- Головна
- /
- Стаття
У цій статтіОгляд з’єднувача каталогу
Directory Connector — це локальна програма для синхронізації ідентифікаційних даних у хмарі. Ви завантажуєте програмне забезпечення з’єднувача з Control Hub і встановлюєте його на локальному комп’ютері.
За допомогою Directory Connector можна підтримувати облікові записи користувачів і дані в Active Directory, тому Active Directory стає єдиним джерелом правди. Коли ви вносите зміни локально, вони реплікуються в хмару.
Перегляньте всі функції, описи та переваги в таблиці:
| Функція | Опис і переваги |
|---|---|
| Проста у використанні панель | На панелі наведено розклад синхронізації, зведення та стан синхронізації, а також стан з’єднувача каталогів. Ви можете переглядати інформаційну панель під час входу в систему. |
| Пробний запуск перед синхронізацією з хмарою | Виконайте пробний запуск змін до каталогу, перш ніж їх буде реалізовано в хмарі. Потім запустіть звіт, щоб переконатися, що зміни, які ви хочете внести, відповідають вашим очікуванням. |
| Повна та поетапна синхронізація | Синхронізувати весь каталог. Або просто синхронізуйте покрокові зміни, щоб заощадити на обчислювальній потужності та скоротити час синхронізації. |
Синхронізувати кілька доменів (один ліс або кілька лісів) |
Directory Connector підтримує кілька доменів як в одному лісі, так і в декількох лісах (без необхідності використання AD LDS). Для компаній із кількома доменами Active Directory можна встановити з’єднувач каталогів для кожного домену, прив’язати кожен домен до вашої організації, а потім синхронізувати кожну базу користувачів у Webex. Control Hub відображає стан, показуючи стан синхронізації для кількох з’єднувачів каталогів, дозволяє вимкнути синхронізацію для певного домену та деактивувати Directory Connector у розгортанні високої доступності. |
| Запланована синхронізація | Установіть розклад синхронізації за днями, годинами та хвилинами. |
| Фільтри Lightweight Directory Access Protocol (LDAP). | Визначте критерії пошуку LDAP та забезпечте ефективний імпорт. |
| Зіставлення атрибутів Active Directory | Зіставте атрибути Microsoft Active Directory з відповідними атрибутами хмари Webex. Можна зіставити атрибути, які відповідають вашій конфігурації Active Directory, а також визначити користувацькі атрибути для зіставлення з хмарою. Атрибути з території утворюють різні дані в хмарі, як-от дані облікового запису користувача, номери телефонів підприємств у Webex Teams, SIP-адреси ресурсів кімнати та інші дані картки контакту користувача (посада, відділ, керівник тощо). |
Корпоративний каталог для локальних ресурсів кімнати та користувачів Cisco Webex Calling (хмарна ТМЗК) і корпоративних контактів без ліцензії Webex |
Якщо частина вашої організації використовує хмарну ТМЗК Cisco Webex Calling для служби викликів або ви маєте локальні кімнатні пристрої, ця функція дає змогу користувачам шукати корпоративні контакти в каталозі за допомогою телефонів Cisco Webex Calling (хмарна ТМЗК) або ресурсів кімнати.
|
| Засіб перегляду подій | Використовуйте засіб перегляду подій, щоб визначити, чи не виникли проблеми з синхронізацією. |
| Засіб діагностики та усунення несправностей | Ви можете використовувати вбудований інструмент діагностики для усунення несправностей розгортання Cisco Directory Connector. Якщо синхронізація не відбулася належним чином, можливо, сталася помилка конфігурації або мережі. Цей інструмент перевіряє підключення до Active Directory, щоб ви могли самостійно діагностувати помилки, перш ніж звертатися до служби підтримки. Після ввімкнення функції усунення несправностей у з’єднувачі каталогів будуть записані журнали, які можна надіслати до служби технічної підтримки. |
| Автоматичне оновлення | Після встановлення Directory Connector вам буде надіслано сповіщення щоразу, коли буде доступна нова версія програмного забезпечення. Можна налаштувати автоматичне оновлення версії, щоб у разі випуску нової версії завжди використовувалася остання версія програмного забезпечення. |
| Висока доступність | Налаштуйте кілька з’єднувачів, щоб існувати резервні копії на випадок, якщо основний з’єднувач або комп’ютер, на якому він розміщений, вийде з ладу. |
Directory Connector поділено на три області:
Control Hub — це єдиний інтерфейс, який дозволяє керувати всіма аспектами вашої організації Webex: переглядати користувачів, призначати ліцензії, завантажувати Directory Connector і налаштувати єдиний вхід (SSO) якщо ви хочете, щоб користувачі проходили автентифікацію через постачальника корпоративних ідентифікаційних даних, і не хочете надсилати запрошення електронною поштою для програми Webex.
Інтерфейс керування з’єднувачем каталогів — це програмне забезпечення, яке ви завантажуєте з Control Hub і встановлюєте на надійному сервері Windows. Для кількох доменів Active Directory можна встановити один миттєвий запуск програмного забезпечення для кожного домену, який потрібно синхронізувати. За допомогою програмного забезпечення можна запустити синхронізацію, щоб перенести облікові записи користувачів Active Directory у Webex, переглядати та відстежувати стан синхронізації, а також налаштовувати служби Directory Connector.
Служба синхронізації каталогів надсилає запит до Active Directory для отримання користувачів і груп для синхронізації зі службою з’єднувача та з’єднувачем каталогів.
Щоб зрозуміти архітектуру з’єднувача каталогів, зверніться до цієї діаграми:
Вимоги до Directory Connector
Вимоги до Windows і Active Directory
Можна встановити Directory Connector на цих підтримуваних серверах Windows:
Windows Server 2012;
Windows Server 2019
Windows Server 2016.
 | Щоб вирішити проблему з файлами cookie, ми рекомендуємо оновити ваш контролер домену до випуску, який містить виправлення: Windows Server 2012 R2 або 2016 . |
З’єднувач каталогів підтримується такими службами Active Directory:
Active Directory 2016
(З’єднувач каталогів підтримується під час використання останньої версії Active Directory на Windows Server 2019)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008
Зверніть увагу на такі додаткові вимоги:
Для з’єднувача каталогів потрібен TLS1.2. Необхідно встановити вказане нижче.
.NET Framework версії 3.5 (вимагається для програми Directory Connector. Якщо у вас виникнуть проблеми, скористайтеся вказівками в Увімкніть .NET Framework 3.5 за допомогою майстра додавання ролей і функцій .)
.NET Framework версії 4.5 (вимагається для TLS1.2)
Потрібен функціональний рівень лісу Active Directory 2 (Windows Server 2003) або вище. (Див Що таке функціональні рівні Active Directory? для отримання додаткової інформації.)
Вимоги до обладнання
Необхідно встановити Directory Connector на комп’ютер із мінімальними вимогами до обладнання:
8 ГБ оперативної пам 'яті
50 ГБ сховища
Немає мінімуму для ЦП
Вимоги до мережі
Якщо ваша мережа захищена брандмауером, переконайтеся, що ваша система має доступ до інтернету за протоколом HTTPS (порт 443).
Вимоги до організації Webex
Щоб отримати доступ до програмного забезпечення Directory Connector із Control Hub, потрібна організація Webex із ознайомлювальною або платною підпискою.
(Необов’язково) Якщо ви хочете, щоб нові облікові записи користувачів програми Webex були активними до першого входу, рекомендуємо виконати наведені нижче дії.
Додайте, перевірте та за бажанням зарезервуйте домени які містять адреси електронної пошти користувачів, які потрібно синхронізувати в хмарі.
Виконайте інтеграцію єдиного входу (SSO). вашого постачальника ідентифікаційних даних (IdP) у вашій організації Webex.
Блокувати автоматичні запрошення електронною поштою , щоб нові користувачі не отримували автоматичне запрошення електронною поштою, і ви могли створити власну кампанію електронною поштою. (Ця функція вимагає інтеграції SSO.)
| Додаткову інформацію див Стани користувачів і дії в Control Hub . |
Вимоги до встановлення
Для середовища з кількома доменами (один або кілька лісів) необхідно встановити один з’єднувач каталогів для кожного домену Active Directory. Якщо ви хочете синхронізувати новий домен (B), зберігаючи синхронізовані дані користувача в іншому наявному домені (A), переконайтеся, що у вас є окремий підтримуваний сервер Windows для встановлення з’єднувача каталогів для синхронізації домену (B).
Для входу за допомогою з’єднувача нам не потрібен обліковий запис адміністратора в Active Directory. Потрібен обліковий запис локального користувача, який є таким самим користувачем, що й обліковий запис повного адміністратора в Control Hub.
Цей локальний користувач повинен мати права на цьому комп’ютері з Windows для підключення до контролера домену та читання об’єктів користувача Active Directory. Обліковий запис для входу на комп’ютер має бути адміністратором комп’ютера з правами на встановлення програмного забезпечення на локальному комп’ютері. (Ця інформація також стосується входу до віртуальної машини.)
Під час входу за допомогою з’єднувача обліковий запис для входу має збігатися з обліковим записом повного адміністратора для Control Hub. За замовчуванням з’єднувач використовує обліковий запис локальної системи для доступу до Active Directory. Однак ви можете використовувати служби Windows, щоб налаштувати інший обліковий запис для доступу до Active Directory. (Ця інформація також стосується входу до віртуальної машини.)
Переконайтеся, що режим пошуку безпечної бібліотеки динамічних посилань Windows (DLL) увімкнено за допомогою цієї процедури: Перевірте режим SafeDllSearchMode в реєстрі Windows .
Якщо ви використовуєте AD LDS для кількох доменів в одному лісі, ми рекомендуємо встановити Directory Connector і Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) на окремих комп’ютерах.
Вимоги до кількох доменів
Перш ніж виконати виконання завдань у Потік завдання розгортання з’єднувача каталогів Cisco , пам’ятайте про такі вимоги та рекомендації, якщо ви збираєтеся синхронізувати інформацію Active Directory з кількох доменів у хмарі:
Для кожного домену потрібен окремий екземпляр Directory Connector.
Програмне забезпечення Directory Connector має запускатися на хості, який перебуває в тому самому домені, що його буде синхронізувати.
Рекомендовано перевірити або зарезервувати домени в Control Hub. (Див Додайте, перевірте та зарезервуйте домени .)
Якщо ви хочете синхронізувати понад 50 доменів, потрібно відкрити квиток щоб перемістити вашу організацію до великого списку організацій.
За бажанням можна синхронізувати інформацію про ресурси кімнати разом з обліковими записами користувачів. (Див Синхронізуйте інформацію про локальну кімнату з хмарою Webex .)
Рекомендації груп Active Directory щодо автоматичного призначення ліцензій
Групи Active Directory використовуються для збирання облікових записів користувачів, облікових записів комп’ютерів та інших груп у керовані блоки. Робота з групами, а не з окремими користувачами допомагає спростити обслуговування мережі та адміністрування.
У Active Directory є два типи груп:
Групи розсилки — Використовується для створення списків розсилки електронної пошти.
Групи безпеки — Використовується для призначення дозволів до спільних ресурсів.
Створюючи групи в Active Directory, дотримуйтеся наведених далі рекомендацій.
Створіть глобальну групу для кожної ролі, відділу або служби (як-от продажі, маркетинг, менеджери, бухгалтери, ліцензування Webex тощо).
Використовуйте стандартні правила іменування в організації, щоб спростити ідентифікацію важливої інформації про групу. Імена груп можуть містити відомості про групу, як-от рівень доступу, тип ресурсу, рівень безпеки, область дії групи, можливості роботи з поштою тощо. наприклад, ім’я групи «GSG_ Вebex_ Лicensing_ EMEAR» стосується глобальної групи безпеки для користувачів ліцензування Webex EMEAR.
Організуйте групи зручним для розуміння способом, наприклад за географічним розташуванням або ієрархією менеджерів. Використовуйте описи груп, щоб повністю описати мету групи.
Перш ніж додавати користувачів до нещодавно підготовлених груп, визначте шаблон групи автоматичного ліцензування в Control Hub для цих груп. Див Налаштуйте свій шаблон автоматичного призначення ліцензій для отримання додаткової інформації.
Інформація про розмір
Directory Connector працює як міст між локальною службою Active Directory і хмарою Webex. Тому з’єднувач не має верхнього обмеження кількості об’єктів Active Directory, які можна синхронізувати з хмарою. Будь-які обмеження щодо об’єктів локального каталогу прив’язані до конкретної версії та специфікацій середовища Active Directory, що синхронізується з хмарою, а не самого з’єднувача.
На швидкість синхронізації може впливати кілька факторів:
Загальна кількість об’єктів Active Directory. (Завдання синхронізації 5000 користувачів триватиме не так довго, як 50000.)
Швидкість мережі та пропускна здатність.
Робоче навантаження та технічні характеристики системи.
 | Якщо ви синхронізуєте понад 50 000 користувачів, настійно рекомендуємо використовувати другий з’єднувач для перемикання на помилки та резервування. |
| Оскільки до синхронізації пов’язано кілька факторів, а кожне розгортання залежить від наведених вище факторів, ми не можемо надати конкретні значення часу для визначення тривалості синхронізації об’єкта. |
Перевірте режим SafeDllSearchMode в реєстрі Windows
Режим пошуку в бібліотеці безпечних динамічних посилань (DLL) встановлюється за замовчуванням у реєстрі Windows і розміщує поточний каталог користувача пізніше в порядку пошуку DLL. Якщо цей режим якимось чином вимкнути, зловмисник міг би розмістити шкідливу DLL (з назвою так само, як і посилання на файл DLL, що знаходиться в системній папці) у поточний робочий каталог програми.
Зазвичай режим SafeDllSearchMode ввімкнено, але скористайтеся цією процедурою, щоб двічі перевірити параметри реєстру.
Перш ніж почати
 | Зміни до реєстру Windows слід виконувати з особливою обережністю. Рекомендовано створити резервну копію реєстру перед виконанням цих кроків. |
| 1. | У вікні пошуку Windows або вікні «Виконати» введіть regedit а потім натисніть Введіть . |
| 2. | Перейти до HKEY_ LOCAL_ МАШИНА\Система\CurrentControlSet\Control\Диспетчер сеансів . |
| 3. | Виберіть один із варіантів:
|
Додаткову інформацію див Порядок пошуку бібліотеки динамічних посилань .
Інтеграція вебпроксі
Інтеграція вебпроксі
Якщо у вашому середовищі ввімкнено автентифікацію вебпроксі, ви все ще можете використовувати Directory Connector.
Якщо ваша організація використовує прозорий вебпроксі, він не підтримує автентифікацію. З’єднувач успішно підключається та синхронізує користувачів.
Можна скористатися одним із таких підходів:
Відкритий вебпроксі через Internet Explorer (з’єднувач успадковує параметри вебпроксі)
Відкритий вебпроксі через файл .pac (з’єднувач успадковує специфічні для підприємства налаштування проксі-сервера)
Прозорий проксі-сервер, який працює зі з’єднувачем без змін
Використовуйте вебпроксі через браузер
Можна налаштувати Directory Connector для використання вебпроксі через Internet Explorer.
Якщо служба Cisco DirSync запускається з облікового запису, відмінного від облікового запису користувача, який наразі ввійшов у систему, вам також потрібно ввійти за допомогою цього облікового запису та налаштувати вебпроксі.
| 1. | З Internet Explorer перейдіть до Параметри браузера , клацніть Зв’язки , а потім виберіть Параметри локальної мережі . | ||
| 2. | Укажіть екземпляр Windows, де встановлено з’єднувач, на вебпроксі. З’єднувач успадковує ці параметри вебпроксі. | ||
| 3. | Якщо ваше середовище використовує автентифікацію проксі, додайте ці URL-адреси до списку дозволених:
Це можна виконати на всьому вебсайті (для всіх хостів) або лише для хоста, який має з’єднувач.
| ||
| 4. | Якщо вашому середовищі потрібно запитувати списки відкликаних сертифікатів у центрів сертифікації, додайте ці URL-адреси до свого списку дозволених:
Додаткову інформацію див. в статті про домени та URL-адреси, до яких необхідно отримати доступ для служб Webex . |
Налаштуйте вебпроксі через файл PAC
Можна налаштувати браузер клієнта на використання файлу .pac. Цей файл надає адресу вебпроксі й інформацію про порт. Directory Connector безпосередньо успадковує конфігурацію веб-проксі для підприємства.
| 1. | Щоб з’єднувач успішно підключався та синхронізував інформацію користувача з хмарою Webex, переконайтеся, що автентифікацію проксі вимкнено для | ||
| 2. | Якщо ваше середовище використовує автентифікацію проксі, додайте ці URL-адреси до списку дозволених:
Це можна виконати на всьому вебсайті (для всіх хостів) або лише для хоста, який має з’єднувач.
| ||
| 3. | Якщо вашому середовищі потрібно запитувати списки відкликаних сертифікатів у центрів сертифікації, додайте ці URL-адреси до свого списку дозволених:
Додаткову інформацію див. в статті про домени та URL-адреси, до яких необхідно отримати доступ для служб Webex . |
Проксі NTLM
Directory Connector підтримує NT LAN Manager (NTLM) . NTLM - це один з підходів для підтримки автентифікації Windows серед доменних пристроїв та забезпечення їх безпеки.
Дизайн NTLM
У більшості випадків користувач хоче отримати доступ до ресурсів іншої робочої станції через клієнтський ПК, що може бути важко зробити безпечним способом.
Як правило, технічний дизайн NTLM базується на механізмі Виклик
і Відповідь
:
Користувач входить до клієнтського ПК за допомогою облікового запису Windows і пароля. Пароль ніколи не зберігається локально. Замість пароля у вигляді простого тексту локально зберігається хеш-значення пароля. Коли користувач входить до клієнта за допомогою пароля, ОС Windows порівнює збережене геш-значення та хеш-значення з введеним паролем. Якщо обидва однакові, автентифікація проходить.
Коли користувач хоче отримати доступ до будь-якого ресурсу на іншому сервері, клієнт надсилає запит до сервера з ім’ям облікового запису у вигляді простого тексту.
Коли сервер отримує запит, сервер створює 16-бітовий випадковий ключ. Ключ називається Challenge (або одноразовий). Перш ніж сервер надіслати назад клієнту, завдання зберігається на сервері. А потім сервер надсилає запит клієнту у вигляді простого тексту.
Як тільки клієнт отримує запит, надісланий від сервера, клієнт шифрує виклик за допомогою хеш-значення, яке було згадано на кроці 1. Після шифрування значення надсилається назад на сервер.
Коли сервер отримує зашифроване значення від клієнта, сервер надсилає його контролеру домену для перевірки. Запит включає: ім’я облікового запису, зашифрований запит, який надіслав клієнт, і вихідний простий запит.
Контролер домену може отримати хеш-значення пароля відповідно до імені облікового запису. Після цього контролер домену може зашифрувати вихідний виклик. Потім контролер домену може порівняти отримане геш-значення та зашифроване значення геша. Якщо вони збігаються, перевірка успішна.
| Windows має автентифікацію безпеки, вбудовану в операційну систему, що спрощує підтримку автентифікації безпеки для програм. Як наслідок, вам не потрібно завершувати подальше налаштування. |
Налаштуйте прозорий проксі
У цьому сценарії браузер не знає, що прозорий вебпроксі перехоплює http-запити (порт 80/порт 443), і конфігурація на стороні клієнта не потрібна.
| 1. | Розгорніть прозорий проксі-сервер, щоб з’єднувач міг підключатися та синхронізувати користувачів. |
| 2. | Переконайтеся, що проксі-сервер успішно пройшов: під час запуску з’єднувача відобразиться очікуване спливаюче вікно автентифікації браузера. |
Установіть автентифікацію проксі
Додайте URL-адресу cloudconnector.webex.com до списку дозволених, створивши список контролю доступу.
На сервері корпоративного брандмауера:
| 1. | Увімкніть пошук DNS, якщо його ще не ввімкнено. |
| 2. | Визначте приблизну пропускну здатність для цього підключення (приблизно 2 МБ/с або менше для з’єднувача). Це може бути не обов’язковим. |
| 3. | Створіть список керування доступом, щоб застосувати його до хоста з’єднувача, і вкажіть Наприклад: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
| 4. | Застосуйте цей ACL до відповідного інтерфейсу брандмауера, який застосовується лише для цього вузла з єдиним з’єднувачем. |
| 5. | Переконайтеся, що решта хостів у вашій компанії все ще повинні використовувати ваш вебпроксі, налаштувавши відповідний оператор неявного відхилення. |
Потік завдання розгортання з’єднувача каталогів Cisco
Перш ніж почати
| 1. | Установіть з’єднувач каталогів. Control Hub спочатку показує синхронізацію каталогів як вимкнену. Щоб увімкнути синхронізацію каталогів для вашої організації, необхідно встановити та налаштувати Directory Connector, а потім успішно виконати повну синхронізацію. Для нового встановлення Directory Connector завжди переходьте до Control Hub (https://admin.webex.com ), щоб отримати останню версію програмного забезпечення та використовувати найновіші функції та виправлення помилок. Після встановлення програмного забезпечення оновлення версії повідомляються через програмне забезпечення та автоматично встановлюються, коли вони доступні. |
| 2. | Увійдіть до Directory Connector Увійдіть за допомогою облікових даних адміністратора Webex і виконайте початкове налаштування. |
| 3. | Установіть автоматичне оновлення версії Завжди важливо оновлювати програмне забезпечення Directory Connector до останньої версії. Рекомендовано використовувати цю процедуру, щоб дозволити автоматичне встановлення оновлень програмного забезпечення, коли вони доступні. |
| 4. | Виберіть об’єкти Active Directory для синхронізації За замовчуванням Directory Connector синхронізує всіх користувачів, які не є комп’ютерами, і всі групи, які не є критичними системними об’єктами для домену. Для додаткового контролю над тим, які об’єкти підлягають синхронізації, можна вибрати конкретних користувачів для синхронізації та вказати фільтри LDAP за допомогою сторінки вибору об’єктів у з’єднувачі каталогів. |
| 5. |
Можна зіставити атрибути з локального Active Directory з відповідними атрибутами в хмарі. Єдине обов’язкове поле — *uid. |
| 6. | Синхронізуйте аватари каталогу за допомогою однієї з таких процедур:
Можна синхронізувати аватари користувачів із хмарою, щоб аватари кожного користувача відображалися під час входу в програму. Можна синхронізувати аватари з атрибута Active Directory або сервера ресурсів. |
| 7. | Синхронізуйте інформацію про локальну кімнату з хмарою Webex Використовуйте цю процедуру, щоб синхронізувати інформацію про локальну кімнату з Active Directory у хмару Webex. Після синхронізації інформації про кімнату локальні кімнатні пристрої з налаштованою зіставленою SIP-адресою відображатимуться як записи для пошуку на зареєстрованих у хмарі кімнатних пристроях, як-от Webex Room Device або Cisco Webex Board. |
| 8 | Кому: Надання користувачів з Active Directory в Control Hub , виконайте такі дії:
Виконайте наведену послідовність, щоб підготувати користувачів Active Directory для облікових записів програми Webex. Можна підготувати користувачів із розгортання Active Directory з кількома лісами або кількома доменами для Directory Connector 3.0 або пізнішої версії. Під час процесу приєднання користувачів з різних доменів ви повинні вирішити, чи зберігати чи видаляти об’єкти користувача, які вже можуть існувати в хмарі Webex, наприклад, тестові облікові записи з ознайомлювальної версії. Мета полягає в тому, щоб мати точну відповідність між вашими каталогами Active Directory і хмарою Webex. |
Установіть з’єднувач каталогів.
Control Hub спочатку показує синхронізацію каталогів як вимкнену. Щоб увімкнути синхронізацію каталогів для вашої організації, необхідно встановити та налаштувати Directory Connector, а потім успішно виконати повну синхронізацію.
Необхідно встановити один з’єднувач для кожного домену Active Directory, який потрібно синхронізувати. Один екземпляр Directory Connector може обслуговувати лише один домен. Щоб зрозуміти процес синхронізації кількох доменів, перегляньте наведену далі схему.
Перш ніж почати
Якщо ви автентифікуєтеся через проксі-сервер, переконайтеся, що у вас є облікові дані проксі:
Для базової автентифікації проксі необхідно ввести ім’я користувача та пароль після встановлення екземпляра з’єднувача. Конфігурація проксі-сервера Internet Explorer також потрібна для базової автентифікації; див Використовуйте вебпроксі через браузер
Для проксі NTLM під час першого відкриття з’єднувача може відобразитися помилка. Див Використовуйте вебпроксі через браузер .
| 1. | У Control Hub , перейдіть до , і виберіть Далі . | ||
| 2. | Клацніть Завантажити та встановити посилання, щоб зберегти останню версію файлу .zip для встановлення з’єднувача на сервері VMware або Windows. Ви можете отримати файл .zip безпосередньо з це посилання , але для роботи цього програмного забезпечення необхідно мати повний адміністративний доступ до організації Control Hub.
| ||
| 3. | На сервері VMware або Windows розпакуйте та запустіть файл .msi з папки налаштування, щоб запустити майстер налаштування. | ||
| 4. | Клацніть Далі , установіть прапорець, щоб прийняти ліцензійну угоду, а потім клацніть Далі доки не з’явиться екран типу облікового запису. | ||
| 5. | Виберіть тип облікового запису служби, який потрібно використовувати, і виконайте встановлення з обліковим записом адміністратора:
Щоб уникнути помилок, переконайтеся, що наведені нижче права.
| ||
| 6. | Клацніть Установити. Після запуску тесту мережі та, якщо з’явиться відповідний запит, введіть основні облікові дані проксі, клацніть OK , а потім клацніть Завершити . |
Що далі
Рекомендовано перезавантажити сервер після встановлення. Звіт про тестовий тест не може відобразити правильний результат, якщо дані не було опубліковано. Під час перезавантаження комп’ютера всі дані оновлюються, щоб відобразити точний результат у звіті.
Увійдіть до Directory Connector
Перш ніж почати
Переконайтеся, що у вас є облікові дані проксі.
Для базової автентифікації проксі ім’я користувача та пароль буде введено після першого відкриття з’єднувача.
Для проксі NTLM відкрийте Internet Explorer, клацніть значок шестірні, перейдіть до Параметри інтернету > Підключення > Установки LAN , переконайтеся, що інформацію про проксі-сервер додано, а потім клацніть OK . Див Використовуйте вебпроксі через браузер .
| 1. | Відкрийте з’єднувач, а потім додайте | ||||
| 2. | Якщо з’явиться відповідний запит, увійдіть за допомогою своїх облікових даних для автентифікації проксі, а потім увійдіть у Webex за допомогою облікового запису адміністратора й клацніть Далі . | ||||
| 3. | Підтвердьте свою організацію та домен.
| ||||
| 4. | Після Підтвердьте організацію з’явиться екран, клацніть Підтвердити . Якщо ви вже зв’язали AD DS/AD LDS, Підтвердьте організацію з’явиться екран. | ||||
| 5. | Натисніть Підтвердити. | ||||
| 6. | Виберіть один, залежно від кількості доменів Active Directory, які потрібно прив’язати до Directory Connector:
|
Що далі
Після входу вам буде запропоновано виконати синхронізацію пробного запуску.
Панель керування з’єднувачем каталогів
Коли ви вперше входите до Directory Connector, з’являється панель. Тут можна переглянути зведені відомості про всі дії синхронізації, статистику хмари, виконати синхронізацію пробного запуску, почати повну або поетапну синхронізацію та запустити подання подій, щоб побачити інформацію про помилку.
| Якщо час очікування сеансу завершиться, увійдіть знову. |
Ці завдання можна легко запускати з панелі інструментів дій або меню дій.
Компонент | Опис |
|---|---|
Поточна синхронізація |
Відображає інформацію про стан синхронізації, яка зараз триває. Якщо синхронізація не виконується, відображення стану неактивно. |
Наступна синхронізація |
Відображає наступну заплановану повну та додаткову синхронізацію. Якщо розклад не встановлено, Не заплановано відображається . |
Остання синхронізація |
Відображає стан двох останніх виконаних синхронізацій. |
Поточний стан синхронізації |
Відображає загальний стан синхронізації. |
З’єднувачі |
Відображає поточні локальні з’єднувачі, які доступні для хмари. |
Хмарна статистика |
Відображає загальний стан синхронізації. |
Розклад синхронізації |
Відображає розклад синхронізації для додаткової та повної синхронізації. |
Зведення конфігурації |
Перелік параметрів, які ви змінили в конфігурації. Наприклад, зведення може містити таке:
|
| Дія | Опис | ||
|---|---|---|---|
| Почніть додаткову синхронізацію | Почніть додаткову синхронізацію вручну
|
||
Синхронізація пробного запуску |
Виконайте синхронізацію пробного прогону. |
||
Запустіть засіб перегляду подій |
Запустіть засіб перегляду подій Microsoft. |
||
Оновити |
Оновіть панель з’єднувача каталогів Cisco |
Дія | Опис |
|---|---|
| Синхронізувати зараз | Миттєво розпочніть повну синхронізацію. |
Режим синхронізації |
Виберіть режим додаткової або повної синхронізації. |
Скинути секрет з’єднувача |
Установіть розмову між з’єднувачем каталогів Cisco та службою з’єднувача. Вибір цієї дії призведе до скидання секрету в хмарі, а потім збереження секрету локально. |
Пробний тест |
Виконайте перевірку процесу синхронізації. Перш ніж виконати повну синхронізацію, необхідно виконати пробний запуск. |
Виправлення неполадок |
Увімкнути/вимкнути усунення несправностей. |
Оновити |
Оновіть головний екран з’єднувача каталогів Cisco. |
Вийти |
Вийдіть із з’єднувача каталогів Cisco. |
Комбінація клавіш | Дія |
|---|---|
Alt +A |
Показати Дії меню |
|
Синхронізація зараз |
|
Скинути секрет з’єднувача |
|
Пробний тест |
|
Додаткова синхронізація |
|
Повна синхронізація |
|
Показати Довідка меню |
|
Довідка |
|
Інформація |
|
Поширені запитання |
Установіть автоматичне оновлення версії
| 1. | З Directory Connector перейдіть до , а потім перевірте Автоматичне оновлення до нової версії Cisco Directory Connector . |
| 2. | Клацніть Застосувати , щоб зберегти зміни. |
Нові версії з’єднувача встановлюються автоматично, коли вони стають доступними.
| За бажанням можна керувати оновленнями вручну. Див Оновлення до останньої версії програмного забезпечення для отримання додаткової інформації. |
Виберіть об’єкти Active Directory для синхронізації
За замовчуванням Directory Connector синхронізує всіх користувачів, які не є комп’ютерами, і всі групи, які не є критичними системними об’єктами для домену. Для додаткового контролю над тим, які об’єкти підлягають синхронізації, можна вибрати конкретних користувачів для синхронізації та вказати фільтри LDAP за допомогою сторінки вибору об’єктів у з’єднувачі каталогів.
Групи для автоматичного призначення ліцензій
Control Hub дозволяє керувати призначеннями ліцензій для кожної групи. Можна створювати шаблони ліцензій і зіставляти їх із групами Active Directory, які ви синхронізуєте з хмарою. Під час створення користувача Webex перевіряє членство користувачів і автоматичне зіставлення шаблонів ліцензій для цього нового користувача.
Рекомендовано використовувати фільтр LDAP, щоб синхронізувати лише відповідні групи з хмарою. Наприклад, можна встановити фільтр на:
(&(cn=Example)(objectclass=Group))*
Цей фільтр синхронізує всі групи в межах базового DN, ім’я яких починається з "Приклад". Користувачам, яких не призначено до груп, призначаються ліцензії з шаблону автоматичної ліцензії за замовчуванням, який ви налаштували в Control Hub.
Групи для розгортань безпеки гібридних даних
У Directory Connector необхідно перевірити Групи якщо ви використовуєте гібридну безпеку даних для налаштування пробної групи для пілотних користувачів. Див Посібник із розгортання гібридної безпеки даних для інструкції. Це налаштування Directory Connector не впливає на синхронізацію інших користувачів у хмарі.
| 1. | З Directory Connector перейдіть до Конфігурація , а потім клацніть Вибір об’єкта . | ||
| 2. | У Тип об’єкта розділ, перевірка Користувачі , і подумайте про обмеження кількості контейнерів для пошуку для користувачів. Наприклад, якщо ви хочете синхронізувати лише користувачів у певній групі, потрібно ввести фільтр LDAP у Користувачі Поле фільтрів LDAP. Якщо ви хочете синхронізувати користувачів, які входять до групи «Приклади менеджера», використовуйте такий фільтр:
| ||
| 3. | Перевірте Визначте кімнату щоб відокремити дані кімнати від даних користувача. Клацніть Налаштувати якщо потрібно налаштувати додаткові атрибути для ідентифікації даних користувача як даних кімнат. Використовуйте цей параметр, якщо потрібно синхронізувати інформацію про локальну кімнату з Active Directory у хмарі Webex. Після синхронізації інформації про кімнату локальні кімнатні пристрої з налаштованою зіставленою SIP-адресою відображатимуться як записи для пошуку на кімнатних пристроях, зареєстрованих у хмарі. Додаткову інформацію див Синхронізуйте інформацію про локальну кімнату з хмарою Webex . | ||
| 4. | Перевірте Групи якщо ви хочете синхронізувати групи користувачів Active Directory з хмарою. Не додавайте фільтр LDAP для синхронізації користувачів до поля Груп. Поле Групи слід використовувати лише для синхронізації самих даних групи з хмарою.
| ||
| 5. | Перевірте Контакти якщо потрібно синхронізувати контактну інформацію користувачів із хмарою.
| ||
| 6. | Налаштуйте LDAP фільтрів. Можна додати розширені фільтри, надавши допустимий фільтр LDAP. Див цієї статті для отримання додаткової інформації про налаштування фільтрів LDAP. | ||
| 7. | Укажіть Локальні базові DN для синхронізації клацнувши Виберіть , щоб побачити деревовидну структуру Active Directory. Тут можна вибрати або скасувати вибір контейнерів для пошуку. | ||
| 8 | Переконайтеся, що об’єкти, які потрібно додати для цієї конфігурації, і клацніть Виберіть . Можна вибрати окремі або батьківські контейнери для синхронізації. Виберіть батьківський контейнер, щоб увімкнути всі дочірні контейнери. Якщо вибрати дочірній контейнер, на батьківському контейнері з’явиться сірий прапорець, який означає, що дочірній контейнер встановлено. Потім можна клацнути Виберіть щоб прийняти перевірені вами контейнери Active Directory. Якщо ваша організація поміщає всіх користувачів і групи в контейнер «Користувачі», вам не потрібно шукати інші контейнери. Якщо ваша організація розділена на організаційні одиниці, переконайтеся, що ви вибрали OUs . | ||
| 9 | Клацніть Застосувати. Виберіть варіант:
Інформацію про контрольні випробування див Виконайте синхронізацію пробного запуску для користувачів Active Directory . Для групової синхронізації необхідно виконати повну синхронізацію: Виконайте повну синхронізацію користувачів Active Directory у хмарі . |
Зіставте атрибути користувача
Можна зіставити атрибути з локального Active Directory з відповідними атрибутами в хмарі. Єдине обов’язкове поле — це *uid — унікальний ідентифікатор для кожного облікового запису користувача в службі ідентифікації хмари.
Можна вибрати, який атрибут Active Directory зіставити з хмарою, наприклад, можна зіставити firstName lastName в Active Directory або вираз користувацького атрибута до displayName у хмарі.
| Облікові записи в Active Directory повинні мати адресу електронної пошти; uid за замовчуванням зіставляється з |
Якщо ви вирішили, щоб мова, яку ви надаєте перевагу, надходила з Active Directory, тоді Active Directory є єдиним джерелом правди: користувачі не зможуть змінити налаштування мови в налаштуваннях Webex, а адміністратори не зможуть змінити це налаштування в Control Hub.
| 1. | У з’єднувачі каталогів клацніть Конфігурація , а потім виберіть Зіставлення атрибутів користувача . На цій сторінці показано імена атрибутів для Active Directory (ліворуч) і хмари Webex (праворуч). Усі обов’язкові атрибути позначені червоною зірочкою. | ||||
| 2. | Прокрутіть униз до нижньої частини Імена атрибутів Active Directory , а потім виберіть один із цих атрибутів Active Directory для зіставлення з атрибутом хмари uid :
Ви можете зіставити будь-який інший атрибут Active Directory з uid, але ми рекомендуємо використовувати mail або userPrincipalName, як описано в інструкціях вище. У деяких випадках для входу використовується userPrincipalName, але для керування календарем використовується адреса електронної пошти користувача. Ви повинні переконатися, що адреса електронної пошти для керування календарем збігається з полем основної адреси електронної пошти у Webex. Додайте userPrincipalName як альтернативну адресу електронної пошти. Щоб дізнатися, яким атрибутам у Active Directory відповідають у хмарі, див Зіставлення атрибутів Active Directory у з’єднувачі каталогів .
| ||||
| 3. | Якщо попередньо визначені атрибути Active Directory не підходять для вашого розгортання, клацніть розкривний список атрибутів, прокрутіть униз і виберіть Налаштувати атрибут , щоб відкрити вікно, у якому можна визначити вираз атрибута.
У цьому прикладі зіставимо атрибути Active Directory
| ||||
| 4. | (Необов’язково) Виберіть зіставлення для мобільний і номер телефону якщо потрібно, щоб мобільний і робочий номери відображалися, наприклад, у картці контакту користувача в програмі Webex. Дані номера телефону відображаються в програмі Webex, коли користувач наводить вказівник на зображення профілю іншого користувача. Додаткову інформацію про виклики з картки контакту користувача див Посібник із розгортання Calling in Webex (Unified CM). (адміністратори). | ||||
| 5. | Виберіть додаткові зіставлення, щоб більше даних відображалося на картці контакту:
Після зіставлення атрибутів інформація з’являється, коли користувач наводить вказівник на зображення профілю іншого користувача:
Додаткову інформацію про картку контакту див Перевірте, до кого ви звертаєтеся . Після синхронізації цих атрибутів із кожним обліковим записом користувача можна також увімкнути People Insights у Control Hub. Ця функція дозволяє користувачам програми Webex надавати додаткову інформацію в своїх профілях і дізнаватися більше один про одного. Додаткову інформацію про цю функцію та її ввімкнення див Профілі People Insights для Webex, Jabber, Webex Meetings і Webex Events (новинка) у Control Hub | ||||
| 6. | Після вибору клацніть Застосувати . |
Будь-які дані користувача, що містяться в Active Directory, перезаписують дані в хмарі, які відповідають цьому користувачу. Наприклад, якщо ви створили користувача вручну в Control Hub, адреса електронної пошти користувача має збігатися з адресою електронної пошти в Active Directory. Будь-якого користувача без відповідної адреси електронної пошти в Active Directory буде видалено.
| Видалені користувачі зберігаються в службі ідентифікації хмари протягом 7 днів, перш ніж їх буде остаточно видалено. |
Атрибути Active Directory і хмари
Можна зіставити атрибути з локального Active Directory з відповідними атрибутами в хмарі за допомогою Зіставлення атрибутів користувача вкладка.
У цій таблиці наведено порівняння зіставлення між іменами атрибутів Active Directory та іменами атрибутів Cisco Cloud. Ці значення та зіставлення є налаштуваннями за замовчуванням у Directory Connector. Можна вибрати різні атрибути в розкривних меню Active Directory і визначити, який локальний атрибут синхронізується з яким атрибутом хмари.
Розкривні атрибути розглядайте як попередні налаштування. Як альтернативу значенням у рядку Active Directory можна також задати налаштований атрибут, власний попередній набір, у Active Directory (вираз із кількома атрибутами), щоб зіставити його з одним атрибутом хмари у відповідному рядку. Таким чином, у вас є можливість визначати відображувані імена користувачів, наприклад, можна додати вираз, який створює налаштований атрибут на основі звання, імені та прізвища співробітника в Active Directory.
Також можна вказати будь-який атрибут Active Directory для зіставлення з uid у хмарі. Однак ви повинні переконатися, що локальний атрибут відповідає допустимому формату електронної пошти.
| Можна також використовувати альтернативні адреси електронної пошти, наприклад, якщо ви хочете використовувати userPrincipalName для входу, але адреса електронної пошти користувача використовується для керування його календарем. У цьому випадку зіставте іншу адресу електронної пошти з електронні листи;тип-робота атрибут. Це адреса електронної пошти, що використовується для автентифікації; він не використовується для керування вашим календарем. Адреса електронної пошти, яку ви зіставляєте з AD, має бути з перевіреного домену в межах вашої організації, вона має бути унікальною та не призначатися іншому користувачеві. |
Імена атрибутів Active Directory | Імена атрибутів хмари Webex | Примітки |
|---|---|---|
— |
buildingName |
— |
c |
c |
Цей атрибут визначає абревіатуру країни користувача. |
номер відділу |
номер відділу |
Цей атрибут використовується для номера відділу користувача, який відображається в картку контакту і аналітики користувачів . |
displayName |
displayName |
Цей атрибут використовується для відображуваного імені облікового запису користувача, яке відображається в Control Hub, картку контакту , і аналітики користувачів . |
userAccountControl |
ds-pwp-account-disabled |
Цей атрибут використовується для синхронізації користувачів. Переконайтеся, що userAccountControl атрибут зіставлено з ds-pwp-account-disabled або користувачів не буде синхронізовано належним чином. |
Номер співробітника |
Номер співробітника |
— |
факсTelephoneNumber |
факсTelephoneNumber |
— |
— |
jabberID |
Цей атрибут хмари стосується адрес IM (типу XMPP), які використовуються Jabber. Це значення не збігається зі значенням sipAddresses. |
л |
л |
Цей атрибут визначає місто користувача. |
— |
локаль |
— |
керівник |
керівник |
Цей атрибут використовується для імені менеджера користувача, яке відображається в картку контакту і аналітики користувачів . |
мобільний |
мобільний |
Цей атрибут використовується як мобільний номер, який відображається для виклик користувача з картки контакту . |
o |
o |
Цей атрибут визначає назву компанії або організації та відображається в картку контакту . |
ou |
ou |
Цей атрибут визначає ім’я організаційного підрозділу. |
фізичнаДоставкаНазваОфісу |
фізичнаДоставкаНазваОфісу |
Цей атрибут визначає розташування офісу користувача. |
поштовий індекс |
поштовий індекс |
Цей атрибут визначає поштовий або поштовий індекс користувача для фізичної доставки пошти. |
preferredLanguage |
preferredLanguage |
Цей атрибут встановлює бажану мову користувача та підтримуються такі формати: xx_РР або ХХ-РР. Ось кілька прикладів. en_США,en_ GB, fr-CA. Якщо ви використовуєте непідтримувану мову або неприпустимий формат, мову, яку використовують користувачі, буде змінено на мову, установлену для організації. |
MSRTCSIP-основнаадресакористувача iPhone |
SipAddresses;type=enterprise |
Цей атрибут використовується для синхронізації інформації про локальну кімнату з Active Directory у хмару Cisco Webex. |
сн |
сн |
Цей атрибут використовується для прізвища облікового запису користувача, яке відображається в Control Hub, картку контакту , і аналітики користувачів . |
й(-а; -е) |
й(-а; -е) |
Цей атрибут визначає штат або область користувача. |
streetAddress |
вул |
Цей атрибут визначає вуличну адресу користувача для фізичної доставки пошти. |
phoneNumber |
phoneNumber |
Цей атрибут визначає основний (робочий) номер телефону користувача, для якого використовується виклик користувача з картки контакту . |
— |
часовий пояс |
Цей атрибут хмари визначає часовий пояс користувача. |
заголовок |
заголовок |
Цей атрибут визначає посаду користувача, яка відображається в картку контакту і аналітики користувачів . |
вводити |
підприємство |
— |
* пошта *userPrincipalName |
uid |
Обов’язкове зіставлення атрибутів. Для кожного облікового запису користувача значення Active Directory зіставляється з унікальним ідентифікатором користувача в хмарі. У деяких випадках для входу використовується userPrincipalName, але для керування календарем використовується адреса електронної пошти користувача. Ви повинні переконатися, що адреса електронної пошти для керування календарем збігається з полем основної адреси електронної пошти у Webex. Додайте userPrincipalName як альтернативну адресу електронної пошти. Після цього користувач може використовувати будь-яку з цих адрес електронної пошти для входу за умови правильної Зіставлення атрибутів SAML на місці. Див зразок зіставлення атрибутів нижче щоб дізнатися, як можна зіставити альтернативну адресу електронної пошти. |
*userPrincipalName * пошта <custom attribute=""> |
електронні листи;тип-робота |
Це зіставлення необов’язкове. Використовуйте його, якщо ви хочете використовувати альтернативні адреси електронної пошти. Це адреса електронної пошти, що використовується для автентифікації; він не використовується для керування вашим календарем. Адреса електронної пошти, яку ви зіставляєте з AD, має бути з перевіреного домену в межах вашої організації, вона має бути унікальною та не призначатися іншому користувачеві. |
<New attribute="" for="" Azure="" user="" objectId=""> |
externalId |
Створіть новий атрибут Active Directory, щоб утримувати ідентифікатор об’єкта користувача Azure, щоб він не конфліктував із наявним. Цей атрибут потім зіставляється з атрибутом externalId, гарантуючи, що користувачі Webex створювати групи в Microsoft 365, вони автоматично створюють команди у Webex . |
Альтернативне зіставлення адрес електронної пошти
Вирази для настроюваних атрибутів
Оператор | Опис і приклад |
|---|---|
% | Видаляє всі символи від початку рядка до позиції символу або аргументу рядка, якщо вони збігаються.
|
- | Вилучає задню частину вхідного рядка з кінця вказаного рядка.
|
+ | Об’єднує вхідні рядки або вирази.
|
| | Оцінює розділені вирази за порожнім рядком і вибирає перший непорожній результат.
|
Синхронізуйте аватари каталогу з атрибута Active Directory до хмари
Можна синхронізувати аватари каталогу користувачів із хмарою, щоб кожен аватар відображався під час входу в програму Webex. Використовуйте цю процедуру, щоб синхронізувати необроблені дані аватару з атрибута Active Directory.
| 1. | З Directory Connector перейдіть до Конфігурація , клацніть Аватар , а потім перевірте Увімкнути . |
| 2. | Для Отримати аватар від , виберіть атрибут AD , а потім виберіть Атрибут аватара який містить необроблені дані аватару, які потрібно синхронізувати з хмарою. |
| 3. | Щоб переконатися, що доступ до аватару правильний, введіть адресу електронної пошти користувача й клацніть Отримайте аватар користувача . Аватар з’явиться праворуч. |
| 4. | Після того як ви переконаєтеся, що аватар відображається правильно, клацніть Застосувати , щоб зберегти зміни. |
Синхронізовані зображення стають аватаром за замовчуванням для користувачів у програмі Webex. Користувачам не дозволено встановлювати власний аватар після ввімкнення цієї функції в Directory Connector.
Аватари користувачів синхронізуються як із програмою Webex, так і з усіма відповідними обліковими записами на вебсайті Webex.
Що далі
Виконайте синхронізацію пробного прогону; якщо проблем немає, виконайте повну синхронізацію, щоб ваші облікові записи користувачів і аватари Active Directory синхронізувалися в хмарі та відображалися в Control Hub.
Синхронізуйте аватари каталогу з сервера ресурсів у хмару
Можна синхронізувати аватари каталогу користувачів із хмарою, щоб кожен аватар відображався під час входу в програму Webex. Використовуйте цю процедуру для синхронізації аватарів із сервера ресурсів.
Перш ніж почати
Прикладами є шаблон URI та значення змінної в цій процедурі. Ви повинні використовувати фактичні URL-адреси, де розташовані аватари вашого каталогу.
Шаблон URI аватару та сервер, на якому знаходяться аватари, повинні бути доступні з програми Directory Connector. З’єднувач потребує доступу до зображень за протоколом HTTP або https, але зображення не обов’язково мають бути загальнодоступними в інтернеті.
Синхронізація даних аватару відокремлена від профілів користувачів Active Directory. Якщо ви запускаєте проксі, ви повинні переконатися, що дані аватару можна отримати за допомогою автентифікації NTLM або базової автентифікації.
| 1. | З Directory Connector перейдіть до Конфігурація , клацніть Аватар , а потім перевірте Увімкнути . |
| 2. | Для Отримати аватар від , виберіть Сервер ресурсів а потім введіть Шаблон URI аватара — Наприклад, Давайте розглянемо кожну частину шаблону URI аватару та що вони означають:
|
| 3. | (Необов’язково) Якщо сервер ресурсів вимагає облікових даних, установіть прапорець Установити облікові дані користувача для аватара , потім виберіть один із варіантів Використовувати поточного користувача для входу в службу або Використовувати цього користувача і введіть пароль. |
| 4. | Введіть Значення змінної — Наприклад: |
| 5. | Клацніть Тест щоб переконатися, що шаблон URI аватару працює правильно. У цьому прикладі, якщо значення пошти для одного запису AD є |
| 6. | Після перевірки інформації URI та її правильності клацніть Застосувати . Докладну інформацію про використання регулярних виразів див Короткий посібник із мови регулярних виразів Microsoft . |
Синхронізовані зображення стають аватаром за замовчуванням для користувачів у програмі Webex. Користувачам не дозволено встановлювати власний аватар після ввімкнення цієї функції в Directory Connector.
Аватари користувачів синхронізуються як із програмою Webex, так і з усіма відповідними обліковими записами на вебсайті Webex.
Що далі
Виконайте синхронізацію пробного прогону; якщо проблем немає, виконайте повну синхронізацію, щоб ваші облікові записи користувачів і аватари Active Directory синхронізувалися в хмарі та відображалися в Control Hub.
Синхронізуйте інформацію про локальну кімнату з хмарою Webex
Використовуйте цю процедуру, щоб синхронізувати інформацію про локальну кімнату з Active Directory у хмару Webex. Після синхронізації інформації про кімнату локальні кімнатні пристрої з налаштованою зіставленою SIP-адресою відображатимуться як записи для пошуку на зареєстрованих у хмарі пристроях Webex (Room, Desk і Board).
| 1. | З Directory Connector перейдіть до Синхронізувати , клацніть більше | ||
| 2. | Перевірте Синхронізуйте інформацію про кімнату з хмарою щоб відокремити дані кімнати від даних користувача під час синхронізації. Якщо цей параметр вимкнено, дані кімнати обробляються так само, як і синхронізовані дані користувача. | ||
| 3. | Перейти до Зіставлення атрибутів , а потім змініть зіставлення атрибутів для атрибута хмари sipAddresses;тип=підприємство .
| ||
| 4. | Створіть поштову скриньку ресурсів кімнати в Exchange. Це додає msExchResourceMetaData;ResourceType:Кімната атрибут, який потім використовує з’єднувач для ідентифікації кімнат.
| ||
| 5. | Від користувачів і комп’ютерів Active Directory перейдіть до та змініть властивості кімнати. Додайте повністю кваліфікований URI SIP з префіксом sip:
| ||
| 6. | Виконайте синхронізацію під час тестування, а потім повну синхронізацію в з’єднувачі. Нові об’єкти кімнати відображаються в списку Об’єкти додано і відповідні об’єкти кімнати з’являться Об’єкти зіставлені у звіті про тестовий тест. Усі об’єкти кімнати, позначені для видалення, знаходяться під Кімнати видалено .
Результати тестування показують усі ресурси кімнати, які були зіставлені.
Це налаштування відокремлює дані кімнати Active Directory (включно з атрибутом кімнати) від даних користувача. Після завершення синхронізації статистика хмари на панелі з’єднувача відображає дані кімнат, які було синхронізовано з хмарою.
|
Що далі
Тепер, коли ви виконали ці кроки, під час пошуку на пристрої, зареєстрованому в хмарі Webex, ви побачите синхронізовані записи кімнат, налаштовані за допомогою SIP-адрес. Коли ви здійснюєте виклик із пристрою Webex на цей запис, виклик здійснюється на SIP-адресу, яку було налаштовано для кімнати.
З Control Hub можна автоматично імпортувати кімнати з вашого каталогу і створювати робочі області.
| Кінцевий пристрій не може зациклити зворотний виклик до програми Webex. Для тестових пристроїв для набору номерів ці пристрої мають бути зареєстровані як SIP URI локально або в іншому місці, ніж у програмі Webex. Якщо система кімнат Active Directory, яку ви шукаєте, зареєстрована у Webex і така ж адреса електронної пошти використовується на пристрої Webex Room, настільному пристрої або службі Webex Board для служби календаря, у результатах пошуку не відображатиметься повторюваний запис. Пристрій Room, Desk або Board набирається безпосередньо в програмі Webex, і виклик SIP не здійснюється. |
Надсилайте звіти електронною поштою про результати синхронізації каталогу
За замовчуванням контакти організації або адміністратори завжди отримують сповіщення електронною поштою. За допомогою цього параметра можна налаштувати, хто має отримувати сповіщення електронною поштою зі зведеними звітами про синхронізацію каталогу.
| 1. | У з’єднувачі каталогів клацніть Конфігурація , а потім виберіть Сповіщення . |
| 2. | У з’єднувачі каталогів клацніть Налаштування і поруч із Одержувач електронної пошти , увімкніть Увімкнути синхронізацію звіту . |
| 3. | Перевірте Увімкнути сповіщення якщо потрібно перевизначити поведінку сповіщень за замовчуванням і додати одного або більше отримувачів електронної пошти. |
| 4. | Клацніть Додати а потім введіть адресу електронної пошти. Якщо ви введете адресу електронної пошти в неприпустимому форматі, з’явиться спливаюче повідомлення з пропозицією виправити проблему, перш ніж ви зможете зберегти та застосувати зміни. |
| 5. | Клацніть Додати електронну пошту а потім введіть адресу електронної пошти. Якщо ви введете адресу електронної пошти в неприпустимому форматі, з’явиться спливаюче повідомлення з пропозицією виправити проблему, перш ніж ви зможете зберегти та застосувати зміни. |
| 6. | Якщо вам потрібно змінити будь-які введені адреси електронної пошти, двічі клацніть запис електронної пошти в лівій колонці, а потім внесіть необхідні зміни. |
| 7. | Після додавання всіх допустимих адрес електронної пошти клацніть Застосувати . |
| 8 | Після додавання всіх допустимих адрес електронної пошти клацніть Зберегти . |
Що далі
Якщо ви вирішили видалити адреси електронної пошти, клацніть електронний лист, щоб виділити цей запис, а потім клацніть Видалити .
Якщо ви вирішили видалити адреси електронної пошти, натисніть Видалити поруч із конкретними записами адрес електронної пошти.
Надання користувачів з Active Directory в Control Hub
Виконайте наведені дії, щоб підготувати користувачів Active Directory та створити відповідні облікові записи користувачів у Control Hub. Можна підготувати користувачів із розгортання Active Directory з кількома доменами (з одним або кількома лісами) після встановлення з’єднувача каталогів для кожного домену. Під час процесу приєднання користувачів з різних доменів ви повинні вирішити, чи зберігати чи видаляти об’єкти користувача, які вже можуть існувати в хмарі Webex, наприклад, тестові облікові записи з ознайомлювальної версії. Мета полягає в тому, щоб мати точну відповідність між вашими каталогами Active Directory і хмарою Webex.
| 1. | Виконайте синхронізацію пробного запуску для користувачів Active Directory Виконайте пробний запуск, щоб порівняти об’єкти в локальному Active Directory та об’єкти в хмарі Webex. Пробний запуск дає змогу побачити, які об’єкти будуть додані, змінені або видалені, перш ніж запустити повну або поетапну синхронізацію та зафіксувати зміни в хмарі. |
| 2. | Виконайте повну синхронізацію користувачів Active Directory у хмарі Коли ви запускаєте повну синхронізацію, служба з’єднувача надсилає всі відфільтровані об’єкти з Active Directory (AD) до хмари. Потім служба з’єднувача оновлює сховище посвідчень із вашими записами AD. Якщо ви створили шаблон ліцензії автоматичного призначення, його можна призначити щойно синхронізованим користувачам. |
| 3. | Призначте служби Webex користувачам, синхронізованим каталогом, у Control Hub Після завершення повної синхронізації користувачів із Directory Connector у Control Hub можна призначити ліцензії служби Webex за допомогою різних методів. Ми рекомендуємо вам налаштуйте шаблон автоматичного призначення ліцензії перед використанням для нових користувачів програми Webex, яких було синхронізовано з Active Directory. Після цього початкового кроку можна також внести окремі зміни. |
Виконайте синхронізацію пробного запуску для користувачів Active Directory
Виконайте пробний запуск, щоб порівняти об’єкти в локальному Active Directory та об’єкти в хмарі Webex. Пробний запуск дає змогу побачити, які об’єкти будуть додані, змінені або видалені, перш ніж запустити повну або поетапну синхронізацію та зафіксувати зміни в хмарі.
Під час процесу приєднання користувачів з різних доменів ви повинні вирішити, чи зберігати чи видаляти об’єкти користувача, які вже можуть існувати в хмарі Webex, наприклад, тестові облікові записи з ознайомлювальної версії. З’єднувач каталогів має на меті забезпечити точну відповідність між вашими каталогами Active Directory і хмарою Webex.
Якщо у вас є кілька доменів в одному або кількох лісах, цей крок потрібно виконати на кожному з екземплярів з’єднувача каталогів Cisco, який ви встановили для кожного домену Active Directory.
Перш ніж почати
Можливо, деякі користувачі програми Webex уже були в Control Hub, перш ніж ви використовували Directory Connector. Серед користувачів у хмарі деякі можуть відповідати локальному об’єкту Active Directory і отримати ліцензії на служби. Але деякі можуть бути тестовими користувачами, яких потрібно видалити під час синхронізації. Необхідно створити точну відповідність між вашим Active Directory і Control Hub.
| 1. | Виберіть один із варіантів:
Після завершення пробного запуску ви побачите один із таких результатів:
Зведення містить інформацію про зіставлення об’єктів:
Пробний тест ідентифікує користувачів шляхом порівняння з користувачами домену. Програма може ідентифікувати користувачів, якщо вони належать до поточного домену. На наступному кроці ви повинні вирішити, видалити об’єкти чи зберегти їх. Невідповідні об’єкти ідентифіковано як такі, що вже існують у хмарі Webex, але відсутні в локальному Active Directory. | ||
| 2. | Перегляньте результати тестування, а потім виберіть варіант залежно від того, чи використовуєте ви один домен або кілька доменів:
| ||
| 3. | У Підтвердьте тестування в тесті запит, клацніть Так , щоб повторити синхронізацію пробного прогону та переглянути інформаційну панель, щоб переглянути результати. Усі облікові записи, які було успішно синхронізовано під час тестування, відображаються в розділі Об’єкти зіставлені . Якщо користувач у хмарі не має відповідного користувача з тією самою електронною поштою в Active Directory, запис буде відображено в розділі Користувачів видалено . Щоб уникнути цього прапорця видалення, можна додати користувача в Active Directory з тією самою адресою електронної пошти. Щоб переглянути відомості про елементи, які було синхронізовано, клацніть відповідну вкладку для певних елементів або Об’єкти зіставлені . Щоб зберегти зведену інформацію, клацніть Зберегти результати у файлі . | ||
| 4. | Якщо результати очікувані, перейдіть до , а потім клацніть Увімкнути зараз щоб виконати синхронізацію вручну та перевести в ручний режим на цьому етапі.
|
Що далі
Будь-які невідповідні об’єкти користувача, які ви залишили, необхідно додати їх до Active Directory, щоб забезпечити точну відповідність між локальними та хмарними об’єктами.
Виберіть тип синхронізації:
Виконайте повну синхронізацію користувачів Active Directory у хмарі коли ви вперше синхронізуєте нових користувачів із хмарою. Ви робите це з , а потім буде синхронізовано користувачів із поточного домену.
Установіть розклад з’єднувача і Запустіть додаткову синхронізацію після запуску повної синхронізації та якщо ви хочете отримати зміни після початкової синхронізації. Цей тип синхронізації рекомендовано використовувати для застосування невеликих змін, внесених до джерела користувача Active Directory.
За замовчуванням додаткова синхронізація виконується кожні 30 хвилин (у версіях 3.4 і старіших) або кожні 4 години (у версіях 3.5 і пізніших), але це значення можна змінити. Поетапна синхронізація не відбудеться, доки не буде виконано повну синхронізацію.
Якщо у вас кілька доменів, повторіть ці кроки для будь-якого іншого установленого з’єднувача каталогів.
Речі, які слід пам 'ятати
Виконайте пробний запуск перед увімкненням повної синхронізації або під час зміни параметрів синхронізації. Якщо пробний запуск ініційовано зміною конфігурації, можна зберегти налаштування після завершення пробного запуску. Якщо ви вже додали користувачів вручну, виконання синхронізації Active Directory може призвести до видалення раніше доданих користувачів. Перед повною синхронізацією з хмарою можна перевірити звіти про тестування з’єднувача каталогу, щоб переконатися, що всі очікувані користувачі присутні.
Якщо відповідних користувачів позначено для видалення, і ви не знаєте, як продовжити, див. інформацію про усунення несправностей і зв’язок зі службою підтримки в Усунення несправностей і виправлення для з’єднувача каталогів .
Видалені користувачі зберігаються в службі ідентифікації хмари протягом 7 днів, перш ніж їх буде остаточно видалено.
Виконайте повну синхронізацію користувачів Active Directory у хмарі
Коли ви запускаєте повну синхронізацію, служба з’єднувача надсилає всі відфільтровані об’єкти з Active Directory (AD) до хмари. Потім служба з’єднувача оновлює сховище посвідчень із вашими записами AD. Якщо ви створили шаблон ліцензії автоматичного призначення, його можна призначити щойно синхронізованим користувачам.
Якщо у вас кілька доменів, цей крок потрібно виконати на кожному з екземплярів з’єднувача каталогів, які ви встановили для кожного домену Active Directory.
З’єднувач каталогів синхронізує стан облікового запису користувача — у Active Directory всі користувачі, позначені як вимкнені, також відображаються як неактивні в хмарі.
Перш ніж почати
Якщо ви хочете, щоб облікові записи користувачів програми Webex перебували в стані «Активні» після повної синхронізації та до першого входу користувачів, необхідно виконати такі дії, щоб обійти перевірку електронної пошти.
Інтегруйте єдиний вхід у свою організацію Webex. Див
Єдиний вхід за допомогою служб Cisco Webex і постачальника ідентифікаційних даних вашої організації
для отримання додаткової інформації.Використовуйте Control Hub, щоб перевірити та зарезервувати домени, що містяться в адресах електронної пошти. Див
Додайте, перевірте та зарезервуйте домени
.Блокувати автоматичні запрошення електронною поштою , щоб нові користувачі не отримували автоматичне запрошення електронною поштою до програми Webex. (Ви можете створити власну кампанію електронної пошти.)
Активовані користувачі, які не виконали вхід, відображаються за допомогою a Перевірено стан у Control Hub. Після входу в систему вони відображаються як активні. Додаткову інформацію про стани користувачів див Стани користувачів і дії в Cisco Webex Control Hub .
Якщо ввімкнути синхронізацію, Directory Connector попросить спочатку виконати тестування. Рекомендовано виконати тестовий запуск перед повною синхронізацією, щоб виявити будь-які потенційні помилки.
Ви повинні налаштуйте шаблон автоматичного призначення ліцензії перед використанням для нових користувачів програми Webex, яких було синхронізовано з Active Directory.
Якщо ви не використовуєте шаблони автоматичного призначення ліцензій, щойно синхронізовані користувачі автоматично отримають безкоштовні ліцензії. Вони зможуть використовувати ті самі безкоштовні функції як користувачі з безкоштовними обліковими записами.
| 1. | Виберіть один із варіантів:
| ||
| 2. | З Directory Connector перейдіть до Синхронізувати , клацніть більше | ||
| 3. | Підтвердьте початок синхронізації. Для будь-яких змін, які ви вносите до користувачів у Active Directory (наприклад, відображуване ім’я), Control Hub відображає зміну негайно, коли ви оновлюєте подання користувача, але програма Webex відображає зміни протягом 72 годин після виконання синхронізації.
| ||
| 4. | Клацніть Оновити якщо потрібно оновити стан синхронізації. (Синхронізовані елементи відображаються під Хмарна статистика .) | ||
| 5. | Щоб отримати інформацію про помилки, виберіть Запустіть засіб перегляду подій з Дії панель інструментів для перегляду журналів помилок. | ||
| 6. | Щоб установити розклад синхронізації для поточної додаткової синхронізації з хмарою, див Установіть розклад з’єднувача і Запустіть додаткову синхронізацію . |
Після завершення повної синхронізації стан синхронізації каталогу оновиться з Вимкнено до Працює на Налаштування сторінку в Control Hub.
Коли всі дані зіставлені між локальними та хмарними даними, Directory Connector змінюється з ручного режиму на режим автоматичної синхронізації.
Хіба що ви інтегрувати єдиний вхід , перевірити домени та за бажанням зарезервувати домени для облікових записів електронної пошти, які ви синхронізували , і блокувати автоматичні електронні листи , облікові записи користувачів програми Webex залишаються в стані «Не підтверджено», доки користувачі не ввійдуть у програму Webex уперше, щоб підтвердити свої облікові записи. Перегляньте розділ Перш ніж почати, щоб отримати інструкції щодо синхронізації облікових записів як активних користувачів.
Якщо у вас кілька доменів, виконайте цей крок на будь-якому іншому встановленому з’єднувачі каталогів. Після синхронізації користувачів на всіх доменах, які ви додали, буде відображено в Control Hub.
Якщо ви інтегрували єдиний вхід із Webex і заблоковані сповіщення електронною поштою , електронні запрошення не надсилаються щойно синхронізованим користувачам.
Неможливо вручну додати користувачів до Control Hub після ввімкнення Directory Connector. Після ввімкнення керування користувачами здійснюється за допомогою з’єднувача каталогів Cisco, а Active Directory є єдиним джерелом правди.
Будь-які синхронізовані групи відображаються в Control Hub, і ви можете призначити шаблон ліцензії, щоб користувачам у цій групі призначалися ліцензії.
Що далі
Коли ви видаляєте користувача з Active Directory, він плавно видаляється після наступної синхронізації. Користувач стає
Inactiveале профіль посвідчень хмари зберігається протягом семи днів (щоб забезпечити відновлення після випадкового видалення).Коли ви перевіряєте Обліковий запис вимкнено в Active Directory користувач стає
Inactiveпісля наступної синхронізації. Профіль ідентифікації хмари не буде видалено через сім днів, якщо ви хочете знову ввімкнути користувача.Зверніть увагу на ці винятки для поступової синхронізації (натомість виконайте наведені вище кроки повної синхронізації):
У разі оновленого аватару без змін інших атрибутів, додаткова синхронізація не оновить аватар користувача до хмари.
Зміни конфігурації зіставлення атрибутів, базового DN, фільтра та налаштування аватару потребують повної синхронізації.
Призначте служби Webex користувачам, синхронізованим каталогом, у Control Hub
Після завершення повної синхронізації користувачів із Cisco Directory Connector у Control Hub можна використовувати Control Hub, щоб призначити ті самі ліцензії служби Webex усім користувачам одночасно або додати додаткові ліцензії новим користувачам, якщо ви вже налаштували автоматичне призначення шаблон ліцензії. Після цього початкового кроку можна внести зміни в обліковий запис окремих користувачів.
Після завершення повної синхронізації користувачів з Directory Connector у Control Hub можна використовувати методи в Control Hub, щоб глобально призначати ліцензії на службу Webex всім вашим користувачам, окремим користувачам за допомогою масового шаблону CSV або автоматично новим користувачам, якщо ви вже налаштовано шаблон автоматичного призначення ліцензії. Після цього початкового кроку можна внести зміни в обліковий запис окремих користувачів.
Коли ви призначаєте ліцензію користувачу програми Webex, цей користувач за замовчуванням отримує електронний лист із підтвердженням призначення. Електронний лист надсилається службою сповіщень у Control Hub. Якщо ви інтегрували єдиний вхід (SSO) з організацією Webex, ви також можете блокувати ці автоматичні сповіщення електронною поштою якщо ви віддаєте перевагу безпосередньому контакту з користувачами.
Перш ніж почати
Ви повинні налаштуйте шаблон автоматичного призначення ліцензії перед використанням для нових користувачів програми Webex, яких було синхронізовано з Active Directory.
Виконайте синхронізацію пробного запуску для користувачів Active Directory.
Після підтвердження результатів пробного запуску виконайте повну синхронізацію користувачів Active Directory.
| Під час повної синхронізації користувача створюється в хмарі, призначення служб не додається, а електронний лист для активації не надсилається. Якщо електронні листи не блокуються, нові користувачі отримають електронний лист для активації, коли ви призначаєте служби користувачам за допомогою стандартного способу керування користувачами в Control Hub, як-от імпорт CSV, оновлення користувачів вручну або за допомогою успішного автоматичного завершення призначення. |
| 1. | З перегляду клієнта вhttps://admin.webex.com , перейдіть до , клацніть Керування користувачами , виберіть Змінити всіх синхронізованих користувачів , а потім клацніть Далі . |
| 2. | Виберіть варіант:
|
Що далі
Якщо електронні листи не блокуються, кожному користувачу буде надіслано електронний лист із запрошенням приєднатися до Webex і завантажити його.
Якщо ви вибрали ті самі служби Webex для всіх користувачів, потім ви можете змінити ліцензію, призначену окремо або групою.
Відомі проблеми зі з’єднувачем каталогів
У версіях Windows Server до 2012 R2 є проблема з файлами cookie, яка впливає на з’єднувач каталогів. Цю проблему вирішено в версіях 2012 R2 і 2016 .
Для будь-яких змін, які ви вносите до користувачів у Active Directory (наприклад, відображуване ім’я), Control Hub відображає зміну негайно, коли ви оновлюєте подання користувача, але програма Webex відображає зміни через 72 години після виконання синхронізації.
Можна спробувати очистити локальний кеш програми Webex, виконавши наведені далі інструкції. Windows або Mac .
Якщо користувач використовує програму Webex на настільному комп’ютері або мобільному пристрої для пошуку й виклику кімнати, яка має лише синхронізований SIP URI, цей дзвінок у цей час лунає безстроково.
Запустіть додаткову синхронізацію
Додаткова синхронізація запитує ваш Active Directory і шукає зміни, що відбулися після останньої синхронізації. Цей крок потім об’єднує ці зміни та надсилає їх до служби з’єднувача. Зміни включають зміну атрибуції користувачів і додавання або видалення користувача.
Ця синхронізація не створює такого навантаження на сервери та не займає стільки часу, як повна синхронізація. Після виконання початкової повної синхронізації ми рекомендуємо використовувати додатковий параметр для наступної синхронізації.
Перш ніж почати
Ви повинні налаштуйте шаблон автоматичного призначення ліцензії перед використанням для нових користувачів програми Webex, яких було синхронізовано з Active Directory.
Зверніть увагу на ці винятки, які додаткова синхронізація не підтримує (наведено далі Виконайте повну синхронізацію користувачів Active Directory у хмарі замість цього):
У разі оновленого аватару без змін інших атрибутів, додаткова синхронізація не оновить аватар користувача до хмари.
Для нових змін конфігурації зіставлення атрибутів, базового DN, фільтра та налаштування аватару додаткова синхронізація не працюватиме, і вони потребують повної синхронізації.
| 1. | У з’єднувачі каталогів клацніть Панель .
| ||
| 2. | Від Дії , клацніть Режим синхронізації > Увімкнути синхронізацію якщо ще не ввімкнено. За замовчуванням додаткова синхронізація виконується кожні 30 хвилин (у версіях 3.4 і старіших) або кожні 4 години (у версіях 3.5 і пізніших), але це значення можна змінити. Поетапна синхронізація не відбудеться, доки не буде виконано повну синхронізацію. Коли вичерпується новий інтервал часу, програма перевіряє зміни на основі останньої позначки часу. | ||
| 3. | Від Дії , клацніть Синхронізувати зараз > Інкрементально . Для будь-яких змін, які ви вносите до користувачів у Active Directory (наприклад, відображуване ім’я), Control Hub відображає зміну негайно, коли ви оновлюєте подання користувача, але програма Webex відображає зміни через 72 години після виконання синхронізації.
| ||
| 4. | Щоб отримати інформацію про помилки, клацніть Запустіть засіб перегляду подій з Дії панель інструментів для перегляду журналів помилок. |
Що далі
Якщо у вас кілька доменів, виконайте цей крок на інших установлених екземплярах Directory Connector.
Відновлення випадково видалених користувачів
З’єднувач каталогів має засоби перевірки та противагу, щоб запобігти ненавмисному видаленню користувачів. На жаль, трапляються аварії; можливо, ви неправильно налаштували фільтр LDAP в Active Directory, який видалив деяких користувачів при синхронізації з хмарою. Функція м’якого видалення може допомогти вам відновитися після цих аварій і відновити облікові записи користувачів у Control Hub.
За замовчуванням цю функцію ввімкнено для всіх організацій. Коли користувачів видаляють у хмарі, наприклад, через проблему з невідповідністю об’єкта після синхронізації зі з’єднувача каталогів, користувачів можна відновити. Якщо ви побачили повідомлення про невідповідні об’єкти або помітили, що користувачів було видалено, ви зможете відновити їх, якщо діяти швидко.
| Користувачі позначаються як неактивні в Control Hub, коли відповідні облікові записи видаляються в Active Directory. Фонова хмарна служба зберігає користувачів до 7 днів. Протягом цього періоду ви все ще можете використовувати Cisco Directory Connector для відновлення користувачів. Ми рекомендуємо якнайшвидше відновити цих користувачів. Користувачі, які вимкнено в Active Directory, також позначаються як неактивні в Control Hub, але обліковий запис користувача не видаляється через 7 днів. |
| 1. | Увійдіть в Control Hub. |
| 2. | Перейти до Користувачі і перевірити, чи перебуває певний обліковий запис користувача в неактивному стані чи відсутній у списку. Додаткову інформацію див Стани користувачів і дії в Control Hub . |
| 3. | Якщо користувачів було видалено в Control Hub або ви помітили, що вони неактивні, перейдіть до Active Directory, додайте відсутні облікові записи користувачів, а потім виконайте тестовий запуск синхронізації в Directory Connector. Мета з’єднувача каталогів полягає в тому, щоб створити точну відповідність між інформацією про користувача в Active Directory і в хмарі. |
| 4. | Виконайте повну синхронізацію, щоб повторно синхронізувати тимчасово видалені облікові записи користувачів із Control Hub. Користувачів буде відновлено, і вони перейдуть до початкового стану, зокрема стану облікового запису та призначень служби. |
Що далі
Поверніться до Control Hub, перейдіть до , і переконайтеся, що раніше видалені облікові записи користувачів відображаються в списку користувачів.
Видалити користувачів остаточно після програмного видалення
Після виконання пробного запуску можна назавжди видалити користувачів, які були програмно видалені під час наступної синхронізації.
| 1. | Після завершення пробного запуску виберіть Програмно видалені об’єкти . |
| 2. | Установіть прапорці поруч із користувачами, яких потрібно видалити. |
| 3. | Виберіть Готово. |
Що далі
Під час наступної синхронізації користувачів, яких ви перевірили, буде остаточно видалено.
Зміна адреси електронної пошти програми Webex
Якщо ви хочете змінити адреси електронної пошти користувачів і ваша організація використовує з’єднувач каталогів, потрібно змінити ці адреси електронної пошти в Active Directory. Ця процедура описує, як змінити адресу електронної пошти програми Webex для одного домену, а також процес зміни домену.
| Якщо ви хочете змінити лише електронну пошту або деяке значення для одного користувача, не видаляйте користувача з Active Directory, а потім створюйте нового з тією самою адресою електронної пошти. Хмара інтерпретує цю дію як новий обліковий запис користувача, і його простори та інші дані в хмарі буде втрачено. |
Щоб змінити адреси електронної пошти користувачів без зміни домену:
Продовжити синхронізацію на Directory Connector.
Після наступної синхронізації зміни з’являться в списку користувачів у Control Hub і для користувачів у програмі Webex після оновлення кешу.
Використання цього методу не призводить до втрати даних або просторів. Унікальний ідентифікатор користувача встановлюється в хмарі після першої синхронізації. Усі наступні синхронізації базуються на цьому ідентифікаторі.
У розгортанні з кількома доменами за допомогою з’єднувача каталогів, щоб змінити адреси електронної пошти користувачів під час зміни домену (вважайте, що example1.com є старим доменом, а example2.com — новим доменом):
У з’єднувачі каталогів продовжте синхронізацію для example2.com
Перш ніж продовжити, переконайтеся, що обліковий запис user1@example2.com синхронізовано з Control Hub. Рекомендовано доручити користувачеві перевірити зміну електронної пошти в програмі Webex і зберегти всі дані (простори, повідомлення, наради, файли тощо).
Використання цього методу не призводить до втрати даних або просторів, але в новому обліковому записі користувача необхідно переконатися, що атрибут Active Directory, який зіставляється з атрибутом uid хмари, збережено зі старого облікового запису користувача. Якщо змінити значення Active Directory, новий обліковий запис не збереже дані зі старого облікового запису.
Після підтвердження зміни адреси електронної пошти та збереження даних видаліть старий обліковий запис користувача на example1.com, а потім скористайтеся з’єднувачем каталогів, щоб продовжити синхронізацію для example1.com.
На цьому етапі ви можете безпечно оновити адресу електронної пошти в новому домені Active Directory для user1@example2.com.
Directory Connector не обмежує зміну домену електронної пошти. Однак, коли користувач повторно синхронізується з хмарою, стан користувача залежить від того, чи перевірено новий домен у вашій організації. Якщо домен не підтверджено у вашій організації, після повної синхронізації стан користувача змінюється на "Очікування". Додаткову інформацію див Керуйте своїми доменами .
Якщо ваша організація не використовує Directory Connector, можна змінити адреси електронної пошти програми Webex на сторінці налаштувань облікового запису . Див Змініть адресу електронної пошти для облікового запису для кроків, які користувачі можуть виконати, щоб змінити свою електронну пошту.
Змініть домен Active Directory
Цю процедуру можна використовувати для створення нових доменів і адрес електронної пошти. Вони синхронізуються зі службою посвідчень у хмарі.
| 1. | Налаштуйте новий домен Active Directory (AD). | ||
| 2. | Вимкніть синхронізацію на всіх з’єднувачах. | ||
| 3. | Видаліть усі з’єднувачі. | ||
| 4. | Відкрийте запит, щоб змінити домен . У разі надсилання запиту обов’язково подайте запит на видалення конфігурації домену та всіх атрибутів синхронізації у вашій організації.
| ||
| 5. | Після вирішення справи: Виконайте тестовий запуск за допомогою Directory Connector, перш ніж виконувати фактичну синхронізацію. |
Заявка на домен
Заявка на домен відбувається, якщо ви заявляєте домен електронної пошти для організації, тому будь-який обліковий запис сайдборда створюється в оплаченій організації клієнта, а не в безкоштовній організації споживача. Запит на домен можна подати лише через запит до служби підтримки (додаткову інформацію див. за посиланням нижче).
Якщо з’єднувач каталогів активний і домен зарезервовано, облікові записи в сайдборді не створюються ні в організації клієнта, ні в організації безкоштовного споживача. Тільки з’єднувач каталогів може надавати облікові записи для організації з Active Directory. Інформація, що зберігається в Active Directory, є вихідним джерелом. Якщо ви спробуєте зберегти обліковий запис, запрошений користувач отримає повідомлення про помилку. Єдиний спосіб додати запрошеного користувача до простору програми Webex — спершу використовувати Directory Connector для підготовки облікового запису в Control Hub.
Перетворіть користувачів безкоштовної програми Webex в організацію, синхронізовану з каталогом
Ви можете використовувати лише унікальні адреси електронної пошти в каталозі програми Webex. Якщо ваші користувачі зареєструвалися на безкоштовну версію програми Webex, їхній обліковий запис існує в організації безкоштовного користувача. Щоб керувати користувачами в цій організації за допомогою Directory Connector, виконайте міграцію (перетворіть) їх до організації клієнта, перш ніж увімкнути Directory Connector. Потім потрібно додати користувачів до Active Directory з точною адресою електронної пошти, а потім виконати синхронізацію з хмарою.
Якщо ви не перетворили облікові записи до активації, вимкніть Directory Connector, щоб перетворити їх.
Якщо спробувати перетворити користувача, коли ввімкнено синхронізацію каталогу, з’явиться повідомлення про помилку<email address=""> не вдалося перетворити
з’явиться. Щоб уникнути цієї проблеми, ви можете використати ці кроки як обхідний шлях.
| Деякі користувачі, на яких подано запит, можуть з’являтися разом із Якщо ви не додасте цих користувачів, їх усіх буде видалено під час синхронізації з хмарою. |
| 1. | Вимкніть синхронізацію каталогу за допомогою Directory Connector. | ||
| 2. | Дотримуйтесь Перетворіть неліцензованих користувачів у Control Hub процедуру перетворення користувача з організації безкоштовного споживача в організацію підприємства. На цьому кроці користувача буде додано до вашої організації, а обліковий запис з’явиться в Control Hub. З’єднувач каталогів робить Active Directory єдиним джерелом правди для облікових записів користувачів, а мета полягає в тому, щоб мати точну відповідність між Active Directory і Control Hub. Переконайтеся, що в Active Directory є відповідні користувачі для всіх нещодавно перетворених користувачів, перш ніж знову ввімкнути синхронізацію. Синхронізацію безперервного запуску можна використовувати, щоб переконатися, що не залишилося непарних користувачів. | ||
| 3. | У з’єднувачі каталогів виконайте синхронізацію пробного запуску. Після завершення пробного запуску перегляньте вкладку Add Objects (Додати об 'єкти). Переконайтеся, що всі користувачі, які були конвертовані, не видалені.
| ||
| 4. | Коли ви впевнені, що наступна синхронізація не призведе до видалення жодних облікових записів, повторно ввімкніть синхронізацію каталогу за допомогою Directory Connector. |
Перетворені облікові записи користувачів не активуються автоматично, якщо ви не підтвердили домен. Наприклад, якщо ви ввімкнули шаблон автоматичного призначення ліцензії, а потім увімкнули з’єднувач каталогів без перевірки домену, користувачі, що перейшли до служби, будуть неактивні в серверній частині хмари, доки не підтвердять свої адреси електронної пошти.
Облікові записи користувачів програми Webex сайдбордом
Якщо в разі запрошення іншого користувача до простору в програмі Webex у запрошеного користувача немає облікового запису програми Webex, для нього створюється обліковий запис ("сайдборд"). За замовчуванням облікові записи, створені таким чином, додаються до безкоштовної організації споживачів.
Якщо ви хочете керувати обліковим записом сайдборда за допомогою Directory Connector, ви повинні конвертувати обліковий запис .
Змініть формат імені користувача програми Webex після синхронізації каталогу
За замовчуванням Directory Connector зіставляє атрибут displayName в Active Directory з атрибутом displayName у хмарі.
Після виконання синхронізації каталогу імена користувачів можуть відображатися у форматі<lastName, firstName=""> .
Це ім’я користувача може відображатися, якщо displayName атрибут у Active Directory налаштований таким чином. Коли атрибут зіставлено з displayName у хмарі, імена відображатимуться у форматі<lastName, firstName=""> у Control Hub.
Щоб змінити формат, на екрані зіставлення атрибутів з’єднувача каталогу: зіставити атрибут Active Directory givenName sn(або sn givenName) до displayName в іменах атрибутів хмари Cisco.
Також можна зіставити атрибут sn givenName до displayName.
Можна також використовувати параметр Налаштувати атрибут, якщо потрібно зіставити власний вираз користувацького атрибута displayName.
Наприклад, введіть givenName + "" + sn(ім’я, пробіл, прізвище) як вираз. Це зіставляє два атрибути в Active Directory displayName у хмарі.
Дозволити користувачам змінювати відображувані імена у Webex Meetings
Ви можете скасувати зіставлення displayName атрибут із синхронізації з хмарою в Directory Connector, якщо ви хочете дозволити користувачам змінювати бажані відображувані імена. Користувачі можуть вводити відображуване ім’я, яке відображатиметься під час нарад Webex, замість свого імені та прізвища. Адміністратори також можуть змінити відображуване ім’я користувача вручну в Control Hub.
| 1. | У з’єднувачі каталогів клацніть Конфігурація , а потім виберіть Зіставлення атрибутів користувача . |
| 2. | Виберіть displayName під Ім’я атрибута хмари Cisco . |
| 3. | Виберіть Не синхронізувати цей атрибут . |
Що далі
Тепер користувачі можуть змінити відображувані імена на вебсайті Webex .
Оновлення до останньої версії програмного забезпечення
Щоб забезпечити відповідність розгортання та отримати найновіші функції, виправлення помилок і покращення безпеки, завжди потрібно оновлювати версію Directory Connector до останньої версії. Якщо ви не оновите версію до останньої доступної версії, можуть виникнути проблеми, як-от з’єднувач каталогів більше не синхронізується належним чином або використовується версія, яка не підтримує обов’язкову Вимога TLS 1.2 .
Directory Connector автоматично сповіщає вас, коли доступна нова версія. Щоб уникнути проблем, завжди оновлюйте версію до останньої версії. Ви також побачите сповіщення на панелі завдань Windows.
| Хоча оновлення оновлень програмного забезпечення з’єднувача можна встановити вручну, ми рекомендуємо виконати наведені дії Установіть автоматичне оновлення версії щоб програма могла автоматично керувати оновленнями версії. |
| 1. | Клацніть сповіщення на панелі завдань Windows або клацніть правою кнопкою миші значок Directory Connector на панелі завдань Windows, щоб почати процес оновлення. |
| 2. | Дотримуйтесь інструкцій, щоб завершити оновлення. |
| 3. | Перезапустіть з’єднувач і ввійдіть за допомогою облікових даних адміністратора. |
| 4. | Перевірте номер версії програмного забезпечення під . |
Що далі
Для нове встановлення Directory Connector можна завантажте ZIP-файл а потім виконайте дії зі встановлення, наведені в цьому посібнику.
Налаштуйте загальні параметри для Directory Connector
Використовуйте цю процедуру, щоб налаштувати загальні параметри, як-от ім’я сервера, на якому запущено Directory Connector, рівні журналу, автоматичне оновлення версії та бажані параметри для контролерів домену. Ім’я з’єднувача відображається на панелі в розділі з’єднувачів разом із іншими запущеними з’єднувачами.
| 1. | З Directory Connector перейдіть до Конфігурація , а потім клацніть Загальне . | ||
| 2. | У Ім’я з’єднувача введіть ім’я з’єднувача. У цьому полі відображається лише ім’я комп’ютера, на якому зараз запущено з’єднувач. | ||
| 3. | Виберіть рівень журналу зі розкривного меню. За замовчуванням для рівня журналу встановлено значення інформація . Доступні рівні журналу:
| ||
| 4. | Виберіть Бажані контролери домену щоб установити послідовність контролерів домену для синхронізації посвідчень. Доступ до контролерів домену здійснюється зверху вниз. Якщо верхній контролер недоступний, виберіть другий контролер у списку. Якщо контролера немає в списку, можна отримати доступ до основного контролера. | ||
| 5. | Перевірте Автоматичне оновлення до нової версії Cisco Directory Connector якщо ви хочете, щоб відбувалося автоматичне оновлення версії. Завжди важливо підтримувати програмне забезпечення Cisco Directory Connector до останньої версії. Рекомендовано встановити прапорець цього параметра, щоб дозволити автоматичне встановлення оновлень програмного забезпечення, коли вони доступні. | ||
| 6. | Перевірте LDAP через SSL щоб використовувати захищений LDAP (LDAPS) як протокол підключення.
LDAP (Lightweight Directory Application Protocol) і безпечний LDAP (LDAPS) – це протоколи підключення, що використовуються між програмою та контролером домену в межах інфраструктури. Зв’язок LDAPS зашифрований і безпечний. |
Налаштуйте політику з’єднувача
Можна встановити максимальну кількість видалень, які можуть статися під час синхронізації. Запуск синхронізації не видаляє об’єкти з локального Active Directory. Усі об’єкти видаляються лише з хмари.
Наприклад, ви встановили 1 як порогове значення тригера видалення. Якщо під час повної або додаткової синхронізації кількість користувачів, яких потрібно видалити, перевищує задане значення, з’єднувач каталогів відображає попередження. Якщо клацнути Перевизначити поріг , можна успішно розпочати повну або додаткову синхронізацію, але це сповіщення про перевизначення з’явиться під час наступного запуску політики.
| 1. | У з’єднувачі каталогів клацніть Конфігурація , а потім виберіть Політика . | ||
| 2. | Перевірте Увімкнути тригер порогового значення видалення Якщо потрібно додати тригер порогового значення. Вибір цього параметра ініціює сповіщення, якщо кількість видалень перевищує поріг. Якщо обліковий запис для видалення перевищує визначений вами, синхронізація не вдається.
| ||
| 3. | Введіть максимальну кількість бажаних видалень. Значення за замовчуванням — 20.
| ||
| 4. | Клацніть Застосувати. |
Установіть розклад з’єднувача
Установіть час синхронізації в Active Directory. Відмовлення використовується для високої доступності (HA). Якщо один з’єднувач не працює, ми перемикаємося на інший з’єднувач режиму очікування через попередньо визначений інтервал.
| 1. | У з’єднувачі каталогів клацніть Конфігурація , а потім виберіть Розклад . |
| 2. | Укажіть Інкрементальний інтервал синхронізації за хв. За замовчуванням налаштовано додаткову синхронізацію кожні 30 хвилин. Повна поетапна синхронізація не відбудеться, доки не буде виконано повну синхронізацію. |
| 3. | Змініть Надсилати звіти щоразу значення, якщо потрібно змінити частоту надсилання звітів. |
| 4. | Перевірте Увімкнути розклад повної синхронізації , щоб указати дні та час, у які потрібно виконати повну синхронізацію. |
| 5. | Укажіть Інтервал резервування за хв. |
| 6. | Клацніть Застосувати. |
Сценарії кількох доменів
Декілька доменів базуються на пріоритеті домену. Для об’єктів, які мають однакове значення ключа в різних доменах, після синхронізації дані з домену з вищим пріоритетом перезаписують дані з домену з нижчим пріоритетом.
Об’єкти, що мають однакове значення ключа, пов’язані в один запис у базі даних.
Значення ключа для "Користувач" таке Адреса електронної пошти ; значення ключа для "Групи". Ім’я групи .
Приклад варіанту використання для кількох доменів
У цьому прикладі передбачається організація з двома доменами — example1.com і example2.com, у порядку пріоритету.
Додати користувача1 (електронна пошта: user@example1.com) до Active Directory з example1.com.
Додати групу1(ім’я групи: Тест) до Active Directory вебсайту example1.com.
Додати користувача2 (електронна пошта: user@example2.com) до Active Directory з example2.com.
Додати групу2(ім’я групи: Тест) до Active Directory на вебсайті example2.com.
- Синхронізація на example1.com
-
Як варіант використання, користувач2 і група2 синхронізовані з хмарою та відображаються вhttps://admin.webex.com , тоді як користувач1 і група1 ні.
Якщо ви робите повну або додаткову синхронізацію для example1.com, користувач1 і група1 будуть синхронізовані. Крім того, дані користувача2 і групи2 перезаписуються інформацією про користувача1 і групу1.
Користувач1 посилається на користувача2 як той самий запис у базі даних; group1 зв’язує групу2 як той самий запис у базі даних.
- Синхронізація на example1.com і example2.com
-
Як варіант використання, користувач2 і група2 синхронізовані з хмарою та відображаються вhttps://admin.webex.com , тоді як користувач1 і група1 ні.
Розгляньте наведені далі кроки.
- Видаліть користувача1 і групу1 в Active Directory для example1.com.
- Виконайте повну або поетапну синхронізацію для example1.com.
Результат: інформація про користувача не змінюється вhttps://admin.webex.com . Користувача 2 не прив’язано до користувача 1, а групу 2 — до групи 1.
- Виконайте додаткову синхронізацію для example2.com.
Результат: інформація про користувача не змінюється вhttps://admin.webex.com .
- Виконайте повну синхронізацію для example2.com.
Результат: інформація про користувача2 і групу2 вказана вhttps://admin.webex.com .
Синхронізуйте новий домен і збережіть наявний домен
Якщо ви хочете синхронізувати новий домен (B) із збереженням синхронізованих даних користувача в іншому наявному домені (A), переконайтеся, що встановлено з’єднувач каталогів для синхронізації домену (B) на підтримуваному сервері Windows. Після початкового налаштування з’єднувач прив’язується до нового домену, і інформація про користувача в домені (A) залишається незмінною.
Кожен домен повинен мати власний активний з’єднувач. Розглянемо два домени з таким налаштуванням: домен A зі з’єднувачами (ca1) і (ca2) для локальної високої доступності (HA); домен B зі з’єднувачем (cb1). (ca1) і (ca2) обслуговують домен A. У цьому сценарії один з’єднувач активний, а інший – резервний (HA). Такий дизайн забезпечує синхронізацію домену, оскільки один з’єднувач завжди активний. Отже, cb1 є активним з’єднувачем для домену B, оскільки домен A вже має активний з’єднувач (ca1 або ca2).
Установіть пріоритет домену
Використовуйте цю процедуру, щоб змінити пріоритет ваших доменів Active Directory. Пріоритет домену дозволяє визначити основний домен, додатковий домен тощо. Це допомагає, коли два користувачі з двох різних доменів мають однакове значення електронної пошти, синхронізоване з однією організацією.
Не використовуйте цю процедуру, якщо у вас є один домен, указаний у Directory Connector. Якщо спробувати, з’єднувач покаже повідомлення про те, що пріоритет домену не є обов’язковим.
Перш ніж почати
Щоб уникнути помилок, установіть або оновіть Cisco Directory Connector до останньої версії. Його потрібно завантажити зhttps://admin.webex.com .
| 1. | У з’єднувачі каталогів Cisco клацніть Панель . | ||
| 2. | Перейти до Дії , а потім клацніть Установіть пріоритет домену . | ||
| 3. | Виділіть один домен у списку, клацніть Вгору або Униз щоб змінити пріоритет цього домену, а потім клацніть Зберегти , щоб зберегти цю зміну.
|
Перемкнути домени
Використовуйте цю процедуру, щоб повторно прив’язати з’єднувач каталогів Cisco до іншого домену.
Перш ніж почати
Перш ніж перемикати домени, перевірте, чи не запущено жодне завдання синхронізації.
Щоб уникнути помилок, установіть або оновіть Cisco Directory Connector до останньої версії. Його потрібно завантажити з Control Hub .
| 1. | У з’єднувачі каталогів Cisco клацніть Панель . |
| 2. | Перейти до Дії , а потім клацніть Перемкнути домен . |
| 3. | Ознайомившись із застереженням, якщо ви розумієте, що ця зміна вплине на ваше розгортання та все ще впевнені, клацніть Так . У разі перемикання домену буде виконано вихід із поточного з’єднувача каталогів Cisco, інші домени в з’єднувачі не зареєстровані, а інформацію про з’єднувач на цьому комп’ютері буде видалено. |
| 4. | Знову увійдіть до з’єднувача каталогів Cisco і повторно прив’яжіть домен. |
Вимкніть синхронізацію каталогу
Якщо вам потрібно зупинити синхронізацію за допомогою Directory Connector, ви можете тимчасово вимкнути її в Control Hub.
| 1. | З перегляду клієнта вhttps://admin.webex.com , перейдіть до , перейдіть до Синхронізація каталогу , а потім виберіть один із них:
|
| 2. | Після прочитання підказки клацніть Вимкнути . Синхронізація зупиняється, доки ви не ввімкнете її знову за допомогою Directory Connector. |
Вилучити відображення атрибутів користувача
Використовуйте з’єднувач каталогів, щоб видалити зіставлення для атрибутів Active Directory, раніше зіставлених із хмарою й синхронізованих із Webex. Після видалення зіставлення атрибутів значення атрибутів буде видалено з хмари й більше не буде синхронізовано з Webex. Ці значення потім можна змінити вручну.
| 1. | У з’єднувачі каталогів клацніть Панель . |
| 2. | Перейти до Дії , а потім клацніть . |
| 3. | Виберіть зіставлення, яке потрібно видалити з Ім’я атрибута список. |
| 4. | Під Область користувача, що зазнала впливу , виберіть один із таких варіантів:
|
| 5. | Клацніть Застосувати. |
Керування зображеннями профілю
Використовуйте Directory Connector, щоб оновити зображення профілю користувача або видалити пусті зображення профілю користувача.
| 1. | У з’єднувачі каталогів клацніть Панель . |
| 2. | Перейти до Дії , а потім клацніть . |
| 3. | Під Дії , виберіть один із таких варіантів:
|
| 4. | Клацніть Застосувати. |
Видаліть та деактивуйте Directory Connector
Після видалення екземпляра Directory Connector необхідно скасувати його реєстрацію. Повністю видалити з’єднувач каталогів для будь-якого з таких сценаріїв:
Ви більше не хочете використовувати синхронізацію каталогів.
Ви не хочете використовувати один із кількох з’єднувачів каталогів (висока доступність).
Ви хочете змінити домен і встановити інший з’єднувач.
Перш ніж почати
Можна налаштувати кілька екземплярів Directory Connector для високої доступності (HA) або синхронізації кількох доменів. Вимкніть синхронізацію, якщо видаляєте єдиний або останній екземпляр Directory Connector, що залишився.
Збережіть і закрийте будь-яку важливу роботу, перш ніж видалити Directory Connector.
| 1. | На комп’ютері з ОС Windows перейдіть до «Панель керування» і клацніть Програми та функції . |
| 2. | У списку програм клацніть З’єднувач каталогів , виберіть Видалити , а потім дотримуйтесь інструкцій. Можливо, вам доведеться перезавантажити систему, щоб завершити видалення. |
| 3. | З перегляду клієнта вhttps://admin.webex.com , перейдіть до , перейдіть до Синхронізація каталогу , клацніть більше |
| 4. | Після прочитання підказки клацніть Деактивувати . Якщо в розгортанні високої доступності (HA) немає іншого з’єднувача каталогів, облікові записи користувачів більше не синхронізуються. |
Запустіть інструмент діагностики
Ви можете використовувати вбудований інструмент діагностики для усунення несправностей розгортання Directory Connector. Цей інструмент установлено як частину Directory Connector версії 3.4 пізнішої версії.
Якщо синхронізація не відбулася належним чином, можливо, сталася помилка конфігурації або мережі. Цей інструмент перевіряє ваше підключення до LDAP, щоб ви могли самостійно діагностувати помилки, перш ніж звертатися до служби підтримки. Якщо інструмент поверне помилку, можна надіслати докладні результати журналу до служби підтримки.
Щоб запустити тестування служб домену Active Directory:
Щоб запустити тестування служб Active Directory Lightweight Directory:
Щоб запустити тестування Lightweight Directory Access Protocol (LDAP):
Усунення несправностей і виправлення для з’єднувача каталогів
У з’єднувачі каталогів може з’явитися повідомлення про помилку або інша проблема. Крім того, після того, як з’єднувач каталогів синхронізує інформацію про користувача, з’єднувач може надіслати вам звіт електронною поштою зі списком проблем із синхронізацією. Перегляньте наступні розділи, щоб дізнатися про проблеми, які можуть виникнути, можливі причини та запропоновані рішення, які можна спробувати, перш ніж звертатися до служби підтримки.
Установлення
З’єднувач каталогу перестав працювати
Ви отримали електронні листи зі сповіщенням про те, що з’єднувач каталогів не працює.
Directory Connector може бути встановлено неправильно.
Можливо, Directory Connector не запущено.
Мережа може бути недоступною.
Спробуйте виконати наведене нижче.
Відкрити . Знайдіть з’єднувач каталогів. Якщо його там немає, завантажте останню версію з Control Hub і встановіть її.
Відкрити Служба і знайдіть службу Cisco DirSync. Переконайтеся, що відображається стан як Розпочато . Якщо службу зупинено, клацніть правою кнопкою миші й виберіть Почати, щоб перезапустити службу.
Переконайтеся, що сервер, на якому встановлено з’єднувач каталогів, має доступ до інтернету.
Помилка повторного встановлення
Проблема —Якщо відразу після видалення старого встановити новий з’єднувач, може з’явитися повідомлення про помилку.
Можлива причина — У Windows Server 2012 клієнту видалення потрібен час, щоб видалити обліковий запис служби зі списку служб.
Рішення — Через деякий час спробуйте встановити ще раз.
Увійти
З’єднувач каталогів аварійно працює під час входу в систему SSO
Проблема
Directory Connector може аварійно завершити роботу після того, як ви введете адресу електронної пошти зі сторінки входу в систему SSO.
Рішення
Спробуйте виконати наведене нижче.
Виконайте такі дії, щоб налаштувати нову групову політику:
Перейдіть до контролера домену та відкрийте Керування груповою політикою (gpedit.msc).
Клацніть правою кнопкою миші певний організаційний підрозділ або домен і виберіть Створіть GPO в цьому домені , і Посилання тут…
Дайте політиці ім’я, потім клацніть правою кнопкою миші й виберіть Змінити .
Виконайте такі дії, щоб змінити політику на рівні комп’ютера:
Перейти до , клацніть правою кнопкою миші Реєстр , виберіть Новий , а потім Елемент реєстру .
Для Шлях ключа , введіть або перейдіть до HKEY_ LOCAL_ МАШИНА\ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ\Microsoft\Internet Explorer\Main .
Введіть
Disable Script Debuggerдля Значення і введітьnoдля Дані про значення .Налаштування мають відповідати цьому знімку екрана:
Виконайте такі дії, щоб змінити політику на рівні користувача.
Перейти до , клацніть правою кнопкою миші Реєстр , виберіть Новий , а потім Елемент реєстру .
Для Шлях ключа , введіть або перейдіть до HKEY_ ПОТОЧНИЙ_ USER\SOFTWARE\Microsoft\Internet Explorer\Main .
Введіть
Disable Script Debuggerдля Значення і введітьnoдля Дані про значення .Налаштування мають відповідати цьому знімку екрана:
| Зміни набудуть чинності після запуску |
Не вдалося зареєструвати з’єднувач служби Cisco DirSync
Проблема
Не вдалося ввійти, і з’явиться таке повідомлення: «Не вдалося зареєструвати з’єднувач служби Cisco DirSync».
Рішення
Система Windows, на якій установлено з’єднувач каталогів, має бути членом Active Directory.
Не відображається сторінка входу
Проблема
Ви відкрили Directory Connector, і сторінка входу не з’явилася.
Рішення
Спробуйте виконати наведені далі кроки.
В Internet Explorer перейдіть доhttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL . Спробуйте використати посилання в інших браузерах, як-от Chrome і Firefox.
Якщо Internet Explorer не може перейти за посиланням, але інші браузери можуть, установіть прапорець параметрів Internet Explorer і установіть прапорці TLS 1.1 і 1.2. (Використовуйте Увімкніть TLS в Internet Explorer процедури.)
З’явиться запит на вхід
Проблема
З’явиться запит із запитом на введення імені користувача та пароля для проходження автентифікації.
Можлива причина
З’єднувач каталогів завершує автентифікацію безпеки NTLM без звуку за допомогою облікового запису для входу. Якщо автентифікацію не вдалося виконати, з’явиться діалогове вікно з запитом щодо імені користувача та пароля для автентифікації.
Рішення
Коли з’явиться спливаюче вікно входу, потрібно надати дійсний обліковий запис із правильною автентифікацією для передачі безпеки.
Не вдалося підключитися до віддаленого сервера
Проблема
Під час нормальної роботи з’являється повідомлення про помилку: "Не вдалося підключитися до віддаленого сервера."
Можлива причина
Можливо, у вас є проблеми з проксі, які потрібно вирішити.
Рішення
Див Усунення проблем із входом до облікового запису служби для отримання додаткової інформації про усунення несправностей.
Не вдалося зареєструвати з’єднувач
Проблема
З’являється повідомлення про помилку «Не вдалося зареєструвати з’єднувач. Стався загальний виняток".
Можлива причина
У більшості випадків проблема пов’язана з тим, що з’єднувач каталогів не має прав на підключення до кореневого контексту LDAP.
Рішення
Спробуйте виконати наведене нижче.
Запустіть командний рядок (cmd) і введіть ldp.exe .
Клацніть , виберіть Прив’язати як користувача, який наразі ввійшов у систему , а потім клацніть OK .
Клацніть , введіть DC=arbonneintl,DC=ad як BaseDN, а потім клацніть OK .
Якщо проблема не зникне, відкрити запит зі службою підтримки .
Синхронізація
Аватари не синхронізовані
Проблема
З’єднувач каталогів Cisco синхронізував дані AD користувача з хмарою Webex. Але жодні дані аватару не було успішно синхронізовано.
Можлива причина
Якщо ви повторно використали наявний сервер аватарів і аватари користувачів уже було синхронізовано, локальний кеш фіксує їх і уникає повторного надсилання для економії пропускної здатності.
Рішення
Видаліть локальний кеш, виконавши такі дії:
Перейдіть до C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
Видалити DirSyncPluginAvatar.dll-cache.bin .
Повторно запустіть синхронізацію аватару зі з’єднувача каталогів Cisco.
Конфліктні облікові записи електронної пошти користувачів
Проблема
Результати синхронізації можуть показувати конфлікти облікових записів електронної пошти користувачів.
Якщо користувачі випробували безкоштовну версію програми Webex, їхні адреси електронної пошти зберігатимуться в організації безкоштовного користувача.
Якщо електронні листи користувачів коли-небудь були синхронізовані в іншій організації.
Якщо електронні листи користувачів існують у кількох доменах, що належать організації.
Рішення
Спробуйте виконати наведене нижче.
Якщо ви намагаєтеся зарезервувати користувачів, виконайте наведені нижче дії.
Переконайтеся, що перевірив домен у Control Hub .
Тимчасово вимкніть Cisco Directory Connector.
Використовуйте параметр Зарезервувати користувача в Control Hub, щоб зарезервувати будь-які облікові записи, які можуть існувати в організації безкоштовних користувачів. Див Зарезервуйте користувачів для вашої організації (конвертуйте користувачів) для отримання додаткової інформації.
Виконайте пробний запуск у Cisco Directory Connector, а потім знову ввімкніть синхронізацію каталогів
В останньому випадку двічі перевірте дані користувача в джерелах Active Directory.
Перетвореного користувача позначено як неактивного
Проблема
У синхронізованому середовищі каталогу ви перетворили безкоштовного користувача (організації-користувача) на організацію підприємства, але перетворений користувач не може ввійти в програму Webex.
Можлива причина
Коли безкоштовного користувача перетворюється на корпоративну організацію, він позначається як неактивний протягом 30 днів як міра відповідності вимогам безпеки. Протягом цього періоду користувач не може ввійти в програму Webex, і його буде позначено для видалення в кінці 30-денного періоду. Така ситуація виникає через те, що безкоштовна інформація про користувача не міститься в Active Directory.
Рішення
Ви повинні вжити заходів, якщо ви не хочете, щоб обліковий запис користувача було видалено. Щоб вирішити цю проблему, створіть обліковий запис користувача в локальному Active Directory, який відповідає перетвореному безкоштовному обліковому запису користувача. Потім виконайте синхронізацію з Cisco Directory Connector. Після цього користувач зможе знову ввійти в програму Webex, і обліковий запис не буде видалено.
Помилка інкрементальної синхронізації
Проблема
Не вдалося виконати додаткову синхронізацію.
Ця проблема може виникнути в Windows Server 2008 R2 за таких умов:
Ви підтримуєте додаткове оновлення значень.
Фільтр, який ви використовуєте, посилається на атрибут зв’язаного значення.
Значення результатів цього атрибута було оновлено з моменту останньої повної синхронізації.
Рішення
Windows Server 2008 R2 має помилку, пов’язану з цією проблемою. Помилка виправлена в 2012 R2 і пізніших версіях. Рекомендовано оновити Windows Server принаймні до 2012 R2.
Неприпустиме значення атрибута
Проблема
Для [user dn (distinguished name)] атрибут [attribute name] має таке неприпустиме значення [attribute value].
Можлива причина
Для CN=b,OU=Employees,OU=C Users,DC=c,DC=com, атрибут [telephone number] має таке неприпустиме значення: +. Цей атрибут має містити принаймні одне число.
Рішення
Атрибут для цього користувача не має допустимого значення. Виправте його значення відповідно до опису в попередженні. Потім виконайте ще одну синхронізацію.
Зіставлені користувачі будуть видалені
Проблема
Відповідні користувачі позначено для видалення.
Під час виконання синхронізації пробного запуску для перевірки даних між Active Directory і хмарою ви можете побачити ту саму адресу електронної пошти в обох. Однак користувача позначено як об’єкт, який потрібно видалити.
Рішення
Виберіть відповідне виправлення:
Якщо ви можете видалити користувача та повторно виконати ліцензії після цього, ви можете використовувати Directory Connector для виправлення. Виконайте синхронізацію, щоб видалити користувача, а потім виконайте іншу синхронізацію, щоб синхронізувати користувача з локального AD до хмари.
Якщо ви не можете видалити та повторно створити обліковий запис користувача, відкрити запит зі службою підтримки .
Відсутній атрибут
Проблема
Обов’язковий атрибут [attribute_name ] під час додавання локального запису [dn користувача (розрізнене ім’я)]. Запис не буде створено в Control Hub, доки всі обов’язкові атрибути не будуть мати значення.
Можлива причина
Адреса електронної пошти обов’язкового атрибута відсутня. Під час додавання локального запису [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], запис не буде створено в Control Hub, доки всі обов’язкові атрибути не будуть мати значення.
Рішення
Один із обов’язкових атрибутів відсутній для користувача [user_email_address ]. Надайте необхідні значення для цього користувача.
Вкладена група не синхронізується
Проблема
Користувачі у вкладеній групі Active Directory не синхронізовані належним чином із хмарою.
Можлива причина
Використовується фільтр, який включає як дочірню, так і батьківську групу, який не підтримується. Наприклад: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
Рішення
Потрібно повторно налаштувати фільтр, який синхронізує групи. Наприклад: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
Конфлікт імен користувачів
Проблема
Виник конфлікт імен для [user dn] для наявного об’єкта запису хмари з іменем: [адреса електронної пошти користувача] і типу користувача [user_type ].
Можлива причина
Користувач із такою адресою електронної пошти вже існує в Control Hub.
Рішення
Створіть користувача в Active Directory з такою самою адресою електронної пошти, що й обліковий запис, який ви зареєстрували через Control Hub.
Control Hub
Список користувачів відсутній у Control Hub
Проблема
Якщо у вас є організація Webex з понад 1000 синхронізованих користувачів, ви можете не бачити список користувачів у Control Hub.
Рішення
Щоб знайти обліковий запис користувача, можна скористатися функцією пошуку. У Control Hub перейдіть до Користувачі , клацніть пошук
, а потім введіть критерії пошуку, щоб знайти певного користувача.
Групи не будуть синхронізовані з Control Hub
Проблема
Користувачі в групі каталогів не будуть належним чином синхронізуватися з Control Hub.
Можлива причина
Групу не позначено як isCriticalSystemObject в Active Directory.
Рішення
Переконайтеся, що цей атрибут isCriticalSystemObject встановлено на TRUE в Active Directory.
Увімкніть усунення несправностей для Directory Connector
Можна ввімкнути усунення несправностей, щоб допомогти діагностувати будь-які помилки, які виникли в Directory Connector. Усунення несправностей дозволяє отримати інформацію про мережевий трафік і зберегти її в файл.
Файли журналу: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1. | Запустіть файл установлення | ||
| 2. | Перезапустіть службу. Див Як запустити служби для інструкції. | ||
| 3. | У з’єднувачі каталогів клацніть Панель . | ||
| 4. | Перейти до Дії , а потім клацніть . | ||
| 5. | Увімкнувши функцію усунення несправностей, повторіть дії, які спричинили помилку; це збирає дані про трафік, щоб їх можна було перевірити. | ||
| 6. | Перевірте файли журналу: якщо файл пустий, переконайтеся, що обліковий запис має права на доступ до AD DS або AD LDS.
| ||
| 7. | За потреби надішліть файл журналу до служби підтримки. | ||
| 8 | Вимкніть функцію усунення несправностей, коли закінчите. |
Запустіть засіб перегляду подій
Щоб переглянути події, що сталися під час повної або поступової синхронізації, запустіть засіб перегляду подій. Він відображає зведені дані про адміністративні події та журнали помилок.
| 1. | З Directory Connector перейдіть до Панель , а потім клацніть . У діалоговому вікні "Властивості події" відображаються відомості про подію синхронізації та помилки. |
| 2. | З засобу перегляду подій перейдіть до .
|
| 3. | Під Дії , клацніть Зберегти всі події як щоб експортувати всі журнали як один файл подій (*.evtx) або інший формат, як-от XML або CSV. |
Що далі
Якщо вам потрібно відкрити запит, зверніться до служби підтримки , опишіть проблему зі з’єднувачем, а потім прикріпіть файл подій до справи.
| Журнали подій фіксують дії користувачів. Щоб отримати допомогу з керуванням мережевим трафіком, увімкніть функцію усунення несправностей на з’єднувачі. |
Увімкніть TLS в Internet Explorer
Якщо ви змінили постачальника послуг єдиного входу (SSO), з’єднувач каталогів Cisco може відобразити такі повідомлення про помилку:
Сталася помилка під час входу до служби
У сценарії на цій сторінці сталася помилка
Якщо ви бачите ці помилки, необхідно ввімкнути параметр TLS у своєму браузері.
| 1. | Відкрийте Internet Explorer, а потім виберіть Інструменти . Тепер установіть прапорці для версії TLS/SSL, яку потрібно ввімкнути. Клацніть OK. Закрийте браузер і відкрийте його знову |
| 2. | Клацніть Параметри браузера , перейдіть до Розширений , перейдіть до Безпека . |
| 3. | Перевірте Використовуйте TLS 1.1 і Використовуйте TLS 1.2 прапорці, а потім клацніть OK .
|
| 4. | Перезапустіть систему, щоб зміни набули сили. |
Усунення проблем із входом до облікового запису служби
Якщо ви не можете ввійти до Cisco Directory Connector або не можете запустити синхронізацію, виконайте наведені дії, щоб спробувати вирішити проблему, перш ніж звертатися до служби підтримки.
| 1. | Спробуйте відвідатиhttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL у веббраузері. | ||
| 2. | Виберіть один залежно від результатів:
| ||
| 3. | Переконайтеся, що налаштований обліковий запис для служби Cisco DirSync (яку можна знайти в службах Windows) має рівень прав, який дозволяє йому отримувати доступ до даних аватару та AD. За замовчуванням служба використовує облікові дані для входу до облікового запису Windows і автентифікацію. |
Перевірте режим SafeDllSearchMode в реєстрі Windows
Режим пошуку в бібліотеці безпечних динамічних посилань (DLL) встановлюється за замовчуванням у реєстрі Windows і розміщує поточний каталог користувача пізніше в порядку пошуку DLL. Якщо цей режим якимось чином вимкнути, зловмисник міг би розмістити шкідливу DLL (з назвою так само, як і посилання на файл DLL, що знаходиться в системній папці) у поточний робочий каталог програми.
Зазвичай режим SafeDllSearchMode ввімкнено, але скористайтеся цією процедурою, щоб двічі перевірити параметри реєстру.
Перш ніж почати
| Зміни до реєстру Windows слід виконувати з особливою обережністю. Рекомендовано створити резервну копію реєстру перед виконанням цих кроків. |
| 1. | У вікні пошуку Windows або вікні «Виконати» введіть regedit а потім натисніть Введіть . |
| 2. | Перейти до HKEY_ LOCAL_ МАШИНА\Система\CurrentControlSet\Control\Диспетчер сеансів . |
| 3. | Виберіть один із варіантів:
|
Додаткову інформацію див Порядок пошуку бібліотеки динамічних посилань .
