Руководство по развертыванию соединителя каталогов

28 июня 2024 г. | 122 – просмотры | 0 – пользователи, которые сочли этот материал полезным

В этой статье

Обзор соединителя каталогов Cisco

Обзор соединителя каталогов

Подготовка среды для соединителя каталогов

Требования к соединителю каталогов

Требования к Windows и Active Directory

Требования к аппаратному обеспечению

Требования к сети

Требования к организации Webex

Требования к установке

Требования к нескольким доменам

Рекомендации группы Active Directory для автоматического назначения лицензий

Информация о размерах

Проверка режима SafeDllSearchMode в реестре Windows

интеграция веб-прокси

Использование веб-прокси Через Браузер

Настройка веб-прокси с помощью файла PAC

прокси-сервер NTLM

Настройка прозрачного прокси

Настройка аутентификации прокси

Развертывание соединителя каталогов

Процесс развертывания соединителя каталогов Cisco

Установить соединитель каталога

Вход В Соединитель Каталогов

Инструментальная панель соединителя каталогов

Настройка автоматической модернизации

Выбор объектов Active Directory для синхронизации

Сопоставление атрибутов пользователя

Атрибуты Active Directory и облака

Выражения для пользовательских атрибутов

Синхронизация аватаров каталога из атрибута Active Directory в облако

Синхронизация аватаров каталогов с сервера ресурсов в облако

Синхронизация информации о локальной комнате с облаком Webex

Отправка отчетов по электронной почте о результатах синхронизации каталога

Подготовка пользователей из Active Directory в Control Hub

Выполните пробную синхронизацию для пользователей Active Directory

Полная синхронизация пользователей Active Directory в облаке

Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub

Известные проблемы соединителя каталогов

Управление пользователями приложения Webex

Выполнение инкрементной синхронизации

Восстановление случайно удаленных пользователей

Удаление пользователей без возможности восстановления после мягкого удаления

Изменение адреса электронной почты приложения Webex

Введите домен Acive Directory:

заявка на домен

Преобразование бесплатных пользователей приложения Webex в организации, синхронизированной с каталогом

Сторонние учетные записи пользователей приложения Webex

Изменение формата имени пользователя приложения Webex после синхронизации каталога

Разрешение пользователям изменять отображаемые имена в Webex Meetings

Устранение неполадок соединителя каталогов

Модернизация до последнего выпуска программного обеспечения

Настройка общих параметров соединителя каталогов

Настройка политики соединителя

Настройка расписания соединителя

Сценарии нескольких доменов

Пример использования для нескольких доменов

Синхронизация нового домена И сохранение существующего домена

Установка приоритета домена

Переключить домены

Выключить синхронизацию каталога

Удаление сопоставления атрибутов пользователя

Управление фотографиями профиля

Удаление и деактивация соединителя каталогов

Запуск средства диагностики

Устранение неполадок в соединителе каталогов Ciso

Устранение неполадок и исправления соединителя каталогов

Установка

Соединитель каталогов перестал работать

Ошибка переустановки

Вход

Сбой соединителя каталогов при входе в систему SSO

Не удалось зарегистрировать соединитель службы Cisco DirSync

Страница входа не отображается

Отобразится подсказка для входа

Не удается подключиться к удаленному серверу

Не удается зарегистрировать соединитель

Синхронизация

Аватары не синхронизированы

Конфликтующие учетные записи электронной почты пользователей

Преобразованный пользователь, помеченный как неактивный

Сбой инкрементальной синхронизации

Недопустимое значение для атрибута

Совпадающие пользователи, подлежащие удалению

Отсутствует атрибут

Вложенная группа не будет синхронизироваться

Конфликт имен пользователей

Control Hub

Список пользователей отсутствует в Control Hub

Группы не будут синхронизироваться с Control Hub

Включение устранения неполадок соединителя каталогов

Запуск средства просмотра event-совещаний

Включение TLS в Internet Explorer

Устранение неполадок при входе в учетную запись службы

Проверка режима SafeDllSearchMode в реестре Windows

Руководство по развертыванию соединителя каталогов

В этой статье

Обзор соединителя каталогов Cisco

Обзор соединителя каталогов

Соединитель каталогов – это локальное приложение для синхронизации удостоверений в облаке. Скачайте программное обеспечение соединителя из Control Hub и установите его на локальном компьютере.

Соединитель каталогов позволяет вести учетные записи пользователей и данные в Active Directory, таким образом, Active Directory становится единственным источником достоверных сведений. При изменении локально оно будет воспроизведено в облаке.

См. все функции, описания и преимущества в таблице.

Функция	Описание и преимущества
Удобная инструментальная панель	Инструментальная панель предоставляет график синхронизации, сводную информацию и состояние синхронизации, а также состояние соединителя каталогов. Панель отчетов можно просматривать в любой момент входа в систему.
Перед синхронизацией с облаком выполните пробный запуск	Выполните пробный запуск изменений в каталоге перед их внедрением в облаке. Затем запустите отчет, чтобы убедиться, что изменения, которые вы хотите внести, соответствуют вашим ожиданиям.
Полная и постепенная синхронизация	Синхронизируйте весь каталог. Или просто синхронизируйте дополнительные изменения, чтобы сэкономить мощность обработки и сократить время синхронизации.
Синхронизация нескольких доменов (одного леса или нескольких лесов)	Соединитель каталогов поддерживает несколько доменов в одном лесу или в нескольких лесах (без необходимости использования AD LDS). Для предприятий с несколькими доменами Active Directory можно установить соединитель каталогов для каждого домена, привязать каждый домен к своей организации, а затем синхронизировать каждую базу пользователей с Webex. Control Hub отражает состояние синхронизации нескольких соединителей каталогов, позволяет отключить синхронизацию для определенного домена и деактивировать соединитель каталогов в развертывании высокой доступности.
Запланированная синхронизация	Задайте график синхронизации по дням, часам и минутам.
Lightweight Directory Access Protocol (LDAP) filters	Определите критерии поиска LDAP и обеспечьте эффективный импорт.
сопоставление атрибутов Active Directory	Сопоставьте атрибуты Microsoft Active Directory с соответствующими атрибутами облака Webex. Можно сопоставить атрибуты, относящиеся к конфигурации Active Directory, а также определить пользовательские атрибуты для сопоставления с облаком. Атрибуты локальных данных формируют различные данные в облаке, такие как информация об учетной записи пользователя, сведения о номерах телефона в Webex Teams, SIP-адреса ресурса комнаты и другие данные карточки контакта пользователя (должность, отдел, руководитель и т. д.).
Корпоративный каталог для локальных ресурсов комнаты и пользователей Cisco Webex Calling (облачная PSTN) и корпоративных контактов без лицензии Webex	Если часть вашей организации использует облачную PSTN Cisco Webex Calling для службы вызовов или у вас есть локальные устройства комнат, эта функция позволяет пользователям выполнять поиск корпоративных контактов в каталоге с помощью телефонов Cisco Webex Calling (облачная PSTN) или ресурсов комнаты. Ресурсы комнаты После синхронизации информации о комнате локальные устройства комнаты с настроенным сопоставленным адресом SIP будут отображены в зарегистрированных в облаке устройствах комнат (таких как устройство Cisco Webex Room или Cisco Webex Board) как записи, доступные для поиска. При поиске пользователей на устройстве Cisco Webex Room или Cisco Webex Board отображаются синхронизированные записи комнаты, настроенные с использованием SIP-адресов. При совершении вызова с устройства Webex на эту запись вызов будет помещен на SIP-адрес, настроенный для комнаты. Вызов Пользователи могут совершать вызовы корпоративным контактам в дополнение к контактам приложения Webex. С помощью соединителя каталогов корпоративные пользователи и их номера телефона будут добавлены в вашу организацию Webex. Для работы этой функции им не требуется лицензия служб Webex. Пользователи, не имеющие лицензии на Webex, будут отображаться в поиске по каталогу, выполняемом с телефона пользователя Cisco Webex Calling, при условии, что URI или номер телефона синхронизирован с Webex с помощью соединителя каталогов. Функции вызовов работают одинаково для обоих типов пользователей. Эта функция также предоставляет возможность редактирования набора для контактов только с номерами телефона. В результате поиска контактов: Если контакты имеют набираемый URI (SIP-адрес Webex) и номер телефона, отображается URI, связанный с контактом. Если у контактов нет набираемого URI, но есть номер телефона, он отображается. У них также есть программная клавиша для редактирования набора. Если контакты не имеют ни одного, они не отображаются в каталоге.
Средство просмотра event-совещаний	Используйте средство просмотра event-совещаний, чтобы определить, не возникали ли проблемы с синхронизацией.
Инструмент диагностики и устранение неполадок	С помощью встроенного средства диагностики можно устранять неполадки при развертывании соединителя каталогов Cisco. Если синхронизация не работала надлежащим образом, может возникнуть ошибка конфигурации или сети. Этот инструмент тестирует подключение к Active Directory, чтобы можно было самостоятельно диагностировать ошибки перед обращением в службу поддержки. После включения устранения неполадок в соединителе каталогов записываются журналы, которые можно отправить в службу технической поддержки.
Автоматическая модернизация	После установки соединителя каталогов вам будет отправляться уведомление при наличии новой версии программного обеспечения. Можно настроить автоматическую модернизацию таким образом, чтобы при выпуске новой версии всегда использовалась последняя версия программного обеспечения.
Высокая доступность	Настройте несколько соединителей таким образом, чтобы было резервное копирование, на случай, если основной соединитель или устройство, на котором он размещен, прекращается.

Соединитель каталогов разделен на три области:

Control Hub – это единый интерфейс, который позволяет управлять всеми аспектами организации Webex. просмотр пользователей, назначение лицензий, скачивание соединителя каталогов и настройка системы единого входа (SSO) , если необходимо, чтобы пользователи аутентифицировались с помощью корпоративного поставщика удостоверений и не отправляли электронные приглашения для приложения Webex.
Интерфейс управления соединителем каталогов – это программное обеспечение, которое вы загружаете из Control Hub и устанавливаете на доверенном сервере Windows. Для нескольких доменов Active Directory можно установить одно мгновение программного обеспечения для каждого домена, который необходимо синхронизировать. С помощью этого программного обеспечения можно выполнить синхронизацию, чтобы привести учетные записи пользователей Active Directory в Webex, просмотреть и контролировать состояние синхронизации, а также настроить службы соединителя каталогов.
Служба синхронизации каталогов запрашивает Active Directory для получения пользователей и групп для синхронизации со службой соединителя и соединителем каталогов.

Чтобы понять архитектуру соединителя каталогов, см. эту диаграмму.

Подготовка среды для соединителя каталогов

Требования к соединителю каталогов

Требования к Windows и Active Directory

Соединитель каталогов можно установить на следующих поддерживаемых серверах Windows:

Windows Server 2003
Windows Server 2019
Windows Server 2003

Чтобы решить проблему с файлами cookie, рекомендуется модернизировать контроллер домена до выпуска, содержащего исправление: Windows Server 2012 R2 или 2016.

Соединитель каталогов поддерживается следующими службами Active Directory:

Active Directory 2016

(Соединитель каталогов поддерживается при использовании последней версии Active Directory в Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

Обратите внимание на следующие дополнительные требования:

Для соединителя каталогов требуется TLS1.2. Необходимо установить приведенные ниже параметры.
- .NET Framework v3.5 (требуется для приложения соединителя каталогов. При возникновении каких-либо проблем воспользуйтесь инструкциями в Enable .NET Framework 3.5 с помощью мастера добавления ролей и функций.)
- .NET Framework v.4.5 (требуется для TLS1.2)
Требуется функциональный уровень леса Active Directory 2 (Windows Server 2003) или выше. (Дополнительную информацию см. в разделе Что такое функциональные уровни Active Directory? .)

Требования к аппаратному обеспечению

Необходимо установить соединитель каталогов на компьютер с указанными ниже минимальными требованиями к аппаратному обеспечению.

8 ГБ ОЗУ
50 ГБ памяти
Нет минимума для ЦП

Требования к сети

Если ваша сеть находится за брандмауэром, убедитесь, что ваша система имеет доступ к Интернету по протоколу HTTPS (порт 443).

Требования к организации Webex

Для доступа к программному обеспечению соединителя каталогов из Control Hub необходима организация Webex с пробной или любой платной подпиской.
(Необязательно) Чтобы новые учетные записи пользователей приложения Webex были активными до первого входа в систему, рекомендуется выполнить указанные ниже действия.
- Добавьте, подтвердите и при необходимости заявите домены , содержащие адреса электронной почты пользователей, которые необходимо синхронизировать в облаке.
- Выполните интеграцию системы единого входа (SSO) поставщика удостоверений (IdP) с организацией Webex.
- Отключите автоматические электронные приглашения, чтобы новые пользователи не получали автоматическое электронное приглашение и вы могли проводить собственную кампанию по электронной почте. (Для этой функции требуется интеграция SSO.)

Дополнительную информацию см. в разделе Состояния и действия пользователей в Control Hub.

Требования к установке

Для среды с несколькими доменами (один лес или несколько лесов) необходимо установить один соединитель каталогов для каждого домена Active Directory. Если необходимо синхронизировать новый домен (B) при сохранении синхронизированных данных пользователей в другом существующем домене (A), убедитесь, что у вас есть отдельный поддерживаемый сервер Windows для установки соединителя каталогов для синхронизации домена (B).
Для входа в соединитель не требуется учетная запись администратора в Active Directory. Требуется учетная запись локального пользователя, которая является тем же пользователем, что и учетная запись администратора с полными правами в Control Hub.

Этот локальный пользователь должен иметь права на этой машине Windows для подключения к контроллеру домена и чтения пользовательских объектов Active Directory. Учетная запись для входа в систему должна быть компьютерным администратором с правами на установку программного обеспечения на локальной машине. (Эта информация также применима к логину виртуальной машины.)
При входе в соединитель учетная запись входа должна совпадать с учетной записью администратора с полными правами для Control Hub. По умолчанию соединитель использует учетную запись локальной системы для доступа к Active Directory. Однако можно использовать службы Windows для настройки другой учетной записи для доступа к Active Directory. (Эта информация также применима к логину виртуальной машины.)
Убедитесь, что режим поиска динамической библиотеки ссылок (DLL) Windows Safe включен, выполнив следующую процедуру: Проверьте SafeDllSearchMode в реестре Windows.
При использовании AD LDS для нескольких доменов в одном лесу рекомендуется установить соединитель каталогов и службы доменов Active Directory/облегченные службы каталогов Active Directory (AD DS/AD LDS) на отдельных машинах.

Требования к нескольким доменам

Прежде чем следовать задачам в потоке задач развертывания соединителя каталогов Cisco, учтите приведенные ниже требования и рекомендации при синхронизации информации Active Directory из нескольких доменов в облако.

Для каждого домена требуется отдельный экземпляр соединителя каталогов.
Программное обеспечение соединителя каталогов должно работать на узле, находящемся в том же домене, который будет синхронизироваться.
Рекомендуется подтвердить или заявить домены в Control Hub. (См. раздел Добавление, проверка и утверждение доменов.)
Чтобы синхронизировать более 50 доменов, необходимо открыть обращение , чтобы переместить организацию в большой список организаций.
При необходимости можно синхронизировать информацию о ресурсе комнаты вместе с учетными записями пользователей. (См. Синхронизация информации о локальной комнате с облаком Webex.)

Информация о размерах

Соединитель каталогов работает как мост между локальным каталогом Active Directory и облаком Webex. Таким образом, соединитель не имеет верхнего предела количества объектов Active Directory, которые могут быть синхронизированы с облаком. Любые ограничения для объектов локального каталога привязаны к конкретной версии и спецификациям среды Active Directory, которая синхронизируется с облаком, а не к самому соединителю.

На скорость синхронизации может повлиять несколько факторов.

Общее количество объектов Active Directory. (Задача синхронизации 5000 пользователей не займет столько времени, сколько 50000.)
Скорость и пропускная способность сети.
Рабочая нагрузка и спецификации системы.

При синхронизации более 50 000 пользователей настоятельно рекомендуется использовать второй соединитель для отработки отказа и резервирования.

Поскольку синхронизация связана с несколькими факторами и поскольку каждое развертывание зависит от вышеуказанных факторов, мы не можем указать конкретные значения времени, сколько времени займет синхронизация объекта.

Проверка режима SafeDllSearchMode в реестре Windows

Режим безопасного динамического поиска библиотеки ссылок (DLL) задается по умолчанию в реестре Windows и помещает текущую директорию пользователя позже в порядке поиска DLL. Если этот режим каким-либо образом был отключен, злоумышленник может поместить вредоносную DLL (названную так же, как и связанный файл DLL, который находится в системной папке) в текущий рабочий каталог приложения.

Обычно SafeDllSearchMode включен, но используйте эту процедуру для двойной проверки настроек реестра.

Перед началом работы

Изменения в реестре Windows следует вносить с особой осторожностью. Перед выполнением этих действий рекомендуется создать резервную копию реестра.

В окне поиска Windows или Запустить введите regedit и нажмите Enter.

Перейдите в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан в списке — дальнейшие действия не требуются.
Отображается список SafeDllSearchMode. Убедитесь, что для значения установлено значение 1.

Дополнительные сведения см. в разделе Порядок поиска библиотеки динамических ссылок.

интеграция веб-прокси

Если аутентификация веб-прокси включена в вашей среде, вы по-прежнему можете использовать соединитель каталогов.

Если в вашей организации используется прозрачный веб-прокси, аутентификация не поддерживается. Соединитель успешно подключает и синхронизирует пользователей.

Вы можете воспользоваться одним из следующих способов:

Явный веб-прокси через Internet Explorer (соединитель наследует настройки веб-прокси)
Явный веб-прокси через файл .pac (соединитель наследует корпоративные настройки прокси)
Прозрачный прокси, работающий с соединителем без каких-либо изменений

Использование веб-прокси Через Браузер

Соединитель каталогов можно настроить на использование веб-прокси через Internet Explorer.

Если служба Cisco DirSync работает с другой учетной записи, отличной от текущего пользователя, вам также необходимо войти с помощью этой учетной записи и настроить веб-прокси.

В Internet Explorer перейдите в раздел Свойства обозревателя, щелкните Соединения, а затем выберите Настройки LAN.

Укажите экземпляр Windows, в котором соединитель установлен на веб-прокси. Соединитель наследует эти настройки веб-прокси.

Если в вашей среде используется аутентификация прокси, добавьте эти URL в список разрешенных.

cloudconnector.webex.com для синхронизации.
idbroker.webex.com для аутентификации.
idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т.д.

Это можно выполнить как на уровне веб-сайта (для всех организаторов), так и только для организатора, у которого есть соединитель.

Если эти URL-адреса добавлены в список разрешенных для полного обхода веб-прокси, убедитесь, что таблица ACL брандмауэра обновлена, чтобы разрешить узлу соединителя прямой доступ к URL-адресам.

Если вашей среде необходимо запросить списки отзыва сертификатов у центров сертификации, добавьте эти URL-адреса в список разрешенных.

*.quovadisglobal.com
*.digicert.com
* .godaddy.com
*.identrust.com
* .lencr.org

Дополнительную информацию см. в этой статье о доменах и URL, доступ к которым необходимо получить для служб Webex.

Настройка веб-прокси с помощью файла PAC

В браузере клиента можно настроить использование файла .pac. Этот файл предоставляет информацию об адресе веб-прокси и портах. Соединитель каталогов напрямую наследует корпоративную конфигурацию веб-прокси.

Чтобы соединитель успешно подключился и синхронизировал информацию о пользователях с облаком Webex, убедитесь, что аутентификация прокси отключена для cloudconnector.webex.com в конфигурации файла .pac для узла, на котором установлен соединитель.

Если в вашей среде используется аутентификация прокси, добавьте эти URL в список разрешенных.

cloudconnector.webex.com для синхронизации.
idbroker.webex.com для аутентификации.
idbroker-static.webex.com для предоставления статических ресурсов, таких как шрифт, компоненты js и т.д.

*.quovadisglobal.com
*.digicert.com
* .godaddy.com
*.identrust.com
* .lencr.org

прокси-сервер NTLM

Соединитель каталогов поддерживает диспетчер NT LAN (NTLM). NTLM – это один из подходов к поддержке аутентификации Windows среди устройств домена и обеспечении их безопасности.

Проектирование NTLM

В большинстве случаев пользователь хочет получить доступ к другим ресурсам рабочей станции через клиентский ПК, что может быть трудно сделать безопасным способом.

Как правило, технический дизайн NTLM основан на механизме Challenge and Response:

Пользователь выполняет вход на клиентский ПК с помощью учетной записи и пароля Windows. Пароль не сохраняется локально. Вместо обычного текстового пароля локально сохраняется хэш-значение пароля. При входе пользователя в клиент с помощью пароля ОС Windows сравнивает сохраненное хэш-значение и хэшированное значение с входным паролем. Если оба одинаковы, аутентификация проходит.

Когда пользователь хочет получить доступ к какому-либо ресурсу на другом сервере, клиент отправляет запрос на сервер с именем учетной записи в обычном тексте.
Когда сервер получает запрос, сервер генерирует 16-битный случайный ключ. Ключ называется Challenge (или Nonce). Перед отправкой сервера клиенту вызов сохраняется на сервере. Затем сервер отправляет вызов клиенту простым текстом.
Как только клиент получает вызов, отправленный с сервера, клиент шифрует вызов по хэшу, указанному в шаге 1. После шифрования значение отправляется обратно на сервер.
Когда сервер получает зашифрованное значение от клиента, сервер отправляет его контроллеру домена для проверки. Запрос включает в себя: имя учетной записи, зашифрованный вызов, отправленный клиентом, и исходный простой вызов.
Контроллер домена может получить хэш-значения пароля в соответствии с именем пользователя. А затем контроллер домена может шифровать исходную задачу. После этого контроллер doman может сравниться с полученным хэшем и зашифрованным хэшем. Если они совпадают, проверка проходит успешно.

Windows имеет аутентификацию безопасности, встроенную в операционную систему, что облегчает приложениям поддержку аутентификации безопасности. В результате вам не нужно завершать дальнейшую настройку.

Настройка прозрачного прокси

В этом сценарии браузер не знает, что прозрачный веб-прокси перехватывает http-запросы (порт 80/порт 443) и конфигурация на стороне клиента не требуется.

1.	Разверните прозрачный прокси, чтобы соединитель мог подключать и синхронизировать пользователей.
2.	Убедитесь, что прокси успешно выполнен. При запуске соединителя отображается ожидаемое всплывающее окно аутентификации браузера.

Настройка аутентификации прокси

Добавить URL cloudconnector.webex.com в список разрешенных, создав список контроля доступа.

На корпоративном сервере брандмауэра:

1.	Включите поиск DNS, если он еще не включен.
2.	Определите примерную пропускную способность для этого соединения (приблизительно 2 Мбит/с или менее для соединителя). Это может не потребоваться.
3.	Создайте список контроля доступа для применения к узлу соединителя и укажите `cloudconnector.webex.com` в качестве цели для добавления в список разрешенных. Пример. `access-list 2000 acl-inside extended permit TCP [IP of the connector] cloudconnector.webex.com eq https`
4.	Примените этот ACL к соответствующему интерфейсу брандмауэра, который применим только к этому узлу соединителя.
5	Убедитесь в том, что остальным организаторам в вашей организации по-прежнему необходимо использовать веб-прокси, настроив соответствующее подразумеваемое заявление об отказе.

Развертывание соединителя каталогов

Процесс развертывания соединителя каталогов Cisco

Перед началом работы

Подготовка среды для соединителя каталогов

1.	Установить соединитель каталога Синхронизация каталога в Control Hub изначально отображается как отключенная. Чтобы включить синхронизацию каталогов для вашей организации, необходимо установить и настроить соединитель каталогов, а затем успешно выполнить полную синхронизацию. Для новой установки соединителя каталогов всегда перейдите в Control Hub ( https://admin.webex.com), чтобы получить последнюю версию программного обеспечения с использованием последних функций и исправлений ошибок. После установки программного обеспечения об обновлениях сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.
2.	Вход В Соединитель Каталогов Войдите с помощью учетных данных администратора Webex и выполните начальную настройку.
3.	Настройка автоматической модернизации Всегда важно поддерживать программное обеспечение соединителя каталогов в актуальном состоянии до последней версии. Рекомендуется использовать эту процедуру, чтобы разрешить автоматическую модернизацию программного обеспечения в фоновом режиме, когда она доступна.
4.	Выбор объектов Active Directory для синхронизации По умолчанию соединитель каталогов синхронизирует всех пользователей, которые не являются компьютерами, и все группы, которые не являются критическими системными объектами для домена. Для получения дополнительной информации о том, какие объекты синхронизируются, можно выбрать определенных пользователей для синхронизации и задать фильтры LDAP с помощью страницы выбора объектов в соединителе каталогов.
5	Сопоставление атрибутов пользователя Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid.
6	Синхронизируйте аватары каталога с помощью одной из приведенных ниже процедур. Синхронизация аватаров каталога из атрибута Active Directory в облако Синхронизация аватаров каталогов с сервера ресурсов в облако Можно синхронизировать аватары пользователей с облаком, чтобы аватар каждого пользователя отображался при входе в приложение. Можно синхронизировать аватары с помощью атрибута Active Directory или сервера ресурсов.
7.	Синхронизация информации о локальной комнате с облаком Webex Используйте эту процедуру для синхронизации информации о локальных комнатах из Active Directory в облако Webex. После синхронизации информации о комнате локальные устройства комнат с настроенным сопоставленным адресом SIP отображаются в качестве записей с возможностью поиска на зарегистрированных в облаке устройствах комнат, таких как устройство Webex Room или Cisco Webex Board
8	Чтобы подготовить пользователей из Active Directory в Control Hub, выполните следующие действия. Выполните пробную синхронизацию для пользователей Active Directory Полная синхронизация пользователей Active Directory в облаке Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub Следуйте этой последовательности, чтобы подготовить пользователей Active Directory для учетных записей приложения Webex. Для соединителя каталогов 3.0 и последующих версий можно подготовить пользователей из нескольких лесов или нескольких доменов Active Directory. Во время процесса подключения пользователей из разных доменов необходимо решить, следует ли сохранять или удалять объекты пользователей, которые уже могут существовать в облаке Webex, например, протестировать учетные записи из пробной версии. Цель заключается в точном сопоставлении активных каталогов с облаком Webex.

Установить соединитель каталога

Синхронизация каталога в Control Hub изначально отображается как отключенная. Чтобы включить синхронизацию каталогов для вашей организации, необходимо установить и настроить соединитель каталогов, а затем успешно выполнить полную синхронизацию.

Необходимо установить один соединитель для каждого домена Active Directory, который необходимо синхронизировать. Один экземпляр соединителя каталогов может обслуживать только один домен. Чтобы понять процесс синхронизации нескольких доменов, см. следующую диаграмму.

***Поток нескольких доменов для соединителя каталогов***

Перед началом работы

При аутентификации через прокси-сервер убедитесь, что у вас есть учетные данные прокси:

Для базовой аутентификации прокси вы введете имя пользователя и пароль после установки экземпляра соединителя. Конфигурация прокси-сервера Internet Explorer также необходима для базовой аутентификации; см. статью Использование веб-прокси через браузер
При первом открытии соединителя для прокси-сервера NTLM может возникнуть ошибка. См. статью Использование веб-прокси через браузер.

В Control Hub перейдите к Пользователи > Управление пользователями > Включить синхронизацию каталога и выберите Далее.

Щелкните ссылку Скачать и установить, чтобы сохранить последнюю версию файла установки соединителя ZIP на сервер VMware или Windows.

Файл ZIP можно получить непосредственно по этой ссылке, однако для работы этого программного обеспечения необходимо иметь полный административный доступ к организации Control Hub.

Для новой установки получите последнюю версию программного обеспечения, чтобы вы использовали последние функции и исправления ошибок. После установки программного обеспечения об обновлениях сообщается с помощью программного обеспечения и автоматически устанавливается, когда оно доступно.

На сервере VMware или Windows распакуйте и запустите файл .msi в папке setup, чтобы запустить мастер настройки.

Нажмите Далее, установите флажок, чтобы принять лицензионное соглашение, а затем нажмите Далее, пока не отобразится экран типа учетной записи.

Выберите тип учетной записи службы, которую необходимо использовать, и выполните установку с помощью учетной записи администратора.

Локальная система. Параметр по умолчанию. Этот параметр можно использовать, если прокси настроен через Internet Explorer.

Учетная запись домена. Используйте этот параметр, если компьютер является частью домена. Соединитель каталогов должен взаимодействовать с сетевыми службами для доступа к ресурсам домена. Введите данные учетной записи и нажмите ОК. При вводе имени пользователя используйте формат {domain}\{user_name}

Для прокси, который интегрируется с AD (NTLMv2 или Kerberos), необходимо использовать параметр учетной записи домена. Учетная запись, используемая для запуска службы соединителя каталогов, должна иметь достаточные права для передачи прокси и доступа к AD.

Во избежание ошибок убедитесь в наличии следующих прав:

Сервер является частью домена
Учетная запись домена может получить доступ к локальным данным AD и данным аватаров. Учетная запись также должна иметь роль локального администратора, поскольку она должна иметь доступ к файлам доступа в разделе C:\Program Files.
Для входа в виртуальную машину права учетной записи администратора должны быть по крайней мере в состоянии читать информацию о домене.

Щелкните Установить. После запуска сетевого тестирования и при появлении соответствующего запроса введите базовые учетные данные прокси-сервера, нажмите ОК, а затем нажмите Готово.

Дальнейшие действия

Рекомендуется перезагрузить сервер после установки. В пробном отчете не отображается правильный результат, если данные не были опубликованы. Во время перезагрузки машины обновляются все данные, чтобы показать точный результат в отчете.

Вход В Соединитель Каталогов

Перед началом работы

Убедитесь, что у вас есть учетные данные прокси.

Для базовой аутентификации прокси введите имя пользователя и пароль после первого открытия соединителя.
Для прокси-сервера NTLM откройте Internet Explorer, щелкните пиктограмму шестеренки, перейдите в раздел Свойства интернета > Соединения > настройки локальной сети, убедитесь, что информация о прокси-сервере добавлена, а затем нажмите OK. См. статью Использование веб-прокси через браузер.

Откройте разъем, а затем добавьте https://idbroker.webex.com в список доверенных веб-сайтов, если вы видите подсказку.

При появлении соответствующего запроса войдите в систему с помощью учетных данных для аутентификации прокси, затем войдите в Webex с помощью учетной записи администратора и щелкните Далее.

Подтвердите свою организацию и домен.

Если выбран AD DS, установите флажок LDAP по протоколу SSL, чтобы использовать безопасный LDAP (LDAPS) в качестве протокола подключения, выберите домен, с которого необходимо синхронизировать, и нажмите кнопку Подтвердить.

Если вы не проведете проверку LDAP по протоколу SSL, DirSync продолжит использовать протокол подключения LDAP.

LDAP (Lightweight Directory Application Protocol) и Secure LDAP (LDAPS) — это протоколы соединения, используемые между приложением и контроллером домена в пределах инфраструктуры. Связь LDAPS зашифрована и защищена.

Если выбран AD LDS, введите хост, домен и порт, а затем щелкните Обновить , чтобы загрузить все разделы приложения. Затем выберите раздел из раскрывающегося списка и нажмите Confirm. Дополнительную информацию см. в разделе AD LDS.

На вкладке CloudConnectorCommon.dll файл конфигурации, убедитесь, что вы добавили настройку ADAuthLevel в узел appSetting . Значения могут быть 1, 2 или 3. Дополнительную информацию о AuthenticationTypes см. в этой статье от Microsoft. Ниже приведен пример настройки со значением 1:

<appSettings>
<add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" />
<add key="ADAuthLevel" value="1" />
</appSettings>

После отображения экрана Confirm Organization (Подтвердить организацию) щелкните Confirm (Подтвердить).

Если вы уже связали AD DS/AD LDS, отобразится экран Confirm Organization (Подтвердить организацию).

Щелкните Confirm (Подтвердить).

Выберите один из них в зависимости от количества доменов Active Directory, которые необходимо связать с соединителем каталогов.

Если у вас есть один домен, который является AD LDS, свяжите его с существующим источником AD LDS и щелкните Confirm.
Если у вас есть один домен, который является AD DS, свяжите его с существующим доменом или новым. Если вы выбрали Связать с новым доменом, нажмите Далее.
Поскольку существующим типом источника является AD DS, вы не можете выбрать AD LDS для новой привязки.
Если у вас несколько доменов, выберите существующий домен из списка или Связать с новым доменом и нажмите Далее.
Поскольку у вас несколько доменов, существующий тип источника должен быть AD DS. Если вы выберете Связать с новым доменом и нажмите Далее, вы не сможете выбрать AD LDS для новой привязки.

Дальнейшие действия

После входа вам будет предложено выполнить синхронизацию пробного запуска.

Инструментальная панель соединителя каталогов

При первом входе в соединитель каталогов отображается инструментальная панель. Здесь можно просмотреть сводную информацию обо всех действиях по синхронизации, просмотреть статистику в облаке, выполнить пробную синхронизацию, начать полную или инкрементную синхронизацию и запустить представление event-совещания, чтобы просмотреть информацию об ошибках.

Если время ожидания сеанса истекло, войдите в систему.

Эти задачи можно легко выполнить на панели инструментов действий или в меню действий.

Таблица 1. Компоненты инструментальной панели
Компонент	Описание
Начните синхронизацию	Отображает информацию о состоянии синхронизации, которая выполняется в данный момент. Если синхронизация не выполняется, отображение состояния находится в режиме ожидания.
Начните синхронизацию	Отображает следующую запланированную полную и инкрементальную синхронизацию. Если расписание не задано, отображается параметр Не запланировано.
Начните синхронизацию	Отображает состояние последних двух синхронизаций.
Текущее состояние синхронизации	Отображает общее состояние синхронизации.
Соединители	Отображает текущие локальные соединители, доступные в облаке.
Статистика вызовов	Отображает общее состояние синхронизации.
График синхронизации	Отображает график синхронизации для инкрементной и полной синхронизации.
Сводная информация о конфигурации	Список настроек, измененных в конфигурации. Например, резюме может включать следующее: Все объекты будут синхронизированы Все пользователи будут синхронизированы Удаленное пороговое значение отключено.

Таблица 2. панель инструментов действий

Действие

Описание

Начать инкрементальную синхронизацию

Начать инкрементальную синхронизацию вручную

Это действие отключается при приостановке или отключении синхронизации, если полная синхронизация не была завершена или если синхронизация выполняется.

Синхронизация пробного запуска

Выполните синхронизацию пробного запуска.

Запустить программу просмотра event-совещаний

Запустите средство просмотра событий Microsoft.

Обновить

Обновление инструментальной панели соединителя каталогов Cisco

Таблица 3. Действия Menubar
Действие	Описание
Синхронизировать сейчас	Начните полную синхронизацию мгновенно.
Режим синхронизации	Выберите режим инкрементной или полной синхронизации.
Сброс секрета соединителя	Установите разговор между соединителем каталогов Cisco и службой соединителя. При выборе этого действия секретный код будет сброшен в облаке, а затем сохранен локально.
Пробный Запуск	Выполните тест процесса синхронизации. Перед полной синхронизацией необходимо выполнить пробный запуск.
Устранение неполадок	Включение/выключение устранения неполадок.
Обновить	Обновите главный экран соединителя каталогов Cisco.
Выход	Выйдите из соединителя каталогов Cisco.

Таблица 4. Комбинации клавиш
Комбинация клавиш	Действие
Alt +A	Показать меню действий
`Alt +A + S`	Синхронизация сейчас
`Alt +A + R`	Сброс секрета соединителя
`Alt +A + D`	Пробный запуск
`Alt +A + S + I`	Дополнительная синхронизация
`Alt +A + S + F`	Полная синхронизация
`Alt + H`	Показатьменю справки
`Alt + H + H`	Справка
`Alt + H + A`	О приложении
`Alt + H + F`	Вопросы и ответы

Настройка автоматической модернизации

1.	В соединителе каталогов перейдите к Конфигурация > Общие, а затем установите флажок Автоматическая модернизация до новой версии соединителя каталогов Cisco.
2.	Щелкните Применить , чтобы сохранить изменения.

Новые версии соединителя устанавливаются автоматически, когда они доступны.

При желании модернизацию можно управлять вручную. Дополнительную информацию см. в разделе Модернизация до последнего выпуска программного обеспечения.

Выбор объектов Active Directory для синхронизации

По умолчанию соединитель каталогов синхронизирует всех пользователей, которые не являются компьютерами, и все группы, которые не являются критическими системными объектами для домена. Для получения дополнительной информации о том, какие объекты синхронизируются, можно выбрать определенных пользователей для синхронизации и задать фильтры LDAP с помощью страницы выбора объектов в соединителе каталогов.

Группы для автоматического назначения лицензий

Control Hub позволяет управлять назначениями лицензий для каждой группы. Можно создавать шаблоны лицензий и сопоставлять их с группами Active Directory, которые синхронизируются с облаком. В момент создания пользователя Webex проверяет членство пользователей и автоматическое сопоставление шаблонов лицензий для этого нового пользователя.

Рекомендуется использовать фильтр LDAP только для синхронизации соответствующих групп с облаком. Например, можно настроить фильтр следующим образом:

(&(cn=Example)(objectclass=Group))*

Этот фильтр синхронизирует все группы в базовом доменном домене, где имя начинается с Example. Пользователям, не назначенным группам, назначаются лицензии из шаблона автоматических лицензий по умолчанию, настроенного в Control Hub.

Экран выбора объекта в соединителе каталогов

Группы для развертываний безопасности данных гибридного типа

В соединителе каталогов необходимо проверить группы при использовании службы безопасности данных гибридного типа для настройки пробной группы для пилотных пользователей. См. руководство по развертыванию службы безопасности данных гибридного типа . Эта настройка соединителя каталогов не влияет на синхронизацию других пользователей с облаком.

Перед началом работы

В соединителе каталогов перейдите в раздел Конфигурация и щелкните Выбор объекта.

В разделе Тип объекта установите флажок Пользователи и подумайте об ограничении количества контейнеров с возможностью поиска для пользователей.

Например, если необходимо синхронизировать только пользователей из определенной группы, необходимо ввести фильтр LDAP в поле Пользователи LDAP фильтры. Чтобы синхронизировать пользователей из группы Example-manager, используйте фильтр, подобный этому:

(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))

Установите флажок Identify Room , чтобы отделить данные комнаты от данных пользователя. Щелкните Настроить , если необходимо настроить дополнительные атрибуты для идентификации данных пользователей в качестве данных комнаты.

Используйте эту настройку, если необходимо синхронизировать информацию о локальных комнатах из Active Directory в облако Webex. После синхронизации информации о комнате локальные устройства комнат с настроенным сопоставленным SIP-адресом отображаются в качестве записей с возможностью поиска на зарегистрированных в облаке устройствах комнат. Дополнительную информацию см. в статье Синхронизация информации о локальной комнате с облаком Webex.

Установите флажок Группы , если необходимо синхронизировать группы пользователей Active Directory с облаком.

Не добавляйте фильтр LDAP для синхронизации пользователей в поле "Группы". Вы должны использовать только поле "Группы" для синхронизации самих данных группы с облаком.

По умолчанию группы не синхронизируются для новых клиентов. Необходимо включить синхронизацию групп. Необходимо также синхронизировать группы безопасности.

Установите флажок Контакты , если необходимо синхронизировать контактную информацию пользователей с облаком.

Соединитель каталогов управляет только контактами, синхронизированными соединителем. Если в Control Hub уже есть контакты, синхронизация не удаляет их. Если контакты будут удалены из области синхронизации, контактные данные пользователей также будут удалены в Control Hub.

Настройте фильтры LDAP . Можно добавить расширенные фильтры, предоставив действительный фильтр LDAP. Дополнительную информацию о настройке фильтров LDAP см. в этой статье .

Укажите доменные имена локальной базы для синхронизации, щелкнув Выбрать, чтобы просмотреть структуру дерева Active Directory. Здесь можно выбрать или отменить выбор контейнеров для поиска.

Убедитесь, что объекты, которые необходимо добавить для этой конфигурации, и нажмите Select.

Можно выбрать индивидуальные или родительские контейнеры для синхронизации. Выберите родительский контейнер, чтобы включить все дочерние контейнеры. При выборе контейнера для детей в родительском контейнере отображается серый флажок, указывающий на то, что ребенок был отмечен. Затем щелкните Select (Выбрать), чтобы принять проверенные контейнеры Active Directory.

Если ваша организация поместит всех пользователей и группы в контейнер "Пользователи", вам не придется искать другие контейнеры. Если ваша организация разделена на единицы организации, убедитесь, что выбраны OU.

Нажмите Применить.

Выберите один из вариантов.

Применить изменения конфигурации
Пробный Запуск
Отмена

Информацию о пробных запусках см. в разделе Синхронизация пробных запусков для пользователей Active Directory.

Для синхронизации групп необходимо выполнить полную синхронизацию. Выполните полную синхронизацию пользователей Active Directory в облако.

Сопоставление атрибутов пользователя

Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке. Единственным обязательным полем является *uid, уникальный идентификатор для каждой учетной записи пользователя в облачной службе удостоверений.

Можно выбрать атрибут Active Directory для сопоставления с облаком, например firstName lastName в Active Directory или пользовательское выражение атрибута для displayName в облаке.

Учетные записи в Active Directory должны иметь адрес электронной почты; идентификатор UID по умолчанию сопоставляется с ad поле почты (не sAMAccountName).

Если выбран предпочтительный язык из Active Directory, то Active Directory является единственным источником истины: пользователи не смогут изменить настройки языка в настройках Webex, а администраторы не смогут изменить эту настройку в Control Hub.

В соединителе каталогов щелкните Конфигурация, а затем выберите Сопоставление атрибутов пользователя.

На этой странице отображаются имена атрибутов Active Directory (слева) и облака Webex (справа). Все необходимые атрибуты отмечены красной звездочкой.

Прокрутите вниз вниз имена атрибутов Active Directory, а затем выберите один из этих атрибутов Active Directory для сопоставления с идентификатором атрибута облака UID.

mail: используется в большинстве развертываний для формата электронной почты.
userPrincipalName — альтернативный выбор, если атрибут почты используется для других целей в Active Directory. Этот атрибут должен быть в формате электронной почты.

Любой из других атрибутов Active Directory можно сопоставить с UID, однако рекомендуется использовать mail или userPrincipalName, как описано в приведенных выше рекомендациях. В некоторых случаях для входа используется userPrincipalName, но для управления календарем используется адрес электронной почты пользователя. Необходимо указать адрес электронной почты для управления календарем в поле основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. Чтобы узнать, какие атрибуты в Active Directory соответствуют в облаке, см. раздел Сопоставление атрибутов Active Directory в соединителе каталогов.

Чтобы синхронизация работала, необходимо убедиться, что выбранный атрибут Active Directory находится в формате электронной почты. В соединителе каталогов отображается всплывающее окно с напоминанием о том, что вы не выбрали один из рекомендованных атрибутов.

Если предопределенные атрибуты Active Directory не работают для вашего развертывания, щелкните раскрывающийся список атрибутов, прокрутите вниз и выберите Настроить атрибут , чтобы открыть окно, позволяющее определить выражение атрибута.

Щелкните Справка , чтобы получить дополнительную информацию о выражениях и посмотреть примеры работы выражений. Дополнительные сведения см. в разделе Выражения для настраиваемых атрибутов .

В этом примере давайте сопоставим атрибуты Active Directory givenName и Sn к атрибуту облака displayName:

Определить выражение атрибута как givenName + "" + Sn(кавычки являются дополнительным пространством), а затем предоставьте существующий адрес электронной почты пользователя для проверки.
Щелкните Проверить, соответствует ли результат ожидаемому.

Успешный результат выглядит следующим образом:
Если результаты совпадают с ожидаемыми, нажмите OK, чтобы сохранить новый настраиваемый атрибут.

Позже, если вы хотите изменить displayName, можно ввести новое выражение атрибута

Соединитель каталогов проверяет значение атрибута uid в службе удостоверений и извлекает 3 доступных пользователя в соответствии с текущими параметрами фильтра пользователей. Если у всех этих 3 пользователей действительный формат электронной почты, соединитель каталогов Cisco отображает следующее сообщение:

Если атрибут не может быть проверен, будет отображено следующее предупреждение и можно вернуться в Active Directory для проверки и исправления данных пользователя.

(Необязательно) Выберите сопоставления для мобильного и phoneNumber , если необходимо, чтобы мобильные и рабочие номера отображались, например, в карточке контакта пользователя в приложении Webex.

Данные о номере телефона отображаются в приложении Webex при наведении курсора мыши на изображение профиля другого пользователя.

Дополнительную информацию о вызовах с помощью карточки контакта пользователя см. в руководстве по развертыванию Calling в Webex (Unified CM) (администраторы).

Выберите дополнительные сопоставления, чтобы дополнительные данные отображались в карточке контакта.

departmentNumber
displayName
manager
title

После сопоставления атрибутов информация отображается при наведении указателя мыши на изображение профиля другого пользователя.

Просмотр чьей-либо контактная информация

Дополнительную информацию о карточке контакта см. в разделе Проверка контакта.

После синхронизации этих атрибутов с каждой учетной записью пользователя можно также включить функцию "Профессиональные профили" в Control Hub. Эта функция позволяет пользователям приложения Webex предоставлять больше информации в своих профилях и узнавать друг о друге. Дополнительную информацию о функции и способах ее включения см. в профессиональных профилях для Webex, Jabber, Webex Meetings и Webex Events (новая версия) в Control Hub

После выбора нажмите Применить.

Любые данные пользователя, содержащиеся в Active Directory, перезаписывают данные в облаке, соответствующем этому пользователю. Например, при создании пользователя вручную в Control Hub адрес электронной почты пользователя должен совпадать с адресом электронной почты в Active Directory. Любой пользователь без соответствующего адреса электронной почты в Active Directory удаляется.

Удаленные пользователи хранятся в облачной службе удостоверений в течение 7 дней до их окончательного удаления.

Атрибуты Active Directory и облака

Атрибуты из локального каталога Active Directory можно сопоставить с соответствующими атрибутами в облаке с помощью вкладки Сопоставление атрибутов пользователя .

В этой таблице сравнивается сопоставление имен атрибутов Active Directory и имен атрибутов облака Cisco. Эти значения и сопоставления являются настройками по умолчанию в соединителе каталогов. В раскрывающихся списках Active Directory можно выбрать различные атрибуты и определить, какой локальный атрибут синхронизируется с каким атрибутом облака.

Рассматривайте атрибуты раскрывающегося списка как пресеты. В качестве альтернативы значениям в строке Active Directory можно также указать настраиваемый атрибут, свой собственный предустановка, в Active Directory (выражение с несколькими атрибутами) для сопоставления с одним атрибутом облака в соответствующей строке. Таким образом можно гибко определять отображаемые имена пользователей. Например, можно добавить выражение, создающее настраиваемый атрибут на основе заголовка сотрудника, заданного имени и фамилии в Active Directory.

Также можно указать любой атрибут Active Directory для сопоставления с UID в облаке. Однако необходимо убедиться, что локальный атрибут соответствует действительному формату электронной почты.

Можно также использовать альтернативные адреса электронной почты, если, например, вы хотите использовать userPrincipalName для входа в систему, но адрес электронной почты пользователя используется для управления календарем. В этом случае сопоставьте другой адрес электронной почты с атрибутом emails;type-work . Это адрес электронной почты, который используется для аутентификации; он не используется для управления календарем. Адрес электронной почты, который вы сопоставляете из AD, должен быть из проверенного домена в вашей организации. Он должен быть уникальным и не назначаться другому пользователю.

Имена атрибутов Active Directory	Имена атрибутов облака Webex	Примечания
—	имя здания	—
c	c	Этот атрибут указывает аббревиатуру страны пользователя.
номер отдела	номер отдела	Этот атрибут используется для номера отдела пользователя, который отображается в карточке контакта и профессиональных профилях.
displayName	displayName	Этот атрибут используется для отображаемого имени учетной записи пользователя, которое отображается в Control Hub, карточке контакта и профессиональных профилей.
userAccountControl	ds-pwp-account disabled	Этот атрибут используется для синхронизации пользователей. Убедитесь, что атрибут userAccountControl сопоставлен с ds-pwp-account-disabled , иначе синхронизация пользователей не будет выполнена надлежащим образом.
EmployeeNumber	EmployeeNumber	—
facsimileTelephoneNumber	facsimileTelephoneNumber	—
—	jabberID	Этот атрибут облака относится к адресам мгновенных сообщений (типа XMPP), которые используются Jabber. Это значение отличается от sipAddresses.
д	д	Этот атрибут определяет город пользователя.
—	Региональные параметры	—
manager;	manager;	Этот атрибут используется для имени менеджера пользователя, которое отображается в карточке контакта и профессиональных профилях.
mobile	mobile	Этот атрибут используется в качестве мобильного номера, который отображается для вызова пользователя с карточки контакта.
щ	щ	Этот атрибут указывает название компании или организации и отображается в карточке контакта.
ou	ou	Этот атрибут определяет имя организационной единицы.
physicalDeliveryOfficeName	physicalDeliveryOfficeName	Этот атрибут определяет местоположение офиса пользователя.
postalCode	postalCode	Этот атрибут указывает почтовый или почтовый индекс пользователя для физической доставки почты.
Предпочтительный язык	Предпочтительный язык	Этот атрибут устанавливает предпочтительный язык пользователя, поддерживаются следующие форматы: xx_YY или xx-YY. Ниже приведены некоторые примеры. en_США, en_ГБ, fr-CA. При использовании неподдерживаемого языка или недействительного формата предпочтительный язык пользователей будет изменен на язык, заданный для организации.
MSRTCSIP-PrimaryUserAddress ipPhone	SipAddresses;type=enterprise	Этот атрибут используется для синхронизации информации о локальных комнатах из Active Directory в облако Cisco Webex.
sn	sn	Этот атрибут используется для фамилии учетной записи пользователя, которая отображается в Control Hub, карточке контакта и профессиональных профилей.
st	st	Этот атрибут определяет состояние или область пользователя.
streetAddress	Улица	Этот атрибут определяет адрес улицы пользователя для физической доставки почты.
TelephoneNumber	TelephoneNumber	Этот атрибут указывает основной (рабочий) номер телефона пользователя, который используется для вызова пользователя с карточки контакта.
—	часовой пояс	Этот атрибут облака определяет часовой пояс пользователя.
title	title	Этот атрибут определяет заголовок пользователя, отображаемый в карточке контакта и профессиональных профилях.
Тип	Предприятие	—
email *userPrincipalName	uid	Обязательное сопоставление атрибутов. Для каждой учетной записи пользователя значение Active Directory сопоставляется с уникальным идентификатором UID в облаке. В некоторых случаях для входа используется userPrincipalName, но для управления календарем используется адрес электронной почты пользователя. Необходимо указать адрес электронной почты для управления календарем в поле основного адреса электронной почты в Webex. Добавьте userPrincipalName в качестве альтернативного адреса электронной почты. После этого пользователь может использовать любой из этих адресов электронной почты для входа, если установлено правильное сопоставление атрибутов SAML. См. пример сопоставления атрибутов ниже , чтобы узнать, как можно сопоставить альтернативный адрес электронной почты.
*userPrincipalName email <custom attribute="">	электронные сообщения;работа с типами	Это сопоставление необязательно. Используйте его, если необходимо использовать альтернативные адреса электронной почты. Это адрес электронной почты, который используется для аутентификации; он не используется для управления календарем. Адрес электронной почты, который вы сопоставляете из AD, должен быть из проверенного домена в вашей организации. Он должен быть уникальным и не назначаться другому пользователю.
<New attribute="" for="" Azure="" user="" objectId="">	externalId	Создайте новый атрибут Active Directory для удержания пользовательского objectId Azure, чтобы он не конфликтовал с существующим. Затем этот атрибут сопоставляется с атрибутом externalId, обеспечивая автоматическое создание команд пользователями Webex при создании групп в Microsoft 365.

Сопоставление альтернативных адресов электронной почты

Выражения для пользовательских атрибутов

Таблица 5. Выражения для пользовательских атрибутов
Оператор	Описание и пример
%	Удаляет все символы из начала строки в положение символа или аргумента строки, если они совпадают. Выражение примера `"abc@example.com" % "@"` Результат `example.com`
-	Снимает заднюю часть входной строки с конца указанной строки. Выражение примера `"abc@example.com" - "@"` Результат `abc`
+	Объединяет входные строки или выражения. Выражение примера `"abc" + "" + "def"` Результат `abc def`
\|	Оценивает разделенные выражения по пустой строке и выбирает первый непустой результат. Выражение примера `"" \| "abc"` Результат `abc`

Синхронизация аватаров каталога из атрибута Active Directory в облако

Можно синхронизировать аватары каталога пользователей с облаком, чтобы каждый аватар отображался при входе в приложение Webex. Используйте эту процедуру для синхронизации необработанных данных аватара из атрибута Active Directory.

1.	В соединителе каталогов перейдите в раздел Конфигурация, щелкните Аватар, а затем установите флажок Включить.
2.	Для параметра Get avatar from, выберите атрибут AD, а затем выберите атрибут аватара, содержащий необработанные данные аватара, которые необходимо синхронизировать с облаком.
3.	Чтобы проверить правильность доступа к аватару, введите адрес электронной почты пользователя и щелкните Получить аватар пользователя. Аватар отображается справа.
4.	После проверки правильности отображения аватара щелкните Применить, чтобы сохранить изменения.

Синхронизированные изображения становятся аватаром по умолчанию для пользователей приложения Webex. Пользователям не разрешается настраивать собственный аватар после включения этой функции в соединителе каталогов.
Аватары пользователей синхронизируются как с приложением Webex, так и с любыми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Выполните пробную синхронизацию. Если проблем нет, выполните полную синхронизацию, чтобы учетные записи пользователей и аватары Active Directory синхронизировались в облаке и отображались в Control Hub.

Синхронизация аватаров каталогов с сервера ресурсов в облако

Можно синхронизировать аватары каталога пользователей с облаком, чтобы каждый аватар отображался при входе в приложение Webex. Используйте эту процедуру для синхронизации аватаров с сервера ресурсов.

Перед началом работы

Шаблон URI и значение переменной в этой процедуре являются примерами. Необходимо использовать фактические URL-адреса, на которых расположены аватары каталога.
Шаблон URI аватара и сервер, на котором находятся аватары, должны быть доступны из приложения соединителя каталогов. Соединителю необходим доступ к изображениям http или https, однако изображения не должны быть общедоступными в Интернете.
Синхронизация данных аватара отделена от профилей пользователей Active Directory. При запуске прокси необходимо обеспечить доступ к данным аватара с помощью аутентификации NTLM или базовой аутентификации.

1.	В соединителе каталогов перейдите в раздел Конфигурация, щелкните Аватар, а затем установите флажок Включить.
2.	Для параметра Get avatar from, выберите сервер ресурсов и введите шаблон URI аватара. Например, *`http://www.example.com/dir/photo/zoom/{mail: .?(?=@.)}.jpg`* Давайте рассмотрим каждую часть шаблона URI аватара и их значение: http://www.example.com/dir/photo/zoom/—Путь к месту расположения всех фотографий, которые будут синхронизированы. Это должен быть URL-адрес, к которому должна иметь доступ служба соединителя каталогов на вашем сервере. mail: — указывает соединителю каталогов получить значение атрибута mail из Active Directory *.?(?=@.)— синтаксис regex, который выполняет следующие функции: `.`—Любой символ, повторяющий ноль или более раз. `?`— Указывает предшествующей переменной, чтобы она соответствовала как можно меньшему количеству символов. `(?= ... )`— Соответствует группе после основного выражения без включения его в результат. Соединитель каталогов ищет совпадение и не включает его в вывод. `@.`—символ at, за которым следует любой символ, повторяющий ноль или более раз. .jpg* — расширение файла для аватаров пользователей. См. поддерживаемые типы файлов в этом документе и соответствующим образом измените расширение.
3.	(Необязательно) Если для вашего сервера ресурсов требуются учетные данные, установите флажок Задать учетные данные пользователя для аватара, затем выберите Использовать текущего пользователя службы или Использовать этого пользователя и введите пароль.
4.	Введите значение переменной. Например: `abcd@example.com`.
5	Щелкните Тест , чтобы убедиться, что шаблон URI аватара работает правильно. В этом примере, если значение почты для одной записи AD является `abcd@example.com` и изображения в формате jpg были синхронизированы, Final Avatar URI `http://www.example.com/dir/photo/zoom/abcd.jpg`
6	После того, как информация URI будет проверена и будет выглядеть корректно, щелкните Применить. Подробные сведения об использовании регулярных выражений см. в кратком справочнике Microsoft Regular Expression Language .

Синхронизированные изображения становятся аватаром по умолчанию для пользователей приложения Webex. Пользователям не разрешается настраивать собственный аватар после включения этой функции в соединителе каталогов.
Аватары пользователей синхронизируются как с приложением Webex, так и с любыми соответствующими учетными записями на веб-сайте Webex.

Дальнейшие действия

Синхронизация информации о локальной комнате с облаком Webex

Используйте эту процедуру для синхронизации информации о локальных комнатах из Active Directory в облако Webex. После синхронизации информации о комнате локальные устройства комнат с настроенным сопоставленным адресом SIP отображаются в качестве записей с возможностью поиска на зарегистрированных в облаке устройствах Webex (Room, Desk и Board).

В соединителе каталогов перейдите в раздел Синхронизация, щелкните подробнеерядом с синхронизированным доменом щелкните Config, а затем выберите Object Selection.

Установите флажок Синхронизировать информацию о комнате с облаком , чтобы отделить данные комнаты от данных пользователя во время синхронизации.

Если эта настройка отключена, данные комнаты обрабатываются так же, как и данные, синхронизированные пользователями.

Перейдите в раздел Сопоставление атрибутов, а затем измените сопоставление атрибутов для атрибута облака sipAddresses;type=enterprise.

Чтобы использовать проверку значений, значение SIP-адреса должно быть Pattern.compile("^([^@])(.*)@(.*)$")

Выберите MSRTCSIP-PrimaryUserAddress , если доступно.
Если в схеме Active Directory отсутствует указанный выше атрибут, используйте другое поле, например ipPhone.

Создайте почтовый ящик ресурса комнаты в Exchange. Это добавляет атрибут msExchResourceMetaData;ResourceType:Room , который соединитель затем использует для идентификации комнат.

На пользователях и компьютерах Active Directory перейдите к свойствам комнаты и измените их. Добавьте URI SIP с префиксом sip:

Выполните пробную синхронизацию запуска, а затем полную синхронизацию запуска в соединителе.

Новые объекты комнат отображаются в списке Объекты добавлены , а совпадающие объекты комнат отображаются в отчете "Объекты ". Все объекты комнат, отмеченные для удаления, находятся в разделе Удаленные комнаты.

В результатах пробного запуска отображаются все ресурсы комнаты, которые были сопоставлены.

Результаты пробного запуска соединителя каталогов с отображением совпадающих объектов

Эта настройка отделяет данные комнаты Active Directory (включая атрибут комнаты) от данных пользователя. По завершении синхронизации в статистике облака на инструментальной панели соединителя отображаются данные комнаты, синхронизированные с облаком.

Инструментальная панель соединителя каталогов с подсветкой окна статистики облака. Статистика облака включает пользователей, группы, комнаты и контакты.

Дальнейшие действия

После выполнения этих действий при поиске на зарегистрированном в облаке устройстве Webex будут отображаться синхронизированные записи комнат, настроенные с использованием SIP-адресов. При совершении вызова с устройства Webex на эту запись вызов будет помещен на SIP-адрес, настроенный для комнаты.

В Control Hub можно автоматически импортировать комнаты из каталога и создавать рабочие пространства.

Терминальное устройство не может выполнить обратный вызов в приложение Webex. Для устройств для набора тестовых номеров эти устройства должны быть зарегистрированы в качестве URI SIP локально или в другом месте, отличном от приложения Webex. Если система комнат Active Directory, которую вы ищете, зарегистрирована в Webex и тот же адрес электронной почты находится на устройстве Webex Room, настольном устройстве или Webex Board для службы календаря, дублирующаяся запись в результатах поиска не будет отображаться. Устройство Room, Desk или Board набирается непосредственно в приложении Webex, а SIP-вызов не совершается.

Отправка отчетов по электронной почте о результатах синхронизации каталога

По умолчанию контактные лица или администраторы организации всегда получают уведомления по электронной почте. С помощью этой настройки можно настроить пользователей, которые должны получать электронные уведомления с сводными отчетами о синхронизации каталога.

1.	В соединителе каталогов щелкните Конфигурация, а затем выберите Уведомление.
2.	В соединителе каталогов щелкните Настройки и рядом с Получатель электронной почты включите Включить синхронизацию отчета.
3.	Установите флажок Включить уведомление , если необходимо переопределить поведение уведомлений по умолчанию и добавить одного или нескольких получателей электронной почты.
4.	Щелкните Добавить и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом появится сообщение с предложением исправить проблему, прежде чем сохранить и применить изменения.
5	Щелкните Добавить адрес электронной почты и введите адрес электронной почты. При вводе адреса электронной почты с недействительным форматом появится сообщение с предложением исправить проблему, прежде чем сохранить и применить изменения.
6	Если вам необходимо изменить любые введенные вами адреса электронной почты, дважды щелкните запись электронной почты в левом столбце и внесите необходимые изменения.
7.	После добавления всех действительных адресов электронной почты щелкните Применить.
8	После добавления всех действительных адресов электронной почты щелкните Сохранить.

Дальнейшие действия

Если вы решили удалить адреса электронной почты, щелкните сообщение электронной почты, чтобы выделить эту запись, а затем нажмите Удалить.

Если вы решили удалить адреса электронной почты, щелкните Удалить рядом с записями определенных адресов электронной почты.

Подготовка пользователей из Active Directory в Control Hub

Чтобы подготовить пользователей Active Directory и создать соответствующие учетные записи пользователей в Control Hub, выполните приведенные ниже действия. После установки соединителя каталогов для каждого домена можно подготовить пользователей из развертывания Active Directory с несколькими доменами (с одним лесом или несколькими лесами). Во время процесса подключения пользователей из разных доменов необходимо решить, следует ли сохранять или удалять объекты пользователей, которые уже могут существовать в облаке Webex, например, протестировать учетные записи из пробной версии. Цель заключается в точном сопоставлении активных каталогов с облаком Webex.

1.	Выполните пробную синхронизацию для пользователей Active Directory Выполните пробный запуск для сравнения объектов в локальном каталоге Active Directory и объектов в облаке Webex. Пробный запуск позволяет увидеть, какие объекты будут добавлены, изменены или удалены, прежде чем выполнить полную или инкрементную синхронизацию и зафиксировать изменения в облаке.
2.	Полная синхронизация пользователей Active Directory в облаке При выполнении полной синхронизации служба соединителя отправляет все отфильтрованные объекты из Active Directory (AD) в облако. Затем служба соединителя обновляет хранилище удостоверений с помощью записей AD. При создании шаблона автоматического назначения лицензии его можно назначить только что синхронизированным пользователям.
3.	Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub После завершения полной синхронизации пользователей из соединителя каталогов в Control Hub можно назначить лицензии службы Webex с помощью различных методов. Рекомендуется настроить шаблон автоматического назначения лицензий перед его использованием для новых пользователей приложения Webex, синхронизированных из Active Directory. Вы также можете внести отдельные изменения после этого первого шага.

Выполните пробную синхронизацию для пользователей Active Directory

Выполните пробный запуск для сравнения объектов в локальном каталоге Active Directory и объектов в облаке Webex. Пробный запуск позволяет увидеть, какие объекты будут добавлены, изменены или удалены, прежде чем выполнить полную или инкрементную синхронизацию и зафиксировать изменения в облаке.

Во время процесса подключения пользователей из разных доменов необходимо решить, следует ли сохранять или удалять объекты пользователей, которые уже могут существовать в облаке Webex, например, протестировать учетные записи из пробной версии. Цель соединителя каталогов заключается в том, чтобы обеспечить точное соответствие между активными каталогами и облаком Webex.

Если у вас несколько доменов в одном лесу или нескольких лесах, этот шаг необходимо выполнить в каждом экземпляре соединителя каталогов Cisco, установленном для каждого домена Active Directory.

Перед началом работы

Возможно, некоторые пользователи приложения Webex уже находятся в Control Hub до использования соединителя каталогов. Некоторые пользователи в облаке могут соответствовать локальному объекту Active Directory и получать лицензии на службы. Однако некоторые из них могут быть тестовыми пользователями, которых необходимо удалить во время синхронизации. Необходимо создать точное соответствие между Active Directory и Control Hub.

Выберите один из вариантов.

После первого входа в систему щелкните Да на подсказке, чтобы выполнить пробный запуск.
Если вы пропустили напоминание о необходимости выполнения пробного запуска, в любой момент в соединителе каталогов щелкните Инструментальная панель, выберите Синхронизировать пробный запуск, а затем нажмите ОК, чтобы начать синхронизацию пробного запуска.

По завершении пробного запуска вы увидите один из следующих результатов:

Обнаруженные несовпадающие объекты в соединителе каталогов
Сводная информация о результатах пробного запуска и несовпадающих объектах в соединителе каталогов

Сводная информация содержит информацию о совпадении объектов:

Сопоставленные объекты — пользователь, который находится в Webex Common Identity и также существует в домене Active Directory, т.е. если someuser@cisco.com была синхронизирована с Webex и отображена в Control Hub, а тот же пользователь (someuser@cisco.com) существует в Active Directory. Это означает, что пользователь был сопоставлен.
Несовпадающие объекты — пользователь, находящийся в Webex, независимо от того, как пользователь был добавлен в Common Identity, но он не существует в Active Directory. Он называется несовпадающим объектом. Например, если someuser@cisco.com была синхронизирована в Webex и отображена в Control Hub, но один и тот же пользователь (someuser@cisco.com) не управляется Active Directory, в отчете отображается несоответствие пользователя.

Пробный запуск идентифицирует пользователей путем сравнения с пользователями домена. Приложение может идентифицировать пользователей, если они принадлежат к текущему домену. На следующем шаге необходимо решить, следует ли удалить объекты или сохранить их. Несовпадающие объекты идентифицируются как уже существующие в облаке Webex, но не существующие в локальной Active Directory.

Просмотрите результаты пробного запуска и выберите параметр в зависимости от того, используется ли один домен или несколько доменов.

Единый домен. Определите, следует ли сохранять несовпадающих пользователей. Если вы хотите сохранить их, выберите Нет, сохраните объекты; если нет, выберите Да, удалите объекты. После выполнения этих действий и выполнения вручную полной синхронизации, чтобы обеспечить точное соответствие между локальной средой и облаком, соединитель каталогов автоматически включает запланированные задачи автоматической синхронизации.
Несколько доменов. Для организации с доменами A и B сначала выполните пробный запуск домена A. Если необходимо сохранить несовпадающих пользователей, выберите Нет, сохраните объекты. (Эти несовпадающие пользователи могут быть членами домена B.) Чтобы удалить, выберите Да, удалить объекты.
Если вы сохраните пользователей, сначала запустите полную синхронизацию для домена A, а затем выполните пробный запуск для домена B. Если пользователи по-прежнему не совпадают, добавьте этих пользователей в Active Directory, а затем выполните полную синхронизацию для домена B. При точном совпадении между локальной средой и облаком соединитель каталогов автоматически включает запланированные задачи автоматической синхронизации.

В запросе Confirm Dry Run нажмите Yes (Да), чтобы повторить синхронизацию пробного запуска и просмотреть результаты на инструментальной панели.

Все учетные записи, которые были успешно синхронизированы во время пробного запуска, отображаются в разделе Сопоставление объектов.

Если у пользователя в облаке нет соответствующего пользователя с таким же адресом электронной почты в Active Directory, запись будет отображена в разделе Удаленные пользователи. Чтобы избежать этого флажка удаления, можно добавить пользователя в Active Directory с тем же адресом электронной почты.

Чтобы просмотреть сведения о синхронизированных элементах, перейдите на соответствующую вкладку для определенных элементов или Сопоставленные объекты. Чтобы сохранить сводную информацию, щелкните Сохранить результаты в файл.

Если результаты ожидаются, перейдите к Действия > Режим синхронизации > Включить синхронизацию, а затем щелкните Включить , чтобы выполнить синхронизацию вручную и перейти в ручной режим.

После синхронизации последнего домена Active Directory в развертывании нескольких доменов необходимо включить автоматический режим для соединителя каталогов. Автоматический режим можно включить только в том случае, если объекты полностью совпадают между облаком Webex и всеми локальными активными каталогами.

Дальнейшие действия

Для любых несовпадающих пользовательских объектов, которые вы сохранили, их необходимо добавить в Active Directory, чтобы обеспечить точное соответствие между локальным и облаком.
Выберите тип синхронизации:
- Выполните полную синхронизацию пользователей Active Directory в облако при первой синхронизации новых пользователей с облаком. Вы делаете это с помощью Действия > Синхронизировать сейчас > Полностью, после чего синхронизируются пользователи текущего домена.
- Установите расписание соединителя и выполните инкрементальную синхронизацию после выполнения полной синхронизации, а также при необходимости получить изменения после начальной синхронизации. Этот тип синхронизации рекомендуется использовать для небольших изменений, внесенных в источник пользователя Active Directory.
  
  По умолчанию инкрементальная синхронизация должна выполняться каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементальная синхронизация не будет выполнена до тех пор, пока не будет выполнена полная синхронизация.
Если у вас несколько доменов, повторите эти действия на любом другом установленном соединителе каталогов.

Информация, которую необходимо принять к сведению

Выполните пробный запуск перед включением полной синхронизации или при изменении параметров синхронизации. Если пробный запуск был инициирован изменением конфигурации, его можно сохранить после завершения пробного запуска. Если пользователи уже добавлены вручную, синхронизация Active Directory может привести к удалению ранее добавленных пользователей. Перед полной синхронизацией с облаком можно проверить отчеты о пробном запуске соединителя каталогов, чтобы убедиться в наличии всех ожидаемых пользователей.

Если совпадающие пользователи помечены как удаленные и вы не уверены, как продолжить, см. информацию об устранении неполадок и как обратиться в службу поддержки в разделе Устранение неполадок и исправления соединителя каталогов.

Полная синхронизация пользователей Active Directory в облаке

При выполнении полной синхронизации служба соединителя отправляет все отфильтрованные объекты из Active Directory (AD) в облако. Затем служба соединителя обновляет хранилище удостоверений с помощью записей AD. При создании шаблона автоматического назначения лицензии его можно назначить только что синхронизированным пользователям.

Если у вас несколько доменов, этот шаг необходимо выполнить в каждом экземпляре соединителя каталогов, установленном для каждого домена Active Directory.

Соединитель каталогов синхронизирует состояние учетной записи пользователя. В Active Directory все пользователи, помеченные как отключенные, также отображаются в облаке как неактивные.

Перед началом работы

Чтобы учетные записи пользователей приложения Webex находились в активном состоянии после полной синхронизации и до первого входа пользователей в систему, необходимо выполнить следующие действия, чтобы обойти проверку адреса электронной почты.

Интеграция системы единого входа в организацию Webex. Дополнительную информацию см. в статье Единый вход со службами Cisco Webex и поставщиком удостоверений вашей организации.
Используйте Control Hub для проверки и утверждения доменов, содержащихся в адресах электронной почты. См. Добавление, проверка и утверждение доменов.

Отключите автоматические электронные приглашения, чтобы новые пользователи не получали автоматическое электронное приглашение в приложение Webex. (Можно провести собственную кампанию по электронной почте.)

Активированные пользователи, которые не вошли в систему, отображаются с состоянием Verified в Control Hub. После входа они отображаются как активные. Дополнительную информацию о состояниях пользователей см. в статье Действия и состояния пользователей в Cisco Webex Control Hub.

При включении синхронизации соединитель каталогов сначала попросит выполнить пробный запуск. Рекомендуется выполнить пробный запуск перед полной синхронизацией, чтобы выявить возможные ошибки.

Прежде чем использовать шаблон автоматического назначения лицензии для новых пользователей приложения Webex, синхронизированных из Active Directory, необходимо настроить шаблон автоматического назначения лицензий.

Если шаблоны автоматического назначения лицензий не используются, недавно синхронизированные пользователи автоматически получают бесплатные лицензии. Они смогут использовать те же бесплатные функции , что и у пользователей с бесплатными учетными записями.

Выберите один из вариантов.

Если пробный запуск завершен и выглядит корректно для всех доменов после первого входа, щелкните Enable Now , чтобы разрешить автоматическую синхронизацию.
В соединителе каталогов перейдите на инструментальную панель, щелкните Действия, выберите Режим синхронизации > Включить синхронизацию, а затем щелкните Синхронизировать сейчас > Полностью , чтобы начать синхронизацию.

В соединителе каталогов перейдите в раздел Синхронизация, щелкните подробнеерядом с синхронизированным доменом щелкните Config, а затем выберите Full Sync.

Подтвердите начало синхронизации.

Для всех изменений, внесенных пользователями в Active Directory (например, отображаемое имя), Control Hub отражает изменения немедленно при обновлении представления пользователя, а приложение Webex отражает изменения в течение 72 часов после выполнения синхронизации.

Можно попытаться очистить локальный кэш приложения Webex, выполнив приведенные ниже действия. Windows или Mac.

Во время синхронизации на инструментальной панели отображается ход синхронизации. Это может включать тип синхронизации, время ее начала и фазу, на которой синхронизация в данный момент выполняется.
После синхронизации разделы Последняя синхронизация и статистика облака обновляются с новой информацией. Данные пользователя синхронизируются с облаком.
При возникновении ошибок во время синхронизации шарик индикатора состояния становится красным.

Щелкните Обновить , чтобы обновить состояние синхронизации. (Синхронизированные элементы отображаются в разделе Статистика облака.)

Для получения информации об ошибках выберите Запустить средство просмотра событий на панели инструментов Действия для просмотра журналов ошибок.

Чтобы задать график синхронизации для текущих инкрементных синхронизаций с облаком, см. раздел Настройка расписания соединителя и Запуск инкрементной синхронизации.

После завершения полной синхронизации состояние синхронизации каталога обновляется с параметра Отключено на Рабочее на странице настроек в Control Hub.
При сопоставлении всех данных между локальным и облачным соединителем каталогов меняется с ручного режима на режим автоматической синхронизации.
Если вы не интегрируете систему единого входа, не подтвердите домены и не заявите домены для синхронизированных учетных записей электронной почты, а также не подавите автоматические сообщения электронной почты, учетные записи пользователей приложения Webex останутся в состоянии "Не проверено" до тех пор, пока пользователи не войдут в приложение Webex впервые для подтверждения своих учетных записей. Инструкции по синхронизации учетных записей в качестве активных пользователей см. в разделе "Прежде чем начать".
Если у вас несколько доменов, выполните этот шаг на любом другом установленном соединителе каталогов. После синхронизации пользователи всех добавленных доменов будут отображены в Control Hub.
При интеграции системы единого входа с Webex и подавлении электронных уведомлений, электронные приглашения не будут отправлены новым синхронизированным пользователям.
Невозможно добавить пользователей в Control Hub вручную после включения соединителя каталогов. После включения управление пользователями осуществляется из соединителя каталогов Cisco, и Active Directory является единственным источником сведений.
Все синхронизированные группы отображаются в Control Hub. Можно назначить шаблон лицензий, чтобы пользователям в этой группе были назначены лицензии.

Дальнейшие действия

При удалении пользователя из Active Directory он будет мягко удален после следующей синхронизации. Пользователь становится Inactive но профиль идентификации в облаке хранится в течение семи дней (для восстановления после случайного удаления).

Если установить, что учетная запись отключена в Active Directory, пользователь становится Inactive после следующей синхронизации. Профиль удостоверения в облаке не удаляется по истечении семи дней на случай повторного включения пользователя.
Обратите внимание на эти исключения для инкрементальной синхронизации (вместо этого выполните приведенные выше действия полной синхронизации).
- В случае обновленного аватара, но без изменения других атрибутов, инкрементальная синхронизация не обновит аватар пользователя в облако.
- Изменения конфигурации в настройках сопоставления атрибутов, базового доменного имени, фильтра и аватара требуют полной синхронизации.

Назначение служб Webex пользователям, синхронизированным с каталогом, в Control Hub

После завершения полной синхронизации пользователей из соединителя каталогов Cisco в Control Hub можно использовать Control Hub для одновременного назначения одинаковых лицензий службы Webex всем пользователям или добавления дополнительных лицензий новым пользователям, если шаблон автоматически назначаемых лицензий уже настроен. После этого первого шага можно внести изменения в учетную запись отдельных пользователей.

После завершения полной синхронизации пользователей из соединителя каталогов в Control Hub можно использовать методы в Control Hub для глобального назначения лицензий службы Webex всем пользователям (отдельным пользователям) с помощью массового шаблона CSV или автоматически новым пользователям, если шаблон автоматического назначения лицензий уже настроен. После этого первого шага можно внести изменения в учетную запись отдельных пользователей.

При назначении лицензии пользователю приложения Webex этот пользователь по умолчанию получает электронное сообщение с подтверждением назначения. Сообщение электронной почты отправляется службой уведомлений в Control Hub. При интеграции системы единого входа (SSO) с организацией Webex можно также отключить эти автоматические электронные уведомления , если вы предпочитаете напрямую обращаться к пользователям.

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензии для новых пользователей приложения Webex, синхронизированных из Active Directory, необходимо настроить шаблон автоматического назначения лицензий.
Выполните пробную синхронизацию пользователей Active Directory.
После подтверждения результатов пробного запуска выполните полную синхронизацию пользователей Active Directory.

Во время полной синхронизации пользователь создается в облаке, назначения служб не добавляются и электронное сообщение для активации не отправляется. Если сообщения электронной почты не блокируются, новые пользователи получают электронное сообщение для активации при назначении служб пользователям с помощью стандартного метода управления пользователями в Control Hub, например импорта CSV, обновления пользователей вручную или успешного автоматического назначения.

В окне просмотра информации о клиенте в https://admin.webex.com перейдите к Управление > > Пользователи, нажмите Управление пользователями, выбрать Изменить всех синхронизированных пользователей, а затем щелкните Далее.

Выберите один из вариантов.

Редактирование лицензий служб в Control Hub для отдельных пользователей. Изменение пользователей вручную.
Изменение пользователей в Control Hub с помощью шаблона CSV. Массовое изменение пользователей.

Дальнейшие действия

Если сообщения электронной почты не подавлены, каждому пользователю будет отправлено сообщение электронной почты с приглашением присоединиться и скачать Webex.
Если вы выбрали одни и те же службы Webex для всех пользователей, впоследствии можно изменить лицензию, назначенную отдельно или массово.

Связанная информация

Способы добавления пользователей и управления ими в вашей организации

Известные проблемы соединителя каталогов

В версиях Windows Server, предшествующих выпуску 2012 R2, возникла проблема с файлами cookie, которая затрагивает соединитель каталогов. Эта проблема исправлена в версиях 2012 R2 и 2016.
Для всех изменений, внесенных пользователями в Active Directory (например, отображаемое имя), Control Hub отражает изменения немедленно при обновлении представления пользователя, а приложение Webex отражает изменения через 72 часа после выполнения синхронизации.

Можно попытаться очистить локальный кэш приложения Webex, выполнив приведенные ниже действия. Windows или Mac.
Если пользователь использует приложение Webex на настольном или мобильном устройстве для поиска и вызова комнаты, в которой есть только синхронизированный URI SIP, вызов поступает неограниченное время.

Управление пользователями приложения Webex

Выполнение инкрементной синхронизации

Инкрементная синхронизация запрашивает Active Directory и ищет изменения, произошедшие с момента последней синхронизации. На этом этапе эти изменения объединяются и отправляются в службу соединителя. Изменения включают изменение атрибуции пользователей, а также добавление или удаление пользователя.

Эта синхронизация не накладывает столько нагрузки на серверы и не занимает столько времени, сколько полная синхронизация. После первоначальной полной синхронизации рекомендуется использовать инкрементный параметр для последующих синхронизаций.

Перед началом работы

Прежде чем использовать шаблон автоматического назначения лицензии для новых пользователей приложения Webex, синхронизированных из Active Directory, необходимо настроить шаблон автоматического назначения лицензий.
Обратите внимание на эти исключения, которые не поддерживаются инкрементальной синхронизацией (вместо этого выполните полную синхронизацию пользователей Active Directory в облако ).
- В случае обновленного аватара, но без изменения других атрибутов, инкрементальная синхронизация не обновит аватар пользователя в облако.
- Для новых изменений конфигурации в сопоставлении атрибутов, базовом доменном имени, фильтре и настройках аватара инкрементальная синхронизация не будет работать, и для этого требуется полная синхронизация.

В соединителе каталогов щелкните Инструментальная панель.

При включении синхронизации соединитель каталогов сначала попросит выполнить пробный запуск.

В разделе Действия щелкните Режим синхронизации > Включить синхронизацию , если она еще не включена.

По умолчанию инкрементальная синхронизация должна выполняться каждые 30 минут (в версиях 3.4 и более ранних) или каждые 4 часа (в версиях 3.5 и более поздних), но это значение можно изменить. Инкрементальная синхронизация не будет выполнена до тех пор, пока не будет выполнена полная синхронизация. Когда новый инкрементный интервал времени истекает, программа проверяет изменения на основе последней метки времени.

В разделе Действия щелкните Синхронизировать сейчас > Инкрементный.

Для всех изменений, внесенных пользователями в Active Directory (например, отображаемое имя), Control Hub отражает изменения немедленно при обновлении представления пользователя, а приложение Webex отражает изменения через 72 часа после выполнения синхронизации.

Можно попытаться очистить локальный кэш приложения Webex, выполнив приведенные ниже действия. Windows или Mac.

Во время синхронизации на инструментальной панели отображается ход синхронизации. Это может включать тип синхронизации, время ее начала и фазу, на которой синхронизация в данный момент выполняется.
После синхронизации разделы Последняя синхронизация и статистика облака обновляются с новой информацией.
При возникновении ошибок во время синхронизации шарик индикатора состояния становится красным.

Для получения информации об ошибках щелкните Запустить средство просмотра событий на панели инструментов Actions , чтобы просмотреть журналы ошибок.

Дальнейшие действия

Если у вас несколько доменов, выполните этот шаг на других установленных экземплярах соединителя каталогов.

Восстановление случайно удаленных пользователей

Соединитель каталогов имеет систему сдержек и противовесов для предотвращения непреднамеренного удаления пользователей. К сожалению, случайности исключить невозможно. Например, неправильная настройка фильтра LDAP в Active Directory может привести к удалению некоторых пользователей при синхронизации с облаком. Функция программного удаления может помочь вам восстановиться после этих аварий и восстановить учетные записи пользователей в Control Hub.

По умолчанию эта функция включена для всех организаций. При удалении пользователей в облаке, например, из-за несоответствия объекта после синхронизации с соединителем каталогов, пользователи могут быть восстановлены. Если вы увидели несовпадающие объекты или заметили, что пользователи были удалены, их можно будет восстановить, если действовать быстро.

При удалении соответствующих учетных записей в Active Directory пользователи будут помечены как неактивные в Control Hub. Фоновая облачная служба сохраняет пользователей в течение 7 дней. В этот период для восстановления пользователей по-прежнему можно использовать соединитель каталогов Cisco. Рекомендуется как можно скорее восстановить этих пользователей.

Пользователи, отключенные в Active Directory, также помечаются как неактивные в Control Hub, однако учетная запись пользователя не удаляется по истечении 7 дней.

1.	Войдите в Control Hub.
2.	Перейдите в раздел Пользователи и подтвердите, находится ли определенная учетная запись пользователя в неактивном состоянии или скрыта. Дополнительную информацию см. в разделе Состояния и действия пользователей в Control Hub.
3.	Если пользователи были удалены в Control Hub или вы заметили, что пользователи находятся в неактивном состоянии, перейдите в Active Directory, добавьте отсутствующие учетные записи пользователей и выполните пробную синхронизацию в соединителе каталогов. Целью соединителя каталогов является точное соответствие информации о пользователе в Active Directory и облаке.
4.	Выполните полную синхронизацию для повторной синхронизации временно удаленных учетных записей пользователей в Control Hub. Пользователи восстанавливаются и переходят к исходному состоянию, включая состояние учетной записи и назначения служб.

Дальнейшие действия

Вернитесь в Control Hub, перейдите к Управление > Пользователи, и убедитесь, что ранее удаленные учетные записи пользователей отображаются в списке пользователей.

Удаление пользователей без возможности восстановления после мягкого удаления

После выполнения пробного запуска можно настроить окончательное удаление пользователей, которые были мягко удалены при следующей синхронизации.

1.	После завершения пробного запуска выберите Soft-deleted Objects (Объекты с мягким удалением).
2.	Установите флажок рядом с пользователями, которых необходимо удалить.
3.	Нажмите Готово.

Дальнейшие действия

При следующей синхронизации проверенные пользователи будут безвозвратно удалены.

Изменение адреса электронной почты приложения Webex

Если вы хотите изменить адреса электронной почты пользователей и ваша организация использует соединитель каталогов, вы измените эти адреса электронной почты в Active Directory. Эта процедура описывает изменение адреса электронной почты приложения Webex для одного домена и процесс изменения домена.

Если вы хотите изменить только адрес электронной почты или какое-либо значение для одного пользователя, не удаляйте пользователя из Active Directory, а затем создайте новый адрес с тем же адресом электронной почты. Облако интерпретирует это действие как новую учетную запись пользователя, а пространства пользователя и другие данные в облаке будут утеряны.

Изменение адресов электронной почты пользователей без изменения домена.

Откройте учетную запись пользователя (например, user1@example.com) в Active Directory и измените адрес электронной почты (например, user2@example.com).

Возобновить синхронизацию на соединителе каталогов.

После следующей синхронизации изменения будут отображены в списке пользователей в Control Hub, а для пользователей в приложении Webex после обновления кэша.

Этот метод не приводит к потере данных или пространств. Уникальный идентификатор пользователя устанавливается в облаке после первой синхронизации. Все последующие синхронизации основаны на этом идентификаторе.

В развертывании нескольких доменов с соединителем каталогов для изменения адресов электронной почты пользователей при изменении домена (рассмотрим пример1.com старый домен и пример2.com новый домен):

Для старой учетной записи пользователя (user1@example1.com) обратите внимание на атрибут Active Directory, который сопоставляется с uid атрибут облака. Для новой учетной записи необходимо использовать это же значение Active Directory. В этом примере мы будем использовать user1@example1.com как локальный атрибут для сопоставления с uid в облаке.
Приостановить синхронизацию в соединителе каталогов для доменов example1.com и example2.com.
Создайте новую учетную запись пользователя в example2.com и используйте тот же атрибут выше. (Например, user1@example1.com).

В соединителе каталогов возобновите синхронизацию, например2.com

Прежде чем продолжить, убедитесь, что учетная запись user1@example2.com синхронизирована с Control Hub. Рекомендуется поручить пользователю проверить изменение адреса электронной почты в приложении Webex и сохранить все данные (пространства, сообщения, совещания, файлы и т. д.).

Этот метод не приведет к потере данных или пространств, однако в новой учетной записи пользователя необходимо убедиться, что атрибут Active Directory, который сопоставляется с атрибутом UID облака, сохраняется из старой учетной записи пользователя. Если изменить значение Active Directory, новая учетная запись не сохранит данные старой учетной записи.

После проверки изменения адреса электронной почты и нетронутых данных удалите старую учетную запись пользователя на example1.com и возобновите синхронизацию с помощью соединителя каталогов на example1.com.

На этом этапе можно безопасно обновить адрес электронной почты в новом домене Active Directory для user1@example2.com.

Соединитель каталогов не ограничивает изменение домена электронной почты. Однако при повторной синхронизации пользователя с облаком состояние пользователя зависит от того, подтвержден ли новый домен в вашей организации. Если домен не подтвержден в вашей организации, после полной синхронизации состояние пользователя изменится на "Ожидание". Дополнительную информацию см. в разделе Управление доменами.

Если в вашей организации не используется соединитель каталогов, можно изменить адреса электронной почты приложения Webex на странице настроек учетной записи. Действия, которые пользователи могут выполнить для изменения адреса электронной почты, см. в разделе Изменение адреса электронной почты для своей учетной записи .

Введите домен Acive Directory:

Эту процедуру можно использовать для создания новых доменов и адресов электронной почты. Они синхронизируются со службой удостоверений в облаке.

Настройте новый домен Active Directory (AD).

Отключите синхронизацию на всех соединителях.

Удалите все соединители.

Чтобы изменить домен, зарегистрируйте обращение.

При отправке обращения обязательно запросите удаление конфигурации домена и всех атрибутов синхронизации в вашей организации.

Прежде чем открыть обращение для изменения домена, убедитесь, что синхронизация не запущена. Не изменяйте адреса электронной почты пользователей в Active Directory до разрешения проблемы.

После разрешения дела:

Установите соединитель каталогов на том же сервере, что и с новым доменом Active Directory.
Настройте соединитель каталогов так, чтобы он указывал на новый домен Active Directory.

При наличии существующих пользователей в Control Hub ( https://admin.webex.com) убедитесь, что пользователи с соответствующими адресами электронной почты также присутствуют в Active Directory. Если ваша организация отключила softDelete переключайте в DirSync адреса электронной почты пользователей, которые находятся в Control Hub, но не в удалении рисков Active Directory.

Перед фактической синхронизацией выполните тестовый запуск с соединителем каталогов.

заявка на домен

Заявка на домен возникает, если вы заявляете домен электронной почты для организации, чтобы любая боковая учетная запись была создана в платной клиентской организации, а не в бесплатной клиентской организации. Заявление о домене можно сделать только с помощью обращения в службу поддержки (дополнительную информацию см. по ссылке ниже).

Если соединитель каталогов активен и домен заявлен, побочные учетные записи не создаются ни в клиентской организации, ни в свободной потребительской организации. Только соединитель каталогов может подготовить учетные записи для организации из Active Directory. Исходным источником является информация, хранящаяся в Active Directory. При попытке отобразить учетную запись приглашенный пользователь получает сообщение об ошибке. Единственным способом добавления приглашенного пользователя в пространство приложения Webex является вначале использование соединителя каталогов для подготовки учетной записи в Control Hub.

Связанная информация

Управление доменами

Преобразование бесплатных пользователей приложения Webex в организации, синхронизированной с каталогом

В каталоге приложения Webex можно использовать только уникальные адреса электронной почты. Если ваши пользователи зарегистрировались на бесплатную версию приложения Webex, их учетная запись существует в бесплатной потребительской организации. Чтобы управлять пользователями в этой организации с помощью соединителя каталогов, перед включением соединителя каталогов выполните их миграцию (преобразование) в клиентскую организацию. Затем вы добавляете пользователей в Active Directory с точным адресом электронной почты и синхронизируете их с облаком.

Если учетные записи не преобразованы до активации, отключите соединитель каталогов, чтобы преобразовать их.

При попытке преобразовать пользователя, пока включена синхронизация каталога, отображается сообщение об ошибке <email address=""> невозможно преобразовать . Чтобы избежать проблемы, можно использовать эти действия в качестве обходного решения.

Некоторые заявленные пользователи могут отображаться с помощью movedfrom атрибут при выполнении пробного запуска. Эти пользователи будут в Deleted Object список вместо MismatchedObject. Чтобы переместить этих пользователей в свою организацию, необходимо добавить их в список AD.

Если вы не добавите этих пользователей, они будут удалены при синхронизации с облаком.

Отключите синхронизацию каталогов из соединителя каталогов.

Чтобы преобразовать пользователя из бесплатной потребительской организации в организацию предприятия, выполните процедуру преобразования нелицензированных пользователей в Control Hub .

На этом этапе пользователь будет добавлен в вашу организацию, и учетная запись будет отображена в Control Hub. Соединитель каталогов делает Active Directory единственным источником достоверных сведений для учетных записей пользователей, и цель состоит в том, чтобы обеспечить точное соответствие между Active Directory и Control Hub. Перед повторной синхронизацией убедитесь, что для всех недавно преобразованных пользователей имеются совпадающие пользователи в Active Directory. Чтобы убедиться, что несовпадающих пользователей не осталось, можно выполнить пробную синхронизацию.

В соединителе каталогов выполните пробную синхронизацию. По завершении пробной синхронизации проверьте вкладку "Добавить объекты". Убедитесь, что никакие преобразованные пользователи не удалены.

Перед повторной синхронизацией необходимо выполнить пробный запуск, чтобы убедиться, что все преобразованные учетные записи пользователей отображаются в Active Directory. При включении синхронизации и использовании учетных записей только в Control Hub соединитель каталогов учитывает регистр и удаляет преобразованных пользователей, обнаруженных с несовпадающими адресами электронной почты (например, user1@example.com и User1@example.com).

При удалении преобразованных пользователей все пространства приложения Webex будут утрачены.

Если вы уверены, что при следующей синхронизации никакие учетные записи не будут удалены, снова включите синхронизацию каталогов из соединителя каталогов.

Преобразованные учетные записи пользователей не будут активированы автоматически, если домен не был подтвержден. Например, если вы включили шаблон автоматического назначения лицензий, а затем включили соединитель каталогов без проверки домена, преобразованные пользователи будут неактивны в облачном сервере, пока они не подтвердят свои адреса электронной почты.

Сторонние учетные записи пользователей приложения Webex

При приглашении другого пользователя в пространство в приложении Webex, если у приглашенного пользователя нет учетной записи приложения Webex, для него создается учетная запись ("боком"). По умолчанию учетные записи, созданные таким образом, добавляются в бесплатную потребительскую организацию.

Чтобы управлять боковой учетной записью с помощью соединителя каталогов, необходимо преобразовать учетную запись.

Изменение формата имени пользователя приложения Webex после синхронизации каталога

По умолчанию соединитель каталогов сопоставляет атрибут displayName в Active Directory с атрибутом displayName в облаке.

После синхронизации каталога имена пользователей могут отображаться в формате <lastName, firstName="">.

Это имя пользователя может отображаться, если displayName атрибут в Active Directory настроен таким образом. Если атрибут сопоставлен с displayName в облаке имена отображаются в формате <lastName, firstName=""> Control Hub.

Чтобы изменить формат, на экране сопоставления атрибутов соединителя каталогов выполните следующие действия. сопоставление атрибута Active Directory givenName sn(или) sn givenName) до displayName в именах атрибутов облака Cisco.

Кроме того, сопоставить атрибут sn givenName до displayName:

Также можно использовать параметр Настройка атрибута, если необходимо сопоставить собственное пользовательское выражение атрибута с displayName.

Например, введите givenName + "" + sn(имя, пробел, фамилия) в качестве выражения. Это сопоставляет два атрибута в Active Directory с displayName в облаке.

Разрешение пользователям изменять отображаемые имена в Webex Meetings

Можно снять карту displayName атрибут синхронизации с облаком в соединителе каталогов, если необходимо разрешить пользователям редактировать предпочтительные отображаемые имена. Пользователи могут ввести отображаемое имя, которое будет отображаться во время совещаний Webex, вместо имени и фамилии. Администраторы также могут вручную изменять отображаемое имя пользователя в Control Hub.

1.	В соединителе каталогов щелкните Конфигурация, а затем выберите Сопоставление атрибутов пользователя.
2.	Выберите displayName в разделе Имя атрибута облака Cisco.
3.	Выберите Не синхронизировать этот атрибут.

Дальнейшие действия

Теперь пользователи могут редактировать свои отображаемые имена на веб-сайте Webex.

Устранение неполадок соединителя каталогов

Модернизация до последнего выпуска программного обеспечения

Чтобы обеспечить соответствие развертыванию и получить новейшие функции, функциональные возможности, исправления ошибок и усовершенствования безопасности, необходимо всегда модернизировать соединитель каталогов до последней версии. Если модернизация до последней доступной версии не выполнена, могут возникнуть проблемы, например, проблемы с синхронизацией соединителя каталогов или с версией, которая не поддерживает обязательное требование TLS 1.2.

Соединитель каталогов автоматически уведомляет вас о доступности новой версии. Всегда выполняйте модернизацию до последней версии во избежание проблем. На панели задач Windows также отображается уведомление.

Несмотря на то, что обновления программного обеспечения соединителя можно установить вручную, рекомендуется выполнить действия, описанные в разделе Настройка автоматической модернизации , чтобы приложение могло управлять модернизацией автоматически.

1.	Щелкните уведомление на панели задач Windows или щелкните правой кнопкой мыши пиктограмму соединителя каталогов на панели задач Windows, чтобы начать процесс обновления.
2.	Следуйте инструкциям для завершения модернизации.
3.	Перезапустите соединитель и войдите с помощью учетных данных администратора.
4.	Проверьте номер версии программного обеспечения в разделе Справка > О программе.

Дальнейшие действия

Для новой установки соединителя каталогов можно скачать zip-файл , а затем выполнить действия по установке, описанные в этом руководстве.

Настройка общих параметров соединителя каталогов

Используйте эту процедуру для настройки общих параметров, таких как имя сервера, на котором запущен соединитель каталогов, уровни журналов, автоматическая модернизация и предпочтительные настройки контроллеров домена. Имя соединителя отображается на инструментальной панели в разделе соединителей вместе с другими работающими соединителями.

В соединителе каталогов перейдите в раздел Конфигурация и щелкните Общие.

В поле Имя соединителя введите имя соединителя. В этом поле отображается только имя компьютера, на котором в данный момент запущен соединитель.

Выберите уровень журнала в раскрывающемся списке. По умолчанию для уровня журнала задано значение info. Доступные уровни журналов:

Информация (по умолчанию) — отображает информационные сообщения, освещающие прогресс приложения на высоком уровне. Используйте эту настройку, если необходимо получать отчеты после полной синхронизации.
Предупреждение — отображает потенциально опасные ситуации.
Отладка — отображает подробные информационные события, наиболее полезные для отладки приложения. При возникновении какой-либо проблемы установите этот уровень журнала и отправьте журнал event-совещаний в службу поддержки при открытии обращения.
Ошибка. Отображает события ошибок, которые могут позволить приложению продолжить работу. При выборе этого параметра отчеты о синхронизации отправляются только при возникновении ошибок.

Эти настройки влияют на отчет о синхронизации, который отправляется по электронной почте. Если для уровня журнала задано значение "Ошибка", в отчете о синхронизации отображаются только ошибки; если ошибок нет, отчет о синхронизации не отправляется. Измените настройку на Info, после полной синхронизации вы получите отчеты о синхронизации. (Имейте в виду, что для инкрементальной синхронизации отчеты не отправляются при отсутствии сообщений об ошибках.)

Выберите предпочтительные контроллеры домена , чтобы задать порядок контроллеров домена для синхронизации удостоверений.

Доступ к контроллерам домена осуществляется сверху вниз. Если главный контроллер недоступен, выберите второй контроллер в списке. Если контроллер не указан в списке, вы можете получить доступ к основному контроллеру.

Установите флажок Автоматическая модернизация до новой версии соединителя каталогов Cisco, если необходимо выполнить автоматическую модернизацию.

Всегда важно поддерживать программное обеспечение соединителя каталогов Cisco в актуальном состоянии до последней версии. Рекомендуется установить этот параметр, чтобы автоматические обновления программного обеспечения устанавливались в фоновом режиме, когда они доступны.

Проверьте LDAP через SSL , чтобы использовать безопасный LDAP (LDAPS) в качестве протокола подключения.

Если не проверить LDAP по протоколу SSL, соединитель каталогов продолжает использовать протокол подключения LDAP.

Настройка политики соединителя

Можно задать максимальное количество удалений, которые могут происходить во время синхронизации. При выполнении синхронизации объекты не удаляются из локального каталога Active Directory. Все объекты удаляются только из облака.

Например, вы задаете 1 в качестве значения триггера порогового значения удаления. При полной или инкрементальной синхронизации, если количество пользователей, которых необходимо удалить, превышает заданную настройку, соединитель каталогов отображает предупреждение. Если щелкнуть Переопределить пороговое значение, можно успешно начать полную или инкрементальную синхронизацию, но это уведомление о переопределении будет отображено при следующем запуске политики.

В соединителе каталогов щелкните Конфигурация, а затем выберите Политика.

Установите флажок Включить удаление триггера порогового значения , если необходимо добавить триггер порогового значения.

При выборе этого параметра появляется предупреждение, если количество удалений превышает пороговое значение. Если учетная запись удаления превышает указанную, синхронизация не выполняется.

Введите максимальное количество удалений, которое необходимо. По умолчанию установлено значение 3.

Рекомендуется не увеличивать значение по умолчанию.

Нажмите Применить.

Настройка расписания соединителя

Задайте время синхронизации в Active Directory. Отработка отказа используется для высокой доступности (HA). Если один разъем не работает, по истечении предопределенного интервала мы переключаемся на другой резервный разъем.

1.	В соединителе каталогов щелкните Конфигурация и выберите Запланировать.
2.	Укажите интервал инкрементной синхронизации в минутах. По умолчанию инкрементальная синхронизация должна выполняться каждые 30 минут. Полная инкрементальная синхронизация выполняется только после первоначального выполнения полной синхронизации.
3.	Измените значение Отправить отчеты по времени , если необходимо изменить частоту отправки отчетов.
4.	Установите флажок Включить расписание полной синхронизации , чтобы указать дни и время, в которые необходимо выполнить полную синхронизацию.
5	Укажите интервал отработки отказа в минутах.
6	Нажмите Применить.

Сценарии нескольких доменов

Несколько доменов основаны на приоритете домена. Для объектов с одинаковым значением ключа в разных доменах после синхронизации данные из домена с более высоким приоритетом перезаписывают данные из домена с более низким приоритетом.

Объекты с одинаковым значением ключа связаны в одну запись в базе данных.

Значение ключа для параметра "Пользователь" — адрес электронной почты; значение ключа для параметра "Группа" — имя группы.

Пример использования для нескольких доменов

В этом примере предполагается организация с двумя доменами: example1.com и example2.com в порядке приоритета.

Добавить пользователя1 (адрес электронной почты: user@example1.com) в Active Directory example1.com.
Добавить группу1 (название группы: Test) в Active Directory example1.com.
Добавить пользователя2 (адрес электронной почты: user@example2.com) в Active Directory example2.com.
Добавить группу2(название группы: Тест) в Active Directory example2.com.

Синхронизация на example1.com

В случае использования user2 и group2 синхронизируются с облаком и отображаются в https://admin.webex.com, в то время как user1 и group1 не отображаются.

Если вы выполняете полную или инкрементную синхронизацию, например1.com, пользователь1 и группа1 синхронизируются. Кроме того, user2 и group2 перезаписываются информацией user1 и group1.

User1 ссылается на user2 как на ту же запись в базе данных; group1 ссылается на group2 как на ту же запись в базе данных.

Синхронизация на example1.com и example2.com

Рассмотрите следующие шаги:

Удалите user1 и group1 в Active Directory, например1.com.
Выполните полную или инкрементальную синхронизацию, например1.com.
Результаты: информация пользователя не изменяется в https://admin.webex.com. User2 не связан с user1, а group2 не связан с group1.
Выполните инкрементальную синхронизацию, например2.com.
Результаты: информация пользователя не изменяется в https://admin.webex.com.
Выполните полную синхронизацию, например2.com.
Результаты: Информация о пользователе2 и группе2 приведена в https://admin.webex.com.

Синхронизация нового домена И сохранение существующего домена

Если необходимо синхронизировать новый домен (B) при сохранении синхронизированных данных пользователей в другом существующем домене (A), убедитесь, что соединитель каталогов для синхронизации домена (B) на поддерживаемом сервере Windows. Соединитель привязывается к новому домену после начальной настройки, а информация о пользователе в домене (A) остается незатронутой.

Каждый домен должен иметь свой активный соединитель. Рассмотрим два домена со следующей настройкой: домен A с соединителями (ca1) и (ca2) для локальной высокой доступности (HA); домен B с соединителем (cb1). (ca1)и (ca2) обслуживают домен A. В этом сценарии один соединитель активен, а другой находится в режиме ожидания (HA). Эта конструкция поддерживает синхронизацию домена, поскольку один соединитель всегда активен. Таким образом, cb1 является активным соединителем для домена B, поскольку у домена A уже есть активный соединитель (ca1 или ca2).

Установка приоритета домена

Используйте эту процедуру для изменения приоритета доменов Active Directory. Приоритет домена позволяет определить основной домен, дополнительный домен и т. д. Это помогает, если два пользователя из двух разных доменов имеют одно и то же значение электронной почты, синхронизированное с одной организацией.

Не используйте эту процедуру, если в соединителе каталогов указан один домен. При попытке соединитель отобразит сообщение о том, что приоритет домена не требуется.

Перед началом работы

Во избежание ошибок установите или модернизируйте соединитель каталогов Cisco до последней версии. Его необходимо скачать из https://admin.webex.com.

В соединителе каталогов Cisco щелкните Инструментальная панель.

Перейдите в раздел Действия и щелкните Установить приоритет домена.

Выделите один домен в списке, нажмите Вверх или Вниз , чтобы изменить приоритет этого домена, а затем нажмите Сохранить , чтобы сохранить это изменение.

Домены отсортированы по приоритету сверху вниз.

Переключить домены

Используйте эту процедуру для повторного подключения соединителя каталогов Cisco к другому домену.

Перед началом работы

Перед переключением доменов убедитесь, что задачи синхронизации не выполняются.
Во избежание ошибок установите или модернизируйте соединитель каталогов Cisco до последней версии. Его необходимо скачать из Control Hub.

1.	В соединителе каталогов Cisco щелкните Инструментальная панель.
2.	Перейдите в раздел Действия, а затем щелкните Переключить домен.
3.	Прочитав предостережение, если вы понимаете, какое влияние это изменение оказывает на развертывание, и вы все еще уверены, нажмите Да. При переключении домена происходит выход из текущего соединителя каталогов Cisco, другие домены в соединителе не зарегистрированы, а информация о соединителе на этом компьютере удаляется.
4.	Снова войдите в соединитель каталогов Cisco и выполните возврат домена.

Выключить синхронизацию каталога

Если необходимо остановить синхронизацию из соединителя каталогов, ее можно временно отключить в Control Hub.

В окне просмотра информации о клиенте в https://admin.webex.com перейдите к Управление > Настройки организации, прокрутите страницу до раздела Синхронизация каталога, а затем выберите один из приведенных ниже вариантов.

Щелкните подробнееи щелкните Выключить рядом с экземпляром соединителя, который необходимо выключить.
Щелкните Turn Off All Directory Synchronizations , чтобы остановить синхронизацию со всеми экземплярами соединителя.

Прочитав подсказку, щелкните Выключить.

Синхронизация останавливается до тех пор, пока она не будет повторно включена из соединителя каталогов.

Удаление сопоставления атрибутов пользователя

Используйте соединитель каталогов, чтобы удалить сопоставление атрибутов Active Directory, ранее сопоставленных с облаком и синхронизированных с Webex. После удаления сопоставления атрибутов значения атрибутов удаляются из облака и больше не синхронизируются с Webex. Затем эти значения можно редактировать вручную.

1.	В соединителе каталогов щелкните Инструментальная панель.
2.	Перейдите в раздел Действия, а затем щелкните Утилиты > Удалить сопоставление атрибутов пользователя.
3.	Выберите сопоставление, которое необходимо удалить из списка Имя атрибута .
4.	В разделе Область охвата затронутого пользователя, выберите один из приведенных ниже вариантов. Только пользователи, синхронизированные с соединителем каталогов: сопоставление будет удалено только у пользователей, синхронизированных соединителем каталогов ранее. Все пользователи : сопоставление будет удалено со всех пользователей Active Directory.
5	Нажмите Применить.

Управление фотографиями профиля

Используйте соединитель каталогов для обновления изображений профилей пользователей или удаления пустых изображений профилей пользователей.

1.	В соединителе каталогов щелкните Инструментальная панель.
2.	Перейдите в раздел Действия, а затем щелкните Утилиты > Управление изображениями профилей.
3.	В разделе Действия выберите один из приведенных ниже вариантов. Удалите изображения профиля для пустых источников аватаров. если изображение профиля Active Directory пустое, этот параметр обеспечивает удаление изображений профиля пользователя из облака, даже если пользователь ранее загрузил собственное изображение в Webex. Повторно загрузите из синхронизированного источника, чтобы переопределить кэшированные изображения. Соединитель каталогов использует тот же Active Directory, что и предыдущий для обновления изображений профилей для всех пользователей. Это гарантирует отсутствие несоответствия изображений профилей в Active Directory и облаке.
4.	Нажмите Применить.

Удаление и деактивация соединителя каталогов

После удаления экземпляра соединителя каталогов его необходимо отменить. Полностью удалите соединитель каталогов для любого из приведенных ниже сценариев.

Вы больше не хотите использовать синхронизацию каталога.
Вы не хотите использовать один из нескольких соединителей каталогов (высокая доступность).
Необходимо изменить домен и установить другой соединитель.

Перед началом работы

Для высокой доступности (HA) или синхронизации нескольких доменов может быть настроено несколько экземпляров соединителя каталогов. Отключите синхронизацию при удалении единственного или последнего оставшегося экземпляра соединителя каталогов.
Сохраните и закройте любую важную работу перед удалением соединителя каталогов.

1.	На компьютере с ОС Windows перейдите к панели управления и щелкните Программы и функции.
2.	В списке программ щелкните Directory Connector, выберите Uninstall, а затем следуйте подсказкам. Для завершения удаления может потребоваться перезагрузка системы.
3.	В окне просмотра информации о клиенте в https://admin.webex.com перейдите к Управление > Настройки организации, прокрутите страницу до Синхронизация каталога, щелкните подробнееи щелкните Деактивировать рядом с экземпляром соединителя каталогов, который необходимо удалить.
4.	Прочитав подсказку, щелкните Деактивировать. Если в развертывании высокой доступности (HA) нет другого соединителя каталогов, учетные записи пользователей больше не синхронизируются.

Запуск средства диагностики

Для устранения неполадок развертывания соединителя каталогов можно использовать встроенный инструмент диагностики. Этот инструмент устанавливается как часть соединителя каталогов 3.4 и далее.

Если синхронизация не работала надлежащим образом, может возникнуть ошибка конфигурации или сети. Это средство тестирует подключение к LDAP, в результате чего можно самостоятельно диагностировать ошибки до обращения в службу поддержки. Если инструмент возвращает какую-либо ошибку, вы можете отправить подробные результаты журнала в службу поддержки.

Запуск тестов для служб домена Active Directory.
1. Перейдите в меню «Пуск», найдите соединитель каталогов Cisco, щелкните Cisco Directory – Diagnostic. Щелкните вкладку AD-DS, введите свой домен и нажмите Load Domain Controllers (Загрузить контроллеры домена).
2. Выберите из списка один контроллер домена.
  
  Не меняйте запись позже, поскольку инкрементный поиск всегда должен выполняться на одном и том же контроллере домена.
3. По умолчанию выполняется поиск всех путей, но можно выбрать один атрибут и нажать Тест , чтобы проверить это значение.
4. Настройте дополнительные фильтры в разделе Запросы Active Directory , такие как пользователи и групповые объекты, а также фильтры поиска.
5. Установите флажок Auto Fill Cookie , чтобы автоматически создать файл cookie для поиска.
6. Щелкните Запрос , чтобы начать новый инкрементный или полный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы запустить тесты служб Active Directory Lightweight Directory, выполните приведенные ниже действия.
1. Перейдите в меню «Пуск», найдите соединитель каталогов Cisco, щелкните Cisco Directory – Diagnostic. Щелкните вкладку AD-LDS, введите хост и порт, а затем выберите Загрузить разделы.
2. Выберите раздел из списка и нажмите Подключиться.
3. По умолчанию выполняется поиск всех путей, но можно выбрать один атрибут и нажать Тест , чтобы проверить это значение.
4. Настройте другие фильтры в разделе Запросы Active Directory, такие как User, UserProxy, UserProxyFull и фильтры поиска.
5. Установите флажок Auto Fill Cookie , чтобы автоматически создать файл cookie для поиска.
6. Щелкните Запрос , чтобы начать новый инкрементный или полный поиск. Этот поиск может занять несколько секунд.
7. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.
Чтобы запустить тесты для LDAP, выполните приведенные ниже действия.
1. Перейдите в меню «Пуск», найдите соединитель каталогов Cisco, щелкните Cisco Directory – Diagnostic. Щелкните вкладку LDAP RAW, введите Корневой путь, Фильтр и выберите запись в разделе Атрибуты, затем нажмите Загрузить разделы.
2. При необходимости проверьте приведенные ниже параметры.
  - ObjectSecurity. Если этот параметр присутствует, вызывающему абоненту не требуется никаких прав и он может видеть только объекты и атрибуты, доступные вызывающему абоненту. Если этот параметр отсутствует, вызывающий абонент имеет право копировать изменения.
  - ParentsFirst — обеспечивает, чтобы все родители детей приходили раньше своих детей.
3. Выберите значение для ExtendedDN.
  
  Это значение используется при расширенном поиске LDAP для запроса расширенной формы Distinguished Name объекта.
4. Выберите значение для ReferralChasing.
  
  Погоня за рефералами инициируется, когда контроллер домена возвращает реферал из запроса — например, для подробных сведений о результатах запроса, которые могут находиться за пределами пространства имен (например, члены группы в другом домене или лесу).
5. Щелкните Запрос , чтобы начать новый инкрементный или полный поиск. Этот поиск может занять несколько секунд.
6. По завершении теста щелкните Сохранить , чтобы сохранить запись журнала, которую можно отправить в службу поддержки для анализа при открытии обращения.

Устранение неполадок в соединителе каталогов Ciso

Устранение неполадок и исправления соединителя каталогов

В соединителе каталогов может возникнуть сообщение об ошибке или другая проблема. Кроме того, после синхронизации информации о пользователях соединителем каталогов соединитель может отправить вам отчет по электронной почте со списком проблем, связанных с синхронизацией. Проблемы, которые могут возникнуть, возможные причины и предлагаемые решения, см. в следующих разделах.

Установка

Соединитель каталогов перестал работать

Вы получили уведомления по электронной почте о том, что соединитель каталогов не работает.

Соединитель каталогов может быть установлен неправильно.
Соединитель каталогов может не работать.
Сеть может быть недоступна.

Выполните указанные ниже действия.

Открыть Панель управления > Программы и функции. Найдите соединитель каталогов. Если его нет, скачайте последнюю версию из Control Hub и установите ее.
Откройте службу и найдите службу Cisco DirSync. Убедитесь, что состояние отображается как Начато. Если служба остановлена, щелкните правой кнопкой мыши и выберите "Начать", чтобы перезапустить службу.
Убедитесь, что сервер, на котором установлен соединитель каталогов, имеет доступ к Интернету.

Ошибка переустановки

Проблема. При немедленной установке нового соединителя после удаления старого может отображаться сообщение об ошибке.

Возможная причина: в Windows Server 2012 клиенту для удаления требуется время, чтобы удалить учетную запись службы из списка служб.

Решение. Через некоторое время повторите попытку установки.

Вход

Сбой соединителя каталогов при входе в систему SSO

Проблема

После ввода адреса электронной почты со страницы входа в систему SSO может произойти аварийное завершение работы соединителя каталогов.

Решение

Выполните указанные ниже действия.

Чтобы настроить новую групповую политику, выполните следующие действия.

Перейдите к контроллеру домена и откройте управление групповой политикой (gpedit.msc).
Щелкните правой кнопкой мыши конкретный OU или домен и выберите Create a GPO in this domain, and Link it here...
Укажите название политики, щелкните правой кнопкой мыши и выберите Редактировать.

Чтобы изменить политику на уровне машины, выполните следующие действия.

Перейти к Конфигурация Компьютера > > Предпочтительные параметры > > Настройки Windows, щелчок правой кнопкой мыши Реестр, выбрать Новый, а затем Элемент Реестра.
Для ключа введите или перейдите к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger для значения, и введите no для данных значений.

Настройки должны совпадать с этим снимком экрана:

Чтобы изменить политику на уровне пользователя, выполните следующие действия.

Перейти к Конфигурация Компьютера > > Предпочтительные параметры > > Настройки Windows, щелчок правой кнопкой мыши Реестр, выбрать Новый, а затем Элемент Реестра.
Для Key Path введите или перейдите к HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main.
Введите Disable Script Debugger для значения, и введите no для данных значений.

Настройки должны совпадать с этим снимком экрана:

Изменения вступают в силу после выполнения gpupdate /force, машина перезагружена (для изменений машины) или пользователь снова входит в систему (для изменений пользователя).

Не удалось зарегистрировать соединитель службы Cisco DirSync

Проблема

Сбой входа и отображается следующее сообщение: "Не удалось зарегистрировать соединитель служб Cisco DirSync".

Решение

Система Windows, на которую установлен соединитель каталогов, должна быть членом Active Directory.

Страница входа не отображается

Проблема

Вы открыли соединитель каталогов, и страница входа не отображалась.

Решение

Выполните следующие действия.

В Internet Explorer перейдите в раздел https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Попробуйте использовать ссылку в других браузерах, таких как Chrome и Firefox.
Если Internet Explorer не может перейти по ссылке, но другие браузеры могут это сделать, проверьте настройки Internet Explorer и установите флажки TLS 1.1 и 1.2. (Воспользуйтесь процедурой Включить TLS в Internet Explorer .)

Отобразится подсказка для входа

Проблема

Появится запрос на ввод имени пользователя и пароля для прохождения аутентификации.

Возможная причина

Соединитель каталогов завершает аутентификацию безопасности NTLM в фоновом режиме с помощью учетной записи входа. Если аутентификация не выполнена, появится диалоговое окно с запросом имени пользователя и пароля для аутентификации.

Решение

При отображении всплывающего окна входа необходимо предоставить действительную учетную запись с правильной аутентификацией для обеспечения безопасности передачи.

Не удается подключиться к удаленному серверу

Проблема

Во время обычной работы отображается сообщение об ошибке: "Не удается подключиться к удаленному серверу".

Возможная причина

Могут возникнуть проблемы с прокси-сервером, которые необходимо решить.

Решение

Дополнительную информацию об устранении неполадок см. в разделе Устранение неполадок при входе учетной записи службы.

Не удается зарегистрировать соединитель

Проблема

Отображается сообщение об ошибке "Невозможно зарегистрировать соединитель. Произошло общее исключение".

Возможная причина

В большинстве случаев проблема заключается в том, что соединитель каталогов не имеет прав на подключение к корневому контексту LDAP.

Решение

Выполните указанные ниже действия.

Запустите командную строку (cmd) и введите ldp.exe.
Щелкните Connection > Bind, выберите Bind как зарегистрированный в данный момент пользователь, а затем нажмите OK.
Щелкните Вид > Дерево, введите DC=arbonneintl, DC=ad как BaseDN, а затем нажмите OK.
Если проблема не исчезнет, зарегистрируйте обращение в службу поддержки.

Синхронизация

Аватары не синхронизированы

Проблема

Соединитель каталогов Cisco синхронизировал данные AD пользователей с облаком Webex. Но ни один из данных аватара не был синхронизирован успешно.

Возможная причина

Если вы повторно использовали существующий сервер аватаров и аватары пользователей уже были синхронизированы, локальный кэш фиксирует их и избегает повторной отправки, чтобы сохранить пропускную способность.

Решение

Удалите локальный кэш, выполнив следующие действия.

Перейдите к C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Удалите DirSyncPluginAvatar.dll-cache.bin.
Повторно запустите синхронизацию аватара из соединителя каталогов Cisco.

Конфликтующие учетные записи электронной почты пользователей

Проблема

В результате синхронизации могут отображаться конфликтующие учетные записи электронной почты пользователей.

Если пользователи попробовали бесплатную версию приложения Webex, их адреса электронной почты будут находиться в бесплатной потребительской организации.
Если сообщения электронной почты пользователей когда-либо были синхронизированы в другой организации.
Если сообщения электронной почты пользователей существуют в нескольких доменах, принадлежащих организации.

Решение

Выполните указанные ниже действия.

При попытке заявить пользователей выполните приведенные ниже действия.
1. Убедитесь, что домен подтвержден в Control Hub.
2. Temporaily отключить соединитель каталогов Cisco.
3. Используйте параметр "Утверждение пользователя" в Control Hub, чтобы заявить все учетные записи, которые могут существовать в бесплатной потребительской организации. Дополнительную информацию см. в статье Утверждение пользователей в вашей организации (преобразование пользователей) .
4. Выполните пробный запуск в соединителе каталогов Cisco, а затем повторно включите синхронизацию каталогов
В последнем случае дважды проверьте данные пользователей в источниках Active Directory.

Преобразованный пользователь, помеченный как неактивный

Проблема

В среде, синхронизированной с каталогом, вы преобразовали бесплатного пользователя (потребительской организации) в корпоративную организацию, но преобразованный пользователь не может войти в приложение Webex.

Возможная причина

При преобразовании бесплатного пользователя в корпоративную организацию пользователь будет помечен как неактивный в течение 30 дней в качестве меры обеспечения соответствия требованиям безопасности. В течение этого периода пользователь не может войти в приложение Webex и по истечении 30-дневного периода отмечен для удаления. Эта ситуация возникает из-за того, что бесплатная информация о пользователе не находится в Active Directory.

Решение

Если вы не хотите, чтобы учетная запись пользователя была удалена, необходимо принять меры. Чтобы решить эту проблему, создайте учетную запись пользователя в локальной Active Directory, которая соответствует преобразованной бесплатной учетной записи пользователя. Затем выполните синхронизацию с помощью соединителя каталогов Cisco. После этого пользователь может повторно войти в приложение Webex, и учетная запись не будет удалена.

Сбой инкрементальной синхронизации

Проблема

Сбой инкрементальной синхронизации.

Эта проблема может возникать в Windows Server 2008 R2 при следующих условиях:

Поддерживается инкрементальное обновление значений.
Используемый фильтр ссылается на атрибут связанного значения.
Значения результатов этого атрибута обновлялись с момента последнего выполнения полной синхронизации.

Решение

В Windows Server 2008 R2 есть ошибка, связанная с этой проблемой. Ошибка исправлена в 2012 R2 и последующих выпусках. Рекомендуется модернизировать Windows Server как минимум до версии 2012 R2.

Недопустимое значение для атрибута

Проблема

Для [user dn (distinguished name)] атрибут [attribute name] имеет следующее недопустимое значение [attribute value].

Возможная причина

Для CN=b,OU=Employees,OU=C Users,DC=c,DC=com атрибут [номер телефона] имеет следующее недопустимое значение: +. Этот атрибут должен содержать не менее одного номера.

Решение

Атрибут для этого пользователя не имеет допустимого значения. Зафиксируйте его значение в соответствии с описанием в предупреждающем сообщении. Затем выполните другую синхронизацию.

Совпадающие пользователи, подлежащие удалению

Проблема

Совпадающие пользователи помечены как удаленные.

При выполнении пробной синхронизации для проверки данных между Active Directory и облаком в обоих случаях может отображаться один и тот же адрес электронной почты. Однако пользователь помечается как объект, подлежащий удалению.

Решение

Выберите соответствующее исправление.

Если удалить пользователя и повторно выполнить лицензии можно после этого, для исправления можно использовать соединитель каталогов. Выполните синхронизацию для удаления пользователя, а затем выполните другую синхронизацию для синхронизации пользователя из локального AD в облако.
Если невозможно удалить и воссоздать учетную запись пользователя, зарегистрируйте обращение в службу поддержки.

Отсутствует атрибут

Проблема

Необходимый атрибут [attribute_name] при добавлении локальной записи [user dn (distinguished name)]. Запись не будет создана в Control Hub, пока все необходимые атрибуты не будут иметь значение.

Возможная причина

Адрес электронной почты обязательного атрибута отсутствует. При добавлении локальной записи [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local] запись не будет создана в Control Hub, пока все необходимые атрибуты не получат значение.

Решение

Один из обязательных атрибутов отсутствует для пользователя [user_email_address]. Укажите необходимые значения для этого пользователя.

Вложенная группа не будет синхронизироваться

Проблема

Пользователи во вложенной группе Active Directory не синхронизируются надлежащим образом с облаком.

Возможная причина

Используется фильтр, включающий как дочернюю, так и родительскую группу, которая не поддерживается. Пример. (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)

Решение

Необходимо перенастроить фильтр, синхронизирующий группы. Пример. |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)

Конфликт имен пользователей

Проблема

Существует конфликт имен для [user dn] существующего объекта ввода в облаке с именем: [адрес электронной почты пользователя] и типа пользователя [user_type].

Возможная причина

Пользователь с этим адресом электронной почты уже существует в Control Hub.

Решение

Создайте пользователя в Active Directory с тем же адресом электронной почты, что и учетная запись, зарегистрированная в Control Hub.

Control Hub

Список пользователей отсутствует в Control Hub

Проблема

Если у вас организация Webex с более чем 1000 синхронизированных пользователей, список пользователей в Control Hub может не отображаться.

Решение

Для поиска учетной записи пользователя можно использовать функцию поиска. В Control Hub перейдите в раздел Пользователи, щелкните поиск и введите критерии поиска, чтобы найти определенного пользователя.

Группы не будут синхронизироваться с Control Hub

Проблема

Пользователи в группе каталогов не будут надлежащим образом синхронизироваться с Control Hub.

Возможная причина

Группа не помечена как isCriticalSystemObject в Active Directory.

Решение

Убедитесь, что атрибут isCriticalSystemObject установлен в значение TRUE в Active Directory.

Включение устранения неполадок соединителя каталогов

Можно включить устранение неполадок, чтобы помочь диагностировать любые ошибки, с которыми вы столкнулись в соединителе каталогов. Функция устранения неполадок позволяет собирать данные о сетевом трафике и сохранять их в отдельном файле.

Файлы журнала, которые являются: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

Выполните команду services.msc для изменения запущенной учетной записи службы соединителя каталогов с локальной системы на учетную запись домена, имеющую права доступа к AD DS или AD LDS.

Перезапустите службу.

Руководство см. в разделе Как запустить службы .

В соединителе каталогов щелкните Инструментальная панель.

Перейдите в раздел Действия, а затем щелкните Утилиты > Устранение неполадок.

Если устранение неполадок включено, повторите действия, которые привели к ошибке. Таким образом данные о трафике фиксируются, чтобы их можно было проверить.

Проверьте файлы журналов: если файл пуст, убедитесь, что у учетной записи есть права на доступ к AD DS или AD LDS.

Папка журнала сохраняет файлы только за последние 3 дня. Содержимое файлов журнала соответствует выходу журнала событий в систему.

При необходимости отправьте файл журнала в службу поддержки для получения помощи.

По завершении отключите функцию устранения неполадок.

Связанная информация

Обратиться в службу поддержки

Запуск средства просмотра event-совещаний

Чтобы просмотреть события, произошедшие во время полной или инкрементальной синхронизации, запустите средство просмотра событий. На нем отображается сводная информация об административных событиях и журналах ошибок.

1.	В соединителе каталогов перейдите к инструментальной панели, а затем щелкните Действие > Запустить средство просмотра событий. В диалоговом окне "Свойства события" отображаются сведения о событии синхронизации и сведения об ошибках.
2.	В средстве просмотра event-совещаний перейдите к Журналы приложений и служб > Соединитель каталогов Cisco.
3.	В разделе Действия щелкните Сохранить все события как , чтобы экспортировать все журналы в виде одного файла Events (*.evtx) или другого формата, например XML или csv.

Дальнейшие действия

Если необходимо зарегистрировать обращение, обратитесь в службу поддержки, опишите проблему с соединителем, а затем приложите файл Events к вашему обращению.

В журналах событий записываются действия пользователей. Для получения справки по управлению сетевым трафиком включите устранение неполадок в соединителе.

Включение TLS в Internet Explorer

При переключении поставщиков услуг системы единого входа (SSO) от соединителя каталогов Cisco могут отображаться следующие сообщения об ошибках.

При входе в службу произошла ошибка
В сценарии на этой странице произошла ошибка

При обнаружении этих ошибок необходимо включить настройку TLS в браузере.

1.	Откройте Internet Explorer и выберите Tools. Теперь установите флажки для версии TLS/SSL, которую необходимо включить. Нажмите ОК Закрыть браузер и снова откройте его.
2.	Щелкните Internet Options , перейдите в Advanced , прокрутите страницу до Security.
3.	Установите флажки Использовать TLS 1.1 и Использовать TLS 1.2, а затем нажмите ОК.
4.	Перезапустите систему, чтобы изменения вступили в силу.

Устранение неполадок при входе в учетную запись службы

Если вы не можете войти в соединитель каталогов Cisco или не можете запустить синхронизацию, выполните приведенные ниже действия, чтобы попытаться решить проблему, прежде чем обратиться в службу поддержки.

Попробуйте посетить https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL в веб-браузере.

Выберите один вариант в зависимости от результатов:

Если вы не можете перейти по ссылке в браузере, проверьте настройки сети. Если в вашей среде используется прокси, проверьте настройки прокси.
Если вы можете перейти по ссылке в браузере, но не можете открыть соединитель каталогов Cisco (невозможно открыть соединитель и всплывающее сообщение об ошибке 407), щелкните здесь , чтобы получить последнюю версию соединителя каталогов Cisco.

Если вы можете перейти по ссылке в браузере, но не можете запустить синхронизацию из соединителя каталогов Cisco, измените учетную запись для входа в службу на admin домена.

Проверьте, является ли учетная запись, используемая для входа в систему Windows, той же учетной записью, что и в службе Cisco DirSync. Если это 2 разных учетных записи, убедитесь, что обе учетные записи могут посетить https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL. Если в вашей среде используется прокси, убедитесь в том, что обе учетные записи настроены для прокси в Internet Explorer и могут посетить https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL успешно.

Как минимум, убедитесь, что настроенная учетная запись службы Cisco DirSync (которую можно найти в службах Windows) имеет уровень прав, позволяющий ей получать доступ к данным аватара и AD. По умолчанию служба использует учетные данные и аутентификацию учетной записи Windows.

Связанная информация

Обратиться в службу поддержки

Проверка режима SafeDllSearchMode в реестре Windows

Обычно SafeDllSearchMode включен, но используйте эту процедуру для двойной проверки настроек реестра.

Перед началом работы

В окне поиска Windows или Запустить введите regedit и нажмите Enter.

Перейдите в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Выберите один из вариантов.

SafeDllSearchMode не указан в списке — дальнейшие действия не требуются.
Отображается список SafeDllSearchMode. Убедитесь, что для значения установлено значение 1.

Дополнительные сведения см. в разделе Порядок поиска библиотеки динамических ссылок.