователи и компьютеры Active Directory" перейдите к свойствам комнаты и измените их. Добавьте полностью квалифицированный URI SIP с префиксом sip:
6	Выполните пробную синхронизацию, а затем полную синхронизацию на соединителе. Новые объекты комнаты перечислены в списке Добавленные объекты, а совпадающие объекты комнаты отображаются в разделе Совпадающие объекты в отчете пробного запуска. Все объекты комнат, отмеченные для удаления, находятся в разделе Удаленные комнаты. В результатах пробного запуска отображаются все совпадающие ресурсы комнаты. Эта настройка отделяет данные комнаты Active Directory (включая атрибут комнаты) от данных пользователя. По завершении синхронизации в облачной статистике на инструментальной панели соединителя отображаются данные комнаты, синхронизированные с облаком.

Дальнейшие действия

В Control Hub можно автоматически импортировать комнаты из каталога и создавать рабочие пространства.

Отправка отчетов по электронной почте о результатах синхронизации каталога

1	В соединителе каталогов щелкните Конфигурация и выберите Уведомление.
2	В соединителе каталогов щелкните Настройки и рядом с параметром Получатель электронной почты включите параметр Включить синхронизацию отчета.
3	Чтобы переопределить поведение при уведомлении по умолчанию и добавить одного или нескольких получателей электронных сообщений, установите флажок Включить уведомление.
4	Щелкните Добавить и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом будет отображено сообщение с предложением исправить ошибку, прежде чем вы сможете сохранить и применить изменения.
5	Щелкните Добавить адрес электронной почты и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом будет отображено сообщение с предложением исправить ошибку, прежде чем вы сможете сохранить и применить изменения.
6	Если необходимо изменить введенные адреса электронной почты, дважды щелкните запись электронной почты в левом столбце и внесите необходимые изменения.
7	После добавления всех действительных адресов электронной почты щелкните Применить.
8	После добавления всех действительных адресов электронной почты щелкните Сохранить.

Дальнейшие действия

Подготовка пользователей из Active Directory в Control Hub

1	Выполнение пробной синхронизации пользователей Active Directory Выполните пробный запуск для сравнения объектов в локальном каталоге Active Directory и объектов в облаке Webex. Пробный запуск позволяет просмотреть, какие объекты будут добавлены, изменены или удалены, прежде чем будет запущена полная или инкрементная синхронизация и произведены изменения в облаке.
2	Выполнение полной синхронизации пользователей Active Directory в облако При выполнении полной синхронизации служба соединителя отправляет все отфильтрованные объекты из вашего Active Directory (AD) в облако. Затем служба соединителя обновит хранилище удостоверений с учетом ваших записей AD. Если создан шаблон автоматического назначения лицензий, его можно назначить только синхронизированным пользователям.
3	Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub После завершения полной синхронизации пользователей с помощью соединителя каталогов в Control Hub можно назначить лицензии службы Webex различными способами. Рекомендуется настроить шаблон автоматического назначения лицензий перед его использованием для новых пользователей приложения Webex, синхронизированных из Active Directory. Отдельные изменения также можно внести после этого начального этапа.

Выполнение пробной синхронизации пользователей Active Directory

Перед началом работы

1	Выберите один из вариантов. После первого входа в систему щелкните Да в окне подсказки, чтобы выполнить пробный запуск. Если вы пропустите напоминание о пробном запуске, в любой момент в соединителе каталогов щелкните Инструментальная панель, выберите Пробный запуск синхронизации, а затем щелкните ОК, чтобы начать синхронизацию пробного запуска. По завершении пробного запуска будет отображен один из приведенных ниже результатов. *Обнаружены несовпадающие объекты в соединителе каталогов* Сводная информация о результатах пробного запуска отчетов и несовпадающих объектах в соединителе каталогов Сводная информация содержит информацию о сопоставлении объектов: Сопоставленные объекты. Пользователь, который находится в общих параметрах идентификации Webex и существует в домене Active Directory, например, если пользователь @cisco.com был синхронизирован с Webex и отображен в Control Hub, а такой же пользователь (someuser@cisco.com) существует в Active Directory. Это означает, что пользователь сопоставляется. Несовпадающие объекты. Пользователь, работающий в Webex, независимо от того, как он был добавлен в Common Identity, но он не существует в Active Directory. Он называется несовпадающим объектом. Например, если адрес someuser@cisco.com был синхронизирован с Webex и отображен в Control Hub, но тот же пользователь (someuser@cisco.com) не управляется Active Directory, в отчете отображается несоответствие пользователя. Пробный запуск идентифицирует пользователей по сравнению с пользователями домена. Приложение может идентифицировать пользователей, принадлежащих к текущему домену. На следующем шаге необходимо решить, следует ли удалить объекты или сохранить их. Несоответствующие объекты идентифицируются как уже существующие в облаке Webex, но не существующие в локальном каталоге Active Directory.
2	Просмотрите результаты пробного запуска и выберите параметр в зависимости от того, используете ли вы один или несколько доменов. Единый домен. Определите, следует ли сохранить несопоставленных пользователей. Если необходимо сохранить их, выберите Нет, сохранить объекты. Если нет, выберите Да, удалить объекты. После выполнения этих действий и запуска вручную полной синхронизации для обеспечения точного соответствия локального местоположения и облака соединитель каталогов автоматически включит запланированные задачи автоматической синхронизации. Несколько доменов. Для организации с доменами A и B сначала выполните пробный запуск домена A. Если необходимо сохранить несовпадающих пользователей, выберите Нет, сохранить объекты. (Эти несовпадающие пользователи могут быть участниками домена B.) Если необходимо удалить, выберите Да, удалить объекты. Если пользователи не будут отображены, сначала запустите полную синхронизацию для домена A, а затем выполните пробный запуск для домена B. Если пользователи не совпадают, добавьте этих пользователей в Active Directory, а затем выполните полную синхронизацию для домена B. При точном совпадении локального местоположения и облака соединитель каталогов автоматически включает запланированные задачи автоматической синхронизации.
3	В запросе Подтвердить пробный запуск щелкните Да, чтобы повторить синхронизацию пробного запуска, а затем просмотреть инструментальную панель и просмотреть результаты. Все учетные записи, которые были успешно синхронизированы в пробном запуске, отображаются в разделе Сопоставленные объекты. Если у пользователя в облаке нет соответствующего пользователя с тем же адресом электронной почты в Active Directory, запись будет отображена в разделе Удаленные пользователи. Чтобы избежать этого флажка удаления, можно добавить пользователя в Active Directory с тем же адресом электронной почты. Чтобы просмотреть сведения о синхронизированных элементах, щелкните соответствующую вкладку для определенных элементов или Сопоставленные объекты. Чтобы сохранить сводную информацию, щелкните Сохранить результаты в файл.
4	Если ожидаются результаты, перейдите к меню Действия > Режим синхронизации > Включить синхронизацию, а затем щелкните Включить сейчас, чтобы выполнить синхронизацию вручную и перевести в ручной режим на данный момент. После синхронизации последнего домена Active Directory в развертывании с несколькими доменами необходимо включить автоматический режим для соединителя каталогов. Автоматический режим можно включить, только когда объекты полностью сопоставляются между облаком Webex и всеми локальными Active Directory.

Дальнейшие действия

Для сохранения любых несовпадающих объектов пользователей необходимо добавить их в Active Directory, чтобы обеспечить точное соответствие между локальной системой и облаком.
Выберите тип синхронизации:
- Выполните полную синхронизацию пользователей Active Directory в облако при первой синхронизации новых пользователей с облаком. Это можно сделать в меню Действия > Синхронизировать сейчас > Полный, после чего будут синхронизированы пользователи из текущего домена.
- Настройте расписание соединителя и Запустить инкрементную синхронизацию после запуска полной синхронизации и при необходимости применить изменения после начальной синхронизации. Этот тип синхронизации рекомендуется учитывать небольшие изменения, внесенные в источник пользователя Active Directory.
  
  По умолчанию инкрементная синхронизация выполняется каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация.
Если у вас несколько доменов, повторите эти действия в любом другом установленном соединителе каталогов.

Что следует учитывать

Если соответствующие пользователи помечены как удаленные и вы не уверены, как продолжить, см. информацию об устранении неполадок и обращение в службу поддержки в статье Устранение неполадок и исправления соединителя каталогов.

Удаленные пользователи хранятся в облачной службе удостоверений в течение 7 дней до окончательного удаления.

Выполнение полной синхронизации пользователей Active Directory в облако

Перед началом работы

Чтобы учетные записи пользователей приложения Webex оставались в активном состоянии после полной синхронизации и перед первым входом пользователей в систему, необходимо выполнить следующие действия для обхода проверки адреса электронной почты.
- Интегрируйте систему единого входа в свою организацию Webex. См. Единый вход со службами Cisco Webex и поставщиком удостоверений вашей организации для получения дополнительной информации.
- Используйте Control Hub для проверки и при необходимости заявления доменов, содержащихся в адресах электронной почты. См. Добавление, проверка и заявление доменов.
- Блокировать автоматические электронные приглашения, чтобы новые пользователи не получали автоматические электронные приглашения в приложение Webex. (Можно выполнить собственную рассылку по электронной почте.)
  
  Состояние активированных пользователей, которые не вошли в систему, отображается в Control Hub с состоянием Проверено. После входа в систему они отображаются как Активные. Дополнительную информацию о состояниях пользователей см. в статье Действия и состояния пользователей в Cisco Webex Control Hub.
После включения синхронизации соединитель каталогов сначала попросит выполнить пробный запуск. Для выявления возможных ошибок рекомендуется выполнить пробный запуск до полной синхронизации.
Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.

Если шаблоны автоматического назначения лицензий не используются, новые синхронизированные пользователи автоматически получат бесплатные лицензии. Они смогут использовать те же бесплатные функции, что и у бесплатных учетных записей.

1	Выберите один из вариантов. Если после первого входа пробный запуск завершен и он выглядит правильным для всех доменов, щелкните Включить сейчас, чтобы разрешить автоматическую синхронизацию. В соединителе каталогов перейдите к инструментальной панели, щелкните Действия, выберите Режим синхронизации > Включить синхронизацию, а затем щелкните Синхронизировать сейчас > Полный, чтобы начать синхронизацию.
2	В соединителе каталогов перейдите к меню Синхронизация, щелкните рядом с синхронизированным доменом, щелкните Конфигурация и выберите Полная синхронизация.
3	Подтвердите начало синхронизации. Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов после выполнения синхронизации. Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac. Во время синхронизации на инструментальной панели отображается ход выполнения синхронизации. Это может включать тип синхронизации, время ее начала и этап, на котором выполняется синхронизация. После синхронизации разделы Последняя синхронизация и Статистика облака будут обновлены с учетом новой информации. Данные пользователя синхронизированы с облаком. Если во время синхронизации возникают ошибки, индикатор состояния становится красным.
4	Чтобы обновить состояние синхронизации, щелкните Обновить. (Синхронизированные элементы отображаются в разделе Облачная статистика.)
5	Чтобы просмотреть журналы ошибок, выберите Запустить средство просмотра event-совещаний на панели инструментов Действия.
6	Чтобы настроить график синхронизации для текущей инкрементной синхронизации с облаком, см. статьи Установка графика соединителя и Запуск инкрементной синхронизации.

После завершения полной синхронизации состояние синхронизации каталога обновляется из Отключенов В рабочем состояниина странице Настройкив Control Hub.
При сопоставлении всех данных между локальной системой и облаком соединитель каталогов переключается с ручного режима на режим автоматической синхронизации.
Если вы не интегрируете систему единого входа, подтвердите домены и при необходимости заявите домены для синхронизированных учетных записей электронной почты и не заблокируете автоматическую рассылку по электронной почте, учетные записи пользователей приложения Webex будут оставаться в состоянии "Не проверен" до тех пор, пока пользователи не войдут в приложение Webex впервые для подтверждения своих учетных записей. Инструкции по синхронизации учетных записей в качестве Активных пользователей см. в разделе "Перед началом работы".
Если у вас несколько доменов, выполните это действие в любом другом установленном соединителе каталогов. После синхронизации пользователи всех добавленных доменов будут отображены в Control Hub.
Если система единого входа интегрирована с Webex и заблокированными электронными уведомлениями, электронные приглашения не будут отправляться только синхронизированным пользователям.
После включения соединителя каталогов вручную добавить пользователей в Control Hub невозможно. После включения управление пользователями осуществляется с помощью соединителя каталогов Cisco, а Active Directory является единственным источником достоверных данных.
Все синхронизированные группы отображаются в Control Hub. Можно назначить шаблон лицензии, чтобы пользователям в этой группе назначались лицензии.

Дальнейшие действия

При удалении пользователя из Active Directory он будет программно удален после следующей синхронизации. Пользователь становится неактивным, однако профиль удостоверения в облаке сохраняется в течение семи дней (для восстановления после случайного удаления).

Если в Active Directory установлен флажок Учетная запись отключена, пользователь становится неактивным после следующей синхронизации. Профиль удостоверения облака не будет удален по истечении семи дней, если вы хотите снова включить пользователя.
Обратите внимание на эти исключения на инкрементную синхронизацию (вместо этого выполните все действия по синхронизации выше).
- В случае обновления аватара, но другие атрибуты не будут изменены, при инкрементной синхронизации аватар пользователя не будет обновлен в облаке.
- Изменения конфигурации сопоставления атрибутов, базового абонентского номера, фильтра и аватара требуют полной синхронизации.

Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.
Выполните пробную синхронизацию пользователей Active Directory.
После подтверждения результатов пробного запуска выполните полную синхронизацию пользователей Active Directory.

Выберите параметр.

Дальнейшие действия

Если электронные сообщения не блокируются, каждому пользователю будет отправлено электронное сообщение с приглашением присоединиться и скачать Webex.
Если вы выбрали одни и те же службы Webex для всех пользователей, после этого можно изменить назначенную лицензию индивидуально или массово.

Связанная информация

Известные проблемы с соединителем каталогов

В версиях Windows Server, предшествующих 2012 R2, возникает проблема с файлами cookie, которая влияет на соединитель каталогов. Эта проблема исправлена в версиях 2012 R2 и 2016.
Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов с момента выполнения синхронизации.

Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac.
Если пользователь использует приложение Webex на настольном или мобильном устройстве для поиска и вызова комнаты, в которой есть только синхронизированный URI SIP, вызов поступает в данный момент бессрочно.

Управление пользователями приложения Webex

Запустить инкрементную синхронизацию

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.
Обратите внимание на следующие исключения, которые не поддерживают инкрементную синхронизацию (вместо этого выполните полную синхронизацию пользователей Active Directory в облако ).
- В случае обновления аватара, но другие атрибуты не будут изменены, при инкрементной синхронизации аватар пользователя не будет обновлен в облаке.
- Для новых изменений конфигурации сопоставления атрибутов, базового абонентского номера, фильтра и настройки аватара инкрементная синхронизация не будет работать, и для них требуется полная синхронизация.

1	В соединителе каталогов щелкните Инструментальная панель. После включения синхронизации соединитель каталогов сначала попросит выполнить пробный запуск.
2	В меню Действия щелкните Режим синхронизации > Включить синхронизацию , если эта функция еще не включена. По умолчанию инкрементная синхронизация выполняется каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация. Когда установлен новый добавочный интервал времени, программа проверяет изменения на основе последней метки времени.
3	В меню Действия щелкните Синхронизировать сейчас > Инкрементный. Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов с момента выполнения синхронизации. Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac. Во время синхронизации на инструментальной панели отображается ход выполнения синхронизации. Это может включать тип синхронизации, время ее начала и этап, на котором выполняется синхронизация. После синхронизации разделы Последняя синхронизация и Статистика облака будут обновлены с учетом новой информации. Если во время синхронизации возникают ошибки, индикатор состояния становится красным.
4	Чтобы просмотреть журналы ошибок, щелкните Запустить средство просмотра event-совещаний на панели инструментов Действия .

Дальнейшие действия

Восстановление случайно удаленных пользователей

1	Войдите в Control Hub.
2	Перейдите в раздел Пользователи и убедитесь, что конкретная учетная запись пользователя находится в неактивном состоянии или скрыта. Дополнительную информацию см. в статье Действия и состояния пользователей в Control Hub.
3	Если пользователи были удалены в Control Hub или вы заметили, что пользователи находятся в неактивном состоянии, перейдите в Active Directory, добавьте отсутствующие учетные записи пользователей и выполните пробную синхронизацию в соединителе каталогов. Цель соединителя каталогов заключается в том, чтобы обеспечить точное соответствие информации о пользователях в Active Directory и в облаке.
4	Выполните полную синхронизацию, чтобы повторно синхронизировать временно удаленные учетные записи пользователей с Control Hub. Пользователи восстановлены и перейдут к исходному состоянию, включая состояние их учетной записи и назначения служб.

Дальнейшие действия

Удаление пользователей без возможности восстановления после мягкого удаления

1	По завершении пробного запуска выберите Мягко удаленные объекты.
2	Установите флажок рядом с пользователями, которых необходимо удалить.
3	Нажмите Готово.

Дальнейшие действия

При следующей синхронизации выбранные пользователи будут удалены без возможности восстановления.

Изменение адреса электронной почты приложения Webex

Чтобы изменить адреса электронной почты пользователей без изменения домена, выполните приведенные ниже действия.
1. Откройте учетную запись пользователя (например, user1@example.com) в Active Directory и измените адрес электронной почты (например, user2@example.com).
2. Возобновить синхронизацию в соединителе каталогов.
  
  После следующей синхронизации изменения отобразятся в списке пользователей в Control Hub, а для пользователей в приложении Webex после обновления кэша.
  
  При использовании этого метода потери данных или пространств не происходит. Уникальный идентификатор пользователя устанавливается в облаке после первой синхронизации. Все последующие синхронизации основаны на этом идентификаторе.
В развертывании с несколькими доменами с соединителем каталогов для изменения адресов электронной почты пользователей при изменении домена (рассмотрите example1.com старый домен и example2.com новый домен):
1. Для старой учетной записи пользователя (user1@example1.com) обратите внимание на атрибут Active Directory, который сопоставляется с атрибутом облака UID . Для новой учетной записи необходимо использовать то же значение Active Directory. В этом примере в качестве локального атрибута будет использоваться user1@example1.com для сопоставления с uid в облаке.
2. Приостановите синхронизацию в соединителе каталогов, например1.com и example2.com.
3. Создайте новую учетную запись пользователя на веб-сайте example2.com и используйте тот же атрибут, указанный выше. (Например, user1@example1.com).
4. В соединителе каталогов возобновите синхронизацию, например2.com
  
  Прежде чем продолжить, проверьте, синхронизируется ли учетная запись пользователя1@example2.com с Control Hub. Рекомендуется порекомендовать пользователю проверить изменение адреса электронной почты в приложении Webex и сохранить все данные (пространства, сообщения, совещания, файлы и т. д.).
  
  Этот метод не приводит к потере данных или пространств, однако в новой учетной записи пользователя необходимо убедиться в том, что атрибут Active Directory, который сопоставляется с атрибутом UID облака, сохраняется из старой учетной записи пользователя. При изменении значения Active Directory в новой учетной записи не сохраняются данные старой учетной записи.
5. После подтверждения изменения адреса электронной почты и сохранения данных удалите старую учетную запись пользователя на example1.com, а затем используйте соединитель каталогов для возобновления синхронизации, например1.com.
  
  На этом этапе можно безопасно обновить адрес электронной почты в новом домене Active Directory для пользователя1@example2.com.

Изменение домена Active Directory

1	Настройте новый домен Active Directory (AD).
2	Отключите синхронизацию на всех соединителях.
3	Удалите все соединители.
4	Зарегистрируйте обращение для изменения домена. При отправке запроса на удаление конфигурации домена и всех атрибутов синхронизации в организации обязательно выполните запрос. Прежде чем зарегистрировать обращение для изменения домена, убедитесь, что синхронизация не запущена. Не изменяйте адреса электронной почты пользователей в Active Directory, пока обращение не будет решено.
5	После завершения рассмотрения дела. Установите соединитель каталогов на том же сервере, что и для нового домена Active Directory. Настройте соединитель каталогов так, чтобы он указывал на новый домен Active Directory. Если в Control Hub есть существующие пользователи (https://admin.webex.com), убедитесь, что пользователи с совпадающими адресами электронной почты также присутствуют в Active Directory. Если в вашей организации отключена функция `softDelete` в DirSync, адреса электронной почты пользователей, которые находятся в Control Hub, но не находятся в состоянии удаления Active Directory. Перед фактической синхронизацией выполните тестовый запуск с соединителем каталогов.

Заявление домена

Связанная информация

Преобразование пользователей бесплатного приложения Webex в организацию, синхронизированную с каталогом

Если эти пользователи не будут добавлены, они будут удалены при синхронизации с облаком.

1	Отключите синхронизацию каталога в соединителе каталогов.
2	Выполните процедуру Преобразование нелицензированных пользователей в Control Hub , чтобы преобразовать пользователя из бесплатной клиентской организации в корпоративную. На этом этапе пользователь будет добавлен в вашу организацию, и учетная запись будет отображена в Control Hub. Соединитель каталогов делает Active Directory единственным источником достоверных данных для учетных записей пользователей, и целью является точное соответствие Active Directory и Control Hub. Перед повторной синхронизацией убедитесь, что для всех недавно преобразованных пользователей имеются совпадающие пользователи в Active Directory. Чтобы убедиться, что несовпадающих пользователей не осталось, можно выполнить пробную синхронизацию.
3	Выполните пробную синхронизацию в соединителе каталогов. По завершении пробной синхронизации проверьте вкладку "Добавить объекты". Убедитесь, что никакие преобразованные пользователи не удалены. Перед повторным включением синхронизации необходимо выполнить пробную синхронизацию, чтобы убедиться в том, что все преобразованные учетные записи пользователей отображаются в Active Directory. Если синхронизация включена и учетные записи находятся только в Control Hub, соединитель каталогов чувствителен к регистру и удаляет преобразованных пользователей, которые будут обнаружены с несовпадающими адресами электронной почты (например, user1@example.com и User1@example.com). При удалении преобразованных пользователей все пространства приложения Webex будут утрачены.
4	Если вы уверены, что при следующей синхронизации не будут удалены какие-либо учетные записи, снова включите синхронизацию каталога в соединителе каталогов.

Преобразованные учетные записи пользователей не будут активированы автоматически, если домен не был подтвержден. Например, если вы включили шаблон автоматического назначения лицензий, а затем включили соединитель каталогов без проверки домена, преобразованные пользователи будут неактивны в облачном сервере до тех пор, пока не подтвердят свои адреса электронной почты.

Перенесенные учетные записи пользователей приложения Webex

Изменение формата имени пользователя приложения Webex после синхронизации каталога

По умолчанию соединитель каталогов сопоставляет атрибут displayName в Active Directory с атрибутом displayName в облаке.

После выполнения синхронизации каталога имена пользователей могут отображаться в формате .

Кроме того, сопоставьте атрибут sn givenName с displayName:

Разрешение пользователям изменять отображаемые имена в Webex Meetings

1	В соединителе каталогов щелкните Конфигурация и выберите Сопоставление атрибутов пользователя.
2	Выберите displayName в разделе Name Attribute Cloud Cisco (Имя атрибута облака Cisco).
3	Выберите Не синхронизировать этот атрибут.

Дальнейшие действия

Теперь пользователи могут редактировать свои отображаемые имена на веб-сайте Webex.

Устранение неполадок соединителя каталогов

Модернизация до последнего выпуска программного обеспечения

1	Чтобы начать процесс модернизации, щелкните уведомление на панели задач Windows или щелкните правой кнопкой мыши пиктограмму соединителя каталогов на панели задач Windows.
2	Чтобы завершить модернизацию, следуйте инструкциям.
3	Перезапустите соединитель и войдите с помощью учетных данных администратора.
4	Проверьте номер версии программного обеспечения в разделе Справка > О программе.

Дальнейшие действия

Настройка общих параметров соединителя каталогов

Используйте эту процедуру для настройки общих параметров, таких как имя сервера, на котором запущен соединитель каталогов, уровни журналов, автоматическая модернизация и предпочтительные параметры для контроллеров домена. Имя соединителя отображается на инструментальной панели в разделе соединителей вместе с другими запущенными соединителями.

1	В соединителе каталогов перейдите к меню Конфигурация и щелкните Общие.
2	В поле Имя соединителя введите имя соединителя. В этом поле отображается только имя компьютера, на котором в данный момент запущен соединитель.
3	В раскрывающемся списке выберите уровень журнала. По умолчанию для уровня журнала задано значение info. Доступные уровни журналов: Информация (по умолчанию). Отображает информационные сообщения с информацией о ходе работы приложения на высоком уровне. Используйте эту настройку, чтобы получать отчеты после всех полных синхронизаций. Предупреждение: отображает потенциально опасные ситуации. Отладка. Отображает подробные информационные события, наиболее полезные для отладки приложения. При возникновении какой-либо проблемы установите этот уровень журнала и отправьте журнал event-совещания в службу поддержки при регистрации обращения. Ошибка. Отображает события ошибки, которые по-прежнему могут позволить приложению продолжить работу. При выборе этого параметра отчеты о синхронизации будут отправляться только в случае сообщений об ошибках. Эти настройки влияют на отчет о синхронизации, который отправляется по электронной почте. Если для уровня журнала задано значение «Ошибка», в отчете о синхронизации регистрируются только ошибки. Если ошибки отсутствуют, отчет о синхронизации не отправляется. Измените настройку на "Информация", затем вы получите отчеты о синхронизации после полной синхронизации. (Имейте в виду, что при инкрементной синхронизации отчеты не отправляются, если нет сообщений об ошибках.)
4	Выберите Предпочтительные контроллеры домена , чтобы задать порядок синхронизации удостоверений. Доступ к контроллерам домена осуществляется сверху вниз. Если верхний контроллер недоступен, выберите второй контроллер в списке. Если контроллер не указан в списке, можно получить доступ к основному контроллеру.
5	Для автоматической модернизации установите флажок параметра Автоматическая модернизация до новой версии соединителя каталогов Cisco . Всегда важно поддерживать актуальность программного обеспечения соединителя каталогов Cisco до последней версии. Рекомендуется установить эту настройку, чтобы разрешить автоматическую модернизацию программного обеспечения устанавливать в фоновом режиме, когда она станет доступной.
6	Установите флажок LDAP по SSL , чтобы в качестве протокола соединения использовать безопасный LDAP (LDAPS). Если не установлен флажок LDAP через SSL, соединитель каталогов продолжит использовать протокол соединения LDAP. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в инфраструктуре. Связь LDAPS зашифрована и защищена.

Настройка политики соединителя

1	В соединителе каталогов щелкните Конфигурация и выберите Политика.
2	Если необходимо добавить триггер порогового значения, установите флажок в поле Включить триггер удаления порогового значения . При выборе этого параметра будет отправлено предупреждение, если количество удалений превышает пороговое значение. Если учетная запись удаления превышает заданную вами, синхронизация не будет выполнена.
3	Введите максимальное количество удалений. Значение по умолчанию — 20. Не рекомендуется увеличивать значение по умолчанию.
4	Нажмите Применить.

Настройка графика соединителя

1	В соединителе каталогов щелкните Конфигурация и выберите Запланировать.
2	Укажите интервал инкрементной синхронизации в минутах. По умолчанию установлена инкрементная синхронизация каждые 30 минут. Полная инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация.
3	Чтобы изменить частоту отправки отчетов, измените значение Отправлять отчеты для...времени .
4	Установите флажок Включить график полной синхронизации , чтобы указать дни и время, в которые должна произойти полная синхронизация.
5	Укажите интервал отработки отказа в минутах.
6	Нажмите Применить.

Сценарии с несколькими доменами

Объекты с одинаковым ключевым значением связаны в одной записи в базе данных.

Пример сценария использования для нескольких доменов

В этом примере предполагается организация с двумя доменами: example1.com и example2.com в порядке приоритета.

Добавить пользователя1 (адрес электронной почты: user@example1.com) в Active Directory на странице example1.com.
Добавить группу1 (название группы: Тест) в Active Directory на примере example1.com.
Добавить пользователя2 (адрес электронной почты: user@example2.com) в Active Directory на примере example2.com.
Добавить группу2 (имя группы: Тест) в Active Directory на примере example2.com.

Синхронизация на example1.com

Синхронизация на example1.com и example2.com

Рассмотрим следующие шаги.

Удалите пользователя1 и группу1 в Active Directory, например1.com.
Выполните полную или инкрементную синхронизацию, например1.com.
Результат: информация о пользователе не изменяется в https://admin.webex.com. Пользователь2 не связан с пользователем1, а группа2 не связана с группой1.
Выполните инкрементную синхронизацию, например2.com.
Результат: информация о пользователе не изменяется в https://admin.webex.com.
Выполните полную синхронизацию, например2.com.
Результат: Информация о пользователе2 и группе2 отображается в https://admin.webex.com.

Синхронизация нового домена и сохранение существующего

Установка приоритета домена

Используйте эту процедуру для изменения приоритета доменов Active Directory. Приоритет домена позволяет определить основной домен, дополнительный домен и т. д. Это помогает, если два пользователя из двух разных доменов имеют одно и то же значение адреса электронной почты, синхронизированное с одной организацией.

Перед началом работы

1	В соединителе каталогов Cisco щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Задать приоритет домена.
3	Выделите один домен в списке, щелкните Вверх или Вниз , чтобы изменить приоритет этого домена, а затем щелкните Сохранить , чтобы сохранить это изменение. Домены сортируются по приоритету сверху вниз.

Переключить домены

Используйте эту процедуру для повторного связывания соединителя каталогов Cisco с другим доменом.

Перед началом работы

Перед переключением доменов убедитесь, что задачи синхронизации не выполняются.
Во избежание ошибок установите или модернизируйте соединитель каталогов Cisco до последней версии. Его необходимо скачать из Control Hub.

1	В соединителе каталогов Cisco щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Переключить домен.
3	Если после ознакомления с предупреждением вы понимаете влияние этого изменения на развертывание и все еще уверены, щелкните Да. При переключении домена выход из текущего соединителя каталогов Cisco будет выполнен, другие домены в соединителе будут отменены, а информация о соединителе на этом компьютере будет удалена.
4	Снова войдите в соединитель каталогов Cisco и повторно подключите домен.

Выключить синхронизацию каталога

Щелкните "Дополнительно" и затем щелкните Выключить рядом с экземпляром соединителя, который необходимо выключить.
Чтобы остановить синхронизацию со всех экземпляров соединителя, щелкните Выключить все синхронизации каталогов .

После прочтения подсказки щелкните Выключить.

Синхронизация будет остановлена до повторного включения в соединителе каталогов.

Удалить сопоставление атрибутов пользователя

1	В соединителе каталогов щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Сервисные программы > Удалить сопоставление атрибутов пользователя.
3	Выберите сопоставление, которое необходимо удалить из списка Имя атрибута .
4	В разделе Затронутая область пользователя выберите один из приведенных ниже параметров. Только пользователи, синхронизированные с соединителем каталогов. сопоставление будет удалено только у пользователей, которые ранее синхронизировали соединитель каталогов. Все пользователи. сопоставление будет удалено у всех пользователей Active Directory.
5	Нажмите Применить.

Управление изображениями профиля

1	В соединителе каталогов щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Сервисные программы > Управление изображениями профиля.
3	В разделе Действия выберите один из приведенных ниже вариантов. Удаление изображений профиля для пустых источников аватара. если изображение профиля Active Directory пустое, этот параметр гарантирует удаление изображений профилей пользователей из облака, даже если пользователь ранее загрузил собственное изображение в Webex. Повторно загрузите из синхронизированного источника для переопределения кэшированных изображений. Соединитель каталогов использует тот же каталог Active Directory, что и предыдущие, для обновления изображений профилей для всех пользователей. Это гарантирует отсутствие несоответствия между изображениями профиля в Active Directory и облаке.
4	Нажмите Применить.

Удаление и деактивация соединителя каталогов

Вы больше не хотите использовать синхронизацию каталога.
Не следует использовать один из нескольких соединителей каталогов (высокая доступность).
Необходимо изменить домен и установить другой соединитель.

Перед началом работы

Для высокой доступности может быть настроено несколько экземпляров соединителя каталогов, или синхронизация нескольких доменов. Отключите синхронизацию при удалении единственного или последнего экземпляра соединителя каталогов.
Перед удалением соединителя каталогов сохраните и закройте все важные работы.

1	На компьютере Windows перейдите на панель управления и щелкните Программы и компоненты.
2	В списке программ щелкните Соединитель каталогов, выберите Удалить и следуйте подсказкам. Для завершения удаления может потребоваться перезагрузка системы.
3	В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню Управление > Настройки организации, прокрутите страницу до раздела Синхронизация каталога, щелкните Дополнительно , а затем щелкните Деактивировать рядом с экземпляром соединителя каталогов, который необходимо удалить.
4	После прочтения подсказки щелкните Деактивировать. Если в развертывании высокой доступности не установлен другой соединитель каталогов, учетные записи пользователей больше не синхронизируются.

Запуск средства диагностики

Запуск тестов для служб домена Active Directory.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку AD-DS , введите домен , затем щелкните Загрузить контроллеры доменов.
2. Выберите из списка один контроллер домена.
  
  Не изменяйте запись позже, поскольку инкрементный поиск всегда должен выполняться на одном и том же контроллере домена.
3. По умолчанию выполняются поиск всех путей, однако можно выбрать один атрибут , а затем щелкнуть Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , например Пользователи и Группа , а также фильтры поиска.
5. Установите флажок Автоматически заполнять файлы cookie , чтобы автоматически создавать файлы cookie для поиска.
6. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы выполнить тесты для служб облегченного каталога Active Directory, выполните указанные ниже действия.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку AD-LDS , введите Хост и Порт, а затем щелкните Загрузить разделы.
2. Выберите раздел в списке и щелкните Подключить.
3. По умолчанию выполняются поиск всех путей, однако можно выбрать один атрибут , а затем щелкнуть Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , такие как фильтры Пользователь, UserProxy и UserProxyFull и поиска.
5. Установите флажок Автоматически заполнять файлы cookie , чтобы автоматически создавать файлы cookie для поиска.
6. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы запустить тесты протокола LDAP, выполните следующие действия.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку RAW LDAP , введите корневой путь, фильтр и выберите запись в разделе Атрибуты , затем щелкните Загрузить разделы.
2. При необходимости установите флажки следующих параметров.
  - ObjectSecurity. При наличии этого параметра вызывающий абонент не требует прав и может видеть только доступные для вызывающего абонента объекты и атрибуты. Если этот параметр отсутствует, вызывающий абонент имеет право копировать изменения.
  - РодителиFirst (Сначала родители). Обеспечивает, чтобы все родители детей приходили раньше своих детей.
3. Выберите значение для ExtendedDN.
  
  Это значение используется в расширенном поиске LDAP для запроса расширенной формы Distinguished Name объекта.
4. Выберите значение для ReferralChasing.
  
  Охота на рефералов инициируется, когда контроллер домена возвращает реферал из запроса, например для получения сведений о результатах запроса, которые могут находиться за пределами пространства имен (например, участников группы в другом домене или лесу).
5. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
6. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.

Устранение неполадок в соединителе каталогов Ciso

Устранение неполадок и исправления соединителя каталогов

Установка

Соединитель каталогов прекратил работу

Вы получили сообщения электронной почты с предупреждением о том, что соединитель каталогов не работает.

Возможно, соединитель каталогов установлен неверно.
Возможно, соединитель каталогов не работает.
Возможно, сеть недоступна.

Попробуйте выполнить приведенные ниже действия.

Откройте Панель управления > Программы и компоненты. Найдите соединитель каталогов. Если она отсутствует, скачайте последнюю версию из Control Hub и установите ее.
Откройте Служба и найдите службу Cisco DirSync. Убедитесь, что в нем отображается состояние Начато. Если служба остановлена, щелкните правой кнопкой мыши и выберите "Начать", чтобы перезапустить службу.
Убедитесь, что сервер, на котором установлен соединитель каталогов, имеет доступ к Интернету.

Ошибка переустановки

Решение. По прошествии некоторого времени повторите попытку установки.

Вход в систему

Сбой соединителя каталогов во время входа SSO

Проблема

Решение

Попробуйте выполнить приведенные ниже действия.

Чтобы настроить новую групповую политику, выполните следующие действия.

Перейдите к контроллеру домена и откройте раздел Group Policy Management (gpedit.msc).
Щелкните правой кнопкой мыши определенный OU или домен, выберите Создать GPO в этом домене и Связать его здесь...
Укажите название политики, затем щелкните правой кнопкой мыши и выберите Правка.

Чтобы изменить политику на уровне машины, выполните следующие действия:

Перейдите к меню Конфигурация компьютера > Предпочтительные параметры > Настройки Windows, щелкните правой кнопкой мыши Реестр, выберите Создать, а затем Элемент реестра.
Для параметра Key Path (Путь ключа) введите или перейдите к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger (Отключить отладчик сценариев) для параметра Value (Значение) и введите no для параметра Value data (Данные значения).

Настройки должны соответствовать приведенному ниже снимку экрана.

Чтобы изменить политику на уровне пользователя, выполните следующие действия.

Перейдите к меню Конфигурация компьютера > Предпочтительные параметры > Настройки Windows, щелкните правой кнопкой мыши Реестр, выберите Создать, а затем Элемент реестра.
Для параметра Путь ключа введите или перейдите к разделу HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger (Отключить отладчик сценариев) для параметра Value (Значение) и введите no для параметра Value data (Данные значения).

Настройки должны соответствовать приведенному ниже снимку экрана.

Не удалось зарегистрировать соединитель службы Cisco DirSync

Проблема

Ошибка входа. Отображается сообщение "Не удалось зарегистрировать соединитель службы Cisco DirSync."

Решение

Система Windows, на которой установлен соединитель каталогов, должна быть членом Active Directory.

Страница входа не отображается

Проблема

Вы открыли соединитель каталогов, и страница входа не отображалась.

Решение

Выполните следующие действия.

В Internet Explorer перейдите к https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Попробуйте использовать ссылку в других браузерах, например в Chrome и Firefox.
Если Internet Explorer не может открыть ссылку, но могут использовать другие браузеры, установите флажки в настройках Internet Explorer и установите флажки TLS 1.1 и 1.2. (Используйте процедуру Включить TLS в Internet Explorer .)

Отобразится запрос на вход

Проблема

Отобразится запрос на ввод имени пользователя и пароля для проверки подлинности.

Возможная причина

Решение

Не удается подключиться к удаленному серверу

Проблема

Во время обычной работы отображается сообщение об ошибке "Не удается подключиться к удаленному серверу".

Возможная причина

Возможно, у вас возникли проблемы с прокси, которые необходимо решить.

Решение

Невозможно зарегистрировать соединитель

Проблема

Отображается сообщение об ошибке "Невозможно зарегистрировать соединитель. Произошло общее исключение".

Возможная причина

Решение

Попробуйте выполнить приведенные ниже действия.

Запустите командную строку (cmd) и введите ldp.exe.
Щелкните Connection (Подключение) > Bind (Привязка), выберите Привязка как пользователь, выполнивший вход в систему в данный момент, а затем щелкните ОК.
Щелкните Просмотр > Дерево, введите DC=arbonneintl,DC=ad в качестве BaseDN, а затем щелкните ОК.
Если проблема не исчезнет, зарегистрируйте обращение в службу поддержки.

Синхронизация

Аватары не синхронизированы

Проблема

Возможная причина

Решение

Удалите локальный кэш, выполнив следующие действия.

Перейдите к C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Удалите DirSyncPluginAvatar.dll-cache.bin.
Перезапустите синхронизацию аватара с помощью соединителя каталогов Cisco.

Конфликтующие учетные записи электронной почты пользователей

Проблема

Если пользователи попытаются использовать бесплатную версию приложения Webex, их адреса электронной почты будут находиться в бесплатной клиентской организации.
Если адреса электронной почты пользователей когда-либо были синхронизированы в другой организации.
Если адреса электронной почты пользователя существуют в нескольких доменах, принадлежащих организации.

Решение

Попробуйте выполнить приведенные ниже действия.

При попытке заявления пользователей выполните приведенные ниже действия.
1. Убедитесь, что домен подтвержден в Control Hub.
2. Временно отключить соединитель каталогов Cisco.
3. Используйте параметр "Заявить пользователя" в Control Hub, чтобы заявить все учетные записи, которые могут существовать в бесплатной клиентской организации. Дополнительную информацию см. в статье Утверждение пользователей в организации (преобразование пользователей) .
4. Выполните пробный запуск соединителя каталогов Cisco, а затем повторно включите синхронизацию каталога
В последнем случае дважды проверьте данные пользователей в источниках Active Directory.

Преобразованный пользователь помечен как неактивный

Проблема

Возможная причина

Решение

Ошибка добавочной синхронизации

Проблема

Сбой инкрементной синхронизации.

Эта проблема может возникать в Windows Server 2008 R2 при следующих условиях:

Вы поддерживаете обновления добавочных значений.
Фильтр, который используется, ссылается на связанный атрибут значения.
Значения результата этого атрибута обновлялись с момента последней полной синхронизации.

Решение

Недопустимое значение атрибута

Проблема

Возможная причина

Решение

Соответствующие пользователи, подлежащие удалению

Проблема

Соответствующие пользователи помечены как удаленные.

При выполнении пробной синхронизации для проверки данных между Active Directory и облаком в обоих случаях может отображаться один и тот же адрес электронной почты. Однако пользователь помечен как объект, подлежащий удалению.

Решение

Выберите соответствующее исправление.

Если удалить пользователя и повторно ввести лицензии после этого, для исправления можно использовать соединитель каталогов. Выполните синхронизацию, чтобы удалить пользователя, а затем другую синхронизацию, чтобы синхронизировать пользователя из локального AD с облаком.
Если вы не можете удалить и повторно создать учетную запись пользователя, зарегистрируйте обращение в службу поддержки.

Отсутствует атрибут

Проблема

Возможная причина

Решение

Вложенная группа не будет синхронизирована

Проблема

Пользователи во вложенной группе Active Directory не синхронизируются надлежащим образом с облаком.

Возможная причина

Решение

Конфликт имен пользователей

Проблема

Возможная причина

Пользователь с таким адресом электронной почты уже существует в Control Hub.

Решение

Control Hub

Список пользователей отсутствует в Control Hub

Проблема

Решение

Группы не будут синхронизированы с Control Hub

Проблема

Пользователи в группе каталогов не будут синхронизированы с Control Hub надлежащим образом.

Возможная причина

В Active Directory группа не имеет тегов isCriticalSystemObject .

Решение

Убедитесь, что для атрибута isCriticalSystemObject в Active Directory установлено значение TRUE .

Включение устранения неполадок соединителя каталогов

Файлы журналов: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Запустите файл `services.msc` , чтобы изменить запущенную учетную запись для службы соединителя каталогов с локальной системы на учетную запись домена, имеющую права на доступ к вашим AD DS или AD LDS.
2	Перезапустите службу. Инструкции см. в статье Начало работы служб .
3	В соединителе каталогов щелкните Инструментальная панель.
4	Перейдите к меню Действия и щелкните Сервисные программы > Устранение неполадок.
5	Если функция устранения неполадок включена, повторите действия, которые привели к ошибке. Таким образом будут фиксированы данные трафика, чтобы их можно было проверить.
6	Просмотрите файлы журналов. если файл пуст, убедитесь, что у учетной записи есть права на доступ к AD DS или AD LDS. В папке журнала сохраняются только файлы за последние 3 дня. Содержимое файлов журнала соответствует выходу журнала события в систему.
7	При необходимости отправьте файл журнала в службу поддержки для получения помощи.
8	По завершении отключите функцию устранения неполадок.

Связанная информация

Запускать средство просмотра событий.

1	В соединителе каталогов перейдите к меню Инструментальная панель и щелкните Действие > Запустить средство просмотра event-совещаний. В диалоговом окне "Свойства события" отображаются сведения о синхронизации события и сведения об ошибке.
2	В средстве просмотра event-совещаний перейдите к меню Журналы приложений и служб > Соединитель каталогов Cisco.
3	В разделе Действия щелкните Сохранить все event-совещания как , чтобы экспортировать все журналы в один файл event-совещаний (*.evtx) или другой формат, например XML или CSV.

Дальнейшие действия

Включение TLS в Internet Explorer

При входе в службу произошла ошибка
Произошла ошибка в сценарии на этой странице

При появлении этих ошибок необходимо включить настройку TLS в браузере.

1	Откройте Internet Explorer и выберите Инструменты. Теперь установите флажки для версии TLS/SSL, которую необходимо включить. Щелкните ОК Закрыть браузер и снова открыть его
2	Щелкните Свойства обозревателя , перейдите в раздел Дополнительно , прокрутите страницу до раздела Безопасность.
3	Установите флажки Использовать TLS 1.1 и Использовать TLS 1.2 , а затем щелкните ОК.
4	Чтобы изменения вступили в силу, перезапустите систему.

Устранение неполадок со входом в учетную запись службы

Попробуйте открыть https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL в веб-браузере.

Выберите один из вариантов в зависимости от результатов.

Если вы не можете перейти по ссылке в браузере, проверьте сетевые настройки. Если в вашей среде используется прокси, проверьте настройки прокси.
Если вы можете перейти по ссылке в браузере, но не можете открыть соединитель каталогов Cisco (Не удается открыть соединитель и всплывающее сообщение об ошибке 407), щелкните здесь , чтобы получить последнюю версию соединителя каталогов Cisco.
Если вы можете перейти по ссылке в браузере, но не можете выполнить синхронизацию с помощью соединителя каталогов Cisco, измените учетную запись входа в службу на администратор домена.

Проверьте, является ли учетная запись, использованная для входа в систему Windows, той же учетной записью, что и в службе Cisco DirSync. Если у них 2 разных учетных записи, убедитесь, что обе учетные записи могут посещать https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Если в вашей среде используется прокси, убедитесь, что обе учетные записи настроены для прокси в Internet Explorer и могут https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL успешно посещать учетные записи.

Связанная информация

Проверка SafeDllSearchMode в реестре Windows

Как правило, режим SafeDllSearchMode включен, но используйте эту процедуру для повторной проверки настроек реестра.

Перед началом работы

В окне поиска в Windows или в окне "Выполнить" введите regedit и нажмите клавишу ввода.

Перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан. Дальнейшие действия не требуются.
SafeDllSearchMode указан в списке. Убедитесь, что значение 1.

Дополнительную информацию см. в статье Порядок поиска библиотеки динамических ссылок.

Обзор соединителя каталогов Cisco

Обзор соединителя каталогов

В таблице перечислены все функции, описания и преимущества.

Функция	Описание и преимущества
Простая в использовании инструментальная панель	Инструментальная панель предоставляет график синхронизации, сводную информацию и состояние синхронизации, а также состояние соединителя каталогов. Панель отчетов можно просматривать в любое время при входе в систему.
Пробный запуск перед синхронизацией с облаком	Выполните пробный запуск изменений каталога, прежде чем они будут реализованы в облаке. Затем запустите отчет, чтобы увидеть, что изменения, которые необходимо внести, являются ожидаемыми.
Полная и инкрементная синхронизация	Синхронизируйте весь каталог. Или просто синхронизируйте дополнительные изменения, чтобы сэкономить мощность обработки и сократить время синхронизации.
Синхронизация нескольких доменов (один лес или несколько лесов)	Соединитель каталогов поддерживает несколько доменов в одном лесу или в нескольких лесах (без необходимости AD LDS). Для предприятий с несколькими доменами Active Directory можно установить соединитель каталогов для каждого домена, связать каждый домен с вашей организацией, а затем синхронизировать каждую базу пользователей с Webex. Control Hub отражает состояние синхронизации нескольких соединителей каталогов, позволяет выключить синхронизацию для определенного домена и деактивировать соединитель каталогов в развертывании с высокой доступностью.
Синхронизация запланирована	Настройте график синхронизации на день, час и минуту.
Фильтры протокола доступа к каталогу (LDAP)	Определите критерии поиска LDAP и обеспечьте эффективный импорт.
Сопоставление атрибутов Active Directory	Сопоставьте атрибуты Microsoft Active Directory с соответствующими атрибутами облака Webex. Можно сопоставить атрибуты, относящиеся к конфигурации Active Directory, а также определить пользовательские атрибуты для сопоставления с облаком. Атрибуты локальной среды формируют в облаке различные данные, такие как данные учетной записи пользователя, телефонные номера в Webex Teams, SIP-адреса ресурсов комнаты и другие данные карточки контакта пользователя (должность, отдел, менеджер и т. д.).
Корпоративный каталог для ресурсов локальных комнат и пользователей Cisco Webex Calling (облачная PSTN) и корпоративных контактов без лицензирования Webex	Если в вашей организации для службы вызовов используется облачная PSTN Cisco Webex Calling или у вас есть локальные устройства комнаты, эта функция позволяет пользователям выполнять поиск в каталоге корпоративных контактов на телефонах Cisco Webex Calling (облачная PSTN) или ресурсах комнат. Ресурсы комнаты После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным адресом SIP будут отображены в зарегистрированных в облаке устройствах комнат (таких как устройство Cisco Webex Room или Cisco Webex Board) как записи, доступные для поиска. При поиске пользователей устройства Cisco Webex Room или Cisco Webex Board будут отображены синхронизированные записи комнат, настроенные с помощью SIP-адресов. При поступлении вызова с устройства Webex на эту запись вызов будет размещен на SIP-адрес, настроенный для комнаты. Вызовы Помимо контактов приложения Webex пользователи могут совершать вызовы корпоративным контактам. С помощью соединителя каталогов корпоративные пользователи и их номера телефона будут добавлены в вашу организацию Webex. Для работы этой функции лицензия на службы Webex не требуется. Пользователи, у которых нет лицензий на Webex, будут отображаться в результатах поиска по каталогу, выполненном на телефоне пользователя Cisco Webex Calling, при условии, что в соединителе каталогов синхронизирован URI или номер телефона с Webex. Функции вызовов одинаковы для пользователей обоих типов. Эта функция также обеспечивает возможность редактирования набора для контактов только с номерами телефона. В результатах поиска контактов: Если контакты имеют набираемый URI (адрес SIP Webex) и номер телефона, отображается URI, связанный с контактом. Если у контактов нет набираемого URI, но есть номер телефона, отображается номер телефона. Кроме того, у них есть программная клавиша для редактирования набора. Если контактов нет, они не отображаются в каталоге.
Средство просмотра event-совещаний	С помощью средства просмотра event-совещаний можно определить, возникли ли какие-либо проблемы с синхронизацией.
Средство диагностики и устранение неполадок	С помощью встроенного средства диагностики можно устранять неполадки при развертывании соединителя каталогов Cisco. Если синхронизация не работает надлежащим образом, может возникнуть ошибка конфигурации или сети. Этот инструмент тестирует подключение к Active Directory, чтобы можно было самостоятельно диагностировать ошибки перед обращением в службу поддержки. После включения функции устранения неполадок в соединителе каталогов записываются журналы, которые можно отправить в службу технической поддержки.
Автоматическая модернизация	После установки соединителя каталогов при появлении новой версии программного обеспечения будет отправлено уведомление. Автоматическую модернизацию можно настроить таким образом, чтобы при выпуске новой версии всегда была последняя версия программного обеспечения.
Высокая доступность	Настройте несколько соединителей для резервного копирования, если основной соединитель или размещающая машина не работает.

Соединитель каталогов разделен на три области:

Control Hub – это единый интерфейс, позволяющий управлять всеми аспектами организации Webex. просмотр пользователей, назначение лицензий, скачивание соединителя каталогов и настройка системы единого входа (SSO) , если необходимо, чтобы пользователи выполняли аутентификацию посредством корпоративного поставщика удостоверений и не отправляли электронные приглашения для приложения Webex.
Интерфейс управления соединителем каталогов – это программное обеспечение, которое можно скачать из Control Hub и установить на доверенном сервере Windows. Для нескольких доменов Active Directory можно установить одну минуту программного обеспечения для каждого домена, который необходимо синхронизировать. С помощью этого программного обеспечения можно запустить синхронизацию для переноса учетных записей пользователей Active Directory в Webex, просмотра и отслеживания состояния синхронизации, а также настройки служб соединителя каталогов.
Служба синхронизации каталога запрашивает ваш Active Directory, чтобы получить пользователей и группы для синхронизации со службой соединителя и соединителем каталогов.

Чтобы понять архитектуру соединителя каталогов, см. приведенную ниже диаграмму.

Подготовка среды для соединителя каталогов

Требования для соединителя каталогов

Требования к Windows и Active Directory

Соединитель каталогов можно установить на следующих поддерживаемых серверах Windows:

Windows Server 2022
Windows Server 2019
Windows Server 2003

Соединитель каталогов поддерживается следующими службами Active Directory:

Active Directory 2016

(Соединитель каталогов поддерживается при использовании последней версии Active Directory на Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Обратите внимание на следующие дополнительные требования:

Для соединителя каталогов требуется TLS1.2. Необходимо установить приведенное ниже.
- .NET Framework версии 3.5 (требуется для приложения соединителя каталогов. При возникновении каких-либо проблем воспользуйтесь инструкциями, приведенными в статье Включение .NET Framework 3.5 с помощью мастера добавления ролей и функций.)
- .NET Framework версии 4.5 (обязательно для TLS1.2)
Требуется уровень функционального леса Active Directory 2 (Windows Server 2003) или более поздний. (Дополнительную информацию см. в статье Какие функциональные уровни Active Directory? .)

Требования к оборудованию

8 ГБ ОЗУ
50 ГБ хранилища
Нет минимума для ЦП

Требования к сети

Требования к организации Webex

Для доступа к программному обеспечению соединителя каталогов из Control Hub требуется организация Webex с пробной версией или платной подпиской.
(Необязательно) Чтобы новые учетные записи пользователей приложения Webex были Активными перед первым входом в систему, рекомендуется выполнить приведенные ниже действия.
- Добавляйте, проверяйте и при необходимости заявляйте домены , содержащие адреса электронной почты пользователей, которые необходимо синхронизировать с облаком.
- Выполните интеграцию системы единого входа (SSO) поставщика удостоверений (IdP) с организацией Webex.
- Отключите автоматические электронные приглашения, чтобы новые пользователи не получали автоматические электронные приглашения и вы могли проводить собственную электронную рассылку. (Для работы этой функции требуется интеграция SSO.)

Дополнительную информацию см. в статье Действия и состояния пользователей в Control Hub.

Требования к установке

Для среды с несколькими доменами (один лес или несколько лесов) необходимо установить один соединитель каталогов для каждого домена Active Directory. Если необходимо синхронизировать новый домен (B) при сохранении синхронизированных данных пользователей в другом существующем домене (A), убедитесь, что у вас есть отдельный поддерживаемый сервер Windows для установки соединителя каталогов для синхронизации домена (B).
Для входа в соединитель не требуется учетная запись администратора в Active Directory. Требуется учетная запись локального пользователя, которая является тем же пользователем, что и учетная запись администратора с полными правами в Control Hub.

Этот локальный пользователь должен иметь права на этом компьютере Windows для подключения к контроллеру домена и чтения объектов пользователя Active Directory. Учетная запись для входа в систему компьютера должна быть администратором компьютера с правами на установку программного обеспечения на локальном компьютере. (Эта информация также применима к входу в виртуальную машину.)
При входе в соединитель учетная запись для входа должна совпадать с учетной записью администратора с полными правами для Control Hub. По умолчанию соединитель использует учетную запись локальной системы для доступа к Active Directory. Однако можно использовать службы Windows для настройки другой учетной записи для доступа к Active Directory. (Эта информация также применима к входу в виртуальную машину.)
Убедитесь, что режим поиска библиотеки безопасных динамических ссылок (DLL) Windows включен с помощью следующей процедуры: Проверьте SafeDllSearchMode в реестре Windows.
Если AD LDS используется для нескольких доменов в одном лесу, рекомендуется установить соединитель каталогов и службу домена Active Directory/облегченные службы каталогов Active Directory (AD DS/AD LDS) на отдельных компьютерах.

Требования к нескольким доменам

Для каждого домена требуется отдельный экземпляр соединителя каталогов.
ПО соединителя каталогов должно работать на узле, находящемся в том же домене, который будет синхронизирован.
Рекомендуется подтвердить или заявить домены в Control Hub. (См. статью Добавление, проверка и заявление доменов.)
Чтобы синхронизировать более 50 доменов, необходимо зарегистрировать обращение , чтобы переместить организацию в большой список организаций.
При необходимости можно синхронизировать информацию о ресурсах комнаты вместе с учетными записями пользователей. (См. статью Синхронизация информации о локальной комнате с облаком Webex.)

Информация о размещении

На скорость синхронизации может повлиять несколько факторов.

Общее количество объектов Active Directory. (Задача синхронизации 5000 пользователей не будет длиться до 50 000.)
Скорость сети и пропускная способность.
Рабочая нагрузка системы и технические характеристики.

Проверка SafeDllSearchMode в реестре Windows

Как правило, режим SafeDllSearchMode включен, но используйте эту процедуру для повторной проверки настроек реестра.

Перед началом работы

В окне поиска в Windows или в окне "Выполнить" введите regedit и нажмите клавишу ввода.

Перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан. Дальнейшие действия не требуются.
SafeDllSearchMode указан в списке. Убедитесь, что значение 1.

Дополнительную информацию см. в статье Порядок поиска библиотеки динамических ссылок.

Интеграция веб-прокси

Можно воспользоваться одним из приведенных ниже подходов.

Явный веб-прокси с помощью Internet Explorer (соединитель наследует настройки веб-прокси)
Явный веб-прокси с помощью файла .pac (соединитель наследует настройки корпоративного прокси)
Прозрачный прокси, который работает с соединителем без изменений

Использование веб-прокси через браузер

Соединитель каталогов можно настроить использование веб-прокси с помощью Internet Explorer.

1	В Internet Explorer перейдите к меню Свойства браузера, щелкните Соединения и выберите Настройки LAN.
2	Укажите экземпляр Windows, в котором соединитель установлен на веб-прокси. Соединитель наследует эти настройки веб-прокси.
3	Если в вашей среде используется аутентификация прокси, добавьте эти URL-адреса в список разрешенных: cloudconnector.webex.com для синхронизации. idbroker.webex.com для аутентификации. idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т. д. Это можно сделать на уровне веб-сайта (для всех организаторов) или только для организатора, у которого есть соединитель. При добавлении этих URL-адресов в список разрешенных для полного обхода веб-прокси убедитесь, что таблица ACL брандмауэра обновлена, чтобы разрешить узлу соединителя прямой доступ к URL-адресам.
4	Если в вашей среде необходимо запросить списки отзыва сертификатов у центров сертификации, добавьте эти URL-адреса в список разрешенных. .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Дополнительную информацию см. в этой статье о доменах и URL-адресах, которые должны быть доступны для служб Webex.

Настройка веб-прокси с помощью файла PAC

Если в вашей среде используется аутентификация прокси, добавьте эти URL-адреса в список разрешенных:

cloudconnector.webex.com для синхронизации.
idbroker.webex.com для аутентификации.
idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т. д.

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

NTLM-прокси

Дизайн NTLM

Как правило, техническая разработка NTLM основана на механизме Challenge (Вызов) и Response (Ответ):

Пользователь входит на ПК клиента с помощью учетной записи Windows и пароля. Пароль не сохраняется локально. Вместо пароля в формате обычного текста значение хеша пароля хранится локально. Когда пользователь входит в клиент с помощью пароля, ОС Windows сравнивает сохраненное значение хеша и значение хеша, полученное от введенного пароля. Если оба совпадают, аутентификация проходит.

Если пользователь хочет получить доступ к любому ресурсу на другом сервере, клиент отправляет запрос на сервер с именем учетной записи в виде обычного текста.
Когда сервер получает запрос, сервер генерирует 16-битный случайный ключ. Ключ называется Challenge (или Nonce). Прежде чем сервер отправит обратно клиенту, вызов хранится на сервере. Затем сервер отправляет вызов клиенту в виде обычного текста.
Как только клиент получает вызов, отправленный с сервера, клиент шифрует вызов с помощью хэша, упомянутого в шаге 1. После шифрования значение отправляется обратно на сервер.
Когда сервер получает зашифрованное значение от клиента, сервер отправляет его на контроллер домена для проверки. Запрос включает приведенное ниже. имя учетной записи, зашифрованный вызов, отправленный клиентом, и исходный простой вызов.
Контроллер домена может получить хеш-значения пароля в соответствии с именем учетной записи. А затем контроллер домена может зашифровать исходную задачу. Затем контроллер домена может сравниться с полученным значением хеша и зашифрованным значением хеша. Если они одинаковы, проверка выполнена успешно.

Настройка прозрачного прокси

1	Разверните прозрачный прокси, чтобы соединитель мог подключать и синхронизировать пользователей.
2	Убедитесь в успешном выполнении прокси. При запуске соединителя отображается всплывающее окно ожидаемой аутентификации браузера.

Настройка аутентификации прокси

Добавьте URL-адрес cloudconnector.webex.com в список разрешенных, создав список контроля доступа.

На корпоративном брандмауэре:

1	Включите поиск DNS, если этот параметр еще не включен.
2	Определите приблизительную пропускную способность для этого соединения (примерно 2 Мбит/с или менее для соединителя). Это может быть необязательно.
3	Создайте список контроля доступа, чтобы применить его к узлу соединителя, и укажите `cloudconnector.webex.com` в качестве целевого объекта, который необходимо добавить в список разрешенных. Пример. `access-list 2000 ACL-внутри расширенного разрешения TCP [IP соединителя] cloudconnector.webex.com eq https`
4	Примените этот СКД к соответствующему интерфейсу брандмауэра, который применим только к этому узлу соединителя.
5	Убедитесь, что остальные узлы в вашей организации по-прежнему должны использовать веб-прокси, настроив соответствующее неявное заявление об отказе.

Развертывание соединителя каталогов

Алгоритм выполнения задач по развертыванию соединителя каталогов Cisco

Перед началом работы

Способы добавления пользователей и управления ими в организации

1	Установить соединитель каталогов В Control Hub синхронизация каталога изначально отключена. Чтобы включить синхронизацию каталога для организации, необходимо установить и настроить соединитель каталогов, а затем успешно выполнить полную синхронизацию. Для новой установки соединителя каталогов всегда перейдите в Control Hub (https://admin.webex.com) для получения последней версии программного обеспечения и использования новейших функций и исправлений ошибок. После установки программного обеспечения о модернизации сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
2	Вход В Соединитель Каталогов Войдите с помощью учетных данных администратора Webex и выполните начальную настройку.
3	Настройка автоматической модернизации Всегда важно поддерживать актуальность программного обеспечения соединителя каталогов до последней версии. Рекомендуется использовать эту процедуру, чтобы разрешить автоматическую модернизацию программного обеспечения устанавливать в фоновом режиме, когда она станет доступной.
4	Выберите объекты Active Directory для синхронизации По умолчанию соединитель каталогов синхронизирует всех пользователей, которые не являются компьютерами, и всех групп, которые не являются критически важными объектами системы для домена. Для получения дополнительных сведений о том, какие объекты синхронизируются, можно выбрать определенных пользователей для синхронизации и указать фильтры LDAP на странице выбора объекта в соединителе каталогов.
5	Сопоставить атрибуты пользователя Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid.
6	Синхронизируйте аватары каталогов, выполнив одну из следующих процедур: Синхронизация аватаров каталогов из атрибута Active Directory с облаком Синхронизация аватаров каталогов с сервера ресурсов с облаком Можно синхронизировать аватары пользователей с облаком, чтобы аватар каждого пользователя отображался при входе в приложение. Можно синхронизировать аватары с помощью атрибута Active Directory или сервера ресурсов.
7	Синхронизация информации о локальной комнате с облаком Webex Используйте эту процедуру для синхронизации информации о локальной комнате из Active Directory с облаком Webex. После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным SIP-адресом будут отображаться в качестве записей на зарегистрированных в облаке устройствах комнаты, таких как устройство Webex Room или Cisco Webex Board
8	Чтобы Подготовить Пользователей Из Active Directory В Control Hub, выполните следующие действия. Выполнение пробной синхронизации пользователей Active Directory Выполнение полной синхронизации пользователей Active Directory в облако Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub Следуйте этой последовательности, чтобы подготовить пользователей Active Directory для учетных записей приложения Webex. Можно подготовить пользователей из развертывания Active Directory с несколькими лесами или доменами для соединителя каталогов 3.0 и более поздних версий. Во время процесса добавления пользователей из разных доменов необходимо решить, следует ли сохранить или удалить объекты пользователей, которые могут уже существовать в облаке Webex. Например, протестировать учетные записи из пробной версии. Целью является точное соответствие между Active Directory и облаком Webex.

Установить соединитель каталогов

Перед началом работы

При аутентификации через прокси-сервер убедитесь, что у вас есть учетные данные прокси.

Для базовой аутентификации прокси после установки экземпляра соединителя необходимо ввести имя пользователя и пароль. Для базовой аутентификации также требуется конфигурация прокси Internet Explorer. См. статью Использование веб-прокси Через Браузер.
При первом открытии соединителя для прокси-сервера NTLM может возникнуть ошибка. См. статью Использование веб-прокси Через Браузер.

1	В Control Hub перейдите к меню Пользователи > Управление пользователями > Включить синхронизацию каталога и выберите Далее.
2	Щелкните ссылку Скачать и установить, чтобы сохранить последнюю версию файла установки соединителя ZIP на сервер VMware или Windows. Файл .zip можно получить непосредственно по этой ссылке, однако для работы этого программного обеспечения необходим полный административный доступ к организации Control Hub. Для новой установки установите новейшую версию программного обеспечения, чтобы использовать новейшие функции и исправления ошибок. После установки программного обеспечения о модернизации сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
3	На сервере VMware или Windows распакуйте и запустите файл .msi в папке настроек, чтобы запустить мастер настройки.
4	Щелкните Далее, установите флажок, чтобы принять лицензионное соглашение, а затем щелкните Далее, пока не отобразится экран типа учетной записи.
5	Выберите тип учетной записи службы, которую необходимо использовать, и выполните установку с помощью учетной записи администратора. Локальная система. Параметр по умолчанию. Этот параметр можно использовать при настройке прокси с помощью Internet Explorer. Учетная запись домена. Используйте этот параметр, если компьютер является частью домена. Для доступа к ресурсам домена соединитель каталогов должен взаимодействовать с сетевыми службами. Можно ввести данные учетной записи и щелкнуть ОК. При вводе имени пользователя используйте формат `{domain}\{user_name}` Для прокси, который интегрируется с AD (NTLMv2 или Kerberos), необходимо использовать параметр учетной записи домена. Учетная запись, используемая для запуска службы соединителя каталогов, должна обладать достаточными правами для передачи прокси и доступа к AD. Во избежание ошибок убедитесь в наличии указанных ниже прав. Сервер является частью домена Учетная запись домена может получить доступ к локальным данным AD и данным аватаров. Учетная запись также должна иметь роль локального администратора, поскольку она должна получить доступ к файлам в разделе C:\Program Files. Для входа в виртуальную машину права учетной записи администратора должны иметь по крайней мере возможность чтения информации о домене.
6	Щелкните Установить. После запуска сетевого теста и при отображении соответствующего запроса введите основные учетные данные прокси-сервера, щелкните ОК, а затем щелкните Готово.

Дальнейшие действия

Вход В Соединитель Каталогов

Перед началом работы

Убедитесь, что у вас есть учетные данные прокси.

В случае базовой аутентификации прокси после первого открытия соединителя необходимо ввести имя пользователя и пароль.
Для прокси-сервера NTLM откройте Internet Explorer, щелкните пиктограмму шестеренки, перейдите к меню Свойства браузера > Подключения > Настройки локальной сети, убедитесь, что информация о прокси-сервере добавлена, а затем щелкните ОК. См. статью Использование веб-прокси Через Браузер.

1	Откройте соединитель и при появлении запроса добавьте `https://idbroker.webex.com` в список доверенных веб-сайтов.
2	При отображении соответствующего запроса войдите с помощью учетных данных аутентификации прокси, затем войдите в Webex с помощью учетной записи администратора и щелкните Далее.
3	Подтвердите организацию и домен. При выборе AD DS установите флажок LDAP по SSL, чтобы в качестве протокола соединения использовать безопасный LDAP (LDAPS), выберите домен, из которого необходимо синхронизировать, и щелкните Подтвердить. Если не установить флажок LDAP через SSL, DirSync продолжит использовать протокол соединения LDAP. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в инфраструктуре. Связь LDAPS зашифрована и защищена. При выборе AD LDS введите узел, домен и порт, а затем щелкните Обновить, чтобы загрузить все разделы приложений. Затем выберите раздел в раскрывающемся списке и щелкните Подтвердить. Дополнительную информацию см. в разделе AD LDS. В файле конфигурации CloudConnectorCommon.dll убедитесь, что настройка ADAuthLevel добавлена к узлу appSetting. Значения могут быть 1, 2 или 3. Подробные сведения о типах аутентификации см. в этой статье от Microsoft. Вот пример настройки со значением 1: `<appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	После отображения экрана Подтвердить организацию щелкните Подтвердить. Если AD DS/AD LDS уже связаны, отобразится экран Подтвердить организацию.
5	Щелкните Подтвердить.
6	Выберите один из них в зависимости от количества доменов Active Directory, которые необходимо связать с соединителем каталогов. Если у вас есть единый домен AD LDS, привяжите его к существующему источнику AD LDS и щелкните Подтвердить. Если у вас есть единый домен AD DS, привяжите его к существующему или новому домену. При выборе Привязка к новому домену щелкните Далее. Поскольку существующим типом источника является AD DS, невозможно выбрать AD LDS для новой привязки. Если у вас несколько доменов, выберите из списка существующий домен или Связать с новым доменом, а затем щелкните Далее. Поскольку у вас несколько доменов, существующим типом источника должен быть AD DS. При выборе Привязка к новому домену и нажатии Далее выбрать AD LDS для новой привязки будет невозможно.

Дальнейшие действия

После входа в систему вам будет предложено выполнить пробную синхронизацию.

Инструментальная панель соединителя каталогов

При первом входе в соединитель каталогов отображается инструментальная панель. Здесь можно просмотреть сводную информацию обо всех действиях по синхронизации, просмотреть статистику облака, выполнить пробный запуск синхронизации, запустить полную или инкрементную синхронизацию и запустить представление event-совещания, чтобы просмотреть информацию об ошибках.

Если время сеанса истекло, войдите снова.

Эти задачи можно легко выполнить с помощью панели инструментов или меню действий.

Таблица 1. Компоненты инструментальной панели
Компонент	Описание
Текущая синхронизация	Отображает информацию о состоянии синхронизации, которая в данный момент выполняется. Если синхронизация не запущена, отображается состояние простоя.
Следующая синхронизация	Отображает следующие запланированные полные и инкрементные синхронизации. Если график не задан, отображается параметр Не запланирован.
Последняя синхронизация	Отображает состояние двух последних выполненных синхронизаций.
Текущее состояние синхронизации	Отображает общее состояние синхронизации.
Соединители	Отображает текущие локальные соединители, доступные в облаке.
Облачная статистика	Отображает общее состояние синхронизации.
График синхронизации	Отображает график синхронизации для инкрементной и полной синхронизации.
Сводная информация о конфигурации	Список настроек, измененных в конфигурации. Например, сводная информация может включать следующее: Все объекты будут синхронизированы Все пользователи будут синхронизированы Пороговое значение, которое удалено, отключено.

Таблица 2. Панель инструментов действий
Действие	Описание
Начать инкрементную синхронизацию	Начать инкрементную синхронизацию вручную Это действие будет отключено при приостановке или отключении синхронизации, если полная синхронизация не была завершена или выполняется.
Пробный запуск синхронизации	Выполните синхронизацию пробного запуска.
Запустить средство просмотра event-совещаний	Запустите средство просмотра event-совещаний Microsoft.
Обновить	Обновить инструментальную панель соединителя каталогов Cisco

Таблица 3. Меню действий
Действие	Описание
Синхронизировать сейчас	Мгновенно начните полную синхронизацию.
Режим синхронизации	Выберите режим добавочной синхронизации или режим полной синхронизации.
Сбросить секретный код соединителя	Создайте разговор между соединителем каталогов Cisco и службой соединителя. При выборе этого действия секретный код в облаке будет сброшен, а затем сохранен локально.
Пробный запуск	Выполните тест процесса синхронизации. Перед полной синхронизацией необходимо выполнить пробный запуск.
Устранение неполадок	Включение и выключение функции устранения неполадок.
Обновить	Обновите главный экран соединителя каталогов Cisco.
Выход	Закройте соединитель каталогов Cisco.

Таблица 4. Сочетания клавиш
Комбинация клавиш	Действие
Alt +A	Показать меню Действия
`Alt +A + S`	Синхронизировать сейчас
`Alt +A + R`	Сбросить секретный код соединителя
`Alt +A + D`	Пробный запуск
`Alt +A + S + I`	Инкрементная синхронизация
`Alt +A + S + F`	Полная синхронизация
`Alt + H`	Показать меню Справка
`Alt + H + H`	Справка
`Alt + H + A`	О программе
`Alt + H + F`	вопросы и ответы

Настройка автоматической модернизации

1	В соединителе каталогов перейдите к меню Конфигурация > Общие и установите флажок Автоматическая модернизация до новой версии соединителя каталогов Cisco.
2	Чтобы сохранить изменения, щелкните Применить.

Новые версии соединителя устанавливаются автоматически, когда они становятся доступными.

Выберите объекты Active Directory для синхронизации

Группы для автоматического назначения лицензий

(&(cn=Пример)(objectclass=Group))*

Экран выбора объекта в соединителе каталогов

Группы для развертываний безопасности данных гибридного типа

Перед началом работы

1	В соединителе каталогов перейдите к меню Конфигурация и щелкните Выбор объекта.
2	В разделе Тип объекта установите флажок Пользователи и рассмотрите возможность ограничения количества контейнеров, доступных для поиска для пользователей. Например, чтобы синхронизировать только пользователей в определенной группе, необходимо ввести фильтр LDAP в поле фильтров LDAP Пользователи. Чтобы синхронизировать пользователей из группы Example-manager, используйте фильтр, подобный этому: `(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))`
3	Установите флажок Идентифицировать комнату, чтобы отделить данные комнаты от данных пользователей. Щелкните Настройка, чтобы настроить дополнительные атрибуты для идентификации данных пользователей в качестве данных комнаты. Используйте эту настройку, чтобы синхронизировать информацию о локальной комнате из Active Directory с облаком Webex. После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным SIP-адресом отображаются в качестве записей на зарегистрированных в облаке устройствах комнаты. Дополнительную информацию см. в статье Синхронизация информации о локальной комнате с облаком Webex.
4	Установите флажок Группы, если необходимо синхронизировать группы пользователей Active Directory с облаком. Не добавляйте фильтр синхронизации пользователей LDAP в поле «Группы». Для синхронизации данных групп с облаком следует использовать только поле «Группы». По умолчанию группы не синхронизируются для новых клиентов. Необходимо включить синхронизацию группы. Также необходимо синхронизировать группы безопасности.
5	Чтобы синхронизировать контактную информацию пользователей с облаком, установите флажок Контакты. Соединитель каталогов управляет только контактами, синхронизированными с помощью соединителя. Если в Control Hub уже есть контакты, эти контакты не будут удалены. Если контакты удалены из области синхронизации, контактная информация пользователей также будет удалена в Control Hub.
6	Настройте фильтры LDAP. Можно добавить расширенные фильтры, предоставив действительный фильтр LDAP. Дополнительную информацию о настройке фильтров LDAP см. в этой статье.
7	Укажите локальные базовые абонентские номера для синхронизации, щелкнув Выбрать, чтобы просмотреть структуру дерева Active Directory. Здесь можно выбрать или отменить выбор контейнеров для поиска.
8	Убедитесь, что объекты, которые необходимо добавить для этой конфигурации, и щелкните Выбрать. Можно выбрать отдельные или родительские контейнеры для синхронизации. Выберите родительский контейнер, чтобы включить все дочерние контейнеры. Если выбран дочерний контейнер, в родительском контейнере отображается серая галочка, указывающая на то, что дочерний элемент установлен. Затем можно щелкнуть Выбрать, чтобы принять выбранные контейнеры Active Directory. Если в вашей организации все пользователи и группы будут помещены в контейнер "Пользователи", вам не придется искать другие контейнеры. Если ваша организация разделена на единицы организации, выберите OU.
9	Щелкните Применить. Выберите параметр. Применить изменения конфигурации Пробный запуск Отмена Информацию о пробных запусках см. в статье Синхронизация пробного запуска для пользователей Active Directory. Для синхронизации групп необходимо выполнить полную синхронизацию. Полная синхронизация пользователей Active Directory в облако.

Сопоставить атрибуты пользователя

Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid, уникальный идентификатор каждой учетной записи пользователя в облачной службе удостоверений.

1	В соединителе каталогов щелкните Конфигурация и выберите Сопоставление атрибутов пользователя. На этой странице показаны имена атрибутов для Active Directory (слева) и облака Webex (справа). Все обязательные атрибуты отмечены красной звездочкой.
2	Прокрутите вниз до конца поля Имена атрибутов Active Directory и выберите один из этих атрибутов Active Directory для сопоставления с атрибутом облака UID: mail (Почта). Используется в большинстве развертываний для формата электронной почты. userPrincipalName — альтернативный вариант, если атрибут почты используется в других целях в Active Directory. Этот атрибут должен быть в формате электронной почты. Вы можете сопоставить любые другие атрибуты Active Directory с UID, однако рекомендуется использовать mail или userPrincipalName, как описано в руководстве выше. В некоторых случаях для входа используется параметр userPrincipalName, но адрес электронной почты пользователя используется для управления его календарем. Необходимо убедиться, что адрес электронной почты для управления календарем сопоставлен с полем основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. Чтобы узнать, какие атрибуты в Active Directory соответствуют в облаке, см. статью Сопоставление атрибутов Active Directory в соединителе каталогов. Чтобы синхронизация работала, необходимо убедиться, что выбранный атрибут Active Directory указан в формате электронной почты. Если один из рекомендованных атрибутов не выбран, соединитель каталогов отобразит всплывающее окно с напоминанием.
3	Если предопределенные атрибуты Active Directory не работают в вашем развертывании, щелкните раскрывающийся список атрибутов, прокрутите страницу вниз и выберите Настроить атрибут, чтобы открыть окно, с помощью которого можно определить выражение атрибута. Для получения дополнительной информации об выражениях и просмотра примеров их работы щелкните Справка. Дополнительную информацию также см. в разделе Выражения для настраиваемых атрибутов. В этом примере давайте составим атрибуты Active Directory `givenName` и `Sn` с атрибутом облака `displayName`: Определите выражение атрибута как givenName + "" + Sn (кавычки являются дополнительным пространством), а затем укажите адрес электронной почты существующего пользователя для проверки. Щелкните Проверить и проверьте, соответствует ли результат ожидаемым. Успешный результат выглядит следующим образом: Если результаты совпадают с ожидаемыми, щелкните ОК, чтобы сохранить новый настраиваемый атрибут. Позже при необходимости изменить displayName можно ввести новое выражение атрибута Соединитель каталогов проверяет значение атрибута UID в службе удостоверений и получает 3 доступных пользователя в соответствии с текущими параметрами фильтра пользователя. Если все эти 3 пользователя имеют действительный формат электронной почты, в соединителе каталогов Cisco отображается следующее сообщение: Если атрибут не удается проверить, будет отображено следующее предупреждение. Для проверки и исправления данных пользователя можно будет вернуться в Active Directory.
4	(Необязательно) Выберите сопоставления для мобильного и telephoneNumber, если необходимо, чтобы номера мобильных и рабочих телефонов отображались, например, в карточке контакта пользователя в приложении Webex. Данные номера телефона отображаются в приложении Webex при наведении указателя мыши на изображение профиля другого пользователя. Дополнительную информацию о вызовах с помощью карточки контакта пользователя см. в руководстве по развертыванию вызовов в Webex (Unified CM) (администраторы).
5	Выберите дополнительные сопоставления, чтобы дополнительные данные отображались в карточке контакта. `номер отдела` `отображаемое имя` `менеджер` `заголовок` После сопоставления атрибутов информация отображается при наведении указателя мыши на изображение профиля другого пользователя. Дополнительную информацию о карточке контакта см. в статье Проверка пользователя, с которым вы связываетесь. После синхронизации этих атрибутов с каждой учетной записью пользователя можно также включить People Insights в Control Hub. Эта функция позволяет пользователям приложения Webex предоставлять совместный доступ к дополнительной информации в профилях и узнать больше друг о друге. Дополнительную информацию о функции и способах ее включения см. в статье Профессиональные профили для Webex, Jabber, Webex Meetings и Webex Events (новая версия) в Control Hub
6	После выбора щелкните Применить.

Атрибуты Active Directory и облака

В этой таблице сравнивается сопоставление имен атрибутов Active Directory и имен атрибутов облака Cisco. Эти значения и сопоставления являются настройками по умолчанию в соединителе каталогов. В раскрывающемся списке Active Directory можно выбрать различные атрибуты и определить, какой локальный атрибут будет синхронизирован с каким облачным атрибутом.

Имена атрибутов Active Directory	Имена атрибутов облака Webex	Примечания
—	зданиеName	—
с	с	Этот атрибут определяет сокращенную страну пользователя.
номер отдела	номер отдела	Этот атрибут используется для номера отдела пользователя, который отображается в карточке контакта и профессиональных профилях.
отображаемое имя	отображаемое имя	Этот атрибут используется для отображаемого имени учетной записи пользователя, которое отображается в Control Hub, карточке контакта и профессиональных профилях.
Управление учетной записью пользователя	ds-pwp-account-disabled	Этот атрибут используется для синхронизации пользователей. Убедитесь, что атрибут userAccountControl сопоставлен с ds-pwp-account-disabled или синхронизация пользователей не будет выполнена надлежащим образом.
Номер сотрудника	Номер сотрудника	—
факсимильный номер телефона	факсимильный номер телефона	—
—	идентификатор jabberID	Этот облачный атрибут относится к адресам обмена мгновенными сообщениями (тип XMPP), которые используются в Jabber. Это значение не совпадает с sipAddresses.
л	л	Этот атрибут определяет город пользователя.
—	региональные параметры	—
менеджер	менеджер	Этот атрибут используется для имени менеджера пользователя, которое отображается в карточке контакта и профессиональных профилях.
мобильный	мобильный	Этот атрибут используется в качестве номера мобильного телефона, который отображается для вызова пользователя из карточки контакта.
о	о	Этот атрибут указывает название компании или организации и отображается в карточке контакта.
или	или	Этот атрибут указывает имя организационного модуля.
physicalDeliveryOfficeName	physicalDeliveryOfficeName	Этот атрибут определяет местоположение офиса пользователя.
почтовый индекс	почтовый индекс	Этот атрибут определяет почтовый индекс или почтовый индекс пользователя для физической доставки почты.
предпочтительный язык	предпочтительный язык	Этот атрибут задает предпочтительный язык пользователя и поддерживаются следующие форматы. xx_YY или xx-YY. Вот несколько примеров. en_US, en_GB, fr-CA. При использовании неподдерживаемого языка или недопустимого формата предпочтительный язык пользователей будет изменен на язык, установленный для организации.
MSRTCSIP-PrimaryUserAddress ipPhone	SipAddresses;type=предприятие	Этот атрибут используется для синхронизации информации о локальной комнате из Active Directory с облаком Cisco Webex.
sn	sn	Этот атрибут используется для фамилии учетной записи пользователя, которая отображается в Control Hub, карточке контакта и профессиональных профилях.
ул	ул	Этот атрибут указывает штат или область пользователя.
streetAddress	улица	Этот атрибут указывает почтовый адрес пользователя для доставки физической почты.
номер телефона	номер телефона	Этот атрибут определяет основной (рабочий) номер телефона пользователя, который используется для вызова пользователя из карточки контакта.
—	часовой пояс	Этот облачный атрибут определяет часовой пояс пользователя.
заголовок	заголовок	Этот атрибут определяет должность пользователя, которая отображается в карточке контакта и профессиональных профилях.
тип	предприятие	—
почта userPrincipalName	идентификатор	Обязательное сопоставление атрибутов. Для каждой учетной записи пользователя значение Active Directory сопоставляется с уникальным UID в облаке. В некоторых случаях для входа используется параметр userPrincipalName, но адрес электронной почты пользователя используется для управления его календарем. Необходимо убедиться, что адрес электронной почты для управления календарем сопоставлен с полем основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. После этого пользователь сможет войти в систему с помощью любого из этих адресов электронной почты, если установлено правильное сопоставление атрибутов SAML. Информацию о том, как можно сопоставить альтернативный адрес электронной почты, см. в разделе Пример сопоставления атрибутов ниже.
userPrincipalName почта <custom attribute>	электронные сообщения; рабочий тип	Это сопоставление необязательно. Используйте его, если необходимо использовать альтернативные адреса электронной почты. Это адрес электронной почты, который используется для аутентификации; он не используется для управления вашим календарем. Адрес электронной почты, который вы сопоставляете из AD, должен быть из подтвержденного домена в вашей организации. Он должен быть уникальным и не назначен другому пользователю.
<Новый атрибут для объекта пользователя Azure>	внешний идентификатор	Создайте новый атрибут Active Directory для удержания идентификатора объекта пользователя Azure, чтобы он не сталкивался с существующим атрибутом. Затем этот атрибут сопоставляется с атрибутом externalId. Благодаря этому при создании групп в Microsoft 365 пользователи Webex автоматически создают команды в Webex.

Сопоставление альтернативных адресов электронной почты

Выражения для настраиваемых атрибутов

Таблица 5. Выражения для настраиваемых атрибутов
Оператор	Описание и пример
%	Удаляет все символы от начала строки до позиции символа или аргумента строки, если они совпадают. Пример выражения `"abc@example.com" % "@"` Результат `пример.com`
-	Отрезок задней строки ввода от конца указанной строки. Пример выражения `"abc@example.com" – "@"` Результат `абс`
+	Объединяет строки ввода или выражения. Пример выражения `"abc" + "" + "def"` Результат `деф ABC`
\|	Вычисляет разделенные выражения по пустой строке и выбирает первый непустой результат. Пример выражения `"" \| "abc"` Результат `абс`

Синхронизация аватаров каталогов из атрибута Active Directory с облаком

1	В соединителе каталогов перейдите к меню Конфигурация, щелкните Аватар и установите флажок Включить.
2	Для параметра Получить аватар из выберите Атрибут AD, а затем Атрибут аватара, содержащий необработанные данные аватара, которые необходимо синхронизировать с облаком.
3	Чтобы проверить правильность доступа к аватару, введите адрес электронной почты пользователя и щелкните Получить аватар пользователя. Аватар отображается справа.
4	Чтобы сохранить изменения, после проверки правильности отображения аватара щелкните Применить.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей в приложении Webex. После включения этой функции в соединителе каталогов пользователям не разрешается настраивать собственный аватар.
Аватары пользователя синхронизируются с приложением Webex и всеми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Синхронизация аватаров каталогов с сервера ресурсов с облаком

Можно синхронизировать аватары каталога пользователей с облаком, чтобы каждый аватар отображался при входе в приложение Webex. Используйте эту процедуру для синхронизации аватаров с сервера ресурсов.

Перед началом работы

В этой процедуре приведены примеры шаблона URI и значения переменной. Необходимо использовать фактические URL-адреса, по которым расположены аватары каталога.
Шаблон URI аватара и сервер, на котором находятся аватары, должны быть доступны из приложения соединителя каталогов. Соединителю необходим доступ по HTTP или HTTPS к изображениям, однако изображения не должны быть общедоступными в Интернете.
Синхронизация данных аватара отделена от профилей пользователей Active Directory. При запуске прокси необходимо обеспечить доступ к данным аватара с помощью аутентификации NTLM или базовой аутентификации.

1	В соединителе каталогов перейдите к меню Конфигурация, щелкните Аватар и установите флажок Включить.
2	Для параметра Получить аватар от выберите Сервер ресурсов и введите шаблон URI аватара. Например, *`http://www.example.com/dir/photo/zoom/{mail: jpg.?(?=@.)}.`* Давайте рассмотрим каждую часть шаблона URI аватара и что они означают: http://www.example.com/dir/photo/zoom/ – путь к местоположению всех фотографий, которые будут синхронизированы. Это должен быть URL-адрес, к которому должна быть доступна служба соединителя каталогов на вашем сервере. mail: указывает соединителю каталогов на получение значения атрибута mail из Active Directory. .?(?=@.). Синтаксис regex, который выполняет следующие функции: *`.: любой символ, повторяющий ноль или более раз.` `? Сообщает, что предыдущая переменная соответствует как можно большему количеству символов.` `(?= ... ): сопоставление группы после основного выражения без включения ее в результат. Соединитель каталогов выполняет поиск соответствия и не включает его в выходные данные.` `@.: символ at, за которым следует любой символ, повторяющийся ноль или более раз.`* `.jpg: расширение файла для аватаров пользователей. Ознакомьтесь с поддерживаемыми типами файлов в этом документе и измените расширение соответствующим образом.`
3	(Необязательно) Если на сервере ресурсов требуются учетные данные, установите флажок Задать учетные данные пользователя для аватара, затем выберите Использовать текущего пользователя для входа в службу или Использовать этого пользователя и введите пароль.
4	Введите значение переменной. Например: `abcd@example.com`.
5	Щелкните Тест, чтобы убедиться в правильности работы шаблона URI аватара. В этом примере, если значение почты для одной записи AD — `abcd@example.com`, а изображения JPG синхронизированы, URI последнего аватара — `http://www.example.com/dir/photo/zoom/abcd.jpg`
6	После того как информация URI будет подтверждена и будет отображена верно, щелкните Применить. Подробную информацию об использовании регулярных выражений см. в статье Краткая справка по языку регулярных выражений Microsoft.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей в приложении Webex. После включения этой функции в соединителе каталогов пользователям не разрешается настраивать собственный аватар.
Аватары пользователя синхронизируются с приложением Webex и всеми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Синхронизация информации о локальной комнате с облаком Webex

1	В соединителе каталогов перейдите к меню Синхронизация, щелкните рядом с синхронизированным доменом, щелкните Конфигурация и выберите Выбор объекта.
2	Установите флажок параметра Синхронизировать информацию о комнате с облаком, чтобы отделить данные комнаты от данных пользователя во время синхронизации. Если эта настройка отключена, данные комнаты обрабатываются так же, как синхронизированные данные пользователей.
3	Перейдите к меню Сопоставление атрибутов и измените сопоставление атрибутов для облачного атрибута sipAddresses;type=enterprise. Для использования проверки значения значение SIP-адреса должно быть Pattern.compile("^([^@])(.)@(.)$") Выберите MSRTCSIP-PrimaryUserAddress, если он доступен. Если указанный выше атрибут отсутствует в схеме Active Directory, используйте другое поле, например ipPhone.
4	Создайте почтовый ящик ресурса комнаты в Exchange. Будет добавлен атрибут msExchResourceMetaData;ResourceType:Room, который затем используется соединителем для идентификации комнат.
5	В разделе "Пользователи и компьютеры Active Directory" перейдите к свойствам комнаты и измените их. Добавьте полностью квалифицированный URI SIP с префиксом sip:
6	Выполните пробную синхронизацию, а затем полную синхронизацию на соединителе. Новые объекты комнаты перечислены в списке Добавленные объекты, а совпадающие объекты комнаты отображаются в разделе Совпадающие объекты в отчете пробного запуска. Все объекты комнат, отмеченные для удаления, находятся в разделе Удаленные комнаты. В результатах пробного запуска отображаются все совпадающие ресурсы комнаты. Эта настройка отделяет данные комнаты Active Directory (включая атрибут комнаты) от данных пользователя. По завершении синхронизации в облачной статистике на инструментальной панели соединителя отображаются данные комнаты, синхронизированные с облаком.

Дальнейшие действия

В Control Hub можно автоматически импортировать комнаты из каталога и создавать рабочие пространства.

Отправка отчетов по электронной почте о результатах синхронизации каталога

1	В соединителе каталогов щелкните Конфигурация и выберите Уведомление.
2	В соединителе каталогов щелкните Настройки и рядом с параметром Получатель электронной почты включите параметр Включить синхронизацию отчета.
3	Чтобы переопределить поведение при уведомлении по умолчанию и добавить одного или нескольких получателей электронных сообщений, установите флажок Включить уведомление.
4	Щелкните Добавить и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом будет отображено сообщение с предложением исправить ошибку, прежде чем вы сможете сохранить и применить изменения.
5	Щелкните Добавить адрес электронной почты и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом будет отображено сообщение с предложением исправить ошибку, прежде чем вы сможете сохранить и применить изменения.
6	Если необходимо изменить введенные адреса электронной почты, дважды щелкните запись электронной почты в левом столбце и внесите необходимые изменения.
7	После добавления всех действительных адресов электронной почты щелкните Применить.
8	После добавления всех действительных адресов электронной почты щелкните Сохранить.

Дальнейшие действия

Подготовка пользователей из Active Directory в Control Hub

1	Выполнение пробной синхронизации пользователей Active Directory Выполните пробный запуск для сравнения объектов в локальном каталоге Active Directory и объектов в облаке Webex. Пробный запуск позволяет просмотреть, какие объекты будут добавлены, изменены или удалены, прежде чем будет запущена полная или инкрементная синхронизация и произведены изменения в облаке.
2	Выполнение полной синхронизации пользователей Active Directory в облако При выполнении полной синхронизации служба соединителя отправляет все отфильтрованные объекты из вашего Active Directory (AD) в облако. Затем служба соединителя обновит хранилище удостоверений с учетом ваших записей AD. Если создан шаблон автоматического назначения лицензий, его можно назначить только синхронизированным пользователям.
3	Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub После завершения полной синхронизации пользователей с помощью соединителя каталогов в Control Hub можно назначить лицензии службы Webex различными способами. Рекомендуется настроить шаблон автоматического назначения лицензий перед его использованием для новых пользователей приложения Webex, синхронизированных из Active Directory. Отдельные изменения также можно внести после этого начального этапа.

Выполнение пробной синхронизации пользователей Active Directory

Перед началом работы

1	Выберите один из вариантов. После первого входа в систему щелкните Да в окне подсказки, чтобы выполнить пробный запуск. Если вы пропустите напоминание о пробном запуске, в любой момент в соединителе каталогов щелкните Инструментальная панель, выберите Пробный запуск синхронизации, а затем щелкните ОК, чтобы начать синхронизацию пробного запуска. По завершении пробного запуска будет отображен один из приведенных ниже результатов. *Обнаружены несовпадающие объекты в соединителе каталогов* Сводная информация о результатах пробного запуска отчетов и несовпадающих объектах в соединителе каталогов Сводная информация содержит информацию о сопоставлении объектов: Сопоставленные объекты. Пользователь, который находится в общих параметрах идентификации Webex и существует в домене Active Directory, например, если пользователь @cisco.com был синхронизирован с Webex и отображен в Control Hub, а такой же пользователь (someuser@cisco.com) существует в Active Directory. Это означает, что пользователь сопоставляется. Несовпадающие объекты. Пользователь, работающий в Webex, независимо от того, как он был добавлен в Common Identity, но он не существует в Active Directory. Он называется несовпадающим объектом. Например, если адрес someuser@cisco.com был синхронизирован с Webex и отображен в Control Hub, но тот же пользователь (someuser@cisco.com) не управляется Active Directory, в отчете отображается несоответствие пользователя. Пробный запуск идентифицирует пользователей по сравнению с пользователями домена. Приложение может идентифицировать пользователей, принадлежащих к текущему домену. На следующем шаге необходимо решить, следует ли удалить объекты или сохранить их. Несоответствующие объекты идентифицируются как уже существующие в облаке Webex, но не существующие в локальном каталоге Active Directory.
2	Просмотрите результаты пробного запуска и выберите параметр в зависимости от того, используете ли вы один или несколько доменов. Единый домен. Определите, следует ли сохранить несопоставленных пользователей. Если необходимо сохранить их, выберите Нет, сохранить объекты. Если нет, выберите Да, удалить объекты. После выполнения этих действий и запуска вручную полной синхронизации для обеспечения точного соответствия локального местоположения и облака соединитель каталогов автоматически включит запланированные задачи автоматической синхронизации. Несколько доменов. Для организации с доменами A и B сначала выполните пробный запуск домена A. Если необходимо сохранить несовпадающих пользователей, выберите Нет, сохранить объекты. (Эти несовпадающие пользователи могут быть участниками домена B.) Если необходимо удалить, выберите Да, удалить объекты. Если пользователи не будут отображены, сначала запустите полную синхронизацию для домена A, а затем выполните пробный запуск для домена B. Если пользователи не совпадают, добавьте этих пользователей в Active Directory, а затем выполните полную синхронизацию для домена B. При точном совпадении локального местоположения и облака соединитель каталогов автоматически включает запланированные задачи автоматической синхронизации.
3	В запросе Подтвердить пробный запуск щелкните Да, чтобы повторить синхронизацию пробного запуска, а затем просмотреть инструментальную панель и просмотреть результаты. Все учетные записи, которые были успешно синхронизированы в пробном запуске, отображаются в разделе Сопоставленные объекты. Если у пользователя в облаке нет соответствующего пользователя с тем же адресом электронной почты в Active Directory, запись будет отображена в разделе Удаленные пользователи. Чтобы избежать этого флажка удаления, можно добавить пользователя в Active Directory с тем же адресом электронной почты. Чтобы просмотреть сведения о синхронизированных элементах, щелкните соответствующую вкладку для определенных элементов или Сопоставленные объекты. Чтобы сохранить сводную информацию, щелкните Сохранить результаты в файл.
4	Если ожидаются результаты, перейдите к меню Действия > Режим синхронизации > Включить синхронизацию, а затем щелкните Включить сейчас, чтобы выполнить синхронизацию вручную и перевести в ручной режим на данный момент. После синхронизации последнего домена Active Directory в развертывании с несколькими доменами необходимо включить автоматический режим для соединителя каталогов. Автоматический режим можно включить, только когда объекты полностью сопоставляются между облаком Webex и всеми локальными Active Directory.

Дальнейшие действия

Для сохранения любых несовпадающих объектов пользователей необходимо добавить их в Active Directory, чтобы обеспечить точное соответствие между локальной системой и облаком.
Выберите тип синхронизации:
- Выполните полную синхронизацию пользователей Active Directory в облако при первой синхронизации новых пользователей с облаком. Это можно сделать в меню Действия > Синхронизировать сейчас > Полный, после чего будут синхронизированы пользователи из текущего домена.
- Настройте расписание соединителя и Запустить инкрементную синхронизацию после запуска полной синхронизации и при необходимости применить изменения после начальной синхронизации. Этот тип синхронизации рекомендуется учитывать небольшие изменения, внесенные в источник пользователя Active Directory.
  
  По умолчанию инкрементная синхронизация выполняется каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация.
Если у вас несколько доменов, повторите эти действия в любом другом установленном соединителе каталогов.

Что следует учитывать

Если соответствующие пользователи помечены как удаленные и вы не уверены, как продолжить, см. информацию об устранении неполадок и обращение в службу поддержки в статье Устранение неполадок и исправления соединителя каталогов.

Удаленные пользователи хранятся в облачной службе удостоверений в течение 7 дней до окончательного удаления.

Выполнение полной синхронизации пользователей Active Directory в облако

Перед началом работы

Чтобы учетные записи пользователей приложения Webex оставались в активном состоянии после полной синхронизации и перед первым входом пользователей в систему, необходимо выполнить следующие действия для обхода проверки адреса электронной почты.
- Интегрируйте систему единого входа в свою организацию Webex. См. Единый вход со службами Cisco Webex и поставщиком удостоверений вашей организации для получения дополнительной информации.
- Используйте Control Hub для проверки и при необходимости заявления доменов, содержащихся в адресах электронной почты. См. Добавление, проверка и заявление доменов.
- Блокировать автоматические электронные приглашения, чтобы новые пользователи не получали автоматические электронные приглашения в приложение Webex. (Можно выполнить собственную рассылку по электронной почте.)
  
  Состояние активированных пользователей, которые не вошли в систему, отображается в Control Hub с состоянием Проверено. После входа в систему они отображаются как Активные. Дополнительную информацию о состояниях пользователей см. в статье Действия и состояния пользователей в Cisco Webex Control Hub.
После включения синхронизации соединитель каталогов сначала попросит выполнить пробный запуск. Для выявления возможных ошибок рекомендуется выполнить пробный запуск до полной синхронизации.
Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.

Если шаблоны автоматического назначения лицензий не используются, новые синхронизированные пользователи автоматически получат бесплатные лицензии. Они смогут использовать те же бесплатные функции, что и у бесплатных учетных записей.

1	Выберите один из вариантов. Если после первого входа пробный запуск завершен и он выглядит правильным для всех доменов, щелкните Включить сейчас, чтобы разрешить автоматическую синхронизацию. В соединителе каталогов перейдите к инструментальной панели, щелкните Действия, выберите Режим синхронизации > Включить синхронизацию, а затем щелкните Синхронизировать сейчас > Полный, чтобы начать синхронизацию.
2	В соединителе каталогов перейдите к меню Синхронизация, щелкните рядом с синхронизированным доменом, щелкните Конфигурация и выберите Полная синхронизация.
3	Подтвердите начало синхронизации. Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов после выполнения синхронизации. Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac. Во время синхронизации на инструментальной панели отображается ход выполнения синхронизации. Это может включать тип синхронизации, время ее начала и этап, на котором выполняется синхронизация. После синхронизации разделы Последняя синхронизация и Статистика облака будут обновлены с учетом новой информации. Данные пользователя синхронизированы с облаком. Если во время синхронизации возникают ошибки, индикатор состояния становится красным.
4	Чтобы обновить состояние синхронизации, щелкните Обновить. (Синхронизированные элементы отображаются в разделе Облачная статистика.)
5	Чтобы просмотреть журналы ошибок, выберите Запустить средство просмотра event-совещаний на панели инструментов Действия.
6	Чтобы настроить график синхронизации для текущей инкрементной синхронизации с облаком, см. статьи Установка графика соединителя и Запуск инкрементной синхронизации.

После завершения полной синхронизации состояние синхронизации каталога обновляется из Отключенов В рабочем состояниина странице Настройкив Control Hub.
При сопоставлении всех данных между локальной системой и облаком соединитель каталогов переключается с ручного режима на режим автоматической синхронизации.
Если вы не интегрируете систему единого входа, подтвердите домены и при необходимости заявите домены для синхронизированных учетных записей электронной почты и не заблокируете автоматическую рассылку по электронной почте, учетные записи пользователей приложения Webex будут оставаться в состоянии "Не проверен" до тех пор, пока пользователи не войдут в приложение Webex впервые для подтверждения своих учетных записей. Инструкции по синхронизации учетных записей в качестве Активных пользователей см. в разделе "Перед началом работы".
Если у вас несколько доменов, выполните это действие в любом другом установленном соединителе каталогов. После синхронизации пользователи всех добавленных доменов будут отображены в Control Hub.
Если система единого входа интегрирована с Webex и заблокированными электронными уведомлениями, электронные приглашения не будут отправляться только синхронизированным пользователям.
После включения соединителя каталогов вручную добавить пользователей в Control Hub невозможно. После включения управление пользователями осуществляется с помощью соединителя каталогов Cisco, а Active Directory является единственным источником достоверных данных.
Все синхронизированные группы отображаются в Control Hub. Можно назначить шаблон лицензии, чтобы пользователям в этой группе назначались лицензии.

Дальнейшие действия

При удалении пользователя из Active Directory он будет программно удален после следующей синхронизации. Пользователь становится неактивным, однако профиль удостоверения в облаке сохраняется в течение семи дней (для восстановления после случайного удаления).

Если в Active Directory установлен флажок Учетная запись отключена, пользователь становится неактивным после следующей синхронизации. Профиль удостоверения облака не будет удален по истечении семи дней, если вы хотите снова включить пользователя.
Обратите внимание на эти исключения на инкрементную синхронизацию (вместо этого выполните все действия по синхронизации выше).
- В случае обновления аватара, но другие атрибуты не будут изменены, при инкрементной синхронизации аватар пользователя не будет обновлен в облаке.
- Изменения конфигурации сопоставления атрибутов, базового абонентского номера, фильтра и аватара требуют полной синхронизации.

Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.
Выполните пробную синхронизацию пользователей Active Directory.
После подтверждения результатов пробного запуска выполните полную синхронизацию пользователей Active Directory.

Выберите параметр.

Дальнейшие действия

Если электронные сообщения не блокируются, каждому пользователю будет отправлено электронное сообщение с приглашением присоединиться и скачать Webex.
Если вы выбрали одни и те же службы Webex для всех пользователей, после этого можно изменить назначенную лицензию индивидуально или массово.

Связанная информация

Известные проблемы с соединителем каталогов

В версиях Windows Server, предшествующих 2012 R2, возникает проблема с файлами cookie, которая влияет на соединитель каталогов. Эта проблема исправлена в версиях 2012 R2 и 2016.
Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов с момента выполнения синхронизации.

Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac.
Если пользователь использует приложение Webex на настольном или мобильном устройстве для поиска и вызова комнаты, в которой есть только синхронизированный URI SIP, вызов поступает в данный момент бессрочно.

Управление пользователями приложения Webex

Запустить инкрементную синхронизацию

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.
Обратите внимание на следующие исключения, которые не поддерживают инкрементную синхронизацию (вместо этого выполните полную синхронизацию пользователей Active Directory в облако ).
- В случае обновления аватара, но другие атрибуты не будут изменены, при инкрементной синхронизации аватар пользователя не будет обновлен в облаке.
- Для новых изменений конфигурации сопоставления атрибутов, базового абонентского номера, фильтра и настройки аватара инкрементная синхронизация не будет работать, и для них требуется полная синхронизация.

1	В соединителе каталогов щелкните Инструментальная панель. После включения синхронизации соединитель каталогов сначала попросит выполнить пробный запуск.
2	В меню Действия щелкните Режим синхронизации > Включить синхронизацию , если эта функция еще не включена. По умолчанию инкрементная синхронизация выполняется каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация. Когда установлен новый добавочный интервал времени, программа проверяет изменения на основе последней метки времени.
3	В меню Действия щелкните Синхронизировать сейчас > Инкрементный. Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов с момента выполнения синхронизации. Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac. Во время синхронизации на инструментальной панели отображается ход выполнения синхронизации. Это может включать тип синхронизации, время ее начала и этап, на котором выполняется синхронизация. После синхронизации разделы Последняя синхронизация и Статистика облака будут обновлены с учетом новой информации. Если во время синхронизации возникают ошибки, индикатор состояния становится красным.
4	Чтобы просмотреть журналы ошибок, щелкните Запустить средство просмотра event-совещаний на панели инструментов Действия .

Дальнейшие действия

Восстановление случайно удаленных пользователей

1	Войдите в Control Hub.
2	Перейдите в раздел Пользователи и убедитесь, что конкретная учетная запись пользователя находится в неактивном состоянии или скрыта. Дополнительную информацию см. в статье Действия и состояния пользователей в Control Hub.
3	Если пользователи были удалены в Control Hub или вы заметили, что пользователи находятся в неактивном состоянии, перейдите в Active Directory, добавьте отсутствующие учетные записи пользователей и выполните пробную синхронизацию в соединителе каталогов. Цель соединителя каталогов заключается в том, чтобы обеспечить точное соответствие информации о пользователях в Active Directory и в облаке.
4	Выполните полную синхронизацию, чтобы повторно синхронизировать временно удаленные учетные записи пользователей с Control Hub. Пользователи восстановлены и перейдут к исходному состоянию, включая состояние их учетной записи и назначения служб.

Дальнейшие действия

Удаление пользователей без возможности восстановления после мягкого удаления

1	По завершении пробного запуска выберите Мягко удаленные объекты.
2	Установите флажок рядом с пользователями, которых необходимо удалить.
3	Нажмите Готово.

Дальнейшие действия

При следующей синхронизации выбранные пользователи будут удалены без возможности восстановления.

Изменение адреса электронной почты приложения Webex

Чтобы изменить адреса электронной почты пользователей без изменения домена, выполните приведенные ниже действия.
1. Откройте учетную запись пользователя (например, user1@example.com) в Active Directory и измените адрес электронной почты (например, user2@example.com).
2. Возобновить синхронизацию в соединителе каталогов.
  
  После следующей синхронизации изменения отобразятся в списке пользователей в Control Hub, а для пользователей в приложении Webex после обновления кэша.
  
  При использовании этого метода потери данных или пространств не происходит. Уникальный идентификатор пользователя устанавливается в облаке после первой синхронизации. Все последующие синхронизации основаны на этом идентификаторе.
В развертывании с несколькими доменами с соединителем каталогов для изменения адресов электронной почты пользователей при изменении домена (рассмотрите example1.com старый домен и example2.com новый домен):
1. Для старой учетной записи пользователя (user1@example1.com) обратите внимание на атрибут Active Directory, который сопоставляется с атрибутом облака UID . Для новой учетной записи необходимо использовать то же значение Active Directory. В этом примере в качестве локального атрибута будет использоваться user1@example1.com для сопоставления с uid в облаке.
2. Приостановите синхронизацию в соединителе каталогов, например1.com и example2.com.
3. Создайте новую учетную запись пользователя на веб-сайте example2.com и используйте тот же атрибут, указанный выше. (Например, user1@example1.com).
4. В соединителе каталогов возобновите синхронизацию, например2.com
  
  Прежде чем продолжить, проверьте, синхронизируется ли учетная запись пользователя1@example2.com с Control Hub. Рекомендуется порекомендовать пользователю проверить изменение адреса электронной почты в приложении Webex и сохранить все данные (пространства, сообщения, совещания, файлы и т. д.).
  
  Этот метод не приводит к потере данных или пространств, однако в новой учетной записи пользователя необходимо убедиться в том, что атрибут Active Directory, который сопоставляется с атрибутом UID облака, сохраняется из старой учетной записи пользователя. При изменении значения Active Directory в новой учетной записи не сохраняются данные старой учетной записи.
5. После подтверждения изменения адреса электронной почты и сохранения данных удалите старую учетную запись пользователя на example1.com, а затем используйте соединитель каталогов для возобновления синхронизации, например1.com.
  
  На этом этапе можно безопасно обновить адрес электронной почты в новом домене Active Directory для пользователя1@example2.com.

Изменение домена Active Directory

1	Настройте новый домен Active Directory (AD).
2	Отключите синхронизацию на всех соединителях.
3	Удалите все соединители.
4	Зарегистрируйте обращение для изменения домена. При отправке запроса на удаление конфигурации домена и всех атрибутов синхронизации в организации обязательно выполните запрос. Прежде чем зарегистрировать обращение для изменения домена, убедитесь, что синхронизация не запущена. Не изменяйте адреса электронной почты пользователей в Active Directory, пока обращение не будет решено.
5	После завершения рассмотрения дела. Установите соединитель каталогов на том же сервере, что и для нового домена Active Directory. Настройте соединитель каталогов так, чтобы он указывал на новый домен Active Directory. Если в Control Hub есть существующие пользователи (https://admin.webex.com), убедитесь, что пользователи с совпадающими адресами электронной почты также присутствуют в Active Directory. Если в вашей организации отключена функция `softDelete` в DirSync, адреса электронной почты пользователей, которые находятся в Control Hub, но не находятся в состоянии удаления Active Directory. Перед фактической синхронизацией выполните тестовый запуск с соединителем каталогов.

Заявление домена

Связанная информация

Преобразование пользователей бесплатного приложения Webex в организацию, синхронизированную с каталогом

Если эти пользователи не будут добавлены, они будут удалены при синхронизации с облаком.

1	Отключите синхронизацию каталога в соединителе каталогов.
2	Выполните процедуру Преобразование нелицензированных пользователей в Control Hub , чтобы преобразовать пользователя из бесплатной клиентской организации в корпоративную. На этом этапе пользователь будет добавлен в вашу организацию, и учетная запись будет отображена в Control Hub. Соединитель каталогов делает Active Directory единственным источником достоверных данных для учетных записей пользователей, и целью является точное соответствие Active Directory и Control Hub. Перед повторной синхронизацией убедитесь, что для всех недавно преобразованных пользователей имеются совпадающие пользователи в Active Directory. Чтобы убедиться, что несовпадающих пользователей не осталось, можно выполнить пробную синхронизацию.
3	Выполните пробную синхронизацию в соединителе каталогов. По завершении пробной синхронизации проверьте вкладку "Добавить объекты". Убедитесь, что никакие преобразованные пользователи не удалены. Перед повторным включением синхронизации необходимо выполнить пробную синхронизацию, чтобы убедиться в том, что все преобразованные учетные записи пользователей отображаются в Active Directory. Если синхронизация включена и учетные записи находятся только в Control Hub, соединитель каталогов чувствителен к регистру и удаляет преобразованных пользователей, которые будут обнаружены с несовпадающими адресами электронной почты (например, user1@example.com и User1@example.com). При удалении преобразованных пользователей все пространства приложения Webex будут утрачены.
4	Если вы уверены, что при следующей синхронизации не будут удалены какие-либо учетные записи, снова включите синхронизацию каталога в соединителе каталогов.

Преобразованные учетные записи пользователей не будут активированы автоматически, если домен не был подтвержден. Например, если вы включили шаблон автоматического назначения лицензий, а затем включили соединитель каталогов без проверки домена, преобразованные пользователи будут неактивны в облачном сервере до тех пор, пока не подтвердят свои адреса электронной почты.

Перенесенные учетные записи пользователей приложения Webex

Изменение формата имени пользователя приложения Webex после синхронизации каталога

По умолчанию соединитель каталогов сопоставляет атрибут displayName в Active Directory с атрибутом displayName в облаке.

После выполнения синхронизации каталога имена пользователей могут отображаться в формате .

Кроме того, сопоставьте атрибут sn givenName с displayName:

Разрешение пользователям изменять отображаемые имена в Webex Meetings

1	В соединителе каталогов щелкните Конфигурация и выберите Сопоставление атрибутов пользователя.
2	Выберите displayName в разделе Name Attribute Cloud Cisco (Имя атрибута облака Cisco).
3	Выберите Не синхронизировать этот атрибут.

Дальнейшие действия

Теперь пользователи могут редактировать свои отображаемые имена на веб-сайте Webex.

Устранение неполадок соединителя каталогов

Модернизация до последнего выпуска программного обеспечения

1	Чтобы начать процесс модернизации, щелкните уведомление на панели задач Windows или щелкните правой кнопкой мыши пиктограмму соединителя каталогов на панели задач Windows.
2	Чтобы завершить модернизацию, следуйте инструкциям.
3	Перезапустите соединитель и войдите с помощью учетных данных администратора.
4	Проверьте номер версии программного обеспечения в разделе Справка > О программе.

Дальнейшие действия

Настройка общих параметров соединителя каталогов

Используйте эту процедуру для настройки общих параметров, таких как имя сервера, на котором запущен соединитель каталогов, уровни журналов, автоматическая модернизация и предпочтительные параметры для контроллеров домена. Имя соединителя отображается на инструментальной панели в разделе соединителей вместе с другими запущенными соединителями.

1	В соединителе каталогов перейдите к меню Конфигурация и щелкните Общие.
2	В поле Имя соединителя введите имя соединителя. В этом поле отображается только имя компьютера, на котором в данный момент запущен соединитель.
3	В раскрывающемся списке выберите уровень журнала. По умолчанию для уровня журнала задано значение info. Доступные уровни журналов: Информация (по умолчанию). Отображает информационные сообщения с информацией о ходе работы приложения на высоком уровне. Используйте эту настройку, чтобы получать отчеты после всех полных синхронизаций. Предупреждение: отображает потенциально опасные ситуации. Отладка. Отображает подробные информационные события, наиболее полезные для отладки приложения. При возникновении какой-либо проблемы установите этот уровень журнала и отправьте журнал event-совещания в службу поддержки при регистрации обращения. Ошибка. Отображает события ошибки, которые по-прежнему могут позволить приложению продолжить работу. При выборе этого параметра отчеты о синхронизации будут отправляться только в случае сообщений об ошибках. Эти настройки влияют на отчет о синхронизации, который отправляется по электронной почте. Если для уровня журнала задано значение «Ошибка», в отчете о синхронизации регистрируются только ошибки. Если ошибки отсутствуют, отчет о синхронизации не отправляется. Измените настройку на "Информация", затем вы получите отчеты о синхронизации после полной синхронизации. (Имейте в виду, что при инкрементной синхронизации отчеты не отправляются, если нет сообщений об ошибках.)
4	Выберите Предпочтительные контроллеры домена , чтобы задать порядок синхронизации удостоверений. Доступ к контроллерам домена осуществляется сверху вниз. Если верхний контроллер недоступен, выберите второй контроллер в списке. Если контроллер не указан в списке, можно получить доступ к основному контроллеру.
5	Для автоматической модернизации установите флажок параметра Автоматическая модернизация до новой версии соединителя каталогов Cisco . Всегда важно поддерживать актуальность программного обеспечения соединителя каталогов Cisco до последней версии. Рекомендуется установить эту настройку, чтобы разрешить автоматическую модернизацию программного обеспечения устанавливать в фоновом режиме, когда она станет доступной.
6	Установите флажок LDAP по SSL , чтобы в качестве протокола соединения использовать безопасный LDAP (LDAPS). Если не установлен флажок LDAP через SSL, соединитель каталогов продолжит использовать протокол соединения LDAP. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в инфраструктуре. Связь LDAPS зашифрована и защищена.

Настройка политики соединителя

1	В соединителе каталогов щелкните Конфигурация и выберите Политика.
2	Если необходимо добавить триггер порогового значения, установите флажок в поле Включить триггер удаления порогового значения . При выборе этого параметра будет отправлено предупреждение, если количество удалений превышает пороговое значение. Если учетная запись удаления превышает заданную вами, синхронизация не будет выполнена.
3	Введите максимальное количество удалений. Значение по умолчанию — 20. Не рекомендуется увеличивать значение по умолчанию.
4	Нажмите Применить.

Настройка графика соединителя

1	В соединителе каталогов щелкните Конфигурация и выберите Запланировать.
2	Укажите интервал инкрементной синхронизации в минутах. По умолчанию установлена инкрементная синхронизация каждые 30 минут. Полная инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация.
3	Чтобы изменить частоту отправки отчетов, измените значение Отправлять отчеты для...времени .
4	Установите флажок Включить график полной синхронизации , чтобы указать дни и время, в которые должна произойти полная синхронизация.
5	Укажите интервал отработки отказа в минутах.
6	Нажмите Применить.

Сценарии с несколькими доменами

Объекты с одинаковым ключевым значением связаны в одной записи в базе данных.

Пример сценария использования для нескольких доменов

В этом примере предполагается организация с двумя доменами: example1.com и example2.com в порядке приоритета.

Добавить пользователя1 (адрес электронной почты: user@example1.com) в Active Directory на странице example1.com.
Добавить группу1 (название группы: Тест) в Active Directory на примере example1.com.
Добавить пользователя2 (адрес электронной почты: user@example2.com) в Active Directory на примере example2.com.
Добавить группу2 (имя группы: Тест) в Active Directory на примере example2.com.

Синхронизация на example1.com

Синхронизация на example1.com и example2.com

Рассмотрим следующие шаги.

Удалите пользователя1 и группу1 в Active Directory, например1.com.
Выполните полную или инкрементную синхронизацию, например1.com.
Результат: информация о пользователе не изменяется в https://admin.webex.com. Пользователь2 не связан с пользователем1, а группа2 не связана с группой1.
Выполните инкрементную синхронизацию, например2.com.
Результат: информация о пользователе не изменяется в https://admin.webex.com.
Выполните полную синхронизацию, например2.com.
Результат: Информация о пользователе2 и группе2 отображается в https://admin.webex.com.

Синхронизация нового домена и сохранение существующего

Установка приоритета домена

Используйте эту процедуру для изменения приоритета доменов Active Directory. Приоритет домена позволяет определить основной домен, дополнительный домен и т. д. Это помогает, если два пользователя из двух разных доменов имеют одно и то же значение адреса электронной почты, синхронизированное с одной организацией.

Перед началом работы

1	В соединителе каталогов Cisco щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Задать приоритет домена.
3	Выделите один домен в списке, щелкните Вверх или Вниз , чтобы изменить приоритет этого домена, а затем щелкните Сохранить , чтобы сохранить это изменение. Домены сортируются по приоритету сверху вниз.

Переключить домены

Используйте эту процедуру для повторного связывания соединителя каталогов Cisco с другим доменом.

Перед началом работы

Перед переключением доменов убедитесь, что задачи синхронизации не выполняются.
Во избежание ошибок установите или модернизируйте соединитель каталогов Cisco до последней версии. Его необходимо скачать из Control Hub.

1	В соединителе каталогов Cisco щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Переключить домен.
3	Если после ознакомления с предупреждением вы понимаете влияние этого изменения на развертывание и все еще уверены, щелкните Да. При переключении домена выход из текущего соединителя каталогов Cisco будет выполнен, другие домены в соединителе будут отменены, а информация о соединителе на этом компьютере будет удалена.
4	Снова войдите в соединитель каталогов Cisco и повторно подключите домен.

Выключить синхронизацию каталога

Щелкните "Дополнительно" и затем щелкните Выключить рядом с экземпляром соединителя, который необходимо выключить.
Чтобы остановить синхронизацию со всех экземпляров соединителя, щелкните Выключить все синхронизации каталогов .

После прочтения подсказки щелкните Выключить.

Синхронизация будет остановлена до повторного включения в соединителе каталогов.

Удалить сопоставление атрибутов пользователя

1	В соединителе каталогов щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Сервисные программы > Удалить сопоставление атрибутов пользователя.
3	Выберите сопоставление, которое необходимо удалить из списка Имя атрибута .
4	В разделе Затронутая область пользователя выберите один из приведенных ниже параметров. Только пользователи, синхронизированные с соединителем каталогов. сопоставление будет удалено только у пользователей, которые ранее синхронизировали соединитель каталогов. Все пользователи. сопоставление будет удалено у всех пользователей Active Directory.
5	Нажмите Применить.

Управление изображениями профиля

1	В соединителе каталогов щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Сервисные программы > Управление изображениями профиля.
3	В разделе Действия выберите один из приведенных ниже вариантов. Удаление изображений профиля для пустых источников аватара. если изображение профиля Active Directory пустое, этот параметр гарантирует удаление изображений профилей пользователей из облака, даже если пользователь ранее загрузил собственное изображение в Webex. Повторно загрузите из синхронизированного источника для переопределения кэшированных изображений. Соединитель каталогов использует тот же каталог Active Directory, что и предыдущие, для обновления изображений профилей для всех пользователей. Это гарантирует отсутствие несоответствия между изображениями профиля в Active Directory и облаке.
4	Нажмите Применить.

Удаление и деактивация соединителя каталогов

Вы больше не хотите использовать синхронизацию каталога.
Не следует использовать один из нескольких соединителей каталогов (высокая доступность).
Необходимо изменить домен и установить другой соединитель.

Перед началом работы

Для высокой доступности может быть настроено несколько экземпляров соединителя каталогов, или синхронизация нескольких доменов. Отключите синхронизацию при удалении единственного или последнего экземпляра соединителя каталогов.
Перед удалением соединителя каталогов сохраните и закройте все важные работы.

1	На компьютере Windows перейдите на панель управления и щелкните Программы и компоненты.
2	В списке программ щелкните Соединитель каталогов, выберите Удалить и следуйте подсказкам. Для завершения удаления может потребоваться перезагрузка системы.
3	В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню Управление > Настройки организации, прокрутите страницу до раздела Синхронизация каталога, щелкните Дополнительно , а затем щелкните Деактивировать рядом с экземпляром соединителя каталогов, который необходимо удалить.
4	После прочтения подсказки щелкните Деактивировать. Если в развертывании высокой доступности не установлен другой соединитель каталогов, учетные записи пользователей больше не синхронизируются.

Запуск средства диагностики

Запуск тестов для служб домена Active Directory.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку AD-DS , введите домен , затем щелкните Загрузить контроллеры доменов.
2. Выберите из списка один контроллер домена.
  
  Не изменяйте запись позже, поскольку инкрементный поиск всегда должен выполняться на одном и том же контроллере домена.
3. По умолчанию выполняются поиск всех путей, однако можно выбрать один атрибут , а затем щелкнуть Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , например Пользователи и Группа , а также фильтры поиска.
5. Установите флажок Автоматически заполнять файлы cookie , чтобы автоматически создавать файлы cookie для поиска.
6. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы выполнить тесты для служб облегченного каталога Active Directory, выполните указанные ниже действия.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку AD-LDS , введите Хост и Порт, а затем щелкните Загрузить разделы.
2. Выберите раздел в списке и щелкните Подключить.
3. По умолчанию выполняются поиск всех путей, однако можно выбрать один атрибут , а затем щелкнуть Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , такие как фильтры Пользователь, UserProxy и UserProxyFull и поиска.
5. Установите флажок Автоматически заполнять файлы cookie , чтобы автоматически создавать файлы cookie для поиска.
6. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы запустить тесты протокола LDAP, выполните следующие действия.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку RAW LDAP , введите корневой путь, фильтр и выберите запись в разделе Атрибуты , затем щелкните Загрузить разделы.
2. При необходимости установите флажки следующих параметров.
  - ObjectSecurity. При наличии этого параметра вызывающий абонент не требует прав и может видеть только доступные для вызывающего абонента объекты и атрибуты. Если этот параметр отсутствует, вызывающий абонент имеет право копировать изменения.
  - РодителиFirst (Сначала родители). Обеспечивает, чтобы все родители детей приходили раньше своих детей.
3. Выберите значение для ExtendedDN.
  
  Это значение используется в расширенном поиске LDAP для запроса расширенной формы Distinguished Name объекта.
4. Выберите значение для ReferralChasing.
  
  Охота на рефералов инициируется, когда контроллер домена возвращает реферал из запроса, например для получения сведений о результатах запроса, которые могут находиться за пределами пространства имен (например, участников группы в другом домене или лесу).
5. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
6. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.

Устранение неполадок в соединителе каталогов Ciso

Устранение неполадок и исправления соединителя каталогов

Установка

Соединитель каталогов прекратил работу

Вы получили сообщения электронной почты с предупреждением о том, что соединитель каталогов не работает.

Возможно, соединитель каталогов установлен неверно.
Возможно, соединитель каталогов не работает.
Возможно, сеть недоступна.

Попробуйте выполнить приведенные ниже действия.

Откройте Панель управления > Программы и компоненты. Найдите соединитель каталогов. Если она отсутствует, скачайте последнюю версию из Control Hub и установите ее.
Откройте Служба и найдите службу Cisco DirSync. Убедитесь, что в нем отображается состояние Начато. Если служба остановлена, щелкните правой кнопкой мыши и выберите "Начать", чтобы перезапустить службу.
Убедитесь, что сервер, на котором установлен соединитель каталогов, имеет доступ к Интернету.

Ошибка переустановки

Решение. По прошествии некоторого времени повторите попытку установки.

Вход в систему

Сбой соединителя каталогов во время входа SSO

Проблема

Решение

Попробуйте выполнить приведенные ниже действия.

Чтобы настроить новую групповую политику, выполните следующие действия.

Перейдите к контроллеру домена и откройте раздел Group Policy Management (gpedit.msc).
Щелкните правой кнопкой мыши определенный OU или домен, выберите Создать GPO в этом домене и Связать его здесь...
Укажите название политики, затем щелкните правой кнопкой мыши и выберите Правка.

Чтобы изменить политику на уровне машины, выполните следующие действия:

Перейдите к меню Конфигурация компьютера > Предпочтительные параметры > Настройки Windows, щелкните правой кнопкой мыши Реестр, выберите Создать, а затем Элемент реестра.
Для параметра Key Path (Путь ключа) введите или перейдите к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger (Отключить отладчик сценариев) для параметра Value (Значение) и введите no для параметра Value data (Данные значения).

Настройки должны соответствовать приведенному ниже снимку экрана.

Чтобы изменить политику на уровне пользователя, выполните следующие действия.

Перейдите к меню Конфигурация компьютера > Предпочтительные параметры > Настройки Windows, щелкните правой кнопкой мыши Реестр, выберите Создать, а затем Элемент реестра.
Для параметра Путь ключа введите или перейдите к разделу HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger (Отключить отладчик сценариев) для параметра Value (Значение) и введите no для параметра Value data (Данные значения).

Настройки должны соответствовать приведенному ниже снимку экрана.

Не удалось зарегистрировать соединитель службы Cisco DirSync

Проблема

Ошибка входа. Отображается сообщение "Не удалось зарегистрировать соединитель службы Cisco DirSync."

Решение

Система Windows, на которой установлен соединитель каталогов, должна быть членом Active Directory.

Страница входа не отображается

Проблема

Вы открыли соединитель каталогов, и страница входа не отображалась.

Решение

Выполните следующие действия.

В Internet Explorer перейдите к https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Попробуйте использовать ссылку в других браузерах, например в Chrome и Firefox.
Если Internet Explorer не может открыть ссылку, но могут использовать другие браузеры, установите флажки в настройках Internet Explorer и установите флажки TLS 1.1 и 1.2. (Используйте процедуру Включить TLS в Internet Explorer .)

Отобразится запрос на вход

Проблема

Отобразится запрос на ввод имени пользователя и пароля для проверки подлинности.

Возможная причина

Решение

Не удается подключиться к удаленному серверу

Проблема

Во время обычной работы отображается сообщение об ошибке "Не удается подключиться к удаленному серверу".

Возможная причина

Возможно, у вас возникли проблемы с прокси, которые необходимо решить.

Решение

Невозможно зарегистрировать соединитель

Проблема

Отображается сообщение об ошибке "Невозможно зарегистрировать соединитель. Произошло общее исключение".

Возможная причина

Решение

Попробуйте выполнить приведенные ниже действия.

Запустите командную строку (cmd) и введите ldp.exe.
Щелкните Connection (Подключение) > Bind (Привязка), выберите Привязка как пользователь, выполнивший вход в систему в данный момент, а затем щелкните ОК.
Щелкните Просмотр > Дерево, введите DC=arbonneintl,DC=ad в качестве BaseDN, а затем щелкните ОК.
Если проблема не исчезнет, зарегистрируйте обращение в службу поддержки.

Синхронизация

Аватары не синхронизированы

Проблема

Возможная причина

Решение

Удалите локальный кэш, выполнив следующие действия.

Перейдите к C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Удалите DirSyncPluginAvatar.dll-cache.bin.
Перезапустите синхронизацию аватара с помощью соединителя каталогов Cisco.

Конфликтующие учетные записи электронной почты пользователей

Проблема

Если пользователи попытаются использовать бесплатную версию приложения Webex, их адреса электронной почты будут находиться в бесплатной клиентской организации.
Если адреса электронной почты пользователей когда-либо были синхронизированы в другой организации.
Если адреса электронной почты пользователя существуют в нескольких доменах, принадлежащих организации.

Решение

Попробуйте выполнить приведенные ниже действия.

При попытке заявления пользователей выполните приведенные ниже действия.
1. Убедитесь, что домен подтвержден в Control Hub.
2. Временно отключить соединитель каталогов Cisco.
3. Используйте параметр "Заявить пользователя" в Control Hub, чтобы заявить все учетные записи, которые могут существовать в бесплатной клиентской организации. Дополнительную информацию см. в статье Утверждение пользователей в организации (преобразование пользователей) .
4. Выполните пробный запуск соединителя каталогов Cisco, а затем повторно включите синхронизацию каталога
В последнем случае дважды проверьте данные пользователей в источниках Active Directory.

Преобразованный пользователь помечен как неактивный

Проблема

Возможная причина

Решение

Ошибка добавочной синхронизации

Проблема

Сбой инкрементной синхронизации.

Эта проблема может возникать в Windows Server 2008 R2 при следующих условиях:

Вы поддерживаете обновления добавочных значений.
Фильтр, который используется, ссылается на связанный атрибут значения.
Значения результата этого атрибута обновлялись с момента последней полной синхронизации.

Решение

Недопустимое значение атрибута

Проблема

Возможная причина

Решение

Соответствующие пользователи, подлежащие удалению

Проблема

Соответствующие пользователи помечены как удаленные.

При выполнении пробной синхронизации для проверки данных между Active Directory и облаком в обоих случаях может отображаться один и тот же адрес электронной почты. Однако пользователь помечен как объект, подлежащий удалению.

Решение

Выберите соответствующее исправление.

Если удалить пользователя и повторно ввести лицензии после этого, для исправления можно использовать соединитель каталогов. Выполните синхронизацию, чтобы удалить пользователя, а затем другую синхронизацию, чтобы синхронизировать пользователя из локального AD с облаком.
Если вы не можете удалить и повторно создать учетную запись пользователя, зарегистрируйте обращение в службу поддержки.

Отсутствует атрибут

Проблема

Возможная причина

Решение

Вложенная группа не будет синхронизирована

Проблема

Пользователи во вложенной группе Active Directory не синхронизируются надлежащим образом с облаком.

Возможная причина

Решение

Конфликт имен пользователей

Проблема

Возможная причина

Пользователь с таким адресом электронной почты уже существует в Control Hub.

Решение

Control Hub

Список пользователей отсутствует в Control Hub

Проблема

Решение

Группы не будут синхронизированы с Control Hub

Проблема

Пользователи в группе каталогов не будут синхронизированы с Control Hub надлежащим образом.

Возможная причина

В Active Directory группа не имеет тегов isCriticalSystemObject .

Решение

Убедитесь, что для атрибута isCriticalSystemObject в Active Directory установлено значение TRUE .

Включение устранения неполадок соединителя каталогов

Файлы журналов: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Запустите файл `services.msc` , чтобы изменить запущенную учетную запись для службы соединителя каталогов с локальной системы на учетную запись домена, имеющую права на доступ к вашим AD DS или AD LDS.
2	Перезапустите службу. Инструкции см. в статье Начало работы служб .
3	В соединителе каталогов щелкните Инструментальная панель.
4	Перейдите к меню Действия и щелкните Сервисные программы > Устранение неполадок.
5	Если функция устранения неполадок включена, повторите действия, которые привели к ошибке. Таким образом будут фиксированы данные трафика, чтобы их можно было проверить.
6	Просмотрите файлы журналов. если файл пуст, убедитесь, что у учетной записи есть права на доступ к AD DS или AD LDS. В папке журнала сохраняются только файлы за последние 3 дня. Содержимое файлов журнала соответствует выходу журнала события в систему.
7	При необходимости отправьте файл журнала в службу поддержки для получения помощи.
8	По завершении отключите функцию устранения неполадок.

Связанная информация

Запускать средство просмотра событий.

1	В соединителе каталогов перейдите к меню Инструментальная панель и щелкните Действие > Запустить средство просмотра event-совещаний. В диалоговом окне "Свойства события" отображаются сведения о синхронизации события и сведения об ошибке.
2	В средстве просмотра event-совещаний перейдите к меню Журналы приложений и служб > Соединитель каталогов Cisco.
3	В разделе Действия щелкните Сохранить все event-совещания как , чтобы экспортировать все журналы в один файл event-совещаний (*.evtx) или другой формат, например XML или CSV.

Дальнейшие действия

Включение TLS в Internet Explorer

При входе в службу произошла ошибка
Произошла ошибка в сценарии на этой странице

При появлении этих ошибок необходимо включить настройку TLS в браузере.

1	Откройте Internet Explorer и выберите Инструменты. Теперь установите флажки для версии TLS/SSL, которую необходимо включить. Щелкните ОК Закрыть браузер и снова открыть его
2	Щелкните Свойства обозревателя , перейдите в раздел Дополнительно , прокрутите страницу до раздела Безопасность.
3	Установите флажки Использовать TLS 1.1 и Использовать TLS 1.2 , а затем щелкните ОК.
4	Чтобы изменения вступили в силу, перезапустите систему.

Устранение неполадок со входом в учетную запись службы

Попробуйте открыть https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL в веб-браузере.

Выберите один из вариантов в зависимости от результатов.

Если вы не можете перейти по ссылке в браузере, проверьте сетевые настройки. Если в вашей среде используется прокси, проверьте настройки прокси.
Если вы можете перейти по ссылке в браузере, но не можете открыть соединитель каталогов Cisco (Не удается открыть соединитель и всплывающее сообщение об ошибке 407), щелкните здесь , чтобы получить последнюю версию соединителя каталогов Cisco.
Если вы можете перейти по ссылке в браузере, но не можете выполнить синхронизацию с помощью соединителя каталогов Cisco, измените учетную запись входа в службу на администратор домена.

Проверьте, является ли учетная запись, использованная для входа в систему Windows, той же учетной записью, что и в службе Cisco DirSync. Если у них 2 разных учетных записи, убедитесь, что обе учетные записи могут посещать https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Если в вашей среде используется прокси, убедитесь, что обе учетные записи настроены для прокси в Internet Explorer и могут https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL успешно посещать учетные записи.

Связанная информация

Проверка SafeDllSearchMode в реестре Windows

Как правило, режим SafeDllSearchMode включен, но используйте эту процедуру для повторной проверки настроек реестра.

Перед началом работы

В окне поиска в Windows или в окне "Выполнить" введите regedit и нажмите клавишу ввода.

Перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан. Дальнейшие действия не требуются.
SafeDllSearchMode указан в списке. Убедитесь, что значение 1.

Дополнительную информацию см. в статье Порядок поиска библиотеки динамических ссылок.

Обзор соединителя каталогов Cisco

Обзор соединителя каталогов

В таблице перечислены все функции, описания и преимущества.

Функция	Описание и преимущества
Простая в использовании инструментальная панель	Инструментальная панель предоставляет график синхронизации, сводную информацию и состояние синхронизации, а также состояние соединителя каталогов. Панель отчетов можно просматривать в любое время при входе в систему.
Пробный запуск перед синхронизацией с облаком	Выполните пробный запуск изменений каталога, прежде чем они будут реализованы в облаке. Затем запустите отчет, чтобы увидеть, что изменения, которые необходимо внести, являются ожидаемыми.
Полная и инкрементная синхронизация	Синхронизируйте весь каталог. Или просто синхронизируйте дополнительные изменения, чтобы сэкономить мощность обработки и сократить время синхронизации.
Синхронизация нескольких доменов (один лес или несколько лесов)	Соединитель каталогов поддерживает несколько доменов в одном лесу или в нескольких лесах (без необходимости AD LDS). Для предприятий с несколькими доменами Active Directory можно установить соединитель каталогов для каждого домена, связать каждый домен с вашей организацией, а затем синхронизировать каждую базу пользователей с Webex. Control Hub отражает состояние синхронизации нескольких соединителей каталогов, позволяет выключить синхронизацию для определенного домена и деактивировать соединитель каталогов в развертывании с высокой доступностью.
Синхронизация запланирована	Настройте график синхронизации на день, час и минуту.
Фильтры протокола доступа к каталогу (LDAP)	Определите критерии поиска LDAP и обеспечьте эффективный импорт.
Сопоставление атрибутов Active Directory	Сопоставьте атрибуты Microsoft Active Directory с соответствующими атрибутами облака Webex. Можно сопоставить атрибуты, относящиеся к конфигурации Active Directory, а также определить пользовательские атрибуты для сопоставления с облаком. Атрибуты локальной среды формируют в облаке различные данные, такие как данные учетной записи пользователя, телефонные номера в Webex Teams, SIP-адреса ресурсов комнаты и другие данные карточки контакта пользователя (должность, отдел, менеджер и т. д.).
Корпоративный каталог для ресурсов локальных комнат и пользователей Cisco Webex Calling (облачная PSTN) и корпоративных контактов без лицензирования Webex	Если в вашей организации для службы вызовов используется облачная PSTN Cisco Webex Calling или у вас есть локальные устройства комнаты, эта функция позволяет пользователям выполнять поиск в каталоге корпоративных контактов на телефонах Cisco Webex Calling (облачная PSTN) или ресурсах комнат. Ресурсы комнаты После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным адресом SIP будут отображены в зарегистрированных в облаке устройствах комнат (таких как устройство Cisco Webex Room или Cisco Webex Board) как записи, доступные для поиска. При поиске пользователей устройства Cisco Webex Room или Cisco Webex Board будут отображены синхронизированные записи комнат, настроенные с помощью SIP-адресов. При поступлении вызова с устройства Webex на эту запись вызов будет размещен на SIP-адрес, настроенный для комнаты. Вызовы Помимо контактов приложения Webex пользователи могут совершать вызовы корпоративным контактам. С помощью соединителя каталогов корпоративные пользователи и их номера телефона будут добавлены в вашу организацию Webex. Для работы этой функции лицензия на службы Webex не требуется. Пользователи, у которых нет лицензий на Webex, будут отображаться в результатах поиска по каталогу, выполненном на телефоне пользователя Cisco Webex Calling, при условии, что в соединителе каталогов синхронизирован URI или номер телефона с Webex. Функции вызовов одинаковы для пользователей обоих типов. Эта функция также обеспечивает возможность редактирования набора для контактов только с номерами телефона. В результатах поиска контактов: Если контакты имеют набираемый URI (адрес SIP Webex) и номер телефона, отображается URI, связанный с контактом. Если у контактов нет набираемого URI, но есть номер телефона, отображается номер телефона. Кроме того, у них есть программная клавиша для редактирования набора. Если контактов нет, они не отображаются в каталоге.
Средство просмотра event-совещаний	С помощью средства просмотра event-совещаний можно определить, возникли ли какие-либо проблемы с синхронизацией.
Средство диагностики и устранение неполадок	С помощью встроенного средства диагностики можно устранять неполадки при развертывании соединителя каталогов Cisco. Если синхронизация не работает надлежащим образом, может возникнуть ошибка конфигурации или сети. Этот инструмент тестирует подключение к Active Directory, чтобы можно было самостоятельно диагностировать ошибки перед обращением в службу поддержки. После включения функции устранения неполадок в соединителе каталогов записываются журналы, которые можно отправить в службу технической поддержки.
Автоматическая модернизация	После установки соединителя каталогов при появлении новой версии программного обеспечения будет отправлено уведомление. Автоматическую модернизацию можно настроить таким образом, чтобы при выпуске новой версии всегда была последняя версия программного обеспечения.
Высокая доступность	Настройте несколько соединителей для резервного копирования, если основной соединитель или размещающая машина не работает.

Соединитель каталогов разделен на три области:

Control Hub – это единый интерфейс, позволяющий управлять всеми аспектами организации Webex. просмотр пользователей, назначение лицензий, скачивание соединителя каталогов и настройка системы единого входа (SSO) , если необходимо, чтобы пользователи выполняли аутентификацию посредством корпоративного поставщика удостоверений и не отправляли электронные приглашения для приложения Webex.
Интерфейс управления соединителем каталогов – это программное обеспечение, которое можно скачать из Control Hub и установить на доверенном сервере Windows. Для нескольких доменов Active Directory можно установить одну минуту программного обеспечения для каждого домена, который необходимо синхронизировать. С помощью этого программного обеспечения можно запустить синхронизацию для переноса учетных записей пользователей Active Directory в Webex, просмотра и отслеживания состояния синхронизации, а также настройки служб соединителя каталогов.
Служба синхронизации каталога запрашивает ваш Active Directory, чтобы получить пользователей и группы для синхронизации со службой соединителя и соединителем каталогов.

Чтобы понять архитектуру соединителя каталогов, см. приведенную ниже диаграмму.

Подготовка среды для соединителя каталогов

Требования для соединителя каталогов

Требования к Windows и Active Directory

Соединитель каталогов можно установить на следующих поддерживаемых серверах Windows:

Windows Server 2022
Windows Server 2019
Windows Server 2003

Соединитель каталогов поддерживается следующими службами Active Directory:

Active Directory 2016

(Соединитель каталогов поддерживается при использовании последней версии Active Directory на Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Обратите внимание на следующие дополнительные требования:

Для соединителя каталогов требуется TLS1.2. Необходимо установить приведенное ниже.
- .NET Framework версии 3.5 (требуется для приложения соединителя каталогов. При возникновении каких-либо проблем воспользуйтесь инструкциями, приведенными в статье Включение .NET Framework 3.5 с помощью мастера добавления ролей и функций.)
- .NET Framework версии 4.5 (обязательно для TLS1.2)
Требуется уровень функционального леса Active Directory 2 (Windows Server 2003) или более поздний. (Дополнительную информацию см. в статье Какие функциональные уровни Active Directory? .)

Требования к оборудованию

8 ГБ ОЗУ
50 ГБ хранилища
Нет минимума для ЦП

Требования к сети

Требования к организации Webex

Для доступа к программному обеспечению соединителя каталогов из Control Hub требуется организация Webex с пробной версией или платной подпиской.
(Необязательно) Чтобы новые учетные записи пользователей приложения Webex были Активными перед первым входом в систему, рекомендуется выполнить приведенные ниже действия.
- Добавляйте, проверяйте и при необходимости заявляйте домены , содержащие адреса электронной почты пользователей, которые необходимо синхронизировать с облаком.
- Выполните интеграцию системы единого входа (SSO) поставщика удостоверений (IdP) с организацией Webex.
- Отключите автоматические электронные приглашения, чтобы новые пользователи не получали автоматические электронные приглашения и вы могли проводить собственную электронную рассылку. (Для работы этой функции требуется интеграция SSO.)

Дополнительную информацию см. в статье Действия и состояния пользователей в Control Hub.

Требования к установке

Для среды с несколькими доменами (один лес или несколько лесов) необходимо установить один соединитель каталогов для каждого домена Active Directory. Если необходимо синхронизировать новый домен (B) при сохранении синхронизированных данных пользователей в другом существующем домене (A), убедитесь, что у вас есть отдельный поддерживаемый сервер Windows для установки соединителя каталогов для синхронизации домена (B).
Для входа в соединитель не требуется учетная запись администратора в Active Directory. Требуется учетная запись локального пользователя, которая является тем же пользователем, что и учетная запись администратора с полными правами в Control Hub.

Этот локальный пользователь должен иметь права на этом компьютере Windows для подключения к контроллеру домена и чтения объектов пользователя Active Directory. Учетная запись для входа в систему компьютера должна быть администратором компьютера с правами на установку программного обеспечения на локальном компьютере. (Эта информация также применима к входу в виртуальную машину.)
При входе в соединитель учетная запись для входа должна совпадать с учетной записью администратора с полными правами для Control Hub. По умолчанию соединитель использует учетную запись локальной системы для доступа к Active Directory. Однако можно использовать службы Windows для настройки другой учетной записи для доступа к Active Directory. (Эта информация также применима к входу в виртуальную машину.)
Убедитесь, что режим поиска библиотеки безопасных динамических ссылок (DLL) Windows включен с помощью следующей процедуры: Проверьте SafeDllSearchMode в реестре Windows.
Если AD LDS используется для нескольких доменов в одном лесу, рекомендуется установить соединитель каталогов и службу домена Active Directory/облегченные службы каталогов Active Directory (AD DS/AD LDS) на отдельных компьютерах.

Требования к нескольким доменам

Для каждого домена требуется отдельный экземпляр соединителя каталогов.
ПО соединителя каталогов должно работать на узле, находящемся в том же домене, который будет синхронизирован.
Рекомендуется подтвердить или заявить домены в Control Hub. (См. статью Добавление, проверка и заявление доменов.)
Чтобы синхронизировать более 50 доменов, необходимо зарегистрировать обращение , чтобы переместить организацию в большой список организаций.
При необходимости можно синхронизировать информацию о ресурсах комнаты вместе с учетными записями пользователей. (См. статью Синхронизация информации о локальной комнате с облаком Webex.)

Информация о размещении

На скорость синхронизации может повлиять несколько факторов.

Общее количество объектов Active Directory. (Задача синхронизации 5000 пользователей не будет длиться до 50 000.)
Скорость сети и пропускная способность.
Рабочая нагрузка системы и технические характеристики.

Проверка SafeDllSearchMode в реестре Windows

Как правило, режим SafeDllSearchMode включен, но используйте эту процедуру для повторной проверки настроек реестра.

Перед началом работы

В окне поиска в Windows или в окне "Выполнить" введите regedit и нажмите клавишу ввода.

Перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан. Дальнейшие действия не требуются.
SafeDllSearchMode указан в списке. Убедитесь, что значение 1.

Дополнительную информацию см. в статье Порядок поиска библиотеки динамических ссылок.

Интеграция веб-прокси

Можно воспользоваться одним из приведенных ниже подходов.

Явный веб-прокси с помощью Internet Explorer (соединитель наследует настройки веб-прокси)
Явный веб-прокси с помощью файла .pac (соединитель наследует настройки корпоративного прокси)
Прозрачный прокси, который работает с соединителем без изменений

Использование веб-прокси через браузер

Соединитель каталогов можно настроить использование веб-прокси с помощью Internet Explorer.

1	В Internet Explorer перейдите к меню Свойства браузера, щелкните Соединения и выберите Настройки LAN.
2	Укажите экземпляр Windows, в котором соединитель установлен на веб-прокси. Соединитель наследует эти настройки веб-прокси.
3	Если в вашей среде используется аутентификация прокси, добавьте эти URL-адреса в список разрешенных: cloudconnector.webex.com для синхронизации. idbroker.webex.com для аутентификации. idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т. д. Это можно сделать на уровне веб-сайта (для всех организаторов) или только для организатора, у которого есть соединитель. При добавлении этих URL-адресов в список разрешенных для полного обхода веб-прокси убедитесь, что таблица ACL брандмауэра обновлена, чтобы разрешить узлу соединителя прямой доступ к URL-адресам.
4	Если в вашей среде необходимо запросить списки отзыва сертификатов у центров сертификации, добавьте эти URL-адреса в список разрешенных. .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Дополнительную информацию см. в этой статье о доменах и URL-адресах, которые должны быть доступны для служб Webex.

Настройка веб-прокси с помощью файла PAC

Если в вашей среде используется аутентификация прокси, добавьте эти URL-адреса в список разрешенных:

cloudconnector.webex.com для синхронизации.
idbroker.webex.com для аутентификации.
idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т. д.

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

NTLM-прокси

Дизайн NTLM

Как правило, техническая разработка NTLM основана на механизме Challenge (Вызов) и Response (Ответ):

Пользователь входит на ПК клиента с помощью учетной записи Windows и пароля. Пароль не сохраняется локально. Вместо пароля в формате обычного текста значение хеша пароля хранится локально. Когда пользователь входит в клиент с помощью пароля, ОС Windows сравнивает сохраненное значение хеша и значение хеша, полученное от введенного пароля. Если оба совпадают, аутентификация проходит.

Если пользователь хочет получить доступ к любому ресурсу на другом сервере, клиент отправляет запрос на сервер с именем учетной записи в виде обычного текста.
Когда сервер получает запрос, сервер генерирует 16-битный случайный ключ. Ключ называется Challenge (или Nonce). Прежде чем сервер отправит обратно клиенту, вызов хранится на сервере. Затем сервер отправляет вызов клиенту в виде обычного текста.
Как только клиент получает вызов, отправленный с сервера, клиент шифрует вызов с помощью хэша, упомянутого в шаге 1. После шифрования значение отправляется обратно на сервер.
Когда сервер получает зашифрованное значение от клиента, сервер отправляет его на контроллер домена для проверки. Запрос включает приведенное ниже. имя учетной записи, зашифрованный вызов, отправленный клиентом, и исходный простой вызов.
Контроллер домена может получить хеш-значения пароля в соответствии с именем учетной записи. А затем контроллер домена может зашифровать исходную задачу. Затем контроллер домена может сравниться с полученным значением хеша и зашифрованным значением хеша. Если они одинаковы, проверка выполнена успешно.

Настройка прозрачного прокси

1	Разверните прозрачный прокси, чтобы соединитель мог подключать и синхронизировать пользователей.
2	Убедитесь в успешном выполнении прокси. При запуске соединителя отображается всплывающее окно ожидаемой аутентификации браузера.

Настройка аутентификации прокси

Добавьте URL-адрес cloudconnector.webex.com в список разрешенных, создав список контроля доступа.

На корпоративном брандмауэре:

1	Включите поиск DNS, если этот параметр еще не включен.
2	Определите приблизительную пропускную способность для этого соединения (примерно 2 Мбит/с или менее для соединителя). Это может быть необязательно.
3	Создайте список контроля доступа, чтобы применить его к узлу соединителя, и укажите `cloudconnector.webex.com` в качестве целевого объекта, который необходимо добавить в список разрешенных. Пример. `access-list 2000 ACL-внутри расширенного разрешения TCP [IP соединителя] cloudconnector.webex.com eq https`
4	Примените этот СКД к соответствующему интерфейсу брандмауэра, который применим только к этому узлу соединителя.
5	Убедитесь, что остальные узлы в вашей организации по-прежнему должны использовать веб-прокси, настроив соответствующее неявное заявление об отказе.

Развертывание соединителя каталогов

Алгоритм выполнения задач по развертыванию соединителя каталогов Cisco

Перед началом работы

Способы добавления пользователей и управления ими в организации

1	Установить соединитель каталогов В Control Hub синхронизация каталога изначально отключена. Чтобы включить синхронизацию каталога для организации, необходимо установить и настроить соединитель каталогов, а затем успешно выполнить полную синхронизацию. Для новой установки соединителя каталогов всегда перейдите в Control Hub (https://admin.webex.com) для получения последней версии программного обеспечения и использования новейших функций и исправлений ошибок. После установки программного обеспечения о модернизации сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
2	Вход В Соединитель Каталогов Войдите с помощью учетных данных администратора Webex и выполните начальную настройку.
3	Настройка автоматической модернизации Всегда важно поддерживать актуальность программного обеспечения соединителя каталогов до последней версии. Рекомендуется использовать эту процедуру, чтобы разрешить автоматическую модернизацию программного обеспечения устанавливать в фоновом режиме, когда она станет доступной.
4	Выберите объекты Active Directory для синхронизации По умолчанию соединитель каталогов синхронизирует всех пользователей, которые не являются компьютерами, и всех групп, которые не являются критически важными объектами системы для домена. Для получения дополнительных сведений о том, какие объекты синхронизируются, можно выбрать определенных пользователей для синхронизации и указать фильтры LDAP на странице выбора объекта в соединителе каталогов.
5	Сопоставить атрибуты пользователя Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid.
6	Синхронизируйте аватары каталогов, выполнив одну из следующих процедур: Синхронизация аватаров каталогов из атрибута Active Directory с облаком Синхронизация аватаров каталогов с сервера ресурсов с облаком Можно синхронизировать аватары пользователей с облаком, чтобы аватар каждого пользователя отображался при входе в приложение. Можно синхронизировать аватары с помощью атрибута Active Directory или сервера ресурсов.
7	Синхронизация информации о локальной комнате с облаком Webex Используйте эту процедуру для синхронизации информации о локальной комнате из Active Directory с облаком Webex. После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным SIP-адресом будут отображаться в качестве записей на зарегистрированных в облаке устройствах комнаты, таких как устройство Webex Room или Cisco Webex Board
8	Чтобы Подготовить Пользователей Из Active Directory В Control Hub, выполните следующие действия. Выполнение пробной синхронизации пользователей Active Directory Выполнение полной синхронизации пользователей Active Directory в облако Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub Следуйте этой последовательности, чтобы подготовить пользователей Active Directory для учетных записей приложения Webex. Можно подготовить пользователей из развертывания Active Directory с несколькими лесами или доменами для соединителя каталогов 3.0 и более поздних версий. Во время процесса добавления пользователей из разных доменов необходимо решить, следует ли сохранить или удалить объекты пользователей, которые могут уже существовать в облаке Webex. Например, протестировать учетные записи из пробной версии. Целью является точное соответствие между Active Directory и облаком Webex.

Установить соединитель каталогов

Перед началом работы

При аутентификации через прокси-сервер убедитесь, что у вас есть учетные данные прокси.

Для базовой аутентификации прокси после установки экземпляра соединителя необходимо ввести имя пользователя и пароль. Для базовой аутентификации также требуется конфигурация прокси Internet Explorer. См. статью Использование веб-прокси Через Браузер.
При первом открытии соединителя для прокси-сервера NTLM может возникнуть ошибка. См. статью Использование веб-прокси Через Браузер.

1	В Control Hub перейдите к меню Пользователи > Управление пользователями > Включить синхронизацию каталога и выберите Далее.
2	Щелкните ссылку Скачать и установить, чтобы сохранить последнюю версию файла установки соединителя ZIP на сервер VMware или Windows. Файл .zip можно получить непосредственно по этой ссылке, однако для работы этого программного обеспечения необходим полный административный доступ к организации Control Hub. Для новой установки установите новейшую версию программного обеспечения, чтобы использовать новейшие функции и исправления ошибок. После установки программного обеспечения о модернизации сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
3	На сервере VMware или Windows распакуйте и запустите файл .msi в папке настроек, чтобы запустить мастер настройки.
4	Щелкните Далее, установите флажок, чтобы принять лицензионное соглашение, а затем щелкните Далее, пока не отобразится экран типа учетной записи.
5	Выберите тип учетной записи службы, которую необходимо использовать, и выполните установку с помощью учетной записи администратора. Локальная система. Параметр по умолчанию. Этот параметр можно использовать при настройке прокси с помощью Internet Explorer. Учетная запись домена. Используйте этот параметр, если компьютер является частью домена. Для доступа к ресурсам домена соединитель каталогов должен взаимодействовать с сетевыми службами. Можно ввести данные учетной записи и щелкнуть ОК. При вводе имени пользователя используйте формат `{domain}\{user_name}` Для прокси, который интегрируется с AD (NTLMv2 или Kerberos), необходимо использовать параметр учетной записи домена. Учетная запись, используемая для запуска службы соединителя каталогов, должна обладать достаточными правами для передачи прокси и доступа к AD. Во избежание ошибок убедитесь в наличии указанных ниже прав. Сервер является частью домена Учетная запись домена может получить доступ к локальным данным AD и данным аватаров. Учетная запись также должна иметь роль локального администратора, поскольку она должна получить доступ к файлам в разделе C:\Program Files. Для входа в виртуальную машину права учетной записи администратора должны иметь по крайней мере возможность чтения информации о домене.
6	Щелкните Установить. После запуска сетевого теста и при отображении соответствующего запроса введите основные учетные данные прокси-сервера, щелкните ОК, а затем щелкните Готово.

Дальнейшие действия

Вход В Соединитель Каталогов

Перед началом работы

Убедитесь, что у вас есть учетные данные прокси.

В случае базовой аутентификации прокси после первого открытия соединителя необходимо ввести имя пользователя и пароль.
Для прокси-сервера NTLM откройте Internet Explorer, щелкните пиктограмму шестеренки, перейдите к меню Свойства браузера > Подключения > Настройки локальной сети, убедитесь, что информация о прокси-сервере добавлена, а затем щелкните ОК. См. статью Использование веб-прокси Через Браузер.

1	Откройте соединитель и при появлении запроса добавьте `https://idbroker.webex.com` в список доверенных веб-сайтов.
2	При отображении соответствующего запроса войдите с помощью учетных данных аутентификации прокси, затем войдите в Webex с помощью учетной записи администратора и щелкните Далее.
3	Подтвердите организацию и домен. При выборе AD DS установите флажок LDAP по SSL, чтобы в качестве протокола соединения использовать безопасный LDAP (LDAPS), выберите домен, из которого необходимо синхронизировать, и щелкните Подтвердить. Если не установить флажок LDAP через SSL, DirSync продолжит использовать протокол соединения LDAP. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в инфраструктуре. Связь LDAPS зашифрована и защищена. При выборе AD LDS введите узел, домен и порт, а затем щелкните Обновить, чтобы загрузить все разделы приложений. Затем выберите раздел в раскрывающемся списке и щелкните Подтвердить. Дополнительную информацию см. в разделе AD LDS. В файле конфигурации CloudConnectorCommon.dll убедитесь, что настройка ADAuthLevel добавлена к узлу appSetting. Значения могут быть 1, 2 или 3. Подробные сведения о типах аутентификации см. в этой статье от Microsoft. Вот пример настройки со значением 1: `<appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	После отображения экрана Подтвердить организацию щелкните Подтвердить. Если AD DS/AD LDS уже связаны, отобразится экран Подтвердить организацию.
5	Щелкните Подтвердить.
6	Выберите один из них в зависимости от количества доменов Active Directory, которые необходимо связать с соединителем каталогов. Если у вас есть единый домен AD LDS, привяжите его к существующему источнику AD LDS и щелкните Подтвердить. Если у вас есть единый домен AD DS, привяжите его к существующему или новому домену. При выборе Привязка к новому домену щелкните Далее. Поскольку существующим типом источника является AD DS, невозможно выбрать AD LDS для новой привязки. Если у вас несколько доменов, выберите из списка существующий домен или Связать с новым доменом, а затем щелкните Далее. Поскольку у вас несколько доменов, существующим типом источника должен быть AD DS. При выборе Привязка к новому домену и нажатии Далее выбрать AD LDS для новой привязки будет невозможно.

Дальнейшие действия

После входа в систему вам будет предложено выполнить пробную синхронизацию.

Инструментальная панель соединителя каталогов

При первом входе в соединитель каталогов отображается инструментальная панель. Здесь можно просмотреть сводную информацию обо всех действиях по синхронизации, просмотреть статистику облака, выполнить пробный запуск синхронизации, запустить полную или инкрементную синхронизацию и запустить представление event-совещания, чтобы просмотреть информацию об ошибках.

Если время сеанса истекло, войдите снова.

Эти задачи можно легко выполнить с помощью панели инструментов или меню действий.

Таблица 1. Компоненты инструментальной панели
Компонент	Описание
Текущая синхронизация	Отображает информацию о состоянии синхронизации, которая в данный момент выполняется. Если синхронизация не запущена, отображается состояние простоя.
Следующая синхронизация	Отображает следующие запланированные полные и инкрементные синхронизации. Если график не задан, отображается параметр Не запланирован.
Последняя синхронизация	Отображает состояние двух последних выполненных синхронизаций.
Текущее состояние синхронизации	Отображает общее состояние синхронизации.
Соединители	Отображает текущие локальные соединители, доступные в облаке.
Облачная статистика	Отображает общее состояние синхронизации.
График синхронизации	Отображает график синхронизации для инкрементной и полной синхронизации.
Сводная информация о конфигурации	Список настроек, измененных в конфигурации. Например, сводная информация может включать следующее: Все объекты будут синхронизированы Все пользователи будут синхронизированы Пороговое значение, которое удалено, отключено.

Таблица 2. Панель инструментов действий
Действие	Описание
Начать инкрементную синхронизацию	Начать инкрементную синхронизацию вручную Это действие будет отключено при приостановке или отключении синхронизации, если полная синхронизация не была завершена или выполняется.
Пробный запуск синхронизации	Выполните синхронизацию пробного запуска.
Запустить средство просмотра event-совещаний	Запустите средство просмотра event-совещаний Microsoft.
Обновить	Обновить инструментальную панель соединителя каталогов Cisco

Таблица 3. Меню действий
Действие	Описание
Синхронизировать сейчас	Мгновенно начните полную синхронизацию.
Режим синхронизации	Выберите режим добавочной синхронизации или режим полной синхронизации.
Сбросить секретный код соединителя	Создайте разговор между соединителем каталогов Cisco и службой соединителя. При выборе этого действия секретный код в облаке будет сброшен, а затем сохранен локально.
Пробный запуск	Выполните тест процесса синхронизации. Перед полной синхронизацией необходимо выполнить пробный запуск.
Устранение неполадок	Включение и выключение функции устранения неполадок.
Обновить	Обновите главный экран соединителя каталогов Cisco.
Выход	Закройте соединитель каталогов Cisco.

Таблица 4. Сочетания клавиш
Комбинация клавиш	Действие
Alt +A	Показать меню Действия
`Alt +A + S`	Синхронизировать сейчас
`Alt +A + R`	Сбросить секретный код соединителя
`Alt +A + D`	Пробный запуск
`Alt +A + S + I`	Инкрементная синхронизация
`Alt +A + S + F`	Полная синхронизация
`Alt + H`	Показать меню Справка
`Alt + H + H`	Справка
`Alt + H + A`	О программе
`Alt + H + F`	вопросы и ответы

Настройка автоматической модернизации

1	В соединителе каталогов перейдите к меню Конфигурация > Общие и установите флажок Автоматическая модернизация до новой версии соединителя каталогов Cisco.
2	Чтобы сохранить изменения, щелкните Применить.

Новые версии соединителя устанавливаются автоматически, когда они становятся доступными.

Выберите объекты Active Directory для синхронизации

Группы для автоматического назначения лицензий

(&(cn=Пример)(objectclass=Group))*

Экран выбора объекта в соединителе каталогов

Группы для развертываний безопасности данных гибридного типа

Перед началом работы

1	В соединителе каталогов перейдите к меню Конфигурация и щелкните Выбор объекта.
2	В разделе Тип объекта установите флажок Пользователи и рассмотрите возможность ограничения количества контейнеров, доступных для поиска для пользователей. Например, чтобы синхронизировать только пользователей в определенной группе, необходимо ввести фильтр LDAP в поле фильтров LDAP Пользователи. Чтобы синхронизировать пользователей из группы Example-manager, используйте фильтр, подобный этому: `(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))`
3	Установите флажок Идентифицировать комнату, чтобы отделить данные комнаты от данных пользователей. Щелкните Настройка, чтобы настроить дополнительные атрибуты для идентификации данных пользователей в качестве данных комнаты. Используйте эту настройку, чтобы синхронизировать информацию о локальной комнате из Active Directory с облаком Webex. После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным SIP-адресом отображаются в качестве записей на зарегистрированных в облаке устройствах комнаты. Дополнительную информацию см. в статье Синхронизация информации о локальной комнате с облаком Webex.
4	Установите флажок Группы, если необходимо синхронизировать группы пользователей Active Directory с облаком. Не добавляйте фильтр синхронизации пользователей LDAP в поле «Группы». Для синхронизации данных групп с облаком следует использовать только поле «Группы». По умолчанию группы не синхронизируются для новых клиентов. Необходимо включить синхронизацию группы. Также необходимо синхронизировать группы безопасности.
5	Чтобы синхронизировать контактную информацию пользователей с облаком, установите флажок Контакты. Соединитель каталогов управляет только контактами, синхронизированными с помощью соединителя. Если в Control Hub уже есть контакты, эти контакты не будут удалены. Если контакты удалены из области синхронизации, контактная информация пользователей также будет удалена в Control Hub.
6	Настройте фильтры LDAP. Можно добавить расширенные фильтры, предоставив действительный фильтр LDAP. Дополнительную информацию о настройке фильтров LDAP см. в этой статье.
7	Укажите локальные базовые абонентские номера для синхронизации, щелкнув Выбрать, чтобы просмотреть структуру дерева Active Directory. Здесь можно выбрать или отменить выбор контейнеров для поиска.
8	Убедитесь, что объекты, которые необходимо добавить для этой конфигурации, и щелкните Выбрать. Можно выбрать отдельные или родительские контейнеры для синхронизации. Выберите родительский контейнер, чтобы включить все дочерние контейнеры. Если выбран дочерний контейнер, в родительском контейнере отображается серая галочка, указывающая на то, что дочерний элемент установлен. Затем можно щелкнуть Выбрать, чтобы принять выбранные контейнеры Active Directory. Если в вашей организации все пользователи и группы будут помещены в контейнер "Пользователи", вам не придется искать другие контейнеры. Если ваша организация разделена на единицы организации, выберите OU.
9	Щелкните Применить. Выберите параметр. Применить изменения конфигурации Пробный запуск Отмена Информацию о пробных запусках см. в статье Синхронизация пробного запуска для пользователей Active Directory. Для синхронизации групп необходимо выполнить полную синхронизацию. Полная синхронизация пользователей Active Directory в облако.

Сопоставить атрибуты пользователя

Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid, уникальный идентификатор каждой учетной записи пользователя в облачной службе удостоверений.

1	В соединителе каталогов щелкните Конфигурация и выберите Сопоставление атрибутов пользователя. На этой странице показаны имена атрибутов для Active Directory (слева) и облака Webex (справа). Все обязательные атрибуты отмечены красной звездочкой.
2	Прокрутите вниз до конца поля Имена атрибутов Active Directory и выберите один из этих атрибутов Active Directory для сопоставления с атрибутом облака UID: mail (Почта). Используется в большинстве развертываний для формата электронной почты. userPrincipalName — альтернативный вариант, если атрибут почты используется в других целях в Active Directory. Этот атрибут должен быть в формате электронной почты. Вы можете сопоставить любые другие атрибуты Active Directory с UID, однако рекомендуется использовать mail или userPrincipalName, как описано в руководстве выше. В некоторых случаях для входа используется параметр userPrincipalName, но адрес электронной почты пользователя используется для управления его календарем. Необходимо убедиться, что адрес электронной почты для управления календарем сопоставлен с полем основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. Чтобы узнать, какие атрибуты в Active Directory соответствуют в облаке, см. статью Сопоставление атрибутов Active Directory в соединителе каталогов. Чтобы синхронизация работала, необходимо убедиться, что выбранный атрибут Active Directory указан в формате электронной почты. Если один из рекомендованных атрибутов не выбран, соединитель каталогов отобразит всплывающее окно с напоминанием.
3	Если предопределенные атрибуты Active Directory не работают в вашем развертывании, щелкните раскрывающийся список атрибутов, прокрутите страницу вниз и выберите Настроить атрибут, чтобы открыть окно, с помощью которого можно определить выражение атрибута. Для получения дополнительной информации об выражениях и просмотра примеров их работы щелкните Справка. Дополнительную информацию также см. в разделе Выражения для настраиваемых атрибутов. В этом примере давайте составим атрибуты Active Directory `givenName` и `Sn` с атрибутом облака `displayName`: Определите выражение атрибута как givenName + "" + Sn (кавычки являются дополнительным пространством), а затем укажите адрес электронной почты существующего пользователя для проверки. Щелкните Проверить и проверьте, соответствует ли результат ожидаемым. Успешный результат выглядит следующим образом: Если результаты совпадают с ожидаемыми, щелкните ОК, чтобы сохранить новый настраиваемый атрибут. Позже при необходимости изменить displayName можно ввести новое выражение атрибута Соединитель каталогов проверяет значение атрибута UID в службе удостоверений и получает 3 доступных пользователя в соответствии с текущими параметрами фильтра пользователя. Если все эти 3 пользователя имеют действительный формат электронной почты, в соединителе каталогов Cisco отображается следующее сообщение: Если атрибут не удается проверить, будет отображено следующее предупреждение. Для проверки и исправления данных пользователя можно будет вернуться в Active Directory.
4	(Необязательно) Выберите сопоставления для мобильного и telephoneNumber, если необходимо, чтобы номера мобильных и рабочих телефонов отображались, например, в карточке контакта пользователя в приложении Webex. Данные номера телефона отображаются в приложении Webex при наведении указателя мыши на изображение профиля другого пользователя. Дополнительную информацию о вызовах с помощью карточки контакта пользователя см. в руководстве по развертыванию вызовов в Webex (Unified CM) (администраторы).
5	Выберите дополнительные сопоставления, чтобы дополнительные данные отображались в карточке контакта. `номер отдела` `отображаемое имя` `менеджер` `заголовок` После сопоставления атрибутов информация отображается при наведении указателя мыши на изображение профиля другого пользователя. Дополнительную информацию о карточке контакта см. в статье Проверка пользователя, с которым вы связываетесь. После синхронизации этих атрибутов с каждой учетной записью пользователя можно также включить People Insights в Control Hub. Эта функция позволяет пользователям приложения Webex предоставлять совместный доступ к дополнительной информации в профилях и узнать больше друг о друге. Дополнительную информацию о функции и способах ее включения см. в статье Профессиональные профили для Webex, Jabber, Webex Meetings и Webex Events (новая версия) в Control Hub
6	После выбора щелкните Применить.

Атрибуты Active Directory и облака

В этой таблице сравнивается сопоставление имен атрибутов Active Directory и имен атрибутов облака Cisco. Эти значения и сопоставления являются настройками по умолчанию в соединителе каталогов. В раскрывающемся списке Active Directory можно выбрать различные атрибуты и определить, какой локальный атрибут будет синхронизирован с каким облачным атрибутом.

Имена атрибутов Active Directory	Имена атрибутов облака Webex	Примечания
—	зданиеName	—
с	с	Этот атрибут определяет сокращенную страну пользователя.
номер отдела	номер отдела	Этот атрибут используется для номера отдела пользователя, который отображается в карточке контакта и профессиональных профилях.
отображаемое имя	отображаемое имя	Этот атрибут используется для отображаемого имени учетной записи пользователя, которое отображается в Control Hub, карточке контакта и профессиональных профилях.
Управление учетной записью пользователя	ds-pwp-account-disabled	Этот атрибут используется для синхронизации пользователей. Убедитесь, что атрибут userAccountControl сопоставлен с ds-pwp-account-disabled или синхронизация пользователей не будет выполнена надлежащим образом.
Номер сотрудника	Номер сотрудника	—
факсимильный номер телефона	факсимильный номер телефона	—
—	идентификатор jabberID	Этот облачный атрибут относится к адресам обмена мгновенными сообщениями (тип XMPP), которые используются в Jabber. Это значение не совпадает с sipAddresses.
л	л	Этот атрибут определяет город пользователя.
—	региональные параметры	—
менеджер	менеджер	Этот атрибут используется для имени менеджера пользователя, которое отображается в карточке контакта и профессиональных профилях.
мобильный	мобильный	Этот атрибут используется в качестве номера мобильного телефона, который отображается для вызова пользователя из карточки контакта.
о	о	Этот атрибут указывает название компании или организации и отображается в карточке контакта.
или	или	Этот атрибут указывает имя организационного модуля.
physicalDeliveryOfficeName	physicalDeliveryOfficeName	Этот атрибут определяет местоположение офиса пользователя.
почтовый индекс	почтовый индекс	Этот атрибут определяет почтовый индекс или почтовый индекс пользователя для физической доставки почты.
предпочтительный язык	предпочтительный язык	Этот атрибут задает предпочтительный язык пользователя и поддерживаются следующие форматы. xx_YY или xx-YY. Вот несколько примеров. en_US, en_GB, fr-CA. При использовании неподдерживаемого языка или недопустимого формата предпочтительный язык пользователей будет изменен на язык, установленный для организации.
MSRTCSIP-PrimaryUserAddress ipPhone	SipAddresses;type=предприятие	Этот атрибут используется для синхронизации информации о локальной комнате из Active Directory с облаком Cisco Webex.
sn	sn	Этот атрибут используется для фамилии учетной записи пользователя, которая отображается в Control Hub, карточке контакта и профессиональных профилях.
ул	ул	Этот атрибут указывает штат или область пользователя.
streetAddress	улица	Этот атрибут указывает почтовый адрес пользователя для доставки физической почты.
номер телефона	номер телефона	Этот атрибут определяет основной (рабочий) номер телефона пользователя, который используется для вызова пользователя из карточки контакта.
—	часовой пояс	Этот облачный атрибут определяет часовой пояс пользователя.
заголовок	заголовок	Этот атрибут определяет должность пользователя, которая отображается в карточке контакта и профессиональных профилях.
тип	предприятие	—
почта userPrincipalName	идентификатор	Обязательное сопоставление атрибутов. Для каждой учетной записи пользователя значение Active Directory сопоставляется с уникальным UID в облаке. В некоторых случаях для входа используется параметр userPrincipalName, но адрес электронной почты пользователя используется для управления его календарем. Необходимо убедиться, что адрес электронной почты для управления календарем сопоставлен с полем основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. После этого пользователь сможет войти в систему с помощью любого из этих адресов электронной почты, если установлено правильное сопоставление атрибутов SAML. Информацию о том, как можно сопоставить альтернативный адрес электронной почты, см. в разделе Пример сопоставления атрибутов ниже.
userPrincipalName почта <custom attribute>	электронные сообщения; рабочий тип	Это сопоставление необязательно. Используйте его, если необходимо использовать альтернативные адреса электронной почты. Это адрес электронной почты, который используется для аутентификации; он не используется для управления вашим календарем. Адрес электронной почты, который вы сопоставляете из AD, должен быть из подтвержденного домена в вашей организации. Он должен быть уникальным и не назначен другому пользователю.
<Новый атрибут для объекта пользователя Azure>	внешний идентификатор	Создайте новый атрибут Active Directory для удержания идентификатора объекта пользователя Azure, чтобы он не сталкивался с существующим атрибутом. Затем этот атрибут сопоставляется с атрибутом externalId. Благодаря этому при создании групп в Microsoft 365 пользователи Webex автоматически создают команды в Webex.

Сопоставление альтернативных адресов электронной почты

Выражения для настраиваемых атрибутов

Таблица 5. Выражения для настраиваемых атрибутов
Оператор	Описание и пример
%	Удаляет все символы от начала строки до позиции символа или аргумента строки, если они совпадают. Пример выражения `"abc@example.com" % "@"` Результат `пример.com`
-	Отрезок задней строки ввода от конца указанной строки. Пример выражения `"abc@example.com" – "@"` Результат `абс`
+	Объединяет строки ввода или выражения. Пример выражения `"abc" + "" + "def"` Результат `деф ABC`
\|	Вычисляет разделенные выражения по пустой строке и выбирает первый непустой результат. Пример выражения `"" \| "abc"` Результат `абс`

Синхронизация аватаров каталогов из атрибута Active Directory с облаком

1	В соединителе каталогов перейдите к меню Конфигурация, щелкните Аватар и установите флажок Включить.
2	Для параметра Получить аватар из выберите Атрибут AD, а затем Атрибут аватара, содержащий необработанные данные аватара, которые необходимо синхронизировать с облаком.
3	Чтобы проверить правильность доступа к аватару, введите адрес электронной почты пользователя и щелкните Получить аватар пользователя. Аватар отображается справа.
4	Чтобы сохранить изменения, после проверки правильности отображения аватара щелкните Применить.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей в приложении Webex. После включения этой функции в соединителе каталогов пользователям не разрешается настраивать собственный аватар.
Аватары пользователя синхронизируются с приложением Webex и всеми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Синхронизация аватаров каталогов с сервера ресурсов с облаком

Можно синхронизировать аватары каталога пользователей с облаком, чтобы каждый аватар отображался при входе в приложение Webex. Используйте эту процедуру для синхронизации аватаров с сервера ресурсов.

Перед началом работы

В этой процедуре приведены примеры шаблона URI и значения переменной. Необходимо использовать фактические URL-адреса, по которым расположены аватары каталога.
Шаблон URI аватара и сервер, на котором находятся аватары, должны быть доступны из приложения соединителя каталогов. Соединителю необходим доступ по HTTP или HTTPS к изображениям, однако изображения не должны быть общедоступными в Интернете.
Синхронизация данных аватара отделена от профилей пользователей Active Directory. При запуске прокси необходимо обеспечить доступ к данным аватара с помощью аутентификации NTLM или базовой аутентификации.

1	В соединителе каталогов перейдите к меню Конфигурация, щелкните Аватар и установите флажок Включить.
2	Для параметра Получить аватар от выберите Сервер ресурсов и введите шаблон URI аватара. Например, *`http://www.example.com/dir/photo/zoom/{mail: jpg.?(?=@.)}.`* Давайте рассмотрим каждую часть шаблона URI аватара и что они означают: http://www.example.com/dir/photo/zoom/ – путь к местоположению всех фотографий, которые будут синхронизированы. Это должен быть URL-адрес, к которому должна быть доступна служба соединителя каталогов на вашем сервере. mail: указывает соединителю каталогов на получение значения атрибута mail из Active Directory. .?(?=@.). Синтаксис regex, который выполняет следующие функции: *`.: любой символ, повторяющий ноль или более раз.` `? Сообщает, что предыдущая переменная соответствует как можно большему количеству символов.` `(?= ... ): сопоставление группы после основного выражения без включения ее в результат. Соединитель каталогов выполняет поиск соответствия и не включает его в выходные данные.` `@.: символ at, за которым следует любой символ, повторяющийся ноль или более раз.`* `.jpg: расширение файла для аватаров пользователей. Ознакомьтесь с поддерживаемыми типами файлов в этом документе и измените расширение соответствующим образом.`
3	(Необязательно) Если на сервере ресурсов требуются учетные данные, установите флажок Задать учетные данные пользователя для аватара, затем выберите Использовать текущего пользователя для входа в службу или Использовать этого пользователя и введите пароль.
4	Введите значение переменной. Например: `abcd@example.com`.
5	Щелкните Тест, чтобы убедиться в правильности работы шаблона URI аватара. В этом примере, если значение почты для одной записи AD — `abcd@example.com`, а изображения JPG синхронизированы, URI последнего аватара — `http://www.example.com/dir/photo/zoom/abcd.jpg`
6	После того как информация URI будет подтверждена и будет отображена верно, щелкните Применить. Подробную информацию об использовании регулярных выражений см. в статье Краткая справка по языку регулярных выражений Microsoft.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей в приложении Webex. После включения этой функции в соединителе каталогов пользователям не разрешается настраивать собственный аватар.
Аватары пользователя синхронизируются с приложением Webex и всеми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Синхронизация информации о локальной комнате с облаком Webex

1	В соединителе каталогов перейдите к меню Синхронизация, щелкните рядом с синхронизированным доменом, щелкните Конфигурация и выберите Выбор объекта.
2	Установите флажок параметра Синхронизировать информацию о комнате с облаком, чтобы отделить данные комнаты от данных пользователя во время синхронизации. Если эта настройка отключена, данные комнаты обрабатываются так же, как синхронизированные данные пользователей.
3	Перейдите к меню Сопоставление атрибутов и измените сопоставление атрибутов для облачного атрибута sipAddresses;type=enterprise. Для использования проверки значения значение SIP-адреса должно быть Pattern.compile("^([^@])(.)@(.)$") Выберите MSRTCSIP-PrimaryUserAddress, если он доступен. Если указанный выше атрибут отсутствует в схеме Active Directory, используйте другое поле, например ipPhone.
4	Создайте почтовый ящик ресурса комнаты в Exchange. Будет добавлен атрибут msExchResourceMetaData;ResourceType:Room, который затем используется соединителем для идентификации комнат.
5	В разделе "Пользователи и компьютеры Active Directory" перейдите к свойствам комнаты и измените их. Добавьте полностью квалифицированный URI SIP с префиксом sip:
6	Выполните пробную синхронизацию, а затем полную синхронизацию на соединителе. Новые объекты комнаты перечислены в списке Добавленные объекты, а совпадающие объекты комнаты отображаются в разделе Совпадающие объекты в отчете пробного запуска. Все объекты комнат, отмеченные для удаления, находятся в разделе Удаленные комнаты. В результатах пробного запуска отображаются все совпадающие ресурсы комнаты. Эта настройка отделяет данные комнаты Active Directory (включая атрибут комнаты) от данных пользователя. По завершении синхронизации в облачной статистике на инструментальной панели соединителя отображаются данные комнаты, синхронизированные с облаком.

Дальнейшие действия

В Control Hub можно автоматически импортировать комнаты из каталога и создавать рабочие пространства.

Отправка отчетов по электронной почте о результатах синхронизации каталога

1	В соединителе каталогов щелкните Конфигурация и выберите Уведомление.
2	В соединителе каталогов щелкните Настройки и рядом с параметром Получатель электронной почты включите параметр Включить синхронизацию отчета.
3	Чтобы переопределить поведение при уведомлении по умолчанию и добавить одного или нескольких получателей электронных сообщений, установите флажок Включить уведомление.
4	Щелкните Добавить и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом будет отображено сообщение с предложением исправить ошибку, прежде чем вы сможете сохранить и применить изменения.
5	Щелкните Добавить адрес электронной почты и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом будет отображено сообщение с предложением исправить ошибку, прежде чем вы сможете сохранить и применить изменения.
6	Если необходимо изменить введенные адреса электронной почты, дважды щелкните запись электронной почты в левом столбце и внесите необходимые изменения.
7	После добавления всех действительных адресов электронной почты щелкните Применить.
8	После добавления всех действительных адресов электронной почты щелкните Сохранить.

Дальнейшие действия

Подготовка пользователей из Active Directory в Control Hub

1	Выполнение пробной синхронизации пользователей Active Directory Выполните пробный запуск для сравнения объектов в локальном каталоге Active Directory и объектов в облаке Webex. Пробный запуск позволяет просмотреть, какие объекты будут добавлены, изменены или удалены, прежде чем будет запущена полная или инкрементная синхронизация и произведены изменения в облаке.
2	Выполнение полной синхронизации пользователей Active Directory в облако При выполнении полной синхронизации служба соединителя отправляет все отфильтрованные объекты из вашего Active Directory (AD) в облако. Затем служба соединителя обновит хранилище удостоверений с учетом ваших записей AD. Если создан шаблон автоматического назначения лицензий, его можно назначить только синхронизированным пользователям.
3	Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub После завершения полной синхронизации пользователей с помощью соединителя каталогов в Control Hub можно назначить лицензии службы Webex различными способами. Рекомендуется настроить шаблон автоматического назначения лицензий перед его использованием для новых пользователей приложения Webex, синхронизированных из Active Directory. Отдельные изменения также можно внести после этого начального этапа.

Выполнение пробной синхронизации пользователей Active Directory

Перед началом работы

1	Выберите один из вариантов. После первого входа в систему щелкните Да в окне подсказки, чтобы выполнить пробный запуск. Если вы пропустите напоминание о пробном запуске, в любой момент в соединителе каталогов щелкните Инструментальная панель, выберите Пробный запуск синхронизации, а затем щелкните ОК, чтобы начать синхронизацию пробного запуска. По завершении пробного запуска будет отображен один из приведенных ниже результатов. *Обнаружены несовпадающие объекты в соединителе каталогов* Сводная информация о результатах пробного запуска отчетов и несовпадающих объектах в соединителе каталогов Сводная информация содержит информацию о сопоставлении объектов: Сопоставленные объекты. Пользователь, который находится в общих параметрах идентификации Webex и существует в домене Active Directory, например, если пользователь @cisco.com был синхронизирован с Webex и отображен в Control Hub, а такой же пользователь (someuser@cisco.com) существует в Active Directory. Это означает, что пользователь сопоставляется. Несовпадающие объекты. Пользователь, работающий в Webex, независимо от того, как он был добавлен в Common Identity, но он не существует в Active Directory. Он называется несовпадающим объектом. Например, если адрес someuser@cisco.com был синхронизирован с Webex и отображен в Control Hub, но тот же пользователь (someuser@cisco.com) не управляется Active Directory, в отчете отображается несоответствие пользователя. Пробный запуск идентифицирует пользователей по сравнению с пользователями домена. Приложение может идентифицировать пользователей, принадлежащих к текущему домену. На следующем шаге необходимо решить, следует ли удалить объекты или сохранить их. Несоответствующие объекты идентифицируются как уже существующие в облаке Webex, но не существующие в локальном каталоге Active Directory.
2	Просмотрите результаты пробного запуска и выберите параметр в зависимости от того, используете ли вы один или несколько доменов. Единый домен. Определите, следует ли сохранить несопоставленных пользователей. Если необходимо сохранить их, выберите Нет, сохранить объекты. Если нет, выберите Да, удалить объекты. После выполнения этих действий и запуска вручную полной синхронизации для обеспечения точного соответствия локального местоположения и облака соединитель каталогов автоматически включит запланированные задачи автоматической синхронизации. Несколько доменов. Для организации с доменами A и B сначала выполните пробный запуск домена A. Если необходимо сохранить несовпадающих пользователей, выберите Нет, сохранить объекты. (Эти несовпадающие пользователи могут быть участниками домена B.) Если необходимо удалить, выберите Да, удалить объекты. Если пользователи не будут отображены, сначала запустите полную синхронизацию для домена A, а затем выполните пробный запуск для домена B. Если пользователи не совпадают, добавьте этих пользователей в Active Directory, а затем выполните полную синхронизацию для домена B. При точном совпадении локального местоположения и облака соединитель каталогов автоматически включает запланированные задачи автоматической синхронизации.
3	В запросе Подтвердить пробный запуск щелкните Да, чтобы повторить синхронизацию пробного запуска, а затем просмотреть инструментальную панель и просмотреть результаты. Все учетные записи, которые были успешно синхронизированы в пробном запуске, отображаются в разделе Сопоставленные объекты. Если у пользователя в облаке нет соответствующего пользователя с тем же адресом электронной почты в Active Directory, запись будет отображена в разделе Удаленные пользователи. Чтобы избежать этого флажка удаления, можно добавить пользователя в Active Directory с тем же адресом электронной почты. Чтобы просмотреть сведения о синхронизированных элементах, щелкните соответствующую вкладку для определенных элементов или Сопоставленные объекты. Чтобы сохранить сводную информацию, щелкните Сохранить результаты в файл.
4	Если ожидаются результаты, перейдите к меню Действия > Режим синхронизации > Включить синхронизацию, а затем щелкните Включить сейчас, чтобы выполнить синхронизацию вручную и перевести в ручной режим на данный момент. После синхронизации последнего домена Active Directory в развертывании с несколькими доменами необходимо включить автоматический режим для соединителя каталогов. Автоматический режим можно включить, только когда объекты полностью сопоставляются между облаком Webex и всеми локальными Active Directory.

Дальнейшие действия

Для сохранения любых несовпадающих объектов пользователей необходимо добавить их в Active Directory, чтобы обеспечить точное соответствие между локальной системой и облаком.
Выберите тип синхронизации:
- Выполните полную синхронизацию пользователей Active Directory в облако при первой синхронизации новых пользователей с облаком. Это можно сделать в меню Действия > Синхронизировать сейчас > Полный, после чего будут синхронизированы пользователи из текущего домена.
- Настройте расписание соединителя и Запустить инкрементную синхронизацию после запуска полной синхронизации и при необходимости применить изменения после начальной синхронизации. Этот тип синхронизации рекомендуется учитывать небольшие изменения, внесенные в источник пользователя Active Directory.
  
  По умолчанию инкрементная синхронизация выполняется каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация.
Если у вас несколько доменов, повторите эти действия в любом другом установленном соединителе каталогов.

Что следует учитывать

Если соответствующие пользователи помечены как удаленные и вы не уверены, как продолжить, см. информацию об устранении неполадок и обращение в службу поддержки в статье Устранение неполадок и исправления соединителя каталогов.

Удаленные пользователи хранятся в облачной службе удостоверений в течение 7 дней до окончательного удаления.

Выполнение полной синхронизации пользователей Active Directory в облако

Перед началом работы

Чтобы учетные записи пользователей приложения Webex оставались в активном состоянии после полной синхронизации и перед первым входом пользователей в систему, необходимо выполнить следующие действия для обхода проверки адреса электронной почты.
- Интегрируйте систему единого входа в свою организацию Webex. См. Единый вход со службами Cisco Webex и поставщиком удостоверений вашей организации для получения дополнительной информации.
- Используйте Control Hub для проверки и при необходимости заявления доменов, содержащихся в адресах электронной почты. См. Добавление, проверка и заявление доменов.
- Блокировать автоматические электронные приглашения, чтобы новые пользователи не получали автоматические электронные приглашения в приложение Webex. (Можно выполнить собственную рассылку по электронной почте.)
  
  Состояние активированных пользователей, которые не вошли в систему, отображается в Control Hub с состоянием Проверено. После входа в систему они отображаются как Активные. Дополнительную информацию о состояниях пользователей см. в статье Действия и состояния пользователей в Cisco Webex Control Hub.
После включения синхронизации соединитель каталогов сначала попросит выполнить пробный запуск. Для выявления возможных ошибок рекомендуется выполнить пробный запуск до полной синхронизации.
Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.

Если шаблоны автоматического назначения лицензий не используются, новые синхронизированные пользователи автоматически получат бесплатные лицензии. Они смогут использовать те же бесплатные функции, что и у бесплатных учетных записей.

1	Выберите один из вариантов. Если после первого входа пробный запуск завершен и он выглядит правильным для всех доменов, щелкните Включить сейчас, чтобы разрешить автоматическую синхронизацию. В соединителе каталогов перейдите к инструментальной панели, щелкните Действия, выберите Режим синхронизации > Включить синхронизацию, а затем щелкните Синхронизировать сейчас > Полный, чтобы начать синхронизацию.
2	В соединителе каталогов перейдите к меню Синхронизация, щелкните рядом с синхронизированным доменом, щелкните Конфигурация и выберите Полная синхронизация.
3	Подтвердите начало синхронизации. Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов после выполнения синхронизации. Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac. Во время синхронизации на инструментальной панели отображается ход выполнения синхронизации. Это может включать тип синхронизации, время ее начала и этап, на котором выполняется синхронизация. После синхронизации разделы Последняя синхронизация и Статистика облака будут обновлены с учетом новой информации. Данные пользователя синхронизированы с облаком. Если во время синхронизации возникают ошибки, индикатор состояния становится красным.
4	Чтобы обновить состояние синхронизации, щелкните Обновить. (Синхронизированные элементы отображаются в разделе Облачная статистика.)
5	Чтобы просмотреть журналы ошибок, выберите Запустить средство просмотра event-совещаний на панели инструментов Действия.
6	Чтобы настроить график синхронизации для текущей инкрементной синхронизации с облаком, см. статьи Установка графика соединителя и Запуск инкрементной синхронизации.

После завершения полной синхронизации состояние синхронизации каталога обновляется из Отключенов В рабочем состояниина странице Настройкив Control Hub.
При сопоставлении всех данных между локальной системой и облаком соединитель каталогов переключается с ручного режима на режим автоматической синхронизации.
Если вы не интегрируете систему единого входа, подтвердите домены и при необходимости заявите домены для синхронизированных учетных записей электронной почты и не заблокируете автоматическую рассылку по электронной почте, учетные записи пользователей приложения Webex будут оставаться в состоянии "Не проверен" до тех пор, пока пользователи не войдут в приложение Webex впервые для подтверждения своих учетных записей. Инструкции по синхронизации учетных записей в качестве Активных пользователей см. в разделе "Перед началом работы".
Если у вас несколько доменов, выполните это действие в любом другом установленном соединителе каталогов. После синхронизации пользователи всех добавленных доменов будут отображены в Control Hub.
Если система единого входа интегрирована с Webex и заблокированными электронными уведомлениями, электронные приглашения не будут отправляться только синхронизированным пользователям.
После включения соединителя каталогов вручную добавить пользователей в Control Hub невозможно. После включения управление пользователями осуществляется с помощью соединителя каталогов Cisco, а Active Directory является единственным источником достоверных данных.
Все синхронизированные группы отображаются в Control Hub. Можно назначить шаблон лицензии, чтобы пользователям в этой группе назначались лицензии.

Дальнейшие действия

При удалении пользователя из Active Directory он будет программно удален после следующей синхронизации. Пользователь становится неактивным, однако профиль удостоверения в облаке сохраняется в течение семи дней (для восстановления после случайного удаления).

Если в Active Directory установлен флажок Учетная запись отключена, пользователь становится неактивным после следующей синхронизации. Профиль удостоверения облака не будет удален по истечении семи дней, если вы хотите снова включить пользователя.
Обратите внимание на эти исключения на инкрементную синхронизацию (вместо этого выполните все действия по синхронизации выше).
- В случае обновления аватара, но другие атрибуты не будут изменены, при инкрементной синхронизации аватар пользователя не будет обновлен в облаке.
- Изменения конфигурации сопоставления атрибутов, базового абонентского номера, фильтра и аватара требуют полной синхронизации.

Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.
Выполните пробную синхронизацию пользователей Active Directory.
После подтверждения результатов пробного запуска выполните полную синхронизацию пользователей Active Directory.

Выберите параметр.

Дальнейшие действия

Если электронные сообщения не блокируются, каждому пользователю будет отправлено электронное сообщение с приглашением присоединиться и скачать Webex.
Если вы выбрали одни и те же службы Webex для всех пользователей, после этого можно изменить назначенную лицензию индивидуально или массово.

Связанная информация

Известные проблемы с соединителем каталогов

В версиях Windows Server, предшествующих 2012 R2, возникает проблема с файлами cookie, которая влияет на соединитель каталогов. Эта проблема исправлена в версиях 2012 R2 и 2016.
Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов с момента выполнения синхронизации.

Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac.
Если пользователь использует приложение Webex на настольном или мобильном устройстве для поиска и вызова комнаты, в которой есть только синхронизированный URI SIP, вызов поступает в данный момент бессрочно.

Управление пользователями приложения Webex

Запустить инкрементную синхронизацию

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.
Обратите внимание на следующие исключения, которые не поддерживают инкрементную синхронизацию (вместо этого выполните полную синхронизацию пользователей Active Directory в облако ).
- В случае обновления аватара, но другие атрибуты не будут изменены, при инкрементной синхронизации аватар пользователя не будет обновлен в облаке.
- Для новых изменений конфигурации сопоставления атрибутов, базового абонентского номера, фильтра и настройки аватара инкрементная синхронизация не будет работать, и для них требуется полная синхронизация.

1	В соединителе каталогов щелкните Инструментальная панель. После включения синхронизации соединитель каталогов сначала попросит выполнить пробный запуск.
2	В меню Действия щелкните Режим синхронизации > Включить синхронизацию , если эта функция еще не включена. По умолчанию инкрементная синхронизация выполняется каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация. Когда установлен новый добавочный интервал времени, программа проверяет изменения на основе последней метки времени.
3	В меню Действия щелкните Синхронизировать сейчас > Инкрементный. Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов с момента выполнения синхронизации. Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac. Во время синхронизации на инструментальной панели отображается ход выполнения синхронизации. Это может включать тип синхронизации, время ее начала и этап, на котором выполняется синхронизация. После синхронизации разделы Последняя синхронизация и Статистика облака будут обновлены с учетом новой информации. Если во время синхронизации возникают ошибки, индикатор состояния становится красным.
4	Чтобы просмотреть журналы ошибок, щелкните Запустить средство просмотра event-совещаний на панели инструментов Действия .

Дальнейшие действия

Восстановление случайно удаленных пользователей

1	Войдите в Control Hub.
2	Перейдите в раздел Пользователи и убедитесь, что конкретная учетная запись пользователя находится в неактивном состоянии или скрыта. Дополнительную информацию см. в статье Действия и состояния пользователей в Control Hub.
3	Если пользователи были удалены в Control Hub или вы заметили, что пользователи находятся в неактивном состоянии, перейдите в Active Directory, добавьте отсутствующие учетные записи пользователей и выполните пробную синхронизацию в соединителе каталогов. Цель соединителя каталогов заключается в том, чтобы обеспечить точное соответствие информации о пользователях в Active Directory и в облаке.
4	Выполните полную синхронизацию, чтобы повторно синхронизировать временно удаленные учетные записи пользователей с Control Hub. Пользователи восстановлены и перейдут к исходному состоянию, включая состояние их учетной записи и назначения служб.

Дальнейшие действия

Удаление пользователей без возможности восстановления после мягкого удаления

1	По завершении пробного запуска выберите Мягко удаленные объекты.
2	Установите флажок рядом с пользователями, которых необходимо удалить.
3	Нажмите Готово.

Дальнейшие действия

При следующей синхронизации выбранные пользователи будут удалены без возможности восстановления.

Изменение адреса электронной почты приложения Webex

Чтобы изменить адреса электронной почты пользователей без изменения домена, выполните приведенные ниже действия.
1. Откройте учетную запись пользователя (например, user1@example.com) в Active Directory и измените адрес электронной почты (например, user2@example.com).
2. Возобновить синхронизацию в соединителе каталогов.
  
  После следующей синхронизации изменения отобразятся в списке пользователей в Control Hub, а для пользователей в приложении Webex после обновления кэша.
  
  При использовании этого метода потери данных или пространств не происходит. Уникальный идентификатор пользователя устанавливается в облаке после первой синхронизации. Все последующие синхронизации основаны на этом идентификаторе.
В развертывании с несколькими доменами с соединителем каталогов для изменения адресов электронной почты пользователей при изменении домена (рассмотрите example1.com старый домен и example2.com новый домен):
1. Для старой учетной записи пользователя (user1@example1.com) обратите внимание на атрибут Active Directory, который сопоставляется с атрибутом облака UID . Для новой учетной записи необходимо использовать то же значение Active Directory. В этом примере в качестве локального атрибута будет использоваться user1@example1.com для сопоставления с uid в облаке.
2. Приостановите синхронизацию в соединителе каталогов, например1.com и example2.com.
3. Создайте новую учетную запись пользователя на веб-сайте example2.com и используйте тот же атрибут, указанный выше. (Например, user1@example1.com).
4. В соединителе каталогов возобновите синхронизацию, например2.com
  
  Прежде чем продолжить, проверьте, синхронизируется ли учетная запись пользователя1@example2.com с Control Hub. Рекомендуется порекомендовать пользователю проверить изменение адреса электронной почты в приложении Webex и сохранить все данные (пространства, сообщения, совещания, файлы и т. д.).
  
  Этот метод не приводит к потере данных или пространств, однако в новой учетной записи пользователя необходимо убедиться в том, что атрибут Active Directory, который сопоставляется с атрибутом UID облака, сохраняется из старой учетной записи пользователя. При изменении значения Active Directory в новой учетной записи не сохраняются данные старой учетной записи.
5. После подтверждения изменения адреса электронной почты и сохранения данных удалите старую учетную запись пользователя на example1.com, а затем используйте соединитель каталогов для возобновления синхронизации, например1.com.
  
  На этом этапе можно безопасно обновить адрес электронной почты в новом домене Active Directory для пользователя1@example2.com.

Изменение домена Active Directory

1	Настройте новый домен Active Directory (AD).
2	Отключите синхронизацию на всех соединителях.
3	Удалите все соединители.
4	Зарегистрируйте обращение для изменения домена. При отправке запроса на удаление конфигурации домена и всех атрибутов синхронизации в организации обязательно выполните запрос. Прежде чем зарегистрировать обращение для изменения домена, убедитесь, что синхронизация не запущена. Не изменяйте адреса электронной почты пользователей в Active Directory, пока обращение не будет решено.
5	После завершения рассмотрения дела. Установите соединитель каталогов на том же сервере, что и для нового домена Active Directory. Настройте соединитель каталогов так, чтобы он указывал на новый домен Active Directory. Если в Control Hub есть существующие пользователи (https://admin.webex.com), убедитесь, что пользователи с совпадающими адресами электронной почты также присутствуют в Active Directory. Если в вашей организации отключена функция `softDelete` в DirSync, адреса электронной почты пользователей, которые находятся в Control Hub, но не находятся в состоянии удаления Active Directory. Перед фактической синхронизацией выполните тестовый запуск с соединителем каталогов.

Заявление домена

Связанная информация

Преобразование пользователей бесплатного приложения Webex в организацию, синхронизированную с каталогом

Если эти пользователи не будут добавлены, они будут удалены при синхронизации с облаком.

1	Отключите синхронизацию каталога в соединителе каталогов.
2	Выполните процедуру Преобразование нелицензированных пользователей в Control Hub , чтобы преобразовать пользователя из бесплатной клиентской организации в корпоративную. На этом этапе пользователь будет добавлен в вашу организацию, и учетная запись будет отображена в Control Hub. Соединитель каталогов делает Active Directory единственным источником достоверных данных для учетных записей пользователей, и целью является точное соответствие Active Directory и Control Hub. Перед повторной синхронизацией убедитесь, что для всех недавно преобразованных пользователей имеются совпадающие пользователи в Active Directory. Чтобы убедиться, что несовпадающих пользователей не осталось, можно выполнить пробную синхронизацию.
3	Выполните пробную синхронизацию в соединителе каталогов. По завершении пробной синхронизации проверьте вкладку "Добавить объекты". Убедитесь, что никакие преобразованные пользователи не удалены. Перед повторным включением синхронизации необходимо выполнить пробную синхронизацию, чтобы убедиться в том, что все преобразованные учетные записи пользователей отображаются в Active Directory. Если синхронизация включена и учетные записи находятся только в Control Hub, соединитель каталогов чувствителен к регистру и удаляет преобразованных пользователей, которые будут обнаружены с несовпадающими адресами электронной почты (например, user1@example.com и User1@example.com). При удалении преобразованных пользователей все пространства приложения Webex будут утрачены.
4	Если вы уверены, что при следующей синхронизации не будут удалены какие-либо учетные записи, снова включите синхронизацию каталога в соединителе каталогов.

Преобразованные учетные записи пользователей не будут активированы автоматически, если домен не был подтвержден. Например, если вы включили шаблон автоматического назначения лицензий, а затем включили соединитель каталогов без проверки домена, преобразованные пользователи будут неактивны в облачном сервере до тех пор, пока не подтвердят свои адреса электронной почты.

Перенесенные учетные записи пользователей приложения Webex

Изменение формата имени пользователя приложения Webex после синхронизации каталога

По умолчанию соединитель каталогов сопоставляет атрибут displayName в Active Directory с атрибутом displayName в облаке.

После выполнения синхронизации каталога имена пользователей могут отображаться в формате .

Кроме того, сопоставьте атрибут sn givenName с displayName:

Разрешение пользователям изменять отображаемые имена в Webex Meetings

1	В соединителе каталогов щелкните Конфигурация и выберите Сопоставление атрибутов пользователя.
2	Выберите displayName в разделе Name Attribute Cloud Cisco (Имя атрибута облака Cisco).
3	Выберите Не синхронизировать этот атрибут.

Дальнейшие действия

Теперь пользователи могут редактировать свои отображаемые имена на веб-сайте Webex.

Устранение неполадок соединителя каталогов

Модернизация до последнего выпуска программного обеспечения

1	Чтобы начать процесс модернизации, щелкните уведомление на панели задач Windows или щелкните правой кнопкой мыши пиктограмму соединителя каталогов на панели задач Windows.
2	Чтобы завершить модернизацию, следуйте инструкциям.
3	Перезапустите соединитель и войдите с помощью учетных данных администратора.
4	Проверьте номер версии программного обеспечения в разделе Справка > О программе.

Дальнейшие действия

Настройка общих параметров соединителя каталогов

Используйте эту процедуру для настройки общих параметров, таких как имя сервера, на котором запущен соединитель каталогов, уровни журналов, автоматическая модернизация и предпочтительные параметры для контроллеров домена. Имя соединителя отображается на инструментальной панели в разделе соединителей вместе с другими запущенными соединителями.

1	В соединителе каталогов перейдите к меню Конфигурация и щелкните Общие.
2	В поле Имя соединителя введите имя соединителя. В этом поле отображается только имя компьютера, на котором в данный момент запущен соединитель.
3	В раскрывающемся списке выберите уровень журнала. По умолчанию для уровня журнала задано значение info. Доступные уровни журналов: Информация (по умолчанию). Отображает информационные сообщения с информацией о ходе работы приложения на высоком уровне. Используйте эту настройку, чтобы получать отчеты после всех полных синхронизаций. Предупреждение: отображает потенциально опасные ситуации. Отладка. Отображает подробные информационные события, наиболее полезные для отладки приложения. При возникновении какой-либо проблемы установите этот уровень журнала и отправьте журнал event-совещания в службу поддержки при регистрации обращения. Ошибка. Отображает события ошибки, которые по-прежнему могут позволить приложению продолжить работу. При выборе этого параметра отчеты о синхронизации будут отправляться только в случае сообщений об ошибках. Эти настройки влияют на отчет о синхронизации, который отправляется по электронной почте. Если для уровня журнала задано значение «Ошибка», в отчете о синхронизации регистрируются только ошибки. Если ошибки отсутствуют, отчет о синхронизации не отправляется. Измените настройку на "Информация", затем вы получите отчеты о синхронизации после полной синхронизации. (Имейте в виду, что при инкрементной синхронизации отчеты не отправляются, если нет сообщений об ошибках.)
4	Выберите Предпочтительные контроллеры домена , чтобы задать порядок синхронизации удостоверений. Доступ к контроллерам домена осуществляется сверху вниз. Если верхний контроллер недоступен, выберите второй контроллер в списке. Если контроллер не указан в списке, можно получить доступ к основному контроллеру.
5	Для автоматической модернизации установите флажок параметра Автоматическая модернизация до новой версии соединителя каталогов Cisco . Всегда важно поддерживать актуальность программного обеспечения соединителя каталогов Cisco до последней версии. Рекомендуется установить эту настройку, чтобы разрешить автоматическую модернизацию программного обеспечения устанавливать в фоновом режиме, когда она станет доступной.
6	Установите флажок LDAP по SSL , чтобы в качестве протокола соединения использовать безопасный LDAP (LDAPS). Если не установлен флажок LDAP через SSL, соединитель каталогов продолжит использовать протокол соединения LDAP. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в инфраструктуре. Связь LDAPS зашифрована и защищена.

Настройка политики соединителя

1	В соединителе каталогов щелкните Конфигурация и выберите Политика.
2	Если необходимо добавить триггер порогового значения, установите флажок в поле Включить триггер удаления порогового значения . При выборе этого параметра будет отправлено предупреждение, если количество удалений превышает пороговое значение. Если учетная запись удаления превышает заданную вами, синхронизация не будет выполнена.
3	Введите максимальное количество удалений. Значение по умолчанию — 20. Не рекомендуется увеличивать значение по умолчанию.
4	Нажмите Применить.

Настройка графика соединителя

1	В соединителе каталогов щелкните Конфигурация и выберите Запланировать.
2	Укажите интервал инкрементной синхронизации в минутах. По умолчанию установлена инкрементная синхронизация каждые 30 минут. Полная инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация.
3	Чтобы изменить частоту отправки отчетов, измените значение Отправлять отчеты для...времени .
4	Установите флажок Включить график полной синхронизации , чтобы указать дни и время, в которые должна произойти полная синхронизация.
5	Укажите интервал отработки отказа в минутах.
6	Нажмите Применить.

Сценарии с несколькими доменами

Объекты с одинаковым ключевым значением связаны в одной записи в базе данных.

Пример сценария использования для нескольких доменов

В этом примере предполагается организация с двумя доменами: example1.com и example2.com в порядке приоритета.

Добавить пользователя1 (адрес электронной почты: user@example1.com) в Active Directory на странице example1.com.
Добавить группу1 (название группы: Тест) в Active Directory на примере example1.com.
Добавить пользователя2 (адрес электронной почты: user@example2.com) в Active Directory на примере example2.com.
Добавить группу2 (имя группы: Тест) в Active Directory на примере example2.com.

Синхронизация на example1.com

Синхронизация на example1.com и example2.com

Рассмотрим следующие шаги.

Удалите пользователя1 и группу1 в Active Directory, например1.com.
Выполните полную или инкрементную синхронизацию, например1.com.
Результат: информация о пользователе не изменяется в https://admin.webex.com. Пользователь2 не связан с пользователем1, а группа2 не связана с группой1.
Выполните инкрементную синхронизацию, например2.com.
Результат: информация о пользователе не изменяется в https://admin.webex.com.
Выполните полную синхронизацию, например2.com.
Результат: Информация о пользователе2 и группе2 отображается в https://admin.webex.com.

Синхронизация нового домена и сохранение существующего

Установка приоритета домена

Используйте эту процедуру для изменения приоритета доменов Active Directory. Приоритет домена позволяет определить основной домен, дополнительный домен и т. д. Это помогает, если два пользователя из двух разных доменов имеют одно и то же значение адреса электронной почты, синхронизированное с одной организацией.

Перед началом работы

1	В соединителе каталогов Cisco щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Задать приоритет домена.
3	Выделите один домен в списке, щелкните Вверх или Вниз , чтобы изменить приоритет этого домена, а затем щелкните Сохранить , чтобы сохранить это изменение. Домены сортируются по приоритету сверху вниз.

Переключить домены

Используйте эту процедуру для повторного связывания соединителя каталогов Cisco с другим доменом.

Перед началом работы

Перед переключением доменов убедитесь, что задачи синхронизации не выполняются.
Во избежание ошибок установите или модернизируйте соединитель каталогов Cisco до последней версии. Его необходимо скачать из Control Hub.

1	В соединителе каталогов Cisco щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Переключить домен.
3	Если после ознакомления с предупреждением вы понимаете влияние этого изменения на развертывание и все еще уверены, щелкните Да. При переключении домена выход из текущего соединителя каталогов Cisco будет выполнен, другие домены в соединителе будут отменены, а информация о соединителе на этом компьютере будет удалена.
4	Снова войдите в соединитель каталогов Cisco и повторно подключите домен.

Выключить синхронизацию каталога

Щелкните "Дополнительно" и затем щелкните Выключить рядом с экземпляром соединителя, который необходимо выключить.
Чтобы остановить синхронизацию со всех экземпляров соединителя, щелкните Выключить все синхронизации каталогов .

После прочтения подсказки щелкните Выключить.

Синхронизация будет остановлена до повторного включения в соединителе каталогов.

Удалить сопоставление атрибутов пользователя

1	В соединителе каталогов щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Сервисные программы > Удалить сопоставление атрибутов пользователя.
3	Выберите сопоставление, которое необходимо удалить из списка Имя атрибута .
4	В разделе Затронутая область пользователя выберите один из приведенных ниже параметров. Только пользователи, синхронизированные с соединителем каталогов. сопоставление будет удалено только у пользователей, которые ранее синхронизировали соединитель каталогов. Все пользователи. сопоставление будет удалено у всех пользователей Active Directory.
5	Нажмите Применить.

Управление изображениями профиля

1	В соединителе каталогов щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Сервисные программы > Управление изображениями профиля.
3	В разделе Действия выберите один из приведенных ниже вариантов. Удаление изображений профиля для пустых источников аватара. если изображение профиля Active Directory пустое, этот параметр гарантирует удаление изображений профилей пользователей из облака, даже если пользователь ранее загрузил собственное изображение в Webex. Повторно загрузите из синхронизированного источника для переопределения кэшированных изображений. Соединитель каталогов использует тот же каталог Active Directory, что и предыдущие, для обновления изображений профилей для всех пользователей. Это гарантирует отсутствие несоответствия между изображениями профиля в Active Directory и облаке.
4	Нажмите Применить.

Удаление и деактивация соединителя каталогов

Вы больше не хотите использовать синхронизацию каталога.
Не следует использовать один из нескольких соединителей каталогов (высокая доступность).
Необходимо изменить домен и установить другой соединитель.

Перед началом работы

Для высокой доступности может быть настроено несколько экземпляров соединителя каталогов, или синхронизация нескольких доменов. Отключите синхронизацию при удалении единственного или последнего экземпляра соединителя каталогов.
Перед удалением соединителя каталогов сохраните и закройте все важные работы.

1	На компьютере Windows перейдите на панель управления и щелкните Программы и компоненты.
2	В списке программ щелкните Соединитель каталогов, выберите Удалить и следуйте подсказкам. Для завершения удаления может потребоваться перезагрузка системы.
3	В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню Управление > Настройки организации, прокрутите страницу до раздела Синхронизация каталога, щелкните Дополнительно , а затем щелкните Деактивировать рядом с экземпляром соединителя каталогов, который необходимо удалить.
4	После прочтения подсказки щелкните Деактивировать. Если в развертывании высокой доступности не установлен другой соединитель каталогов, учетные записи пользователей больше не синхронизируются.

Запуск средства диагностики

Запуск тестов для служб домена Active Directory.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку AD-DS , введите домен , затем щелкните Загрузить контроллеры доменов.
2. Выберите из списка один контроллер домена.
  
  Не изменяйте запись позже, поскольку инкрементный поиск всегда должен выполняться на одном и том же контроллере домена.
3. По умолчанию выполняются поиск всех путей, однако можно выбрать один атрибут , а затем щелкнуть Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , например Пользователи и Группа , а также фильтры поиска.
5. Установите флажок Автоматически заполнять файлы cookie , чтобы автоматически создавать файлы cookie для поиска.
6. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы выполнить тесты для служб облегченного каталога Active Directory, выполните указанные ниже действия.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку AD-LDS , введите Хост и Порт, а затем щелкните Загрузить разделы.
2. Выберите раздел в списке и щелкните Подключить.
3. По умолчанию выполняются поиск всех путей, однако можно выбрать один атрибут , а затем щелкнуть Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , такие как фильтры Пользователь, UserProxy и UserProxyFull и поиска.
5. Установите флажок Автоматически заполнять файлы cookie , чтобы автоматически создавать файлы cookie для поиска.
6. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы запустить тесты протокола LDAP, выполните следующие действия.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку RAW LDAP , введите корневой путь, фильтр и выберите запись в разделе Атрибуты , затем щелкните Загрузить разделы.
2. При необходимости установите флажки следующих параметров.
  - ObjectSecurity. При наличии этого параметра вызывающий абонент не требует прав и может видеть только доступные для вызывающего абонента объекты и атрибуты. Если этот параметр отсутствует, вызывающий абонент имеет право копировать изменения.
  - РодителиFirst (Сначала родители). Обеспечивает, чтобы все родители детей приходили раньше своих детей.
3. Выберите значение для ExtendedDN.
  
  Это значение используется в расширенном поиске LDAP для запроса расширенной формы Distinguished Name объекта.
4. Выберите значение для ReferralChasing.
  
  Охота на рефералов инициируется, когда контроллер домена возвращает реферал из запроса, например для получения сведений о результатах запроса, которые могут находиться за пределами пространства имен (например, участников группы в другом домене или лесу).
5. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
6. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.

Устранение неполадок в соединителе каталогов Ciso

Устранение неполадок и исправления соединителя каталогов

Установка

Соединитель каталогов прекратил работу

Вы получили сообщения электронной почты с предупреждением о том, что соединитель каталогов не работает.

Возможно, соединитель каталогов установлен неверно.
Возможно, соединитель каталогов не работает.
Возможно, сеть недоступна.

Попробуйте выполнить приведенные ниже действия.

Откройте Панель управления > Программы и компоненты. Найдите соединитель каталогов. Если она отсутствует, скачайте последнюю версию из Control Hub и установите ее.
Откройте Служба и найдите службу Cisco DirSync. Убедитесь, что в нем отображается состояние Начато. Если служба остановлена, щелкните правой кнопкой мыши и выберите "Начать", чтобы перезапустить службу.
Убедитесь, что сервер, на котором установлен соединитель каталогов, имеет доступ к Интернету.

Ошибка переустановки

Решение. По прошествии некоторого времени повторите попытку установки.

Вход в систему

Сбой соединителя каталогов во время входа SSO

Проблема

Решение

Попробуйте выполнить приведенные ниже действия.

Чтобы настроить новую групповую политику, выполните следующие действия.

Перейдите к контроллеру домена и откройте раздел Group Policy Management (gpedit.msc).
Щелкните правой кнопкой мыши определенный OU или домен, выберите Создать GPO в этом домене и Связать его здесь...
Укажите название политики, затем щелкните правой кнопкой мыши и выберите Правка.

Чтобы изменить политику на уровне машины, выполните следующие действия:

Перейдите к меню Конфигурация компьютера > Предпочтительные параметры > Настройки Windows, щелкните правой кнопкой мыши Реестр, выберите Создать, а затем Элемент реестра.
Для параметра Key Path (Путь ключа) введите или перейдите к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger (Отключить отладчик сценариев) для параметра Value (Значение) и введите no для параметра Value data (Данные значения).

Настройки должны соответствовать приведенному ниже снимку экрана.

Чтобы изменить политику на уровне пользователя, выполните следующие действия.

Перейдите к меню Конфигурация компьютера > Предпочтительные параметры > Настройки Windows, щелкните правой кнопкой мыши Реестр, выберите Создать, а затем Элемент реестра.
Для параметра Путь ключа введите или перейдите к разделу HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger (Отключить отладчик сценариев) для параметра Value (Значение) и введите no для параметра Value data (Данные значения).

Настройки должны соответствовать приведенному ниже снимку экрана.

Не удалось зарегистрировать соединитель службы Cisco DirSync

Проблема

Ошибка входа. Отображается сообщение "Не удалось зарегистрировать соединитель службы Cisco DirSync."

Решение

Система Windows, на которой установлен соединитель каталогов, должна быть членом Active Directory.

Страница входа не отображается

Проблема

Вы открыли соединитель каталогов, и страница входа не отображалась.

Решение

Выполните следующие действия.

В Internet Explorer перейдите к https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Попробуйте использовать ссылку в других браузерах, например в Chrome и Firefox.
Если Internet Explorer не может открыть ссылку, но могут использовать другие браузеры, установите флажки в настройках Internet Explorer и установите флажки TLS 1.1 и 1.2. (Используйте процедуру Включить TLS в Internet Explorer .)

Отобразится запрос на вход

Проблема

Отобразится запрос на ввод имени пользователя и пароля для проверки подлинности.

Возможная причина

Решение

Не удается подключиться к удаленному серверу

Проблема

Во время обычной работы отображается сообщение об ошибке "Не удается подключиться к удаленному серверу".

Возможная причина

Возможно, у вас возникли проблемы с прокси, которые необходимо решить.

Решение

Невозможно зарегистрировать соединитель

Проблема

Отображается сообщение об ошибке "Невозможно зарегистрировать соединитель. Произошло общее исключение".

Возможная причина

Решение

Попробуйте выполнить приведенные ниже действия.

Запустите командную строку (cmd) и введите ldp.exe.
Щелкните Connection (Подключение) > Bind (Привязка), выберите Привязка как пользователь, выполнивший вход в систему в данный момент, а затем щелкните ОК.
Щелкните Просмотр > Дерево, введите DC=arbonneintl,DC=ad в качестве BaseDN, а затем щелкните ОК.
Если проблема не исчезнет, зарегистрируйте обращение в службу поддержки.

Синхронизация

Аватары не синхронизированы

Проблема

Возможная причина

Решение

Удалите локальный кэш, выполнив следующие действия.

Перейдите к C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Удалите DirSyncPluginAvatar.dll-cache.bin.
Перезапустите синхронизацию аватара с помощью соединителя каталогов Cisco.

Конфликтующие учетные записи электронной почты пользователей

Проблема

Если пользователи попытаются использовать бесплатную версию приложения Webex, их адреса электронной почты будут находиться в бесплатной клиентской организации.
Если адреса электронной почты пользователей когда-либо были синхронизированы в другой организации.
Если адреса электронной почты пользователя существуют в нескольких доменах, принадлежащих организации.

Решение

Попробуйте выполнить приведенные ниже действия.

При попытке заявления пользователей выполните приведенные ниже действия.
1. Убедитесь, что домен подтвержден в Control Hub.
2. Временно отключить соединитель каталогов Cisco.
3. Используйте параметр "Заявить пользователя" в Control Hub, чтобы заявить все учетные записи, которые могут существовать в бесплатной клиентской организации. Дополнительную информацию см. в статье Утверждение пользователей в организации (преобразование пользователей) .
4. Выполните пробный запуск соединителя каталогов Cisco, а затем повторно включите синхронизацию каталога
В последнем случае дважды проверьте данные пользователей в источниках Active Directory.

Преобразованный пользователь помечен как неактивный

Проблема

Возможная причина

Решение

Ошибка добавочной синхронизации

Проблема

Сбой инкрементной синхронизации.

Эта проблема может возникать в Windows Server 2008 R2 при следующих условиях:

Вы поддерживаете обновления добавочных значений.
Фильтр, который используется, ссылается на связанный атрибут значения.
Значения результата этого атрибута обновлялись с момента последней полной синхронизации.

Решение

Недопустимое значение атрибута

Проблема

Возможная причина

Решение

Соответствующие пользователи, подлежащие удалению

Проблема

Соответствующие пользователи помечены как удаленные.

При выполнении пробной синхронизации для проверки данных между Active Directory и облаком в обоих случаях может отображаться один и тот же адрес электронной почты. Однако пользователь помечен как объект, подлежащий удалению.

Решение

Выберите соответствующее исправление.

Если удалить пользователя и повторно ввести лицензии после этого, для исправления можно использовать соединитель каталогов. Выполните синхронизацию, чтобы удалить пользователя, а затем другую синхронизацию, чтобы синхронизировать пользователя из локального AD с облаком.
Если вы не можете удалить и повторно создать учетную запись пользователя, зарегистрируйте обращение в службу поддержки.

Отсутствует атрибут

Проблема

Возможная причина

Решение

Вложенная группа не будет синхронизирована

Проблема

Пользователи во вложенной группе Active Directory не синхронизируются надлежащим образом с облаком.

Возможная причина

Решение

Конфликт имен пользователей

Проблема

Возможная причина

Пользователь с таким адресом электронной почты уже существует в Control Hub.

Решение

Control Hub

Список пользователей отсутствует в Control Hub

Проблема

Решение

Группы не будут синхронизированы с Control Hub

Проблема

Пользователи в группе каталогов не будут синхронизированы с Control Hub надлежащим образом.

Возможная причина

В Active Directory группа не имеет тегов isCriticalSystemObject .

Решение

Убедитесь, что для атрибута isCriticalSystemObject в Active Directory установлено значение TRUE .

Включение устранения неполадок соединителя каталогов

Файлы журналов: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Запустите файл `services.msc` , чтобы изменить запущенную учетную запись для службы соединителя каталогов с локальной системы на учетную запись домена, имеющую права на доступ к вашим AD DS или AD LDS.
2	Перезапустите службу. Инструкции см. в статье Начало работы служб .
3	В соединителе каталогов щелкните Инструментальная панель.
4	Перейдите к меню Действия и щелкните Сервисные программы > Устранение неполадок.
5	Если функция устранения неполадок включена, повторите действия, которые привели к ошибке. Таким образом будут фиксированы данные трафика, чтобы их можно было проверить.
6	Просмотрите файлы журналов. если файл пуст, убедитесь, что у учетной записи есть права на доступ к AD DS или AD LDS. В папке журнала сохраняются только файлы за последние 3 дня. Содержимое файлов журнала соответствует выходу журнала события в систему.
7	При необходимости отправьте файл журнала в службу поддержки для получения помощи.
8	По завершении отключите функцию устранения неполадок.

Связанная информация

Запускать средство просмотра событий.

1	В соединителе каталогов перейдите к меню Инструментальная панель и щелкните Действие > Запустить средство просмотра event-совещаний. В диалоговом окне "Свойства события" отображаются сведения о синхронизации события и сведения об ошибке.
2	В средстве просмотра event-совещаний перейдите к меню Журналы приложений и служб > Соединитель каталогов Cisco.
3	В разделе Действия щелкните Сохранить все event-совещания как , чтобы экспортировать все журналы в один файл event-совещаний (*.evtx) или другой формат, например XML или CSV.

Дальнейшие действия

Включение TLS в Internet Explorer

При входе в службу произошла ошибка
Произошла ошибка в сценарии на этой странице

При появлении этих ошибок необходимо включить настройку TLS в браузере.

1	Откройте Internet Explorer и выберите Инструменты. Теперь установите флажки для версии TLS/SSL, которую необходимо включить. Щелкните ОК Закрыть браузер и снова открыть его
2	Щелкните Свойства обозревателя , перейдите в раздел Дополнительно , прокрутите страницу до раздела Безопасность.
3	Установите флажки Использовать TLS 1.1 и Использовать TLS 1.2 , а затем щелкните ОК.
4	Чтобы изменения вступили в силу, перезапустите систему.

Устранение неполадок со входом в учетную запись службы

Попробуйте открыть https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL в веб-браузере.

Выберите один из вариантов в зависимости от результатов.

Если вы не можете перейти по ссылке в браузере, проверьте сетевые настройки. Если в вашей среде используется прокси, проверьте настройки прокси.
Если вы можете перейти по ссылке в браузере, но не можете открыть соединитель каталогов Cisco (Не удается открыть соединитель и всплывающее сообщение об ошибке 407), щелкните здесь , чтобы получить последнюю версию соединителя каталогов Cisco.
Если вы можете перейти по ссылке в браузере, но не можете выполнить синхронизацию с помощью соединителя каталогов Cisco, измените учетную запись входа в службу на администратор домена.

Проверьте, является ли учетная запись, использованная для входа в систему Windows, той же учетной записью, что и в службе Cisco DirSync. Если у них 2 разных учетных записи, убедитесь, что обе учетные записи могут посещать https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Если в вашей среде используется прокси, убедитесь, что обе учетные записи настроены для прокси в Internet Explorer и могут https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL успешно посещать учетные записи.

Связанная информация

Проверка SafeDllSearchMode в реестре Windows

Как правило, режим SafeDllSearchMode включен, но используйте эту процедуру для повторной проверки настроек реестра.

Перед началом работы

В окне поиска в Windows или в окне "Выполнить" введите regedit и нажмите клавишу ввода.

Перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан. Дальнейшие действия не требуются.
SafeDllSearchMode указан в списке. Убедитесь, что значение 1.

Дополнительную информацию см. в статье Порядок поиска библиотеки динамических ссылок.

Обзор соединителя каталогов Cisco

Обзор соединителя каталогов

В таблице перечислены все функции, описания и преимущества.

Функция	Описание и преимущества
Простая в использовании инструментальная панель	Инструментальная панель предоставляет график синхронизации, сводную информацию и состояние синхронизации, а также состояние соединителя каталогов. Панель отчетов можно просматривать в любое время при входе в систему.
Пробный запуск перед синхронизацией с облаком	Выполните пробный запуск изменений каталога, прежде чем они будут реализованы в облаке. Затем запустите отчет, чтобы увидеть, что изменения, которые необходимо внести, являются ожидаемыми.
Полная и инкрементная синхронизация	Синхронизируйте весь каталог. Или просто синхронизируйте дополнительные изменения, чтобы сэкономить мощность обработки и сократить время синхронизации.
Синхронизация нескольких доменов (один лес или несколько лесов)	Соединитель каталогов поддерживает несколько доменов в одном лесу или в нескольких лесах (без необходимости AD LDS). Для предприятий с несколькими доменами Active Directory можно установить соединитель каталогов для каждого домена, связать каждый домен с вашей организацией, а затем синхронизировать каждую базу пользователей с Webex. Control Hub отражает состояние синхронизации нескольких соединителей каталогов, позволяет выключить синхронизацию для определенного домена и деактивировать соединитель каталогов в развертывании с высокой доступностью.
Синхронизация запланирована	Настройте график синхронизации на день, час и минуту.
Фильтры протокола доступа к каталогу (LDAP)	Определите критерии поиска LDAP и обеспечьте эффективный импорт.
Сопоставление атрибутов Active Directory	Сопоставьте атрибуты Microsoft Active Directory с соответствующими атрибутами облака Webex. Можно сопоставить атрибуты, относящиеся к конфигурации Active Directory, а также определить пользовательские атрибуты для сопоставления с облаком. Атрибуты локальной среды формируют в облаке различные данные, такие как данные учетной записи пользователя, телефонные номера в Webex Teams, SIP-адреса ресурсов комнаты и другие данные карточки контакта пользователя (должность, отдел, менеджер и т. д.).
Корпоративный каталог для ресурсов локальных комнат и пользователей Cisco Webex Calling (облачная PSTN) и корпоративных контактов без лицензирования Webex	Если в вашей организации для службы вызовов используется облачная PSTN Cisco Webex Calling или у вас есть локальные устройства комнаты, эта функция позволяет пользователям выполнять поиск в каталоге корпоративных контактов на телефонах Cisco Webex Calling (облачная PSTN) или ресурсах комнат. Ресурсы комнаты После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным адресом SIP будут отображены в зарегистрированных в облаке устройствах комнат (таких как устройство Cisco Webex Room или Cisco Webex Board) как записи, доступные для поиска. При поиске пользователей устройства Cisco Webex Room или Cisco Webex Board будут отображены синхронизированные записи комнат, настроенные с помощью SIP-адресов. При поступлении вызова с устройства Webex на эту запись вызов будет размещен на SIP-адрес, настроенный для комнаты. Вызовы Помимо контактов приложения Webex пользователи могут совершать вызовы корпоративным контактам. С помощью соединителя каталогов корпоративные пользователи и их номера телефона будут добавлены в вашу организацию Webex. Для работы этой функции лицензия на службы Webex не требуется. Пользователи, у которых нет лицензий на Webex, будут отображаться в результатах поиска по каталогу, выполненном на телефоне пользователя Cisco Webex Calling, при условии, что в соединителе каталогов синхронизирован URI или номер телефона с Webex. Функции вызовов одинаковы для пользователей обоих типов. Эта функция также обеспечивает возможность редактирования набора для контактов только с номерами телефона. В результатах поиска контактов: Если контакты имеют набираемый URI (адрес SIP Webex) и номер телефона, отображается URI, связанный с контактом. Если у контактов нет набираемого URI, но есть номер телефона, отображается номер телефона. Кроме того, у них есть программная клавиша для редактирования набора. Если контактов нет, они не отображаются в каталоге.
Средство просмотра event-совещаний	С помощью средства просмотра event-совещаний можно определить, возникли ли какие-либо проблемы с синхронизацией.
Средство диагностики и устранение неполадок	С помощью встроенного средства диагностики можно устранять неполадки при развертывании соединителя каталогов Cisco. Если синхронизация не работает надлежащим образом, может возникнуть ошибка конфигурации или сети. Этот инструмент тестирует подключение к Active Directory, чтобы можно было самостоятельно диагностировать ошибки перед обращением в службу поддержки. После включения функции устранения неполадок в соединителе каталогов записываются журналы, которые можно отправить в службу технической поддержки.
Автоматическая модернизация	После установки соединителя каталогов при появлении новой версии программного обеспечения будет отправлено уведомление. Автоматическую модернизацию можно настроить таким образом, чтобы при выпуске новой версии всегда была последняя версия программного обеспечения.
Высокая доступность	Настройте несколько соединителей для резервного копирования, если основной соединитель или размещающая машина не работает.

Соединитель каталогов разделен на три области:

Control Hub – это единый интерфейс, позволяющий управлять всеми аспектами организации Webex. просмотр пользователей, назначение лицензий, скачивание соединителя каталогов и настройка системы единого входа (SSO) , если необходимо, чтобы пользователи выполняли аутентификацию посредством корпоративного поставщика удостоверений и не отправляли электронные приглашения для приложения Webex.
Интерфейс управления соединителем каталогов – это программное обеспечение, которое можно скачать из Control Hub и установить на доверенном сервере Windows. Для нескольких доменов Active Directory можно установить одну минуту программного обеспечения для каждого домена, который необходимо синхронизировать. С помощью этого программного обеспечения можно запустить синхронизацию для переноса учетных записей пользователей Active Directory в Webex, просмотра и отслеживания состояния синхронизации, а также настройки служб соединителя каталогов.
Служба синхронизации каталога запрашивает ваш Active Directory, чтобы получить пользователей и группы для синхронизации со службой соединителя и соединителем каталогов.

Чтобы понять архитектуру соединителя каталогов, см. приведенную ниже диаграмму.

Подготовка среды для соединителя каталогов

Требования для соединителя каталогов

Требования к Windows и Active Directory

Соединитель каталогов можно установить на следующих поддерживаемых серверах Windows:

Windows Server 2022
Windows Server 2019
Windows Server 2003

Соединитель каталогов поддерживается следующими службами Active Directory:

Active Directory 2016

(Соединитель каталогов поддерживается при использовании последней версии Active Directory на Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Обратите внимание на следующие дополнительные требования:

Для соединителя каталогов требуется TLS1.2. Необходимо установить приведенное ниже.
- .NET Framework версии 3.5 (требуется для приложения соединителя каталогов. При возникновении каких-либо проблем воспользуйтесь инструкциями, приведенными в статье Включение .NET Framework 3.5 с помощью мастера добавления ролей и функций.)
- .NET Framework версии 4.5 (обязательно для TLS1.2)
Требуется уровень функционального леса Active Directory 2 (Windows Server 2003) или более поздний. (Дополнительную информацию см. в статье Какие функциональные уровни Active Directory? .)

Требования к оборудованию

8 ГБ ОЗУ
50 ГБ хранилища
Нет минимума для ЦП

Требования к сети

Требования к организации Webex

Для доступа к программному обеспечению соединителя каталогов из Control Hub требуется организация Webex с пробной версией или платной подпиской.
(Необязательно) Чтобы новые учетные записи пользователей приложения Webex были Активными перед первым входом в систему, рекомендуется выполнить приведенные ниже действия.
- Добавляйте, проверяйте и при необходимости заявляйте домены , содержащие адреса электронной почты пользователей, которые необходимо синхронизировать с облаком.
- Выполните интеграцию системы единого входа (SSO) поставщика удостоверений (IdP) с организацией Webex.
- Отключите автоматические электронные приглашения, чтобы новые пользователи не получали автоматические электронные приглашения и вы могли проводить собственную электронную рассылку. (Для работы этой функции требуется интеграция SSO.)

Дополнительную информацию см. в статье Действия и состояния пользователей в Control Hub.

Требования к установке

Для среды с несколькими доменами (один лес или несколько лесов) необходимо установить один соединитель каталогов для каждого домена Active Directory. Если необходимо синхронизировать новый домен (B) при сохранении синхронизированных данных пользователей в другом существующем домене (A), убедитесь, что у вас есть отдельный поддерживаемый сервер Windows для установки соединителя каталогов для синхронизации домена (B).
Для входа в соединитель не требуется учетная запись администратора в Active Directory. Требуется учетная запись локального пользователя, которая является тем же пользователем, что и учетная запись администратора с полными правами в Control Hub.

Этот локальный пользователь должен иметь права на этом компьютере Windows для подключения к контроллеру домена и чтения объектов пользователя Active Directory. Учетная запись для входа в систему компьютера должна быть администратором компьютера с правами на установку программного обеспечения на локальном компьютере. (Эта информация также применима к входу в виртуальную машину.)
При входе в соединитель учетная запись для входа должна совпадать с учетной записью администратора с полными правами для Control Hub. По умолчанию соединитель использует учетную запись локальной системы для доступа к Active Directory. Однако можно использовать службы Windows для настройки другой учетной записи для доступа к Active Directory. (Эта информация также применима к входу в виртуальную машину.)
Убедитесь, что режим поиска библиотеки безопасных динамических ссылок (DLL) Windows включен с помощью следующей процедуры: Проверьте SafeDllSearchMode в реестре Windows.
Если AD LDS используется для нескольких доменов в одном лесу, рекомендуется установить соединитель каталогов и службу домена Active Directory/облегченные службы каталогов Active Directory (AD DS/AD LDS) на отдельных компьютерах.

Требования к нескольким доменам

Для каждого домена требуется отдельный экземпляр соединителя каталогов.
ПО соединителя каталогов должно работать на узле, находящемся в том же домене, который будет синхронизирован.
Рекомендуется подтвердить или заявить домены в Control Hub. (См. статью Добавление, проверка и заявление доменов.)
Чтобы синхронизировать более 50 доменов, необходимо зарегистрировать обращение , чтобы переместить организацию в большой список организаций.
При необходимости можно синхронизировать информацию о ресурсах комнаты вместе с учетными записями пользователей. (См. статью Синхронизация информации о локальной комнате с облаком Webex.)

Информация о размещении

На скорость синхронизации может повлиять несколько факторов.

Общее количество объектов Active Directory. (Задача синхронизации 5000 пользователей не будет длиться до 50 000.)
Скорость сети и пропускная способность.
Рабочая нагрузка системы и технические характеристики.

Проверка SafeDllSearchMode в реестре Windows

Как правило, режим SafeDllSearchMode включен, но используйте эту процедуру для повторной проверки настроек реестра.

Перед началом работы

В окне поиска в Windows или в окне "Выполнить" введите regedit и нажмите клавишу ввода.

Перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан. Дальнейшие действия не требуются.
SafeDllSearchMode указан в списке. Убедитесь, что значение 1.

Дополнительную информацию см. в статье Порядок поиска библиотеки динамических ссылок.

Интеграция веб-прокси

Можно воспользоваться одним из приведенных ниже подходов.

Явный веб-прокси с помощью Internet Explorer (соединитель наследует настройки веб-прокси)
Явный веб-прокси с помощью файла .pac (соединитель наследует настройки корпоративного прокси)
Прозрачный прокси, который работает с соединителем без изменений

Использование веб-прокси через браузер

Соединитель каталогов можно настроить использование веб-прокси с помощью Internet Explorer.

1	В Internet Explorer перейдите к меню Свойства браузера, щелкните Соединения и выберите Настройки LAN.
2	Укажите экземпляр Windows, в котором соединитель установлен на веб-прокси. Соединитель наследует эти настройки веб-прокси.
3	Если в вашей среде используется аутентификация прокси, добавьте эти URL-адреса в список разрешенных: cloudconnector.webex.com для синхронизации. idbroker.webex.com для аутентификации. idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т. д. Это можно сделать на уровне веб-сайта (для всех организаторов) или только для организатора, у которого есть соединитель. При добавлении этих URL-адресов в список разрешенных для полного обхода веб-прокси убедитесь, что таблица ACL брандмауэра обновлена, чтобы разрешить узлу соединителя прямой доступ к URL-адресам.
4	Если в вашей среде необходимо запросить списки отзыва сертификатов у центров сертификации, добавьте эти URL-адреса в список разрешенных. .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Дополнительную информацию см. в этой статье о доменах и URL-адресах, которые должны быть доступны для служб Webex.

Настройка веб-прокси с помощью файла PAC

Если в вашей среде используется аутентификация прокси, добавьте эти URL-адреса в список разрешенных:

cloudconnector.webex.com для синхронизации.
idbroker.webex.com для аутентификации.
idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т. д.

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

NTLM-прокси

Дизайн NTLM

Как правило, техническая разработка NTLM основана на механизме Challenge (Вызов) и Response (Ответ):

Пользователь входит на ПК клиента с помощью учетной записи Windows и пароля. Пароль не сохраняется локально. Вместо пароля в формате обычного текста значение хеша пароля хранится локально. Когда пользователь входит в клиент с помощью пароля, ОС Windows сравнивает сохраненное значение хеша и значение хеша, полученное от введенного пароля. Если оба совпадают, аутентификация проходит.

Если пользователь хочет получить доступ к любому ресурсу на другом сервере, клиент отправляет запрос на сервер с именем учетной записи в виде обычного текста.
Когда сервер получает запрос, сервер генерирует 16-битный случайный ключ. Ключ называется Challenge (или Nonce). Прежде чем сервер отправит обратно клиенту, вызов хранится на сервере. Затем сервер отправляет вызов клиенту в виде обычного текста.
Как только клиент получает вызов, отправленный с сервера, клиент шифрует вызов с помощью хэша, упомянутого в шаге 1. После шифрования значение отправляется обратно на сервер.
Когда сервер получает зашифрованное значение от клиента, сервер отправляет его на контроллер домена для проверки. Запрос включает приведенное ниже. имя учетной записи, зашифрованный вызов, отправленный клиентом, и исходный простой вызов.
Контроллер домена может получить хеш-значения пароля в соответствии с именем учетной записи. А затем контроллер домена может зашифровать исходную задачу. Затем контроллер домена может сравниться с полученным значением хеша и зашифрованным значением хеша. Если они одинаковы, проверка выполнена успешно.

Настройка прозрачного прокси

1	Разверните прозрачный прокси, чтобы соединитель мог подключать и синхронизировать пользователей.
2	Убедитесь в успешном выполнении прокси. При запуске соединителя отображается всплывающее окно ожидаемой аутентификации браузера.

Настройка аутентификации прокси

Добавьте URL-адрес cloudconnector.webex.com в список разрешенных, создав список контроля доступа.

На корпоративном брандмауэре:

1	Включите поиск DNS, если этот параметр еще не включен.
2	Определите приблизительную пропускную способность для этого соединения (примерно 2 Мбит/с или менее для соединителя). Это может быть необязательно.
3	Создайте список контроля доступа, чтобы применить его к узлу соединителя, и укажите `cloudconnector.webex.com` в качестве целевого объекта, который необходимо добавить в список разрешенных. Пример. `access-list 2000 ACL-внутри расширенного разрешения TCP [IP соединителя] cloudconnector.webex.com eq https`
4	Примените этот СКД к соответствующему интерфейсу брандмауэра, который применим только к этому узлу соединителя.
5	Убедитесь, что остальные узлы в вашей организации по-прежнему должны использовать веб-прокси, настроив соответствующее неявное заявление об отказе.

Развертывание соединителя каталогов

Алгоритм выполнения задач по развертыванию соединителя каталогов Cisco

Перед началом работы

Способы добавления пользователей и управления ими в организации

1	Установить соединитель каталогов В Control Hub синхронизация каталога изначально отключена. Чтобы включить синхронизацию каталога для организации, необходимо установить и настроить соединитель каталогов, а затем успешно выполнить полную синхронизацию. Для новой установки соединителя каталогов всегда перейдите в Control Hub (https://admin.webex.com) для получения последней версии программного обеспечения и использования новейших функций и исправлений ошибок. После установки программного обеспечения о модернизации сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
2	Вход В Соединитель Каталогов Войдите с помощью учетных данных администратора Webex и выполните начальную настройку.
3	Настройка автоматической модернизации Всегда важно поддерживать актуальность программного обеспечения соединителя каталогов до последней версии. Рекомендуется использовать эту процедуру, чтобы разрешить автоматическую модернизацию программного обеспечения устанавливать в фоновом режиме, когда она станет доступной.
4	Выберите объекты Active Directory для синхронизации По умолчанию соединитель каталогов синхронизирует всех пользователей, которые не являются компьютерами, и всех групп, которые не являются критически важными объектами системы для домена. Для получения дополнительных сведений о том, какие объекты синхронизируются, можно выбрать определенных пользователей для синхронизации и указать фильтры LDAP на странице выбора объекта в соединителе каталогов.
5	Сопоставить атрибуты пользователя Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid.
6	Синхронизируйте аватары каталогов, выполнив одну из следующих процедур: Синхронизация аватаров каталогов из атрибута Active Directory с облаком Синхронизация аватаров каталогов с сервера ресурсов с облаком Можно синхронизировать аватары пользователей с облаком, чтобы аватар каждого пользователя отображался при входе в приложение. Можно синхронизировать аватары с помощью атрибута Active Directory или сервера ресурсов.
7	Синхронизация информации о локальной комнате с облаком Webex Используйте эту процедуру для синхронизации информации о локальной комнате из Active Directory с облаком Webex. После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным SIP-адресом будут отображаться в качестве записей на зарегистрированных в облаке устройствах комнаты, таких как устройство Webex Room или Cisco Webex Board
8	Чтобы Подготовить Пользователей Из Active Directory В Control Hub, выполните следующие действия. Выполнение пробной синхронизации пользователей Active Directory Выполнение полной синхронизации пользователей Active Directory в облако Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub Следуйте этой последовательности, чтобы подготовить пользователей Active Directory для учетных записей приложения Webex. Можно подготовить пользователей из развертывания Active Directory с несколькими лесами или доменами для соединителя каталогов 3.0 и более поздних версий. Во время процесса добавления пользователей из разных доменов необходимо решить, следует ли сохранить или удалить объекты пользователей, которые могут уже существовать в облаке Webex. Например, протестировать учетные записи из пробной версии. Целью является точное соответствие между Active Directory и облаком Webex.

Установить соединитель каталогов

Перед началом работы

При аутентификации через прокси-сервер убедитесь, что у вас есть учетные данные прокси.

Для базовой аутентификации прокси после установки экземпляра соединителя необходимо ввести имя пользователя и пароль. Для базовой аутентификации также требуется конфигурация прокси Internet Explorer. См. статью Использование веб-прокси Через Браузер.
При первом открытии соединителя для прокси-сервера NTLM может возникнуть ошибка. См. статью Использование веб-прокси Через Браузер.

1	В Control Hub перейдите к меню Пользователи > Управление пользователями > Включить синхронизацию каталога и выберите Далее.
2	Щелкните ссылку Скачать и установить, чтобы сохранить последнюю версию файла установки соединителя ZIP на сервер VMware или Windows. Файл .zip можно получить непосредственно по этой ссылке, однако для работы этого программного обеспечения необходим полный административный доступ к организации Control Hub. Для новой установки установите новейшую версию программного обеспечения, чтобы использовать новейшие функции и исправления ошибок. После установки программного обеспечения о модернизации сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
3	На сервере VMware или Windows распакуйте и запустите файл .msi в папке настроек, чтобы запустить мастер настройки.
4	Щелкните Далее, установите флажок, чтобы принять лицензионное соглашение, а затем щелкните Далее, пока не отобразится экран типа учетной записи.
5	Выберите тип учетной записи службы, которую необходимо использовать, и выполните установку с помощью учетной записи администратора. Локальная система. Параметр по умолчанию. Этот параметр можно использовать при настройке прокси с помощью Internet Explorer. Учетная запись домена. Используйте этот параметр, если компьютер является частью домена. Для доступа к ресурсам домена соединитель каталогов должен взаимодействовать с сетевыми службами. Можно ввести данные учетной записи и щелкнуть ОК. При вводе имени пользователя используйте формат `{domain}\{user_name}` Для прокси, который интегрируется с AD (NTLMv2 или Kerberos), необходимо использовать параметр учетной записи домена. Учетная запись, используемая для запуска службы соединителя каталогов, должна обладать достаточными правами для передачи прокси и доступа к AD. Во избежание ошибок убедитесь в наличии указанных ниже прав. Сервер является частью домена Учетная запись домена может получить доступ к локальным данным AD и данным аватаров. Учетная запись также должна иметь роль локального администратора, поскольку она должна получить доступ к файлам в разделе C:\Program Files. Для входа в виртуальную машину права учетной записи администратора должны иметь по крайней мере возможность чтения информации о домене.
6	Щелкните Установить. После запуска сетевого теста и при отображении соответствующего запроса введите основные учетные данные прокси-сервера, щелкните ОК, а затем щелкните Готово.

Дальнейшие действия

Вход В Соединитель Каталогов

Перед началом работы

Убедитесь, что у вас есть учетные данные прокси.

В случае базовой аутентификации прокси после первого открытия соединителя необходимо ввести имя пользователя и пароль.
Для прокси-сервера NTLM откройте Internet Explorer, щелкните пиктограмму шестеренки, перейдите к меню Свойства браузера > Подключения > Настройки локальной сети, убедитесь, что информация о прокси-сервере добавлена, а затем щелкните ОК. См. статью Использование веб-прокси Через Браузер.

1	Откройте соединитель и при появлении запроса добавьте `https://idbroker.webex.com` в список доверенных веб-сайтов.
2	При отображении соответствующего запроса войдите с помощью учетных данных аутентификации прокси, затем войдите в Webex с помощью учетной записи администратора и щелкните Далее.
3	Подтвердите организацию и домен. При выборе AD DS установите флажок LDAP по SSL, чтобы в качестве протокола соединения использовать безопасный LDAP (LDAPS), выберите домен, из которого необходимо синхронизировать, и щелкните Подтвердить. Если не установить флажок LDAP через SSL, DirSync продолжит использовать протокол соединения LDAP. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в инфраструктуре. Связь LDAPS зашифрована и защищена. При выборе AD LDS введите узел, домен и порт, а затем щелкните Обновить, чтобы загрузить все разделы приложений. Затем выберите раздел в раскрывающемся списке и щелкните Подтвердить. Дополнительную информацию см. в разделе AD LDS. В файле конфигурации CloudConnectorCommon.dll убедитесь, что настройка ADAuthLevel добавлена к узлу appSetting. Значения могут быть 1, 2 или 3. Подробные сведения о типах аутентификации см. в этой статье от Microsoft. Вот пример настройки со значением 1: `<appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	После отображения экрана Подтвердить организацию щелкните Подтвердить. Если AD DS/AD LDS уже связаны, отобразится экран Подтвердить организацию.
5	Щелкните Подтвердить.
6	Выберите один из них в зависимости от количества доменов Active Directory, которые необходимо связать с соединителем каталогов. Если у вас есть единый домен AD LDS, привяжите его к существующему источнику AD LDS и щелкните Подтвердить. Если у вас есть единый домен AD DS, привяжите его к существующему или новому домену. При выборе Привязка к новому домену щелкните Далее. Поскольку существующим типом источника является AD DS, невозможно выбрать AD LDS для новой привязки. Если у вас несколько доменов, выберите из списка существующий домен или Связать с новым доменом, а затем щелкните Далее. Поскольку у вас несколько доменов, существующим типом источника должен быть AD DS. При выборе Привязка к новому домену и нажатии Далее выбрать AD LDS для новой привязки будет невозможно.

Дальнейшие действия

После входа в систему вам будет предложено выполнить пробную синхронизацию.

Инструментальная панель соединителя каталогов

При первом входе в соединитель каталогов отображается инструментальная панель. Здесь можно просмотреть сводную информацию обо всех действиях по синхронизации, просмотреть статистику облака, выполнить пробный запуск синхронизации, запустить полную или инкрементную синхронизацию и запустить представление event-совещания, чтобы просмотреть информацию об ошибках.

Если время сеанса истекло, войдите снова.

Эти задачи можно легко выполнить с помощью панели инструментов или меню действий.

Таблица 1. Компоненты инструментальной панели
Компонент	Описание
Текущая синхронизация	Отображает информацию о состоянии синхронизации, которая в данный момент выполняется. Если синхронизация не запущена, отображается состояние простоя.
Следующая синхронизация	Отображает следующие запланированные полные и инкрементные синхронизации. Если график не задан, отображается параметр Не запланирован.
Последняя синхронизация	Отображает состояние двух последних выполненных синхронизаций.
Текущее состояние синхронизации	Отображает общее состояние синхронизации.
Соединители	Отображает текущие локальные соединители, доступные в облаке.
Облачная статистика	Отображает общее состояние синхронизации.
График синхронизации	Отображает график синхронизации для инкрементной и полной синхронизации.
Сводная информация о конфигурации	Список настроек, измененных в конфигурации. Например, сводная информация может включать следующее: Все объекты будут синхронизированы Все пользователи будут синхронизированы Пороговое значение, которое удалено, отключено.

Таблица 2. Панель инструментов действий
Действие	Описание
Начать инкрементную синхронизацию	Начать инкрементную синхронизацию вручную Это действие будет отключено при приостановке или отключении синхронизации, если полная синхронизация не была завершена или выполняется.
Пробный запуск синхронизации	Выполните синхронизацию пробного запуска.
Запустить средство просмотра event-совещаний	Запустите средство просмотра event-совещаний Microsoft.
Обновить	Обновить инструментальную панель соединителя каталогов Cisco

Таблица 3. Меню действий
Действие	Описание
Синхронизировать сейчас	Мгновенно начните полную синхронизацию.
Режим синхронизации	Выберите режим добавочной синхронизации или режим полной синхронизации.
Сбросить секретный код соединителя	Создайте разговор между соединителем каталогов Cisco и службой соединителя. При выборе этого действия секретный код в облаке будет сброшен, а затем сохранен локально.
Пробный запуск	Выполните тест процесса синхронизации. Перед полной синхронизацией необходимо выполнить пробный запуск.
Устранение неполадок	Включение и выключение функции устранения неполадок.
Обновить	Обновите главный экран соединителя каталогов Cisco.
Выход	Закройте соединитель каталогов Cisco.

Таблица 4. Сочетания клавиш
Комбинация клавиш	Действие
Alt +A	Показать меню Действия
`Alt +A + S`	Синхронизировать сейчас
`Alt +A + R`	Сбросить секретный код соединителя
`Alt +A + D`	Пробный запуск
`Alt +A + S + I`	Инкрементная синхронизация
`Alt +A + S + F`	Полная синхронизация
`Alt + H`	Показать меню Справка
`Alt + H + H`	Справка
`Alt + H + A`	О программе
`Alt + H + F`	вопросы и ответы

Настройка автоматической модернизации

1	В соединителе каталогов перейдите к меню Конфигурация > Общие и установите флажок Автоматическая модернизация до новой версии соединителя каталогов Cisco.
2	Чтобы сохранить изменения, щелкните Применить.

Новые версии соединителя устанавливаются автоматически, когда они становятся доступными.

Выберите объекты Active Directory для синхронизации

Группы для автоматического назначения лицензий

(&(cn=Пример)(objectclass=Group))*

Экран выбора объекта в соединителе каталогов

Группы для развертываний безопасности данных гибридного типа

Перед началом работы

1	В соединителе каталогов перейдите к меню Конфигурация и щелкните Выбор объекта.
2	В разделе Тип объекта установите флажок Пользователи и рассмотрите возможность ограничения количества контейнеров, доступных для поиска для пользователей. Например, чтобы синхронизировать только пользователей в определенной группе, необходимо ввести фильтр LDAP в поле фильтров LDAP Пользователи. Чтобы синхронизировать пользователей из группы Example-manager, используйте фильтр, подобный этому: `(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))`
3	Установите флажок Идентифицировать комнату, чтобы отделить данные комнаты от данных пользователей. Щелкните Настройка, чтобы настроить дополнительные атрибуты для идентификации данных пользователей в качестве данных комнаты. Используйте эту настройку, чтобы синхронизировать информацию о локальной комнате из Active Directory с облаком Webex. После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным SIP-адресом отображаются в качестве записей на зарегистрированных в облаке устройствах комнаты. Дополнительную информацию см. в статье Синхронизация информации о локальной комнате с облаком Webex.
4	Установите флажок Группы, если необходимо синхронизировать группы пользователей Active Directory с облаком. Не добавляйте фильтр синхронизации пользователей LDAP в поле «Группы». Для синхронизации данных групп с облаком следует использовать только поле «Группы». По умолчанию группы не синхронизируются для новых клиентов. Необходимо включить синхронизацию группы. Также необходимо синхронизировать группы безопасности.
5	Чтобы синхронизировать контактную информацию пользователей с облаком, установите флажок Контакты. Соединитель каталогов управляет только контактами, синхронизированными с помощью соединителя. Если в Control Hub уже есть контакты, эти контакты не будут удалены. Если контакты удалены из области синхронизации, контактная информация пользователей также будет удалена в Control Hub.
6	Настройте фильтры LDAP. Можно добавить расширенные фильтры, предоставив действительный фильтр LDAP. Дополнительную информацию о настройке фильтров LDAP см. в этой статье.
7	Укажите локальные базовые абонентские номера для синхронизации, щелкнув Выбрать, чтобы просмотреть структуру дерева Active Directory. Здесь можно выбрать или отменить выбор контейнеров для поиска.
8	Убедитесь, что объекты, которые необходимо добавить для этой конфигурации, и щелкните Выбрать. Можно выбрать отдельные или родительские контейнеры для синхронизации. Выберите родительский контейнер, чтобы включить все дочерние контейнеры. Если выбран дочерний контейнер, в родительском контейнере отображается серая галочка, указывающая на то, что дочерний элемент установлен. Затем можно щелкнуть Выбрать, чтобы принять выбранные контейнеры Active Directory. Если в вашей организации все пользователи и группы будут помещены в контейнер "Пользователи", вам не придется искать другие контейнеры. Если ваша организация разделена на единицы организации, выберите OU.
9	Щелкните Применить. Выберите параметр. Применить изменения конфигурации Пробный запуск Отмена Информацию о пробных запусках см. в статье Синхронизация пробного запуска для пользователей Active Directory. Для синхронизации групп необходимо выполнить полную синхронизацию. Полная синхронизация пользователей Active Directory в облако.

Сопоставить атрибуты пользователя

Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid, уникальный идентификатор каждой учетной записи пользователя в облачной службе удостоверений.

1	В соединителе каталогов щелкните Конфигурация и выберите Сопоставление атрибутов пользователя. На этой странице показаны имена атрибутов для Active Directory (слева) и облака Webex (справа). Все обязательные атрибуты отмечены красной звездочкой.
2	Прокрутите вниз до конца поля Имена атрибутов Active Directory и выберите один из этих атрибутов Active Directory для сопоставления с атрибутом облака UID: mail (Почта). Используется в большинстве развертываний для формата электронной почты. userPrincipalName — альтернативный вариант, если атрибут почты используется в других целях в Active Directory. Этот атрибут должен быть в формате электронной почты. Вы можете сопоставить любые другие атрибуты Active Directory с UID, однако рекомендуется использовать mail или userPrincipalName, как описано в руководстве выше. В некоторых случаях для входа используется параметр userPrincipalName, но адрес электронной почты пользователя используется для управления его календарем. Необходимо убедиться, что адрес электронной почты для управления календарем сопоставлен с полем основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. Чтобы узнать, какие атрибуты в Active Directory соответствуют в облаке, см. статью Сопоставление атрибутов Active Directory в соединителе каталогов. Чтобы синхронизация работала, необходимо убедиться, что выбранный атрибут Active Directory указан в формате электронной почты. Если один из рекомендованных атрибутов не выбран, соединитель каталогов отобразит всплывающее окно с напоминанием.
3	Если предопределенные атрибуты Active Directory не работают в вашем развертывании, щелкните раскрывающийся список атрибутов, прокрутите страницу вниз и выберите Настроить атрибут, чтобы открыть окно, с помощью которого можно определить выражение атрибута. Для получения дополнительной информации об выражениях и просмотра примеров их работы щелкните Справка. Дополнительную информацию также см. в разделе Выражения для настраиваемых атрибутов. В этом примере давайте составим атрибуты Active Directory `givenName` и `Sn` с атрибутом облака `displayName`: Определите выражение атрибута как givenName + "" + Sn (кавычки являются дополнительным пространством), а затем укажите адрес электронной почты существующего пользователя для проверки. Щелкните Проверить и проверьте, соответствует ли результат ожидаемым. Успешный результат выглядит следующим образом: Если результаты совпадают с ожидаемыми, щелкните ОК, чтобы сохранить новый настраиваемый атрибут. Позже при необходимости изменить displayName можно ввести новое выражение атрибута Соединитель каталогов проверяет значение атрибута UID в службе удостоверений и получает 3 доступных пользователя в соответствии с текущими параметрами фильтра пользователя. Если все эти 3 пользователя имеют действительный формат электронной почты, в соединителе каталогов Cisco отображается следующее сообщение: Если атрибут не удается проверить, будет отображено следующее предупреждение. Для проверки и исправления данных пользователя можно будет вернуться в Active Directory.
4	(Необязательно) Выберите сопоставления для мобильного и telephoneNumber, если необходимо, чтобы номера мобильных и рабочих телефонов отображались, например, в карточке контакта пользователя в приложении Webex. Данные номера телефона отображаются в приложении Webex при наведении указателя мыши на изображение профиля другого пользователя. Дополнительную информацию о вызовах с помощью карточки контакта пользователя см. в руководстве по развертыванию вызовов в Webex (Unified CM) (администраторы).
5	Выберите дополнительные сопоставления, чтобы дополнительные данные отображались в карточке контакта. `номер отдела` `отображаемое имя` `менеджер` `заголовок` После сопоставления атрибутов информация отображается при наведении указателя мыши на изображение профиля другого пользователя. Дополнительную информацию о карточке контакта см. в статье Проверка пользователя, с которым вы связываетесь. После синхронизации этих атрибутов с каждой учетной записью пользователя можно также включить People Insights в Control Hub. Эта функция позволяет пользователям приложения Webex предоставлять совместный доступ к дополнительной информации в профилях и узнать больше друг о друге. Дополнительную информацию о функции и способах ее включения см. в статье Профессиональные профили для Webex, Jabber, Webex Meetings и Webex Events (новая версия) в Control Hub
6	После выбора щелкните Применить.

Атрибуты Active Directory и облака

В этой таблице сравнивается сопоставление имен атрибутов Active Directory и имен атрибутов облака Cisco. Эти значения и сопоставления являются настройками по умолчанию в соединителе каталогов. В раскрывающемся списке Active Directory можно выбрать различные атрибуты и определить, какой локальный атрибут будет синхронизирован с каким облачным атрибутом.

Имена атрибутов Active Directory	Имена атрибутов облака Webex	Примечания
—	зданиеName	—
с	с	Этот атрибут определяет сокращенную страну пользователя.
номер отдела	номер отдела	Этот атрибут используется для номера отдела пользователя, который отображается в карточке контакта и профессиональных профилях.
отображаемое имя	отображаемое имя	Этот атрибут используется для отображаемого имени учетной записи пользователя, которое отображается в Control Hub, карточке контакта и профессиональных профилях.
Управление учетной записью пользователя	ds-pwp-account-disabled	Этот атрибут используется для синхронизации пользователей. Убедитесь, что атрибут userAccountControl сопоставлен с ds-pwp-account-disabled или синхронизация пользователей не будет выполнена надлежащим образом.
Номер сотрудника	Номер сотрудника	—
факсимильный номер телефона	факсимильный номер телефона	—
—	идентификатор jabberID	Этот облачный атрибут относится к адресам обмена мгновенными сообщениями (тип XMPP), которые используются в Jabber. Это значение не совпадает с sipAddresses.
л	л	Этот атрибут определяет город пользователя.
—	региональные параметры	—
менеджер	менеджер	Этот атрибут используется для имени менеджера пользователя, которое отображается в карточке контакта и профессиональных профилях.
мобильный	мобильный	Этот атрибут используется в качестве номера мобильного телефона, который отображается для вызова пользователя из карточки контакта.
о	о	Этот атрибут указывает название компании или организации и отображается в карточке контакта.
или	или	Этот атрибут указывает имя организационного модуля.
physicalDeliveryOfficeName	physicalDeliveryOfficeName	Этот атрибут определяет местоположение офиса пользователя.
почтовый индекс	почтовый индекс	Этот атрибут определяет почтовый индекс или почтовый индекс пользователя для физической доставки почты.
предпочтительный язык	предпочтительный язык	Этот атрибут задает предпочтительный язык пользователя и поддерживаются следующие форматы. xx_YY или xx-YY. Вот несколько примеров. en_US, en_GB, fr-CA. При использовании неподдерживаемого языка или недопустимого формата предпочтительный язык пользователей будет изменен на язык, установленный для организации.
MSRTCSIP-PrimaryUserAddress ipPhone	SipAddresses;type=предприятие	Этот атрибут используется для синхронизации информации о локальной комнате из Active Directory с облаком Cisco Webex.
sn	sn	Этот атрибут используется для фамилии учетной записи пользователя, которая отображается в Control Hub, карточке контакта и профессиональных профилях.
ул	ул	Этот атрибут указывает штат или область пользователя.
streetAddress	улица	Этот атрибут указывает почтовый адрес пользователя для доставки физической почты.
номер телефона	номер телефона	Этот атрибут определяет основной (рабочий) номер телефона пользователя, который используется для вызова пользователя из карточки контакта.
—	часовой пояс	Этот облачный атрибут определяет часовой пояс пользователя.
заголовок	заголовок	Этот атрибут определяет должность пользователя, которая отображается в карточке контакта и профессиональных профилях.
тип	предприятие	—
почта userPrincipalName	идентификатор	Обязательное сопоставление атрибутов. Для каждой учетной записи пользователя значение Active Directory сопоставляется с уникальным UID в облаке. В некоторых случаях для входа используется параметр userPrincipalName, но адрес электронной почты пользователя используется для управления его календарем. Необходимо убедиться, что адрес электронной почты для управления календарем сопоставлен с полем основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. После этого пользователь сможет войти в систему с помощью любого из этих адресов электронной почты, если установлено правильное сопоставление атрибутов SAML. Информацию о том, как можно сопоставить альтернативный адрес электронной почты, см. в разделе Пример сопоставления атрибутов ниже.
userPrincipalName почта <custom attribute>	электронные сообщения; рабочий тип	Это сопоставление необязательно. Используйте его, если необходимо использовать альтернативные адреса электронной почты. Это адрес электронной почты, который используется для аутентификации; он не используется для управления вашим календарем. Адрес электронной почты, который вы сопоставляете из AD, должен быть из подтвержденного домена в вашей организации. Он должен быть уникальным и не назначен другому пользователю.
<Новый атрибут для объекта пользователя Azure>	внешний идентификатор	Создайте новый атрибут Active Directory для удержания идентификатора объекта пользователя Azure, чтобы он не сталкивался с существующим атрибутом. Затем этот атрибут сопоставляется с атрибутом externalId. Благодаря этому при создании групп в Microsoft 365 пользователи Webex автоматически создают команды в Webex.

Сопоставление альтернативных адресов электронной почты

Выражения для настраиваемых атрибутов

Таблица 5. Выражения для настраиваемых атрибутов
Оператор	Описание и пример
%	Удаляет все символы от начала строки до позиции символа или аргумента строки, если они совпадают. Пример выражения `"abc@example.com" % "@"` Результат `пример.com`
-	Отрезок задней строки ввода от конца указанной строки. Пример выражения `"abc@example.com" – "@"` Результат `абс`
+	Объединяет строки ввода или выражения. Пример выражения `"abc" + "" + "def"` Результат `деф ABC`
\|	Вычисляет разделенные выражения по пустой строке и выбирает первый непустой результат. Пример выражения `"" \| "abc"` Результат `абс`

Синхронизация аватаров каталогов из атрибута Active Directory с облаком

1	В соединителе каталогов перейдите к меню Конфигурация, щелкните Аватар и установите флажок Включить.
2	Для параметра Получить аватар из выберите Атрибут AD, а затем Атрибут аватара, содержащий необработанные данные аватара, которые необходимо синхронизировать с облаком.
3	Чтобы проверить правильность доступа к аватару, введите адрес электронной почты пользователя и щелкните Получить аватар пользователя. Аватар отображается справа.
4	Чтобы сохранить изменения, после проверки правильности отображения аватара щелкните Применить.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей в приложении Webex. После включения этой функции в соединителе каталогов пользователям не разрешается настраивать собственный аватар.
Аватары пользователя синхронизируются с приложением Webex и всеми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Синхронизация аватаров каталогов с сервера ресурсов с облаком

Можно синхронизировать аватары каталога пользователей с облаком, чтобы каждый аватар отображался при входе в приложение Webex. Используйте эту процедуру для синхронизации аватаров с сервера ресурсов.

Перед началом работы

В этой процедуре приведены примеры шаблона URI и значения переменной. Необходимо использовать фактические URL-адреса, по которым расположены аватары каталога.
Шаблон URI аватара и сервер, на котором находятся аватары, должны быть доступны из приложения соединителя каталогов. Соединителю необходим доступ по HTTP или HTTPS к изображениям, однако изображения не должны быть общедоступными в Интернете.
Синхронизация данных аватара отделена от профилей пользователей Active Directory. При запуске прокси необходимо обеспечить доступ к данным аватара с помощью аутентификации NTLM или базовой аутентификации.

1	В соединителе каталогов перейдите к меню Конфигурация, щелкните Аватар и установите флажок Включить.
2	Для параметра Получить аватар от выберите Сервер ресурсов и введите шаблон URI аватара. Например, *`http://www.example.com/dir/photo/zoom/{mail: jpg.?(?=@.)}.`* Давайте рассмотрим каждую часть шаблона URI аватара и что они означают: http://www.example.com/dir/photo/zoom/ – путь к местоположению всех фотографий, которые будут синхронизированы. Это должен быть URL-адрес, к которому должна быть доступна служба соединителя каталогов на вашем сервере. mail: указывает соединителю каталогов на получение значения атрибута mail из Active Directory. .?(?=@.). Синтаксис regex, который выполняет следующие функции: *`.: любой символ, повторяющий ноль или более раз.` `? Сообщает, что предыдущая переменная соответствует как можно большему количеству символов.` `(?= ... ): сопоставление группы после основного выражения без включения ее в результат. Соединитель каталогов выполняет поиск соответствия и не включает его в выходные данные.` `@.: символ at, за которым следует любой символ, повторяющийся ноль или более раз.`* `.jpg: расширение файла для аватаров пользователей. Ознакомьтесь с поддерживаемыми типами файлов в этом документе и измените расширение соответствующим образом.`
3	(Необязательно) Если на сервере ресурсов требуются учетные данные, установите флажок Задать учетные данные пользователя для аватара, затем выберите Использовать текущего пользователя для входа в службу или Использовать этого пользователя и введите пароль.
4	Введите значение переменной. Например: `abcd@example.com`.
5	Щелкните Тест, чтобы убедиться в правильности работы шаблона URI аватара. В этом примере, если значение почты для одной записи AD — `abcd@example.com`, а изображения JPG синхронизированы, URI последнего аватара — `http://www.example.com/dir/photo/zoom/abcd.jpg`
6	После того как информация URI будет подтверждена и будет отображена верно, щелкните Применить. Подробную информацию об использовании регулярных выражений см. в статье Краткая справка по языку регулярных выражений Microsoft.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей в приложении Webex. После включения этой функции в соединителе каталогов пользователям не разрешается настраивать собственный аватар.
Аватары пользователя синхронизируются с приложением Webex и всеми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Синхронизация информации о локальной комнате с облаком Webex

1	В соединителе каталогов перейдите к меню Синхронизация, щелкните рядом с синхронизированным доменом, щелкните Конфигурация и выберите Выбор объекта.
2	Установите флажок параметра Синхронизировать информацию о комнате с облаком, чтобы отделить данные комнаты от данных пользователя во время синхронизации. Если эта настройка отключена, данные комнаты обрабатываются так же, как синхронизированные данные пользователей.
3	Перейдите к меню Сопоставление атрибутов и измените сопоставление атрибутов для облачного атрибута sipAddresses;type=enterprise. Для использования проверки значения значение SIP-адреса должно быть Pattern.compile("^([^@])(.)@(.)$") Выберите MSRTCSIP-PrimaryUserAddress, если он доступен. Если указанный выше атрибут отсутствует в схеме Active Directory, используйте другое поле, например ipPhone.
4	Создайте почтовый ящик ресурса комнаты в Exchange. Будет добавлен атрибут msExchResourceMetaData;ResourceType:Room, который затем используется соединителем для идентификации комнат.
5	В разделе "Пользователи и компьютеры Active Directory" перейдите к свойствам комнаты и измените их. Добавьте полностью квалифицированный URI SIP с префиксом sip:
6	Выполните пробную синхронизацию, а затем полную синхронизацию на соединителе. Новые объекты комнаты перечислены в списке Добавленные объекты, а совпадающие объекты комнаты отображаются в разделе Совпадающие объекты в отчете пробного запуска. Все объекты комнат, отмеченные для удаления, находятся в разделе Удаленные комнаты. В результатах пробного запуска отображаются все совпадающие ресурсы комнаты. Эта настройка отделяет данные комнаты Active Directory (включая атрибут комнаты) от данных пользователя. По завершении синхронизации в облачной статистике на инструментальной панели соединителя отображаются данные комнаты, синхронизированные с облаком.

Дальнейшие действия

В Control Hub можно автоматически импортировать комнаты из каталога и создавать рабочие пространства.

Отправка отчетов по электронной почте о результатах синхронизации каталога

1	В соединителе каталогов щелкните Конфигурация и выберите Уведомление.
2	В соединителе каталогов щелкните Настройки и рядом с параметром Получатель электронной почты включите параметр Включить синхронизацию отчета.
3	Чтобы переопределить поведение при уведомлении по умолчанию и добавить одного или нескольких получателей электронных сообщений, установите флажок Включить уведомление.
4	Щелкните Добавить и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом будет отображено сообщение с предложением исправить ошибку, прежде чем вы сможете сохранить и применить изменения.
5	Щелкните Добавить адрес электронной почты и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом будет отображено сообщение с предложением исправить ошибку, прежде чем вы сможете сохранить и применить изменения.
6	Если необходимо изменить введенные адреса электронной почты, дважды щелкните запись электронной почты в левом столбце и внесите необходимые изменения.
7	После добавления всех действительных адресов электронной почты щелкните Применить.
8	После добавления всех действительных адресов электронной почты щелкните Сохранить.

Дальнейшие действия

Подготовка пользователей из Active Directory в Control Hub

1	Выполнение пробной синхронизации пользователей Active Directory Выполните пробный запуск для сравнения объектов в локальном каталоге Active Directory и объектов в облаке Webex. Пробный запуск позволяет просмотреть, какие объекты будут добавлены, изменены или удалены, прежде чем будет запущена полная или инкрементная синхронизация и произведены изменения в облаке.
2	Выполнение полной синхронизации пользователей Active Directory в облако При выполнении полной синхронизации служба соединителя отправляет все отфильтрованные объекты из вашего Active Directory (AD) в облако. Затем служба соединителя обновит хранилище удостоверений с учетом ваших записей AD. Если создан шаблон автоматического назначения лицензий, его можно назначить только синхронизированным пользователям.
3	Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub После завершения полной синхронизации пользователей с помощью соединителя каталогов в Control Hub можно назначить лицензии службы Webex различными способами. Рекомендуется настроить шаблон автоматического назначения лицензий перед его использованием для новых пользователей приложения Webex, синхронизированных из Active Directory. Отдельные изменения также можно внести после этого начального этапа.

Выполнение пробной синхронизации пользователей Active Directory

Перед началом работы

1	Выберите один из вариантов. После первого входа в систему щелкните Да в окне подсказки, чтобы выполнить пробный запуск. Если вы пропустите напоминание о пробном запуске, в любой момент в соединителе каталогов щелкните Инструментальная панель, выберите Пробный запуск синхронизации, а затем щелкните ОК, чтобы начать синхронизацию пробного запуска. По завершении пробного запуска будет отображен один из приведенных ниже результатов. *Обнаружены несовпадающие объекты в соединителе каталогов* Сводная информация о результатах пробного запуска отчетов и несовпадающих объектах в соединителе каталогов Сводная информация содержит информацию о сопоставлении объектов: Сопоставленные объекты. Пользователь, который находится в общих параметрах идентификации Webex и существует в домене Active Directory, например, если пользователь @cisco.com был синхронизирован с Webex и отображен в Control Hub, а такой же пользователь (someuser@cisco.com) существует в Active Directory. Это означает, что пользователь сопоставляется. Несовпадающие объекты. Пользователь, работающий в Webex, независимо от того, как он был добавлен в Common Identity, но он не существует в Active Directory. Он называется несовпадающим объектом. Например, если адрес someuser@cisco.com был синхронизирован с Webex и отображен в Control Hub, но тот же пользователь (someuser@cisco.com) не управляется Active Directory, в отчете отображается несоответствие пользователя. Пробный запуск идентифицирует пользователей по сравнению с пользователями домена. Приложение может идентифицировать пользователей, принадлежащих к текущему домену. На следующем шаге необходимо решить, следует ли удалить объекты или сохранить их. Несоответствующие объекты идентифицируются как уже существующие в облаке Webex, но не существующие в локальном каталоге Active Directory.
2	Просмотрите результаты пробного запуска и выберите параметр в зависимости от того, используете ли вы один или несколько доменов. Единый домен. Определите, следует ли сохранить несопоставленных пользователей. Если необходимо сохранить их, выберите Нет, сохранить объекты. Если нет, выберите Да, удалить объекты. После выполнения этих действий и запуска вручную полной синхронизации для обеспечения точного соответствия локального местоположения и облака соединитель каталогов автоматически включит запланированные задачи автоматической синхронизации. Несколько доменов. Для организации с доменами A и B сначала выполните пробный запуск домена A. Если необходимо сохранить несовпадающих пользователей, выберите Нет, сохранить объекты. (Эти несовпадающие пользователи могут быть участниками домена B.) Если необходимо удалить, выберите Да, удалить объекты. Если пользователи не будут отображены, сначала запустите полную синхронизацию для домена A, а затем выполните пробный запуск для домена B. Если пользователи не совпадают, добавьте этих пользователей в Active Directory, а затем выполните полную синхронизацию для домена B. При точном совпадении локального местоположения и облака соединитель каталогов автоматически включает запланированные задачи автоматической синхронизации.
3	В запросе Подтвердить пробный запуск щелкните Да, чтобы повторить синхронизацию пробного запуска, а затем просмотреть инструментальную панель и просмотреть результаты. Все учетные записи, которые были успешно синхронизированы в пробном запуске, отображаются в разделе Сопоставленные объекты. Если у пользователя в облаке нет соответствующего пользователя с тем же адресом электронной почты в Active Directory, запись будет отображена в разделе Удаленные пользователи. Чтобы избежать этого флажка удаления, можно добавить пользователя в Active Directory с тем же адресом электронной почты. Чтобы просмотреть сведения о синхронизированных элементах, щелкните соответствующую вкладку для определенных элементов или Сопоставленные объекты. Чтобы сохранить сводную информацию, щелкните Сохранить результаты в файл.
4	Если ожидаются результаты, перейдите к меню Действия > Режим синхронизации > Включить синхронизацию, а затем щелкните Включить сейчас, чтобы выполнить синхронизацию вручную и перевести в ручной режим на данный момент. После синхронизации последнего домена Active Directory в развертывании с несколькими доменами необходимо включить автоматический режим для соединителя каталогов. Автоматический режим можно включить, только когда объекты полностью сопоставляются между облаком Webex и всеми локальными Active Directory.

Дальнейшие действия

Для сохранения любых несовпадающих объектов пользователей необходимо добавить их в Active Directory, чтобы обеспечить точное соответствие между локальной системой и облаком.
Выберите тип синхронизации:
- Выполните полную синхронизацию пользователей Active Directory в облако при первой синхронизации новых пользователей с облаком. Это можно сделать в меню Действия > Синхронизировать сейчас > Полный, после чего будут синхронизированы пользователи из текущего домена.
- Настройте расписание соединителя и Запустить инкрементную синхронизацию после запуска полной синхронизации и при необходимости применить изменения после начальной синхронизации. Этот тип синхронизации рекомендуется учитывать небольшие изменения, внесенные в источник пользователя Active Directory.
  
  По умолчанию инкрементная синхронизация выполняется каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация.
Если у вас несколько доменов, повторите эти действия в любом другом установленном соединителе каталогов.

Что следует учитывать

Если соответствующие пользователи помечены как удаленные и вы не уверены, как продолжить, см. информацию об устранении неполадок и обращение в службу поддержки в статье Устранение неполадок и исправления соединителя каталогов.

Удаленные пользователи хранятся в облачной службе удостоверений в течение 7 дней до окончательного удаления.

Выполнение полной синхронизации пользователей Active Directory в облако

Перед началом работы

Чтобы учетные записи пользователей приложения Webex оставались в активном состоянии после полной синхронизации и перед первым входом пользователей в систему, необходимо выполнить следующие действия для обхода проверки адреса электронной почты.
- Интегрируйте систему единого входа в свою организацию Webex. См. Единый вход со службами Cisco Webex и поставщиком удостоверений вашей организации для получения дополнительной информации.
- Используйте Control Hub для проверки и при необходимости заявления доменов, содержащихся в адресах электронной почты. См. Добавление, проверка и заявление доменов.
- Блокировать автоматические электронные приглашения, чтобы новые пользователи не получали автоматические электронные приглашения в приложение Webex. (Можно выполнить собственную рассылку по электронной почте.)
  
  Состояние активированных пользователей, которые не вошли в систему, отображается в Control Hub с состоянием Проверено. После входа в систему они отображаются как Активные. Дополнительную информацию о состояниях пользователей см. в статье Действия и состояния пользователей в Cisco Webex Control Hub.
После включения синхронизации соединитель каталогов сначала попросит выполнить пробный запуск. Для выявления возможных ошибок рекомендуется выполнить пробный запуск до полной синхронизации.
Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.

Если шаблоны автоматического назначения лицензий не используются, новые синхронизированные пользователи автоматически получат бесплатные лицензии. Они смогут использовать те же бесплатные функции, что и у бесплатных учетных записей.

1	Выберите один из вариантов. Если после первого входа пробный запуск завершен и он выглядит правильным для всех доменов, щелкните Включить сейчас, чтобы разрешить автоматическую синхронизацию. В соединителе каталогов перейдите к инструментальной панели, щелкните Действия, выберите Режим синхронизации > Включить синхронизацию, а затем щелкните Синхронизировать сейчас > Полный, чтобы начать синхронизацию.
2	В соединителе каталогов перейдите к меню Синхронизация, щелкните рядом с синхронизированным доменом, щелкните Конфигурация и выберите Полная синхронизация.
3	Подтвердите начало синхронизации. Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов после выполнения синхронизации. Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac. Во время синхронизации на инструментальной панели отображается ход выполнения синхронизации. Это может включать тип синхронизации, время ее начала и этап, на котором выполняется синхронизация. После синхронизации разделы Последняя синхронизация и Статистика облака будут обновлены с учетом новой информации. Данные пользователя синхронизированы с облаком. Если во время синхронизации возникают ошибки, индикатор состояния становится красным.
4	Чтобы обновить состояние синхронизации, щелкните Обновить. (Синхронизированные элементы отображаются в разделе Облачная статистика.)
5	Чтобы просмотреть журналы ошибок, выберите Запустить средство просмотра event-совещаний на панели инструментов Действия.
6	Чтобы настроить график синхронизации для текущей инкрементной синхронизации с облаком, см. статьи Установка графика соединителя и Запуск инкрементной синхронизации.

После завершения полной синхронизации состояние синхронизации каталога обновляется из Отключенов В рабочем состояниина странице Настройкив Control Hub.
При сопоставлении всех данных между локальной системой и облаком соединитель каталогов переключается с ручного режима на режим автоматической синхронизации.
Если вы не интегрируете систему единого входа, подтвердите домены и при необходимости заявите домены для синхронизированных учетных записей электронной почты и не заблокируете автоматическую рассылку по электронной почте, учетные записи пользователей приложения Webex будут оставаться в состоянии "Не проверен" до тех пор, пока пользователи не войдут в приложение Webex впервые для подтверждения своих учетных записей. Инструкции по синхронизации учетных записей в качестве Активных пользователей см. в разделе "Перед началом работы".
Если у вас несколько доменов, выполните это действие в любом другом установленном соединителе каталогов. После синхронизации пользователи всех добавленных доменов будут отображены в Control Hub.
Если система единого входа интегрирована с Webex и заблокированными электронными уведомлениями, электронные приглашения не будут отправляться только синхронизированным пользователям.
После включения соединителя каталогов вручную добавить пользователей в Control Hub невозможно. После включения управление пользователями осуществляется с помощью соединителя каталогов Cisco, а Active Directory является единственным источником достоверных данных.
Все синхронизированные группы отображаются в Control Hub. Можно назначить шаблон лицензии, чтобы пользователям в этой группе назначались лицензии.

Дальнейшие действия

При удалении пользователя из Active Directory он будет программно удален после следующей синхронизации. Пользователь становится неактивным, однако профиль удостоверения в облаке сохраняется в течение семи дней (для восстановления после случайного удаления).

Если в Active Directory установлен флажок Учетная запись отключена, пользователь становится неактивным после следующей синхронизации. Профиль удостоверения облака не будет удален по истечении семи дней, если вы хотите снова включить пользователя.
Обратите внимание на эти исключения на инкрементную синхронизацию (вместо этого выполните все действия по синхронизации выше).
- В случае обновления аватара, но другие атрибуты не будут изменены, при инкрементной синхронизации аватар пользователя не будет обновлен в облаке.
- Изменения конфигурации сопоставления атрибутов, базового абонентского номера, фильтра и аватара требуют полной синхронизации.

Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.
Выполните пробную синхронизацию пользователей Active Directory.
После подтверждения результатов пробного запуска выполните полную синхронизацию пользователей Active Directory.

Выберите параметр.

Дальнейшие действия

Если электронные сообщения не блокируются, каждому пользователю будет отправлено электронное сообщение с приглашением присоединиться и скачать Webex.
Если вы выбрали одни и те же службы Webex для всех пользователей, после этого можно изменить назначенную лицензию индивидуально или массово.

Связанная информация

Известные проблемы с соединителем каталогов

В версиях Windows Server, предшествующих 2012 R2, возникает проблема с файлами cookie, которая влияет на соединитель каталогов. Эта проблема исправлена в версиях 2012 R2 и 2016.
Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов с момента выполнения синхронизации.

Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac.
Если пользователь использует приложение Webex на настольном или мобильном устройстве для поиска и вызова комнаты, в которой есть только синхронизированный URI SIP, вызов поступает в данный момент бессрочно.

Управление пользователями приложения Webex

Запустить инкрементную синхронизацию

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.
Обратите внимание на следующие исключения, которые не поддерживают инкрементную синхронизацию (вместо этого выполните полную синхронизацию пользователей Active Directory в облако ).
- В случае обновления аватара, но другие атрибуты не будут изменены, при инкрементной синхронизации аватар пользователя не будет обновлен в облаке.
- Для новых изменений конфигурации сопоставления атрибутов, базового абонентского номера, фильтра и настройки аватара инкрементная синхронизация не будет работать, и для них требуется полная синхронизация.

1	В соединителе каталогов щелкните Инструментальная панель. После включения синхронизации соединитель каталогов сначала попросит выполнить пробный запуск.
2	В меню Действия щелкните Режим синхронизации > Включить синхронизацию , если эта функция еще не включена. По умолчанию инкрементная синхронизация выполняется каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация. Когда установлен новый добавочный интервал времени, программа проверяет изменения на основе последней метки времени.
3	В меню Действия щелкните Синхронизировать сейчас > Инкрементный. Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов с момента выполнения синхронизации. Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac. Во время синхронизации на инструментальной панели отображается ход выполнения синхронизации. Это может включать тип синхронизации, время ее начала и этап, на котором выполняется синхронизация. После синхронизации разделы Последняя синхронизация и Статистика облака будут обновлены с учетом новой информации. Если во время синхронизации возникают ошибки, индикатор состояния становится красным.
4	Чтобы просмотреть журналы ошибок, щелкните Запустить средство просмотра event-совещаний на панели инструментов Действия .

Дальнейшие действия

Восстановление случайно удаленных пользователей

1	Войдите в Control Hub.
2	Перейдите в раздел Пользователи и убедитесь, что конкретная учетная запись пользователя находится в неактивном состоянии или скрыта. Дополнительную информацию см. в статье Действия и состояния пользователей в Control Hub.
3	Если пользователи были удалены в Control Hub или вы заметили, что пользователи находятся в неактивном состоянии, перейдите в Active Directory, добавьте отсутствующие учетные записи пользователей и выполните пробную синхронизацию в соединителе каталогов. Цель соединителя каталогов заключается в том, чтобы обеспечить точное соответствие информации о пользователях в Active Directory и в облаке.
4	Выполните полную синхронизацию, чтобы повторно синхронизировать временно удаленные учетные записи пользователей с Control Hub. Пользователи восстановлены и перейдут к исходному состоянию, включая состояние их учетной записи и назначения служб.

Дальнейшие действия

Удаление пользователей без возможности восстановления после мягкого удаления

1	По завершении пробного запуска выберите Мягко удаленные объекты.
2	Установите флажок рядом с пользователями, которых необходимо удалить.
3	Нажмите Готово.

Дальнейшие действия

При следующей синхронизации выбранные пользователи будут удалены без возможности восстановления.

Изменение адреса электронной почты приложения Webex

Чтобы изменить адреса электронной почты пользователей без изменения домена, выполните приведенные ниже действия.
1. Откройте учетную запись пользователя (например, user1@example.com) в Active Directory и измените адрес электронной почты (например, user2@example.com).
2. Возобновить синхронизацию в соединителе каталогов.
  
  После следующей синхронизации изменения отобразятся в списке пользователей в Control Hub, а для пользователей в приложении Webex после обновления кэша.
  
  При использовании этого метода потери данных или пространств не происходит. Уникальный идентификатор пользователя устанавливается в облаке после первой синхронизации. Все последующие синхронизации основаны на этом идентификаторе.
В развертывании с несколькими доменами с соединителем каталогов для изменения адресов электронной почты пользователей при изменении домена (рассмотрите example1.com старый домен и example2.com новый домен):
1. Для старой учетной записи пользователя (user1@example1.com) обратите внимание на атрибут Active Directory, который сопоставляется с атрибутом облака UID . Для новой учетной записи необходимо использовать то же значение Active Directory. В этом примере в качестве локального атрибута будет использоваться user1@example1.com для сопоставления с uid в облаке.
2. Приостановите синхронизацию в соединителе каталогов, например1.com и example2.com.
3. Создайте новую учетную запись пользователя на веб-сайте example2.com и используйте тот же атрибут, указанный выше. (Например, user1@example1.com).
4. В соединителе каталогов возобновите синхронизацию, например2.com
  
  Прежде чем продолжить, проверьте, синхронизируется ли учетная запись пользователя1@example2.com с Control Hub. Рекомендуется порекомендовать пользователю проверить изменение адреса электронной почты в приложении Webex и сохранить все данные (пространства, сообщения, совещания, файлы и т. д.).
  
  Этот метод не приводит к потере данных или пространств, однако в новой учетной записи пользователя необходимо убедиться в том, что атрибут Active Directory, который сопоставляется с атрибутом UID облака, сохраняется из старой учетной записи пользователя. При изменении значения Active Directory в новой учетной записи не сохраняются данные старой учетной записи.
5. После подтверждения изменения адреса электронной почты и сохранения данных удалите старую учетную запись пользователя на example1.com, а затем используйте соединитель каталогов для возобновления синхронизации, например1.com.
  
  На этом этапе можно безопасно обновить адрес электронной почты в новом домене Active Directory для пользователя1@example2.com.

Изменение домена Active Directory

1	Настройте новый домен Active Directory (AD).
2	Отключите синхронизацию на всех соединителях.
3	Удалите все соединители.
4	Зарегистрируйте обращение для изменения домена. При отправке запроса на удаление конфигурации домена и всех атрибутов синхронизации в организации обязательно выполните запрос. Прежде чем зарегистрировать обращение для изменения домена, убедитесь, что синхронизация не запущена. Не изменяйте адреса электронной почты пользователей в Active Directory, пока обращение не будет решено.
5	После завершения рассмотрения дела. Установите соединитель каталогов на том же сервере, что и для нового домена Active Directory. Настройте соединитель каталогов так, чтобы он указывал на новый домен Active Directory. Если в Control Hub есть существующие пользователи (https://admin.webex.com), убедитесь, что пользователи с совпадающими адресами электронной почты также присутствуют в Active Directory. Если в вашей организации отключена функция `softDelete` в DirSync, адреса электронной почты пользователей, которые находятся в Control Hub, но не находятся в состоянии удаления Active Directory. Перед фактической синхронизацией выполните тестовый запуск с соединителем каталогов.

Заявление домена

Связанная информация

Преобразование пользователей бесплатного приложения Webex в организацию, синхронизированную с каталогом

Если эти пользователи не будут добавлены, они будут удалены при синхронизации с облаком.

1	Отключите синхронизацию каталога в соединителе каталогов.
2	Выполните процедуру Преобразование нелицензированных пользователей в Control Hub , чтобы преобразовать пользователя из бесплатной клиентской организации в корпоративную. На этом этапе пользователь будет добавлен в вашу организацию, и учетная запись будет отображена в Control Hub. Соединитель каталогов делает Active Directory единственным источником достоверных данных для учетных записей пользователей, и целью является точное соответствие Active Directory и Control Hub. Перед повторной синхронизацией убедитесь, что для всех недавно преобразованных пользователей имеются совпадающие пользователи в Active Directory. Чтобы убедиться, что несовпадающих пользователей не осталось, можно выполнить пробную синхронизацию.
3	Выполните пробную синхронизацию в соединителе каталогов. По завершении пробной синхронизации проверьте вкладку "Добавить объекты". Убедитесь, что никакие преобразованные пользователи не удалены. Перед повторным включением синхронизации необходимо выполнить пробную синхронизацию, чтобы убедиться в том, что все преобразованные учетные записи пользователей отображаются в Active Directory. Если синхронизация включена и учетные записи находятся только в Control Hub, соединитель каталогов чувствителен к регистру и удаляет преобразованных пользователей, которые будут обнаружены с несовпадающими адресами электронной почты (например, user1@example.com и User1@example.com). При удалении преобразованных пользователей все пространства приложения Webex будут утрачены.
4	Если вы уверены, что при следующей синхронизации не будут удалены какие-либо учетные записи, снова включите синхронизацию каталога в соединителе каталогов.

Преобразованные учетные записи пользователей не будут активированы автоматически, если домен не был подтвержден. Например, если вы включили шаблон автоматического назначения лицензий, а затем включили соединитель каталогов без проверки домена, преобразованные пользователи будут неактивны в облачном сервере до тех пор, пока не подтвердят свои адреса электронной почты.

Перенесенные учетные записи пользователей приложения Webex

Изменение формата имени пользователя приложения Webex после синхронизации каталога

По умолчанию соединитель каталогов сопоставляет атрибут displayName в Active Directory с атрибутом displayName в облаке.

После выполнения синхронизации каталога имена пользователей могут отображаться в формате .

Кроме того, сопоставьте атрибут sn givenName с displayName:

Разрешение пользователям изменять отображаемые имена в Webex Meetings

1	В соединителе каталогов щелкните Конфигурация и выберите Сопоставление атрибутов пользователя.
2	Выберите displayName в разделе Name Attribute Cloud Cisco (Имя атрибута облака Cisco).
3	Выберите Не синхронизировать этот атрибут.

Дальнейшие действия

Теперь пользователи могут редактировать свои отображаемые имена на веб-сайте Webex.

Устранение неполадок соединителя каталогов

Модернизация до последнего выпуска программного обеспечения

1	Чтобы начать процесс модернизации, щелкните уведомление на панели задач Windows или щелкните правой кнопкой мыши пиктограмму соединителя каталогов на панели задач Windows.
2	Чтобы завершить модернизацию, следуйте инструкциям.
3	Перезапустите соединитель и войдите с помощью учетных данных администратора.
4	Проверьте номер версии программного обеспечения в разделе Справка > О программе.

Дальнейшие действия

Настройка общих параметров соединителя каталогов

Используйте эту процедуру для настройки общих параметров, таких как имя сервера, на котором запущен соединитель каталогов, уровни журналов, автоматическая модернизация и предпочтительные параметры для контроллеров домена. Имя соединителя отображается на инструментальной панели в разделе соединителей вместе с другими запущенными соединителями.

1	В соединителе каталогов перейдите к меню Конфигурация и щелкните Общие.
2	В поле Имя соединителя введите имя соединителя. В этом поле отображается только имя компьютера, на котором в данный момент запущен соединитель.
3	В раскрывающемся списке выберите уровень журнала. По умолчанию для уровня журнала задано значение info. Доступные уровни журналов: Информация (по умолчанию). Отображает информационные сообщения с информацией о ходе работы приложения на высоком уровне. Используйте эту настройку, чтобы получать отчеты после всех полных синхронизаций. Предупреждение: отображает потенциально опасные ситуации. Отладка. Отображает подробные информационные события, наиболее полезные для отладки приложения. При возникновении какой-либо проблемы установите этот уровень журнала и отправьте журнал event-совещания в службу поддержки при регистрации обращения. Ошибка. Отображает события ошибки, которые по-прежнему могут позволить приложению продолжить работу. При выборе этого параметра отчеты о синхронизации будут отправляться только в случае сообщений об ошибках. Эти настройки влияют на отчет о синхронизации, который отправляется по электронной почте. Если для уровня журнала задано значение «Ошибка», в отчете о синхронизации регистрируются только ошибки. Если ошибки отсутствуют, отчет о синхронизации не отправляется. Измените настройку на "Информация", затем вы получите отчеты о синхронизации после полной синхронизации. (Имейте в виду, что при инкрементной синхронизации отчеты не отправляются, если нет сообщений об ошибках.)
4	Выберите Предпочтительные контроллеры домена , чтобы задать порядок синхронизации удостоверений. Доступ к контроллерам домена осуществляется сверху вниз. Если верхний контроллер недоступен, выберите второй контроллер в списке. Если контроллер не указан в списке, можно получить доступ к основному контроллеру.
5	Для автоматической модернизации установите флажок параметра Автоматическая модернизация до новой версии соединителя каталогов Cisco . Всегда важно поддерживать актуальность программного обеспечения соединителя каталогов Cisco до последней версии. Рекомендуется установить эту настройку, чтобы разрешить автоматическую модернизацию программного обеспечения устанавливать в фоновом режиме, когда она станет доступной.
6	Установите флажок LDAP по SSL , чтобы в качестве протокола соединения использовать безопасный LDAP (LDAPS). Если не установлен флажок LDAP через SSL, соединитель каталогов продолжит использовать протокол соединения LDAP. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в инфраструктуре. Связь LDAPS зашифрована и защищена.

Настройка политики соединителя

1	В соединителе каталогов щелкните Конфигурация и выберите Политика.
2	Если необходимо добавить триггер порогового значения, установите флажок в поле Включить триггер удаления порогового значения . При выборе этого параметра будет отправлено предупреждение, если количество удалений превышает пороговое значение. Если учетная запись удаления превышает заданную вами, синхронизация не будет выполнена.
3	Введите максимальное количество удалений. Значение по умолчанию — 20. Не рекомендуется увеличивать значение по умолчанию.
4	Нажмите Применить.

Настройка графика соединителя

1	В соединителе каталогов щелкните Конфигурация и выберите Запланировать.
2	Укажите интервал инкрементной синхронизации в минутах. По умолчанию установлена инкрементная синхронизация каждые 30 минут. Полная инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация.
3	Чтобы изменить частоту отправки отчетов, измените значение Отправлять отчеты для...времени .
4	Установите флажок Включить график полной синхронизации , чтобы указать дни и время, в которые должна произойти полная синхронизация.
5	Укажите интервал отработки отказа в минутах.
6	Нажмите Применить.

Сценарии с несколькими доменами

Объекты с одинаковым ключевым значением связаны в одной записи в базе данных.

Пример сценария использования для нескольких доменов

В этом примере предполагается организация с двумя доменами: example1.com и example2.com в порядке приоритета.

Добавить пользователя1 (адрес электронной почты: user@example1.com) в Active Directory на странице example1.com.
Добавить группу1 (название группы: Тест) в Active Directory на примере example1.com.
Добавить пользователя2 (адрес электронной почты: user@example2.com) в Active Directory на примере example2.com.
Добавить группу2 (имя группы: Тест) в Active Directory на примере example2.com.

Синхронизация на example1.com

Синхронизация на example1.com и example2.com

Рассмотрим следующие шаги.

Удалите пользователя1 и группу1 в Active Directory, например1.com.
Выполните полную или инкрементную синхронизацию, например1.com.
Результат: информация о пользователе не изменяется в https://admin.webex.com. Пользователь2 не связан с пользователем1, а группа2 не связана с группой1.
Выполните инкрементную синхронизацию, например2.com.
Результат: информация о пользователе не изменяется в https://admin.webex.com.
Выполните полную синхронизацию, например2.com.
Результат: Информация о пользователе2 и группе2 отображается в https://admin.webex.com.

Синхронизация нового домена и сохранение существующего

Установка приоритета домена

Используйте эту процедуру для изменения приоритета доменов Active Directory. Приоритет домена позволяет определить основной домен, дополнительный домен и т. д. Это помогает, если два пользователя из двух разных доменов имеют одно и то же значение адреса электронной почты, синхронизированное с одной организацией.

Перед началом работы

1	В соединителе каталогов Cisco щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Задать приоритет домена.
3	Выделите один домен в списке, щелкните Вверх или Вниз , чтобы изменить приоритет этого домена, а затем щелкните Сохранить , чтобы сохранить это изменение. Домены сортируются по приоритету сверху вниз.

Переключить домены

Используйте эту процедуру для повторного связывания соединителя каталогов Cisco с другим доменом.

Перед началом работы

Перед переключением доменов убедитесь, что задачи синхронизации не выполняются.
Во избежание ошибок установите или модернизируйте соединитель каталогов Cisco до последней версии. Его необходимо скачать из Control Hub.

1	В соединителе каталогов Cisco щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Переключить домен.
3	Если после ознакомления с предупреждением вы понимаете влияние этого изменения на развертывание и все еще уверены, щелкните Да. При переключении домена выход из текущего соединителя каталогов Cisco будет выполнен, другие домены в соединителе будут отменены, а информация о соединителе на этом компьютере будет удалена.
4	Снова войдите в соединитель каталогов Cisco и повторно подключите домен.

Выключить синхронизацию каталога

Щелкните "Дополнительно" и затем щелкните Выключить рядом с экземпляром соединителя, который необходимо выключить.
Чтобы остановить синхронизацию со всех экземпляров соединителя, щелкните Выключить все синхронизации каталогов .

После прочтения подсказки щелкните Выключить.

Синхронизация будет остановлена до повторного включения в соединителе каталогов.

Удалить сопоставление атрибутов пользователя

1	В соединителе каталогов щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Сервисные программы > Удалить сопоставление атрибутов пользователя.
3	Выберите сопоставление, которое необходимо удалить из списка Имя атрибута .
4	В разделе Затронутая область пользователя выберите один из приведенных ниже параметров. Только пользователи, синхронизированные с соединителем каталогов. сопоставление будет удалено только у пользователей, которые ранее синхронизировали соединитель каталогов. Все пользователи. сопоставление будет удалено у всех пользователей Active Directory.
5	Нажмите Применить.

Управление изображениями профиля

1	В соединителе каталогов щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Сервисные программы > Управление изображениями профиля.
3	В разделе Действия выберите один из приведенных ниже вариантов. Удаление изображений профиля для пустых источников аватара. если изображение профиля Active Directory пустое, этот параметр гарантирует удаление изображений профилей пользователей из облака, даже если пользователь ранее загрузил собственное изображение в Webex. Повторно загрузите из синхронизированного источника для переопределения кэшированных изображений. Соединитель каталогов использует тот же каталог Active Directory, что и предыдущие, для обновления изображений профилей для всех пользователей. Это гарантирует отсутствие несоответствия между изображениями профиля в Active Directory и облаке.
4	Нажмите Применить.

Удаление и деактивация соединителя каталогов

Вы больше не хотите использовать синхронизацию каталога.
Не следует использовать один из нескольких соединителей каталогов (высокая доступность).
Необходимо изменить домен и установить другой соединитель.

Перед началом работы

Для высокой доступности может быть настроено несколько экземпляров соединителя каталогов, или синхронизация нескольких доменов. Отключите синхронизацию при удалении единственного или последнего экземпляра соединителя каталогов.
Перед удалением соединителя каталогов сохраните и закройте все важные работы.

1	На компьютере Windows перейдите на панель управления и щелкните Программы и компоненты.
2	В списке программ щелкните Соединитель каталогов, выберите Удалить и следуйте подсказкам. Для завершения удаления может потребоваться перезагрузка системы.
3	В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню Управление > Настройки организации, прокрутите страницу до раздела Синхронизация каталога, щелкните Дополнительно , а затем щелкните Деактивировать рядом с экземпляром соединителя каталогов, который необходимо удалить.
4	После прочтения подсказки щелкните Деактивировать. Если в развертывании высокой доступности не установлен другой соединитель каталогов, учетные записи пользователей больше не синхронизируются.

Запуск средства диагностики

Запуск тестов для служб домена Active Directory.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку AD-DS , введите домен , затем щелкните Загрузить контроллеры доменов.
2. Выберите из списка один контроллер домена.
  
  Не изменяйте запись позже, поскольку инкрементный поиск всегда должен выполняться на одном и том же контроллере домена.
3. По умолчанию выполняются поиск всех путей, однако можно выбрать один атрибут , а затем щелкнуть Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , например Пользователи и Группа , а также фильтры поиска.
5. Установите флажок Автоматически заполнять файлы cookie , чтобы автоматически создавать файлы cookie для поиска.
6. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы выполнить тесты для служб облегченного каталога Active Directory, выполните указанные ниже действия.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку AD-LDS , введите Хост и Порт, а затем щелкните Загрузить разделы.
2. Выберите раздел в списке и щелкните Подключить.
3. По умолчанию выполняются поиск всех путей, однако можно выбрать один атрибут , а затем щелкнуть Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , такие как фильтры Пользователь, UserProxy и UserProxyFull и поиска.
5. Установите флажок Автоматически заполнять файлы cookie , чтобы автоматически создавать файлы cookie для поиска.
6. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы запустить тесты протокола LDAP, выполните следующие действия.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку RAW LDAP , введите корневой путь, фильтр и выберите запись в разделе Атрибуты , затем щелкните Загрузить разделы.
2. При необходимости установите флажки следующих параметров.
  - ObjectSecurity. При наличии этого параметра вызывающий абонент не требует прав и может видеть только доступные для вызывающего абонента объекты и атрибуты. Если этот параметр отсутствует, вызывающий абонент имеет право копировать изменения.
  - РодителиFirst (Сначала родители). Обеспечивает, чтобы все родители детей приходили раньше своих детей.
3. Выберите значение для ExtendedDN.
  
  Это значение используется в расширенном поиске LDAP для запроса расширенной формы Distinguished Name объекта.
4. Выберите значение для ReferralChasing.
  
  Охота на рефералов инициируется, когда контроллер домена возвращает реферал из запроса, например для получения сведений о результатах запроса, которые могут находиться за пределами пространства имен (например, участников группы в другом домене или лесу).
5. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
6. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.

Устранение неполадок в соединителе каталогов Ciso

Устранение неполадок и исправления соединителя каталогов

Установка

Соединитель каталогов прекратил работу

Вы получили сообщения электронной почты с предупреждением о том, что соединитель каталогов не работает.

Возможно, соединитель каталогов установлен неверно.
Возможно, соединитель каталогов не работает.
Возможно, сеть недоступна.

Попробуйте выполнить приведенные ниже действия.

Откройте Панель управления > Программы и компоненты. Найдите соединитель каталогов. Если она отсутствует, скачайте последнюю версию из Control Hub и установите ее.
Откройте Служба и найдите службу Cisco DirSync. Убедитесь, что в нем отображается состояние Начато. Если служба остановлена, щелкните правой кнопкой мыши и выберите "Начать", чтобы перезапустить службу.
Убедитесь, что сервер, на котором установлен соединитель каталогов, имеет доступ к Интернету.

Ошибка переустановки

Решение. По прошествии некоторого времени повторите попытку установки.

Вход в систему

Сбой соединителя каталогов во время входа SSO

Проблема

Решение

Попробуйте выполнить приведенные ниже действия.

Чтобы настроить новую групповую политику, выполните следующие действия.

Перейдите к контроллеру домена и откройте раздел Group Policy Management (gpedit.msc).
Щелкните правой кнопкой мыши определенный OU или домен, выберите Создать GPO в этом домене и Связать его здесь...
Укажите название политики, затем щелкните правой кнопкой мыши и выберите Правка.

Чтобы изменить политику на уровне машины, выполните следующие действия:

Перейдите к меню Конфигурация компьютера > Предпочтительные параметры > Настройки Windows, щелкните правой кнопкой мыши Реестр, выберите Создать, а затем Элемент реестра.
Для параметра Key Path (Путь ключа) введите или перейдите к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger (Отключить отладчик сценариев) для параметра Value (Значение) и введите no для параметра Value data (Данные значения).

Настройки должны соответствовать приведенному ниже снимку экрана.

Чтобы изменить политику на уровне пользователя, выполните следующие действия.

Перейдите к меню Конфигурация компьютера > Предпочтительные параметры > Настройки Windows, щелкните правой кнопкой мыши Реестр, выберите Создать, а затем Элемент реестра.
Для параметра Путь ключа введите или перейдите к разделу HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger (Отключить отладчик сценариев) для параметра Value (Значение) и введите no для параметра Value data (Данные значения).

Настройки должны соответствовать приведенному ниже снимку экрана.

Не удалось зарегистрировать соединитель службы Cisco DirSync

Проблема

Ошибка входа. Отображается сообщение "Не удалось зарегистрировать соединитель службы Cisco DirSync."

Решение

Система Windows, на которой установлен соединитель каталогов, должна быть членом Active Directory.

Страница входа не отображается

Проблема

Вы открыли соединитель каталогов, и страница входа не отображалась.

Решение

Выполните следующие действия.

В Internet Explorer перейдите к https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Попробуйте использовать ссылку в других браузерах, например в Chrome и Firefox.
Если Internet Explorer не может открыть ссылку, но могут использовать другие браузеры, установите флажки в настройках Internet Explorer и установите флажки TLS 1.1 и 1.2. (Используйте процедуру Включить TLS в Internet Explorer .)

Отобразится запрос на вход

Проблема

Отобразится запрос на ввод имени пользователя и пароля для проверки подлинности.

Возможная причина

Решение

Не удается подключиться к удаленному серверу

Проблема

Во время обычной работы отображается сообщение об ошибке "Не удается подключиться к удаленному серверу".

Возможная причина

Возможно, у вас возникли проблемы с прокси, которые необходимо решить.

Решение

Невозможно зарегистрировать соединитель

Проблема

Отображается сообщение об ошибке "Невозможно зарегистрировать соединитель. Произошло общее исключение".

Возможная причина

Решение

Попробуйте выполнить приведенные ниже действия.

Запустите командную строку (cmd) и введите ldp.exe.
Щелкните Connection (Подключение) > Bind (Привязка), выберите Привязка как пользователь, выполнивший вход в систему в данный момент, а затем щелкните ОК.
Щелкните Просмотр > Дерево, введите DC=arbonneintl,DC=ad в качестве BaseDN, а затем щелкните ОК.
Если проблема не исчезнет, зарегистрируйте обращение в службу поддержки.

Синхронизация

Аватары не синхронизированы

Проблема

Возможная причина

Решение

Удалите локальный кэш, выполнив следующие действия.

Перейдите к C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Удалите DirSyncPluginAvatar.dll-cache.bin.
Перезапустите синхронизацию аватара с помощью соединителя каталогов Cisco.

Конфликтующие учетные записи электронной почты пользователей

Проблема

Если пользователи попытаются использовать бесплатную версию приложения Webex, их адреса электронной почты будут находиться в бесплатной клиентской организации.
Если адреса электронной почты пользователей когда-либо были синхронизированы в другой организации.
Если адреса электронной почты пользователя существуют в нескольких доменах, принадлежащих организации.

Решение

Попробуйте выполнить приведенные ниже действия.

При попытке заявления пользователей выполните приведенные ниже действия.
1. Убедитесь, что домен подтвержден в Control Hub.
2. Временно отключить соединитель каталогов Cisco.
3. Используйте параметр "Заявить пользователя" в Control Hub, чтобы заявить все учетные записи, которые могут существовать в бесплатной клиентской организации. Дополнительную информацию см. в статье Утверждение пользователей в организации (преобразование пользователей) .
4. Выполните пробный запуск соединителя каталогов Cisco, а затем повторно включите синхронизацию каталога
В последнем случае дважды проверьте данные пользователей в источниках Active Directory.

Преобразованный пользователь помечен как неактивный

Проблема

Возможная причина

Решение

Ошибка добавочной синхронизации

Проблема

Сбой инкрементной синхронизации.

Эта проблема может возникать в Windows Server 2008 R2 при следующих условиях:

Вы поддерживаете обновления добавочных значений.
Фильтр, который используется, ссылается на связанный атрибут значения.
Значения результата этого атрибута обновлялись с момента последней полной синхронизации.

Решение

Недопустимое значение атрибута

Проблема

Возможная причина

Решение

Соответствующие пользователи, подлежащие удалению

Проблема

Соответствующие пользователи помечены как удаленные.

При выполнении пробной синхронизации для проверки данных между Active Directory и облаком в обоих случаях может отображаться один и тот же адрес электронной почты. Однако пользователь помечен как объект, подлежащий удалению.

Решение

Выберите соответствующее исправление.

Если удалить пользователя и повторно ввести лицензии после этого, для исправления можно использовать соединитель каталогов. Выполните синхронизацию, чтобы удалить пользователя, а затем другую синхронизацию, чтобы синхронизировать пользователя из локального AD с облаком.
Если вы не можете удалить и повторно создать учетную запись пользователя, зарегистрируйте обращение в службу поддержки.

Отсутствует атрибут

Проблема

Возможная причина

Решение

Вложенная группа не будет синхронизирована

Проблема

Пользователи во вложенной группе Active Directory не синхронизируются надлежащим образом с облаком.

Возможная причина

Решение

Конфликт имен пользователей

Проблема

Возможная причина

Пользователь с таким адресом электронной почты уже существует в Control Hub.

Решение

Control Hub

Список пользователей отсутствует в Control Hub

Проблема

Решение

Группы не будут синхронизированы с Control Hub

Проблема

Пользователи в группе каталогов не будут синхронизированы с Control Hub надлежащим образом.

Возможная причина

В Active Directory группа не имеет тегов isCriticalSystemObject .

Решение

Убедитесь, что для атрибута isCriticalSystemObject в Active Directory установлено значение TRUE .

Включение устранения неполадок соединителя каталогов

Файлы журналов: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Запустите файл `services.msc` , чтобы изменить запущенную учетную запись для службы соединителя каталогов с локальной системы на учетную запись домена, имеющую права на доступ к вашим AD DS или AD LDS.
2	Перезапустите службу. Инструкции см. в статье Начало работы служб .
3	В соединителе каталогов щелкните Инструментальная панель.
4	Перейдите к меню Действия и щелкните Сервисные программы > Устранение неполадок.
5	Если функция устранения неполадок включена, повторите действия, которые привели к ошибке. Таким образом будут фиксированы данные трафика, чтобы их можно было проверить.
6	Просмотрите файлы журналов. если файл пуст, убедитесь, что у учетной записи есть права на доступ к AD DS или AD LDS. В папке журнала сохраняются только файлы за последние 3 дня. Содержимое файлов журнала соответствует выходу журнала события в систему.
7	При необходимости отправьте файл журнала в службу поддержки для получения помощи.
8	По завершении отключите функцию устранения неполадок.

Связанная информация

Запускать средство просмотра событий.

1	В соединителе каталогов перейдите к меню Инструментальная панель и щелкните Действие > Запустить средство просмотра event-совещаний. В диалоговом окне "Свойства события" отображаются сведения о синхронизации события и сведения об ошибке.
2	В средстве просмотра event-совещаний перейдите к меню Журналы приложений и служб > Соединитель каталогов Cisco.
3	В разделе Действия щелкните Сохранить все event-совещания как , чтобы экспортировать все журналы в один файл event-совещаний (*.evtx) или другой формат, например XML или CSV.

Дальнейшие действия

Включение TLS в Internet Explorer

При входе в службу произошла ошибка
Произошла ошибка в сценарии на этой странице

При появлении этих ошибок необходимо включить настройку TLS в браузере.

1	Откройте Internet Explorer и выберите Инструменты. Теперь установите флажки для версии TLS/SSL, которую необходимо включить. Щелкните ОК Закрыть браузер и снова открыть его
2	Щелкните Свойства обозревателя , перейдите в раздел Дополнительно , прокрутите страницу до раздела Безопасность.
3	Установите флажки Использовать TLS 1.1 и Использовать TLS 1.2 , а затем щелкните ОК.
4	Чтобы изменения вступили в силу, перезапустите систему.

Устранение неполадок со входом в учетную запись службы

Попробуйте открыть https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL в веб-браузере.

Выберите один из вариантов в зависимости от результатов.

Если вы не можете перейти по ссылке в браузере, проверьте сетевые настройки. Если в вашей среде используется прокси, проверьте настройки прокси.
Если вы можете перейти по ссылке в браузере, но не можете открыть соединитель каталогов Cisco (Не удается открыть соединитель и всплывающее сообщение об ошибке 407), щелкните здесь , чтобы получить последнюю версию соединителя каталогов Cisco.
Если вы можете перейти по ссылке в браузере, но не можете выполнить синхронизацию с помощью соединителя каталогов Cisco, измените учетную запись входа в службу на администратор домена.

Проверьте, является ли учетная запись, использованная для входа в систему Windows, той же учетной записью, что и в службе Cisco DirSync. Если у них 2 разных учетных записи, убедитесь, что обе учетные записи могут посещать https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Если в вашей среде используется прокси, убедитесь, что обе учетные записи настроены для прокси в Internet Explorer и могут https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL успешно посещать учетные записи.

Связанная информация

Проверка SafeDllSearchMode в реестре Windows

Как правило, режим SafeDllSearchMode включен, но используйте эту процедуру для повторной проверки настроек реестра.

Перед началом работы

В окне поиска в Windows или в окне "Выполнить" введите regedit и нажмите клавишу ввода.

Перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан. Дальнейшие действия не требуются.
SafeDllSearchMode указан в списке. Убедитесь, что значение 1.

Дополнительную информацию см. в статье Порядок поиска библиотеки динамических ссылок.

Обзор соединителя каталогов Cisco

Обзор соединителя каталогов

В таблице перечислены все функции, описания и преимущества.

Функция	Описание и преимущества
Простая в использовании инструментальная панель	Инструментальная панель предоставляет график синхронизации, сводную информацию и состояние синхронизации, а также состояние соединителя каталогов. Панель отчетов можно просматривать в любое время при входе в систему.
Пробный запуск перед синхронизацией с облаком	Выполните пробный запуск изменений каталога, прежде чем они будут реализованы в облаке. Затем запустите отчет, чтобы увидеть, что изменения, которые необходимо внести, являются ожидаемыми.
Полная и инкрементная синхронизация	Синхронизируйте весь каталог. Или просто синхронизируйте дополнительные изменения, чтобы сэкономить мощность обработки и сократить время синхронизации.
Синхронизация нескольких доменов (один лес или несколько лесов)	Соединитель каталогов поддерживает несколько доменов в одном лесу или в нескольких лесах (без необходимости AD LDS). Для предприятий с несколькими доменами Active Directory можно установить соединитель каталогов для каждого домена, связать каждый домен с вашей организацией, а затем синхронизировать каждую базу пользователей с Webex. Control Hub отражает состояние синхронизации нескольких соединителей каталогов, позволяет выключить синхронизацию для определенного домена и деактивировать соединитель каталогов в развертывании с высокой доступностью.
Синхронизация запланирована	Настройте график синхронизации на день, час и минуту.
Фильтры протокола доступа к каталогу (LDAP)	Определите критерии поиска LDAP и обеспечьте эффективный импорт.
Сопоставление атрибутов Active Directory	Сопоставьте атрибуты Microsoft Active Directory с соответствующими атрибутами облака Webex. Можно сопоставить атрибуты, относящиеся к конфигурации Active Directory, а также определить пользовательские атрибуты для сопоставления с облаком. Атрибуты локальной среды формируют в облаке различные данные, такие как данные учетной записи пользователя, телефонные номера в Webex Teams, SIP-адреса ресурсов комнаты и другие данные карточки контакта пользователя (должность, отдел, менеджер и т. д.).
Корпоративный каталог для ресурсов локальных комнат и пользователей Cisco Webex Calling (облачная PSTN) и корпоративных контактов без лицензирования Webex	Если в вашей организации для службы вызовов используется облачная PSTN Cisco Webex Calling или у вас есть локальные устройства комнаты, эта функция позволяет пользователям выполнять поиск в каталоге корпоративных контактов на телефонах Cisco Webex Calling (облачная PSTN) или ресурсах комнат. Ресурсы комнаты После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным адресом SIP будут отображены в зарегистрированных в облаке устройствах комнат (таких как устройство Cisco Webex Room или Cisco Webex Board) как записи, доступные для поиска. При поиске пользователей устройства Cisco Webex Room или Cisco Webex Board будут отображены синхронизированные записи комнат, настроенные с помощью SIP-адресов. При поступлении вызова с устройства Webex на эту запись вызов будет размещен на SIP-адрес, настроенный для комнаты. Вызовы Помимо контактов приложения Webex пользователи могут совершать вызовы корпоративным контактам. С помощью соединителя каталогов корпоративные пользователи и их номера телефона будут добавлены в вашу организацию Webex. Для работы этой функции лицензия на службы Webex не требуется. Пользователи, у которых нет лицензий на Webex, будут отображаться в результатах поиска по каталогу, выполненном на телефоне пользователя Cisco Webex Calling, при условии, что в соединителе каталогов синхронизирован URI или номер телефона с Webex. Функции вызовов одинаковы для пользователей обоих типов. Эта функция также обеспечивает возможность редактирования набора для контактов только с номерами телефона. В результатах поиска контактов: Если контакты имеют набираемый URI (адрес SIP Webex) и номер телефона, отображается URI, связанный с контактом. Если у контактов нет набираемого URI, но есть номер телефона, отображается номер телефона. Кроме того, у них есть программная клавиша для редактирования набора. Если контактов нет, они не отображаются в каталоге.
Средство просмотра event-совещаний	С помощью средства просмотра event-совещаний можно определить, возникли ли какие-либо проблемы с синхронизацией.
Средство диагностики и устранение неполадок	С помощью встроенного средства диагностики можно устранять неполадки при развертывании соединителя каталогов Cisco. Если синхронизация не работает надлежащим образом, может возникнуть ошибка конфигурации или сети. Этот инструмент тестирует подключение к Active Directory, чтобы можно было самостоятельно диагностировать ошибки перед обращением в службу поддержки. После включения функции устранения неполадок в соединителе каталогов записываются журналы, которые можно отправить в службу технической поддержки.
Автоматическая модернизация	После установки соединителя каталогов при появлении новой версии программного обеспечения будет отправлено уведомление. Автоматическую модернизацию можно настроить таким образом, чтобы при выпуске новой версии всегда была последняя версия программного обеспечения.
Высокая доступность	Настройте несколько соединителей для резервного копирования, если основной соединитель или размещающая машина не работает.

Соединитель каталогов разделен на три области:

Control Hub – это единый интерфейс, позволяющий управлять всеми аспектами организации Webex. просмотр пользователей, назначение лицензий, скачивание соединителя каталогов и настройка системы единого входа (SSO) , если необходимо, чтобы пользователи выполняли аутентификацию посредством корпоративного поставщика удостоверений и не отправляли электронные приглашения для приложения Webex.
Интерфейс управления соединителем каталогов – это программное обеспечение, которое можно скачать из Control Hub и установить на доверенном сервере Windows. Для нескольких доменов Active Directory можно установить одну минуту программного обеспечения для каждого домена, который необходимо синхронизировать. С помощью этого программного обеспечения можно запустить синхронизацию для переноса учетных записей пользователей Active Directory в Webex, просмотра и отслеживания состояния синхронизации, а также настройки служб соединителя каталогов.
Служба синхронизации каталога запрашивает ваш Active Directory, чтобы получить пользователей и группы для синхронизации со службой соединителя и соединителем каталогов.

Чтобы понять архитектуру соединителя каталогов, см. приведенную ниже диаграмму.

Подготовка среды для соединителя каталогов

Требования для соединителя каталогов

Требования к Windows и Active Directory

Соединитель каталогов можно установить на следующих поддерживаемых серверах Windows:

Windows Server 2022
Windows Server 2019
Windows Server 2003

Соединитель каталогов поддерживается следующими службами Active Directory:

Active Directory 2016

(Соединитель каталогов поддерживается при использовании последней версии Active Directory на Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Обратите внимание на следующие дополнительные требования:

Для соединителя каталогов требуется TLS1.2. Необходимо установить приведенное ниже.
- .NET Framework версии 3.5 (требуется для приложения соединителя каталогов. При возникновении каких-либо проблем воспользуйтесь инструкциями, приведенными в статье Включение .NET Framework 3.5 с помощью мастера добавления ролей и функций.)
- .NET Framework версии 4.5 (обязательно для TLS1.2)
Требуется уровень функционального леса Active Directory 2 (Windows Server 2003) или более поздний. (Дополнительную информацию см. в статье Какие функциональные уровни Active Directory? .)

Требования к оборудованию

8 ГБ ОЗУ
50 ГБ хранилища
Нет минимума для ЦП

Требования к сети

Требования к организации Webex

Для доступа к программному обеспечению соединителя каталогов из Control Hub требуется организация Webex с пробной версией или платной подпиской.
(Необязательно) Чтобы новые учетные записи пользователей приложения Webex были Активными перед первым входом в систему, рекомендуется выполнить приведенные ниже действия.
- Добавляйте, проверяйте и при необходимости заявляйте домены , содержащие адреса электронной почты пользователей, которые необходимо синхронизировать с облаком.
- Выполните интеграцию системы единого входа (SSO) поставщика удостоверений (IdP) с организацией Webex.
- Отключите автоматические электронные приглашения, чтобы новые пользователи не получали автоматические электронные приглашения и вы могли проводить собственную электронную рассылку. (Для работы этой функции требуется интеграция SSO.)

Дополнительную информацию см. в статье Действия и состояния пользователей в Control Hub.

Требования к установке

Для среды с несколькими доменами (один лес или несколько лесов) необходимо установить один соединитель каталогов для каждого домена Active Directory. Если необходимо синхронизировать новый домен (B) при сохранении синхронизированных данных пользователей в другом существующем домене (A), убедитесь, что у вас есть отдельный поддерживаемый сервер Windows для установки соединителя каталогов для синхронизации домена (B).
Для входа в соединитель не требуется учетная запись администратора в Active Directory. Требуется учетная запись локального пользователя, которая является тем же пользователем, что и учетная запись администратора с полными правами в Control Hub.

Этот локальный пользователь должен иметь права на этом компьютере Windows для подключения к контроллеру домена и чтения объектов пользователя Active Directory. Учетная запись для входа в систему компьютера должна быть администратором компьютера с правами на установку программного обеспечения на локальном компьютере. (Эта информация также применима к входу в виртуальную машину.)
При входе в соединитель учетная запись для входа должна совпадать с учетной записью администратора с полными правами для Control Hub. По умолчанию соединитель использует учетную запись локальной системы для доступа к Active Directory. Однако можно использовать службы Windows для настройки другой учетной записи для доступа к Active Directory. (Эта информация также применима к входу в виртуальную машину.)
Убедитесь, что режим поиска библиотеки безопасных динамических ссылок (DLL) Windows включен с помощью следующей процедуры: Проверьте SafeDllSearchMode в реестре Windows.
Если AD LDS используется для нескольких доменов в одном лесу, рекомендуется установить соединитель каталогов и службу домена Active Directory/облегченные службы каталогов Active Directory (AD DS/AD LDS) на отдельных компьютерах.

Требования к нескольким доменам

Для каждого домена требуется отдельный экземпляр соединителя каталогов.
ПО соединителя каталогов должно работать на узле, находящемся в том же домене, который будет синхронизирован.
Рекомендуется подтвердить или заявить домены в Control Hub. (См. статью Добавление, проверка и заявление доменов.)
Чтобы синхронизировать более 50 доменов, необходимо зарегистрировать обращение , чтобы переместить организацию в большой список организаций.
При необходимости можно синхронизировать информацию о ресурсах комнаты вместе с учетными записями пользователей. (См. статью Синхронизация информации о локальной комнате с облаком Webex.)

Информация о размещении

На скорость синхронизации может повлиять несколько факторов.

Общее количество объектов Active Directory. (Задача синхронизации 5000 пользователей не будет длиться до 50 000.)
Скорость сети и пропускная способность.
Рабочая нагрузка системы и технические характеристики.

Проверка SafeDllSearchMode в реестре Windows

Как правило, режим SafeDllSearchMode включен, но используйте эту процедуру для повторной проверки настроек реестра.

Перед началом работы

В окне поиска в Windows или в окне "Выполнить" введите regedit и нажмите клавишу ввода.

Перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан. Дальнейшие действия не требуются.
SafeDllSearchMode указан в списке. Убедитесь, что значение 1.

Дополнительную информацию см. в статье Порядок поиска библиотеки динамических ссылок.

Интеграция веб-прокси

Можно воспользоваться одним из приведенных ниже подходов.

Явный веб-прокси с помощью Internet Explorer (соединитель наследует настройки веб-прокси)
Явный веб-прокси с помощью файла .pac (соединитель наследует настройки корпоративного прокси)
Прозрачный прокси, который работает с соединителем без изменений

Использование веб-прокси через браузер

Соединитель каталогов можно настроить использование веб-прокси с помощью Internet Explorer.

1	В Internet Explorer перейдите к меню Свойства браузера, щелкните Соединения и выберите Настройки LAN.
2	Укажите экземпляр Windows, в котором соединитель установлен на веб-прокси. Соединитель наследует эти настройки веб-прокси.
3	Если в вашей среде используется аутентификация прокси, добавьте эти URL-адреса в список разрешенных: cloudconnector.webex.com для синхронизации. idbroker.webex.com для аутентификации. idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т. д. Это можно сделать на уровне веб-сайта (для всех организаторов) или только для организатора, у которого есть соединитель. При добавлении этих URL-адресов в список разрешенных для полного обхода веб-прокси убедитесь, что таблица ACL брандмауэра обновлена, чтобы разрешить узлу соединителя прямой доступ к URL-адресам.
4	Если в вашей среде необходимо запросить списки отзыва сертификатов у центров сертификации, добавьте эти URL-адреса в список разрешенных. .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Дополнительную информацию см. в этой статье о доменах и URL-адресах, которые должны быть доступны для служб Webex.

Настройка веб-прокси с помощью файла PAC

Если в вашей среде используется аутентификация прокси, добавьте эти URL-адреса в список разрешенных:

cloudconnector.webex.com для синхронизации.
idbroker.webex.com для аутентификации.
idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т. д.

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

NTLM-прокси

Дизайн NTLM

Как правило, техническая разработка NTLM основана на механизме Challenge (Вызов) и Response (Ответ):

Пользователь входит на ПК клиента с помощью учетной записи Windows и пароля. Пароль не сохраняется локально. Вместо пароля в формате обычного текста значение хеша пароля хранится локально. Когда пользователь входит в клиент с помощью пароля, ОС Windows сравнивает сохраненное значение хеша и значение хеша, полученное от введенного пароля. Если оба совпадают, аутентификация проходит.

Если пользователь хочет получить доступ к любому ресурсу на другом сервере, клиент отправляет запрос на сервер с именем учетной записи в виде обычного текста.
Когда сервер получает запрос, сервер генерирует 16-битный случайный ключ. Ключ называется Challenge (или Nonce). Прежде чем сервер отправит обратно клиенту, вызов хранится на сервере. Затем сервер отправляет вызов клиенту в виде обычного текста.
Как только клиент получает вызов, отправленный с сервера, клиент шифрует вызов с помощью хэша, упомянутого в шаге 1. После шифрования значение отправляется обратно на сервер.
Когда сервер получает зашифрованное значение от клиента, сервер отправляет его на контроллер домена для проверки. Запрос включает приведенное ниже. имя учетной записи, зашифрованный вызов, отправленный клиентом, и исходный простой вызов.
Контроллер домена может получить хеш-значения пароля в соответствии с именем учетной записи. А затем контроллер домена может зашифровать исходную задачу. Затем контроллер домена может сравниться с полученным значением хеша и зашифрованным значением хеша. Если они одинаковы, проверка выполнена успешно.

Настройка прозрачного прокси

1	Разверните прозрачный прокси, чтобы соединитель мог подключать и синхронизировать пользователей.
2	Убедитесь в успешном выполнении прокси. При запуске соединителя отображается всплывающее окно ожидаемой аутентификации браузера.

Настройка аутентификации прокси

Добавьте URL-адрес cloudconnector.webex.com в список разрешенных, создав список контроля доступа.

На корпоративном брандмауэре:

1	Включите поиск DNS, если этот параметр еще не включен.
2	Определите приблизительную пропускную способность для этого соединения (примерно 2 Мбит/с или менее для соединителя). Это может быть необязательно.
3	Создайте список контроля доступа, чтобы применить его к узлу соединителя, и укажите `cloudconnector.webex.com` в качестве целевого объекта, который необходимо добавить в список разрешенных. Пример. `access-list 2000 ACL-внутри расширенного разрешения TCP [IP соединителя] cloudconnector.webex.com eq https`
4	Примените этот СКД к соответствующему интерфейсу брандмауэра, который применим только к этому узлу соединителя.
5	Убедитесь, что остальные узлы в вашей организации по-прежнему должны использовать веб-прокси, настроив соответствующее неявное заявление об отказе.

Развертывание соединителя каталогов

Алгоритм выполнения задач по развертыванию соединителя каталогов Cisco

Перед началом работы

Способы добавления пользователей и управления ими в организации

1	Установить соединитель каталогов В Control Hub синхронизация каталога изначально отключена. Чтобы включить синхронизацию каталога для организации, необходимо установить и настроить соединитель каталогов, а затем успешно выполнить полную синхронизацию. Для новой установки соединителя каталогов всегда перейдите в Control Hub (https://admin.webex.com) для получения последней версии программного обеспечения и использования новейших функций и исправлений ошибок. После установки программного обеспечения о модернизации сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
2	Вход В Соединитель Каталогов Войдите с помощью учетных данных администратора Webex и выполните начальную настройку.
3	Настройка автоматической модернизации Всегда важно поддерживать актуальность программного обеспечения соединителя каталогов до последней версии. Рекомендуется использовать эту процедуру, чтобы разрешить автоматическую модернизацию программного обеспечения устанавливать в фоновом режиме, когда она станет доступной.
4	Выберите объекты Active Directory для синхронизации По умолчанию соединитель каталогов синхронизирует всех пользователей, которые не являются компьютерами, и всех групп, которые не являются критически важными объектами системы для домена. Для получения дополнительных сведений о том, какие объекты синхронизируются, можно выбрать определенных пользователей для синхронизации и указать фильтры LDAP на странице выбора объекта в соединителе каталогов.
5	Сопоставить атрибуты пользователя Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid.
6	Синхронизируйте аватары каталогов, выполнив одну из следующих процедур: Синхронизация аватаров каталогов из атрибута Active Directory с облаком Синхронизация аватаров каталогов с сервера ресурсов с облаком Можно синхронизировать аватары пользователей с облаком, чтобы аватар каждого пользователя отображался при входе в приложение. Можно синхронизировать аватары с помощью атрибута Active Directory или сервера ресурсов.
7	Синхронизация информации о локальной комнате с облаком Webex Используйте эту процедуру для синхронизации информации о локальной комнате из Active Directory с облаком Webex. После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным SIP-адресом будут отображаться в качестве записей на зарегистрированных в облаке устройствах комнаты, таких как устройство Webex Room или Cisco Webex Board
8	Чтобы Подготовить Пользователей Из Active Directory В Control Hub, выполните следующие действия. Выполнение пробной синхронизации пользователей Active Directory Выполнение полной синхронизации пользователей Active Directory в облако Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub Следуйте этой последовательности, чтобы подготовить пользователей Active Directory для учетных записей приложения Webex. Можно подготовить пользователей из развертывания Active Directory с несколькими лесами или доменами для соединителя каталогов 3.0 и более поздних версий. Во время процесса добавления пользователей из разных доменов необходимо решить, следует ли сохранить или удалить объекты пользователей, которые могут уже существовать в облаке Webex. Например, протестировать учетные записи из пробной версии. Целью является точное соответствие между Active Directory и облаком Webex.

Установить соединитель каталогов

Перед началом работы

При аутентификации через прокси-сервер убедитесь, что у вас есть учетные данные прокси.

Для базовой аутентификации прокси после установки экземпляра соединителя необходимо ввести имя пользователя и пароль. Для базовой аутентификации также требуется конфигурация прокси Internet Explorer. См. статью Использование веб-прокси Через Браузер.
При первом открытии соединителя для прокси-сервера NTLM может возникнуть ошибка. См. статью Использование веб-прокси Через Браузер.

1	В Control Hub перейдите к меню Пользователи > Управление пользователями > Включить синхронизацию каталога и выберите Далее.
2	Щелкните ссылку Скачать и установить, чтобы сохранить последнюю версию файла установки соединителя ZIP на сервер VMware или Windows. Файл .zip можно получить непосредственно по этой ссылке, однако для работы этого программного обеспечения необходим полный административный доступ к организации Control Hub. Для новой установки установите новейшую версию программного обеспечения, чтобы использовать новейшие функции и исправления ошибок. После установки программного обеспечения о модернизации сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
3	На сервере VMware или Windows распакуйте и запустите файл .msi в папке настроек, чтобы запустить мастер настройки.
4	Щелкните Далее, установите флажок, чтобы принять лицензионное соглашение, а затем щелкните Далее, пока не отобразится экран типа учетной записи.
5	Выберите тип учетной записи службы, которую необходимо использовать, и выполните установку с помощью учетной записи администратора. Локальная система. Параметр по умолчанию. Этот параметр можно использовать при настройке прокси с помощью Internet Explorer. Учетная запись домена. Используйте этот параметр, если компьютер является частью домена. Для доступа к ресурсам домена соединитель каталогов должен взаимодействовать с сетевыми службами. Можно ввести данные учетной записи и щелкнуть ОК. При вводе имени пользователя используйте формат `{domain}\{user_name}` Для прокси, который интегрируется с AD (NTLMv2 или Kerberos), необходимо использовать параметр учетной записи домена. Учетная запись, используемая для запуска службы соединителя каталогов, должна обладать достаточными правами для передачи прокси и доступа к AD. Во избежание ошибок убедитесь в наличии указанных ниже прав. Сервер является частью домена Учетная запись домена может получить доступ к локальным данным AD и данным аватаров. Учетная запись также должна иметь роль локального администратора, поскольку она должна получить доступ к файлам в разделе C:\Program Files. Для входа в виртуальную машину права учетной записи администратора должны иметь по крайней мере возможность чтения информации о домене.
6	Щелкните Установить. После запуска сетевого теста и при отображении соответствующего запроса введите основные учетные данные прокси-сервера, щелкните ОК, а затем щелкните Готово.

Дальнейшие действия

Вход В Соединитель Каталогов

Перед началом работы

Убедитесь, что у вас есть учетные данные прокси.

В случае базовой аутентификации прокси после первого открытия соединителя необходимо ввести имя пользователя и пароль.
Для прокси-сервера NTLM откройте Internet Explorer, щелкните пиктограмму шестеренки, перейдите к меню Свойства браузера > Подключения > Настройки локальной сети, убедитесь, что информация о прокси-сервере добавлена, а затем щелкните ОК. См. статью Использование веб-прокси Через Браузер.

1	Откройте соединитель и при появлении запроса добавьте `https://idbroker.webex.com` в список доверенных веб-сайтов.
2	При отображении соответствующего запроса войдите с помощью учетных данных аутентификации прокси, затем войдите в Webex с помощью учетной записи администратора и щелкните Далее.
3	Подтвердите организацию и домен. При выборе AD DS установите флажок LDAP по SSL, чтобы в качестве протокола соединения использовать безопасный LDAP (LDAPS), выберите домен, из которого необходимо синхронизировать, и щелкните Подтвердить. Если не установить флажок LDAP через SSL, DirSync продолжит использовать протокол соединения LDAP. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в инфраструктуре. Связь LDAPS зашифрована и защищена. При выборе AD LDS введите узел, домен и порт, а затем щелкните Обновить, чтобы загрузить все разделы приложений. Затем выберите раздел в раскрывающемся списке и щелкните Подтвердить. Дополнительную информацию см. в разделе AD LDS. В файле конфигурации CloudConnectorCommon.dll убедитесь, что настройка ADAuthLevel добавлена к узлу appSetting. Значения могут быть 1, 2 или 3. Подробные сведения о типах аутентификации см. в этой статье от Microsoft. Вот пример настройки со значением 1: `<appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	После отображения экрана Подтвердить организацию щелкните Подтвердить. Если AD DS/AD LDS уже связаны, отобразится экран Подтвердить организацию.
5	Щелкните Подтвердить.
6	Выберите один из них в зависимости от количества доменов Active Directory, которые необходимо связать с соединителем каталогов. Если у вас есть единый домен AD LDS, привяжите его к существующему источнику AD LDS и щелкните Подтвердить. Если у вас есть единый домен AD DS, привяжите его к существующему или новому домену. При выборе Привязка к новому домену щелкните Далее. Поскольку существующим типом источника является AD DS, невозможно выбрать AD LDS для новой привязки. Если у вас несколько доменов, выберите из списка существующий домен или Связать с новым доменом, а затем щелкните Далее. Поскольку у вас несколько доменов, существующим типом источника должен быть AD DS. При выборе Привязка к новому домену и нажатии Далее выбрать AD LDS для новой привязки будет невозможно.

Дальнейшие действия

После входа в систему вам будет предложено выполнить пробную синхронизацию.

Инструментальная панель соединителя каталогов

При первом входе в соединитель каталогов отображается инструментальная панель. Здесь можно просмотреть сводную информацию обо всех действиях по синхронизации, просмотреть статистику облака, выполнить пробный запуск синхронизации, запустить полную или инкрементную синхронизацию и запустить представление event-совещания, чтобы просмотреть информацию об ошибках.

Если время сеанса истекло, войдите снова.

Эти задачи можно легко выполнить с помощью панели инструментов или меню действий.

Таблица 1. Компоненты инструментальной панели
Компонент	Описание
Текущая синхронизация	Отображает информацию о состоянии синхронизации, которая в данный момент выполняется. Если синхронизация не запущена, отображается состояние простоя.
Следующая синхронизация	Отображает следующие запланированные полные и инкрементные синхронизации. Если график не задан, отображается параметр Не запланирован.
Последняя синхронизация	Отображает состояние двух последних выполненных синхронизаций.
Текущее состояние синхронизации	Отображает общее состояние синхронизации.
Соединители	Отображает текущие локальные соединители, доступные в облаке.
Облачная статистика	Отображает общее состояние синхронизации.
График синхронизации	Отображает график синхронизации для инкрементной и полной синхронизации.
Сводная информация о конфигурации	Список настроек, измененных в конфигурации. Например, сводная информация может включать следующее: Все объекты будут синхронизированы Все пользователи будут синхронизированы Пороговое значение, которое удалено, отключено.

Таблица 2. Панель инструментов действий
Действие	Описание
Начать инкрементную синхронизацию	Начать инкрементную синхронизацию вручную Это действие будет отключено при приостановке или отключении синхронизации, если полная синхронизация не была завершена или выполняется.
Пробный запуск синхронизации	Выполните синхронизацию пробного запуска.
Запустить средство просмотра event-совещаний	Запустите средство просмотра event-совещаний Microsoft.
Обновить	Обновить инструментальную панель соединителя каталогов Cisco

Таблица 3. Меню действий
Действие	Описание
Синхронизировать сейчас	Мгновенно начните полную синхронизацию.
Режим синхронизации	Выберите режим добавочной синхронизации или режим полной синхронизации.
Сбросить секретный код соединителя	Создайте разговор между соединителем каталогов Cisco и службой соединителя. При выборе этого действия секретный код в облаке будет сброшен, а затем сохранен локально.
Пробный запуск	Выполните тест процесса синхронизации. Перед полной синхронизацией необходимо выполнить пробный запуск.
Устранение неполадок	Включение и выключение функции устранения неполадок.
Обновить	Обновите главный экран соединителя каталогов Cisco.
Выход	Закройте соединитель каталогов Cisco.

Таблица 4. Сочетания клавиш
Комбинация клавиш	Действие
Alt +A	Показать меню Действия
`Alt +A + S`	Синхронизировать сейчас
`Alt +A + R`	Сбросить секретный код соединителя
`Alt +A + D`	Пробный запуск
`Alt +A + S + I`	Инкрементная синхронизация
`Alt +A + S + F`	Полная синхронизация
`Alt + H`	Показать меню Справка
`Alt + H + H`	Справка
`Alt + H + A`	О программе
`Alt + H + F`	вопросы и ответы

Настройка автоматической модернизации

1	В соединителе каталогов перейдите к меню Конфигурация > Общие и установите флажок Автоматическая модернизация до новой версии соединителя каталогов Cisco.
2	Чтобы сохранить изменения, щелкните Применить.

Новые версии соединителя устанавливаются автоматически, когда они становятся доступными.

Выберите объекты Active Directory для синхронизации

Группы для автоматического назначения лицензий

(&(cn=Пример)(objectclass=Group))*

Экран выбора объекта в соединителе каталогов

Группы для развертываний безопасности данных гибридного типа

Перед началом работы

1	В соединителе каталогов перейдите к меню Конфигурация и щелкните Выбор объекта.
2	В разделе Тип объекта установите флажок Пользователи и рассмотрите возможность ограничения количества контейнеров, доступных для поиска для пользователей. Например, чтобы синхронизировать только пользователей в определенной группе, необходимо ввести фильтр LDAP в поле фильтров LDAP Пользователи. Чтобы синхронизировать пользователей из группы Example-manager, используйте фильтр, подобный этому: `(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))`
3	Установите флажок Идентифицировать комнату, чтобы отделить данные комнаты от данных пользователей. Щелкните Настройка, чтобы настроить дополнительные атрибуты для идентификации данных пользователей в качестве данных комнаты. Используйте эту настройку, чтобы синхронизировать информацию о локальной комнате из Active Directory с облаком Webex. После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным SIP-адресом отображаются в качестве записей на зарегистрированных в облаке устройствах комнаты. Дополнительную информацию см. в статье Синхронизация информации о локальной комнате с облаком Webex.
4	Установите флажок Группы, если необходимо синхронизировать группы пользователей Active Directory с облаком. Не добавляйте фильтр синхронизации пользователей LDAP в поле «Группы». Для синхронизации данных групп с облаком следует использовать только поле «Группы». По умолчанию группы не синхронизируются для новых клиентов. Необходимо включить синхронизацию группы. Также необходимо синхронизировать группы безопасности.
5	Чтобы синхронизировать контактную информацию пользователей с облаком, установите флажок Контакты. Соединитель каталогов управляет только контактами, синхронизированными с помощью соединителя. Если в Control Hub уже есть контакты, эти контакты не будут удалены. Если контакты удалены из области синхронизации, контактная информация пользователей также будет удалена в Control Hub.
6	Настройте фильтры LDAP. Можно добавить расширенные фильтры, предоставив действительный фильтр LDAP. Дополнительную информацию о настройке фильтров LDAP см. в этой статье.
7	Укажите локальные базовые абонентские номера для синхронизации, щелкнув Выбрать, чтобы просмотреть структуру дерева Active Directory. Здесь можно выбрать или отменить выбор контейнеров для поиска.
8	Убедитесь, что объекты, которые необходимо добавить для этой конфигурации, и щелкните Выбрать. Можно выбрать отдельные или родительские контейнеры для синхронизации. Выберите родительский контейнер, чтобы включить все дочерние контейнеры. Если выбран дочерний контейнер, в родительском контейнере отображается серая галочка, указывающая на то, что дочерний элемент установлен. Затем можно щелкнуть Выбрать, чтобы принять выбранные контейнеры Active Directory. Если в вашей организации все пользователи и группы будут помещены в контейнер "Пользователи", вам не придется искать другие контейнеры. Если ваша организация разделена на единицы организации, выберите OU.
9	Щелкните Применить. Выберите параметр. Применить изменения конфигурации Пробный запуск Отмена Информацию о пробных запусках см. в статье Синхронизация пробного запуска для пользователей Active Directory. Для синхронизации групп необходимо выполнить полную синхронизацию. Полная синхронизация пользователей Active Directory в облако.

Сопоставить атрибуты пользователя

Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid, уникальный идентификатор каждой учетной записи пользователя в облачной службе удостоверений.

1	В соединителе каталогов щелкните Конфигурация и выберите Сопоставление атрибутов пользователя. На этой странице показаны имена атрибутов для Active Directory (слева) и облака Webex (справа). Все обязательные атрибуты отмечены красной звездочкой.
2	Прокрутите вниз до конца поля Имена атрибутов Active Directory и выберите один из этих атрибутов Active Directory для сопоставления с атрибутом облака UID: mail (Почта). Используется в большинстве развертываний для формата электронной почты. userPrincipalName — альтернативный вариант, если атрибут почты используется в других целях в Active Directory. Этот атрибут должен быть в формате электронной почты. Вы можете сопоставить любые другие атрибуты Active Directory с UID, однако рекомендуется использовать mail или userPrincipalName, как описано в руководстве выше. В некоторых случаях для входа используется параметр userPrincipalName, но адрес электронной почты пользователя используется для управления его календарем. Необходимо убедиться, что адрес электронной почты для управления календарем сопоставлен с полем основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. Чтобы узнать, какие атрибуты в Active Directory соответствуют в облаке, см. статью Сопоставление атрибутов Active Directory в соединителе каталогов. Чтобы синхронизация работала, необходимо убедиться, что выбранный атрибут Active Directory указан в формате электронной почты. Если один из рекомендованных атрибутов не выбран, соединитель каталогов отобразит всплывающее окно с напоминанием.
3	Если предопределенные атрибуты Active Directory не работают в вашем развертывании, щелкните раскрывающийся список атрибутов, прокрутите страницу вниз и выберите Настроить атрибут, чтобы открыть окно, с помощью которого можно определить выражение атрибута. Для получения дополнительной информации об выражениях и просмотра примеров их работы щелкните Справка. Дополнительную информацию также см. в разделе Выражения для настраиваемых атрибутов. В этом примере давайте составим атрибуты Active Directory `givenName` и `Sn` с атрибутом облака `displayName`: Определите выражение атрибута как givenName + "" + Sn (кавычки являются дополнительным пространством), а затем укажите адрес электронной почты существующего пользователя для проверки. Щелкните Проверить и проверьте, соответствует ли результат ожидаемым. Успешный результат выглядит следующим образом: Если результаты совпадают с ожидаемыми, щелкните ОК, чтобы сохранить новый настраиваемый атрибут. Позже при необходимости изменить displayName можно ввести новое выражение атрибута Соединитель каталогов проверяет значение атрибута UID в службе удостоверений и получает 3 доступных пользователя в соответствии с текущими параметрами фильтра пользователя. Если все эти 3 пользователя имеют действительный формат электронной почты, в соединителе каталогов Cisco отображается следующее сообщение: Если атрибут не удается проверить, будет отображено следующее предупреждение. Для проверки и исправления данных пользователя можно будет вернуться в Active Directory.
4	(Необязательно) Выберите сопоставления для мобильного и telephoneNumber, если необходимо, чтобы номера мобильных и рабочих телефонов отображались, например, в карточке контакта пользователя в приложении Webex. Данные номера телефона отображаются в приложении Webex при наведении указателя мыши на изображение профиля другого пользователя. Дополнительную информацию о вызовах с помощью карточки контакта пользователя см. в руководстве по развертыванию вызовов в Webex (Unified CM) (администраторы).
5	Выберите дополнительные сопоставления, чтобы дополнительные данные отображались в карточке контакта. `номер отдела` `отображаемое имя` `менеджер` `заголовок` После сопоставления атрибутов информация отображается при наведении указателя мыши на изображение профиля другого пользователя. Дополнительную информацию о карточке контакта см. в статье Проверка пользователя, с которым вы связываетесь. После синхронизации этих атрибутов с каждой учетной записью пользователя можно также включить People Insights в Control Hub. Эта функция позволяет пользователям приложения Webex предоставлять совместный доступ к дополнительной информации в профилях и узнать больше друг о друге. Дополнительную информацию о функции и способах ее включения см. в статье Профессиональные профили для Webex, Jabber, Webex Meetings и Webex Events (новая версия) в Control Hub
6	После выбора щелкните Применить.

Атрибуты Active Directory и облака

В этой таблице сравнивается сопоставление имен атрибутов Active Directory и имен атрибутов облака Cisco. Эти значения и сопоставления являются настройками по умолчанию в соединителе каталогов. В раскрывающемся списке Active Directory можно выбрать различные атрибуты и определить, какой локальный атрибут будет синхронизирован с каким облачным атрибутом.

Имена атрибутов Active Directory	Имена атрибутов облака Webex	Примечания
—	зданиеName	—
с	с	Этот атрибут определяет сокращенную страну пользователя.
номер отдела	номер отдела	Этот атрибут используется для номера отдела пользователя, который отображается в карточке контакта и профессиональных профилях.
отображаемое имя	отображаемое имя	Этот атрибут используется для отображаемого имени учетной записи пользователя, которое отображается в Control Hub, карточке контакта и профессиональных профилях.
Управление учетной записью пользователя	ds-pwp-account-disabled	Этот атрибут используется для синхронизации пользователей. Убедитесь, что атрибут userAccountControl сопоставлен с ds-pwp-account-disabled или синхронизация пользователей не будет выполнена надлежащим образом.
Номер сотрудника	Номер сотрудника	—
факсимильный номер телефона	факсимильный номер телефона	—
—	идентификатор jabberID	Этот облачный атрибут относится к адресам обмена мгновенными сообщениями (тип XMPP), которые используются в Jabber. Это значение не совпадает с sipAddresses.
л	л	Этот атрибут определяет город пользователя.
—	региональные параметры	—
менеджер	менеджер	Этот атрибут используется для имени менеджера пользователя, которое отображается в карточке контакта и профессиональных профилях.
мобильный	мобильный	Этот атрибут используется в качестве номера мобильного телефона, который отображается для вызова пользователя из карточки контакта.
о	о	Этот атрибут указывает название компании или организации и отображается в карточке контакта.
или	или	Этот атрибут указывает имя организационного модуля.
physicalDeliveryOfficeName	physicalDeliveryOfficeName	Этот атрибут определяет местоположение офиса пользователя.
почтовый индекс	почтовый индекс	Этот атрибут определяет почтовый индекс или почтовый индекс пользователя для физической доставки почты.
предпочтительный язык	предпочтительный язык	Этот атрибут задает предпочтительный язык пользователя и поддерживаются следующие форматы. xx_YY или xx-YY. Вот несколько примеров. en_US, en_GB, fr-CA. При использовании неподдерживаемого языка или недопустимого формата предпочтительный язык пользователей будет изменен на язык, установленный для организации.
MSRTCSIP-PrimaryUserAddress ipPhone	SipAddresses;type=предприятие	Этот атрибут используется для синхронизации информации о локальной комнате из Active Directory с облаком Cisco Webex.
sn	sn	Этот атрибут используется для фамилии учетной записи пользователя, которая отображается в Control Hub, карточке контакта и профессиональных профилях.
ул	ул	Этот атрибут указывает штат или область пользователя.
streetAddress	улица	Этот атрибут указывает почтовый адрес пользователя для доставки физической почты.
номер телефона	номер телефона	Этот атрибут определяет основной (рабочий) номер телефона пользователя, который используется для вызова пользователя из карточки контакта.
—	часовой пояс	Этот облачный атрибут определяет часовой пояс пользователя.
заголовок	заголовок	Этот атрибут определяет должность пользователя, которая отображается в карточке контакта и профессиональных профилях.
тип	предприятие	—
почта userPrincipalName	идентификатор	Обязательное сопоставление атрибутов. Для каждой учетной записи пользователя значение Active Directory сопоставляется с уникальным UID в облаке. В некоторых случаях для входа используется параметр userPrincipalName, но адрес электронной почты пользователя используется для управления его календарем. Необходимо убедиться, что адрес электронной почты для управления календарем сопоставлен с полем основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. После этого пользователь сможет войти в систему с помощью любого из этих адресов электронной почты, если установлено правильное сопоставление атрибутов SAML. Информацию о том, как можно сопоставить альтернативный адрес электронной почты, см. в разделе Пример сопоставления атрибутов ниже.
userPrincipalName почта <custom attribute>	электронные сообщения; рабочий тип	Это сопоставление необязательно. Используйте его, если необходимо использовать альтернативные адреса электронной почты. Это адрес электронной почты, который используется для аутентификации; он не используется для управления вашим календарем. Адрес электронной почты, который вы сопоставляете из AD, должен быть из подтвержденного домена в вашей организации. Он должен быть уникальным и не назначен другому пользователю.
<Новый атрибут для объекта пользователя Azure>	внешний идентификатор	Создайте новый атрибут Active Directory для удержания идентификатора объекта пользователя Azure, чтобы он не сталкивался с существующим атрибутом. Затем этот атрибут сопоставляется с атрибутом externalId. Благодаря этому при создании групп в Microsoft 365 пользователи Webex автоматически создают команды в Webex.

Сопоставление альтернативных адресов электронной почты

Выражения для настраиваемых атрибутов

Таблица 5. Выражения для настраиваемых атрибутов
Оператор	Описание и пример
%	Удаляет все символы от начала строки до позиции символа или аргумента строки, если они совпадают. Пример выражения `"abc@example.com" % "@"` Результат `пример.com`
-	Отрезок задней строки ввода от конца указанной строки. Пример выражения `"abc@example.com" – "@"` Результат `абс`
+	Объединяет строки ввода или выражения. Пример выражения `"abc" + "" + "def"` Результат `деф ABC`
\|	Вычисляет разделенные выражения по пустой строке и выбирает первый непустой результат. Пример выражения `"" \| "abc"` Результат `абс`

Синхронизация аватаров каталогов из атрибута Active Directory с облаком

1	В соединителе каталогов перейдите к меню Конфигурация, щелкните Аватар и установите флажок Включить.
2	Для параметра Получить аватар из выберите Атрибут AD, а затем Атрибут аватара, содержащий необработанные данные аватара, которые необходимо синхронизировать с облаком.
3	Чтобы проверить правильность доступа к аватару, введите адрес электронной почты пользователя и щелкните Получить аватар пользователя. Аватар отображается справа.
4	Чтобы сохранить изменения, после проверки правильности отображения аватара щелкните Применить.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей в приложении Webex. После включения этой функции в соединителе каталогов пользователям не разрешается настраивать собственный аватар.
Аватары пользователя синхронизируются с приложением Webex и всеми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Синхронизация аватаров каталогов с сервера ресурсов с облаком

Можно синхронизировать аватары каталога пользователей с облаком, чтобы каждый аватар отображался при входе в приложение Webex. Используйте эту процедуру для синхронизации аватаров с сервера ресурсов.

Перед началом работы

В этой процедуре приведены примеры шаблона URI и значения переменной. Необходимо использовать фактические URL-адреса, по которым расположены аватары каталога.
Шаблон URI аватара и сервер, на котором находятся аватары, должны быть доступны из приложения соединителя каталогов. Соединителю необходим доступ по HTTP или HTTPS к изображениям, однако изображения не должны быть общедоступными в Интернете.
Синхронизация данных аватара отделена от профилей пользователей Active Directory. При запуске прокси необходимо обеспечить доступ к данным аватара с помощью аутентификации NTLM или базовой аутентификации.

1	В соединителе каталогов перейдите к меню Конфигурация, щелкните Аватар и установите флажок Включить.
2	Для параметра Получить аватар от выберите Сервер ресурсов и введите шаблон URI аватара. Например, *`http://www.example.com/dir/photo/zoom/{mail: jpg.?(?=@.)}.`* Давайте рассмотрим каждую часть шаблона URI аватара и что они означают: http://www.example.com/dir/photo/zoom/ – путь к местоположению всех фотографий, которые будут синхронизированы. Это должен быть URL-адрес, к которому должна быть доступна служба соединителя каталогов на вашем сервере. mail: указывает соединителю каталогов на получение значения атрибута mail из Active Directory. .?(?=@.). Синтаксис regex, который выполняет следующие функции: *`.: любой символ, повторяющий ноль или более раз.` `? Сообщает, что предыдущая переменная соответствует как можно большему количеству символов.` `(?= ... ): сопоставление группы после основного выражения без включения ее в результат. Соединитель каталогов выполняет поиск соответствия и не включает его в выходные данные.` `@.: символ at, за которым следует любой символ, повторяющийся ноль или более раз.`* `.jpg: расширение файла для аватаров пользователей. Ознакомьтесь с поддерживаемыми типами файлов в этом документе и измените расширение соответствующим образом.`
3	(Необязательно) Если на сервере ресурсов требуются учетные данные, установите флажок Задать учетные данные пользователя для аватара, затем выберите Использовать текущего пользователя для входа в службу или Использовать этого пользователя и введите пароль.
4	Введите значение переменной. Например: `abcd@example.com`.
5	Щелкните Тест, чтобы убедиться в правильности работы шаблона URI аватара. В этом примере, если значение почты для одной записи AD — `abcd@example.com`, а изображения JPG синхронизированы, URI последнего аватара — `http://www.example.com/dir/photo/zoom/abcd.jpg`
6	После того как информация URI будет подтверждена и будет отображена верно, щелкните Применить. Подробную информацию об использовании регулярных выражений см. в статье Краткая справка по языку регулярных выражений Microsoft.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей в приложении Webex. После включения этой функции в соединителе каталогов пользователям не разрешается настраивать собственный аватар.
Аватары пользователя синхронизируются с приложением Webex и всеми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Синхронизация информации о локальной комнате с облаком Webex

1	В соединителе каталогов перейдите к меню Синхронизация, щелкните рядом с синхронизированным доменом, щелкните Конфигурация и выберите Выбор объекта.
2	Установите флажок параметра Синхронизировать информацию о комнате с облаком, чтобы отделить данные комнаты от данных пользователя во время синхронизации. Если эта настройка отключена, данные комнаты обрабатываются так же, как синхронизированные данные пользователей.
3	Перейдите к меню Сопоставление атрибутов и измените сопоставление атрибутов для облачного атрибута sipAddresses;type=enterprise. Для использования проверки значения значение SIP-адреса должно быть Pattern.compile("^([^@])(.)@(.)$") Выберите MSRTCSIP-PrimaryUserAddress, если он доступен. Если указанный выше атрибут отсутствует в схеме Active Directory, используйте другое поле, например ipPhone.
4	Создайте почтовый ящик ресурса комнаты в Exchange. Будет добавлен атрибут msExchResourceMetaData;ResourceType:Room, который затем используется соединителем для идентификации комнат.
5	В разделе "Пользователи и компьютеры Active Directory" перейдите к свойствам комнаты и измените их. Добавьте полностью квалифицированный URI SIP с префиксом sip:
6	Выполните пробную синхронизацию, а затем полную синхронизацию на соединителе. Новые объекты комнаты перечислены в списке Добавленные объекты, а совпадающие объекты комнаты отображаются в разделе Совпадающие объекты в отчете пробного запуска. Все объекты комнат, отмеченные для удаления, находятся в разделе Удаленные комнаты. В результатах пробного запуска отображаются все совпадающие ресурсы комнаты. Эта настройка отделяет данные комнаты Active Directory (включая атрибут комнаты) от данных пользователя. По завершении синхронизации в облачной статистике на инструментальной панели соединителя отображаются данные комнаты, синхронизированные с облаком.

Дальнейшие действия

В Control Hub можно автоматически импортировать комнаты из каталога и создавать рабочие пространства.

Отправка отчетов по электронной почте о результатах синхронизации каталога

1	В соединителе каталогов щелкните Конфигурация и выберите Уведомление.
2	В соединителе каталогов щелкните Настройки и рядом с параметром Получатель электронной почты включите параметр Включить синхронизацию отчета.
3	Чтобы переопределить поведение при уведомлении по умолчанию и добавить одного или нескольких получателей электронных сообщений, установите флажок Включить уведомление.
4	Щелкните Добавить и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом будет отображено сообщение с предложением исправить ошибку, прежде чем вы сможете сохранить и применить изменения.
5	Щелкните Добавить адрес электронной почты и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом будет отображено сообщение с предложением исправить ошибку, прежде чем вы сможете сохранить и применить изменения.
6	Если необходимо изменить введенные адреса электронной почты, дважды щелкните запись электронной почты в левом столбце и внесите необходимые изменения.
7	После добавления всех действительных адресов электронной почты щелкните Применить.
8	После добавления всех действительных адресов электронной почты щелкните Сохранить.

Дальнейшие действия

Подготовка пользователей из Active Directory в Control Hub

1	Выполнение пробной синхронизации пользователей Active Directory Выполните пробный запуск для сравнения объектов в локальном каталоге Active Directory и объектов в облаке Webex. Пробный запуск позволяет просмотреть, какие объекты будут добавлены, изменены или удалены, прежде чем будет запущена полная или инкрементная синхронизация и произведены изменения в облаке.
2	Выполнение полной синхронизации пользователей Active Directory в облако При выполнении полной синхронизации служба соединителя отправляет все отфильтрованные объекты из вашего Active Directory (AD) в облако. Затем служба соединителя обновит хранилище удостоверений с учетом ваших записей AD. Если создан шаблон автоматического назначения лицензий, его можно назначить только синхронизированным пользователям.
3	Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub После завершения полной синхронизации пользователей с помощью соединителя каталогов в Control Hub можно назначить лицензии службы Webex различными способами. Рекомендуется настроить шаблон автоматического назначения лицензий перед его использованием для новых пользователей приложения Webex, синхронизированных из Active Directory. Отдельные изменения также можно внести после этого начального этапа.

Выполнение пробной синхронизации пользователей Active Directory

Перед началом работы

1	Выберите один из вариантов. После первого входа в систему щелкните Да в окне подсказки, чтобы выполнить пробный запуск. Если вы пропустите напоминание о пробном запуске, в любой момент в соединителе каталогов щелкните Инструментальная панель, выберите Пробный запуск синхронизации, а затем щелкните ОК, чтобы начать синхронизацию пробного запуска. По завершении пробного запуска будет отображен один из приведенных ниже результатов. *Обнаружены несовпадающие объекты в соединителе каталогов* Сводная информация о результатах пробного запуска отчетов и несовпадающих объектах в соединителе каталогов Сводная информация содержит информацию о сопоставлении объектов: Сопоставленные объекты. Пользователь, который находится в общих параметрах идентификации Webex и существует в домене Active Directory, например, если пользователь @cisco.com был синхронизирован с Webex и отображен в Control Hub, а такой же пользователь (someuser@cisco.com) существует в Active Directory. Это означает, что пользователь сопоставляется. Несовпадающие объекты. Пользователь, работающий в Webex, независимо от того, как он был добавлен в Common Identity, но он не существует в Active Directory. Он называется несовпадающим объектом. Например, если адрес someuser@cisco.com был синхронизирован с Webex и отображен в Control Hub, но тот же пользователь (someuser@cisco.com) не управляется Active Directory, в отчете отображается несоответствие пользователя. Пробный запуск идентифицирует пользователей по сравнению с пользователями домена. Приложение может идентифицировать пользователей, принадлежащих к текущему домену. На следующем шаге необходимо решить, следует ли удалить объекты или сохранить их. Несоответствующие объекты идентифицируются как уже существующие в облаке Webex, но не существующие в локальном каталоге Active Directory.
2	Просмотрите результаты пробного запуска и выберите параметр в зависимости от того, используете ли вы один или несколько доменов. Единый домен. Определите, следует ли сохранить несопоставленных пользователей. Если необходимо сохранить их, выберите Нет, сохранить объекты. Если нет, выберите Да, удалить объекты. После выполнения этих действий и запуска вручную полной синхронизации для обеспечения точного соответствия локального местоположения и облака соединитель каталогов автоматически включит запланированные задачи автоматической синхронизации. Несколько доменов. Для организации с доменами A и B сначала выполните пробный запуск домена A. Если необходимо сохранить несовпадающих пользователей, выберите Нет, сохранить объекты. (Эти несовпадающие пользователи могут быть участниками домена B.) Если необходимо удалить, выберите Да, удалить объекты. Если пользователи не будут отображены, сначала запустите полную синхронизацию для домена A, а затем выполните пробный запуск для домена B. Если пользователи не совпадают, добавьте этих пользователей в Active Directory, а затем выполните полную синхронизацию для домена B. При точном совпадении локального местоположения и облака соединитель каталогов автоматически включает запланированные задачи автоматической синхронизации.
3	В запросе Подтвердить пробный запуск щелкните Да, чтобы повторить синхронизацию пробного запуска, а затем просмотреть инструментальную панель и просмотреть результаты. Все учетные записи, которые были успешно синхронизированы в пробном запуске, отображаются в разделе Сопоставленные объекты. Если у пользователя в облаке нет соответствующего пользователя с тем же адресом электронной почты в Active Directory, запись будет отображена в разделе Удаленные пользователи. Чтобы избежать этого флажка удаления, можно добавить пользователя в Active Directory с тем же адресом электронной почты. Чтобы просмотреть сведения о синхронизированных элементах, щелкните соответствующую вкладку для определенных элементов или Сопоставленные объекты. Чтобы сохранить сводную информацию, щелкните Сохранить результаты в файл.
4	Если ожидаются результаты, перейдите к меню Действия > Режим синхронизации > Включить синхронизацию, а затем щелкните Включить сейчас, чтобы выполнить синхронизацию вручную и перевести в ручной режим на данный момент. После синхронизации последнего домена Active Directory в развертывании с несколькими доменами необходимо включить автоматический режим для соединителя каталогов. Автоматический режим можно включить, только когда объекты полностью сопоставляются между облаком Webex и всеми локальными Active Directory.

Дальнейшие действия

Для сохранения любых несовпадающих объектов пользователей необходимо добавить их в Active Directory, чтобы обеспечить точное соответствие между локальной системой и облаком.
Выберите тип синхронизации:
- Выполните полную синхронизацию пользователей Active Directory в облако при первой синхронизации новых пользователей с облаком. Это можно сделать в меню Действия > Синхронизировать сейчас > Полный, после чего будут синхронизированы пользователи из текущего домена.
- Настройте расписание соединителя и Запустить инкрементную синхронизацию после запуска полной синхронизации и при необходимости применить изменения после начальной синхронизации. Этот тип синхронизации рекомендуется учитывать небольшие изменения, внесенные в источник пользователя Active Directory.
  
  По умолчанию инкрементная синхронизация выполняется каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация.
Если у вас несколько доменов, повторите эти действия в любом другом установленном соединителе каталогов.

Что следует учитывать

Если соответствующие пользователи помечены как удаленные и вы не уверены, как продолжить, см. информацию об устранении неполадок и обращение в службу поддержки в статье Устранение неполадок и исправления соединителя каталогов.

Удаленные пользователи хранятся в облачной службе удостоверений в течение 7 дней до окончательного удаления.

Выполнение полной синхронизации пользователей Active Directory в облако

Перед началом работы

Чтобы учетные записи пользователей приложения Webex оставались в активном состоянии после полной синхронизации и перед первым входом пользователей в систему, необходимо выполнить следующие действия для обхода проверки адреса электронной почты.
- Интегрируйте систему единого входа в свою организацию Webex. См. Единый вход со службами Cisco Webex и поставщиком удостоверений вашей организации для получения дополнительной информации.
- Используйте Control Hub для проверки и при необходимости заявления доменов, содержащихся в адресах электронной почты. См. Добавление, проверка и заявление доменов.
- Блокировать автоматические электронные приглашения, чтобы новые пользователи не получали автоматические электронные приглашения в приложение Webex. (Можно выполнить собственную рассылку по электронной почте.)
  
  Состояние активированных пользователей, которые не вошли в систему, отображается в Control Hub с состоянием Проверено. После входа в систему они отображаются как Активные. Дополнительную информацию о состояниях пользователей см. в статье Действия и состояния пользователей в Cisco Webex Control Hub.
После включения синхронизации соединитель каталогов сначала попросит выполнить пробный запуск. Для выявления возможных ошибок рекомендуется выполнить пробный запуск до полной синхронизации.
Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.

Если шаблоны автоматического назначения лицензий не используются, новые синхронизированные пользователи автоматически получат бесплатные лицензии. Они смогут использовать те же бесплатные функции, что и у бесплатных учетных записей.

1	Выберите один из вариантов. Если после первого входа пробный запуск завершен и он выглядит правильным для всех доменов, щелкните Включить сейчас, чтобы разрешить автоматическую синхронизацию. В соединителе каталогов перейдите к инструментальной панели, щелкните Действия, выберите Режим синхронизации > Включить синхронизацию, а затем щелкните Синхронизировать сейчас > Полный, чтобы начать синхронизацию.
2	В соединителе каталогов перейдите к меню Синхронизация, щелкните рядом с синхронизированным доменом, щелкните Конфигурация и выберите Полная синхронизация.
3	Подтвердите начало синхронизации. Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов после выполнения синхронизации. Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac. Во время синхронизации на инструментальной панели отображается ход выполнения синхронизации. Это может включать тип синхронизации, время ее начала и этап, на котором выполняется синхронизация. После синхронизации разделы Последняя синхронизация и Статистика облака будут обновлены с учетом новой информации. Данные пользователя синхронизированы с облаком. Если во время синхронизации возникают ошибки, индикатор состояния становится красным.
4	Чтобы обновить состояние синхронизации, щелкните Обновить. (Синхронизированные элементы отображаются в разделе Облачная статистика.)
5	Чтобы просмотреть журналы ошибок, выберите Запустить средство просмотра event-совещаний на панели инструментов Действия.
6	Чтобы настроить график синхронизации для текущей инкрементной синхронизации с облаком, см. статьи Установка графика соединителя и Запуск инкрементной синхронизации.

После завершения полной синхронизации состояние синхронизации каталога обновляется из Отключенов В рабочем состояниина странице Настройкив Control Hub.
При сопоставлении всех данных между локальной системой и облаком соединитель каталогов переключается с ручного режима на режим автоматической синхронизации.
Если вы не интегрируете систему единого входа, подтвердите домены и при необходимости заявите домены для синхронизированных учетных записей электронной почты и не заблокируете автоматическую рассылку по электронной почте, учетные записи пользователей приложения Webex будут оставаться в состоянии "Не проверен" до тех пор, пока пользователи не войдут в приложение Webex впервые для подтверждения своих учетных записей. Инструкции по синхронизации учетных записей в качестве Активных пользователей см. в разделе "Перед началом работы".
Если у вас несколько доменов, выполните это действие в любом другом установленном соединителе каталогов. После синхронизации пользователи всех добавленных доменов будут отображены в Control Hub.
Если система единого входа интегрирована с Webex и заблокированными электронными уведомлениями, электронные приглашения не будут отправляться только синхронизированным пользователям.
После включения соединителя каталогов вручную добавить пользователей в Control Hub невозможно. После включения управление пользователями осуществляется с помощью соединителя каталогов Cisco, а Active Directory является единственным источником достоверных данных.
Все синхронизированные группы отображаются в Control Hub. Можно назначить шаблон лицензии, чтобы пользователям в этой группе назначались лицензии.

Дальнейшие действия

При удалении пользователя из Active Directory он будет программно удален после следующей синхронизации. Пользователь становится неактивным, однако профиль удостоверения в облаке сохраняется в течение семи дней (для восстановления после случайного удаления).

Если в Active Directory установлен флажок Учетная запись отключена, пользователь становится неактивным после следующей синхронизации. Профиль удостоверения облака не будет удален по истечении семи дней, если вы хотите снова включить пользователя.
Обратите внимание на эти исключения на инкрементную синхронизацию (вместо этого выполните все действия по синхронизации выше).
- В случае обновления аватара, но другие атрибуты не будут изменены, при инкрементной синхронизации аватар пользователя не будет обновлен в облаке.
- Изменения конфигурации сопоставления атрибутов, базового абонентского номера, фильтра и аватара требуют полной синхронизации.

Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.
Выполните пробную синхронизацию пользователей Active Directory.
После подтверждения результатов пробного запуска выполните полную синхронизацию пользователей Active Directory.

Выберите параметр.

Дальнейшие действия

Если электронные сообщения не блокируются, каждому пользователю будет отправлено электронное сообщение с приглашением присоединиться и скачать Webex.
Если вы выбрали одни и те же службы Webex для всех пользователей, после этого можно изменить назначенную лицензию индивидуально или массово.

Связанная информация

Известные проблемы с соединителем каталогов

В версиях Windows Server, предшествующих 2012 R2, возникает проблема с файлами cookie, которая влияет на соединитель каталогов. Эта проблема исправлена в версиях 2012 R2 и 2016.
Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов с момента выполнения синхронизации.

Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac.
Если пользователь использует приложение Webex на настольном или мобильном устройстве для поиска и вызова комнаты, в которой есть только синхронизированный URI SIP, вызов поступает в данный момент бессрочно.

Управление пользователями приложения Webex

Запустить инкрементную синхронизацию

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.
Обратите внимание на следующие исключения, которые не поддерживают инкрементную синхронизацию (вместо этого выполните полную синхронизацию пользователей Active Directory в облако ).
- В случае обновления аватара, но другие атрибуты не будут изменены, при инкрементной синхронизации аватар пользователя не будет обновлен в облаке.
- Для новых изменений конфигурации сопоставления атрибутов, базового абонентского номера, фильтра и настройки аватара инкрементная синхронизация не будет работать, и для них требуется полная синхронизация.

1	В соединителе каталогов щелкните Инструментальная панель. После включения синхронизации соединитель каталогов сначала попросит выполнить пробный запуск.
2	В меню Действия щелкните Режим синхронизации > Включить синхронизацию , если эта функция еще не включена. По умолчанию инкрементная синхронизация выполняется каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация. Когда установлен новый добавочный интервал времени, программа проверяет изменения на основе последней метки времени.
3	В меню Действия щелкните Синхронизировать сейчас > Инкрементный. Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов с момента выполнения синхронизации. Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac. Во время синхронизации на инструментальной панели отображается ход выполнения синхронизации. Это может включать тип синхронизации, время ее начала и этап, на котором выполняется синхронизация. После синхронизации разделы Последняя синхронизация и Статистика облака будут обновлены с учетом новой информации. Если во время синхронизации возникают ошибки, индикатор состояния становится красным.
4	Чтобы просмотреть журналы ошибок, щелкните Запустить средство просмотра event-совещаний на панели инструментов Действия .

Дальнейшие действия

Восстановление случайно удаленных пользователей

1	Войдите в Control Hub.
2	Перейдите в раздел Пользователи и убедитесь, что конкретная учетная запись пользователя находится в неактивном состоянии или скрыта. Дополнительную информацию см. в статье Действия и состояния пользователей в Control Hub.
3	Если пользователи были удалены в Control Hub или вы заметили, что пользователи находятся в неактивном состоянии, перейдите в Active Directory, добавьте отсутствующие учетные записи пользователей и выполните пробную синхронизацию в соединителе каталогов. Цель соединителя каталогов заключается в том, чтобы обеспечить точное соответствие информации о пользователях в Active Directory и в облаке.
4	Выполните полную синхронизацию, чтобы повторно синхронизировать временно удаленные учетные записи пользователей с Control Hub. Пользователи восстановлены и перейдут к исходному состоянию, включая состояние их учетной записи и назначения служб.

Дальнейшие действия

Удаление пользователей без возможности восстановления после мягкого удаления

1	По завершении пробного запуска выберите Мягко удаленные объекты.
2	Установите флажок рядом с пользователями, которых необходимо удалить.
3	Нажмите Готово.

Дальнейшие действия

При следующей синхронизации выбранные пользователи будут удалены без возможности восстановления.

Изменение адреса электронной почты приложения Webex

Чтобы изменить адреса электронной почты пользователей без изменения домена, выполните приведенные ниже действия.
1. Откройте учетную запись пользователя (например, user1@example.com) в Active Directory и измените адрес электронной почты (например, user2@example.com).
2. Возобновить синхронизацию в соединителе каталогов.
  
  После следующей синхронизации изменения отобразятся в списке пользователей в Control Hub, а для пользователей в приложении Webex после обновления кэша.
  
  При использовании этого метода потери данных или пространств не происходит. Уникальный идентификатор пользователя устанавливается в облаке после первой синхронизации. Все последующие синхронизации основаны на этом идентификаторе.
В развертывании с несколькими доменами с соединителем каталогов для изменения адресов электронной почты пользователей при изменении домена (рассмотрите example1.com старый домен и example2.com новый домен):
1. Для старой учетной записи пользователя (user1@example1.com) обратите внимание на атрибут Active Directory, который сопоставляется с атрибутом облака UID . Для новой учетной записи необходимо использовать то же значение Active Directory. В этом примере в качестве локального атрибута будет использоваться user1@example1.com для сопоставления с uid в облаке.
2. Приостановите синхронизацию в соединителе каталогов, например1.com и example2.com.
3. Создайте новую учетную запись пользователя на веб-сайте example2.com и используйте тот же атрибут, указанный выше. (Например, user1@example1.com).
4. В соединителе каталогов возобновите синхронизацию, например2.com
  
  Прежде чем продолжить, проверьте, синхронизируется ли учетная запись пользователя1@example2.com с Control Hub. Рекомендуется порекомендовать пользователю проверить изменение адреса электронной почты в приложении Webex и сохранить все данные (пространства, сообщения, совещания, файлы и т. д.).
  
  Этот метод не приводит к потере данных или пространств, однако в новой учетной записи пользователя необходимо убедиться в том, что атрибут Active Directory, который сопоставляется с атрибутом UID облака, сохраняется из старой учетной записи пользователя. При изменении значения Active Directory в новой учетной записи не сохраняются данные старой учетной записи.
5. После подтверждения изменения адреса электронной почты и сохранения данных удалите старую учетную запись пользователя на example1.com, а затем используйте соединитель каталогов для возобновления синхронизации, например1.com.
  
  На этом этапе можно безопасно обновить адрес электронной почты в новом домене Active Directory для пользователя1@example2.com.

Изменение домена Active Directory

1	Настройте новый домен Active Directory (AD).
2	Отключите синхронизацию на всех соединителях.
3	Удалите все соединители.
4	Зарегистрируйте обращение для изменения домена. При отправке запроса на удаление конфигурации домена и всех атрибутов синхронизации в организации обязательно выполните запрос. Прежде чем зарегистрировать обращение для изменения домена, убедитесь, что синхронизация не запущена. Не изменяйте адреса электронной почты пользователей в Active Directory, пока обращение не будет решено.
5	После завершения рассмотрения дела. Установите соединитель каталогов на том же сервере, что и для нового домена Active Directory. Настройте соединитель каталогов так, чтобы он указывал на новый домен Active Directory. Если в Control Hub есть существующие пользователи (https://admin.webex.com), убедитесь, что пользователи с совпадающими адресами электронной почты также присутствуют в Active Directory. Если в вашей организации отключена функция `softDelete` в DirSync, адреса электронной почты пользователей, которые находятся в Control Hub, но не находятся в состоянии удаления Active Directory. Перед фактической синхронизацией выполните тестовый запуск с соединителем каталогов.

Заявление домена

Связанная информация

Преобразование пользователей бесплатного приложения Webex в организацию, синхронизированную с каталогом

Если эти пользователи не будут добавлены, они будут удалены при синхронизации с облаком.

1	Отключите синхронизацию каталога в соединителе каталогов.
2	Выполните процедуру Преобразование нелицензированных пользователей в Control Hub , чтобы преобразовать пользователя из бесплатной клиентской организации в корпоративную. На этом этапе пользователь будет добавлен в вашу организацию, и учетная запись будет отображена в Control Hub. Соединитель каталогов делает Active Directory единственным источником достоверных данных для учетных записей пользователей, и целью является точное соответствие Active Directory и Control Hub. Перед повторной синхронизацией убедитесь, что для всех недавно преобразованных пользователей имеются совпадающие пользователи в Active Directory. Чтобы убедиться, что несовпадающих пользователей не осталось, можно выполнить пробную синхронизацию.
3	Выполните пробную синхронизацию в соединителе каталогов. По завершении пробной синхронизации проверьте вкладку "Добавить объекты". Убедитесь, что никакие преобразованные пользователи не удалены. Перед повторным включением синхронизации необходимо выполнить пробную синхронизацию, чтобы убедиться в том, что все преобразованные учетные записи пользователей отображаются в Active Directory. Если синхронизация включена и учетные записи находятся только в Control Hub, соединитель каталогов чувствителен к регистру и удаляет преобразованных пользователей, которые будут обнаружены с несовпадающими адресами электронной почты (например, user1@example.com и User1@example.com). При удалении преобразованных пользователей все пространства приложения Webex будут утрачены.
4	Если вы уверены, что при следующей синхронизации не будут удалены какие-либо учетные записи, снова включите синхронизацию каталога в соединителе каталогов.

Преобразованные учетные записи пользователей не будут активированы автоматически, если домен не был подтвержден. Например, если вы включили шаблон автоматического назначения лицензий, а затем включили соединитель каталогов без проверки домена, преобразованные пользователи будут неактивны в облачном сервере до тех пор, пока не подтвердят свои адреса электронной почты.

Перенесенные учетные записи пользователей приложения Webex

Изменение формата имени пользователя приложения Webex после синхронизации каталога

По умолчанию соединитель каталогов сопоставляет атрибут displayName в Active Directory с атрибутом displayName в облаке.

После выполнения синхронизации каталога имена пользователей могут отображаться в формате .

Кроме того, сопоставьте атрибут sn givenName с displayName:

Разрешение пользователям изменять отображаемые имена в Webex Meetings

1	В соединителе каталогов щелкните Конфигурация и выберите Сопоставление атрибутов пользователя.
2	Выберите displayName в разделе Name Attribute Cloud Cisco (Имя атрибута облака Cisco).
3	Выберите Не синхронизировать этот атрибут.

Дальнейшие действия

Теперь пользователи могут редактировать свои отображаемые имена на веб-сайте Webex.

Устранение неполадок соединителя каталогов

Модернизация до последнего выпуска программного обеспечения

1	Чтобы начать процесс модернизации, щелкните уведомление на панели задач Windows или щелкните правой кнопкой мыши пиктограмму соединителя каталогов на панели задач Windows.
2	Чтобы завершить модернизацию, следуйте инструкциям.
3	Перезапустите соединитель и войдите с помощью учетных данных администратора.
4	Проверьте номер версии программного обеспечения в разделе Справка > О программе.

Дальнейшие действия

Настройка общих параметров соединителя каталогов

Используйте эту процедуру для настройки общих параметров, таких как имя сервера, на котором запущен соединитель каталогов, уровни журналов, автоматическая модернизация и предпочтительные параметры для контроллеров домена. Имя соединителя отображается на инструментальной панели в разделе соединителей вместе с другими запущенными соединителями.

1	В соединителе каталогов перейдите к меню Конфигурация и щелкните Общие.
2	В поле Имя соединителя введите имя соединителя. В этом поле отображается только имя компьютера, на котором в данный момент запущен соединитель.
3	В раскрывающемся списке выберите уровень журнала. По умолчанию для уровня журнала задано значение info. Доступные уровни журналов: Информация (по умолчанию). Отображает информационные сообщения с информацией о ходе работы приложения на высоком уровне. Используйте эту настройку, чтобы получать отчеты после всех полных синхронизаций. Предупреждение: отображает потенциально опасные ситуации. Отладка. Отображает подробные информационные события, наиболее полезные для отладки приложения. При возникновении какой-либо проблемы установите этот уровень журнала и отправьте журнал event-совещания в службу поддержки при регистрации обращения. Ошибка. Отображает события ошибки, которые по-прежнему могут позволить приложению продолжить работу. При выборе этого параметра отчеты о синхронизации будут отправляться только в случае сообщений об ошибках. Эти настройки влияют на отчет о синхронизации, который отправляется по электронной почте. Если для уровня журнала задано значение «Ошибка», в отчете о синхронизации регистрируются только ошибки. Если ошибки отсутствуют, отчет о синхронизации не отправляется. Измените настройку на "Информация", затем вы получите отчеты о синхронизации после полной синхронизации. (Имейте в виду, что при инкрементной синхронизации отчеты не отправляются, если нет сообщений об ошибках.)
4	Выберите Предпочтительные контроллеры домена , чтобы задать порядок синхронизации удостоверений. Доступ к контроллерам домена осуществляется сверху вниз. Если верхний контроллер недоступен, выберите второй контроллер в списке. Если контроллер не указан в списке, можно получить доступ к основному контроллеру.
5	Для автоматической модернизации установите флажок параметра Автоматическая модернизация до новой версии соединителя каталогов Cisco . Всегда важно поддерживать актуальность программного обеспечения соединителя каталогов Cisco до последней версии. Рекомендуется установить эту настройку, чтобы разрешить автоматическую модернизацию программного обеспечения устанавливать в фоновом режиме, когда она станет доступной.
6	Установите флажок LDAP по SSL , чтобы в качестве протокола соединения использовать безопасный LDAP (LDAPS). Если не установлен флажок LDAP через SSL, соединитель каталогов продолжит использовать протокол соединения LDAP. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в инфраструктуре. Связь LDAPS зашифрована и защищена.

Настройка политики соединителя

1	В соединителе каталогов щелкните Конфигурация и выберите Политика.
2	Если необходимо добавить триггер порогового значения, установите флажок в поле Включить триггер удаления порогового значения . При выборе этого параметра будет отправлено предупреждение, если количество удалений превышает пороговое значение. Если учетная запись удаления превышает заданную вами, синхронизация не будет выполнена.
3	Введите максимальное количество удалений. Значение по умолчанию — 20. Не рекомендуется увеличивать значение по умолчанию.
4	Нажмите Применить.

Настройка графика соединителя

1	В соединителе каталогов щелкните Конфигурация и выберите Запланировать.
2	Укажите интервал инкрементной синхронизации в минутах. По умолчанию установлена инкрементная синхронизация каждые 30 минут. Полная инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация.
3	Чтобы изменить частоту отправки отчетов, измените значение Отправлять отчеты для...времени .
4	Установите флажок Включить график полной синхронизации , чтобы указать дни и время, в которые должна произойти полная синхронизация.
5	Укажите интервал отработки отказа в минутах.
6	Нажмите Применить.

Сценарии с несколькими доменами

Объекты с одинаковым ключевым значением связаны в одной записи в базе данных.

Пример сценария использования для нескольких доменов

В этом примере предполагается организация с двумя доменами: example1.com и example2.com в порядке приоритета.

Добавить пользователя1 (адрес электронной почты: user@example1.com) в Active Directory на странице example1.com.
Добавить группу1 (название группы: Тест) в Active Directory на примере example1.com.
Добавить пользователя2 (адрес электронной почты: user@example2.com) в Active Directory на примере example2.com.
Добавить группу2 (имя группы: Тест) в Active Directory на примере example2.com.

Синхронизация на example1.com

Синхронизация на example1.com и example2.com

Рассмотрим следующие шаги.

Удалите пользователя1 и группу1 в Active Directory, например1.com.
Выполните полную или инкрементную синхронизацию, например1.com.
Результат: информация о пользователе не изменяется в https://admin.webex.com. Пользователь2 не связан с пользователем1, а группа2 не связана с группой1.
Выполните инкрементную синхронизацию, например2.com.
Результат: информация о пользователе не изменяется в https://admin.webex.com.
Выполните полную синхронизацию, например2.com.
Результат: Информация о пользователе2 и группе2 отображается в https://admin.webex.com.

Синхронизация нового домена и сохранение существующего

Установка приоритета домена

Используйте эту процедуру для изменения приоритета доменов Active Directory. Приоритет домена позволяет определить основной домен, дополнительный домен и т. д. Это помогает, если два пользователя из двух разных доменов имеют одно и то же значение адреса электронной почты, синхронизированное с одной организацией.

Перед началом работы

1	В соединителе каталогов Cisco щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Задать приоритет домена.
3	Выделите один домен в списке, щелкните Вверх или Вниз , чтобы изменить приоритет этого домена, а затем щелкните Сохранить , чтобы сохранить это изменение. Домены сортируются по приоритету сверху вниз.

Переключить домены

Используйте эту процедуру для повторного связывания соединителя каталогов Cisco с другим доменом.

Перед началом работы

Перед переключением доменов убедитесь, что задачи синхронизации не выполняются.
Во избежание ошибок установите или модернизируйте соединитель каталогов Cisco до последней версии. Его необходимо скачать из Control Hub.

1	В соединителе каталогов Cisco щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Переключить домен.
3	Если после ознакомления с предупреждением вы понимаете влияние этого изменения на развертывание и все еще уверены, щелкните Да. При переключении домена выход из текущего соединителя каталогов Cisco будет выполнен, другие домены в соединителе будут отменены, а информация о соединителе на этом компьютере будет удалена.
4	Снова войдите в соединитель каталогов Cisco и повторно подключите домен.

Выключить синхронизацию каталога

Щелкните "Дополнительно" и затем щелкните Выключить рядом с экземпляром соединителя, который необходимо выключить.
Чтобы остановить синхронизацию со всех экземпляров соединителя, щелкните Выключить все синхронизации каталогов .

После прочтения подсказки щелкните Выключить.

Синхронизация будет остановлена до повторного включения в соединителе каталогов.

Удалить сопоставление атрибутов пользователя

1	В соединителе каталогов щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Сервисные программы > Удалить сопоставление атрибутов пользователя.
3	Выберите сопоставление, которое необходимо удалить из списка Имя атрибута .
4	В разделе Затронутая область пользователя выберите один из приведенных ниже параметров. Только пользователи, синхронизированные с соединителем каталогов. сопоставление будет удалено только у пользователей, которые ранее синхронизировали соединитель каталогов. Все пользователи. сопоставление будет удалено у всех пользователей Active Directory.
5	Нажмите Применить.

Управление изображениями профиля

1	В соединителе каталогов щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Сервисные программы > Управление изображениями профиля.
3	В разделе Действия выберите один из приведенных ниже вариантов. Удаление изображений профиля для пустых источников аватара. если изображение профиля Active Directory пустое, этот параметр гарантирует удаление изображений профилей пользователей из облака, даже если пользователь ранее загрузил собственное изображение в Webex. Повторно загрузите из синхронизированного источника для переопределения кэшированных изображений. Соединитель каталогов использует тот же каталог Active Directory, что и предыдущие, для обновления изображений профилей для всех пользователей. Это гарантирует отсутствие несоответствия между изображениями профиля в Active Directory и облаке.
4	Нажмите Применить.

Удаление и деактивация соединителя каталогов

Вы больше не хотите использовать синхронизацию каталога.
Не следует использовать один из нескольких соединителей каталогов (высокая доступность).
Необходимо изменить домен и установить другой соединитель.

Перед началом работы

Для высокой доступности может быть настроено несколько экземпляров соединителя каталогов, или синхронизация нескольких доменов. Отключите синхронизацию при удалении единственного или последнего экземпляра соединителя каталогов.
Перед удалением соединителя каталогов сохраните и закройте все важные работы.

1	На компьютере Windows перейдите на панель управления и щелкните Программы и компоненты.
2	В списке программ щелкните Соединитель каталогов, выберите Удалить и следуйте подсказкам. Для завершения удаления может потребоваться перезагрузка системы.
3	В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню Управление > Настройки организации, прокрутите страницу до раздела Синхронизация каталога, щелкните Дополнительно , а затем щелкните Деактивировать рядом с экземпляром соединителя каталогов, который необходимо удалить.
4	После прочтения подсказки щелкните Деактивировать. Если в развертывании высокой доступности не установлен другой соединитель каталогов, учетные записи пользователей больше не синхронизируются.

Запуск средства диагностики

Запуск тестов для служб домена Active Directory.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку AD-DS , введите домен , затем щелкните Загрузить контроллеры доменов.
2. Выберите из списка один контроллер домена.
  
  Не изменяйте запись позже, поскольку инкрементный поиск всегда должен выполняться на одном и том же контроллере домена.
3. По умолчанию выполняются поиск всех путей, однако можно выбрать один атрибут , а затем щелкнуть Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , например Пользователи и Группа , а также фильтры поиска.
5. Установите флажок Автоматически заполнять файлы cookie , чтобы автоматически создавать файлы cookie для поиска.
6. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы выполнить тесты для служб облегченного каталога Active Directory, выполните указанные ниже действия.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку AD-LDS , введите Хост и Порт, а затем щелкните Загрузить разделы.
2. Выберите раздел в списке и щелкните Подключить.
3. По умолчанию выполняются поиск всех путей, однако можно выбрать один атрибут , а затем щелкнуть Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , такие как фильтры Пользователь, UserProxy и UserProxyFull и поиска.
5. Установите флажок Автоматически заполнять файлы cookie , чтобы автоматически создавать файлы cookie для поиска.
6. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы запустить тесты протокола LDAP, выполните следующие действия.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку RAW LDAP , введите корневой путь, фильтр и выберите запись в разделе Атрибуты , затем щелкните Загрузить разделы.
2. При необходимости установите флажки следующих параметров.
  - ObjectSecurity. При наличии этого параметра вызывающий абонент не требует прав и может видеть только доступные для вызывающего абонента объекты и атрибуты. Если этот параметр отсутствует, вызывающий абонент имеет право копировать изменения.
  - РодителиFirst (Сначала родители). Обеспечивает, чтобы все родители детей приходили раньше своих детей.
3. Выберите значение для ExtendedDN.
  
  Это значение используется в расширенном поиске LDAP для запроса расширенной формы Distinguished Name объекта.
4. Выберите значение для ReferralChasing.
  
  Охота на рефералов инициируется, когда контроллер домена возвращает реферал из запроса, например для получения сведений о результатах запроса, которые могут находиться за пределами пространства имен (например, участников группы в другом домене или лесу).
5. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
6. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.

Устранение неполадок в соединителе каталогов Ciso

Устранение неполадок и исправления соединителя каталогов

Установка

Соединитель каталогов прекратил работу

Вы получили сообщения электронной почты с предупреждением о том, что соединитель каталогов не работает.

Возможно, соединитель каталогов установлен неверно.
Возможно, соединитель каталогов не работает.
Возможно, сеть недоступна.

Попробуйте выполнить приведенные ниже действия.

Откройте Панель управления > Программы и компоненты. Найдите соединитель каталогов. Если она отсутствует, скачайте последнюю версию из Control Hub и установите ее.
Откройте Служба и найдите службу Cisco DirSync. Убедитесь, что в нем отображается состояние Начато. Если служба остановлена, щелкните правой кнопкой мыши и выберите "Начать", чтобы перезапустить службу.
Убедитесь, что сервер, на котором установлен соединитель каталогов, имеет доступ к Интернету.

Ошибка переустановки

Решение. По прошествии некоторого времени повторите попытку установки.

Вход в систему

Сбой соединителя каталогов во время входа SSO

Проблема

Решение

Попробуйте выполнить приведенные ниже действия.

Чтобы настроить новую групповую политику, выполните следующие действия.

Перейдите к контроллеру домена и откройте раздел Group Policy Management (gpedit.msc).
Щелкните правой кнопкой мыши определенный OU или домен, выберите Создать GPO в этом домене и Связать его здесь...
Укажите название политики, затем щелкните правой кнопкой мыши и выберите Правка.

Чтобы изменить политику на уровне машины, выполните следующие действия:

Перейдите к меню Конфигурация компьютера > Предпочтительные параметры > Настройки Windows, щелкните правой кнопкой мыши Реестр, выберите Создать, а затем Элемент реестра.
Для параметра Key Path (Путь ключа) введите или перейдите к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger (Отключить отладчик сценариев) для параметра Value (Значение) и введите no для параметра Value data (Данные значения).

Настройки должны соответствовать приведенному ниже снимку экрана.

Чтобы изменить политику на уровне пользователя, выполните следующие действия.

Перейдите к меню Конфигурация компьютера > Предпочтительные параметры > Настройки Windows, щелкните правой кнопкой мыши Реестр, выберите Создать, а затем Элемент реестра.
Для параметра Путь ключа введите или перейдите к разделу HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger (Отключить отладчик сценариев) для параметра Value (Значение) и введите no для параметра Value data (Данные значения).

Настройки должны соответствовать приведенному ниже снимку экрана.

Не удалось зарегистрировать соединитель службы Cisco DirSync

Проблема

Ошибка входа. Отображается сообщение "Не удалось зарегистрировать соединитель службы Cisco DirSync."

Решение

Система Windows, на которой установлен соединитель каталогов, должна быть членом Active Directory.

Страница входа не отображается

Проблема

Вы открыли соединитель каталогов, и страница входа не отображалась.

Решение

Выполните следующие действия.

В Internet Explorer перейдите к https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Попробуйте использовать ссылку в других браузерах, например в Chrome и Firefox.
Если Internet Explorer не может открыть ссылку, но могут использовать другие браузеры, установите флажки в настройках Internet Explorer и установите флажки TLS 1.1 и 1.2. (Используйте процедуру Включить TLS в Internet Explorer .)

Отобразится запрос на вход

Проблема

Отобразится запрос на ввод имени пользователя и пароля для проверки подлинности.

Возможная причина

Решение

Не удается подключиться к удаленному серверу

Проблема

Во время обычной работы отображается сообщение об ошибке "Не удается подключиться к удаленному серверу".

Возможная причина

Возможно, у вас возникли проблемы с прокси, которые необходимо решить.

Решение

Невозможно зарегистрировать соединитель

Проблема

Отображается сообщение об ошибке "Невозможно зарегистрировать соединитель. Произошло общее исключение".

Возможная причина

Решение

Попробуйте выполнить приведенные ниже действия.

Запустите командную строку (cmd) и введите ldp.exe.
Щелкните Connection (Подключение) > Bind (Привязка), выберите Привязка как пользователь, выполнивший вход в систему в данный момент, а затем щелкните ОК.
Щелкните Просмотр > Дерево, введите DC=arbonneintl,DC=ad в качестве BaseDN, а затем щелкните ОК.
Если проблема не исчезнет, зарегистрируйте обращение в службу поддержки.

Синхронизация

Аватары не синхронизированы

Проблема

Возможная причина

Решение

Удалите локальный кэш, выполнив следующие действия.

Перейдите к C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Удалите DirSyncPluginAvatar.dll-cache.bin.
Перезапустите синхронизацию аватара с помощью соединителя каталогов Cisco.

Конфликтующие учетные записи электронной почты пользователей

Проблема

Если пользователи попытаются использовать бесплатную версию приложения Webex, их адреса электронной почты будут находиться в бесплатной клиентской организации.
Если адреса электронной почты пользователей когда-либо были синхронизированы в другой организации.
Если адреса электронной почты пользователя существуют в нескольких доменах, принадлежащих организации.

Решение

Попробуйте выполнить приведенные ниже действия.

При попытке заявления пользователей выполните приведенные ниже действия.
1. Убедитесь, что домен подтвержден в Control Hub.
2. Временно отключить соединитель каталогов Cisco.
3. Используйте параметр "Заявить пользователя" в Control Hub, чтобы заявить все учетные записи, которые могут существовать в бесплатной клиентской организации. Дополнительную информацию см. в статье Утверждение пользователей в организации (преобразование пользователей) .
4. Выполните пробный запуск соединителя каталогов Cisco, а затем повторно включите синхронизацию каталога
В последнем случае дважды проверьте данные пользователей в источниках Active Directory.

Преобразованный пользователь помечен как неактивный

Проблема

Возможная причина

Решение

Ошибка добавочной синхронизации

Проблема

Сбой инкрементной синхронизации.

Эта проблема может возникать в Windows Server 2008 R2 при следующих условиях:

Вы поддерживаете обновления добавочных значений.
Фильтр, который используется, ссылается на связанный атрибут значения.
Значения результата этого атрибута обновлялись с момента последней полной синхронизации.

Решение

Недопустимое значение атрибута

Проблема

Возможная причина

Решение

Соответствующие пользователи, подлежащие удалению

Проблема

Соответствующие пользователи помечены как удаленные.

При выполнении пробной синхронизации для проверки данных между Active Directory и облаком в обоих случаях может отображаться один и тот же адрес электронной почты. Однако пользователь помечен как объект, подлежащий удалению.

Решение

Выберите соответствующее исправление.

Если удалить пользователя и повторно ввести лицензии после этого, для исправления можно использовать соединитель каталогов. Выполните синхронизацию, чтобы удалить пользователя, а затем другую синхронизацию, чтобы синхронизировать пользователя из локального AD с облаком.
Если вы не можете удалить и повторно создать учетную запись пользователя, зарегистрируйте обращение в службу поддержки.

Отсутствует атрибут

Проблема

Возможная причина

Решение

Вложенная группа не будет синхронизирована

Проблема

Пользователи во вложенной группе Active Directory не синхронизируются надлежащим образом с облаком.

Возможная причина

Решение

Конфликт имен пользователей

Проблема

Возможная причина

Пользователь с таким адресом электронной почты уже существует в Control Hub.

Решение

Control Hub

Список пользователей отсутствует в Control Hub

Проблема

Решение

Группы не будут синхронизированы с Control Hub

Проблема

Пользователи в группе каталогов не будут синхронизированы с Control Hub надлежащим образом.

Возможная причина

В Active Directory группа не имеет тегов isCriticalSystemObject .

Решение

Убедитесь, что для атрибута isCriticalSystemObject в Active Directory установлено значение TRUE .

Включение устранения неполадок соединителя каталогов

Файлы журналов: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Запустите файл `services.msc` , чтобы изменить запущенную учетную запись для службы соединителя каталогов с локальной системы на учетную запись домена, имеющую права на доступ к вашим AD DS или AD LDS.
2	Перезапустите службу. Инструкции см. в статье Начало работы служб .
3	В соединителе каталогов щелкните Инструментальная панель.
4	Перейдите к меню Действия и щелкните Сервисные программы > Устранение неполадок.
5	Если функция устранения неполадок включена, повторите действия, которые привели к ошибке. Таким образом будут фиксированы данные трафика, чтобы их можно было проверить.
6	Просмотрите файлы журналов. если файл пуст, убедитесь, что у учетной записи есть права на доступ к AD DS или AD LDS. В папке журнала сохраняются только файлы за последние 3 дня. Содержимое файлов журнала соответствует выходу журнала события в систему.
7	При необходимости отправьте файл журнала в службу поддержки для получения помощи.
8	По завершении отключите функцию устранения неполадок.

Связанная информация

Запускать средство просмотра событий.

1	В соединителе каталогов перейдите к меню Инструментальная панель и щелкните Действие > Запустить средство просмотра event-совещаний. В диалоговом окне "Свойства события" отображаются сведения о синхронизации события и сведения об ошибке.
2	В средстве просмотра event-совещаний перейдите к меню Журналы приложений и служб > Соединитель каталогов Cisco.
3	В разделе Действия щелкните Сохранить все event-совещания как , чтобы экспортировать все журналы в один файл event-совещаний (*.evtx) или другой формат, например XML или CSV.

Дальнейшие действия

Включение TLS в Internet Explorer

При входе в службу произошла ошибка
Произошла ошибка в сценарии на этой странице

При появлении этих ошибок необходимо включить настройку TLS в браузере.

1	Откройте Internet Explorer и выберите Инструменты. Теперь установите флажки для версии TLS/SSL, которую необходимо включить. Щелкните ОК Закрыть браузер и снова открыть его
2	Щелкните Свойства обозревателя , перейдите в раздел Дополнительно , прокрутите страницу до раздела Безопасность.
3	Установите флажки Использовать TLS 1.1 и Использовать TLS 1.2 , а затем щелкните ОК.
4	Чтобы изменения вступили в силу, перезапустите систему.

Устранение неполадок со входом в учетную запись службы

Попробуйте открыть https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL в веб-браузере.

Выберите один из вариантов в зависимости от результатов.

Если вы не можете перейти по ссылке в браузере, проверьте сетевые настройки. Если в вашей среде используется прокси, проверьте настройки прокси.
Если вы можете перейти по ссылке в браузере, но не можете открыть соединитель каталогов Cisco (Не удается открыть соединитель и всплывающее сообщение об ошибке 407), щелкните здесь , чтобы получить последнюю версию соединителя каталогов Cisco.
Если вы можете перейти по ссылке в браузере, но не можете выполнить синхронизацию с помощью соединителя каталогов Cisco, измените учетную запись входа в службу на администратор домена.

Проверьте, является ли учетная запись, использованная для входа в систему Windows, той же учетной записью, что и в службе Cisco DirSync. Если у них 2 разных учетных записи, убедитесь, что обе учетные записи могут посещать https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Если в вашей среде используется прокси, убедитесь, что обе учетные записи настроены для прокси в Internet Explorer и могут https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL успешно посещать учетные записи.

Связанная информация

Проверка SafeDllSearchMode в реестре Windows

Как правило, режим SafeDllSearchMode включен, но используйте эту процедуру для повторной проверки настроек реестра.

Перед началом работы

В окне поиска в Windows или в окне "Выполнить" введите regedit и нажмите клавишу ввода.

Перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан. Дальнейшие действия не требуются.
SafeDllSearchMode указан в списке. Убедитесь, что значение 1.

Дополнительную информацию см. в статье Порядок поиска библиотеки динамических ссылок.

Обзор соединителя каталогов Cisco

Обзор соединителя каталогов

В таблице перечислены все функции, описания и преимущества.

Функция	Описание и преимущества
Простая в использовании инструментальная панель	Инструментальная панель предоставляет график синхронизации, сводную информацию и состояние синхронизации, а также состояние соединителя каталогов. Панель отчетов можно просматривать в любое время при входе в систему.
Пробный запуск перед синхронизацией с облаком	Выполните пробный запуск изменений каталога, прежде чем они будут реализованы в облаке. Затем запустите отчет, чтобы увидеть, что изменения, которые необходимо внести, являются ожидаемыми.
Полная и инкрементная синхронизация	Синхронизируйте весь каталог. Или просто синхронизируйте дополнительные изменения, чтобы сэкономить мощность обработки и сократить время синхронизации.
Синхронизация нескольких доменов (один лес или несколько лесов)	Соединитель каталогов поддерживает несколько доменов в одном лесу или в нескольких лесах (без необходимости AD LDS). Для предприятий с несколькими доменами Active Directory можно установить соединитель каталогов для каждого домена, связать каждый домен с вашей организацией, а затем синхронизировать каждую базу пользователей с Webex. Control Hub отражает состояние синхронизации нескольких соединителей каталогов, позволяет выключить синхронизацию для определенного домена и деактивировать соединитель каталогов в развертывании с высокой доступностью.
Синхронизация запланирована	Настройте график синхронизации на день, час и минуту.
Фильтры протокола доступа к каталогу (LDAP)	Определите критерии поиска LDAP и обеспечьте эффективный импорт.
Сопоставление атрибутов Active Directory	Сопоставьте атрибуты Microsoft Active Directory с соответствующими атрибутами облака Webex. Можно сопоставить атрибуты, относящиеся к конфигурации Active Directory, а также определить пользовательские атрибуты для сопоставления с облаком. Атрибуты локальной среды формируют в облаке различные данные, такие как данные учетной записи пользователя, телефонные номера в Webex Teams, SIP-адреса ресурсов комнаты и другие данные карточки контакта пользователя (должность, отдел, менеджер и т. д.).
Корпоративный каталог для ресурсов локальных комнат и пользователей Cisco Webex Calling (облачная PSTN) и корпоративных контактов без лицензирования Webex	Если в вашей организации для службы вызовов используется облачная PSTN Cisco Webex Calling или у вас есть локальные устройства комнаты, эта функция позволяет пользователям выполнять поиск в каталоге корпоративных контактов на телефонах Cisco Webex Calling (облачная PSTN) или ресурсах комнат. Ресурсы комнаты После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным адресом SIP будут отображены в зарегистрированных в облаке устройствах комнат (таких как устройство Cisco Webex Room или Cisco Webex Board) как записи, доступные для поиска. При поиске пользователей устройства Cisco Webex Room или Cisco Webex Board будут отображены синхронизированные записи комнат, настроенные с помощью SIP-адресов. При поступлении вызова с устройства Webex на эту запись вызов будет размещен на SIP-адрес, настроенный для комнаты. Вызовы Помимо контактов приложения Webex пользователи могут совершать вызовы корпоративным контактам. С помощью соединителя каталогов корпоративные пользователи и их номера телефона будут добавлены в вашу организацию Webex. Для работы этой функции лицензия на службы Webex не требуется. Пользователи, у которых нет лицензий на Webex, будут отображаться в результатах поиска по каталогу, выполненном на телефоне пользователя Cisco Webex Calling, при условии, что в соединителе каталогов синхронизирован URI или номер телефона с Webex. Функции вызовов одинаковы для пользователей обоих типов. Эта функция также обеспечивает возможность редактирования набора для контактов только с номерами телефона. В результатах поиска контактов: Если контакты имеют набираемый URI (адрес SIP Webex) и номер телефона, отображается URI, связанный с контактом. Если у контактов нет набираемого URI, но есть номер телефона, отображается номер телефона. Кроме того, у них есть программная клавиша для редактирования набора. Если контактов нет, они не отображаются в каталоге.
Средство просмотра event-совещаний	С помощью средства просмотра event-совещаний можно определить, возникли ли какие-либо проблемы с синхронизацией.
Средство диагностики и устранение неполадок	С помощью встроенного средства диагностики можно устранять неполадки при развертывании соединителя каталогов Cisco. Если синхронизация не работает надлежащим образом, может возникнуть ошибка конфигурации или сети. Этот инструмент тестирует подключение к Active Directory, чтобы можно было самостоятельно диагностировать ошибки перед обращением в службу поддержки. После включения функции устранения неполадок в соединителе каталогов записываются журналы, которые можно отправить в службу технической поддержки.
Автоматическая модернизация	После установки соединителя каталогов при появлении новой версии программного обеспечения будет отправлено уведомление. Автоматическую модернизацию можно настроить таким образом, чтобы при выпуске новой версии всегда была последняя версия программного обеспечения.
Высокая доступность	Настройте несколько соединителей для резервного копирования, если основной соединитель или размещающая машина не работает.

Соединитель каталогов разделен на три области:

Control Hub – это единый интерфейс, позволяющий управлять всеми аспектами организации Webex. просмотр пользователей, назначение лицензий, скачивание соединителя каталогов и настройка системы единого входа (SSO) , если необходимо, чтобы пользователи выполняли аутентификацию посредством корпоративного поставщика удостоверений и не отправляли электронные приглашения для приложения Webex.
Интерфейс управления соединителем каталогов – это программное обеспечение, которое можно скачать из Control Hub и установить на доверенном сервере Windows. Для нескольких доменов Active Directory можно установить одну минуту программного обеспечения для каждого домена, который необходимо синхронизировать. С помощью этого программного обеспечения можно запустить синхронизацию для переноса учетных записей пользователей Active Directory в Webex, просмотра и отслеживания состояния синхронизации, а также настройки служб соединителя каталогов.
Служба синхронизации каталога запрашивает ваш Active Directory, чтобы получить пользователей и группы для синхронизации со службой соединителя и соединителем каталогов.

Чтобы понять архитектуру соединителя каталогов, см. приведенную ниже диаграмму.

Подготовка среды для соединителя каталогов

Требования для соединителя каталогов

Требования к Windows и Active Directory

Соединитель каталогов можно установить на следующих поддерживаемых серверах Windows:

Windows Server 2022
Windows Server 2019
Windows Server 2003

Соединитель каталогов поддерживается следующими службами Active Directory:

Active Directory 2016

(Соединитель каталогов поддерживается при использовании последней версии Active Directory на Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Обратите внимание на следующие дополнительные требования:

Для соединителя каталогов требуется TLS1.2. Необходимо установить приведенное ниже.
- .NET Framework версии 3.5 (требуется для приложения соединителя каталогов. При возникновении каких-либо проблем воспользуйтесь инструкциями, приведенными в статье Включение .NET Framework 3.5 с помощью мастера добавления ролей и функций.)
- .NET Framework версии 4.5 (обязательно для TLS1.2)
Требуется уровень функционального леса Active Directory 2 (Windows Server 2003) или более поздний. (Дополнительную информацию см. в статье Какие функциональные уровни Active Directory? .)

Требования к оборудованию

8 ГБ ОЗУ
50 ГБ хранилища
Нет минимума для ЦП

Требования к сети

Требования к организации Webex

Для доступа к программному обеспечению соединителя каталогов из Control Hub требуется организация Webex с пробной версией или платной подпиской.
(Необязательно) Чтобы новые учетные записи пользователей приложения Webex были Активными перед первым входом в систему, рекомендуется выполнить приведенные ниже действия.
- Добавляйте, проверяйте и при необходимости заявляйте домены , содержащие адреса электронной почты пользователей, которые необходимо синхронизировать с облаком.
- Выполните интеграцию системы единого входа (SSO) поставщика удостоверений (IdP) с организацией Webex.
- Отключите автоматические электронные приглашения, чтобы новые пользователи не получали автоматические электронные приглашения и вы могли проводить собственную электронную рассылку. (Для работы этой функции требуется интеграция SSO.)

Дополнительную информацию см. в статье Действия и состояния пользователей в Control Hub.

Требования к установке

Для среды с несколькими доменами (один лес или несколько лесов) необходимо установить один соединитель каталогов для каждого домена Active Directory. Если необходимо синхронизировать новый домен (B) при сохранении синхронизированных данных пользователей в другом существующем домене (A), убедитесь, что у вас есть отдельный поддерживаемый сервер Windows для установки соединителя каталогов для синхронизации домена (B).
Для входа в соединитель не требуется учетная запись администратора в Active Directory. Требуется учетная запись локального пользователя, которая является тем же пользователем, что и учетная запись администратора с полными правами в Control Hub.

Этот локальный пользователь должен иметь права на этом компьютере Windows для подключения к контроллеру домена и чтения объектов пользователя Active Directory. Учетная запись для входа в систему компьютера должна быть администратором компьютера с правами на установку программного обеспечения на локальном компьютере. (Эта информация также применима к входу в виртуальную машину.)
При входе в соединитель учетная запись для входа должна совпадать с учетной записью администратора с полными правами для Control Hub. По умолчанию соединитель использует учетную запись локальной системы для доступа к Active Directory. Однако можно использовать службы Windows для настройки другой учетной записи для доступа к Active Directory. (Эта информация также применима к входу в виртуальную машину.)
Убедитесь, что режим поиска библиотеки безопасных динамических ссылок (DLL) Windows включен с помощью следующей процедуры: Проверьте SafeDllSearchMode в реестре Windows.
Если AD LDS используется для нескольких доменов в одном лесу, рекомендуется установить соединитель каталогов и службу домена Active Directory/облегченные службы каталогов Active Directory (AD DS/AD LDS) на отдельных компьютерах.

Требования к нескольким доменам

Для каждого домена требуется отдельный экземпляр соединителя каталогов.
ПО соединителя каталогов должно работать на узле, находящемся в том же домене, который будет синхронизирован.
Рекомендуется подтвердить или заявить домены в Control Hub. (См. статью Добавление, проверка и заявление доменов.)
Чтобы синхронизировать более 50 доменов, необходимо зарегистрировать обращение , чтобы переместить организацию в большой список организаций.
При необходимости можно синхронизировать информацию о ресурсах комнаты вместе с учетными записями пользователей. (См. статью Синхронизация информации о локальной комнате с облаком Webex.)

Информация о размещении

На скорость синхронизации может повлиять несколько факторов.

Общее количество объектов Active Directory. (Задача синхронизации 5000 пользователей не будет длиться до 50 000.)
Скорость сети и пропускная способность.
Рабочая нагрузка системы и технические характеристики.

Проверка SafeDllSearchMode в реестре Windows

Как правило, режим SafeDllSearchMode включен, но используйте эту процедуру для повторной проверки настроек реестра.

Перед началом работы

В окне поиска в Windows или в окне "Выполнить" введите regedit и нажмите клавишу ввода.

Перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан. Дальнейшие действия не требуются.
SafeDllSearchMode указан в списке. Убедитесь, что значение 1.

Дополнительную информацию см. в статье Порядок поиска библиотеки динамических ссылок.

Интеграция веб-прокси

Можно воспользоваться одним из приведенных ниже подходов.

Явный веб-прокси с помощью Internet Explorer (соединитель наследует настройки веб-прокси)
Явный веб-прокси с помощью файла .pac (соединитель наследует настройки корпоративного прокси)
Прозрачный прокси, который работает с соединителем без изменений

Использование веб-прокси через браузер

Соединитель каталогов можно настроить использование веб-прокси с помощью Internet Explorer.

1	В Internet Explorer перейдите к меню Свойства браузера, щелкните Соединения и выберите Настройки LAN.
2	Укажите экземпляр Windows, в котором соединитель установлен на веб-прокси. Соединитель наследует эти настройки веб-прокси.
3	Если в вашей среде используется аутентификация прокси, добавьте эти URL-адреса в список разрешенных: cloudconnector.webex.com для синхронизации. idbroker.webex.com для аутентификации. idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т. д. Это можно сделать на уровне веб-сайта (для всех организаторов) или только для организатора, у которого есть соединитель. При добавлении этих URL-адресов в список разрешенных для полного обхода веб-прокси убедитесь, что таблица ACL брандмауэра обновлена, чтобы разрешить узлу соединителя прямой доступ к URL-адресам.
4	Если в вашей среде необходимо запросить списки отзыва сертификатов у центров сертификации, добавьте эти URL-адреса в список разрешенных. .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org Дополнительную информацию см. в этой статье о доменах и URL-адресах, которые должны быть доступны для служб Webex.

Настройка веб-прокси с помощью файла PAC

Если в вашей среде используется аутентификация прокси, добавьте эти URL-адреса в список разрешенных:

cloudconnector.webex.com для синхронизации.
idbroker.webex.com для аутентификации.
idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т. д.

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

NTLM-прокси

Дизайн NTLM

Как правило, техническая разработка NTLM основана на механизме Challenge (Вызов) и Response (Ответ):

Пользователь входит на ПК клиента с помощью учетной записи Windows и пароля. Пароль не сохраняется локально. Вместо пароля в формате обычного текста значение хеша пароля хранится локально. Когда пользователь входит в клиент с помощью пароля, ОС Windows сравнивает сохраненное значение хеша и значение хеша, полученное от введенного пароля. Если оба совпадают, аутентификация проходит.

Если пользователь хочет получить доступ к любому ресурсу на другом сервере, клиент отправляет запрос на сервер с именем учетной записи в виде обычного текста.
Когда сервер получает запрос, сервер генерирует 16-битный случайный ключ. Ключ называется Challenge (или Nonce). Прежде чем сервер отправит обратно клиенту, вызов хранится на сервере. Затем сервер отправляет вызов клиенту в виде обычного текста.
Как только клиент получает вызов, отправленный с сервера, клиент шифрует вызов с помощью хэша, упомянутого в шаге 1. После шифрования значение отправляется обратно на сервер.
Когда сервер получает зашифрованное значение от клиента, сервер отправляет его на контроллер домена для проверки. Запрос включает приведенное ниже. имя учетной записи, зашифрованный вызов, отправленный клиентом, и исходный простой вызов.
Контроллер домена может получить хеш-значения пароля в соответствии с именем учетной записи. А затем контроллер домена может зашифровать исходную задачу. Затем контроллер домена может сравниться с полученным значением хеша и зашифрованным значением хеша. Если они одинаковы, проверка выполнена успешно.

Настройка прозрачного прокси

1	Разверните прозрачный прокси, чтобы соединитель мог подключать и синхронизировать пользователей.
2	Убедитесь в успешном выполнении прокси. При запуске соединителя отображается всплывающее окно ожидаемой аутентификации браузера.

Настройка аутентификации прокси

Добавьте URL-адрес cloudconnector.webex.com в список разрешенных, создав список контроля доступа.

На корпоративном брандмауэре:

1	Включите поиск DNS, если этот параметр еще не включен.
2	Определите приблизительную пропускную способность для этого соединения (примерно 2 Мбит/с или менее для соединителя). Это может быть необязательно.
3	Создайте список контроля доступа, чтобы применить его к узлу соединителя, и укажите `cloudconnector.webex.com` в качестве целевого объекта, который необходимо добавить в список разрешенных. Пример. `access-list 2000 ACL-внутри расширенного разрешения TCP [IP соединителя] cloudconnector.webex.com eq https`
4	Примените этот СКД к соответствующему интерфейсу брандмауэра, который применим только к этому узлу соединителя.
5	Убедитесь, что остальные узлы в вашей организации по-прежнему должны использовать веб-прокси, настроив соответствующее неявное заявление об отказе.

Развертывание соединителя каталогов

Алгоритм выполнения задач по развертыванию соединителя каталогов Cisco

Перед началом работы

Способы добавления пользователей и управления ими в организации

1	Установить соединитель каталогов В Control Hub синхронизация каталога изначально отключена. Чтобы включить синхронизацию каталога для организации, необходимо установить и настроить соединитель каталогов, а затем успешно выполнить полную синхронизацию. Для новой установки соединителя каталогов всегда перейдите в Control Hub (https://admin.webex.com) для получения последней версии программного обеспечения и использования новейших функций и исправлений ошибок. После установки программного обеспечения о модернизации сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
2	Вход В Соединитель Каталогов Войдите с помощью учетных данных администратора Webex и выполните начальную настройку.
3	Настройка автоматической модернизации Всегда важно поддерживать актуальность программного обеспечения соединителя каталогов до последней версии. Рекомендуется использовать эту процедуру, чтобы разрешить автоматическую модернизацию программного обеспечения устанавливать в фоновом режиме, когда она станет доступной.
4	Выберите объекты Active Directory для синхронизации По умолчанию соединитель каталогов синхронизирует всех пользователей, которые не являются компьютерами, и всех групп, которые не являются критически важными объектами системы для домена. Для получения дополнительных сведений о том, какие объекты синхронизируются, можно выбрать определенных пользователей для синхронизации и указать фильтры LDAP на странице выбора объекта в соединителе каталогов.
5	Сопоставить атрибуты пользователя Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid.
6	Синхронизируйте аватары каталогов, выполнив одну из следующих процедур: Синхронизация аватаров каталогов из атрибута Active Directory с облаком Синхронизация аватаров каталогов с сервера ресурсов с облаком Можно синхронизировать аватары пользователей с облаком, чтобы аватар каждого пользователя отображался при входе в приложение. Можно синхронизировать аватары с помощью атрибута Active Directory или сервера ресурсов.
7	Синхронизация информации о локальной комнате с облаком Webex Используйте эту процедуру для синхронизации информации о локальной комнате из Active Directory с облаком Webex. После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным SIP-адресом будут отображаться в качестве записей на зарегистрированных в облаке устройствах комнаты, таких как устройство Webex Room или Cisco Webex Board
8	Чтобы Подготовить Пользователей Из Active Directory В Control Hub, выполните следующие действия. Выполнение пробной синхронизации пользователей Active Directory Выполнение полной синхронизации пользователей Active Directory в облако Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub Следуйте этой последовательности, чтобы подготовить пользователей Active Directory для учетных записей приложения Webex. Можно подготовить пользователей из развертывания Active Directory с несколькими лесами или доменами для соединителя каталогов 3.0 и более поздних версий. Во время процесса добавления пользователей из разных доменов необходимо решить, следует ли сохранить или удалить объекты пользователей, которые могут уже существовать в облаке Webex. Например, протестировать учетные записи из пробной версии. Целью является точное соответствие между Active Directory и облаком Webex.

Установить соединитель каталогов

Перед началом работы

При аутентификации через прокси-сервер убедитесь, что у вас есть учетные данные прокси.

Для базовой аутентификации прокси после установки экземпляра соединителя необходимо ввести имя пользователя и пароль. Для базовой аутентификации также требуется конфигурация прокси Internet Explorer. См. статью Использование веб-прокси Через Браузер.
При первом открытии соединителя для прокси-сервера NTLM может возникнуть ошибка. См. статью Использование веб-прокси Через Браузер.

1	В Control Hub перейдите к меню Пользователи > Управление пользователями > Включить синхронизацию каталога и выберите Далее.
2	Щелкните ссылку Скачать и установить, чтобы сохранить последнюю версию файла установки соединителя ZIP на сервер VMware или Windows. Файл .zip можно получить непосредственно по этой ссылке, однако для работы этого программного обеспечения необходим полный административный доступ к организации Control Hub. Для новой установки установите новейшую версию программного обеспечения, чтобы использовать новейшие функции и исправления ошибок. После установки программного обеспечения о модернизации сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
3	На сервере VMware или Windows распакуйте и запустите файл .msi в папке настроек, чтобы запустить мастер настройки.
4	Щелкните Далее, установите флажок, чтобы принять лицензионное соглашение, а затем щелкните Далее, пока не отобразится экран типа учетной записи.
5	Выберите тип учетной записи службы, которую необходимо использовать, и выполните установку с помощью учетной записи администратора. Локальная система. Параметр по умолчанию. Этот параметр можно использовать при настройке прокси с помощью Internet Explorer. Учетная запись домена. Используйте этот параметр, если компьютер является частью домена. Для доступа к ресурсам домена соединитель каталогов должен взаимодействовать с сетевыми службами. Можно ввести данные учетной записи и щелкнуть ОК. При вводе имени пользователя используйте формат `{domain}\{user_name}` Для прокси, который интегрируется с AD (NTLMv2 или Kerberos), необходимо использовать параметр учетной записи домена. Учетная запись, используемая для запуска службы соединителя каталогов, должна обладать достаточными правами для передачи прокси и доступа к AD. Во избежание ошибок убедитесь в наличии указанных ниже прав. Сервер является частью домена Учетная запись домена может получить доступ к локальным данным AD и данным аватаров. Учетная запись также должна иметь роль локального администратора, поскольку она должна получить доступ к файлам в разделе C:\Program Files. Для входа в виртуальную машину права учетной записи администратора должны иметь по крайней мере возможность чтения информации о домене.
6	Щелкните Установить. После запуска сетевого теста и при отображении соответствующего запроса введите основные учетные данные прокси-сервера, щелкните ОК, а затем щелкните Готово.

Дальнейшие действия

Вход В Соединитель Каталогов

Перед началом работы

Убедитесь, что у вас есть учетные данные прокси.

В случае базовой аутентификации прокси после первого открытия соединителя необходимо ввести имя пользователя и пароль.
Для прокси-сервера NTLM откройте Internet Explorer, щелкните пиктограмму шестеренки, перейдите к меню Свойства браузера > Подключения > Настройки локальной сети, убедитесь, что информация о прокси-сервере добавлена, а затем щелкните ОК. См. статью Использование веб-прокси Через Браузер.

1	Откройте соединитель и при появлении запроса добавьте `https://idbroker.webex.com` в список доверенных веб-сайтов.
2	При отображении соответствующего запроса войдите с помощью учетных данных аутентификации прокси, затем войдите в Webex с помощью учетной записи администратора и щелкните Далее.
3	Подтвердите организацию и домен. При выборе AD DS установите флажок LDAP по SSL, чтобы в качестве протокола соединения использовать безопасный LDAP (LDAPS), выберите домен, из которого необходимо синхронизировать, и щелкните Подтвердить. Если не установить флажок LDAP через SSL, DirSync продолжит использовать протокол соединения LDAP. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в инфраструктуре. Связь LDAPS зашифрована и защищена. При выборе AD LDS введите узел, домен и порт, а затем щелкните Обновить, чтобы загрузить все разделы приложений. Затем выберите раздел в раскрывающемся списке и щелкните Подтвердить. Дополнительную информацию см. в разделе AD LDS. В файле конфигурации CloudConnectorCommon.dll убедитесь, что настройка ADAuthLevel добавлена к узлу appSetting. Значения могут быть 1, 2 или 3. Подробные сведения о типах аутентификации см. в этой статье от Microsoft. Вот пример настройки со значением 1: `<appSettings> <add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	После отображения экрана Подтвердить организацию щелкните Подтвердить. Если AD DS/AD LDS уже связаны, отобразится экран Подтвердить организацию.
5	Щелкните Подтвердить.
6	Выберите один из них в зависимости от количества доменов Active Directory, которые необходимо связать с соединителем каталогов. Если у вас есть единый домен AD LDS, привяжите его к существующему источнику AD LDS и щелкните Подтвердить. Если у вас есть единый домен AD DS, привяжите его к существующему или новому домену. При выборе Привязка к новому домену щелкните Далее. Поскольку существующим типом источника является AD DS, невозможно выбрать AD LDS для новой привязки. Если у вас несколько доменов, выберите из списка существующий домен или Связать с новым доменом, а затем щелкните Далее. Поскольку у вас несколько доменов, существующим типом источника должен быть AD DS. При выборе Привязка к новому домену и нажатии Далее выбрать AD LDS для новой привязки будет невозможно.

Дальнейшие действия

После входа в систему вам будет предложено выполнить пробную синхронизацию.

Инструментальная панель соединителя каталогов

При первом входе в соединитель каталогов отображается инструментальная панель. Здесь можно просмотреть сводную информацию обо всех действиях по синхронизации, просмотреть статистику облака, выполнить пробный запуск синхронизации, запустить полную или инкрементную синхронизацию и запустить представление event-совещания, чтобы просмотреть информацию об ошибках.

Если время сеанса истекло, войдите снова.

Эти задачи можно легко выполнить с помощью панели инструментов или меню действий.

Таблица 1. Компоненты инструментальной панели
Компонент	Описание
Текущая синхронизация	Отображает информацию о состоянии синхронизации, которая в данный момент выполняется. Если синхронизация не запущена, отображается состояние простоя.
Следующая синхронизация	Отображает следующие запланированные полные и инкрементные синхронизации. Если график не задан, отображается параметр Не запланирован.
Последняя синхронизация	Отображает состояние двух последних выполненных синхронизаций.
Текущее состояние синхронизации	Отображает общее состояние синхронизации.
Соединители	Отображает текущие локальные соединители, доступные в облаке.
Облачная статистика	Отображает общее состояние синхронизации.
График синхронизации	Отображает график синхронизации для инкрементной и полной синхронизации.
Сводная информация о конфигурации	Список настроек, измененных в конфигурации. Например, сводная информация может включать следующее: Все объекты будут синхронизированы Все пользователи будут синхронизированы Пороговое значение, которое удалено, отключено.

Таблица 2. Панель инструментов действий
Действие	Описание
Начать инкрементную синхронизацию	Начать инкрементную синхронизацию вручную Это действие будет отключено при приостановке или отключении синхронизации, если полная синхронизация не была завершена или выполняется.
Пробный запуск синхронизации	Выполните синхронизацию пробного запуска.
Запустить средство просмотра event-совещаний	Запустите средство просмотра event-совещаний Microsoft.
Обновить	Обновить инструментальную панель соединителя каталогов Cisco

Таблица 3. Меню действий
Действие	Описание
Синхронизировать сейчас	Мгновенно начните полную синхронизацию.
Режим синхронизации	Выберите режим добавочной синхронизации или режим полной синхронизации.
Сбросить секретный код соединителя	Создайте разговор между соединителем каталогов Cisco и службой соединителя. При выборе этого действия секретный код в облаке будет сброшен, а затем сохранен локально.
Пробный запуск	Выполните тест процесса синхронизации. Перед полной синхронизацией необходимо выполнить пробный запуск.
Устранение неполадок	Включение и выключение функции устранения неполадок.
Обновить	Обновите главный экран соединителя каталогов Cisco.
Выход	Закройте соединитель каталогов Cisco.

Таблица 4. Сочетания клавиш
Комбинация клавиш	Действие
Alt +A	Показать меню Действия
`Alt +A + S`	Синхронизировать сейчас
`Alt +A + R`	Сбросить секретный код соединителя
`Alt +A + D`	Пробный запуск
`Alt +A + S + I`	Инкрементная синхронизация
`Alt +A + S + F`	Полная синхронизация
`Alt + H`	Показать меню Справка
`Alt + H + H`	Справка
`Alt + H + A`	О программе
`Alt + H + F`	вопросы и ответы

Настройка автоматической модернизации

1	В соединителе каталогов перейдите к меню Конфигурация > Общие и установите флажок Автоматическая модернизация до новой версии соединителя каталогов Cisco.
2	Чтобы сохранить изменения, щелкните Применить.

Новые версии соединителя устанавливаются автоматически, когда они становятся доступными.

Выберите объекты Active Directory для синхронизации

Группы для автоматического назначения лицензий

(&(cn=Пример)(objectclass=Group))*

Экран выбора объекта в соединителе каталогов

Группы для развертываний безопасности данных гибридного типа

Перед началом работы

1	В соединителе каталогов перейдите к меню Конфигурация и щелкните Выбор объекта.
2	В разделе Тип объекта установите флажок Пользователи и рассмотрите возможность ограничения количества контейнеров, доступных для поиска для пользователей. Например, чтобы синхронизировать только пользователей в определенной группе, необходимо ввести фильтр LDAP в поле фильтров LDAP Пользователи. Чтобы синхронизировать пользователей из группы Example-manager, используйте фильтр, подобный этому: `(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))`
3	Установите флажок Идентифицировать комнату, чтобы отделить данные комнаты от данных пользователей. Щелкните Настройка, чтобы настроить дополнительные атрибуты для идентификации данных пользователей в качестве данных комнаты. Используйте эту настройку, чтобы синхронизировать информацию о локальной комнате из Active Directory с облаком Webex. После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным SIP-адресом отображаются в качестве записей на зарегистрированных в облаке устройствах комнаты. Дополнительную информацию см. в статье Синхронизация информации о локальной комнате с облаком Webex.
4	Установите флажок Группы, если необходимо синхронизировать группы пользователей Active Directory с облаком. Не добавляйте фильтр синхронизации пользователей LDAP в поле «Группы». Для синхронизации данных групп с облаком следует использовать только поле «Группы». По умолчанию группы не синхронизируются для новых клиентов. Необходимо включить синхронизацию группы. Также необходимо синхронизировать группы безопасности.
5	Чтобы синхронизировать контактную информацию пользователей с облаком, установите флажок Контакты. Соединитель каталогов управляет только контактами, синхронизированными с помощью соединителя. Если в Control Hub уже есть контакты, эти контакты не будут удалены. Если контакты удалены из области синхронизации, контактная информация пользователей также будет удалена в Control Hub.
6	Настройте фильтры LDAP. Можно добавить расширенные фильтры, предоставив действительный фильтр LDAP. Дополнительную информацию о настройке фильтров LDAP см. в этой статье.
7	Укажите локальные базовые абонентские номера для синхронизации, щелкнув Выбрать, чтобы просмотреть структуру дерева Active Directory. Здесь можно выбрать или отменить выбор контейнеров для поиска.
8	Убедитесь, что объекты, которые необходимо добавить для этой конфигурации, и щелкните Выбрать. Можно выбрать отдельные или родительские контейнеры для синхронизации. Выберите родительский контейнер, чтобы включить все дочерние контейнеры. Если выбран дочерний контейнер, в родительском контейнере отображается серая галочка, указывающая на то, что дочерний элемент установлен. Затем можно щелкнуть Выбрать, чтобы принять выбранные контейнеры Active Directory. Если в вашей организации все пользователи и группы будут помещены в контейнер "Пользователи", вам не придется искать другие контейнеры. Если ваша организация разделена на единицы организации, выберите OU.
9	Щелкните Применить. Выберите параметр. Применить изменения конфигурации Пробный запуск Отмена Информацию о пробных запусках см. в статье Синхронизация пробного запуска для пользователей Active Directory. Для синхронизации групп необходимо выполнить полную синхронизацию. Полная синхронизация пользователей Active Directory в облако.

Сопоставить атрибуты пользователя

Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid, уникальный идентификатор каждой учетной записи пользователя в облачной службе удостоверений.

1	В соединителе каталогов щелкните Конфигурация и выберите Сопоставление атрибутов пользователя. На этой странице показаны имена атрибутов для Active Directory (слева) и облака Webex (справа). Все обязательные атрибуты отмечены красной звездочкой.
2	Прокрутите вниз до конца поля Имена атрибутов Active Directory и выберите один из этих атрибутов Active Directory для сопоставления с атрибутом облака UID: mail (Почта). Используется в большинстве развертываний для формата электронной почты. userPrincipalName — альтернативный вариант, если атрибут почты используется в других целях в Active Directory. Этот атрибут должен быть в формате электронной почты. Вы можете сопоставить любые другие атрибуты Active Directory с UID, однако рекомендуется использовать mail или userPrincipalName, как описано в руководстве выше. В некоторых случаях для входа используется параметр userPrincipalName, но адрес электронной почты пользователя используется для управления его календарем. Необходимо убедиться, что адрес электронной почты для управления календарем сопоставлен с полем основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. Чтобы узнать, какие атрибуты в Active Directory соответствуют в облаке, см. статью Сопоставление атрибутов Active Directory в соединителе каталогов. Чтобы синхронизация работала, необходимо убедиться, что выбранный атрибут Active Directory указан в формате электронной почты. Если один из рекомендованных атрибутов не выбран, соединитель каталогов отобразит всплывающее окно с напоминанием.
3	Если предопределенные атрибуты Active Directory не работают в вашем развертывании, щелкните раскрывающийся список атрибутов, прокрутите страницу вниз и выберите Настроить атрибут, чтобы открыть окно, с помощью которого можно определить выражение атрибута. Для получения дополнительной информации об выражениях и просмотра примеров их работы щелкните Справка. Дополнительную информацию также см. в разделе Выражения для настраиваемых атрибутов. В этом примере давайте составим атрибуты Active Directory `givenName` и `Sn` с атрибутом облака `displayName`: Определите выражение атрибута как givenName + "" + Sn (кавычки являются дополнительным пространством), а затем укажите адрес электронной почты существующего пользователя для проверки. Щелкните Проверить и проверьте, соответствует ли результат ожидаемым. Успешный результат выглядит следующим образом: Если результаты совпадают с ожидаемыми, щелкните ОК, чтобы сохранить новый настраиваемый атрибут. Позже при необходимости изменить displayName можно ввести новое выражение атрибута Соединитель каталогов проверяет значение атрибута UID в службе удостоверений и получает 3 доступных пользователя в соответствии с текущими параметрами фильтра пользователя. Если все эти 3 пользователя имеют действительный формат электронной почты, в соединителе каталогов Cisco отображается следующее сообщение: Если атрибут не удается проверить, будет отображено следующее предупреждение. Для проверки и исправления данных пользователя можно будет вернуться в Active Directory.
4	(Необязательно) Выберите сопоставления для мобильного и telephoneNumber, если необходимо, чтобы номера мобильных и рабочих телефонов отображались, например, в карточке контакта пользователя в приложении Webex. Данные номера телефона отображаются в приложении Webex при наведении указателя мыши на изображение профиля другого пользователя. Дополнительную информацию о вызовах с помощью карточки контакта пользователя см. в руководстве по развертыванию вызовов в Webex (Unified CM) (администраторы).
5	Выберите дополнительные сопоставления, чтобы дополнительные данные отображались в карточке контакта. `номер отдела` `отображаемое имя` `менеджер` `заголовок` После сопоставления атрибутов информация отображается при наведении указателя мыши на изображение профиля другого пользователя. Дополнительную информацию о карточке контакта см. в статье Проверка пользователя, с которым вы связываетесь. После синхронизации этих атрибутов с каждой учетной записью пользователя можно также включить People Insights в Control Hub. Эта функция позволяет пользователям приложения Webex предоставлять совместный доступ к дополнительной информации в профилях и узнать больше друг о друге. Дополнительную информацию о функции и способах ее включения см. в статье Профессиональные профили для Webex, Jabber, Webex Meetings и Webex Events (новая версия) в Control Hub
6	После выбора щелкните Применить.

Атрибуты Active Directory и облака

В этой таблице сравнивается сопоставление имен атрибутов Active Directory и имен атрибутов облака Cisco. Эти значения и сопоставления являются настройками по умолчанию в соединителе каталогов. В раскрывающемся списке Active Directory можно выбрать различные атрибуты и определить, какой локальный атрибут будет синхронизирован с каким облачным атрибутом.

Имена атрибутов Active Directory	Имена атрибутов облака Webex	Примечания
—	зданиеName	—
с	с	Этот атрибут определяет сокращенную страну пользователя.
номер отдела	номер отдела	Этот атрибут используется для номера отдела пользователя, который отображается в карточке контакта и профессиональных профилях.
отображаемое имя	отображаемое имя	Этот атрибут используется для отображаемого имени учетной записи пользователя, которое отображается в Control Hub, карточке контакта и профессиональных профилях.
Управление учетной записью пользователя	ds-pwp-account-disabled	Этот атрибут используется для синхронизации пользователей. Убедитесь, что атрибут userAccountControl сопоставлен с ds-pwp-account-disabled или синхронизация пользователей не будет выполнена надлежащим образом.
Номер сотрудника	Номер сотрудника	—
факсимильный номер телефона	факсимильный номер телефона	—
—	идентификатор jabberID	Этот облачный атрибут относится к адресам обмена мгновенными сообщениями (тип XMPP), которые используются в Jabber. Это значение не совпадает с sipAddresses.
л	л	Этот атрибут определяет город пользователя.
—	региональные параметры	—
менеджер	менеджер	Этот атрибут используется для имени менеджера пользователя, которое отображается в карточке контакта и профессиональных профилях.
мобильный	мобильный	Этот атрибут используется в качестве номера мобильного телефона, который отображается для вызова пользователя из карточки контакта.
о	о	Этот атрибут указывает название компании или организации и отображается в карточке контакта.
или	или	Этот атрибут указывает имя организационного модуля.
physicalDeliveryOfficeName	physicalDeliveryOfficeName	Этот атрибут определяет местоположение офиса пользователя.
почтовый индекс	почтовый индекс	Этот атрибут определяет почтовый индекс или почтовый индекс пользователя для физической доставки почты.
предпочтительный язык	предпочтительный язык	Этот атрибут задает предпочтительный язык пользователя и поддерживаются следующие форматы. xx_YY или xx-YY. Вот несколько примеров. en_US, en_GB, fr-CA. При использовании неподдерживаемого языка или недопустимого формата предпочтительный язык пользователей будет изменен на язык, установленный для организации.
MSRTCSIP-PrimaryUserAddress ipPhone	SipAddresses;type=предприятие	Этот атрибут используется для синхронизации информации о локальной комнате из Active Directory с облаком Cisco Webex.
sn	sn	Этот атрибут используется для фамилии учетной записи пользователя, которая отображается в Control Hub, карточке контакта и профессиональных профилях.
ул	ул	Этот атрибут указывает штат или область пользователя.
streetAddress	улица	Этот атрибут указывает почтовый адрес пользователя для доставки физической почты.
номер телефона	номер телефона	Этот атрибут определяет основной (рабочий) номер телефона пользователя, который используется для вызова пользователя из карточки контакта.
—	часовой пояс	Этот облачный атрибут определяет часовой пояс пользователя.
заголовок	заголовок	Этот атрибут определяет должность пользователя, которая отображается в карточке контакта и профессиональных профилях.
тип	предприятие	—
почта userPrincipalName	идентификатор	Обязательное сопоставление атрибутов. Для каждой учетной записи пользователя значение Active Directory сопоставляется с уникальным UID в облаке. В некоторых случаях для входа используется параметр userPrincipalName, но адрес электронной почты пользователя используется для управления его календарем. Необходимо убедиться, что адрес электронной почты для управления календарем сопоставлен с полем основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. После этого пользователь сможет войти в систему с помощью любого из этих адресов электронной почты, если установлено правильное сопоставление атрибутов SAML. Информацию о том, как можно сопоставить альтернативный адрес электронной почты, см. в разделе Пример сопоставления атрибутов ниже.
userPrincipalName почта <custom attribute>	электронные сообщения; рабочий тип	Это сопоставление необязательно. Используйте его, если необходимо использовать альтернативные адреса электронной почты. Это адрес электронной почты, который используется для аутентификации; он не используется для управления вашим календарем. Адрес электронной почты, который вы сопоставляете из AD, должен быть из подтвержденного домена в вашей организации. Он должен быть уникальным и не назначен другому пользователю.
<Новый атрибут для объекта пользователя Azure>	внешний идентификатор	Создайте новый атрибут Active Directory для удержания идентификатора объекта пользователя Azure, чтобы он не сталкивался с существующим атрибутом. Затем этот атрибут сопоставляется с атрибутом externalId. Благодаря этому при создании групп в Microsoft 365 пользователи Webex автоматически создают команды в Webex.

Сопоставление альтернативных адресов электронной почты

Выражения для настраиваемых атрибутов

Таблица 5. Выражения для настраиваемых атрибутов
Оператор	Описание и пример
%	Удаляет все символы от начала строки до позиции символа или аргумента строки, если они совпадают. Пример выражения `"abc@example.com" % "@"` Результат `пример.com`
-	Отрезок задней строки ввода от конца указанной строки. Пример выражения `"abc@example.com" – "@"` Результат `абс`
+	Объединяет строки ввода или выражения. Пример выражения `"abc" + "" + "def"` Результат `деф ABC`
\|	Вычисляет разделенные выражения по пустой строке и выбирает первый непустой результат. Пример выражения `"" \| "abc"` Результат `абс`

Синхронизация аватаров каталогов из атрибута Active Directory с облаком

1	В соединителе каталогов перейдите к меню Конфигурация, щелкните Аватар и установите флажок Включить.
2	Для параметра Получить аватар из выберите Атрибут AD, а затем Атрибут аватара, содержащий необработанные данные аватара, которые необходимо синхронизировать с облаком.
3	Чтобы проверить правильность доступа к аватару, введите адрес электронной почты пользователя и щелкните Получить аватар пользователя. Аватар отображается справа.
4	Чтобы сохранить изменения, после проверки правильности отображения аватара щелкните Применить.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей в приложении Webex. После включения этой функции в соединителе каталогов пользователям не разрешается настраивать собственный аватар.
Аватары пользователя синхронизируются с приложением Webex и всеми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Синхронизация аватаров каталогов с сервера ресурсов с облаком

Можно синхронизировать аватары каталога пользователей с облаком, чтобы каждый аватар отображался при входе в приложение Webex. Используйте эту процедуру для синхронизации аватаров с сервера ресурсов.

Перед началом работы

В этой процедуре приведены примеры шаблона URI и значения переменной. Необходимо использовать фактические URL-адреса, по которым расположены аватары каталога.
Шаблон URI аватара и сервер, на котором находятся аватары, должны быть доступны из приложения соединителя каталогов. Соединителю необходим доступ по HTTP или HTTPS к изображениям, однако изображения не должны быть общедоступными в Интернете.
Синхронизация данных аватара отделена от профилей пользователей Active Directory. При запуске прокси необходимо обеспечить доступ к данным аватара с помощью аутентификации NTLM или базовой аутентификации.

1	В соединителе каталогов перейдите к меню Конфигурация, щелкните Аватар и установите флажок Включить.
2	Для параметра Получить аватар от выберите Сервер ресурсов и введите шаблон URI аватара. Например, *`http://www.example.com/dir/photo/zoom/{mail: jpg.?(?=@.)}.`* Давайте рассмотрим каждую часть шаблона URI аватара и что они означают: http://www.example.com/dir/photo/zoom/ – путь к местоположению всех фотографий, которые будут синхронизированы. Это должен быть URL-адрес, к которому должна быть доступна служба соединителя каталогов на вашем сервере. mail: указывает соединителю каталогов на получение значения атрибута mail из Active Directory. .?(?=@.). Синтаксис regex, который выполняет следующие функции: *`.: любой символ, повторяющий ноль или более раз.` `? Сообщает, что предыдущая переменная соответствует как можно большему количеству символов.` `(?= ... ): сопоставление группы после основного выражения без включения ее в результат. Соединитель каталогов выполняет поиск соответствия и не включает его в выходные данные.` `@.: символ at, за которым следует любой символ, повторяющийся ноль или более раз.`* `.jpg: расширение файла для аватаров пользователей. Ознакомьтесь с поддерживаемыми типами файлов в этом документе и измените расширение соответствующим образом.`
3	(Необязательно) Если на сервере ресурсов требуются учетные данные, установите флажок Задать учетные данные пользователя для аватара, затем выберите Использовать текущего пользователя для входа в службу или Использовать этого пользователя и введите пароль.
4	Введите значение переменной. Например: `abcd@example.com`.
5	Щелкните Тест, чтобы убедиться в правильности работы шаблона URI аватара. В этом примере, если значение почты для одной записи AD — `abcd@example.com`, а изображения JPG синхронизированы, URI последнего аватара — `http://www.example.com/dir/photo/zoom/abcd.jpg`
6	После того как информация URI будет подтверждена и будет отображена верно, щелкните Применить. Подробную информацию об использовании регулярных выражений см. в статье Краткая справка по языку регулярных выражений Microsoft.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей в приложении Webex. После включения этой функции в соединителе каталогов пользователям не разрешается настраивать собственный аватар.
Аватары пользователя синхронизируются с приложением Webex и всеми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Синхронизация информации о локальной комнате с облаком Webex

1	В соединителе каталогов перейдите к меню Синхронизация, щелкните рядом с синхронизированным доменом, щелкните Конфигурация и выберите Выбор объекта.
2	Установите флажок параметра Синхронизировать информацию о комнате с облаком, чтобы отделить данные комнаты от данных пользователя во время синхронизации. Если эта настройка отключена, данные комнаты обрабатываются так же, как синхронизированные данные пользователей.
3	Перейдите к меню Сопоставление атрибутов и измените сопоставление атрибутов для облачного атрибута sipAddresses;type=enterprise. Для использования проверки значения значение SIP-адреса должно быть Pattern.compile("^([^@])(.)@(.)$") Выберите MSRTCSIP-PrimaryUserAddress, если он доступен. Если указанный выше атрибут отсутствует в схеме Active Directory, используйте другое поле, например ipPhone.
4	Создайте почтовый ящик ресурса комнаты в Exchange. Будет добавлен атрибут msExchResourceMetaData;ResourceType:Room, который затем используется соединителем для идентификации комнат.
5	В разделе "Пользователи и компьютеры Active Directory" перейдите к свойствам комнаты и измените их. Добавьте полностью квалифицированный URI SIP с префиксом sip:
6	Выполните пробную синхронизацию, а затем полную синхронизацию на соединителе. Новые объекты комнаты перечислены в списке Добавленные объекты, а совпадающие объекты комнаты отображаются в разделе Совпадающие объекты в отчете пробного запуска. Все объекты комнат, отмеченные для удаления, находятся в разделе Удаленные комнаты. В результатах пробного запуска отображаются все совпадающие ресурсы комнаты. Эта настройка отделяет данные комнаты Active Directory (включая атрибут комнаты) от данных пользователя. По завершении синхронизации в облачной статистике на инструментальной панели соединителя отображаются данные комнаты, синхронизированные с облаком.

Дальнейшие действия

В Control Hub можно автоматически импортировать комнаты из каталога и создавать рабочие пространства.

Отправка отчетов по электронной почте о результатах синхронизации каталога

1	В соединителе каталогов щелкните Конфигурация и выберите Уведомление.
2	В соединителе каталогов щелкните Настройки и рядом с параметром Получатель электронной почты включите параметр Включить синхронизацию отчета.
3	Чтобы переопределить поведение при уведомлении по умолчанию и добавить одного или нескольких получателей электронных сообщений, установите флажок Включить уведомление.
4	Щелкните Добавить и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом будет отображено сообщение с предложением исправить ошибку, прежде чем вы сможете сохранить и применить изменения.
5	Щелкните Добавить адрес электронной почты и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом будет отображено сообщение с предложением исправить ошибку, прежде чем вы сможете сохранить и применить изменения.
6	Если необходимо изменить введенные адреса электронной почты, дважды щелкните запись электронной почты в левом столбце и внесите необходимые изменения.
7	После добавления всех действительных адресов электронной почты щелкните Применить.
8	После добавления всех действительных адресов электронной почты щелкните Сохранить.

Дальнейшие действия

Подготовка пользователей из Active Directory в Control Hub

1	Выполнение пробной синхронизации пользователей Active Directory Выполните пробный запуск для сравнения объектов в локальном каталоге Active Directory и объектов в облаке Webex. Пробный запуск позволяет просмотреть, какие объекты будут добавлены, изменены или удалены, прежде чем будет запущена полная или инкрементная синхронизация и произведены изменения в облаке.
2	Выполнение полной синхронизации пользователей Active Directory в облако При выполнении полной синхронизации служба соединителя отправляет все отфильтрованные объекты из вашего Active Directory (AD) в облако. Затем служба соединителя обновит хранилище удостоверений с учетом ваших записей AD. Если создан шаблон автоматического назначения лицензий, его можно назначить только синхронизированным пользователям.
3	Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub После завершения полной синхронизации пользователей с помощью соединителя каталогов в Control Hub можно назначить лицензии службы Webex различными способами. Рекомендуется настроить шаблон автоматического назначения лицензий перед его использованием для новых пользователей приложения Webex, синхронизированных из Active Directory. Отдельные изменения также можно внести после этого начального этапа.

Выполнение пробной синхронизации пользователей Active Directory

Перед началом работы

1	Выберите один из вариантов. После первого входа в систему щелкните Да в окне подсказки, чтобы выполнить пробный запуск. Если вы пропустите напоминание о пробном запуске, в любой момент в соединителе каталогов щелкните Инструментальная панель, выберите Пробный запуск синхронизации, а затем щелкните ОК, чтобы начать синхронизацию пробного запуска. По завершении пробного запуска будет отображен один из приведенных ниже результатов. *Обнаружены несовпадающие объекты в соединителе каталогов* Сводная информация о результатах пробного запуска отчетов и несовпадающих объектах в соединителе каталогов Сводная информация содержит информацию о сопоставлении объектов: Сопоставленные объекты. Пользователь, который находится в общих параметрах идентификации Webex и существует в домене Active Directory, например, если пользователь @cisco.com был синхронизирован с Webex и отображен в Control Hub, а такой же пользователь (someuser@cisco.com) существует в Active Directory. Это означает, что пользователь сопоставляется. Несовпадающие объекты. Пользователь, работающий в Webex, независимо от того, как он был добавлен в Common Identity, но он не существует в Active Directory. Он называется несовпадающим объектом. Например, если адрес someuser@cisco.com был синхронизирован с Webex и отображен в Control Hub, но тот же пользователь (someuser@cisco.com) не управляется Active Directory, в отчете отображается несоответствие пользователя. Пробный запуск идентифицирует пользователей по сравнению с пользователями домена. Приложение может идентифицировать пользователей, принадлежащих к текущему домену. На следующем шаге необходимо решить, следует ли удалить объекты или сохранить их. Несоответствующие объекты идентифицируются как уже существующие в облаке Webex, но не существующие в локальном каталоге Active Directory.
2	Просмотрите результаты пробного запуска и выберите параметр в зависимости от того, используете ли вы один или несколько доменов. Единый домен. Определите, следует ли сохранить несопоставленных пользователей. Если необходимо сохранить их, выберите Нет, сохранить объекты. Если нет, выберите Да, удалить объекты. После выполнения этих действий и запуска вручную полной синхронизации для обеспечения точного соответствия локального местоположения и облака соединитель каталогов автоматически включит запланированные задачи автоматической синхронизации. Несколько доменов. Для организации с доменами A и B сначала выполните пробный запуск домена A. Если необходимо сохранить несовпадающих пользователей, выберите Нет, сохранить объекты. (Эти несовпадающие пользователи могут быть участниками домена B.) Если необходимо удалить, выберите Да, удалить объекты. Если пользователи не будут отображены, сначала запустите полную синхронизацию для домена A, а затем выполните пробный запуск для домена B. Если пользователи не совпадают, добавьте этих пользователей в Active Directory, а затем выполните полную синхронизацию для домена B. При точном совпадении локального местоположения и облака соединитель каталогов автоматически включает запланированные задачи автоматической синхронизации.
3	В запросе Подтвердить пробный запуск щелкните Да, чтобы повторить синхронизацию пробного запуска, а затем просмотреть инструментальную панель и просмотреть результаты. Все учетные записи, которые были успешно синхронизированы в пробном запуске, отображаются в разделе Сопоставленные объекты. Если у пользователя в облаке нет соответствующего пользователя с тем же адресом электронной почты в Active Directory, запись будет отображена в разделе Удаленные пользователи. Чтобы избежать этого флажка удаления, можно добавить пользователя в Active Directory с тем же адресом электронной почты. Чтобы просмотреть сведения о синхронизированных элементах, щелкните соответствующую вкладку для определенных элементов или Сопоставленные объекты. Чтобы сохранить сводную информацию, щелкните Сохранить результаты в файл.
4	Если ожидаются результаты, перейдите к меню Действия > Режим синхронизации > Включить синхронизацию, а затем щелкните Включить сейчас, чтобы выполнить синхронизацию вручную и перевести в ручной режим на данный момент. После синхронизации последнего домена Active Directory в развертывании с несколькими доменами необходимо включить автоматический режим для соединителя каталогов. Автоматический режим можно включить, только когда объекты полностью сопоставляются между облаком Webex и всеми локальными Active Directory.

Дальнейшие действия

Для сохранения любых несовпадающих объектов пользователей необходимо добавить их в Active Directory, чтобы обеспечить точное соответствие между локальной системой и облаком.
Выберите тип синхронизации:
- Выполните полную синхронизацию пользователей Active Directory в облако при первой синхронизации новых пользователей с облаком. Это можно сделать в меню Действия > Синхронизировать сейчас > Полный, после чего будут синхронизированы пользователи из текущего домена.
- Настройте расписание соединителя и Запустить инкрементную синхронизацию после запуска полной синхронизации и при необходимости применить изменения после начальной синхронизации. Этот тип синхронизации рекомендуется учитывать небольшие изменения, внесенные в источник пользователя Active Directory.
  
  По умолчанию инкрементная синхронизация выполняется каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация.
Если у вас несколько доменов, повторите эти действия в любом другом установленном соединителе каталогов.

Что следует учитывать

Если соответствующие пользователи помечены как удаленные и вы не уверены, как продолжить, см. информацию об устранении неполадок и обращение в службу поддержки в статье Устранение неполадок и исправления соединителя каталогов.

Удаленные пользователи хранятся в облачной службе удостоверений в течение 7 дней до окончательного удаления.

Выполнение полной синхронизации пользователей Active Directory в облако

Перед началом работы

Чтобы учетные записи пользователей приложения Webex оставались в активном состоянии после полной синхронизации и перед первым входом пользователей в систему, необходимо выполнить следующие действия для обхода проверки адреса электронной почты.
- Интегрируйте систему единого входа в свою организацию Webex. См. Единый вход со службами Cisco Webex и поставщиком удостоверений вашей организации для получения дополнительной информации.
- Используйте Control Hub для проверки и при необходимости заявления доменов, содержащихся в адресах электронной почты. См. Добавление, проверка и заявление доменов.
- Блокировать автоматические электронные приглашения, чтобы новые пользователи не получали автоматические электронные приглашения в приложение Webex. (Можно выполнить собственную рассылку по электронной почте.)
  
  Состояние активированных пользователей, которые не вошли в систему, отображается в Control Hub с состоянием Проверено. После входа в систему они отображаются как Активные. Дополнительную информацию о состояниях пользователей см. в статье Действия и состояния пользователей в Cisco Webex Control Hub.
После включения синхронизации соединитель каталогов сначала попросит выполнить пробный запуск. Для выявления возможных ошибок рекомендуется выполнить пробный запуск до полной синхронизации.
Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.

Если шаблоны автоматического назначения лицензий не используются, новые синхронизированные пользователи автоматически получат бесплатные лицензии. Они смогут использовать те же бесплатные функции, что и у бесплатных учетных записей.

1	Выберите один из вариантов. Если после первого входа пробный запуск завершен и он выглядит правильным для всех доменов, щелкните Включить сейчас, чтобы разрешить автоматическую синхронизацию. В соединителе каталогов перейдите к инструментальной панели, щелкните Действия, выберите Режим синхронизации > Включить синхронизацию, а затем щелкните Синхронизировать сейчас > Полный, чтобы начать синхронизацию.
2	В соединителе каталогов перейдите к меню Синхронизация, щелкните рядом с синхронизированным доменом, щелкните Конфигурация и выберите Полная синхронизация.
3	Подтвердите начало синхронизации. Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов после выполнения синхронизации. Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac. Во время синхронизации на инструментальной панели отображается ход выполнения синхронизации. Это может включать тип синхронизации, время ее начала и этап, на котором выполняется синхронизация. После синхронизации разделы Последняя синхронизация и Статистика облака будут обновлены с учетом новой информации. Данные пользователя синхронизированы с облаком. Если во время синхронизации возникают ошибки, индикатор состояния становится красным.
4	Чтобы обновить состояние синхронизации, щелкните Обновить. (Синхронизированные элементы отображаются в разделе Облачная статистика.)
5	Чтобы просмотреть журналы ошибок, выберите Запустить средство просмотра event-совещаний на панели инструментов Действия.
6	Чтобы настроить график синхронизации для текущей инкрементной синхронизации с облаком, см. статьи Установка графика соединителя и Запуск инкрементной синхронизации.

После завершения полной синхронизации состояние синхронизации каталога обновляется из Отключенов В рабочем состояниина странице Настройкив Control Hub.
При сопоставлении всех данных между локальной системой и облаком соединитель каталогов переключается с ручного режима на режим автоматической синхронизации.
Если вы не интегрируете систему единого входа, подтвердите домены и при необходимости заявите домены для синхронизированных учетных записей электронной почты и не заблокируете автоматическую рассылку по электронной почте, учетные записи пользователей приложения Webex будут оставаться в состоянии "Не проверен" до тех пор, пока пользователи не войдут в приложение Webex впервые для подтверждения своих учетных записей. Инструкции по синхронизации учетных записей в качестве Активных пользователей см. в разделе "Перед началом работы".
Если у вас несколько доменов, выполните это действие в любом другом установленном соединителе каталогов. После синхронизации пользователи всех добавленных доменов будут отображены в Control Hub.
Если система единого входа интегрирована с Webex и заблокированными электронными уведомлениями, электронные приглашения не будут отправляться только синхронизированным пользователям.
После включения соединителя каталогов вручную добавить пользователей в Control Hub невозможно. После включения управление пользователями осуществляется с помощью соединителя каталогов Cisco, а Active Directory является единственным источником достоверных данных.
Все синхронизированные группы отображаются в Control Hub. Можно назначить шаблон лицензии, чтобы пользователям в этой группе назначались лицензии.

Дальнейшие действия

При удалении пользователя из Active Directory он будет программно удален после следующей синхронизации. Пользователь становится неактивным, однако профиль удостоверения в облаке сохраняется в течение семи дней (для восстановления после случайного удаления).

Если в Active Directory установлен флажок Учетная запись отключена, пользователь становится неактивным после следующей синхронизации. Профиль удостоверения облака не будет удален по истечении семи дней, если вы хотите снова включить пользователя.
Обратите внимание на эти исключения на инкрементную синхронизацию (вместо этого выполните все действия по синхронизации выше).
- В случае обновления аватара, но другие атрибуты не будут изменены, при инкрементной синхронизации аватар пользователя не будет обновлен в облаке.
- Изменения конфигурации сопоставления атрибутов, базового абонентского номера, фильтра и аватара требуют полной синхронизации.

Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.
Выполните пробную синхронизацию пользователей Active Directory.
После подтверждения результатов пробного запуска выполните полную синхронизацию пользователей Active Directory.

Выберите параметр.

Дальнейшие действия

Если электронные сообщения не блокируются, каждому пользователю будет отправлено электронное сообщение с приглашением присоединиться и скачать Webex.
Если вы выбрали одни и те же службы Webex для всех пользователей, после этого можно изменить назначенную лицензию индивидуально или массово.

Связанная информация

Известные проблемы с соединителем каталогов

В версиях Windows Server, предшествующих 2012 R2, возникает проблема с файлами cookie, которая влияет на соединитель каталогов. Эта проблема исправлена в версиях 2012 R2 и 2016.
Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов с момента выполнения синхронизации.

Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac.
Если пользователь использует приложение Webex на настольном или мобильном устройстве для поиска и вызова комнаты, в которой есть только синхронизированный URI SIP, вызов поступает в данный момент бессрочно.

Управление пользователями приложения Webex

Запустить инкрементную синхронизацию

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензий, необходимо настроить шаблон автоматического назначения лицензий для новых пользователей приложения Webex, синхронизированных из Active Directory.
Обратите внимание на следующие исключения, которые не поддерживают инкрементную синхронизацию (вместо этого выполните полную синхронизацию пользователей Active Directory в облако ).
- В случае обновления аватара, но другие атрибуты не будут изменены, при инкрементной синхронизации аватар пользователя не будет обновлен в облаке.
- Для новых изменений конфигурации сопоставления атрибутов, базового абонентского номера, фильтра и настройки аватара инкрементная синхронизация не будет работать, и для них требуется полная синхронизация.

1	В соединителе каталогов щелкните Инструментальная панель. После включения синхронизации соединитель каталогов сначала попросит выполнить пробный запуск.
2	В меню Действия щелкните Режим синхронизации > Включить синхронизацию , если эта функция еще не включена. По умолчанию инкрементная синхронизация выполняется каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация. Когда установлен новый добавочный интервал времени, программа проверяет изменения на основе последней метки времени.
3	В меню Действия щелкните Синхронизировать сейчас > Инкрементный. Для всех изменений, внесенных в пользователей в Active Directory (например, отображаемое имя), Control Hub немедленно отражает изменения при обновлении представления пользователя, однако в приложении Webex изменения будут отражены в течение 72 часов с момента выполнения синхронизации. Чтобы очистить локальный кэш приложения Webex, следуйте приведенным ниже инструкциям. Windows или Mac. Во время синхронизации на инструментальной панели отображается ход выполнения синхронизации. Это может включать тип синхронизации, время ее начала и этап, на котором выполняется синхронизация. После синхронизации разделы Последняя синхронизация и Статистика облака будут обновлены с учетом новой информации. Если во время синхронизации возникают ошибки, индикатор состояния становится красным.
4	Чтобы просмотреть журналы ошибок, щелкните Запустить средство просмотра event-совещаний на панели инструментов Действия .

Дальнейшие действия

Восстановление случайно удаленных пользователей

1	Войдите в Control Hub.
2	Перейдите в раздел Пользователи и убедитесь, что конкретная учетная запись пользователя находится в неактивном состоянии или скрыта. Дополнительную информацию см. в статье Действия и состояния пользователей в Control Hub.
3	Если пользователи были удалены в Control Hub или вы заметили, что пользователи находятся в неактивном состоянии, перейдите в Active Directory, добавьте отсутствующие учетные записи пользователей и выполните пробную синхронизацию в соединителе каталогов. Цель соединителя каталогов заключается в том, чтобы обеспечить точное соответствие информации о пользователях в Active Directory и в облаке.
4	Выполните полную синхронизацию, чтобы повторно синхронизировать временно удаленные учетные записи пользователей с Control Hub. Пользователи восстановлены и перейдут к исходному состоянию, включая состояние их учетной записи и назначения служб.

Дальнейшие действия

Удаление пользователей без возможности восстановления после мягкого удаления

1	По завершении пробного запуска выберите Мягко удаленные объекты.
2	Установите флажок рядом с пользователями, которых необходимо удалить.
3	Нажмите Готово.

Дальнейшие действия

При следующей синхронизации выбранные пользователи будут удалены без возможности восстановления.

Изменение адреса электронной почты приложения Webex

Чтобы изменить адреса электронной почты пользователей без изменения домена, выполните приведенные ниже действия.
1. Откройте учетную запись пользователя (например, user1@example.com) в Active Directory и измените адрес электронной почты (например, user2@example.com).
2. Возобновить синхронизацию в соединителе каталогов.
  
  После следующей синхронизации изменения отобразятся в списке пользователей в Control Hub, а для пользователей в приложении Webex после обновления кэша.
  
  При использовании этого метода потери данных или пространств не происходит. Уникальный идентификатор пользователя устанавливается в облаке после первой синхронизации. Все последующие синхронизации основаны на этом идентификаторе.
В развертывании с несколькими доменами с соединителем каталогов для изменения адресов электронной почты пользователей при изменении домена (рассмотрите example1.com старый домен и example2.com новый домен):
1. Для старой учетной записи пользователя (user1@example1.com) обратите внимание на атрибут Active Directory, который сопоставляется с атрибутом облака UID . Для новой учетной записи необходимо использовать то же значение Active Directory. В этом примере в качестве локального атрибута будет использоваться user1@example1.com для сопоставления с uid в облаке.
2. Приостановите синхронизацию в соединителе каталогов, например1.com и example2.com.
3. Создайте новую учетную запись пользователя на веб-сайте example2.com и используйте тот же атрибут, указанный выше. (Например, user1@example1.com).
4. В соединителе каталогов возобновите синхронизацию, например2.com
  
  Прежде чем продолжить, проверьте, синхронизируется ли учетная запись пользователя1@example2.com с Control Hub. Рекомендуется порекомендовать пользователю проверить изменение адреса электронной почты в приложении Webex и сохранить все данные (пространства, сообщения, совещания, файлы и т. д.).
  
  Этот метод не приводит к потере данных или пространств, однако в новой учетной записи пользователя необходимо убедиться в том, что атрибут Active Directory, который сопоставляется с атрибутом UID облака, сохраняется из старой учетной записи пользователя. При изменении значения Active Directory в новой учетной записи не сохраняются данные старой учетной записи.
5. После подтверждения изменения адреса электронной почты и сохранения данных удалите старую учетную запись пользователя на example1.com, а затем используйте соединитель каталогов для возобновления синхронизации, например1.com.
  
  На этом этапе можно безопасно обновить адрес электронной почты в новом домене Active Directory для пользователя1@example2.com.

Изменение домена Active Directory

1	Настройте новый домен Active Directory (AD).
2	Отключите синхронизацию на всех соединителях.
3	Удалите все соединители.
4	Зарегистрируйте обращение для изменения домена. При отправке запроса на удаление конфигурации домена и всех атрибутов синхронизации в организации обязательно выполните запрос. Прежде чем зарегистрировать обращение для изменения домена, убедитесь, что синхронизация не запущена. Не изменяйте адреса электронной почты пользователей в Active Directory, пока обращение не будет решено.
5	После завершения рассмотрения дела. Установите соединитель каталогов на том же сервере, что и для нового домена Active Directory. Настройте соединитель каталогов так, чтобы он указывал на новый домен Active Directory. Если в Control Hub есть существующие пользователи (https://admin.webex.com), убедитесь, что пользователи с совпадающими адресами электронной почты также присутствуют в Active Directory. Если в вашей организации отключена функция `softDelete` в DirSync, адреса электронной почты пользователей, которые находятся в Control Hub, но не находятся в состоянии удаления Active Directory. Перед фактической синхронизацией выполните тестовый запуск с соединителем каталогов.

Заявление домена

Связанная информация

Преобразование пользователей бесплатного приложения Webex в организацию, синхронизированную с каталогом

Если эти пользователи не будут добавлены, они будут удалены при синхронизации с облаком.

1	Отключите синхронизацию каталога в соединителе каталогов.
2	Выполните процедуру Преобразование нелицензированных пользователей в Control Hub , чтобы преобразовать пользователя из бесплатной клиентской организации в корпоративную. На этом этапе пользователь будет добавлен в вашу организацию, и учетная запись будет отображена в Control Hub. Соединитель каталогов делает Active Directory единственным источником достоверных данных для учетных записей пользователей, и целью является точное соответствие Active Directory и Control Hub. Перед повторной синхронизацией убедитесь, что для всех недавно преобразованных пользователей имеются совпадающие пользователи в Active Directory. Чтобы убедиться, что несовпадающих пользователей не осталось, можно выполнить пробную синхронизацию.
3	Выполните пробную синхронизацию в соединителе каталогов. По завершении пробной синхронизации проверьте вкладку "Добавить объекты". Убедитесь, что никакие преобразованные пользователи не удалены. Перед повторным включением синхронизации необходимо выполнить пробную синхронизацию, чтобы убедиться в том, что все преобразованные учетные записи пользователей отображаются в Active Directory. Если синхронизация включена и учетные записи находятся только в Control Hub, соединитель каталогов чувствителен к регистру и удаляет преобразованных пользователей, которые будут обнаружены с несовпадающими адресами электронной почты (например, user1@example.com и User1@example.com). При удалении преобразованных пользователей все пространства приложения Webex будут утрачены.
4	Если вы уверены, что при следующей синхронизации не будут удалены какие-либо учетные записи, снова включите синхронизацию каталога в соединителе каталогов.

Преобразованные учетные записи пользователей не будут активированы автоматически, если домен не был подтвержден. Например, если вы включили шаблон автоматического назначения лицензий, а затем включили соединитель каталогов без проверки домена, преобразованные пользователи будут неактивны в облачном сервере до тех пор, пока не подтвердят свои адреса электронной почты.

Перенесенные учетные записи пользователей приложения Webex

Изменение формата имени пользователя приложения Webex после синхронизации каталога

По умолчанию соединитель каталогов сопоставляет атрибут displayName в Active Directory с атрибутом displayName в облаке.

После выполнения синхронизации каталога имена пользователей могут отображаться в формате .

Кроме того, сопоставьте атрибут sn givenName с displayName:

Разрешение пользователям изменять отображаемые имена в Webex Meetings

1	В соединителе каталогов щелкните Конфигурация и выберите Сопоставление атрибутов пользователя.
2	Выберите displayName в разделе Name Attribute Cloud Cisco (Имя атрибута облака Cisco).
3	Выберите Не синхронизировать этот атрибут.

Дальнейшие действия

Теперь пользователи могут редактировать свои отображаемые имена на веб-сайте Webex.

Устранение неполадок соединителя каталогов

Модернизация до последнего выпуска программного обеспечения

1	Чтобы начать процесс модернизации, щелкните уведомление на панели задач Windows или щелкните правой кнопкой мыши пиктограмму соединителя каталогов на панели задач Windows.
2	Чтобы завершить модернизацию, следуйте инструкциям.
3	Перезапустите соединитель и войдите с помощью учетных данных администратора.
4	Проверьте номер версии программного обеспечения в разделе Справка > О программе.

Дальнейшие действия

Настройка общих параметров соединителя каталогов

Используйте эту процедуру для настройки общих параметров, таких как имя сервера, на котором запущен соединитель каталогов, уровни журналов, автоматическая модернизация и предпочтительные параметры для контроллеров домена. Имя соединителя отображается на инструментальной панели в разделе соединителей вместе с другими запущенными соединителями.

1	В соединителе каталогов перейдите к меню Конфигурация и щелкните Общие.
2	В поле Имя соединителя введите имя соединителя. В этом поле отображается только имя компьютера, на котором в данный момент запущен соединитель.
3	В раскрывающемся списке выберите уровень журнала. По умолчанию для уровня журнала задано значение info. Доступные уровни журналов: Информация (по умолчанию). Отображает информационные сообщения с информацией о ходе работы приложения на высоком уровне. Используйте эту настройку, чтобы получать отчеты после всех полных синхронизаций. Предупреждение: отображает потенциально опасные ситуации. Отладка. Отображает подробные информационные события, наиболее полезные для отладки приложения. При возникновении какой-либо проблемы установите этот уровень журнала и отправьте журнал event-совещания в службу поддержки при регистрации обращения. Ошибка. Отображает события ошибки, которые по-прежнему могут позволить приложению продолжить работу. При выборе этого параметра отчеты о синхронизации будут отправляться только в случае сообщений об ошибках. Эти настройки влияют на отчет о синхронизации, который отправляется по электронной почте. Если для уровня журнала задано значение «Ошибка», в отчете о синхронизации регистрируются только ошибки. Если ошибки отсутствуют, отчет о синхронизации не отправляется. Измените настройку на "Информация", затем вы получите отчеты о синхронизации после полной синхронизации. (Имейте в виду, что при инкрементной синхронизации отчеты не отправляются, если нет сообщений об ошибках.)
4	Выберите Предпочтительные контроллеры домена , чтобы задать порядок синхронизации удостоверений. Доступ к контроллерам домена осуществляется сверху вниз. Если верхний контроллер недоступен, выберите второй контроллер в списке. Если контроллер не указан в списке, можно получить доступ к основному контроллеру.
5	Для автоматической модернизации установите флажок параметра Автоматическая модернизация до новой версии соединителя каталогов Cisco . Всегда важно поддерживать актуальность программного обеспечения соединителя каталогов Cisco до последней версии. Рекомендуется установить эту настройку, чтобы разрешить автоматическую модернизацию программного обеспечения устанавливать в фоновом режиме, когда она станет доступной.
6	Установите флажок LDAP по SSL , чтобы в качестве протокола соединения использовать безопасный LDAP (LDAPS). Если не установлен флажок LDAP через SSL, соединитель каталогов продолжит использовать протокол соединения LDAP. LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в инфраструктуре. Связь LDAPS зашифрована и защищена.

Настройка политики соединителя

1	В соединителе каталогов щелкните Конфигурация и выберите Политика.
2	Если необходимо добавить триггер порогового значения, установите флажок в поле Включить триггер удаления порогового значения . При выборе этого параметра будет отправлено предупреждение, если количество удалений превышает пороговое значение. Если учетная запись удаления превышает заданную вами, синхронизация не будет выполнена.
3	Введите максимальное количество удалений. Значение по умолчанию — 20. Не рекомендуется увеличивать значение по умолчанию.
4	Нажмите Применить.

Настройка графика соединителя

1	В соединителе каталогов щелкните Конфигурация и выберите Запланировать.
2	Укажите интервал инкрементной синхронизации в минутах. По умолчанию установлена инкрементная синхронизация каждые 30 минут. Полная инкрементная синхронизация не происходит до тех пор, пока не будет выполнена полная синхронизация.
3	Чтобы изменить частоту отправки отчетов, измените значение Отправлять отчеты для...времени .
4	Установите флажок Включить график полной синхронизации , чтобы указать дни и время, в которые должна произойти полная синхронизация.
5	Укажите интервал отработки отказа в минутах.
6	Нажмите Применить.

Сценарии с несколькими доменами

Объекты с одинаковым ключевым значением связаны в одной записи в базе данных.

Пример сценария использования для нескольких доменов

В этом примере предполагается организация с двумя доменами: example1.com и example2.com в порядке приоритета.

Добавить пользователя1 (адрес электронной почты: user@example1.com) в Active Directory на странице example1.com.
Добавить группу1 (название группы: Тест) в Active Directory на примере example1.com.
Добавить пользователя2 (адрес электронной почты: user@example2.com) в Active Directory на примере example2.com.
Добавить группу2 (имя группы: Тест) в Active Directory на примере example2.com.

Синхронизация на example1.com

Синхронизация на example1.com и example2.com

Рассмотрим следующие шаги.

Удалите пользователя1 и группу1 в Active Directory, например1.com.
Выполните полную или инкрементную синхронизацию, например1.com.
Результат: информация о пользователе не изменяется в https://admin.webex.com. Пользователь2 не связан с пользователем1, а группа2 не связана с группой1.
Выполните инкрементную синхронизацию, например2.com.
Результат: информация о пользователе не изменяется в https://admin.webex.com.
Выполните полную синхронизацию, например2.com.
Результат: Информация о пользователе2 и группе2 отображается в https://admin.webex.com.

Синхронизация нового домена и сохранение существующего

Установка приоритета домена

Используйте эту процедуру для изменения приоритета доменов Active Directory. Приоритет домена позволяет определить основной домен, дополнительный домен и т. д. Это помогает, если два пользователя из двух разных доменов имеют одно и то же значение адреса электронной почты, синхронизированное с одной организацией.

Перед началом работы

1	В соединителе каталогов Cisco щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Задать приоритет домена.
3	Выделите один домен в списке, щелкните Вверх или Вниз , чтобы изменить приоритет этого домена, а затем щелкните Сохранить , чтобы сохранить это изменение. Домены сортируются по приоритету сверху вниз.

Переключить домены

Используйте эту процедуру для повторного связывания соединителя каталогов Cisco с другим доменом.

Перед началом работы

Перед переключением доменов убедитесь, что задачи синхронизации не выполняются.
Во избежание ошибок установите или модернизируйте соединитель каталогов Cisco до последней версии. Его необходимо скачать из Control Hub.

1	В соединителе каталогов Cisco щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Переключить домен.
3	Если после ознакомления с предупреждением вы понимаете влияние этого изменения на развертывание и все еще уверены, щелкните Да. При переключении домена выход из текущего соединителя каталогов Cisco будет выполнен, другие домены в соединителе будут отменены, а информация о соединителе на этом компьютере будет удалена.
4	Снова войдите в соединитель каталогов Cisco и повторно подключите домен.

Выключить синхронизацию каталога

Щелкните "Дополнительно" и затем щелкните Выключить рядом с экземпляром соединителя, который необходимо выключить.
Чтобы остановить синхронизацию со всех экземпляров соединителя, щелкните Выключить все синхронизации каталогов .

После прочтения подсказки щелкните Выключить.

Синхронизация будет остановлена до повторного включения в соединителе каталогов.

Удалить сопоставление атрибутов пользователя

1	В соединителе каталогов щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Сервисные программы > Удалить сопоставление атрибутов пользователя.
3	Выберите сопоставление, которое необходимо удалить из списка Имя атрибута .
4	В разделе Затронутая область пользователя выберите один из приведенных ниже параметров. Только пользователи, синхронизированные с соединителем каталогов. сопоставление будет удалено только у пользователей, которые ранее синхронизировали соединитель каталогов. Все пользователи. сопоставление будет удалено у всех пользователей Active Directory.
5	Нажмите Применить.

Управление изображениями профиля

1	В соединителе каталогов щелкните Инструментальная панель.
2	Перейдите к меню Действия и щелкните Сервисные программы > Управление изображениями профиля.
3	В разделе Действия выберите один из приведенных ниже вариантов. Удаление изображений профиля для пустых источников аватара. если изображение профиля Active Directory пустое, этот параметр гарантирует удаление изображений профилей пользователей из облака, даже если пользователь ранее загрузил собственное изображение в Webex. Повторно загрузите из синхронизированного источника для переопределения кэшированных изображений. Соединитель каталогов использует тот же каталог Active Directory, что и предыдущие, для обновления изображений профилей для всех пользователей. Это гарантирует отсутствие несоответствия между изображениями профиля в Active Directory и облаке.
4	Нажмите Применить.

Удаление и деактивация соединителя каталогов

Вы больше не хотите использовать синхронизацию каталога.
Не следует использовать один из нескольких соединителей каталогов (высокая доступность).
Необходимо изменить домен и установить другой соединитель.

Перед началом работы

Для высокой доступности может быть настроено несколько экземпляров соединителя каталогов, или синхронизация нескольких доменов. Отключите синхронизацию при удалении единственного или последнего экземпляра соединителя каталогов.
Перед удалением соединителя каталогов сохраните и закройте все важные работы.

1	На компьютере Windows перейдите на панель управления и щелкните Программы и компоненты.
2	В списке программ щелкните Соединитель каталогов, выберите Удалить и следуйте подсказкам. Для завершения удаления может потребоваться перезагрузка системы.
3	В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню Управление > Настройки организации, прокрутите страницу до раздела Синхронизация каталога, щелкните Дополнительно , а затем щелкните Деактивировать рядом с экземпляром соединителя каталогов, который необходимо удалить.
4	После прочтения подсказки щелкните Деактивировать. Если в развертывании высокой доступности не установлен другой соединитель каталогов, учетные записи пользователей больше не синхронизируются.

Запуск средства диагностики

Запуск тестов для служб домена Active Directory.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку AD-DS , введите домен , затем щелкните Загрузить контроллеры доменов.
2. Выберите из списка один контроллер домена.
  
  Не изменяйте запись позже, поскольку инкрементный поиск всегда должен выполняться на одном и том же контроллере домена.
3. По умолчанию выполняются поиск всех путей, однако можно выбрать один атрибут , а затем щелкнуть Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , например Пользователи и Группа , а также фильтры поиска.
5. Установите флажок Автоматически заполнять файлы cookie , чтобы автоматически создавать файлы cookie для поиска.
6. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы выполнить тесты для служб облегченного каталога Active Directory, выполните указанные ниже действия.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку AD-LDS , введите Хост и Порт, а затем щелкните Загрузить разделы.
2. Выберите раздел в списке и щелкните Подключить.
3. По умолчанию выполняются поиск всех путей, однако можно выбрать один атрибут , а затем щелкнуть Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , такие как фильтры Пользователь, UserProxy и UserProxyFull и поиска.
5. Установите флажок Автоматически заполнять файлы cookie , чтобы автоматически создавать файлы cookie для поиска.
6. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы запустить тесты протокола LDAP, выполните следующие действия.
1. Перейдите в меню "Пуск", найдите соединитель каталогов Cisco и щелкните Каталог Cisco – диагностика. Щелкните вкладку RAW LDAP , введите корневой путь, фильтр и выберите запись в разделе Атрибуты , затем щелкните Загрузить разделы.
2. При необходимости установите флажки следующих параметров.
  - ObjectSecurity. При наличии этого параметра вызывающий абонент не требует прав и может видеть только доступные для вызывающего абонента объекты и атрибуты. Если этот параметр отсутствует, вызывающий абонент имеет право копировать изменения.
  - РодителиFirst (Сначала родители). Обеспечивает, чтобы все родители детей приходили раньше своих детей.
3. Выберите значение для ExtendedDN.
  
  Это значение используется в расширенном поиске LDAP для запроса расширенной формы Distinguished Name объекта.
4. Выберите значение для ReferralChasing.
  
  Охота на рефералов инициируется, когда контроллер домена возвращает реферал из запроса, например для получения сведений о результатах запроса, которые могут находиться за пределами пространства имен (например, участников группы в другом домене или лесу).
5. Щелкните Запрос , чтобы начать новый добавочный или завершенный поиск. Этот поиск может занять несколько секунд.
6. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.

Устранение неполадок в соединителе каталогов Ciso

Устранение неполадок и исправления соединителя каталогов

Установка

Соединитель каталогов прекратил работу

Вы получили сообщения электронной почты с предупреждением о том, что соединитель каталогов не работает.

Возможно, соединитель каталогов установлен неверно.
Возможно, соединитель каталогов не работает.
Возможно, сеть недоступна.

Попробуйте выполнить приведенные ниже действия.

Откройте Панель управления > Программы и компоненты. Найдите соединитель каталогов. Если она отсутствует, скачайте последнюю версию из Control Hub и установите ее.
Откройте Служба и найдите службу Cisco DirSync. Убедитесь, что в нем отображается состояние Начато. Если служба остановлена, щелкните правой кнопкой мыши и выберите "Начать", чтобы перезапустить службу.
Убедитесь, что сервер, на котором установлен соединитель каталогов, имеет доступ к Интернету.

Ошибка переустановки

Решение. По прошествии некоторого времени повторите попытку установки.

Вход в систему

Сбой соединителя каталогов во время входа SSO

Проблема

Решение

Попробуйте выполнить приведенные ниже действия.

Чтобы настроить новую групповую политику, выполните следующие действия.

Перейдите к контроллеру домена и откройте раздел Group Policy Management (gpedit.msc).
Щелкните правой кнопкой мыши определенный OU или домен, выберите Создать GPO в этом домене и Связать его здесь...
Укажите название политики, затем щелкните правой кнопкой мыши и выберите Правка.

Чтобы изменить политику на уровне машины, выполните следующие действия:

Перейдите к меню Конфигурация компьютера > Предпочтительные параметры > Настройки Windows, щелкните правой кнопкой мыши Реестр, выберите Создать, а затем Элемент реестра.
Для параметра Key Path (Путь ключа) введите или перейдите к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger (Отключить отладчик сценариев) для параметра Value (Значение) и введите no для параметра Value data (Данные значения).

Настройки должны соответствовать приведенному ниже снимку экрана.

Чтобы изменить политику на уровне пользователя, выполните следующие действия.

Перейдите к меню Конфигурация компьютера > Предпочтительные параметры > Настройки Windows, щелкните правой кнопкой мыши Реестр, выберите Создать, а затем Элемент реестра.
Для параметра Путь ключа введите или перейдите к разделу HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger (Отключить отладчик сценариев) для параметра Value (Значение) и введите no для параметра Value data (Данные значения).

Настройки должны соответствовать приведенному ниже снимку экрана.

Не удалось зарегистрировать соединитель службы Cisco DirSync

Проблема

Ошибка входа. Отображается сообщение "Не удалось зарегистрировать соединитель службы Cisco DirSync."

Решение

Система Windows, на которой установлен соединитель каталогов, должна быть членом Active Directory.

Страница входа не отображается

Проблема

Вы открыли соединитель каталогов, и страница входа не отображалась.

Решение

Выполните следующие действия.

В Internet Explorer перейдите к https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Попробуйте использовать ссылку в других браузерах, например в Chrome и Firefox.
Если Internet Explorer не может открыть ссылку, но могут использовать другие браузеры, установите флажки в настройках Internet Explorer и установите флажки TLS 1.1 и 1.2. (Используйте процедуру Включить TLS в Internet Explorer .)

Отобразится запрос на вход

Проблема

Отобразится запрос на ввод имени пользователя и пароля для проверки подлинности.

Возможная причина

Решение

Не удается подключиться к удаленному серверу

Проблема

Во время обычной работы отображается сообщение об ошибке "Не удается подключиться к удаленному серверу".

Возможная причина

Возможно, у вас возникли проблемы с прокси, которые необходимо решить.

Решение

Невозможно зарегистрировать соединитель

Проблема

Отображается сообщение об ошибке "Невозможно зарегистрировать соединитель. Произошло общее исключение".

Возможная причина

Решение

Попробуйте выполнить приведенные ниже действия.

Запустите командную строку (cmd) и введите ldp.exe.
Щелкните Connection (Подключение) > Bind (Привязка), выберите Привязка как пользователь, выполнивший вход в систему в данный момент, а затем щелкните ОК.
Щелкните Просмотр > Дерево, введите DC=arbonneintl,DC=ad в качестве BaseDN, а затем щелкните ОК.
Если проблема не исчезнет, зарегистрируйте обращение в службу поддержки.

Синхронизация

Аватары не синхронизированы

Проблема

Возможная причина

Решение

Удалите локальный кэш, выполнив следующие действия.

Перейдите к C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Удалите DirSyncPluginAvatar.dll-cache.bin.
Перезапустите синхронизацию аватара с помощью соединителя каталогов Cisco.

Конфликтующие учетные записи электронной почты пользователей

Проблема

Если пользователи попытаются использовать бесплатную версию приложения Webex, их адреса электронной почты будут находиться в бесплатной клиентской организации.
Если адреса электронной почты пользователей когда-либо были синхронизированы в другой организации.
Если адреса электронной почты пользователя существуют в нескольких доменах, принадлежащих организации.

Решение

Попробуйте выполнить приведенные ниже действия.

При попытке заявления пользователей выполните приведенные ниже действия.
1. Убедитесь, что домен подтвержден в Control Hub.
2. Временно отключить соединитель каталогов Cisco.
3. Используйте параметр "Заявить пользователя" в Control Hub, чтобы заявить все учетные записи, которые могут существовать в бесплатной клиентской организации. Дополнительную информацию см. в статье Утверждение пользователей в организации (преобразование пользователей) .
4. Выполните пробный запуск соединителя каталогов Cisco, а затем повторно включите синхронизацию каталога
В последнем случае дважды проверьте данные пользователей в источниках Active Directory.

Преобразованный пользователь помечен как неактивный

Проблема

Возможная причина

Решение

Ошибка добавочной синхронизации

Проблема

Сбой инкрементной синхронизации.

Эта проблема может возникать в Windows Server 2008 R2 при следующих условиях:

Вы поддерживаете обновления добавочных значений.
Фильтр, который используется, ссылается на связанный атрибут значения.
Значения результата этого атрибута обновлялись с момента последней полной синхронизации.

Решение

Недопустимое значение атрибута

Проблема

Возможная причина

Решение

Соответствующие пользователи, подлежащие удалению

Проблема

Соответствующие пользователи помечены как удаленные.

При выполнении пробной синхронизации для проверки данных между Active Directory и облаком в обоих случаях может отображаться один и тот же адрес электронной почты. Однако пользователь помечен как объект, подлежащий удалению.

Решение

Выберите соответствующее исправление.

Если удалить пользователя и повторно ввести лицензии после этого, для исправления можно использовать соединитель каталогов. Выполните синхронизацию, чтобы удалить пользователя, а затем другую синхронизацию, чтобы синхронизировать пользователя из локального AD с облаком.
Если вы не можете удалить и повторно создать учетную запись пользователя, зарегистрируйте обращение в службу поддержки.

Отсутствует атрибут

Проблема

Возможная причина

Решение

Вложенная группа не будет синхронизирована

Проблема

Пользователи во вложенной группе Active Directory не синхронизируются надлежащим образом с облаком.

Возможная причина

Решение

Конфликт имен пользователей

Проблема

Возможная причина

Пользователь с таким адресом электронной почты уже существует в Control Hub.

Решение

Control Hub

Список пользователей отсутствует в Control Hub

Проблема

Решение

Группы не будут синхронизированы с Control Hub

Проблема

Пользователи в группе каталогов не будут синхронизированы с Control Hub надлежащим образом.

Возможная причина

В Active Directory группа не имеет тегов isCriticalSystemObject .

Решение

Убедитесь, что для атрибута isCriticalSystemObject в Active Directory установлено значение TRUE .

Включение устранения неполадок соединителя каталогов

Файлы журналов: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	Запустите файл `services.msc` , чтобы изменить запущенную учетную запись для службы соединителя каталогов с локальной системы на учетную запись домена, имеющую права на доступ к вашим AD DS или AD LDS.
2	Перезапустите службу. Инструкции см. в статье Начало работы служб .
3	В соединителе каталогов щелкните Инструментальная панель.
4	Перейдите к меню Действия и щелкните Сервисные программы > Устранение неполадок.
5	Если функция устранения неполадок включена, повторите действия, которые привели к ошибке. Таким образом будут фиксированы данные трафика, чтобы их можно было проверить.
6	Просмотрите файлы журналов. если файл пуст, убедитесь, что у учетной записи есть права на доступ к AD DS или AD LDS. В папке журнала сохраняются только файлы за последние 3 дня. Содержимое файлов журнала соответствует выходу журнала события в систему.
7	При необходимости отправьте файл журнала в службу поддержки для получения помощи.
8	По завершении отключите функцию устранения неполадок.

Связанная информация

Запускать средство просмотра событий.

1	В соединителе каталогов перейдите к меню Инструментальная панель и щелкните Действие > Запустить средство просмотра event-совещаний. В диалоговом окне "Свойства события" отображаются сведения о синхронизации события и сведения об ошибке.
2	В средстве просмотра event-совещаний перейдите к меню Журналы приложений и служб > Соединитель каталогов Cisco.
3	В разделе Действия щелкните Сохранить все event-совещания как , чтобы экспортировать все журналы в один файл event-совещаний (*.evtx) или другой формат, например XML или CSV.

Дальнейшие действия

Включение TLS в Internet Explorer

При входе в службу произошла ошибка
Произошла ошибка в сценарии на этой странице

При появлении этих ошибок необходимо включить настройку TLS в браузере.

1	Откройте Internet Explorer и выберите Инструменты. Теперь установите флажки для версии TLS/SSL, которую необходимо включить. Щелкните ОК Закрыть браузер и снова открыть его
2	Щелкните Свойства обозревателя , перейдите в раздел Дополнительно , прокрутите страницу до раздела Безопасность.
3	Установите флажки Использовать TLS 1.1 и Использовать TLS 1.2 , а затем щелкните ОК.
4	Чтобы изменения вступили в силу, перезапустите систему.

Устранение неполадок со входом в учетную запись службы

Попробуйте открыть https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL в веб-браузере.

Выберите один из вариантов в зависимости от результатов.

Если вы не можете перейти по ссылке в браузере, проверьте сетевые настройки. Если в вашей среде используется прокси, проверьте настройки прокси.
Если вы можете перейти по ссылке в браузере, но не можете открыть соединитель каталогов Cisco (Не удается открыть соединитель и всплывающее сообщение об ошибке 407), щелкните здесь , чтобы получить последнюю версию соединителя каталогов Cisco.
Если вы можете перейти по ссылке в браузере, но не можете выполнить синхронизацию с помощью соединителя каталогов Cisco, измените учетную запись входа в службу на администратор домена.

Проверьте, является ли учетная запись, использованная для входа в систему Windows, той же учетной записью, что и в службе Cisco DirSync. Если у них 2 разных учетных записи, убедитесь, что обе учетные записи могут посещать https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Если в вашей среде используется прокси, убедитесь, что обе учетные записи настроены для прокси в Internet Explorer и могут https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL успешно посещать учетные записи.

Связанная информация