感谢您的反馈。

在目录同步组织中转换免费的Webex应用程序用户

您只能使用Webex应用程序目录中的唯一电子邮件地址。如果您的用户已注册免费版Webex应用程序，其帐户将存在于免费消费者组织中。若要通过 Directory Connector 管理此组织内的用户，请在开启 Directory Connector 之前将他们迁移（转换）至“客户”组织。然后使用确切的电子邮件地址将用户添加到Active Directory，然后同步到云端。

如果您未在激活前转换帐户，请关闭 Directory Connector 以对帐户进行转换。

如果您在启用目录同步的情况下尝试转换用户，将显示无法转换的错误消息<email address="">。为避免该问题，可使用以下步骤作为变通方法。

某些已声明的用户可能会显示 movedfrom 进行测试时的属性。这些用户将在 Deleted Object 列表而不是 MismatchedObject 。如果要将这些用户移至组织，则需要将其添加到AD列表中。

如果您不添加这些用户，它们将在您同步到云后被删除。

1

从 Directory Connector 中禁用目录同步功能。

2

按照 Hub中的转换未授权用户程序将用户从免费消费者组织转换为企业组织。

此步骤将用户添加到您的组织，帐户将显示在Control Hub中。 Directory Connector使Active Directory成为用户帐户的单一真实来源，目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前，确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。

3

在Directory Connector上执行测试同步。测试完成后，查看“添加对象”标签页。验证是否未删除您已转换的任何用户。

您必须在重新启用同步之前执行测试，以确保转换后的用户帐户显示在Active Directory中。如果您打开同步并且帐户仅驻留在Control Hub中，则目录连接器区分大小写，并删除检测到电子邮件地址不匹配的已转换用户（例如user1@example.com和User1@example.com）。

如果任何已转换的用户被删除，他们将丢失所有Webex应用程序空间。

4

如果您确定下一次同步将不会删除任何帐户，请从 Directory Connector 重新启用目录同步。

如果您没有验证域，转换的用户帐户不会自动激活。例如，如果打开自动分配许可证模板，然后打开目录连接器而不进行域验证，则转换后的用户在确认其电子邮件地址之前将在云后端处于非活动状态。

侧向加载的Webex应用程序用户帐户

当您邀请其他用户加入Webex应用程序中的空间时，如果受邀用户没有Webex应用程序帐户，将为其创建帐户（“侧向加载”）。缺省情况下，以此方式创建的帐户将添加至自由消费者组织中。

如果要使用Directory Connector管理侧向加载的帐户，则必须转换帐户。

在目录同步后更改Webex应用程序用户名格式

默认情况下，Directory Connector会将Active Directory中的displayName属性映射到云中的displayName属性。

在执行目录同步之后，您可能会发现用户名以 <lastName, firstName=""> 格式显示。

此用户名可能会出现在 displayName Active Directory中的属性就是这样配置的。当属性映射到 displayName 在云中，名称以格式<lastName, firstName=""> 显示在Control Hub中。

若要更改格式，请在 Directory Connector 属性映射屏幕中进行如下操作：映射Active Directory属性 givenName sn(或 sn givenName)至 displayName 在Cisco云属性名称中。

或者，映射属性 sn givenName 到 displayName:

如果要将自己的自定义属性表达式映射到 displayName 。

例如，输入 givenName + "" + sn （名字、空格、姓氏）作为表达式。这会将Active Directory中的两个属性映射到 displayName 在云中。

允许用户在Webex Meetings中更改显示名称

您可以取消映射 displayName 属性，从目录连接器中同步到云，如果您希望允许用户编辑其首选的显示名称。用户可以输入要在Webex会议期间显示的显示名称，而不是姓名。管理员还可以在Control Hub中手动更改用户的显示名称。

1	在 Directory Connector 中，单击配置，然后选择用户属性映射。
2	在 Cisco云属性名称下选择 displayName。
3	选择同步该属性。

下一步

用户现在可以从Webex站点显示名称。

Directory Connector故障诊断

升级至最新软件版本

为了使您的部署保持合规性并获得最新的功能、功能、缺陷修复和安全性增强，您必须始终升级到最新版本的Directory Connector。如果您不升级到可用的最新版本，可能会遇到问题，例如目录连接器无法再正确同步，或使用的版本不支持强制 TLS 1.2要求。

Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。

虽然您可以手动安装连接器软件更新，但我们建议您按照设置自动升级中的步骤操作，让应用程序自动管理升级。

1	单击Windows任务栏中的通知，或右键单击Windows任务栏中的Directory Connector图标以开始升级过程。
2	按说明完成升级操作。
3	重新启动连接器并使用管理员凭证登录。
4	验证软件的版本号 > 。

下一步

对于Directory Connector的全新安装，您可以下载zip文件，然后按照本指南中的安装步骤进行操作。

配置 Directory Connector 的常规设置

此程序用于配置常规设置，例如运行Directory Connector的服务器的名称、日志级别、自动升级以及域控制器的首选设置。连接器的名称显示在控制板的连接器部分中，其中还包含正在运行的任何其他连接器。

1

在 Directory Connector 中，转至配置，然后单击常规。

2

在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。

3

从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括：

信息(缺省) - 显示供参考的消息，它们概要突出应用程序的进度。如果您希望在所有完全同步后接收报告，请使用此设置。
警告 - 显示有潜在危害的情况。
调试 - 显示对调试应用程序极有帮助的详细信息事件。如果您看见任何问题，请设置此日志级别，并在提交支持申请时将事件日志发送给支持人员。
错误 - 显示可能仍然允许应用程序继续运行的错误事件。选择此选项后，同步报告仅在报告错误时发送。

这些设置将影响通过电子邮件发送的同步报告。如果将日志级别设置为“错误”，则同步报告中仅报告错误；如果不存在错误，则不会发送同步报告。将设置更改为“信息”，完全同步后您会收到同步报告。（请记住，对于增量同步，当没有报告错误时不会发送报告。）

4

选择首选域控制器以设置域控制器同步身份的顺序。

将按照从上到下的顺序访问域控制器。如果顶级控制器不可用，则选择列表中的第二个控制器。如果列表中没有控制器，您可以访问主控制器。

5

如果您希望自动升级，请选中升级到新的Cisco Directory Connector版本。

使Cisco目录连接器软件保持最新版本始终是重要的。我们建议您选中此设置，以便在软件可用时以无提示方式安装自动升级软件。

6

检查基于SSL的LDAP 以使用安全的LDAP (LDAPS)作为连接协议。

如果不检查基于SSL的LDAP，目录连接器将继续使用LDAP连接协议。

LDAP（轻量级目录应用程序协议）和安全LDAP (LDAPS)是基础结构中应用程序与域控制器之间使用的连接协议。 LDAPS通信已加密且安全。

配置连接器策略

您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。

例如，您设置 1 作为删除阈值触发值。在执行完全或增量同步时，如果您要删除的用户数大于该设置，Directory Connector 会显示警告。如果您单击忽略阈值，可以成功开始完全或增量同步，但是在您下次运行该策略时将再次看到此忽略提示。

1

在 Directory Connector 中，单击配置，然后选择策略。

2

如需添加阈值触发器，请勾选“启用删除阈值触发器”复选框。

选择该选项后，删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时，同步失败。

3

输入您要设置的最大删除次数。缺省值为 20。

我们建议您不要增大该缺省值。

4

单击 Apply（应用）。

设置连接器的安排

在Active Directory中设置同步定时。为了实现高可用性 (HA)，使用了故障转移。如果有一个连接器宕机，我们会在预定义的间隔过后，切换到另一个待机连接器。

1	在Directory Connector中，单击 Configuration，然后选择Schedule。
2	以分钟为单位指定增量同步间隔。默认情况下，增量同步设置为每30分钟执行一次。完全增量同步要在首次执行完全同步后才会发生。
3	如果您希望更改发送报告的频率，请更改发送报告间隔时间值。
4	勾选启用完全同步计划以指定想要执行完全同步的日期和时间。
5	以分钟为单位指定故障转移间隔。
6	单击 Apply（应用）。

多个域场景

多个域基于域优先级。对于在不同域具有相同键值的对象，在同步后，来自高优先级域的数据将覆盖来自低优先级域的数据。

具有相同键值的对象会链接到数据库中的同一条记录。

“用户”的键值是电子邮件地址；“组”的键值是组名。

多域使用示例

此示例假设某组织有两个域 - example1.com 和 example2.com，前者优先级高于后者。

添加 user1（电子邮件： user@example1.com）到 example1.com 的 Active Directory。
添加 group1（组名： Test）到 example1.com 的 Active Directory。
添加 user2（电子邮件： user@example2.com）到 example2.com 的 Active Directory。
添加 group2（组名： Test）到 example2.com 的 Active Directory。

在 example1.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在中，而 user1 和 group1 没有。https://admin.webex.com

如果您为 example1.com 执行全面或增量同步，user1 和 group1 会同步。而且，user2 和 group2 会被 user1 和 group1 的信息覆盖。

User1 作为数据库中的相同记录链接到 user2；group1 作为数据库中的相同记录链接到 group2。

在 example1.com 和 example2.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在中，而 user1 和 group1 没有。https://admin.webex.com

请考虑这些步骤：

在 example1.com 的 Active Directory 上删除 user1 和 group1。
为 example1.com 执行全面或增量同步。
结果：在中用户信息无变化。https://admin.webex.com User2 没有链接到 user1，而 group2 没有链接到 group1。
为 example2.com 执行增量同步。
结果：在中用户信息无变化。https://admin.webex.com
为 example2.com 执行全面同步。
结果： user2 和 group2 的信息在中列出。https://admin.webex.com

同步新域并保留现有域

如果要同步新的域(B)，同时在另一个现有域(A)上保持已同步的用户数据，请确保在受支持的Windows服务器上安装用于域(B)同步的目录连接器。初始设置后，连接器绑定到新域，域(A)下的用户信息不受影响。

每个域都必须有自己的活动连接器。使用以下设置考虑两个域：域A具有连接器(ca1)和(ca2)(本地高可用性(HA)；域B具有连接器(cb1)。(ca1)和(ca2)服务域A。在这种情况下，一个连接器处于活动状态，另一个处于待机状态(HA)。该设计使域保持同步，因为一个连接器始终处于活动状态。因此，cb1是域B的活动连接器，因为域A已经有一个活动连接器（ca1或ca2）。

设置域优先级

使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域，等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织，此设置会很有帮助。

如果在 Directory Connector 中只列出了一个域，则不要使用此过程。如果您尝试进行此配置，连接器会显示一条消息，说明不需要域优先级。

准备工作

为避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从下载它。https://admin.webex.com

1

在Cisco目录连接器中，单击控制板。

2

转至操作，然后单击设置域优先级。

3

高亮显示列表中的一个域，单击向上或向下更改此域的优先级，然后单击保存保存更改。

各个域会按优先级自上而下排序。

切换域

使用此程序将Cisco目录连接器重新绑定到不同的域。

准备工作

在切换域之前，确保没有同步任务在运行。
为避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从 Control Hub 下载。

1	在Cisco目录连接器中，单击控制板。
2	转至操作，然后单击切换域。
3	阅读警告后，如果您理解此更改对部署的影响，而且您仍然确定要更改，请单击是。如果切换域，您将从当前的Cisco目录连接器注销，连接器中的其他域将取消注册，并且该计算机上的连接器信息将被删除。
4	重新登录到Cisco目录连接器并重新绑定该域。

关闭目录同步

如果您需要从目录连接器停止同步，可以从Control Hub暂时将其关闭。

1

从 https://admin.webex.com 中的客户视图，转至 > 设置，滚动至同步，然后选择一项：

单击更多然后单击要关闭的连接器实例旁边的关闭(Turn Off)。
单击关闭所有目录同步以停止来自所有连接器实例的同步。

2

阅读提示后，单击关闭(Turn Off )。

同步停止，直到您从Directory Connector重新启用它。

删除用户属性映射

使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后，属性值将从云中删除，不再与Webex同步。然后可以手动编辑这些值。

1	从 Directory Connector 中，单击控制板。
2	转至 “操作”，然后单击程序 > 用户属性映射。
3	选择要从名称列表中删除的映射。
4	在受影响的用户范围下，选择以下选项之一：仅目录连接器同步的用户：映射将仅从先前同步的Directory Connector的用户删除。所有用户：将从所有Active Directory用户删除映射。
5	单击 Apply（应用）。

管理档案照片

使用Directory Connector更新用户档案照片或删除空白的用户档案照片。

1	从 Directory Connector 中，单击控制板。
2	转至 “操作”，然后单击工具 > 档案照片。
3	在 Actions（操作）下，选择以下选项之一：删除空头头像来源的档案照片：如果Active Directory档案照片为空，则此选项可确保将用户档案照片从云中删除，即使用户之前已在Webex中上传了自己的照片。从同步源重新上传以覆盖缓存的图片： Directory Connector使用与之前相同的Active Directory更新所有用户的档案照片。这可确保Active Directory中的档案照片与云之间没有不匹配。
4	单击 Apply（应用）。

卸载并停用Directory Connector

卸载 Directory Connector 实例后，必须取消注册它。如果面临以下任何情况，都应该彻底删除 Directory Connector：

您不想再使用目录同步。
您不想使用多个 Directory Connector（高可用性）中的某一个。
您想要更改域并安装其他连接器。

准备工作

您可能设置了多个目录连接器实例来实现高可用性(HA)或多域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例，请禁用同步。
在卸载Directory Connector之前，请保存并关闭所有重要工作。

1	在您的 Windows 计算机上，转至“控制面板”，然后单击程序和功能。
2	从程序列表中，单击 Directory Connector，选择Uninstall，然后按照提示操作。您可能需要重启系统来完成卸载。
3	从 https://admin.webex.com 中的客户视图，转至 > 设置，滚动到同步，单击然后单击要卸载的目录连接器实例旁边的停用。
4	阅读提示后，单击停用。用户帐户将不会再同步，除非在高可用性 (HA) 部署中还有其他 Directory Connector。

运行诊断工具

您可以使用内置诊断工具对目录连接器部署进行故障诊断。此工具作为目录连接器3.4及更高版本的一部分安装。

如同步无法正常工作，可能发生配置或网络错误。此工具能够测试您的 LDAP 连接，因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误，您可以将详细的日志结果发送给支持人员。

要运行Active Directory域服务的测试：
1. 转至开始菜单，找到 Cisco目录连接器，单击 Cisco Directory - Diagnostic。单击 AD-DS 选项卡，输入您的域，然后单击加载域控制器。
2. 从列表中选择一个域控制器。
  
  稍后不要更改条目，因为增量搜索必须始终在同一个域控制器上运行。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试检查该值。
4. 在 Active Directory查询部分配置更多过滤器，如用户和组对象和搜索过滤器。
5. 选中自动填充Cookie以自动生成用于搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，您可以在提交申请单时将其发送给支持团队进行分析。
要运行Active Directory轻量级目录服务的测试：
1. 转至开始菜单，找到 Cisco目录连接器，单击 Cisco Directory - Diagnostic。单击 AD-LDS 选项卡，输入您的主机和端口，然后单击加载分区。
2. 从列表中选择一个分区，然后单击连接。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试检查该值。
4. 在 Active Directory查询部分配置更多过滤器，例如 User、UserProxy和 User Full 和搜索过滤器。
5. 选中自动填充Cookie以自动生成用于搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，您可以在提交申请单时将其发送给支持团队进行分析。
要运行轻量级目录访问协议(LDAP)的测试：
1. 转至开始菜单，找到 Cisco目录连接器，单击 Cisco Directory - Diagnostic。单击 LDAP RAW 选项卡，输入您的根路径，过滤器，从属性中选择条目，然后单击加载分区。
2. 根据需要检查以下选项：
  - Object -如果存在该选项，调用方不需要任何权限，并且只能查看调用方可访问的对象和属性。如果该选项不存在，调用方有权复制更改。
  - First -确保所有孩子的父母都比他们的孩子更早。
3. 为 ExtendedDN 选择一个值。
  
  此值用于扩展LDAP搜索，以请求扩展形式的对象Distinguished Name。
4. 为 Refer Chase 选择一个值。
  
  当域控制器返回查询中的引用时，将发起引用追踪-例如，查询结果的详细信息可能在命名空间之外（例如另一个域或林中的组成员）。
5. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
6. 测试完成后，单击保存以保存日志条目，您可以在提交申请单时将其发送给支持团队进行分析。

对Ciso目录连接器中的问题进行故障诊断

Directory Connector的故障诊断和修复

您可能会在Directory Connector中遇到错误消息或其他问题。此外，在Directory Connector同步用户信息后，该连接器可能会向您发送一封电子邮件报告，其中会列出同步中的任何问题。请参考以下章节，了解可能出现的问题、可能的原因以及您可以在联系支持人员之前尝试的建议解决方案。

安装

Directory Connector 停止运行

您收到警告电子邮件，通知您Directory Connector未正常工作。

Directory Connector可能未正确安装。
Directory Connector可能未运行。
网络可能不可用。

请尝试以下操作：

打开面板 > 和功能。找到 Directory Connector。如果没有，请从Control Hub下载并安装最新版本。
打开“服务”，找到 Cisco DirSync Service。确保其状态显示为“已启动”。如果该服务已停止，请单击右键并选择“启动”以重启该服务。
确保安装Directory Connector的服务器可以访问Internet。

重新安装错误

问题—如果您在卸载旧连接器后立即安装新连接器，可能会看到错误消息。

可能原因—在Windows Server 2012中，卸载客户端需要时间才能从服务列表中删除服务帐户。

解决方案—一段时间后，请重试安装。

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后注册表项。
对于密钥路径，输入或导航至 HKEY_local_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main。
输入 Disable Script Debugger 输入“ 值”，然后输入 no 用于值数据。

设置应与此屏幕截图匹配：

执行以下步骤以在用户级别更改策略：

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后注册表项。
对于 Key Path，输入或导航至 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main。
输入 Disable Script Debugger 输入“ 值”，然后输入 no 用于值数据。

设置应与此屏幕截图匹配：

更改在您运行后生效 gpupdate /force 、机器重新启动（用于机器更改）或用户重新登录（用于用户更改）。

Cisco DirSync服务连接器无法注册

问题

登录失败，将显示以下消息： “无法注册Cisco DirSync Service Connector。”

解决方案

安装Directory Connector的Windows系统必须是Active Directory的成员。

没有出现登录页面

问题

您已打开Directory Connector，但未显示登录页面。

解决方案

请尝试以下步骤：

在Internet Explorer中，转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在Chrome和Firefox等其他浏览器中尝试链接。
如果Internet Explorer无法访问该链接，但其他浏览器可以访问，请选中Internet Explorer设置并选中TLS 1.1和1.2复选框。（使用在Internet Explorer中启用TLS 程序。）

出现登录提示

问题

出现提示，要求您输入用户名和密码以通过身份验证。

可能原因

Directory Connector使用登录帐户以无提示方式完成NTLM安全验证。如果身份验证失败，将弹出对话框，询问身份验证用户名和密码。

解决方案

当您看到登录弹出窗口时，您需要提供具有正确身份验证的有效帐户才能通过安全性设置。

无法连接远程服务器

问题

在正常操作期间，出现错误消息： “无法连接远程服务器。”

可能原因

您可能有需要解决的代理问题。

解决方案

请参阅“服务帐户登录问题故障诊断”了解更多故障诊断信息。

无法注册连接器

问题

您会看到错误消息“无法注册连接器”。出现一般异常。 ”

可能原因

在大多数情况下，问题是因为目录连接器没有连接到LDAP根上下文的权限。

解决方案

请尝试以下操作：

运行命令提示符(cmd)，然后输入 dp.exe。
单击 > ，选择当前登录用户的绑定，然后单击。
单击 > 树，输入 <UNK> =arbonneintl，DC=ad 作为BaseDN，然后单击。
如果问题仍然存在，请提供支持以提交案例。

同步

头像未同步

问题

Cisco目录连接器将用户AD数据同步到Webex云。但没有成功同步头像数据。

可能原因

如果您重用了现有的头像服务器并且用户头像已同步，则本地缓存会捕获这些头像，并避免再次重新发送以节省带宽。

解决方案

按照以下步骤删除本地缓存：

转至C：\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
删除DirSyncPluginAvatar.dll-cache.bin。
从Cisco目录连接器重新运行头像同步。

用户电子邮件帐户冲突

问题

同步结果可能显示用户电子邮件帐户冲突。

如果用户试用免费版本的Webex应用程序，他们的电子邮件地址将驻留在免费消费者组织中。
如果用户电子邮件曾在其他组织中同步。
如果用户电子邮件存在于属于组织的多个域中。

解决方案

请尝试以下操作：

如果您尝试申领用户，请执行以下步骤：
1. 确保您已在Control Hub中验域。
2. 临时禁用Cisco目录连接器。
3. 使用Control Hub中的“声明用户”选项声明自由消费者组织中可能存在的任何帐户。有关更多信息，请参阅将用户声明到您的组织（转换用户）。
4. 在Cisco目录连接器中进行测试，然后重新启用目录同步
对于最后一种情况，请仔细检查Active Directory源中的用户数据。

已转换用户标记为“非活动”

问题

在目录同步环境中，您将免费（消费者组织）用户转换为企业组织，但转换后的用户无法登录到Webex应用程序。

可能原因

当自由用户转换为企业组织时，作为安全合规措施，该用户将在30天内标记为非活动状态。在此期间，用户无法登录Webex应用程序，并在30天期限结束时标记为删除。出现这种情况的原因是免费用户信息不在Active Directory中。

解决方案

如果您不希望删除用户帐户，则必须执行操作。要解决此问题，请在本地Active Directory中创建与转换后的免费用户帐户对应的用户帐户。然后，从Cisco目录连接器执行同步。然后，用户可以再次登录Webex应用程序，帐户不会被删除。

增量同步失败

问题

增量同步失败。

在以下情况下，Windows Server 2008 R2上可能会出现该问题：

您支持增量值更新。
您使用引用链接值属性的过滤器。
该属性的结果值在上次执行完全同步后进行更新。

解决方案

Windows Server 2008 R2存在一个与该问题相关的错误。该错误已在2012 R2及之后的版本中修复。我们建议您将Windows Server升级到至少2012 R2。

属性的值无效

问题

对于 [user dn (distinguished name)]，属性 [attribute name] 有以下无效值 [attribute value]。

可能原因

对于 CN=b,OU=Employees,OU=C Users,DC=c,DC=com，属性 [telephone number] 有以下无效值： +。此属性必须包含至少一个数字。

解决方案

此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。

要删除的匹配用户

问题

匹配的用户将被标记为删除。

当执行测试同步以检查Active Directory和云之间的数据时，您可能会在两者中看到相同的电子邮件地址。但是，用户被标记为要删除的对象。

解决方案

选择适当的修复方法：

如果可以删除用户并在之后重做许可证，您可以使用Directory Connector进行修复。执行同步以删除用户，然后执行另一次同步以将用户从本地AD同步到云。
如果您无法删除并重新创建用户帐户，请向支持人员提交案例。

缺少属性

问题

添加内部条目[user dn (distinguished name)]时所需的属性[attribute_name]。在所有必需属性都有值之前，该条目不会在Control Hub中创建。

可能原因

必需属性的 email address 缺失。添加内部条目[CN=Sales User，OU= ，OU=K，DC=k，DC=local]时，除非所有必需属性都具有值，否则不会在Control Hub中创建该条目。

解决方案

用户[user_email_address]缺少一个必需属性。请为该用户提供必需值。

嵌套组不会同步

问题

嵌套Active Directory组中的用户无法正确同步到云。

可能原因

将使用包含子组和父组的过滤器，不支持该过滤器。例如： (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)

解决方案

您必须重新配置同步组的过滤器。例如： |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)

用户命名冲突

问题

对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言， [用户电子邮件地址]和用户类型[user_type]。

可能原因

Control Hub中已存在使用该电子邮件地址的用户。

解决方案

使用与通过Control Hub注册的帐户相同的电子邮件地址在Active Directory中创建用户。

Control Hub

Control Hub中缺少用户列表

问题

如果您的Webex组织有超过1000个同步用户，您可能无法在Control Hub中看到用户列表。

解决方案

您可以使用搜索功能查找用户帐户。在Control Hub中，转至用户(Users)，单击搜索，然后输入搜索条件以查找特定用户。

组不会同步到Control Hub

问题

目录组中的用户无法正确同步到Control Hub。

可能原因

该组未标记为 isCriticalSystemObject 在Active Directory中。

解决方案

确保该属性 isCriticalSystemObject 设置为 TRUE 在Active Directory中。

启用 Directory Connector 故障诊断

您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息，并将其保存至文件。

以下日志文件： <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1

运行 services.msc 文件以将本地系统中 Directory Connector 服务的运行帐户更改为有权访问 AD DS 或 AD LDS 的域帐户。

2

重启服务。

请参阅如何启动服务获取指导。

3

在Directory Connector中，单击仪表板。

4

转至 “操作”，然后单击工具 > 排除。

5

启用故障诊断后，重复执行导致错误的操作，这样将捕获流量数据，以便进行检查。

6

检查日志文件：如果文件空白，请确保帐户有权访问 AD DS 或 AD LDS。

日志文件夹仅保存最近3天的文件。日志文件中的内容与发送到系统的事件日志输出一致。

7

如有必要，向支持人员发送日志文件以获取协助。

8

诊断完成后，请禁用故障诊断功能。

相关信息

启动事件查看器

若要查看完全或增量同步期间发生的事件，请启动“事件查看器”。它显示管理事件和错误日志的摘要。

1	从Directory Connector转至 Dashboard，然后单击 > 事件查看器。 “事件属性”对话将显示同步事件详细信息与错误详细信息。
2	从活动查看器转至程序和服务日志 > isco Directory Connector。
3	在操作下，单击将所有事件另存为以单个事件文件(*。evtx)或xml或csv等其他格式导出所有日志。

下一步

如果您需要提交案例，请联系支持人员，描述连接器的问题，然后将活动文件附加到您的案例中。

事件日志会捕捉用户操作。要获取有关管理网络流量的帮助，请在连接器上启用故障诊断。

在Internet Explorer中启用TLS

如果您切换了单点登录(SSO)提供商，您可能会看到来自Cisco目录连接器的以下错误消息：

登录服务时发生错误
此页面上的脚本发生错误

如果您看到这些错误，必须在浏览器中启用TLS设置。

1	打开Internet Explorer，然后选择工具。现在选中要启用的TLS/SSL版本的复选框，单击确定关闭浏览器，然后再次打开它。
2	单击选项，转至，滚动至。
3	选中使用TLS 1.1 和使用TLS 1.2复选框，然后单击确定。
4	重启系统以使更改生效。

服务帐户登录问题故障诊断

如果您无法登录到Cisco目录连接器或无法运行同步，请在联系支持人员之前使用以下步骤尝试解决问题。

1

尝试在 Web 浏览器中访问。https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL

2

根据结果选择一项：

如果您无法从浏览器访问该链接，请检查您的网络设置。如果您的环境使用代理，请检查代理设置。
如果您可以从浏览器访问链接，但无法打开Cisco目录连接器（无法打开连接器并弹出带有407的错误消息），请单击此处获取最新版本的Cisco目录连接器。

如果您可以从浏览器访问链接，但无法从Cisco目录连接器运行同步，请将服务登录帐户更改为“域管理”。

检查您用于登录Windows系统的帐户是否与您在“Cisco DirSync Service”中设置的帐户相同。如果是2个不同的帐户，请确保两个帐户都可以访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。如果您的环境使用代理，请确保两个帐户都已在Internet Explorer中配置为代理，并且可以成功访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。

3

至少，确保为Cisco DirSync服务（可以在Windows服务中找到）配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下，该服务利用Windows登录帐户凭证和身份验证。

相关信息

在Windows注册表中检查SafeDllSearchMode

默认情况下，Windows注册表中设置了安全动态链接库(DLL)搜索模式，并将用户的当前目录置于后续的DLL搜索顺序中。如果该模式被禁用，攻击者可能会将恶意DLL（名称与系统文件夹中的引用DLL文件相同）放入应用程序的当前工作目录中。

通常情况下，SafeDllSearchMode已启用，但可使用此程序再次检查注册表设置。

准备工作

对Windows注册表进行更改时应非常谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，输入，然后按 Enter。

2

转至 HKEY_本地机_\System\CurrentControlSet\Control\Session Manager。

3

选择一种：

SafeDllSearchMode未列出—无需进一步操作。
SafeDllSearchMode已列出—确保该值设置为 1。

有关详细信息，请参阅链接库搜索顺序。

Cisco Directory连接器概述

目录连接器概述

Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件，并将其安装到本地计算机上。

使用Directory Connector，您可以在Active Directory中维护您的用户帐户和数据，因此Active Directory成为唯一的真相来源。当您在内部进行更改时，它会复制到云。

请参阅表中所有的功能、描述和优势：

功能	描述和优势
简单易用的控制板	该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。
在同步到云之前进行干燥	在云中实施这些更改之前，先对目录进行干燥。之后，运行报告以查看要执行的变更是否与预期一致。
完全同步和增量同步	同步整个目录。或者，仅同步增量变更，从而提高处理能力并缩短同步时间。
同步多个域（单森林或多森林）	Directory Connector支持单个森林或多个森林下的多个域（无需使用AD LDS）。对于拥有多个Active Directory域的企业，您可以为每个域安装Directory Connector，将每个域绑定到您的组织，然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态，允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。
按计划同步	按天、小时和分钟设置同步安排。
轻量级目录访问协议 (LDAP) 过滤器	定义 LDAP 搜索条件并实现高效的导入。
活动目录属性映射	将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性，并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据，例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据（职务、部门、经理等）。
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录	如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务，或者您拥有内部Room设备，此功能可让用户从Cisco Webex Calling（云PSTN）电话或Room资源搜索企业联系人目录。会议室资源同步协作室信息之后，具有已配置、已映射 SIP 地址的本地协作室设备将作为可搜索条目显示在云注册协作室设备（例如 Cisco Webex Room 设备或 Cisco Webex Board）中。当用户在Cisco Webex Room设备或Cisco Webex板上进行搜索时，您将看到使用SIP地址配置的同步房间条目。当他们将从Webex设备拨打到该条目上时，将将呼叫放置到为房间配置的SIP地址。正在呼叫除了Webex App联系人之外，用户还可以呼叫企业联系人。通过Directory Connector，企业用户及其电话号码会被添加到您的Webex组织。他们不需要为Webex服务获得许可才能使用此功能。未为Webex授权的用户将出现在从Cisco Webex呼叫用户电话执行的目录搜索中，只要通过Directory Connector与Webex同步的URI或电话号码即可。对于这两种用户，呼叫功能的表现是相同的。此功能部件还为只有电话号码的联系人提供了编辑拨号功能。在联系人搜索结果中：如果联系人具有可调用URI（Webex SIP地址）和电话号码，将显示与联系人关联的URI。如果联系人没有可拨号的 URI，但却有电话号码，则显示电话号码。还会显示一个编辑拨号软键。如果这两者联系人都没有，则该联系人不会显示在目录中。
事件查看器	使用事件查看器可确定是否存在同步问题。
诊断工具和故障排除	您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确，您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接，以便在联系支持人员之前自行诊断错误。在Directory Connector中启用故障排除后，将编写日志，可发送给技术支持。
自动升级	安装 Directory Connector 后，您会在软件有新版本时收到通知。您可以设置自动升级，以便在发布新版本时始终使用最新版本的软件。
高可用性	配置多个连接器，以便在主连接器或机器主机出现宕机情况时提供备用。

Directory Connector 分为以下三个部分：

Control Hub 是一个单一界面，可让您管理Webex组织的所有方面：如果您希望用户通过企业身份提供商进行身份验证，并且不想为Webex应用程序发送电子邮件邀请，则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域，您可以为要同步的每个域安装一个软件实例。使用该软件，您可以运行同步以将Active Directory用户帐户带入Webex，查看和监控同步状态，并配置Directory Connector服务。
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。

请参考此图了解Directory Connector架构：

为Directory Connector准备您的环境

目录连接器的要求

Windows和Active Directory要求

您可以在这些受支持的Windows服务器上安装Directory Connector：

Windows Server 2022
Windows Server 2019
Windows Server 2016

要解决Cookie问题，我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。

以下的Active Directory服务支持Directory Connector：

2016年活动目录

（在Windows Server 2019上使用最新版本的Active Directory时，支持目录连接器）
活动目录2012
活动目录2008 R2
活动目录2008

请注意以下附加要求：

目录连接器需要TLS1.2。您必须安装以下内容：
- .NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题，请使用使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
- .NET Framework v.4.5（TLS1.2必需）
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。（请参阅什么是 Active Directory 功能级别？获取更多信息。）

硬件要求

您必须在符合以下最低硬件要求的计算机上安装Directory Connector：

8 GB RAM
50 GB 存储
CPU 没有最低要求

网络要求

如果您的网络是防火墙的幕后，请确保您的系统有HTTPS（端口443）访问互联网。

Webex组织要求

要从Control Hub访问Directory Connector软件，您需要试用Webex组织或任何付费订阅。
（可选）如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态，我们建议您执行以下操作：
- 添加、验证并选择声称包含要同步到云的用户电子邮件地址的域。
- 将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成。
- 抑制自动电子邮件邀请，这样新用户就不会收到自动电子邮件邀请，您可以进行自己的电子邮件活动。（此功能需要SSO集成。）

有关详细信息，请参阅控制中心中的用户状态和操作。

安装要求

对于多个域环境（单森林或多森林），必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保您有受支持的独立 Windows Server 来安装 Directory Connector，以进行域 (B) 同步。
要登录连接器，我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。

此本地用户必须拥有该Windows计算机上的权限，才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。（此信息也适用于虚拟机登录。）
登录连接器时，登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下，连接器使用本地系统帐户访问Active Directory。但是，您可以使用Windows服务配置其他帐户以访问Active Directory。（此信息也适用于虚拟机登录。）
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用：在Windows注册表中检查SafeDllSearchMode。
如果您在单个森林上使用多个AD LDS域，我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。

多个域要求

在 Cisco目录连接器部署任务流中跟踪任务之前，如果您要将多个域的Active Directory信息同步到云中，请记住以下要求和建议：

每个域需要单独的Directory Connector实例。
Directory Connector软件必须运行在其将同步的同一域上的主机。
我们建议您在Control Hub中验证或声明您的域。（参见添加、验证和申请域。）
如果要同步超过50个域，您必须打开标签才能让您的组织移动到大型组织列表。
如果需要，您可以与用户帐户同步房间资源信息。（请参阅将内部会议室信息同步到Webex云。）

自动许可证分配活动目录组建议

Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。

Active Directory中有两种类型的组：

分发组—用于创建电子邮件分发列表。
安全组-用于分配共享资源的权限。

在Active Directory中创建组时，请考虑以下指导原则：

为每个角色、部门或服务创建全球组（例如销售、营销、经理、会计师、Webex授权等）。
在整个组织中使用标准命名规范，以便轻松识别有关组的重要信息。组名称可以包含组的详细信息，例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如，组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
以易于理解的方式组织群组，例如按地域或管理层次。使用组描述来完整描述组的目的。
在将用户添加到新配置的组之前，请为这些组在Control Hub中定义自动许可证组模板。有关详细信息，请参阅设置自动许可证分配模板。

调整尺寸信息

Directory Connector是本地Active Directory和Webex云之间的桥梁。因此，连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定，而不是连接器本身。

一些因素会影响同步的速度：

Active Directory对象的总数。（5,000个用户同步工作所需的时间不超过50,000。）
网络速度和带宽。
系统工作负载和规格。

如果您正在同步超过50,000个用户，我们强烈建议您使用第二个连接器进行故障转移和冗余。

由于同步涉及多个因素，并且每个部署取决于上述因素，因此我们无法提供对象同步所需时间的特定时间值。

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

WebEx 代理集成

如果您的环境中已启用 Web 代理验证，则您仍然可用使用 Directory Connector。

如果您的组织使用透明Web代理，则不支持身份验证。连接器已成功连接和同步用户。

您可以选择下列方法之一：

通过Internet Explorer显式Web代理（连接器继承了Web代理设置）
通过。pac文件显式网络代理（连接器继承企业特定的代理设置）
与连接器配合的透明代理，无需任何更改

通过浏览器使用 Web 代理

您可以通过Internet Explorer设置Directory Connector以使用Web代理。

如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行，那么您还需要用此帐户登录并配置 Web 代理。

1	在 Internet Explorer 中，转至 Internet 选项，单击连接，然后选择局域网 (LAN) 设置。
2	指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。
3	如果环境使用代理验证，请将这些 URL 添加到允许列表： cloudconnector.webex.com 用于同步。 idbroker.webex.com 进行身份验证。 idbroker-static.webex.com 用于提供静态资源，如font、js组件等。您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。
4	如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表： .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org 有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

通过 PAC 文件配置 Web 代理

您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。

1

要使连接器成功连接并同步用户信息到Webex云，请确保安装连接器的主机。pac文件配置中已禁用 cloudconnector.webex.com 的代理身份验证。

2

如果环境使用代理验证，请将这些 URL 添加到允许列表：

cloudconnector.webex.com 用于同步。
idbroker.webex.com 进行身份验证。
idbroker-static.webex.com 用于提供静态资源，如font、js组件等。

您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。

如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。

3

如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表：

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

NTLM代理

Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证，并确保其安全。

NTLM设计

在大多数情况下，用户希望通过客户端PC访问其他工作站资源，这很难以安全的方式进行。

一般来说，NTLM的技术设计基于挑战和响应机制：

用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同，密码的哈希值在本地存储。当用户通过密码登录客户端时，Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同，则验证将通过。

当用户想要访问其他服务器中的任何资源时，客户端会向服务器发送一个请求，帐户名称为纯文本。
当服务器收到请求时，服务器会生成16位随机密钥。关键称为Challenge（或Nonce）。在服务器返回客户端之前，挑战将存储在服务器中。然后，服务器将挑战以纯文本形式发送给客户端。
客户端收到服务器发送的挑战后，客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后，该值将返回到服务器。
当服务器从客户端收到加密值时，服务器将其发送到域控制器进行验证。请求包括：帐户名称、客户端发送的加密挑战，以及原始的简单挑战。
域控制器可以根据帐户名称检索密码的哈希值。然后，域控制器可以对原始挑战进行加密。然后，域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同，验证将成功。

Windows在操作系统中内置了安全验证，使应用程序更容易支持安全验证。因此，您无需完成进一步的配置。

配置透明代理

在这种情境下，浏览器不会知道透明 Web 代理正在拦截 http 请求（端口 80/端口 443），因此不需要客户端配置。

1	部署透明代理，以便连接器可以连接和同步用户。
2	确认代理已成功—启动连接器时，您会看到预期的浏览器身份验证弹出窗口。

设置代理身份验证

通过创建访问控制列表，将URL cloudconnector.webex.com 添加到允许列表中。

在企业防火墙服务器上：

1	如果尚未启用 DNS 查找，请启用。
2	确定此连接的估计带宽（连接器约为2 mb/s或以下）。这不是必须执行的步骤。
3	创建访问控制列表以应用于连接器主机，并指定 `cloudconnector.webex.com` 作为要添加到允许列表的终端。例如： `access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https`
4	将此ACL应用于相应的防火墙接口，该接口仅适用于此单个连接器主持人。
5	通过配置相应的隐式拒绝声明，确保企业中的其他主机仍需使用 Web 代理。

部署目录连接器

Cisco目录连接器部署任务流程

开始之前

1个	安装目录连接器 Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。要重新安装Directory Connector，请始终转至Control Hub (https：//admin.webex.com)获取软件的最新版本，以便您使用最新的功能和故障修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
2个	登录到目录连接器使用您的Webex管理员凭据登录，并执行初始设置。
3个	设置自动升级将Directory Connector软件更新到最新版本始终非常重要。我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。
4个	选择要同步的Active Directory对象默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
5个	映射用户属性您可以将本地Active Directory中的属性映射到云中的相应属性。唯一必填字段是*uid。
6个	使用以下程序之一同步目录头像：将Active Directory属性中的目录头像同步到云将目录头像从资源服务器同步到云您可以将用户的头像同步到云，以便每个用户登录应用程序时显示他们的头像。您可以从Active Directory属性或资源服务器同步化头像。
7	将内部会议室信息同步到Webex云使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备（例如Webex Room设备或Cisco Webex Board）上的可搜索条目
8个	要从Active Directory向Control Hub提供用户，请执行以下步骤：在您的Active Directory用户上执行干线同步将Active Directory用户完全同步到云向Control Hub中的Directory同步用户分配Webex服务按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

安装目录连接器

Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。

您必须为要同步的每个Active Directory域安装一个连接器。单个目录连接器实例只能服务单个域。请参阅下图了解多个域同步的流程：

开始之前

如果您通过代理服务器进行身份验证，请确保您拥有代理凭据：

对于代理基本身份验证，安装连接器的实例后，您将输入用户名和密码。基本身份验证也需要Internet Explorer代理配置；请参阅通过浏览器使用Web代理
对于代理NTLM，第一次打开连接器时可能会看到错误。请参阅通过浏览器使用Web代理。

1个	在控制中心中，转至用户 > 管理用户 > 启用目录同步，然后选择下一步。
2个	单击下载和安装链接，将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。您可以直接从此链接获取。zip文件，但必须对Control Hub组织的完整管理访问权限才能使用此软件。对于新安装，请获取软件的最新版本，以便使用最新的功能和bug修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
3个	在VMware或Windows服务器上，解压缩并在设置文件夹中运行。msi文件，以启动设置向导。
4个	单击下一步，勾选框以接受许可协议，然后单击下一步，直到您看到帐户类型屏幕。
5个	选择要使用的服务帐户类型，并使用管理员帐户执行安装：本地系统—默认选项。如果通过Internet Explorer配置了代理，则可以使用此选项。域帐户—如果计算机是域的一部分，请使用此选项。目录连接器必须与网络服务交互，才能访问域资源。您可以输入帐户信息并单击确定。输入用户名时，请使用`{domain}\{user_name}格式` 对于与AD （NTLMv2或Kerberos）集成的代理，您必须使用域帐户选项。用于运行Directory Connector服务的帐户必须具有足够的权限传递代理和访问AD。要避免错误，请确保具有以下权限：服务器是域的一部分域帐户可以访问内部AD数据和头像数据。帐户还必须具有本地管理员角色，因为它必须访问 `C：\Program Files` 下的访问文件。对于虚拟机登录，管理员帐户权限至少必须能够读取域信息。
6个	单击安装。网络测试运行后，如果出现提示，输入您的代理基本凭证，单击确定，然后单击完成。

下一步该做什么

我们建议您在安装后重新启动服务器。当数据未发布时，干运行报告无法显示正确结果。重启计算机时，所有数据都会刷新以在报告中显示准确结果。

登录到目录连接器

开始之前

确保您拥有代理凭据。

对于Proxy basic-auth，第一次打开连接器后将输入用户名和密码。
对于代理NTLM，打开Internet Explorer，单击齿轮图标，转至 Internet选项>连接> LAN设置，确保已添加代理服务器信息，然后单击确定。请参阅通过浏览器使用Web代理。

1个	打开连接器，如果看到提示，则将 `https：//idbroker.webex.com` 添加到您的受信任站点列表。
2个	如果出现提示，请使用代理身份验证凭据登录，然后使用您的管理员帐户登录Webex，然后单击下一步。
3个	确认您的组织和域。如果您选择 AD DS，请检查 SSL上的LDAP 以使用安全LDAP (LDAPS)作为连接协议，选择要同步的域，然后单击确认。如果您未通过 SSL检查LDAP，DirSync将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。 LDAPS通信经过加密且安全。如果您选择AD LDS，输入主机、域和端口，然后单击刷新以加载所有应用程序分区。然后从下拉列表中选择分区，然后单击确认。有关更多信息，请参阅AD LDS部分。在 CloudConnectorCommon.dll 配置文件中，请确保将 ADAuthLevel 设置添加到 appSetting 节点。值可以是1、2或3。请参阅来自Microsoft的这篇文章，了解有关AuthenticationTypes的更多信息。以下是值为1的设置示例： `<appSettings> <add key=”ConnectorServiceURI” value="https：//cloudconnector.webex.com/SynchronizationService-v1.0/？orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4个	出现确认组织屏幕后，单击确认。如果您已绑定AD DS/AD LDS，将显示确认组织屏幕。
5个	单击确认。
6个	根据要绑定到Directory Connector的Active Directory域数，选择一个：如果您只有一个域名为 AD LDS，请绑定到现有的AD LDS源，然后单击确认。如果您有一个名为 AD DS 的单一域，可以绑定到现有域或新域。如果您选择绑定至新域，请单击下一步。由于现有源类型为AD DS，因此无法为新绑定选择 AD LDS。如果您有多个域，请从列表中选择现有域或绑定到新域，然后单击下一步。由于您有多个域，现有源类型必须为 AD DS。如果您选择绑定至新域并单击下一步，则无法为新绑定选择AD LDS。

下一步该做什么

登录后，系统提示您执行干运行同步。

目录连接器仪表板

当您首次登录Directory Connector时，会显示仪表板。在这里，您可以查看所有同步活动的摘要、查看云统计、执行干运行同步、启动完整或增量同步并启动事件视图以查看错误信息。

如果您的会话超时，请重新登录。

您可以从“操作”工具栏或“操作”菜单轻松运行这些任务。

表1。仪表板组件
组件	描述
当前同步	显示当前正在进行的同步的状态信息。当未运行同步时，状态显示处于空闲状态。
下一次同步	显示下一个已安排的完整和增量同步。如果未设置计划，将显示未计划。
上次同步	显示最近两次已执行同步的状态。
当前同步状态	显示同步的总体状态。
连接器	显示可用于云的当前本地连接器。
云统计	显示同步的总体状态。
同步计划	显示增量同步和完全同步的同步计划。
配置摘要	列出配置中更改的设置。例如，摘要可能包括以下内容：所有对象都将同步所有用户都将同步已删除的阈值已禁用。

表2。操作工具栏
行动	描述
开始增量同步	手动启动增量同步暂停或禁用同步时，如果未完成完全同步或同步正在进行中，则此操作将禁用。
同步干运行	执行干运行同步。
启动活动查看器	启动Microsoft Event Viewer。
刷新	刷新Cisco目录连接器仪表板

表3. Menubar操作
行动	描述
立即同步	立即开始完全同步。
同步模式	选择增量或完全同步模式。
重置连接器秘密	在Cisco目录连接器和连接器服务之间建立对话。选择此操作将重置云中的秘密，然后在本地保存秘密。
干运行	对同步过程执行测试。在进行完全同步之前，必须先进行干运行。
故障排除	打开/关闭故障排除。
刷新	刷新Cisco目录连接器主屏幕。
退出	退出Cisco目录连接器。

表4。关键组合
关键组合	行动
Alt +A	显示操作菜单
`Alt +A + S`	现在同步
`Alt +A + R`	重置连接器秘密
`Alt +A + D`	干运行
`Alt +A + S + I`	增量同步
`Alt +A + S + F`	完全同步
`Alt + H`	显示帮助菜单
`Alt + H + H`	帮助
`Alt + H + A`	关于
`Alt + H + F`	常见问题

设置自动升级

1个	从Directory Connector，转至配置 > 通用，然后检查自动升级到新的Cisco Directory Connector版本。
2个	单击应用保存更改。

新版本的连接器可用时将自动安装。

您可以手动管理升级（如果您愿意）。有关更多信息，请参阅升级至最新软件版本。

选择要同步的Active Directory对象

默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。

自动许可证分配组

Control Hub允许您按组管理许可证分配。您可以创建许可证模板，并将其映射到同步到云的Active Directory组。在用户创建时，Webex检查该新用户的用户会员身份和自动许可证模板映射。

我们建议您使用LDAP过滤器仅将相关组同步到云。例如，您可以将过滤器设置为：

(&（cn=示例）（objectclass=组）)*

此过滤器将以Example开头的基础DN中的所有组同步。未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。

目录连接器中的对象选择屏幕

混合数据安全部署组

在Directory Connector中，如果您使用混合数据安全为试点用户配置试用组，则必须检查组。请参阅混合数据安全部署指南获得指导。此目录连接器设置不会影响云中的其他用户同步。

开始之前

1个	从目录连接器转至配置，然后单击对象选择。
2个	在对象类型部分中，检查用户，并考虑限制用户可搜索容器的数量。例如，如果您想仅同步特定组中的用户，必须在用户LDAP过滤器字段中输入LDAP过滤器。如果要同步示例管理器组中的用户，请使用以下过滤器： `(&(sAMAccountName=*)(memberOf=cn=Example-manager，ou=Example，ou=Security Group，dc=COMPANY))`
3个	检查识别房间以将房间数据与用户数据分开。要设置其他属性，将用户数据识别为房间数据，请单击自定义。如果要将内部会议室信息从Active Directory同步到Webex云时，请使用此设置。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。有关详细信息，请参阅将内部会议室信息同步到Webex云。
4个	要将Active Directory用户组同步到云，请检查组。不要向“组”字段添加用户同步LDAP筛选器。您仅应使用“组”字段将组数据本身同步到云。默认情况下，组不会为新客户同步。必须启用组同步。还必须同步安全组。
5个	如果要将用户的联系信息同步到云，请检查联系人。目录连接器仅管理由连接器同步的联系人。如果Control Hub中已经有联系人，则同步不会删除联系人。如果从同步范围中删除联系人，则在Control Hub中也会删除用户的联系信息。
6个	配置 LDAP 过滤器。您可以通过提供有效的LDAP过滤器来添加扩展过滤器。有关配置LDAP过滤器的更多信息，请参阅本文。
7	单击选择以查看Active Directory树结构，指定要同步的On Premises Base DN。您可以在此处选择或取消选择要搜索的容器。
8个	检查要为此配置添加的对象，然后单击选择。您可以选择要用于同步的单个容器或母容器。选择父容器，以启用所有子容器。如果您选择子容器，母容器会显示灰色复选标记，表示孩子已检查。然后，您可以单击选择以接受选中的Active Directory容器。如果您的组织将所有用户和组放置在“用户”容器中，则无需搜索其他容器。如果您的组织被分为组织单位，请确保选择OU。
9	单击应用。选择一个选项：应用配置更改干运行取消有关干运行的信息，请参阅在Active Directory用户上执行干运行同步。对于组同步，您必须执行完整同步：将Active Directory用户完全同步到云中。

映射用户属性

您可以将本地Active Directory中的属性映射到云中的相应属性。唯一的必填字段是*uid，这是云身份服务中每个用户帐户的唯一标识符。

您可以选择要映射到云的Active Directory属性—例如，您可以映射到Active Directory中的 firstName lastName，或将自定义属性表达式映射到云中的 displayName。

Active Directory中的帐户必须有一个电子邮件地址；uid映射默认为邮件的广告字段（不是 sAMAccountName）。

如果您选择使用首选语言来自Active Directory，则Active Directory是唯一的真理来源：用户将无法在Webex设置中更改其语言设置，管理员也无法在Control Hub中更改设置。

1个	从Directory Connector，单击配置，然后选择用户属性映射。此页显示Active Directory（左侧）和Webex云（右侧）的属性名称。所有必需属性都标有红色星号。
2个	向下滚动到 Active Directory属性名称的底部，然后选择其中一个Active Directory属性以映射到云属性uid：邮件—大多数部署用于电子邮件格式。 userPrincipalName—如果您的邮件属性在Active Directory中用于其他用途，则可选择此选项。此属性必须为电子邮件格式。您可以将其他Active Directory属性映射到uid，但我们建议您使用上述指南中的邮件或userPrincipalName。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。要查看Active Directory中的哪些属性与云中的对应关系，请参阅在Directory Connector中映射Active Directory属性。要使同步工作，您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口，以提醒您，如果您没有选择推荐的属性。
3个	如果预定义的Active Directory属性不适用于部署，请单击属性下拉菜单，滚动到底部，然后选择自定义属性以打开一个窗口来定义属性表达式。单击帮助以获取有关表达式的更多信息，并查看表达式如何工作的示例。您还可以查看自定义属性的表达式以了解更多信息。在此示例中，我们将将Active Directory属性 `givenName` 和 `Sn` 映射到云属性 `displayName`：将属性表达式定义为givenName + "" + Sn（引号为额外空间），然后提供现有的用户电子邮件以进行验证。单击验证，查看结果是否符合您的期望。成功结果如下：如果结果符合您的预期，请单击确定保存新的自定义属性。稍后，如果您要更改 displayName，可以输入新的属性表达式 Directory Connector验证身份服务中的uid的属性值，并在当前用户过滤选项下检索3个可用用户。如果所有3个用户都具有有效的电子邮件格式，则Cisco Directory Connector将显示以下消息：如果无法验证属性，您将看到以下警告，并可以返回到Active Directory以检查和修复用户数据：
4个	（可选）如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中，选择手机和电话号码的映射。当用户将鼠标悬停在另一个用户的档案照片上时，电话号码数据会显示在Webex应用程序中。有关从用户联系人卡呼叫的更多信息，请参阅在Webex (Unified CM)部署指南（管理员）。
5个	选择其他映射以显示在联系人卡中的更多数据： `部门号码` `显示名称` `经理` `标题` 映射属性后，当用户将鼠标悬停在另一个用户的档案图片上时，会显示信息：有关联系卡的更多信息，请参阅验证您的联系人。将这些属性同步到每个用户帐户后，您还可以在Control Hub中打开People Insights。此功能允许Webex App用户在配置文件中共享更多信息，并相互了解。有关该功能以及如何启用该功能的更多信息，请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events（新建）People Insights Profiles
6个	做出选择后，单击应用。

Active Directory中包含的任何用户数据都会覆盖与该用户对应的云中的数据。例如，如果您在Control Hub中手动创建用户，则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。在Active Directory中没有相应电子邮件地址的用户将被删除。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

活动目录和云属性

您可以使用用户属性映射选项卡将本地Active Directory中的属性映射到云中的相应属性。

此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。这些值和映射是Directory Connector中的默认设置。您可以在Active Directory下拉菜单中选择不同的属性，并确定哪些内部属性与哪个云属性同步。

将下拉菜单属性视为预设。作为Active Directory行中的值的替代，您还可以在Active Directory中指定自定义属性（具有多个属性的表达式）以映射到相应行中的单个云属性。这样，您可以灵活地确定用户的显示名称，例如，您可以添加一个表达式，根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。

您还可以指定任何Active Directory属性，以映射到云中的uid。但是，您必须确保内部属性遵循有效的电子邮件格式。

您还可以使用其他电子邮件地址，例如，如果您想使用userPrincipalName进行登录，但用户的电子邮件地址用于管理他们的日历。在这种情况下，将其他电子邮件地址映射到电子邮件；类型-工作属性。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。

活动目录属性名称	Webex云属性名称	注释
—	建筑名称	—
c	c	此属性指定用户的国家缩写。
部门号码	部门号码	此属性用于联系人卡和人员见解中显示的用户的部门号码。
显示名称	显示名称	此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。
用户帐户控制	ds-pwp-account-disabled	此属性用于用户同步。确保 userAccountControl 属性映射到 ds-pwp-account-disabled，或者用户未正确同步。
员工号码	员工号码	—
传真电话号码	传真电话号码	—
—	jabberID	此云属性与Jabber使用的IM地址（XMPP类型）有关。此值与sipAddresses不同。
L的	L的	此属性指定用户的城市。
—	Category：本地	—
经理	经理	此属性用于联系人卡和人员见解中的用户经理名称。
移动设备	移动设备	此属性被用作显示从联系人卡呼叫用户的移动号码。
或	或	此属性指定公司或组织的名称，并显示在联系人卡中。
或	或	此属性指定组织单位的名称。
physicalDeliveryOffice名称	physicalDeliveryOffice名称	此属性指定用户的办公位置。
邮政编码	邮政编码	此属性指定了用于实际邮件交付的用户的邮政或邮政编码。
首选语言	首选语言	此属性设置用户的首选语言，支持以下格式： xx_YY或xx-YY。下面是一些示例： en_US，en_GB，fr-CA。如果您使用不受支持的语言或无效的格式，用户的首选语言将更改为组织的语言集。
MSRTCSIP-主要用户地址 ipPhone	SipAddresses；type=enterprise	此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。
sn	sn	此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。
圣	圣	此属性指定用户的状态或省。
街道地址	街道	此属性指定用于实际邮件递送的用户的街道地址。
电话号码	电话号码	此属性指定用于从联系人卡呼叫用户的主要（工作）电话号码。
—	时区	此云属性指定用户的时区。
标题	标题	此属性指定联系人卡和人员见解中出现的用户标题。
类型	企业	—
邮件用户主要名称	uid	强制性的属性映射。对于每个用户帐户，Active Directory值映射到云中的唯一的UID。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。然后用户可以使用这两个电子邮件地址之一登录，只要正确的 SAML属性映射就行了。请参阅下面的示例属性映射，了解如何映射替代电子邮件地址。
用户主要名称邮件 <自定义属性>	电子邮件；类型工作	此映射是可选的，如果您想使用其他电子邮件地址，请使用此映射。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。
<Azure用户对象Id的新属性>	外部ID	创建新的Active Directory属性以保留Azure用户对象ID，使其不会与现有的ID冲突。此属性随后映射到externalId属性，确保Webex用户在Microsoft 365中创建群组时，会自动在Webex中创建群组。

替代电子邮件地址映射

自定义属性的表达式

表5。自定义属性的表达式
操作员	描述和示例
%	如果匹配，将字符串开头的所有字符删除到字符或字符串参数的位置。示例表达式 `"abc@example.com" % "@"` 结果 `example.com`
-	从指定字符串的末端剥离输入字符串的背部。示例表达式 `"abc@example.com" - "@"` 结果 `广播`
+	连接输入字符串或表达式。示例表达式 `"abc" +" + "def"` 结果 `abc def`
\|	根据空字符串评估分隔表达式，并选择第一个非空结果。示例表达式 `“” \| “abc”` 结果 `广播`

将Active Directory属性中的目录头像同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序同步来自Active Directory属性的原始头像数据。

1个	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2个	对于从获取头像，选择AD属性，然后选择头像属性，其中包含要同步到云的原始头像数据。
3个	要验证头像是否正确访问，请输入用户的电子邮件地址，然后单击获取用户头像。头像出现在右侧。
4个	验证头像显示正确后，单击应用保存更改。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步该做什么

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将目录头像从资源服务器同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序从资源服务器同步化头像。

开始之前

此过程中的URI模式和变量值是示例。您必须使用目录头像所在位置的实际URL。
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。连接器需要http或https访问图像，但图像不需要在互联网上公开访问。
头像数据同步与Active Directory用户配置文件分开。如果您运行代理，必须确保NTLM身份验证或基本身份验证可以访问头像数据。

1个	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2个	对于从获取头像，选择资源服务器，然后输入头像URI模式—例如，*`http：//www.example.com/dir/photo/zoom/{mail： .?(?=@.)}.jpg`* 让我们来看看阿凡达URI模式的每个部分及其含义： http：//www.example.com/dir/photo/zoom/—将同步的所有照片所在的路径。它必须是服务器上的Directory Connector服务必须能够访问的URL。邮件：—告诉Directory Connector从Active Directory获取邮件属性的值 .?(?=@.)—执行以下功能的regex语法： *`。—任何字符，重复零或多次重复。` `？—告诉前一个变量以匹配尽可能少的字符。` `(?= ... )—匹配主表达式之后的组，但结果中不包含该组。目录连接器查找匹配并且不包含在输出中。` `@。—在at符号，然后是任意字符，重复零或多次重复。`* `.jpg—用户头像的文件扩展名。查看本文档中支持的文件类型，并相应更改扩展名。`
3个	（可选）如果您的资源服务器需要凭证，请检查为头像设置用户凭证，然后选择使用当前服务登录用户或使用此用户并输入密码。
4个	输入变量值—例如： `abcd@example.com`。
5个	单击测试以确保头像URI模式正常工作。在此示例中，如果一个AD条目的邮件值为 `abcd@example.com`，并且jpg图像正在同步，则最终阿凡达URI 为 `http：//www.example.com/dir/photo/zoom/abcd.jpg`
6个	验证了URI信息并看起来正确后，单击应用。有关使用正则表达式的详细信息，请参阅 Microsoft正则表达式语言快速参考。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步该做什么

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将内部会议室信息同步到Webex云

使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的Webex设备（房间、桌面和板）上的可搜索条目。

1个	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择对象选择。
2个	检查将房间信息同步到云，在同步过程中将房间数据与用户数据分开。禁用此设置时，将以与用户同步数据相同的方式处理会议室数据。
3个	转至属性映射，然后更改云属性的属性映射sipAddresses；type=enterprise。要使用值验证，SIP地址的值应为Pattern.compile("^([^@])(.)@(.)$") 如果可用，选择 MSRTCSIP-PrimaryUserAddress。如果您在Active Directory模式中没有上述属性，请使用其他字段，例如 ipPhone。
4个	在Exchange中创建会议室资源邮箱。这将添加连接器用于识别房间的 msExchResourceMetaData；ResourceType：Room 属性。
5个	从Active Directory用户和计算机，导航到并编辑会议室的属性。使用sip的前缀添加完全合格SIP URI：
6个	在连接器中执行干运行同步，然后执行完整运行同步。新会议室对象列出已添加对象，匹配的会议室对象将出现在匹配对象中干运行报告中中。任何标记要删除的房间对象都位于已删除的房间下。干运行结果显示所有匹配的房间资源。此设置将Active Directory房间数据（包括房间属性）与用户数据分离。同步完成后，连接器仪表板上的云统计数据将显示与云同步的房间数据。

下一步该做什么

现在您已完成这些步骤，当您在Webex云注册设备上搜索时，您将看到使用SIP地址配置的同步房间条目。当您将Webex设备拨入该条目时，将呼叫放置到为房间配置的SIP地址。

从Control Hub，您可以自动从目录导入会议室并创建工作空间。

端点无法将呼叫回传回至Webex应用程序。对于测试拨号设备，这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。如果您正在搜索的Active Directory会议室系统已注册到Webex，并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上，则搜索结果不会显示重复条目。在Webex应用程序中直接拨打Room、Desk或Board设备，不会进行SIP呼叫。

在目录同步结果上发送电子邮件报告

默认情况下，组织联系人或管理员总是会收到电子邮件通知。使用此设置，您可以自定义谁应该接收总结目录同步报告的电子邮件通知。

1个	从Directory Connector，单击配置，然后选择通知。
2个	从Directory Connector中，单击设置，然后在电子邮件接收器旁边切换启用报告同步。
3个	如果要覆盖默认通知行为并添加一个或多个电子邮件收件人，请选择启用通知。
4个	单击添加，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
5个	单击添加电子邮件，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
6个	如果您需要编辑您输入的任何电子邮件地址，请双击左侧列中的电子邮件条目，然后进行所需的任何更改。
7	添加所有有效电子邮件地址后，单击应用。
8个	添加所有有效电子邮件地址后，单击保存。

下一步该做什么

如果您决定删除电子邮件地址，您可以单击电子邮件以突出显示该条目，然后单击删除。

如果您决定删除电子邮件地址，可以单击特定电子邮件地址条目旁边的删除。

从Active Directory向Control Hub提供用户

按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。在安装每个域的Directory Connector后，您可以从多个域Active Directory部署（包含单个森林或多个森林）提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

1个	在您的Active Directory用户上执行干线同步执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
2个	将Active Directory用户完全同步到云当您运行完全同步时，连接器服务将从Active Directory (AD)的所有过滤对象发送到云。连接器服务然后用您的AD条目更新身份存储。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。
3个	向Control Hub中的Directory同步用户分配Webex服务完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用各种方法分配Webex服务许可证。我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。您还可以在此初始步骤后进行个人更改。

在您的Active Directory用户上执行干线同步

执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。

在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。使用Directory Connector，目标是在Active Directory和Webex云之间实现精确匹配。

如果您在单个森林或多个森林中拥有多个域，则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。

开始之前

在使用Directory Connector之前，您可能已经在Control Hub中拥有一些Webex应用程序用户。在云中的用户中，有些用户可能会与本地Active Directory对象匹配，并为服务分配许可证。但有些测试用户可能是在进行同步时要删除。您必须在Active Directory和Control Hub之间创建完全匹配。

1个	选择一项：首次登录后，单击提示符上的是以执行干运行。如果您错过了执行干运行的提醒，请随时从Directory Connector单击仪表板，选择同步干运行，然后单击确定以开始干运行同步。当干运行完成时，您将看到以下结果之一： *在目录连接器中检测到不匹配的对象* *Dry Run报告结果和目录连接器中的不匹配对象摘要* 摘要包含有关对象匹配的信息：匹配对象 -在Webex Common Identity中并且还存在在Active Directory域中的用户，如someuser@cisco.com与Webex同步并显示在Control Hub中，并且同一用户(someuser@cisco.com)在Active Directory中存在。这意味着用户已匹配。不匹配对象 -在Webex中使用的用户，无论该用户是如何在Common Identity中添加的，但在Active Directory中不存在该用户。它被称为“不匹配对象”。例如，如果someuser@cisco.com在Webex中同步并显示在Control Hub中，但同一用户(someuser@cisco.com)未由Active Directory管理，则报告显示该用户不匹配。干运行通过比较与域用户来识别用户。如果用户属于当前域，应用程序可以识别用户。在下一步，您必须决定是删除对象还是保留它们。不匹配的对象已在Webex云中存在，但在内部Active Directory中不存在。
2个	查看干运行结果，然后根据您使用单个域还是多个域选择一个选项：单一域—确定是否要保留不匹配的用户。如果要保留它们，请选择否，请选择是，删除对象。在您完成这些步骤并手动运行完整同步后，以便本地和云之间精确匹配，Directory Connector将自动启用已安排的自动同步任务。多个域—对于具有域A和域B的组织，首先对域A进行干燥。如果您想保留不匹配用户，请选择否，保留对象。（这些不匹配的用户可能是域B的成员。）如果要删除，请选择是，删除对象。如果您保留用户，请先为Domain A运行完整同步，然后为Domain B运行干燥。如果仍然存在不匹配的用户，请在Active Directory中添加这些用户，然后为Domain B进行完整同步。当内部和云之间有精确匹配时，Directory Connector将自动启用已安排的自动同步任务。
3个	在确认干运行提示符中，单击是重执行干运行同步并查看仪表板以查看结果。在干运行中成功同步的所有帐户都出现在匹配对象下。如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户，则该条目在已删除用户下列出。要避免此删除标记，您可以在具有相同电子邮件地址的Active Directory中添加用户。要查看已同步项目的详细信息，请单击特定项目或匹配对象的相应选项卡。要保存摘要信息，请单击保存结果至文件。
4个	如果预期结果，请转至操作 > 同步模式 > 启用同步，然后单击立即启用进行手动同步，并在此处设置手动模式。在多个域部署中的最后一个Active Directory域进行同步后，必须为Directory Connector启用自动模式。只有当对象在Webex云和所有内部活动目录之间完全匹配时，您才可以启用自动模式。

下一步该做什么

对于您保留的任何不匹配的用户对象，您必须将其添加到Active Directory，以便在内部和云之间实现完全匹配。
选择同步类型：
- 首次将新用户同步到云时，将Active Directory用户完全同步到云中。您可以从操作 > 立即同步 > 完整进行操作，然后从当前域的用户将同步。
- 设置连接器计划并在运行完整同步后运行增量同步，如果要在初始同步后拾取更改。建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
  
  默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。
如果您有多个域，请在已安装的任何其他目录连接器上重复这些步骤。

需要记住的事情

启用完全同步之前或更改同步参数时执行干运行。如果干运行由配置更改启动，您可以在干运行完成后保存设置。如果您已手动添加用户，执行Active Directory同步可能会导致以前添加的用户被删除。您可以在完全同步到云之前检查Directory Connector Dry Run报告，以验证所有预期用户都存在。

如果匹配的用户被标记为要删除，并且您不确定如何继续，请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

将Active Directory用户完全同步到云

当您运行完全同步时，连接器服务将从Active Directory (AD)的所有过滤对象发送到云。连接器服务然后用您的AD条目更新身份存储。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。

如果您有多个域，则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。

目录连接器同步用户帐户状态—在Active Directory中，任何被标记为禁用的用户在云中也会显示为非活动。

开始之前

如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态，则必须执行以下步骤以绕过电子邮件验证：
- 将单点登录与Webex组织集成。查看使用Cisco Webex Services和您的组织的身份提供商进行单点登录有关更多信息。
- 使用Control Hub验证并选择声称电子邮件地址中包含的域。查看添加、验证和请求域.
- 抑制自动电子邮件邀请，这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。（您可以进行自己的电子邮件活动。）
  
  尚未登录的已激活用户在Control Hub中显示已验证状态。登录后，它们将显示为活动状态。有关用户状态的更多信息，请参阅 Cisco Webex Control Hub中的用户状态和操作。
启用同步时，Directory Connector要求您先执行干运行。我们建议您在完全同步之前进行干运行，以发现任何潜在的错误。
在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。

如果您不使用自动分配许可证模板，新同步的用户会自动获得免费许可证。他们将能够使用与免费帐户的相同的免费功能。

1个	选择一项：首次登录后，如果干运行已完成并且所有域看起来正确，请单击立即启用以允许自动同步发生。从Directory Connector，转至仪表板，单击操作，选择同步模式>启用同步，然后单击立即同步>完整开始同步。
2个	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择完全同步。
3个	确认同步的开始。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序会在您执行同步后72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。在同步过程中，仪表板会显示同步进度；这可能包括同步类型、它开始的时间，以及同步当前正在运行的阶段。同步后，最后同步和云统计部分将使用新信息更新。用户数据同步到云。如果在同步过程中发生错误，状态指示球将变为红色。
4个	要更新同步状态，请单击刷新。（同步项目出现在云统计下。）
5个	有关错误的信息，请从操作工具栏选择启动事件查看器以查看错误日志。
6个	要设置持续增量同步到云的同步计划，请参阅设置连接器计划和运行增量同步。

完成完全同步后，在Control Hub的设置页面上，目录同步状态将从禁用更新至操作。
当所有数据在内部和云之间匹配时，Directory Connector将从手动模式更改为自动同步模式。
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件，否则Webex应用程序用户帐户将保持未验证状态，直到用户首次登录Webex应用程序以确认其帐户。请参阅“开始之前”部分，了解如何将帐户同步为活动用户的指导。
如果您有多个域，请在已安装的任何其他目录连接器上执行此步骤。同步后，您添加的所有域上的用户都会在Control Hub中列出。
如果您将单点登录与Webex集成，并且已删除的电子邮件通知，则电子邮件邀请不会发送给新同步的用户。
启用目录连接器后，您无法在Control Hub中手动添加用户。启用后，从Cisco目录连接器执行用户管理，而Active Directory是唯一的真理源。
您同步的任何组都出现在Control Hub中，并且您可以分配许可证模板，以便该组中的用户获得许可证。

下一步该做什么

当您从Active Directory中删除用户时，该用户将在下次同步后被软删除。用户处于非活动状态，但云身份档案将保留七天（以便从意外删除中恢复）。

如果您在Active Directory中检查帐户已禁用，则下次同步后该用户将变为非活动。云身份档案七天后不会删除，以防要再次启用用户。
注意增量同步的这些异常（请按照上面的完整同步步骤操作）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。

向Control Hub中的Directory同步用户分配Webex服务

完成从Cisco目录连接器到Control Hub的完整用户同步后，您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证，或者如果您已经配置了自动分配的许可证模板，则向新用户添加其他许可证。您可以在此初始步骤后更改个人用户帐户。

完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证（如果您已经配置了自动分配许可证模板）。您可以在此初始步骤后更改个人用户帐户。

当您向Webex应用程序用户分配许可证时，该用户默认会收到一封确认分配的电子邮件。该电子邮件由Control Hub中的通知服务发送。如果您将单点登录(SSO)与Webex组织集成，则如果您更愿意直接联系用户，您也可以删除这些自动电子邮件通知。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
在Active Directory用户上执行干运行同步。
确认干运行结果后，在Active Directory用户上进行完全同步。

在完全同步时，用户在云中创建，不添加服务分配，也不发送激活电子邮件。如果电子邮件未被抑制，新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。

1个

从 https：//admin.webex.com 中的客户视图，转至管理 > 用户，单击管理用户，选择修改所有同步用户，然后单击下一步。

2个

选择一个选项：

下一步该做什么

如果电子邮件没有被抑制，将向每个用户发送电子邮件，并邀请其加入和下载Webex。
如果您为所有用户选择了相同的Webex服务，那么您可以单独或批量更改分配的许可证。

相关信息

目录连接器的已知问题

2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。此问题已在 2012 R2 和 2016版本中得到解决。
对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。

您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间，此时呼叫将无限响起。

管理Webex应用程序用户

运行增量同步

增量同步会查询 Active Directory，查找自上次同步以来发生的更改。然后，此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。

此同步不会给服务器带来那么多的负载，也不需要像完全同步那样多的时间。完成初始完整同步后，我们建议为后续同步使用增量选项。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
注意不支持增量同步的以下异常（请遵循将Active Directory用户完全同步到云中）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 对于属性映射、基本DN、过滤器和头像设置的新配置更改，增量同步无法工作，需要完全同步。

1	从 Directory Connector 中，单击控制板。启用同步时，Directory Connector 将要求您首先执行测试。
2	从操作中，如果尚未启用，单击同步模式>启用同步。默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。当新的增量时间间隔出现时，程序会根据最后一个时间标识检查更改。
3	从操作中，单击立即同步 > 增量。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存：Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，最后同步和云统计部分将使用新信息更新。如果同步期间发生错误，状态指示球将变为红色。
4	有关错误的信息，单击操作工具栏中的启动事件查看器可查看错误日志。

下一步

如果您有多个域，请在已安装的其他目录连接器实例上执行此步骤。

恢复意外删除的用户

Directory Connector具有制衡功能，以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器，这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复，并在Control Hub中重新建立用户帐户。

默认情况下，此功能对所有组织都启用。例如，在云中删除用户时，由于从Directory Connector同步后出现不匹配的对象问题，用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除，如果您快速采取行动，您可能能够恢复它们。

当在Active Directory中删除相应帐户时，用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间，您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。

在Active Directory中禁用的用户在Control Hub中标记为Inactive，但用户帐户在7天后不会删除。

1	登录到 Control Hub。
2	转至用户并确认特定用户帐户是否处于非活动状态或未列出。有关详细信息，请参阅控制中心中的用户状态和操作。
3	如果在Control Hub中删除用户，或者您注意到用户处于非活动状态，请转至Active Directory，添加缺失的用户帐户，然后在Directory Connector中执行干运行同步。使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。
4	执行完全同步，将暂时删除的用户帐户重新同步至Control Hub。用户被恢复并转至原始状态，包括其帐户状态和服务分配。

下一步

返回Control Hub，转至管理 > 用户，并确认先前删除的用户帐户出现在用户列表中。

在软删除后永久删除用户

执行干运行后，您可以选择永久删除下次同步时被软删除的用户。

1	干运行完成后，选择软删除对象。
2	选中要删除的用户旁边的复选框。
3	选择完成。

下一步

下次同步时，已检查的用户将被永久删除。

更改Webex应用程序电子邮件地址

如果您想更改用户电子邮件地址，并且您的组织使用Directory Connector，请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。

如果您只想更改一个用户的电子邮件或某个值，请勿从Active Directory中删除该用户，然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户，用户空间和云中的其他数据将丢失。

要在不更改域的情况下更改用户电子邮件地址：
1. 在Active Directory中打开用户帐户（例如，user1@example.com）并更改电子邮件地址（例如，user2@example.com）。
2. 在目录连接器上恢复同步。
  
  下次同步后，更改会显示在Control Hub中的用户列表中，以及缓存更新后Webex应用程序中的用户。
  
  采用此方法不会造成数据或空间丢失。第一次同步后在云中设置用户的唯一标识符。所有后续同步均基于此标识符。
在使用Directory Connector的多个域部署中，要在更改域时更改用户电子邮件地址（考虑旧域为example1.com，新域为example2.com）：
1. 对于旧用户帐户(user1@example1.com)，请注意映射到 uid 云属性的Active Directory属性。您需要为新帐户使用相同的Active Directory值。对于此示例，我们将使用 user1@example1.com 作为在云中映射到 uid 的本地属性。
2. 在example1.com和example2.com域的Directory Connector上暂停同步。
3. 在example2.com中创建新用户帐户，并使用上面的相同属性。（例如，user1@example1.com）。
4. 在Directory Connector上，例如2.com恢复同步
  
  在继续之前，请验证user1@example2.com帐户是否同步到Control Hub。我们建议您指示用户在Webex应用程序中验证电子邮件更改，并保留所有数据（空间、消息、会议、文件等）。
  
  使用此方法不会丢失数据或空间，但在新用户帐户中，您必须确保从旧用户帐户中保留映射到云uid属性的Active Directory属性。如果您更改了Active Directory值，新帐户不会保留旧帐户中的数据。
5. 验证电子邮件地址更改且数据完好后，删除example1.com上的旧用户帐户，然后使用Directory Connector恢复为example1.com的同步功能。
  
  此时，您可以安全地更新新的Active Directory域中的user1@example2.com电子邮件地址。

目录连接器不限制电子邮件域更改。但是，当用户重新同步到云时，用户状态取决于您的组织中是否验证新域。如果组织中未验证域，则在完全同步后，用户的状态将更改为“待定”。有关更多信息，请参阅管理您的域。

如果您的组织不使用Directory Connector，您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址，了解用户可以遵循的步骤来更改电子邮件。

更改 Active Directory 域

您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。

1	设置新的 Active Directory (AD) 域。
2	禁用所有连接器上的同步。
3	卸载所有连接器。
4	打开案例以更改域名。在案例提交中，请确保请求删除组织中的域配置和所有同步属性。在打开案例以更改域之前，请确保未运行同步功能。在案例解决之前，不要更改Active Directory中的任何用户电子邮件地址。
5	解决案例后：在具有新Active Directory域的同一服务器上安装Directory Connector。配置Directory Connector，使其指向新的Active Directory域。如果Control Hub ( https://admin.webex.com)中有现有用户，请确保具有匹配电子邮件地址的用户也出现在Active Directory中。如果您的组织已禁用DirSync中的 `softDelete` 切换，则在Control Hub中但不在Active Directory中的用户电子邮件地址将面临删除风险。在进行实际同步之前，使用Directory Connector执行测试运行。

域声明

如果您为某个组织申请电子邮件域名，从而在付费客户组织中创建任何旁边的帐户，而不是免费消费者组织中，则会出现域索偿。您只能通过支持案例进行域申索（有关更多信息，请参阅下面的链接）。

如果Directory Connector处于活动状态并且该域已声明，则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户，受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。

相关信息

在目录同步组织中转换免费的Webex应用程序用户

您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序，则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户，请在打开Directory Connector之前将其迁移（转换）到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。

如果您未在激活前转换帐户，请关闭 Directory Connector 以对帐户进行转换。

如果启用目录同步时尝试转换用户，将显示错误消息无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。

一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中，而不是不匹配对象。如果要将这些用户迁移到您的组织，则需要将这些用户添加到您的AD列表。

如果您未添加这些用户，它们将在您旁边同步到云时全部删除。

1	从 Directory Connector 中禁用目录同步功能。
2	按照在Control Hub中转换无许可用户程序将用户从免费消费组织转换为企业组织。此步骤将用户添加到您的组织，帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源，目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前，确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。
3	在Directory Connector上，执行干运行同步。测试完成后，查看“添加对象”标签页。验证是否未删除您已转换的任何用户。您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中，则Directory Connector将区分大小写，并删除其检测到电子邮件地址不匹配的转换用户（例如，user1@example.com和User1@example.com）。如果已删除任何转换的用户，他们将失去所有Webex应用程序空间。
4	如果您确定下一次同步将不会删除任何帐户，请从 Directory Connector 重新启用目录同步。

如果您没有验证域，转换的用户帐户不会自动激活。例如，如果您打开自动分配许可证模板，然后在没有域验证的情况下打开Directory Connector，转换后的用户将在云后端处于非活动状态，直到他们确认其电子邮件地址。

侧边的Webex应用程序用户帐户

当您邀请其他用户到Webex应用程序中的空间时，如果受邀用户没有Webex应用程序帐户，则为他们创建帐户（“侧面”）。缺省情况下，以此方式创建的帐户将添加至自由消费者组织中。

如果要使用Directory Connector管理侧栏帐户，则必须转换帐户。

目录同步后更改Webex应用程序用户名格式

默认情况下，Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。

执行目录同步后，您可能会发现该用户名以格式显示。

如果Active Directory中的 displayName 属性以这种方式配置，此用户名可能会出现。当属性映射到云中的 displayName 时，名称会在Control Hub中以格式显示。

若要更改格式，请在 Directory Connector 属性映射屏幕中进行如下操作：将Active Directory属性 givenName sn （或 sn givenName）映射到Cisco云属性名称中的 displayName 。

或者，将属性 sn givenName 映射到 displayName：

如果您想将自己的自定义属性表达式映射到 displayName，也可以使用“自定义属性”选项。

例如，输入givenName + "" + sn （名字、空间、姓氏）作为表达式。将Active Directory中的两个属性映射到云中displayName 。

允许用户在Webex Meetings中更改显示名称

如果您想允许用户编辑首选的显示名称，您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称，而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。

1	从Directory Connector，单击配置，然后选择用户属性映射。
2	在 Cisco云属性名称下选择显示名称。
3	选择不同步此属性。

下一步

用户现在可以从Webex站点编辑显示名称。

Directory Connector 故障诊断

升级到最新软件版本

要保持部署合规并获取最新功能、功能、错误修复和安全增强功能，您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本，则可能会遇到问题，例如Directory Connector不再正常同步，或者处于不支持强制性 TLS 1.2要求的版本上。

Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。

虽然您可以手动安装连接器软件更新更新，但我们建议您遵循设置自动升级中的步骤，让应用程序自动管理升级。

1	单击Windows任务栏中的通知，或右击Windows任务栏中的Directory Connector图标，开始升级过程。
2	按说明完成升级操作。
3	重新启动连接器并使用管理员凭据登录。
4	在帮助 > 关于下验证软件的版本号。

下一步

要重新安装Directory Connector，您可以下载zip文件，然后按照本指南中的安装步骤操作。

配置 Directory Connector 的常规设置

使用此程序配置常规设置，例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中，其中还包含正在运行的任何其他连接器。

1	从Directory Connector转至配置，然后单击常规。
2	在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。
3	从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括：信息（默认）—显示信息消息，突出显示高层次应用程序的进度。要在所有完整同步后接收报告，请使用此设置。警告—显示潜在的有害情况。调试-显示对调试应用程序最有用的详细信息事件。如果您看见任何问题，请设置此日志级别，并在提交支持申请时将事件日志发送给支持人员。错误-显示可能仍允许应用程序继续运行的错误事件。选择此选项时，仅在报告错误时发送同步报告。这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误，则仅在同步报告中报告错误；如果不存在错误，则不会发送同步报告。将设置更改为Info，然后在完全同步后收到同步报告。（请记住，对于增量同步，没有报告错误时不会发送报告。）
4	选择首选域控制器以设置域控制器同步身份的顺序。将按照从上到下的顺序访问域控制器。如果顶级控制器不可用，则选择列表中的第二个控制器。如果列表中没有控制器，您可以访问主控制器。
5	如果要进行自动升级，请检查自动升级到新的Cisco Directory Connector版本。将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置，允许在软件可用时安静地安装自动升级到软件。
6	检查通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。如果您未通过 SSL检查LDAP，则Directory Connector将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。

配置连接器策略

您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。

例如，将 1 设置为删除阈值触发值。在执行完全或增量同步时，如果您要删除的用户数大于该设置，Directory Connector 会显示警告。如果您单击忽略阈值，可以成功开始完全或增量同步，但是在您下次运行该策略时将再次看到此忽略提示。

1	从Directory Connector，单击配置，然后选择策略。
2	如需添加阈值触发器，请勾选“启用删除阈值触发器”复选框。选择该选项后，删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时，同步失败。
3	输入您要设置的最大删除次数。缺省值为 20。我们建议您不要增大该缺省值。
4	单击应用。

设置连接器的安排

在Active Directory中设置同步定时。为了实现高可用性 (HA)，使用了故障转移。如果有一个连接器宕机，我们会在预定义的间隔过后，切换到另一个待机连接器。

1	从Directory Connector，单击配置，然后选择计划。
2	以分钟为单位指定增量同步间隔。缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。
3	如果您希望更改发送报告的频率，请更改发送报告间隔时间值。
4	勾选启用完全同步计划以指定想要执行完全同步的日期和时间。
5	以分钟为单位指定故障转移间隔。
6	单击应用。

多域情境

多个域基于域优先级。对于在不同域具有相同键值的对象，在同步后，来自高优先级域的数据将覆盖来自低优先级域的数据。

具有相同键值的对象会链接到数据库中的同一条记录。

“用户”的键值是电子邮件地址；“组”的键值是组名。

多域使用示例

此示例假设某组织有两个域 - example1.com 和 example2.com，前者优先级高于后者。

添加 user1（电子邮件：user@example1.com）到 example1.com 的 Active Directory。
添加 group1（组名：Test）到 example1.com 的 Active Directory。
添加 user2（电子邮件：user@example2.com）到 example2.com 的 Active Directory。
添加 group2（组名：Test）到 example2.com 的 Active Directory。

在 example1.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

如果您为 example1.com 执行全面或增量同步，user1 和 group1 会同步。而且，user2 和 group2 会被 user1 和 group1 的信息覆盖。

User1 作为数据库中的相同记录链接到 user2；group1 作为数据库中的相同记录链接到 group2。

在 example1.com 和 example2.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

请考虑这些步骤：

在 example1.com 的 Active Directory 上删除 user1 和 group1。
为 example1.com 执行全面或增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1，而 group2 没有链接到 group1。
为 example2.com 执行增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。
为 example2.com 执行全面同步。
结果：user2 和 group2 的信息在 https://admin.webex.com 中列出。

同步新的域并保留现有域

如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后，该连接器会与新的域绑定，而域 (A) 下的用户信息不受影响。

每个域必须自带有效的连接器。请考虑采用以下设置的两个域：带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA)；带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中，一个连接器处于活动状态，另一个处于待机状态 (HA)。该设计可保持域同步，因为有一个连接器始终处于活动状态。也就是说，cb1 是域 B 处于活动状态的连接器，因为域 A 已有处于活动状态的连接器（ca1 或 ca2）。

设置域优先级

使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域，等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织，此设置会很有帮助。

如果在 Directory Connector 中只列出了一个域，则不要使用此过程。如果您尝试进行此配置，连接器会显示一条消息，说明不需要域优先级。

开始之前

要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击设置域优先级。
3	高亮显示列表中的一个域，单击向上或向下更改此域的优先级，然后单击保存保存更改。各个域会按优先级自上而下排序。

切换域

使用此程序将Cisco目录连接器重新绑定到另一个域。

开始之前

在切换域之前，确保没有同步任务在运行。
要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击切换域。
3	阅读警告后，如果您理解此更改对部署的影响，而且您仍然确定要更改，请单击是。如果您切换域，则您将从当前Cisco目录连接器中注销，连接器中的其他域未注册，并且删除该计算机上的连接器信息。
4	重新登录Cisco目录连接器并重新绑定域。

关闭目录同步

如果您需要停止从Directory Connector进行同步，可以从Control Hub暂时将其关闭。

1

从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，然后选择一个：

单击更多，然后单击要关闭的连接器实例旁边的关闭。
单击关闭所有目录同步可停止所有连接器实例的同步。

2

阅读提示之后，单击关闭。

同步停止，直到从Directory Connector重新启用它。

删除用户属性映射

使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后，属性值将从云中删除，不再与Webex同步。然后可以手动编辑这些值。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 删除用户属性映射。
3	选择映射以从属性名称列表中删除。
4	在受影响的用户范围下，选择以下其中一项：仅使用目录连接器同步用户：映射将仅从先前同步的Directory Connector的用户中删除。所有用户：映射将从所有Active Directory用户中删除。
5	单击应用。

管理档案照片

使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 管理配置文件图片。
3	在操作下，选择以下其中一项：删除空头头像源的个人资料图片：如果Active Directory个人资料图片为空，此选项可确保用户个人资料图片从云中删除，即使用户之前已在Webex中上传了自己的图片。从同步源重新上传以覆盖缓存的图片：目录连接器使用与之前相同的Active Directory来更新所有用户的配置文件图片。这可以确保Active Directory中的个人资料图片与云之间没有不匹配。
4	单击 Apply（应用）。

卸载并停用目录连接器

卸载 Directory Connector 实例后，必须取消注册它。如果面临以下任何情况，都应该彻底删除 Directory Connector：

您不想再使用目录同步。
您不想使用多个 Directory Connector（高可用性）中的某一个。
您想要更改域并安装其他连接器。

开始之前

您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例，请禁用同步。
卸载Directory Connector之前，保存并关闭任何重要工作。

1	在您的 Windows 计算机上，转至“控制面板”，然后单击程序和功能。
2	从程序列表中，单击目录连接器，选择卸载，然后按照提示操作。您可能需要重启系统来完成卸载。
3	从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，单击更多，然后单击要卸载的目录连接器实例旁边的停用。
4	阅读提示之后，单击停用。用户帐户将不会再同步，除非在高可用性 (HA) 部署中还有其他 Directory Connector。

运行诊断工具

您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。

如果同步工作不正确，您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接，因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误，您可以发送详细的日志结果以支持。

要为Active Directory域服务运行测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-DS 选项卡，输入您的域，然后单击加载域控制器。
2. 从列表中选择一个域控制器。
  
  以后不要更改条目，因为增量搜索必须始终在同一域控制器上运行。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户和组对象和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行Active Directory轻量级目录服务的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-LDS 选项卡，输入主机和端口，然后单击加载分区。
2. 从列表中选择分区，然后单击连接。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户、用户代理和用户代理完整和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行轻量级目录访问协议(LDAP)的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击LDAP RAW 选项卡，输入根路径，过滤，从属性中选择一个条目，然后单击加载分区。
2. 根据需要检查以下选项：
  - ObjectSecurity—如果存在此选项，呼叫方不需要任何权利，只能看到呼叫方可访问的对象和属性。如果此选项不存在，呼叫者有权复制更改。
  - 家长至上—确保所有孩子的家长都先到孩子面前。
3. 选择 ExtendedDN 的值。
  
  此值用于扩展的LDAP搜索，以请求对象突出名称的扩展形式。
4. 选择ReferralChasing值。
  
  当域控制器从查询中返回转介时，将启动转介追踪——例如，对于可能位于命名空间之外的查询结果的详细信息（例如其他域或森林中的群组成员）。
5. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
6. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。

解决Ciso Directory Connector中的问题

目录连接器的故障排除和修复

您可能在Directory Connector中遇到错误消息或其他问题。此外，在Directory Connector同步用户信息后，该连接器可能会向您发送一封电子邮件报告，列出同步存在的任何问题。在联系支持人员之前，请参考以下章节，了解可能出现的问题、可能的原因和建议解决方案。

安装

Directory Connector 停止运行

您收到警告电子邮件，通知您您的Directory Connector无法工作。

目录连接器可能未正确安装。
目录连接器可能未运行。
网络可能不可用。

请尝试以下操作：

打开控制面板 > 程序和功能。找到 Directory Connector。如果没有，请从Control Hub下载最新版本并安装。
打开服务并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止，请单击右键并选择“启动”以重启该服务。
确保安装Directory Connector的服务器能够访问Internet。

重新安装错误

问题—如果您在卸载旧连接器后立即安装新连接器，可能会看到错误消息。

可能原因—在Windows Server 2012中，卸载客户端需要时间从服务列表中删除服务帐户。

解决方案—经过一段时间后，请再次尝试安装。

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

请执行以下步骤以在用户级别更改策略：

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

在运行 gpupdate /force、重新启动机器（用于机器更改）或再次输入用户符号（用于用户更改）后，更改将生效。

无法注册Cisco DirSync服务连接器

问题

登录失败，并显示此消息：“无法注册Cisco DirSync服务连接器。”

解决方案

安装Directory Connector的Windows系统必须是Active Directory的成员。

未显示登录页面

问题

您打开目录连接器，登录页未显示。

解决方案

请尝试以下步骤：

在Internet Explorer中，转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器（如Chrome和Firefox）中尝试该链接。
如果Internet Explorer无法访问该链接，但其他浏览器可以，请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。（使用启用Internet Explorer中的TLS 程序。）

显示登录提示

问题

出现提示提示您输入用户名和密码以通过身份验证。

可能原因

Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败，会弹出对话框以请求身份验证用户名和密码。

解决方案

当您看到登录弹出窗口时，您需要提供具有正确身份验证的有效帐户，以保证传递安全。

无法连接远程服务器

问题

在正常操作期间，出现错误消息：“无法连接到远程服务器”。

可能原因

您可能有需要解决的代理问题。

解决方案

有关更多故障排除信息，请参阅故障排除服务帐户登录问题。

无法注册连接器

问题

您将看到错误消息“无法注册连接器。发生了一般例外。”

可能原因

在大多数情况下，问题在于Directory Connector没有连接到LDAP根上下文的特权。

解决方案

请尝试以下操作：

运行命令提示符(cmd)，然后输入 ldp.exe。
单击连接 > 绑定，选择绑定为当前登录用户，然后单击确定。
单击查看 > 树，输入DC=arbonneintl，DC=ad 作为BaseDN，然后单击确定。
如果问题继续，打开支持案例。

同步

头像未同步

问题

Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。

可能原因

如果您重复使用现有的头像服务器，并且用户头像已经同步，则本地缓存将捕获它们，并避免再次重订以保存带宽。

解决方案

按照以下步骤删除本地缓存：

转至C：\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
删除DirSyncPluginAvatar.dll-cache.bin。
从Cisco目录连接器重新启动头像同步。

用户电子邮件帐户冲突

问题

同步结果可能会显示有冲突的用户电子邮件帐户。

如果用户尝试了Webex应用程序的免费版本，他们的电子邮件地址将位于免费消费者组织中。
如果用户电子邮件在另一个组织中已同步。
如果用户电子邮件存在于属于组织的多个域中。

解决方案

请尝试以下操作：

如果您要向用户索要权，请按照以下步骤操作：
1. 确保您已在 Control Hub中验证该域。
2. 暂时禁用Cisco目录连接器。
3. 使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关详细信息，请参阅向您的组织索要用户（转换用户）。
4. 在Cisco Directory Connector中运行干燥，然后重新启用目录同步
对于最后一个案例，请复选您的Active Directory源中的用户数据。

已转换用户标记为非活动

问题

在您的目录同步环境中，您将免费（消费者组织）用户转换为企业组织，但转换用户无法登录Webex应用程序。

可能原因

当自由用户转换为企业组织时，该用户将被标记为非活动状态为30天，作为安全合规措施。在此期间内，用户无法登录Webex应用程序，并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。

解决方案

如果您不想删除该用户帐户，必须采取行动。要解决此问题，请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后，从Cisco Directory连接器执行同步。然后，用户可以再次登录Webex应用程序，帐户不会被删除。

增量同步失败

问题

增量同步失败。

在以下条件下可能会在Windows Server 2008 R2上出现此问题：

您支持增量值更新。
您使用的筛选器引用链接值属性。
该属性的结果值自上次进行完全同步以来已更新。

解决方案

Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。

属性的值无效

问题

对于 [user dn (distinguished name)]，属性 [attribute name] 有以下无效值 [attribute value]。

可能原因

对于CN=b，OU=Employees，OU=C Users，DC=c，DC=com，属性[电话号码]具有以下无效值：+。此属性必须包含至少一个数字。

解决方案

此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。

要删除匹配的用户

问题

匹配的用户将被标记为要删除。

当执行干运行同步以检查Active Directory和云之间的数据时，您可能会在两者中看到相同的电子邮件地址。但是，用户被标记为要删除的对象。

解决方案

选择适当的修复：

如果可以在之后删除用户并重新执行许可证，您可以使用Directory Connector进行修复。执行同步以删除用户，然后执行其他同步以将用户从本地AD同步到云。
如果您无法删除并重新创建用户帐户，请在支持下打开案例。

缺少属性

问题

添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值，否则不会在Control Hub中创建该条目。

可能原因

必需属性的 email address 缺失。添加内部条目时[CN=Sales User，OU=Engineers，OU=K，DC=k，DC=local]，除非所有必需属性都具有值，否则不会在Control Hub中创建条目。

解决方案

用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。

嵌套组无法同步

问题

嵌套的Active Directory组中的用户未正确与云同步。

可能原因

使用不受支持的子组和父组的筛选器。例如：(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)

解决方案

必须重新配置同步组的过滤器。例如：|(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)(memberof=CN=testSubGroup，CN=Users，DC=rktest2008，DC=org)

用户命名冲突

问题

对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言，[用户电子邮件地址]，以及用户类型[user_type]。

可能原因

已在Control Hub中存在该电子邮件地址的用户。

解决方案

在Active Directory中创建用户，其电子邮件地址与您通过Control Hub注册的帐户相同。

Control Hub

Control Hub中缺少用户列表

问题

如果您拥有超过1000名同步用户的Webex组织，则可能无法在Control Hub中看到用户列表。

解决方案

您可以使用搜索功能查找用户帐户。在Control Hub中，转至用户，单击搜索，然后输入搜索条件以查找特定用户。

组不会同步到Control Hub

问题

目录组中的用户无法正确同步到Control Hub。

可能原因

在Active Directory中，该组未标记为 isCriticalSystemObject 。

解决方案

确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。

启用 Directory Connector 故障诊断

您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息，并将其保存至文件。

以下日志文件： \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	运行 `services.msc` 文件，将Directory Connector服务的正在运行的帐户从本地系统更改为有权访问AD DS或AD LDS的域帐户。
2	重启服务。请参阅如何启动服务获取指导。
3	在目录连接器中，单击仪表板。
4	转至操作，然后单击实用程序 > 故障排除。
5	启用故障诊断后，重复执行导致错误的操作，这样将捕获流量数据，以便进行检查。
6	检查日志文件：如果文件空白，请确保帐户有权访问 AD DS 或 AD LDS。日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。
7	如有必要，向支持人员发送日志文件以获取协助。
8	诊断完成后，请禁用故障诊断功能。

相关信息

启动事件查看器

若要查看完全或增量同步期间发生的事件，请启动“事件查看器”。它显示管理事件和错误日志的摘要。

1	从Directory Connector转至仪表板，然后单击操作 > 启动事件查看器。 “事件属性”对话将显示同步事件详细信息与错误详细信息。
2	从事件查看器，转至应用程序和服务日志 > Cisco Directory Connector。
3	在操作下，单击保存所有事件为将所有日志导出为单个事件文件(*。evtx)或其他格式（如xml或csv）。

下一步

如果您需要打开案例，请联系支持人员，描述连接器的问题，然后将“事件”文件附加到案例中。

事件日志会捕捉用户操作。如需管理网络流量的帮助，请在连接器上启用故障排除。

在Internet Explorer中启用TLS

如果您切换了单点登录(SSO)提供商，您可能会看到来自Cisco目录连接器的以下错误消息：

登录到服务时出错
此页脚本中出现错误

如果您看到这些错误，必须在浏览器中启用TLS设置。

1	打开Internet Explorer，然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器，然后再次打开它
2	单击互联网选项，转至高级，滚动至安全。
3	检查使用TLS 1.1 和使用TLS 1.2 复选框，然后单击确定。
4	重新启动系统以便更改生效。

服务帐户登录问题故障诊断

如果您无法登录Cisco目录连接器或无法运行同步，请在联系支持人员之前尝试解决该问题。

1

尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。

2

根据结果选择一项：

如果您无法从浏览器访问该链接，请检查您的网络设置。如果您的环境使用代理，请检查代理设置。
如果您可以通过浏览器访问链接，但无法打开Cisco目录连接器（无法打开连接器并弹出带有407的错误消息），单击此处以获取最新版本的Cisco目录连接器。
如果您可以从浏览器访问链接，但无法从Cisco目录连接器运行同步，请将服务登录帐户更改为域管理员。

检查您用于登录Windows系统的帐户是否与您在“Cisco DirSync服务”中设置的帐户相同。如果他们是2个不同的帐户，请确保两个帐户都可以访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。如果您的环境使用代理，请确保两个帐户在Internet Explorer中配置为代理，并且可以成功访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL 。

3

至少，确保Cisco DirSync服务（可在Windows服务中找到）配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下，该服务利用Windows登录帐户凭据和身份验证。

相关信息

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

Cisco Directory连接器概述

目录连接器概述

Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件，并将其安装到本地计算机上。

使用Directory Connector，您可以在Active Directory中维护您的用户帐户和数据，因此Active Directory成为唯一的真相来源。当您在内部进行更改时，它会复制到云。

请参阅表中所有的功能、描述和优势：

功能	描述和优势
简单易用的控制板	该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。
在同步到云之前进行干燥	在云中实施这些更改之前，先对目录进行干燥。之后，运行报告以查看要执行的变更是否与预期一致。
完全同步和增量同步	同步整个目录。或者，仅同步增量变更，从而提高处理能力并缩短同步时间。
同步多个域（单森林或多森林）	Directory Connector支持单个森林或多个森林下的多个域（无需使用AD LDS）。对于拥有多个Active Directory域的企业，您可以为每个域安装Directory Connector，将每个域绑定到您的组织，然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态，允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。
按计划同步	按天、小时和分钟设置同步安排。
轻量级目录访问协议 (LDAP) 过滤器	定义 LDAP 搜索条件并实现高效的导入。
活动目录属性映射	将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性，并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据，例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据（职务、部门、经理等）。
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录	如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务，或者您拥有内部Room设备，此功能可让用户从Cisco Webex Calling（云PSTN）电话或Room资源搜索企业联系人目录。会议室资源同步协作室信息之后，具有已配置、已映射 SIP 地址的本地协作室设备将作为可搜索条目显示在云注册协作室设备（例如 Cisco Webex Room 设备或 Cisco Webex Board）中。当用户在Cisco Webex Room设备或Cisco Webex板上进行搜索时，您将看到使用SIP地址配置的同步房间条目。当他们将从Webex设备拨打到该条目上时，将将呼叫放置到为房间配置的SIP地址。正在呼叫除了Webex App联系人之外，用户还可以呼叫企业联系人。通过Directory Connector，企业用户及其电话号码会被添加到您的Webex组织。他们不需要为Webex服务获得许可才能使用此功能。未为Webex授权的用户将出现在从Cisco Webex呼叫用户电话执行的目录搜索中，只要通过Directory Connector与Webex同步的URI或电话号码即可。对于这两种用户，呼叫功能的表现是相同的。此功能部件还为只有电话号码的联系人提供了编辑拨号功能。在联系人搜索结果中：如果联系人具有可调用URI（Webex SIP地址）和电话号码，将显示与联系人关联的URI。如果联系人没有可拨号的 URI，但却有电话号码，则显示电话号码。还会显示一个编辑拨号软键。如果这两者联系人都没有，则该联系人不会显示在目录中。
事件查看器	使用事件查看器可确定是否存在同步问题。
诊断工具和故障排除	您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确，您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接，以便在联系支持人员之前自行诊断错误。在Directory Connector中启用故障排除后，将编写日志，可发送给技术支持。
自动升级	安装 Directory Connector 后，您会在软件有新版本时收到通知。您可以设置自动升级，以便在发布新版本时始终使用最新版本的软件。
高可用性	配置多个连接器，以便在主连接器或机器主机出现宕机情况时提供备用。

Directory Connector 分为以下三个部分：

Control Hub 是一个单一界面，可让您管理Webex组织的所有方面：如果您希望用户通过企业身份提供商进行身份验证，并且不想为Webex应用程序发送电子邮件邀请，则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域，您可以为要同步的每个域安装一个软件实例。使用该软件，您可以运行同步以将Active Directory用户帐户带入Webex，查看和监控同步状态，并配置Directory Connector服务。
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。

请参考此图了解Directory Connector架构：

为Directory Connector准备您的环境

目录连接器的要求

Windows和Active Directory要求

您可以在这些受支持的Windows服务器上安装Directory Connector：

Windows Server 2022
Windows Server 2019
Windows Server 2016

要解决Cookie问题，我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。

以下的Active Directory服务支持Directory Connector：

2016年活动目录

（在Windows Server 2019上使用最新版本的Active Directory时，支持目录连接器）
活动目录2012
活动目录2008 R2
活动目录2008

请注意以下附加要求：

目录连接器需要TLS1.2。您必须安装以下内容：
- .NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题，请使用使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
- .NET Framework v.4.5（TLS1.2必需）
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。（请参阅什么是 Active Directory 功能级别？获取更多信息。）

硬件要求

您必须在符合以下最低硬件要求的计算机上安装Directory Connector：

8 GB RAM
50 GB 存储
CPU 没有最低要求

网络要求

如果您的网络是防火墙的幕后，请确保您的系统有HTTPS（端口443）访问互联网。

Webex组织要求

要从Control Hub访问Directory Connector软件，您需要试用Webex组织或任何付费订阅。
（可选）如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态，我们建议您执行以下操作：
- 添加、验证并选择声称包含要同步到云的用户电子邮件地址的域。
- 将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成。
- 抑制自动电子邮件邀请，这样新用户就不会收到自动电子邮件邀请，您可以进行自己的电子邮件活动。（此功能需要SSO集成。）

有关详细信息，请参阅控制中心中的用户状态和操作。

安装要求

对于多个域环境（单森林或多森林），必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保您有受支持的独立 Windows Server 来安装 Directory Connector，以进行域 (B) 同步。
要登录连接器，我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。

此本地用户必须拥有该Windows计算机上的权限，才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。（此信息也适用于虚拟机登录。）
登录连接器时，登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下，连接器使用本地系统帐户访问Active Directory。但是，您可以使用Windows服务配置其他帐户以访问Active Directory。（此信息也适用于虚拟机登录。）
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用：在Windows注册表中检查SafeDllSearchMode。
如果您在单个森林上使用多个AD LDS域，我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。

多个域要求

在 Cisco目录连接器部署任务流中跟踪任务之前，如果您要将多个域的Active Directory信息同步到云中，请记住以下要求和建议：

每个域需要单独的Directory Connector实例。
Directory Connector软件必须运行在其将同步的同一域上的主机。
我们建议您在Control Hub中验证或声明您的域。（参见添加、验证和申请域。）
如果要同步超过50个域，您必须打开标签才能让您的组织移动到大型组织列表。
如果需要，您可以与用户帐户同步房间资源信息。（请参阅将内部会议室信息同步到Webex云。）

自动许可证分配活动目录组建议

Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。

Active Directory中有两种类型的组：

分发组—用于创建电子邮件分发列表。
安全组-用于分配共享资源的权限。

在Active Directory中创建组时，请考虑以下指导原则：

为每个角色、部门或服务创建全球组（例如销售、营销、经理、会计师、Webex授权等）。
在整个组织中使用标准命名规范，以便轻松识别有关组的重要信息。组名称可以包含组的详细信息，例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如，组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
以易于理解的方式组织群组，例如按地域或管理层次。使用组描述来完整描述组的目的。
在将用户添加到新配置的组之前，请为这些组在Control Hub中定义自动许可证组模板。有关详细信息，请参阅设置自动许可证分配模板。

调整尺寸信息

Directory Connector是本地Active Directory和Webex云之间的桥梁。因此，连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定，而不是连接器本身。

一些因素会影响同步的速度：

Active Directory对象的总数。（5,000个用户同步工作所需的时间不超过50,000。）
网络速度和带宽。
系统工作负载和规格。

如果您正在同步超过50,000个用户，我们强烈建议您使用第二个连接器进行故障转移和冗余。

由于同步涉及多个因素，并且每个部署取决于上述因素，因此我们无法提供对象同步所需时间的特定时间值。

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

WebEx 代理集成

如果您的环境中已启用 Web 代理验证，则您仍然可用使用 Directory Connector。

如果您的组织使用透明Web代理，则不支持身份验证。连接器已成功连接和同步用户。

您可以选择下列方法之一：

通过Internet Explorer显式Web代理（连接器继承了Web代理设置）
通过。pac文件显式网络代理（连接器继承企业特定的代理设置）
与连接器配合的透明代理，无需任何更改

通过浏览器使用 Web 代理

您可以通过Internet Explorer设置Directory Connector以使用Web代理。

如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行，那么您还需要用此帐户登录并配置 Web 代理。

1	在 Internet Explorer 中，转至 Internet 选项，单击连接，然后选择局域网 (LAN) 设置。
2	指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。
3	如果环境使用代理验证，请将这些 URL 添加到允许列表： cloudconnector.webex.com 用于同步。 idbroker.webex.com 进行身份验证。 idbroker-static.webex.com 用于提供静态资源，如font、js组件等。您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。
4	如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表： .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org 有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

通过 PAC 文件配置 Web 代理

您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。

1

要使连接器成功连接并同步用户信息到Webex云，请确保安装连接器的主机。pac文件配置中已禁用 cloudconnector.webex.com 的代理身份验证。

2

如果环境使用代理验证，请将这些 URL 添加到允许列表：

cloudconnector.webex.com 用于同步。
idbroker.webex.com 进行身份验证。
idbroker-static.webex.com 用于提供静态资源，如font、js组件等。

您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。

如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。

3

如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表：

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

NTLM代理

Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证，并确保其安全。

NTLM设计

在大多数情况下，用户希望通过客户端PC访问其他工作站资源，这很难以安全的方式进行。

一般来说，NTLM的技术设计基于挑战和响应机制：

用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同，密码的哈希值在本地存储。当用户通过密码登录客户端时，Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同，则验证将通过。

当用户想要访问其他服务器中的任何资源时，客户端会向服务器发送一个请求，帐户名称为纯文本。
当服务器收到请求时，服务器会生成16位随机密钥。关键称为Challenge（或Nonce）。在服务器返回客户端之前，挑战将存储在服务器中。然后，服务器将挑战以纯文本形式发送给客户端。
客户端收到服务器发送的挑战后，客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后，该值将返回到服务器。
当服务器从客户端收到加密值时，服务器将其发送到域控制器进行验证。请求包括：帐户名称、客户端发送的加密挑战，以及原始的简单挑战。
域控制器可以根据帐户名称检索密码的哈希值。然后，域控制器可以对原始挑战进行加密。然后，域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同，验证将成功。

Windows在操作系统中内置了安全验证，使应用程序更容易支持安全验证。因此，您无需完成进一步的配置。

配置透明代理

在这种情境下，浏览器不会知道透明 Web 代理正在拦截 http 请求（端口 80/端口 443），因此不需要客户端配置。

1	部署透明代理，以便连接器可以连接和同步用户。
2	确认代理已成功—启动连接器时，您会看到预期的浏览器身份验证弹出窗口。

设置代理身份验证

通过创建访问控制列表，将URL cloudconnector.webex.com 添加到允许列表中。

在企业防火墙服务器上：

1	如果尚未启用 DNS 查找，请启用。
2	确定此连接的估计带宽（连接器约为2 mb/s或以下）。这不是必须执行的步骤。
3	创建访问控制列表以应用于连接器主机，并指定 `cloudconnector.webex.com` 作为要添加到允许列表的终端。例如： `access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https`
4	将此ACL应用于相应的防火墙接口，该接口仅适用于此单个连接器主持人。
5	通过配置相应的隐式拒绝声明，确保企业中的其他主机仍需使用 Web 代理。

部署目录连接器

Cisco目录连接器部署任务流程

开始之前

1个	安装目录连接器 Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。要重新安装Directory Connector，请始终转至Control Hub (https：//admin.webex.com)获取软件的最新版本，以便您使用最新的功能和故障修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
2个	登录到目录连接器使用您的Webex管理员凭据登录，并执行初始设置。
3个	设置自动升级将Directory Connector软件更新到最新版本始终非常重要。我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。
4个	选择要同步的Active Directory对象默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
5个	映射用户属性您可以将本地Active Directory中的属性映射到云中的相应属性。唯一必填字段是*uid。
6个	使用以下程序之一同步目录头像：将Active Directory属性中的目录头像同步到云将目录头像从资源服务器同步到云您可以将用户的头像同步到云，以便每个用户登录应用程序时显示他们的头像。您可以从Active Directory属性或资源服务器同步化头像。
7	将内部会议室信息同步到Webex云使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备（例如Webex Room设备或Cisco Webex Board）上的可搜索条目
8个	要从Active Directory向Control Hub提供用户，请执行以下步骤：在您的Active Directory用户上执行干线同步将Active Directory用户完全同步到云向Control Hub中的Directory同步用户分配Webex服务按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

安装目录连接器

Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。

您必须为要同步的每个Active Directory域安装一个连接器。单个目录连接器实例只能服务单个域。请参阅下图了解多个域同步的流程：

开始之前

如果您通过代理服务器进行身份验证，请确保您拥有代理凭据：

对于代理基本身份验证，安装连接器的实例后，您将输入用户名和密码。基本身份验证也需要Internet Explorer代理配置；请参阅通过浏览器使用Web代理
对于代理NTLM，第一次打开连接器时可能会看到错误。请参阅通过浏览器使用Web代理。

1个	在控制中心中，转至用户 > 管理用户 > 启用目录同步，然后选择下一步。
2个	单击下载和安装链接，将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。您可以直接从此链接获取。zip文件，但必须对Control Hub组织的完整管理访问权限才能使用此软件。对于新安装，请获取软件的最新版本，以便使用最新的功能和bug修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
3个	在VMware或Windows服务器上，解压缩并在设置文件夹中运行。msi文件，以启动设置向导。
4个	单击下一步，勾选框以接受许可协议，然后单击下一步，直到您看到帐户类型屏幕。
5个	选择要使用的服务帐户类型，并使用管理员帐户执行安装：本地系统—默认选项。如果通过Internet Explorer配置了代理，则可以使用此选项。域帐户—如果计算机是域的一部分，请使用此选项。目录连接器必须与网络服务交互，才能访问域资源。您可以输入帐户信息并单击确定。输入用户名时，请使用`{domain}\{user_name}格式` 对于与AD （NTLMv2或Kerberos）集成的代理，您必须使用域帐户选项。用于运行Directory Connector服务的帐户必须具有足够的权限传递代理和访问AD。要避免错误，请确保具有以下权限：服务器是域的一部分域帐户可以访问内部AD数据和头像数据。帐户还必须具有本地管理员角色，因为它必须访问 `C：\Program Files` 下的访问文件。对于虚拟机登录，管理员帐户权限至少必须能够读取域信息。
6个	单击安装。网络测试运行后，如果出现提示，输入您的代理基本凭证，单击确定，然后单击完成。

下一步该做什么

我们建议您在安装后重新启动服务器。当数据未发布时，干运行报告无法显示正确结果。重启计算机时，所有数据都会刷新以在报告中显示准确结果。

登录到目录连接器

开始之前

确保您拥有代理凭据。

对于Proxy basic-auth，第一次打开连接器后将输入用户名和密码。
对于代理NTLM，打开Internet Explorer，单击齿轮图标，转至 Internet选项>连接> LAN设置，确保已添加代理服务器信息，然后单击确定。请参阅通过浏览器使用Web代理。

1个	打开连接器，如果看到提示，则将 `https：//idbroker.webex.com` 添加到您的受信任站点列表。
2个	如果出现提示，请使用代理身份验证凭据登录，然后使用您的管理员帐户登录Webex，然后单击下一步。
3个	确认您的组织和域。如果您选择 AD DS，请检查 SSL上的LDAP 以使用安全LDAP (LDAPS)作为连接协议，选择要同步的域，然后单击确认。如果您未通过 SSL检查LDAP，DirSync将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。 LDAPS通信经过加密且安全。如果您选择AD LDS，输入主机、域和端口，然后单击刷新以加载所有应用程序分区。然后从下拉列表中选择分区，然后单击确认。有关更多信息，请参阅AD LDS部分。在 CloudConnectorCommon.dll 配置文件中，请确保将 ADAuthLevel 设置添加到 appSetting 节点。值可以是1、2或3。请参阅来自Microsoft的这篇文章，了解有关AuthenticationTypes的更多信息。以下是值为1的设置示例： `<appSettings> <add key=”ConnectorServiceURI” value="https：//cloudconnector.webex.com/SynchronizationService-v1.0/？orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4个	出现确认组织屏幕后，单击确认。如果您已绑定AD DS/AD LDS，将显示确认组织屏幕。
5个	单击确认。
6个	根据要绑定到Directory Connector的Active Directory域数，选择一个：如果您只有一个域名为 AD LDS，请绑定到现有的AD LDS源，然后单击确认。如果您有一个名为 AD DS 的单一域，可以绑定到现有域或新域。如果您选择绑定至新域，请单击下一步。由于现有源类型为AD DS，因此无法为新绑定选择 AD LDS。如果您有多个域，请从列表中选择现有域或绑定到新域，然后单击下一步。由于您有多个域，现有源类型必须为 AD DS。如果您选择绑定至新域并单击下一步，则无法为新绑定选择AD LDS。

下一步该做什么

登录后，系统提示您执行干运行同步。

目录连接器仪表板

当您首次登录Directory Connector时，会显示仪表板。在这里，您可以查看所有同步活动的摘要、查看云统计、执行干运行同步、启动完整或增量同步并启动事件视图以查看错误信息。

如果您的会话超时，请重新登录。

您可以从“操作”工具栏或“操作”菜单轻松运行这些任务。

表1。仪表板组件
组件	描述
当前同步	显示当前正在进行的同步的状态信息。当未运行同步时，状态显示处于空闲状态。
下一次同步	显示下一个已安排的完整和增量同步。如果未设置计划，将显示未计划。
上次同步	显示最近两次已执行同步的状态。
当前同步状态	显示同步的总体状态。
连接器	显示可用于云的当前本地连接器。
云统计	显示同步的总体状态。
同步计划	显示增量同步和完全同步的同步计划。
配置摘要	列出配置中更改的设置。例如，摘要可能包括以下内容：所有对象都将同步所有用户都将同步已删除的阈值已禁用。

表2。操作工具栏
行动	描述
开始增量同步	手动启动增量同步暂停或禁用同步时，如果未完成完全同步或同步正在进行中，则此操作将禁用。
同步干运行	执行干运行同步。
启动活动查看器	启动Microsoft Event Viewer。
刷新	刷新Cisco目录连接器仪表板

表3. Menubar操作
行动	描述
立即同步	立即开始完全同步。
同步模式	选择增量或完全同步模式。
重置连接器秘密	在Cisco目录连接器和连接器服务之间建立对话。选择此操作将重置云中的秘密，然后在本地保存秘密。
干运行	对同步过程执行测试。在进行完全同步之前，必须先进行干运行。
故障排除	打开/关闭故障排除。
刷新	刷新Cisco目录连接器主屏幕。
退出	退出Cisco目录连接器。

表4。关键组合
关键组合	行动
Alt +A	显示操作菜单
`Alt +A + S`	现在同步
`Alt +A + R`	重置连接器秘密
`Alt +A + D`	干运行
`Alt +A + S + I`	增量同步
`Alt +A + S + F`	完全同步
`Alt + H`	显示帮助菜单
`Alt + H + H`	帮助
`Alt + H + A`	关于
`Alt + H + F`	常见问题

设置自动升级

1个	从Directory Connector，转至配置 > 通用，然后检查自动升级到新的Cisco Directory Connector版本。
2个	单击应用保存更改。

新版本的连接器可用时将自动安装。

您可以手动管理升级（如果您愿意）。有关更多信息，请参阅升级至最新软件版本。

选择要同步的Active Directory对象

默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。

自动许可证分配组

Control Hub允许您按组管理许可证分配。您可以创建许可证模板，并将其映射到同步到云的Active Directory组。在用户创建时，Webex检查该新用户的用户会员身份和自动许可证模板映射。

我们建议您使用LDAP过滤器仅将相关组同步到云。例如，您可以将过滤器设置为：

(&（cn=示例）（objectclass=组）)*

此过滤器将以Example开头的基础DN中的所有组同步。未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。

目录连接器中的对象选择屏幕

混合数据安全部署组

在Directory Connector中，如果您使用混合数据安全为试点用户配置试用组，则必须检查组。请参阅混合数据安全部署指南获得指导。此目录连接器设置不会影响云中的其他用户同步。

开始之前

1个	从目录连接器转至配置，然后单击对象选择。
2个	在对象类型部分中，检查用户，并考虑限制用户可搜索容器的数量。例如，如果您想仅同步特定组中的用户，必须在用户LDAP过滤器字段中输入LDAP过滤器。如果要同步示例管理器组中的用户，请使用以下过滤器： `(&(sAMAccountName=*)(memberOf=cn=Example-manager，ou=Example，ou=Security Group，dc=COMPANY))`
3个	检查识别房间以将房间数据与用户数据分开。要设置其他属性，将用户数据识别为房间数据，请单击自定义。如果要将内部会议室信息从Active Directory同步到Webex云时，请使用此设置。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。有关详细信息，请参阅将内部会议室信息同步到Webex云。
4个	要将Active Directory用户组同步到云，请检查组。不要向“组”字段添加用户同步LDAP筛选器。您仅应使用“组”字段将组数据本身同步到云。默认情况下，组不会为新客户同步。必须启用组同步。还必须同步安全组。
5个	如果要将用户的联系信息同步到云，请检查联系人。目录连接器仅管理由连接器同步的联系人。如果Control Hub中已经有联系人，则同步不会删除联系人。如果从同步范围中删除联系人，则在Control Hub中也会删除用户的联系信息。
6个	配置 LDAP 过滤器。您可以通过提供有效的LDAP过滤器来添加扩展过滤器。有关配置LDAP过滤器的更多信息，请参阅本文。
7	单击选择以查看Active Directory树结构，指定要同步的On Premises Base DN。您可以在此处选择或取消选择要搜索的容器。
8个	检查要为此配置添加的对象，然后单击选择。您可以选择要用于同步的单个容器或母容器。选择父容器，以启用所有子容器。如果您选择子容器，母容器会显示灰色复选标记，表示孩子已检查。然后，您可以单击选择以接受选中的Active Directory容器。如果您的组织将所有用户和组放置在“用户”容器中，则无需搜索其他容器。如果您的组织被分为组织单位，请确保选择OU。
9	单击应用。选择一个选项：应用配置更改干运行取消有关干运行的信息，请参阅在Active Directory用户上执行干运行同步。对于组同步，您必须执行完整同步：将Active Directory用户完全同步到云中。

映射用户属性

您可以将本地Active Directory中的属性映射到云中的相应属性。唯一的必填字段是*uid，这是云身份服务中每个用户帐户的唯一标识符。

您可以选择要映射到云的Active Directory属性—例如，您可以映射到Active Directory中的 firstName lastName，或将自定义属性表达式映射到云中的 displayName。

Active Directory中的帐户必须有一个电子邮件地址；uid映射默认为邮件的广告字段（不是 sAMAccountName）。

如果您选择使用首选语言来自Active Directory，则Active Directory是唯一的真理来源：用户将无法在Webex设置中更改其语言设置，管理员也无法在Control Hub中更改设置。

1个	从Directory Connector，单击配置，然后选择用户属性映射。此页显示Active Directory（左侧）和Webex云（右侧）的属性名称。所有必需属性都标有红色星号。
2个	向下滚动到 Active Directory属性名称的底部，然后选择其中一个Active Directory属性以映射到云属性uid：邮件—大多数部署用于电子邮件格式。 userPrincipalName—如果您的邮件属性在Active Directory中用于其他用途，则可选择此选项。此属性必须为电子邮件格式。您可以将其他Active Directory属性映射到uid，但我们建议您使用上述指南中的邮件或userPrincipalName。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。要查看Active Directory中的哪些属性与云中的对应关系，请参阅在Directory Connector中映射Active Directory属性。要使同步工作，您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口，以提醒您，如果您没有选择推荐的属性。
3个	如果预定义的Active Directory属性不适用于部署，请单击属性下拉菜单，滚动到底部，然后选择自定义属性以打开一个窗口来定义属性表达式。单击帮助以获取有关表达式的更多信息，并查看表达式如何工作的示例。您还可以查看自定义属性的表达式以了解更多信息。在此示例中，我们将将Active Directory属性 `givenName` 和 `Sn` 映射到云属性 `displayName`：将属性表达式定义为givenName + "" + Sn（引号为额外空间），然后提供现有的用户电子邮件以进行验证。单击验证，查看结果是否符合您的期望。成功结果如下：如果结果符合您的预期，请单击确定保存新的自定义属性。稍后，如果您要更改 displayName，可以输入新的属性表达式 Directory Connector验证身份服务中的uid的属性值，并在当前用户过滤选项下检索3个可用用户。如果所有3个用户都具有有效的电子邮件格式，则Cisco Directory Connector将显示以下消息：如果无法验证属性，您将看到以下警告，并可以返回到Active Directory以检查和修复用户数据：
4个	（可选）如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中，选择手机和电话号码的映射。当用户将鼠标悬停在另一个用户的档案照片上时，电话号码数据会显示在Webex应用程序中。有关从用户联系人卡呼叫的更多信息，请参阅在Webex (Unified CM)部署指南（管理员）。
5个	选择其他映射以显示在联系人卡中的更多数据： `部门号码` `显示名称` `经理` `标题` 映射属性后，当用户将鼠标悬停在另一个用户的档案图片上时，会显示信息：有关联系卡的更多信息，请参阅验证您的联系人。将这些属性同步到每个用户帐户后，您还可以在Control Hub中打开People Insights。此功能允许Webex App用户在配置文件中共享更多信息，并相互了解。有关该功能以及如何启用该功能的更多信息，请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events（新建）People Insights Profiles
6个	做出选择后，单击应用。

Active Directory中包含的任何用户数据都会覆盖与该用户对应的云中的数据。例如，如果您在Control Hub中手动创建用户，则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。在Active Directory中没有相应电子邮件地址的用户将被删除。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

活动目录和云属性

您可以使用用户属性映射选项卡将本地Active Directory中的属性映射到云中的相应属性。

此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。这些值和映射是Directory Connector中的默认设置。您可以在Active Directory下拉菜单中选择不同的属性，并确定哪些内部属性与哪个云属性同步。

将下拉菜单属性视为预设。作为Active Directory行中的值的替代，您还可以在Active Directory中指定自定义属性（具有多个属性的表达式）以映射到相应行中的单个云属性。这样，您可以灵活地确定用户的显示名称，例如，您可以添加一个表达式，根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。

您还可以指定任何Active Directory属性，以映射到云中的uid。但是，您必须确保内部属性遵循有效的电子邮件格式。

您还可以使用其他电子邮件地址，例如，如果您想使用userPrincipalName进行登录，但用户的电子邮件地址用于管理他们的日历。在这种情况下，将其他电子邮件地址映射到电子邮件；类型-工作属性。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。

活动目录属性名称	Webex云属性名称	注释
—	建筑名称	—
c	c	此属性指定用户的国家缩写。
部门号码	部门号码	此属性用于联系人卡和人员见解中显示的用户的部门号码。
显示名称	显示名称	此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。
用户帐户控制	ds-pwp-account-disabled	此属性用于用户同步。确保 userAccountControl 属性映射到 ds-pwp-account-disabled，或者用户未正确同步。
员工号码	员工号码	—
传真电话号码	传真电话号码	—
—	jabberID	此云属性与Jabber使用的IM地址（XMPP类型）有关。此值与sipAddresses不同。
L的	L的	此属性指定用户的城市。
—	Category：本地	—
经理	经理	此属性用于联系人卡和人员见解中的用户经理名称。
移动设备	移动设备	此属性被用作显示从联系人卡呼叫用户的移动号码。
或	或	此属性指定公司或组织的名称，并显示在联系人卡中。
或	或	此属性指定组织单位的名称。
physicalDeliveryOffice名称	physicalDeliveryOffice名称	此属性指定用户的办公位置。
邮政编码	邮政编码	此属性指定了用于实际邮件交付的用户的邮政或邮政编码。
首选语言	首选语言	此属性设置用户的首选语言，支持以下格式： xx_YY或xx-YY。下面是一些示例： en_US，en_GB，fr-CA。如果您使用不受支持的语言或无效的格式，用户的首选语言将更改为组织的语言集。
MSRTCSIP-主要用户地址 ipPhone	SipAddresses；type=enterprise	此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。
sn	sn	此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。
圣	圣	此属性指定用户的状态或省。
街道地址	街道	此属性指定用于实际邮件递送的用户的街道地址。
电话号码	电话号码	此属性指定用于从联系人卡呼叫用户的主要（工作）电话号码。
—	时区	此云属性指定用户的时区。
标题	标题	此属性指定联系人卡和人员见解中出现的用户标题。
类型	企业	—
邮件用户主要名称	uid	强制性的属性映射。对于每个用户帐户，Active Directory值映射到云中的唯一的UID。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。然后用户可以使用这两个电子邮件地址之一登录，只要正确的 SAML属性映射就行了。请参阅下面的示例属性映射，了解如何映射替代电子邮件地址。
用户主要名称邮件 <自定义属性>	电子邮件；类型工作	此映射是可选的，如果您想使用其他电子邮件地址，请使用此映射。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。
<Azure用户对象Id的新属性>	外部ID	创建新的Active Directory属性以保留Azure用户对象ID，使其不会与现有的ID冲突。此属性随后映射到externalId属性，确保Webex用户在Microsoft 365中创建群组时，会自动在Webex中创建群组。

替代电子邮件地址映射

自定义属性的表达式

表5。自定义属性的表达式
操作员	描述和示例
%	如果匹配，将字符串开头的所有字符删除到字符或字符串参数的位置。示例表达式 `"abc@example.com" % "@"` 结果 `example.com`
-	从指定字符串的末端剥离输入字符串的背部。示例表达式 `"abc@example.com" - "@"` 结果 `广播`
+	连接输入字符串或表达式。示例表达式 `"abc" +" + "def"` 结果 `abc def`
\|	根据空字符串评估分隔表达式，并选择第一个非空结果。示例表达式 `“” \| “abc”` 结果 `广播`

将Active Directory属性中的目录头像同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序同步来自Active Directory属性的原始头像数据。

1个	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2个	对于从获取头像，选择AD属性，然后选择头像属性，其中包含要同步到云的原始头像数据。
3个	要验证头像是否正确访问，请输入用户的电子邮件地址，然后单击获取用户头像。头像出现在右侧。
4个	验证头像显示正确后，单击应用保存更改。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步该做什么

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将目录头像从资源服务器同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序从资源服务器同步化头像。

开始之前

此过程中的URI模式和变量值是示例。您必须使用目录头像所在位置的实际URL。
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。连接器需要http或https访问图像，但图像不需要在互联网上公开访问。
头像数据同步与Active Directory用户配置文件分开。如果您运行代理，必须确保NTLM身份验证或基本身份验证可以访问头像数据。

1个	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2个	对于从获取头像，选择资源服务器，然后输入头像URI模式—例如，*`http：//www.example.com/dir/photo/zoom/{mail： .?(?=@.)}.jpg`* 让我们来看看阿凡达URI模式的每个部分及其含义： http：//www.example.com/dir/photo/zoom/—将同步的所有照片所在的路径。它必须是服务器上的Directory Connector服务必须能够访问的URL。邮件：—告诉Directory Connector从Active Directory获取邮件属性的值 .?(?=@.)—执行以下功能的regex语法： *`。—任何字符，重复零或多次重复。` `？—告诉前一个变量以匹配尽可能少的字符。` `(?= ... )—匹配主表达式之后的组，但结果中不包含该组。目录连接器查找匹配并且不包含在输出中。` `@。—在at符号，然后是任意字符，重复零或多次重复。`* `.jpg—用户头像的文件扩展名。查看本文档中支持的文件类型，并相应更改扩展名。`
3个	（可选）如果您的资源服务器需要凭证，请检查为头像设置用户凭证，然后选择使用当前服务登录用户或使用此用户并输入密码。
4个	输入变量值—例如： `abcd@example.com`。
5个	单击测试以确保头像URI模式正常工作。在此示例中，如果一个AD条目的邮件值为 `abcd@example.com`，并且jpg图像正在同步，则最终阿凡达URI 为 `http：//www.example.com/dir/photo/zoom/abcd.jpg`
6个	验证了URI信息并看起来正确后，单击应用。有关使用正则表达式的详细信息，请参阅 Microsoft正则表达式语言快速参考。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步该做什么

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将内部会议室信息同步到Webex云

使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的Webex设备（房间、桌面和板）上的可搜索条目。

1个	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择对象选择。
2个	检查将房间信息同步到云，在同步过程中将房间数据与用户数据分开。禁用此设置时，将以与用户同步数据相同的方式处理会议室数据。
3个	转至属性映射，然后更改云属性的属性映射sipAddresses；type=enterprise。要使用值验证，SIP地址的值应为Pattern.compile("^([^@])(.)@(.)$") 如果可用，选择 MSRTCSIP-PrimaryUserAddress。如果您在Active Directory模式中没有上述属性，请使用其他字段，例如 ipPhone。
4个	在Exchange中创建会议室资源邮箱。这将添加连接器用于识别房间的 msExchResourceMetaData；ResourceType：Room 属性。
5个	从Active Directory用户和计算机，导航到并编辑会议室的属性。使用sip的前缀添加完全合格SIP URI：
6个	在连接器中执行干运行同步，然后执行完整运行同步。新会议室对象列出已添加对象，匹配的会议室对象将出现在匹配对象中干运行报告中中。任何标记要删除的房间对象都位于已删除的房间下。干运行结果显示所有匹配的房间资源。此设置将Active Directory房间数据（包括房间属性）与用户数据分离。同步完成后，连接器仪表板上的云统计数据将显示与云同步的房间数据。

下一步该做什么

现在您已完成这些步骤，当您在Webex云注册设备上搜索时，您将看到使用SIP地址配置的同步房间条目。当您将Webex设备拨入该条目时，将呼叫放置到为房间配置的SIP地址。

从Control Hub，您可以自动从目录导入会议室并创建工作空间。

端点无法将呼叫回传回至Webex应用程序。对于测试拨号设备，这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。如果您正在搜索的Active Directory会议室系统已注册到Webex，并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上，则搜索结果不会显示重复条目。在Webex应用程序中直接拨打Room、Desk或Board设备，不会进行SIP呼叫。

在目录同步结果上发送电子邮件报告

默认情况下，组织联系人或管理员总是会收到电子邮件通知。使用此设置，您可以自定义谁应该接收总结目录同步报告的电子邮件通知。

1个	从Directory Connector，单击配置，然后选择通知。
2个	从Directory Connector中，单击设置，然后在电子邮件接收器旁边切换启用报告同步。
3个	如果要覆盖默认通知行为并添加一个或多个电子邮件收件人，请选择启用通知。
4个	单击添加，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
5个	单击添加电子邮件，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
6个	如果您需要编辑您输入的任何电子邮件地址，请双击左侧列中的电子邮件条目，然后进行所需的任何更改。
7	添加所有有效电子邮件地址后，单击应用。
8个	添加所有有效电子邮件地址后，单击保存。

下一步该做什么

如果您决定删除电子邮件地址，您可以单击电子邮件以突出显示该条目，然后单击删除。

如果您决定删除电子邮件地址，可以单击特定电子邮件地址条目旁边的删除。

从Active Directory向Control Hub提供用户

按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。在安装每个域的Directory Connector后，您可以从多个域Active Directory部署（包含单个森林或多个森林）提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

1个	在您的Active Directory用户上执行干线同步执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
2个	将Active Directory用户完全同步到云当您运行完全同步时，连接器服务将从Active Directory (AD)的所有过滤对象发送到云。连接器服务然后用您的AD条目更新身份存储。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。
3个	向Control Hub中的Directory同步用户分配Webex服务完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用各种方法分配Webex服务许可证。我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。您还可以在此初始步骤后进行个人更改。

在您的Active Directory用户上执行干线同步

执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。

在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。使用Directory Connector，目标是在Active Directory和Webex云之间实现精确匹配。

如果您在单个森林或多个森林中拥有多个域，则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。

开始之前

在使用Directory Connector之前，您可能已经在Control Hub中拥有一些Webex应用程序用户。在云中的用户中，有些用户可能会与本地Active Directory对象匹配，并为服务分配许可证。但有些测试用户可能是在进行同步时要删除。您必须在Active Directory和Control Hub之间创建完全匹配。

1个	选择一项：首次登录后，单击提示符上的是以执行干运行。如果您错过了执行干运行的提醒，请随时从Directory Connector单击仪表板，选择同步干运行，然后单击确定以开始干运行同步。当干运行完成时，您将看到以下结果之一： *在目录连接器中检测到不匹配的对象* *Dry Run报告结果和目录连接器中的不匹配对象摘要* 摘要包含有关对象匹配的信息：匹配对象 -在Webex Common Identity中并且还存在在Active Directory域中的用户，如someuser@cisco.com与Webex同步并显示在Control Hub中，并且同一用户(someuser@cisco.com)在Active Directory中存在。这意味着用户已匹配。不匹配对象 -在Webex中使用的用户，无论该用户是如何在Common Identity中添加的，但在Active Directory中不存在该用户。它被称为“不匹配对象”。例如，如果someuser@cisco.com在Webex中同步并显示在Control Hub中，但同一用户(someuser@cisco.com)未由Active Directory管理，则报告显示该用户不匹配。干运行通过比较与域用户来识别用户。如果用户属于当前域，应用程序可以识别用户。在下一步，您必须决定是删除对象还是保留它们。不匹配的对象已在Webex云中存在，但在内部Active Directory中不存在。
2个	查看干运行结果，然后根据您使用单个域还是多个域选择一个选项：单一域—确定是否要保留不匹配的用户。如果要保留它们，请选择否，请选择是，删除对象。在您完成这些步骤并手动运行完整同步后，以便本地和云之间精确匹配，Directory Connector将自动启用已安排的自动同步任务。多个域—对于具有域A和域B的组织，首先对域A进行干燥。如果您想保留不匹配用户，请选择否，保留对象。（这些不匹配的用户可能是域B的成员。）如果要删除，请选择是，删除对象。如果您保留用户，请先为Domain A运行完整同步，然后为Domain B运行干燥。如果仍然存在不匹配的用户，请在Active Directory中添加这些用户，然后为Domain B进行完整同步。当内部和云之间有精确匹配时，Directory Connector将自动启用已安排的自动同步任务。
3个	在确认干运行提示符中，单击是重执行干运行同步并查看仪表板以查看结果。在干运行中成功同步的所有帐户都出现在匹配对象下。如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户，则该条目在已删除用户下列出。要避免此删除标记，您可以在具有相同电子邮件地址的Active Directory中添加用户。要查看已同步项目的详细信息，请单击特定项目或匹配对象的相应选项卡。要保存摘要信息，请单击保存结果至文件。
4个	如果预期结果，请转至操作 > 同步模式 > 启用同步，然后单击立即启用进行手动同步，并在此处设置手动模式。在多个域部署中的最后一个Active Directory域进行同步后，必须为Directory Connector启用自动模式。只有当对象在Webex云和所有内部活动目录之间完全匹配时，您才可以启用自动模式。

下一步该做什么

对于您保留的任何不匹配的用户对象，您必须将其添加到Active Directory，以便在内部和云之间实现完全匹配。
选择同步类型：
- 首次将新用户同步到云时，将Active Directory用户完全同步到云中。您可以从操作 > 立即同步 > 完整进行操作，然后从当前域的用户将同步。
- 设置连接器计划并在运行完整同步后运行增量同步，如果要在初始同步后拾取更改。建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
  
  默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。
如果您有多个域，请在已安装的任何其他目录连接器上重复这些步骤。

需要记住的事情

启用完全同步之前或更改同步参数时执行干运行。如果干运行由配置更改启动，您可以在干运行完成后保存设置。如果您已手动添加用户，执行Active Directory同步可能会导致以前添加的用户被删除。您可以在完全同步到云之前检查Directory Connector Dry Run报告，以验证所有预期用户都存在。

如果匹配的用户被标记为要删除，并且您不确定如何继续，请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

将Active Directory用户完全同步到云

当您运行完全同步时，连接器服务将从Active Directory (AD)的所有过滤对象发送到云。连接器服务然后用您的AD条目更新身份存储。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。

如果您有多个域，则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。

目录连接器同步用户帐户状态—在Active Directory中，任何被标记为禁用的用户在云中也会显示为非活动。

开始之前

如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态，则必须执行以下步骤以绕过电子邮件验证：
- 将单点登录与Webex组织集成。查看使用Cisco Webex Services和您的组织的身份提供商进行单点登录有关更多信息。
- 使用Control Hub验证并选择声称电子邮件地址中包含的域。查看添加、验证和请求域.
- 抑制自动电子邮件邀请，这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。（您可以进行自己的电子邮件活动。）
  
  尚未登录的已激活用户在Control Hub中显示已验证状态。登录后，它们将显示为活动状态。有关用户状态的更多信息，请参阅 Cisco Webex Control Hub中的用户状态和操作。
启用同步时，Directory Connector要求您先执行干运行。我们建议您在完全同步之前进行干运行，以发现任何潜在的错误。
在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。

如果您不使用自动分配许可证模板，新同步的用户会自动获得免费许可证。他们将能够使用与免费帐户的相同的免费功能。

1个	选择一项：首次登录后，如果干运行已完成并且所有域看起来正确，请单击立即启用以允许自动同步发生。从Directory Connector，转至仪表板，单击操作，选择同步模式>启用同步，然后单击立即同步>完整开始同步。
2个	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择完全同步。
3个	确认同步的开始。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序会在您执行同步后72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。在同步过程中，仪表板会显示同步进度；这可能包括同步类型、它开始的时间，以及同步当前正在运行的阶段。同步后，最后同步和云统计部分将使用新信息更新。用户数据同步到云。如果在同步过程中发生错误，状态指示球将变为红色。
4个	要更新同步状态，请单击刷新。（同步项目出现在云统计下。）
5个	有关错误的信息，请从操作工具栏选择启动事件查看器以查看错误日志。
6个	要设置持续增量同步到云的同步计划，请参阅设置连接器计划和运行增量同步。

完成完全同步后，在Control Hub的设置页面上，目录同步状态将从禁用更新至操作。
当所有数据在内部和云之间匹配时，Directory Connector将从手动模式更改为自动同步模式。
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件，否则Webex应用程序用户帐户将保持未验证状态，直到用户首次登录Webex应用程序以确认其帐户。请参阅“开始之前”部分，了解如何将帐户同步为活动用户的指导。
如果您有多个域，请在已安装的任何其他目录连接器上执行此步骤。同步后，您添加的所有域上的用户都会在Control Hub中列出。
如果您将单点登录与Webex集成，并且已删除的电子邮件通知，则电子邮件邀请不会发送给新同步的用户。
启用目录连接器后，您无法在Control Hub中手动添加用户。启用后，从Cisco目录连接器执行用户管理，而Active Directory是唯一的真理源。
您同步的任何组都出现在Control Hub中，并且您可以分配许可证模板，以便该组中的用户获得许可证。

下一步该做什么

当您从Active Directory中删除用户时，该用户将在下次同步后被软删除。用户处于非活动状态，但云身份档案将保留七天（以便从意外删除中恢复）。

如果您在Active Directory中检查帐户已禁用，则下次同步后该用户将变为非活动。云身份档案七天后不会删除，以防要再次启用用户。
注意增量同步的这些异常（请按照上面的完整同步步骤操作）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。

向Control Hub中的Directory同步用户分配Webex服务

完成从Cisco目录连接器到Control Hub的完整用户同步后，您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证，或者如果您已经配置了自动分配的许可证模板，则向新用户添加其他许可证。您可以在此初始步骤后更改个人用户帐户。

完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证（如果您已经配置了自动分配许可证模板）。您可以在此初始步骤后更改个人用户帐户。

当您向Webex应用程序用户分配许可证时，该用户默认会收到一封确认分配的电子邮件。该电子邮件由Control Hub中的通知服务发送。如果您将单点登录(SSO)与Webex组织集成，则如果您更愿意直接联系用户，您也可以删除这些自动电子邮件通知。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
在Active Directory用户上执行干运行同步。
确认干运行结果后，在Active Directory用户上进行完全同步。

在完全同步时，用户在云中创建，不添加服务分配，也不发送激活电子邮件。如果电子邮件未被抑制，新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。

1个

从 https：//admin.webex.com 中的客户视图，转至管理 > 用户，单击管理用户，选择修改所有同步用户，然后单击下一步。

2个

选择一个选项：

下一步该做什么

如果电子邮件没有被抑制，将向每个用户发送电子邮件，并邀请其加入和下载Webex。
如果您为所有用户选择了相同的Webex服务，那么您可以单独或批量更改分配的许可证。

相关信息

目录连接器的已知问题

2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。此问题已在 2012 R2 和 2016版本中得到解决。
对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。

您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间，此时呼叫将无限响起。

管理Webex应用程序用户

运行增量同步

增量同步会查询 Active Directory，查找自上次同步以来发生的更改。然后，此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。

此同步不会给服务器带来那么多的负载，也不需要像完全同步那样多的时间。完成初始完整同步后，我们建议为后续同步使用增量选项。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
注意不支持增量同步的以下异常（请遵循将Active Directory用户完全同步到云中）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 对于属性映射、基本DN、过滤器和头像设置的新配置更改，增量同步无法工作，需要完全同步。

1	从 Directory Connector 中，单击控制板。启用同步时，Directory Connector 将要求您首先执行测试。
2	从操作中，如果尚未启用，单击同步模式>启用同步。默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。当新的增量时间间隔出现时，程序会根据最后一个时间标识检查更改。
3	从操作中，单击立即同步 > 增量。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存：Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，最后同步和云统计部分将使用新信息更新。如果同步期间发生错误，状态指示球将变为红色。
4	有关错误的信息，单击操作工具栏中的启动事件查看器可查看错误日志。

下一步

如果您有多个域，请在已安装的其他目录连接器实例上执行此步骤。

恢复意外删除的用户

Directory Connector具有制衡功能，以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器，这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复，并在Control Hub中重新建立用户帐户。

默认情况下，此功能对所有组织都启用。例如，在云中删除用户时，由于从Directory Connector同步后出现不匹配的对象问题，用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除，如果您快速采取行动，您可能能够恢复它们。

当在Active Directory中删除相应帐户时，用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间，您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。

在Active Directory中禁用的用户在Control Hub中标记为Inactive，但用户帐户在7天后不会删除。

1	登录到 Control Hub。
2	转至用户并确认特定用户帐户是否处于非活动状态或未列出。有关详细信息，请参阅控制中心中的用户状态和操作。
3	如果在Control Hub中删除用户，或者您注意到用户处于非活动状态，请转至Active Directory，添加缺失的用户帐户，然后在Directory Connector中执行干运行同步。使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。
4	执行完全同步，将暂时删除的用户帐户重新同步至Control Hub。用户被恢复并转至原始状态，包括其帐户状态和服务分配。

下一步

返回Control Hub，转至管理 > 用户，并确认先前删除的用户帐户出现在用户列表中。

在软删除后永久删除用户

执行干运行后，您可以选择永久删除下次同步时被软删除的用户。

1	干运行完成后，选择软删除对象。
2	选中要删除的用户旁边的复选框。
3	选择完成。

下一步

下次同步时，已检查的用户将被永久删除。

更改Webex应用程序电子邮件地址

如果您想更改用户电子邮件地址，并且您的组织使用Directory Connector，请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。

如果您只想更改一个用户的电子邮件或某个值，请勿从Active Directory中删除该用户，然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户，用户空间和云中的其他数据将丢失。

要在不更改域的情况下更改用户电子邮件地址：
1. 在Active Directory中打开用户帐户（例如，user1@example.com）并更改电子邮件地址（例如，user2@example.com）。
2. 在目录连接器上恢复同步。
  
  下次同步后，更改会显示在Control Hub中的用户列表中，以及缓存更新后Webex应用程序中的用户。
  
  采用此方法不会造成数据或空间丢失。第一次同步后在云中设置用户的唯一标识符。所有后续同步均基于此标识符。
在使用Directory Connector的多个域部署中，要在更改域时更改用户电子邮件地址（考虑旧域为example1.com，新域为example2.com）：
1. 对于旧用户帐户(user1@example1.com)，请注意映射到 uid 云属性的Active Directory属性。您需要为新帐户使用相同的Active Directory值。对于此示例，我们将使用 user1@example1.com 作为在云中映射到 uid 的本地属性。
2. 在example1.com和example2.com域的Directory Connector上暂停同步。
3. 在example2.com中创建新用户帐户，并使用上面的相同属性。（例如，user1@example1.com）。
4. 在Directory Connector上，例如2.com恢复同步
  
  在继续之前，请验证user1@example2.com帐户是否同步到Control Hub。我们建议您指示用户在Webex应用程序中验证电子邮件更改，并保留所有数据（空间、消息、会议、文件等）。
  
  使用此方法不会丢失数据或空间，但在新用户帐户中，您必须确保从旧用户帐户中保留映射到云uid属性的Active Directory属性。如果您更改了Active Directory值，新帐户不会保留旧帐户中的数据。
5. 验证电子邮件地址更改且数据完好后，删除example1.com上的旧用户帐户，然后使用Directory Connector恢复为example1.com的同步功能。
  
  此时，您可以安全地更新新的Active Directory域中的user1@example2.com电子邮件地址。

目录连接器不限制电子邮件域更改。但是，当用户重新同步到云时，用户状态取决于您的组织中是否验证新域。如果组织中未验证域，则在完全同步后，用户的状态将更改为“待定”。有关更多信息，请参阅管理您的域。

如果您的组织不使用Directory Connector，您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址，了解用户可以遵循的步骤来更改电子邮件。

更改 Active Directory 域

您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。

1	设置新的 Active Directory (AD) 域。
2	禁用所有连接器上的同步。
3	卸载所有连接器。
4	打开案例以更改域名。在案例提交中，请确保请求删除组织中的域配置和所有同步属性。在打开案例以更改域之前，请确保未运行同步功能。在案例解决之前，不要更改Active Directory中的任何用户电子邮件地址。
5	解决案例后：在具有新Active Directory域的同一服务器上安装Directory Connector。配置Directory Connector，使其指向新的Active Directory域。如果Control Hub ( https://admin.webex.com)中有现有用户，请确保具有匹配电子邮件地址的用户也出现在Active Directory中。如果您的组织已禁用DirSync中的 `softDelete` 切换，则在Control Hub中但不在Active Directory中的用户电子邮件地址将面临删除风险。在进行实际同步之前，使用Directory Connector执行测试运行。

域声明

如果您为某个组织申请电子邮件域名，从而在付费客户组织中创建任何旁边的帐户，而不是免费消费者组织中，则会出现域索偿。您只能通过支持案例进行域申索（有关更多信息，请参阅下面的链接）。

如果Directory Connector处于活动状态并且该域已声明，则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户，受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。

相关信息

在目录同步组织中转换免费的Webex应用程序用户

您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序，则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户，请在打开Directory Connector之前将其迁移（转换）到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。

如果您未在激活前转换帐户，请关闭 Directory Connector 以对帐户进行转换。

如果启用目录同步时尝试转换用户，将显示错误消息无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。

一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中，而不是不匹配对象。如果要将这些用户迁移到您的组织，则需要将这些用户添加到您的AD列表。

如果您未添加这些用户，它们将在您旁边同步到云时全部删除。

1	从 Directory Connector 中禁用目录同步功能。
2	按照在Control Hub中转换无许可用户程序将用户从免费消费组织转换为企业组织。此步骤将用户添加到您的组织，帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源，目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前，确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。
3	在Directory Connector上，执行干运行同步。测试完成后，查看“添加对象”标签页。验证是否未删除您已转换的任何用户。您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中，则Directory Connector将区分大小写，并删除其检测到电子邮件地址不匹配的转换用户（例如，user1@example.com和User1@example.com）。如果已删除任何转换的用户，他们将失去所有Webex应用程序空间。
4	如果您确定下一次同步将不会删除任何帐户，请从 Directory Connector 重新启用目录同步。

如果您没有验证域，转换的用户帐户不会自动激活。例如，如果您打开自动分配许可证模板，然后在没有域验证的情况下打开Directory Connector，转换后的用户将在云后端处于非活动状态，直到他们确认其电子邮件地址。

侧边的Webex应用程序用户帐户

当您邀请其他用户到Webex应用程序中的空间时，如果受邀用户没有Webex应用程序帐户，则为他们创建帐户（“侧面”）。缺省情况下，以此方式创建的帐户将添加至自由消费者组织中。

如果要使用Directory Connector管理侧栏帐户，则必须转换帐户。

目录同步后更改Webex应用程序用户名格式

默认情况下，Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。

执行目录同步后，您可能会发现该用户名以格式显示。

如果Active Directory中的 displayName 属性以这种方式配置，此用户名可能会出现。当属性映射到云中的 displayName 时，名称会在Control Hub中以格式显示。

若要更改格式，请在 Directory Connector 属性映射屏幕中进行如下操作：将Active Directory属性 givenName sn （或 sn givenName）映射到Cisco云属性名称中的 displayName 。

或者，将属性 sn givenName 映射到 displayName：

如果您想将自己的自定义属性表达式映射到 displayName，也可以使用“自定义属性”选项。

例如，输入givenName + "" + sn （名字、空间、姓氏）作为表达式。将Active Directory中的两个属性映射到云中displayName 。

允许用户在Webex Meetings中更改显示名称

如果您想允许用户编辑首选的显示名称，您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称，而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。

1	从Directory Connector，单击配置，然后选择用户属性映射。
2	在 Cisco云属性名称下选择显示名称。
3	选择不同步此属性。

下一步

用户现在可以从Webex站点编辑显示名称。

Directory Connector 故障诊断

升级到最新软件版本

要保持部署合规并获取最新功能、功能、错误修复和安全增强功能，您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本，则可能会遇到问题，例如Directory Connector不再正常同步，或者处于不支持强制性 TLS 1.2要求的版本上。

Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。

虽然您可以手动安装连接器软件更新更新，但我们建议您遵循设置自动升级中的步骤，让应用程序自动管理升级。

1	单击Windows任务栏中的通知，或右击Windows任务栏中的Directory Connector图标，开始升级过程。
2	按说明完成升级操作。
3	重新启动连接器并使用管理员凭据登录。
4	在帮助 > 关于下验证软件的版本号。

下一步

要重新安装Directory Connector，您可以下载zip文件，然后按照本指南中的安装步骤操作。

配置 Directory Connector 的常规设置

使用此程序配置常规设置，例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中，其中还包含正在运行的任何其他连接器。

1	从Directory Connector转至配置，然后单击常规。
2	在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。
3	从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括：信息（默认）—显示信息消息，突出显示高层次应用程序的进度。要在所有完整同步后接收报告，请使用此设置。警告—显示潜在的有害情况。调试-显示对调试应用程序最有用的详细信息事件。如果您看见任何问题，请设置此日志级别，并在提交支持申请时将事件日志发送给支持人员。错误-显示可能仍允许应用程序继续运行的错误事件。选择此选项时，仅在报告错误时发送同步报告。这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误，则仅在同步报告中报告错误；如果不存在错误，则不会发送同步报告。将设置更改为Info，然后在完全同步后收到同步报告。（请记住，对于增量同步，没有报告错误时不会发送报告。）
4	选择首选域控制器以设置域控制器同步身份的顺序。将按照从上到下的顺序访问域控制器。如果顶级控制器不可用，则选择列表中的第二个控制器。如果列表中没有控制器，您可以访问主控制器。
5	如果要进行自动升级，请检查自动升级到新的Cisco Directory Connector版本。将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置，允许在软件可用时安静地安装自动升级到软件。
6	检查通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。如果您未通过 SSL检查LDAP，则Directory Connector将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。

配置连接器策略

您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。

例如，将 1 设置为删除阈值触发值。在执行完全或增量同步时，如果您要删除的用户数大于该设置，Directory Connector 会显示警告。如果您单击忽略阈值，可以成功开始完全或增量同步，但是在您下次运行该策略时将再次看到此忽略提示。

1	从Directory Connector，单击配置，然后选择策略。
2	如需添加阈值触发器，请勾选“启用删除阈值触发器”复选框。选择该选项后，删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时，同步失败。
3	输入您要设置的最大删除次数。缺省值为 20。我们建议您不要增大该缺省值。
4	单击应用。

设置连接器的安排

在Active Directory中设置同步定时。为了实现高可用性 (HA)，使用了故障转移。如果有一个连接器宕机，我们会在预定义的间隔过后，切换到另一个待机连接器。

1	从Directory Connector，单击配置，然后选择计划。
2	以分钟为单位指定增量同步间隔。缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。
3	如果您希望更改发送报告的频率，请更改发送报告间隔时间值。
4	勾选启用完全同步计划以指定想要执行完全同步的日期和时间。
5	以分钟为单位指定故障转移间隔。
6	单击应用。

多域情境

多个域基于域优先级。对于在不同域具有相同键值的对象，在同步后，来自高优先级域的数据将覆盖来自低优先级域的数据。

具有相同键值的对象会链接到数据库中的同一条记录。

“用户”的键值是电子邮件地址；“组”的键值是组名。

多域使用示例

此示例假设某组织有两个域 - example1.com 和 example2.com，前者优先级高于后者。

添加 user1（电子邮件：user@example1.com）到 example1.com 的 Active Directory。
添加 group1（组名：Test）到 example1.com 的 Active Directory。
添加 user2（电子邮件：user@example2.com）到 example2.com 的 Active Directory。
添加 group2（组名：Test）到 example2.com 的 Active Directory。

在 example1.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

如果您为 example1.com 执行全面或增量同步，user1 和 group1 会同步。而且，user2 和 group2 会被 user1 和 group1 的信息覆盖。

User1 作为数据库中的相同记录链接到 user2；group1 作为数据库中的相同记录链接到 group2。

在 example1.com 和 example2.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

请考虑这些步骤：

在 example1.com 的 Active Directory 上删除 user1 和 group1。
为 example1.com 执行全面或增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1，而 group2 没有链接到 group1。
为 example2.com 执行增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。
为 example2.com 执行全面同步。
结果：user2 和 group2 的信息在 https://admin.webex.com 中列出。

同步新的域并保留现有域

如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后，该连接器会与新的域绑定，而域 (A) 下的用户信息不受影响。

每个域必须自带有效的连接器。请考虑采用以下设置的两个域：带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA)；带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中，一个连接器处于活动状态，另一个处于待机状态 (HA)。该设计可保持域同步，因为有一个连接器始终处于活动状态。也就是说，cb1 是域 B 处于活动状态的连接器，因为域 A 已有处于活动状态的连接器（ca1 或 ca2）。

设置域优先级

使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域，等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织，此设置会很有帮助。

如果在 Directory Connector 中只列出了一个域，则不要使用此过程。如果您尝试进行此配置，连接器会显示一条消息，说明不需要域优先级。

开始之前

要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击设置域优先级。
3	高亮显示列表中的一个域，单击向上或向下更改此域的优先级，然后单击保存保存更改。各个域会按优先级自上而下排序。

切换域

使用此程序将Cisco目录连接器重新绑定到另一个域。

开始之前

在切换域之前，确保没有同步任务在运行。
要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击切换域。
3	阅读警告后，如果您理解此更改对部署的影响，而且您仍然确定要更改，请单击是。如果您切换域，则您将从当前Cisco目录连接器中注销，连接器中的其他域未注册，并且删除该计算机上的连接器信息。
4	重新登录Cisco目录连接器并重新绑定域。

关闭目录同步

如果您需要停止从Directory Connector进行同步，可以从Control Hub暂时将其关闭。

1

从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，然后选择一个：

单击更多，然后单击要关闭的连接器实例旁边的关闭。
单击关闭所有目录同步可停止所有连接器实例的同步。

2

阅读提示之后，单击关闭。

同步停止，直到从Directory Connector重新启用它。

删除用户属性映射

使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后，属性值将从云中删除，不再与Webex同步。然后可以手动编辑这些值。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 删除用户属性映射。
3	选择映射以从属性名称列表中删除。
4	在受影响的用户范围下，选择以下其中一项：仅使用目录连接器同步用户：映射将仅从先前同步的Directory Connector的用户中删除。所有用户：映射将从所有Active Directory用户中删除。
5	单击应用。

管理档案照片

使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 管理配置文件图片。
3	在操作下，选择以下其中一项：删除空头头像源的个人资料图片：如果Active Directory个人资料图片为空，此选项可确保用户个人资料图片从云中删除，即使用户之前已在Webex中上传了自己的图片。从同步源重新上传以覆盖缓存的图片：目录连接器使用与之前相同的Active Directory来更新所有用户的配置文件图片。这可以确保Active Directory中的个人资料图片与云之间没有不匹配。
4	单击 Apply（应用）。

卸载并停用目录连接器

卸载 Directory Connector 实例后，必须取消注册它。如果面临以下任何情况，都应该彻底删除 Directory Connector：

您不想再使用目录同步。
您不想使用多个 Directory Connector（高可用性）中的某一个。
您想要更改域并安装其他连接器。

开始之前

您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例，请禁用同步。
卸载Directory Connector之前，保存并关闭任何重要工作。

1	在您的 Windows 计算机上，转至“控制面板”，然后单击程序和功能。
2	从程序列表中，单击目录连接器，选择卸载，然后按照提示操作。您可能需要重启系统来完成卸载。
3	从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，单击更多，然后单击要卸载的目录连接器实例旁边的停用。
4	阅读提示之后，单击停用。用户帐户将不会再同步，除非在高可用性 (HA) 部署中还有其他 Directory Connector。

运行诊断工具

您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。

如果同步工作不正确，您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接，因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误，您可以发送详细的日志结果以支持。

要为Active Directory域服务运行测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-DS 选项卡，输入您的域，然后单击加载域控制器。
2. 从列表中选择一个域控制器。
  
  以后不要更改条目，因为增量搜索必须始终在同一域控制器上运行。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户和组对象和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行Active Directory轻量级目录服务的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-LDS 选项卡，输入主机和端口，然后单击加载分区。
2. 从列表中选择分区，然后单击连接。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户、用户代理和用户代理完整和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行轻量级目录访问协议(LDAP)的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击LDAP RAW 选项卡，输入根路径，过滤，从属性中选择一个条目，然后单击加载分区。
2. 根据需要检查以下选项：
  - ObjectSecurity—如果存在此选项，呼叫方不需要任何权利，只能看到呼叫方可访问的对象和属性。如果此选项不存在，呼叫者有权复制更改。
  - 家长至上—确保所有孩子的家长都先到孩子面前。
3. 选择 ExtendedDN 的值。
  
  此值用于扩展的LDAP搜索，以请求对象突出名称的扩展形式。
4. 选择ReferralChasing值。
  
  当域控制器从查询中返回转介时，将启动转介追踪——例如，对于可能位于命名空间之外的查询结果的详细信息（例如其他域或森林中的群组成员）。
5. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
6. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。

解决Ciso Directory Connector中的问题

目录连接器的故障排除和修复

您可能在Directory Connector中遇到错误消息或其他问题。此外，在Directory Connector同步用户信息后，该连接器可能会向您发送一封电子邮件报告，列出同步存在的任何问题。在联系支持人员之前，请参考以下章节，了解可能出现的问题、可能的原因和建议解决方案。

安装

Directory Connector 停止运行

您收到警告电子邮件，通知您您的Directory Connector无法工作。

目录连接器可能未正确安装。
目录连接器可能未运行。
网络可能不可用。

请尝试以下操作：

打开控制面板 > 程序和功能。找到 Directory Connector。如果没有，请从Control Hub下载最新版本并安装。
打开服务并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止，请单击右键并选择“启动”以重启该服务。
确保安装Directory Connector的服务器能够访问Internet。

重新安装错误

问题—如果您在卸载旧连接器后立即安装新连接器，可能会看到错误消息。

可能原因—在Windows Server 2012中，卸载客户端需要时间从服务列表中删除服务帐户。

解决方案—经过一段时间后，请再次尝试安装。

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

请执行以下步骤以在用户级别更改策略：

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

在运行 gpupdate /force、重新启动机器（用于机器更改）或再次输入用户符号（用于用户更改）后，更改将生效。

无法注册Cisco DirSync服务连接器

问题

登录失败，并显示此消息：“无法注册Cisco DirSync服务连接器。”

解决方案

安装Directory Connector的Windows系统必须是Active Directory的成员。

未显示登录页面

问题

您打开目录连接器，登录页未显示。

解决方案

请尝试以下步骤：

在Internet Explorer中，转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器（如Chrome和Firefox）中尝试该链接。
如果Internet Explorer无法访问该链接，但其他浏览器可以，请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。（使用启用Internet Explorer中的TLS 程序。）

显示登录提示

问题

出现提示提示您输入用户名和密码以通过身份验证。

可能原因

Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败，会弹出对话框以请求身份验证用户名和密码。

解决方案

当您看到登录弹出窗口时，您需要提供具有正确身份验证的有效帐户，以保证传递安全。

无法连接远程服务器

问题

在正常操作期间，出现错误消息：“无法连接到远程服务器”。

可能原因

您可能有需要解决的代理问题。

解决方案

有关更多故障排除信息，请参阅故障排除服务帐户登录问题。

无法注册连接器

问题

您将看到错误消息“无法注册连接器。发生了一般例外。”

可能原因

在大多数情况下，问题在于Directory Connector没有连接到LDAP根上下文的特权。

解决方案

请尝试以下操作：

运行命令提示符(cmd)，然后输入 ldp.exe。
单击连接 > 绑定，选择绑定为当前登录用户，然后单击确定。
单击查看 > 树，输入DC=arbonneintl，DC=ad 作为BaseDN，然后单击确定。
如果问题继续，打开支持案例。

同步

头像未同步

问题

Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。

可能原因

如果您重复使用现有的头像服务器，并且用户头像已经同步，则本地缓存将捕获它们，并避免再次重订以保存带宽。

解决方案

按照以下步骤删除本地缓存：

转至C：\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
删除DirSyncPluginAvatar.dll-cache.bin。
从Cisco目录连接器重新启动头像同步。

用户电子邮件帐户冲突

问题

同步结果可能会显示有冲突的用户电子邮件帐户。

如果用户尝试了Webex应用程序的免费版本，他们的电子邮件地址将位于免费消费者组织中。
如果用户电子邮件在另一个组织中已同步。
如果用户电子邮件存在于属于组织的多个域中。

解决方案

请尝试以下操作：

如果您要向用户索要权，请按照以下步骤操作：
1. 确保您已在 Control Hub中验证该域。
2. 暂时禁用Cisco目录连接器。
3. 使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关详细信息，请参阅向您的组织索要用户（转换用户）。
4. 在Cisco Directory Connector中运行干燥，然后重新启用目录同步
对于最后一个案例，请复选您的Active Directory源中的用户数据。

已转换用户标记为非活动

问题

在您的目录同步环境中，您将免费（消费者组织）用户转换为企业组织，但转换用户无法登录Webex应用程序。

可能原因

当自由用户转换为企业组织时，该用户将被标记为非活动状态为30天，作为安全合规措施。在此期间内，用户无法登录Webex应用程序，并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。

解决方案

如果您不想删除该用户帐户，必须采取行动。要解决此问题，请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后，从Cisco Directory连接器执行同步。然后，用户可以再次登录Webex应用程序，帐户不会被删除。

增量同步失败

问题

增量同步失败。

在以下条件下可能会在Windows Server 2008 R2上出现此问题：

您支持增量值更新。
您使用的筛选器引用链接值属性。
该属性的结果值自上次进行完全同步以来已更新。

解决方案

Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。

属性的值无效

问题

对于 [user dn (distinguished name)]，属性 [attribute name] 有以下无效值 [attribute value]。

可能原因

对于CN=b，OU=Employees，OU=C Users，DC=c，DC=com，属性[电话号码]具有以下无效值：+。此属性必须包含至少一个数字。

解决方案

此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。

要删除匹配的用户

问题

匹配的用户将被标记为要删除。

当执行干运行同步以检查Active Directory和云之间的数据时，您可能会在两者中看到相同的电子邮件地址。但是，用户被标记为要删除的对象。

解决方案

选择适当的修复：

如果可以在之后删除用户并重新执行许可证，您可以使用Directory Connector进行修复。执行同步以删除用户，然后执行其他同步以将用户从本地AD同步到云。
如果您无法删除并重新创建用户帐户，请在支持下打开案例。

缺少属性

问题

添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值，否则不会在Control Hub中创建该条目。

可能原因

必需属性的 email address 缺失。添加内部条目时[CN=Sales User，OU=Engineers，OU=K，DC=k，DC=local]，除非所有必需属性都具有值，否则不会在Control Hub中创建条目。

解决方案

用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。

嵌套组无法同步

问题

嵌套的Active Directory组中的用户未正确与云同步。

可能原因

使用不受支持的子组和父组的筛选器。例如：(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)

解决方案

必须重新配置同步组的过滤器。例如：|(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)(memberof=CN=testSubGroup，CN=Users，DC=rktest2008，DC=org)

用户命名冲突

问题

对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言，[用户电子邮件地址]，以及用户类型[user_type]。

可能原因

已在Control Hub中存在该电子邮件地址的用户。

解决方案

在Active Directory中创建用户，其电子邮件地址与您通过Control Hub注册的帐户相同。

Control Hub

Control Hub中缺少用户列表

问题

如果您拥有超过1000名同步用户的Webex组织，则可能无法在Control Hub中看到用户列表。

解决方案

您可以使用搜索功能查找用户帐户。在Control Hub中，转至用户，单击搜索，然后输入搜索条件以查找特定用户。

组不会同步到Control Hub

问题

目录组中的用户无法正确同步到Control Hub。

可能原因

在Active Directory中，该组未标记为 isCriticalSystemObject 。

解决方案

确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。

启用 Directory Connector 故障诊断

您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息，并将其保存至文件。

以下日志文件： \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	运行 `services.msc` 文件，将Directory Connector服务的正在运行的帐户从本地系统更改为有权访问AD DS或AD LDS的域帐户。
2	重启服务。请参阅如何启动服务获取指导。
3	在目录连接器中，单击仪表板。
4	转至操作，然后单击实用程序 > 故障排除。
5	启用故障诊断后，重复执行导致错误的操作，这样将捕获流量数据，以便进行检查。
6	检查日志文件：如果文件空白，请确保帐户有权访问 AD DS 或 AD LDS。日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。
7	如有必要，向支持人员发送日志文件以获取协助。
8	诊断完成后，请禁用故障诊断功能。

相关信息

启动事件查看器

若要查看完全或增量同步期间发生的事件，请启动“事件查看器”。它显示管理事件和错误日志的摘要。

1	从Directory Connector转至仪表板，然后单击操作 > 启动事件查看器。 “事件属性”对话将显示同步事件详细信息与错误详细信息。
2	从事件查看器，转至应用程序和服务日志 > Cisco Directory Connector。
3	在操作下，单击保存所有事件为将所有日志导出为单个事件文件(*。evtx)或其他格式（如xml或csv）。

下一步

如果您需要打开案例，请联系支持人员，描述连接器的问题，然后将“事件”文件附加到案例中。

事件日志会捕捉用户操作。如需管理网络流量的帮助，请在连接器上启用故障排除。

在Internet Explorer中启用TLS

如果您切换了单点登录(SSO)提供商，您可能会看到来自Cisco目录连接器的以下错误消息：

登录到服务时出错
此页脚本中出现错误

如果您看到这些错误，必须在浏览器中启用TLS设置。

1	打开Internet Explorer，然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器，然后再次打开它
2	单击互联网选项，转至高级，滚动至安全。
3	检查使用TLS 1.1 和使用TLS 1.2 复选框，然后单击确定。
4	重新启动系统以便更改生效。

服务帐户登录问题故障诊断

如果您无法登录Cisco目录连接器或无法运行同步，请在联系支持人员之前尝试解决该问题。

1

尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。

2

根据结果选择一项：

如果您无法从浏览器访问该链接，请检查您的网络设置。如果您的环境使用代理，请检查代理设置。
如果您可以通过浏览器访问链接，但无法打开Cisco目录连接器（无法打开连接器并弹出带有407的错误消息），单击此处以获取最新版本的Cisco目录连接器。
如果您可以从浏览器访问链接，但无法从Cisco目录连接器运行同步，请将服务登录帐户更改为域管理员。

检查您用于登录Windows系统的帐户是否与您在“Cisco DirSync服务”中设置的帐户相同。如果他们是2个不同的帐户，请确保两个帐户都可以访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。如果您的环境使用代理，请确保两个帐户在Internet Explorer中配置为代理，并且可以成功访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL 。

3

至少，确保Cisco DirSync服务（可在Windows服务中找到）配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下，该服务利用Windows登录帐户凭据和身份验证。

相关信息

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

Cisco Directory连接器概述

目录连接器概述

Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件，并将其安装到本地计算机上。

使用Directory Connector，您可以在Active Directory中维护您的用户帐户和数据，因此Active Directory成为唯一的真相来源。当您在内部进行更改时，它会复制到云。

请参阅表中所有的功能、描述和优势：

功能	描述和优势
简单易用的控制板	该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。
在同步到云之前进行干燥	在云中实施这些更改之前，先对目录进行干燥。之后，运行报告以查看要执行的变更是否与预期一致。
完全同步和增量同步	同步整个目录。或者，仅同步增量变更，从而提高处理能力并缩短同步时间。
同步多个域（单森林或多森林）	Directory Connector支持单个森林或多个森林下的多个域（无需使用AD LDS）。对于拥有多个Active Directory域的企业，您可以为每个域安装Directory Connector，将每个域绑定到您的组织，然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态，允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。
按计划同步	按天、小时和分钟设置同步安排。
轻量级目录访问协议 (LDAP) 过滤器	定义 LDAP 搜索条件并实现高效的导入。
活动目录属性映射	将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性，并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据，例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据（职务、部门、经理等）。
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录	如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务，或者您拥有内部Room设备，此功能可让用户从Cisco Webex Calling（云PSTN）电话或Room资源搜索企业联系人目录。会议室资源同步协作室信息之后，具有已配置、已映射 SIP 地址的本地协作室设备将作为可搜索条目显示在云注册协作室设备（例如 Cisco Webex Room 设备或 Cisco Webex Board）中。当用户在Cisco Webex Room设备或Cisco Webex板上进行搜索时，您将看到使用SIP地址配置的同步房间条目。当他们将从Webex设备拨打到该条目上时，将将呼叫放置到为房间配置的SIP地址。正在呼叫除了Webex App联系人之外，用户还可以呼叫企业联系人。通过Directory Connector，企业用户及其电话号码会被添加到您的Webex组织。他们不需要为Webex服务获得许可才能使用此功能。未为Webex授权的用户将出现在从Cisco Webex呼叫用户电话执行的目录搜索中，只要通过Directory Connector与Webex同步的URI或电话号码即可。对于这两种用户，呼叫功能的表现是相同的。此功能部件还为只有电话号码的联系人提供了编辑拨号功能。在联系人搜索结果中：如果联系人具有可调用URI（Webex SIP地址）和电话号码，将显示与联系人关联的URI。如果联系人没有可拨号的 URI，但却有电话号码，则显示电话号码。还会显示一个编辑拨号软键。如果这两者联系人都没有，则该联系人不会显示在目录中。
事件查看器	使用事件查看器可确定是否存在同步问题。
诊断工具和故障排除	您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确，您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接，以便在联系支持人员之前自行诊断错误。在Directory Connector中启用故障排除后，将编写日志，可发送给技术支持。
自动升级	安装 Directory Connector 后，您会在软件有新版本时收到通知。您可以设置自动升级，以便在发布新版本时始终使用最新版本的软件。
高可用性	配置多个连接器，以便在主连接器或机器主机出现宕机情况时提供备用。

Directory Connector 分为以下三个部分：

Control Hub 是一个单一界面，可让您管理Webex组织的所有方面：如果您希望用户通过企业身份提供商进行身份验证，并且不想为Webex应用程序发送电子邮件邀请，则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域，您可以为要同步的每个域安装一个软件实例。使用该软件，您可以运行同步以将Active Directory用户帐户带入Webex，查看和监控同步状态，并配置Directory Connector服务。
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。

请参考此图了解Directory Connector架构：

为Directory Connector准备您的环境

目录连接器的要求

Windows和Active Directory要求

您可以在这些受支持的Windows服务器上安装Directory Connector：

Windows Server 2022
Windows Server 2019
Windows Server 2016

要解决Cookie问题，我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。

以下的Active Directory服务支持Directory Connector：

2016年活动目录

（在Windows Server 2019上使用最新版本的Active Directory时，支持目录连接器）
活动目录2012
活动目录2008 R2
活动目录2008

请注意以下附加要求：

目录连接器需要TLS1.2。您必须安装以下内容：
- .NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题，请使用使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
- .NET Framework v.4.5（TLS1.2必需）
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。（请参阅什么是 Active Directory 功能级别？获取更多信息。）

硬件要求

您必须在符合以下最低硬件要求的计算机上安装Directory Connector：

8 GB RAM
50 GB 存储
CPU 没有最低要求

网络要求

如果您的网络是防火墙的幕后，请确保您的系统有HTTPS（端口443）访问互联网。

Webex组织要求

要从Control Hub访问Directory Connector软件，您需要试用Webex组织或任何付费订阅。
（可选）如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态，我们建议您执行以下操作：
- 添加、验证并选择声称包含要同步到云的用户电子邮件地址的域。
- 将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成。
- 抑制自动电子邮件邀请，这样新用户就不会收到自动电子邮件邀请，您可以进行自己的电子邮件活动。（此功能需要SSO集成。）

有关详细信息，请参阅控制中心中的用户状态和操作。

安装要求

对于多个域环境（单森林或多森林），必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保您有受支持的独立 Windows Server 来安装 Directory Connector，以进行域 (B) 同步。
要登录连接器，我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。

此本地用户必须拥有该Windows计算机上的权限，才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。（此信息也适用于虚拟机登录。）
登录连接器时，登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下，连接器使用本地系统帐户访问Active Directory。但是，您可以使用Windows服务配置其他帐户以访问Active Directory。（此信息也适用于虚拟机登录。）
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用：在Windows注册表中检查SafeDllSearchMode。
如果您在单个森林上使用多个AD LDS域，我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。

多个域要求

在 Cisco目录连接器部署任务流中跟踪任务之前，如果您要将多个域的Active Directory信息同步到云中，请记住以下要求和建议：

每个域需要单独的Directory Connector实例。
Directory Connector软件必须运行在其将同步的同一域上的主机。
我们建议您在Control Hub中验证或声明您的域。（参见添加、验证和申请域。）
如果要同步超过50个域，您必须打开标签才能让您的组织移动到大型组织列表。
如果需要，您可以与用户帐户同步房间资源信息。（请参阅将内部会议室信息同步到Webex云。）

自动许可证分配活动目录组建议

Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。

Active Directory中有两种类型的组：

分发组—用于创建电子邮件分发列表。
安全组-用于分配共享资源的权限。

在Active Directory中创建组时，请考虑以下指导原则：

为每个角色、部门或服务创建全球组（例如销售、营销、经理、会计师、Webex授权等）。
在整个组织中使用标准命名规范，以便轻松识别有关组的重要信息。组名称可以包含组的详细信息，例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如，组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
以易于理解的方式组织群组，例如按地域或管理层次。使用组描述来完整描述组的目的。
在将用户添加到新配置的组之前，请为这些组在Control Hub中定义自动许可证组模板。有关详细信息，请参阅设置自动许可证分配模板。

调整尺寸信息

Directory Connector是本地Active Directory和Webex云之间的桥梁。因此，连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定，而不是连接器本身。

一些因素会影响同步的速度：

Active Directory对象的总数。（5,000个用户同步工作所需的时间不超过50,000。）
网络速度和带宽。
系统工作负载和规格。

如果您正在同步超过50,000个用户，我们强烈建议您使用第二个连接器进行故障转移和冗余。

由于同步涉及多个因素，并且每个部署取决于上述因素，因此我们无法提供对象同步所需时间的特定时间值。

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

WebEx 代理集成

如果您的环境中已启用 Web 代理验证，则您仍然可用使用 Directory Connector。

如果您的组织使用透明Web代理，则不支持身份验证。连接器已成功连接和同步用户。

您可以选择下列方法之一：

通过Internet Explorer显式Web代理（连接器继承了Web代理设置）
通过。pac文件显式网络代理（连接器继承企业特定的代理设置）
与连接器配合的透明代理，无需任何更改

通过浏览器使用 Web 代理

您可以通过Internet Explorer设置Directory Connector以使用Web代理。

如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行，那么您还需要用此帐户登录并配置 Web 代理。

1	在 Internet Explorer 中，转至 Internet 选项，单击连接，然后选择局域网 (LAN) 设置。
2	指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。
3	如果环境使用代理验证，请将这些 URL 添加到允许列表： cloudconnector.webex.com 用于同步。 idbroker.webex.com 进行身份验证。 idbroker-static.webex.com 用于提供静态资源，如font、js组件等。您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。
4	如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表： .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org 有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

通过 PAC 文件配置 Web 代理

您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。

1

要使连接器成功连接并同步用户信息到Webex云，请确保安装连接器的主机。pac文件配置中已禁用 cloudconnector.webex.com 的代理身份验证。

2

如果环境使用代理验证，请将这些 URL 添加到允许列表：

cloudconnector.webex.com 用于同步。
idbroker.webex.com 进行身份验证。
idbroker-static.webex.com 用于提供静态资源，如font、js组件等。

您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。

如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。

3

如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表：

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

NTLM代理

Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证，并确保其安全。

NTLM设计

在大多数情况下，用户希望通过客户端PC访问其他工作站资源，这很难以安全的方式进行。

一般来说，NTLM的技术设计基于挑战和响应机制：

用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同，密码的哈希值在本地存储。当用户通过密码登录客户端时，Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同，则验证将通过。

当用户想要访问其他服务器中的任何资源时，客户端会向服务器发送一个请求，帐户名称为纯文本。
当服务器收到请求时，服务器会生成16位随机密钥。关键称为Challenge（或Nonce）。在服务器返回客户端之前，挑战将存储在服务器中。然后，服务器将挑战以纯文本形式发送给客户端。
客户端收到服务器发送的挑战后，客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后，该值将返回到服务器。
当服务器从客户端收到加密值时，服务器将其发送到域控制器进行验证。请求包括：帐户名称、客户端发送的加密挑战，以及原始的简单挑战。
域控制器可以根据帐户名称检索密码的哈希值。然后，域控制器可以对原始挑战进行加密。然后，域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同，验证将成功。

Windows在操作系统中内置了安全验证，使应用程序更容易支持安全验证。因此，您无需完成进一步的配置。

配置透明代理

在这种情境下，浏览器不会知道透明 Web 代理正在拦截 http 请求（端口 80/端口 443），因此不需要客户端配置。

1	部署透明代理，以便连接器可以连接和同步用户。
2	确认代理已成功—启动连接器时，您会看到预期的浏览器身份验证弹出窗口。

设置代理身份验证

通过创建访问控制列表，将URL cloudconnector.webex.com 添加到允许列表中。

在企业防火墙服务器上：

1	如果尚未启用 DNS 查找，请启用。
2	确定此连接的估计带宽（连接器约为2 mb/s或以下）。这不是必须执行的步骤。
3	创建访问控制列表以应用于连接器主机，并指定 `cloudconnector.webex.com` 作为要添加到允许列表的终端。例如： `access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https`
4	将此ACL应用于相应的防火墙接口，该接口仅适用于此单个连接器主持人。
5	通过配置相应的隐式拒绝声明，确保企业中的其他主机仍需使用 Web 代理。

部署目录连接器

Cisco目录连接器部署任务流程

开始之前

1个	安装目录连接器 Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。要重新安装Directory Connector，请始终转至Control Hub (https：//admin.webex.com)获取软件的最新版本，以便您使用最新的功能和故障修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
2个	登录到目录连接器使用您的Webex管理员凭据登录，并执行初始设置。
3个	设置自动升级将Directory Connector软件更新到最新版本始终非常重要。我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。
4个	选择要同步的Active Directory对象默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
5个	映射用户属性您可以将本地Active Directory中的属性映射到云中的相应属性。唯一必填字段是*uid。
6个	使用以下程序之一同步目录头像：将Active Directory属性中的目录头像同步到云将目录头像从资源服务器同步到云您可以将用户的头像同步到云，以便每个用户登录应用程序时显示他们的头像。您可以从Active Directory属性或资源服务器同步化头像。
7	将内部会议室信息同步到Webex云使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备（例如Webex Room设备或Cisco Webex Board）上的可搜索条目
8个	要从Active Directory向Control Hub提供用户，请执行以下步骤：在您的Active Directory用户上执行干线同步将Active Directory用户完全同步到云向Control Hub中的Directory同步用户分配Webex服务按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

安装目录连接器

Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。

您必须为要同步的每个Active Directory域安装一个连接器。单个目录连接器实例只能服务单个域。请参阅下图了解多个域同步的流程：

开始之前

如果您通过代理服务器进行身份验证，请确保您拥有代理凭据：

对于代理基本身份验证，安装连接器的实例后，您将输入用户名和密码。基本身份验证也需要Internet Explorer代理配置；请参阅通过浏览器使用Web代理
对于代理NTLM，第一次打开连接器时可能会看到错误。请参阅通过浏览器使用Web代理。

1个	在控制中心中，转至用户 > 管理用户 > 启用目录同步，然后选择下一步。
2个	单击下载和安装链接，将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。您可以直接从此链接获取。zip文件，但必须对Control Hub组织的完整管理访问权限才能使用此软件。对于新安装，请获取软件的最新版本，以便使用最新的功能和bug修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
3个	在VMware或Windows服务器上，解压缩并在设置文件夹中运行。msi文件，以启动设置向导。
4个	单击下一步，勾选框以接受许可协议，然后单击下一步，直到您看到帐户类型屏幕。
5个	选择要使用的服务帐户类型，并使用管理员帐户执行安装：本地系统—默认选项。如果通过Internet Explorer配置了代理，则可以使用此选项。域帐户—如果计算机是域的一部分，请使用此选项。目录连接器必须与网络服务交互，才能访问域资源。您可以输入帐户信息并单击确定。输入用户名时，请使用`{domain}\{user_name}格式` 对于与AD （NTLMv2或Kerberos）集成的代理，您必须使用域帐户选项。用于运行Directory Connector服务的帐户必须具有足够的权限传递代理和访问AD。要避免错误，请确保具有以下权限：服务器是域的一部分域帐户可以访问内部AD数据和头像数据。帐户还必须具有本地管理员角色，因为它必须访问 `C：\Program Files` 下的访问文件。对于虚拟机登录，管理员帐户权限至少必须能够读取域信息。
6个	单击安装。网络测试运行后，如果出现提示，输入您的代理基本凭证，单击确定，然后单击完成。

下一步该做什么

我们建议您在安装后重新启动服务器。当数据未发布时，干运行报告无法显示正确结果。重启计算机时，所有数据都会刷新以在报告中显示准确结果。

登录到目录连接器

开始之前

确保您拥有代理凭据。

对于Proxy basic-auth，第一次打开连接器后将输入用户名和密码。
对于代理NTLM，打开Internet Explorer，单击齿轮图标，转至 Internet选项>连接> LAN设置，确保已添加代理服务器信息，然后单击确定。请参阅通过浏览器使用Web代理。

1个	打开连接器，如果看到提示，则将 `https：//idbroker.webex.com` 添加到您的受信任站点列表。
2个	如果出现提示，请使用代理身份验证凭据登录，然后使用您的管理员帐户登录Webex，然后单击下一步。
3个	确认您的组织和域。如果您选择 AD DS，请检查 SSL上的LDAP 以使用安全LDAP (LDAPS)作为连接协议，选择要同步的域，然后单击确认。如果您未通过 SSL检查LDAP，DirSync将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。 LDAPS通信经过加密且安全。如果您选择AD LDS，输入主机、域和端口，然后单击刷新以加载所有应用程序分区。然后从下拉列表中选择分区，然后单击确认。有关更多信息，请参阅AD LDS部分。在 CloudConnectorCommon.dll 配置文件中，请确保将 ADAuthLevel 设置添加到 appSetting 节点。值可以是1、2或3。请参阅来自Microsoft的这篇文章，了解有关AuthenticationTypes的更多信息。以下是值为1的设置示例： `<appSettings> <add key=”ConnectorServiceURI” value="https：//cloudconnector.webex.com/SynchronizationService-v1.0/？orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4个	出现确认组织屏幕后，单击确认。如果您已绑定AD DS/AD LDS，将显示确认组织屏幕。
5个	单击确认。
6个	根据要绑定到Directory Connector的Active Directory域数，选择一个：如果您只有一个域名为 AD LDS，请绑定到现有的AD LDS源，然后单击确认。如果您有一个名为 AD DS 的单一域，可以绑定到现有域或新域。如果您选择绑定至新域，请单击下一步。由于现有源类型为AD DS，因此无法为新绑定选择 AD LDS。如果您有多个域，请从列表中选择现有域或绑定到新域，然后单击下一步。由于您有多个域，现有源类型必须为 AD DS。如果您选择绑定至新域并单击下一步，则无法为新绑定选择AD LDS。

下一步该做什么

登录后，系统提示您执行干运行同步。

目录连接器仪表板

当您首次登录Directory Connector时，会显示仪表板。在这里，您可以查看所有同步活动的摘要、查看云统计、执行干运行同步、启动完整或增量同步并启动事件视图以查看错误信息。

如果您的会话超时，请重新登录。

您可以从“操作”工具栏或“操作”菜单轻松运行这些任务。

表1。仪表板组件
组件	描述
当前同步	显示当前正在进行的同步的状态信息。当未运行同步时，状态显示处于空闲状态。
下一次同步	显示下一个已安排的完整和增量同步。如果未设置计划，将显示未计划。
上次同步	显示最近两次已执行同步的状态。
当前同步状态	显示同步的总体状态。
连接器	显示可用于云的当前本地连接器。
云统计	显示同步的总体状态。
同步计划	显示增量同步和完全同步的同步计划。
配置摘要	列出配置中更改的设置。例如，摘要可能包括以下内容：所有对象都将同步所有用户都将同步已删除的阈值已禁用。

表2。操作工具栏
行动	描述
开始增量同步	手动启动增量同步暂停或禁用同步时，如果未完成完全同步或同步正在进行中，则此操作将禁用。
同步干运行	执行干运行同步。
启动活动查看器	启动Microsoft Event Viewer。
刷新	刷新Cisco目录连接器仪表板

表3. Menubar操作
行动	描述
立即同步	立即开始完全同步。
同步模式	选择增量或完全同步模式。
重置连接器秘密	在Cisco目录连接器和连接器服务之间建立对话。选择此操作将重置云中的秘密，然后在本地保存秘密。
干运行	对同步过程执行测试。在进行完全同步之前，必须先进行干运行。
故障排除	打开/关闭故障排除。
刷新	刷新Cisco目录连接器主屏幕。
退出	退出Cisco目录连接器。

表4。关键组合
关键组合	行动
Alt +A	显示操作菜单
`Alt +A + S`	现在同步
`Alt +A + R`	重置连接器秘密
`Alt +A + D`	干运行
`Alt +A + S + I`	增量同步
`Alt +A + S + F`	完全同步
`Alt + H`	显示帮助菜单
`Alt + H + H`	帮助
`Alt + H + A`	关于
`Alt + H + F`	常见问题

设置自动升级

1个	从Directory Connector，转至配置 > 通用，然后检查自动升级到新的Cisco Directory Connector版本。
2个	单击应用保存更改。

新版本的连接器可用时将自动安装。

您可以手动管理升级（如果您愿意）。有关更多信息，请参阅升级至最新软件版本。

选择要同步的Active Directory对象

默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。

自动许可证分配组

Control Hub允许您按组管理许可证分配。您可以创建许可证模板，并将其映射到同步到云的Active Directory组。在用户创建时，Webex检查该新用户的用户会员身份和自动许可证模板映射。

我们建议您使用LDAP过滤器仅将相关组同步到云。例如，您可以将过滤器设置为：

(&（cn=示例）（objectclass=组）)*

此过滤器将以Example开头的基础DN中的所有组同步。未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。

目录连接器中的对象选择屏幕

混合数据安全部署组

在Directory Connector中，如果您使用混合数据安全为试点用户配置试用组，则必须检查组。请参阅混合数据安全部署指南获得指导。此目录连接器设置不会影响云中的其他用户同步。

开始之前

1个	从目录连接器转至配置，然后单击对象选择。
2个	在对象类型部分中，检查用户，并考虑限制用户可搜索容器的数量。例如，如果您想仅同步特定组中的用户，必须在用户LDAP过滤器字段中输入LDAP过滤器。如果要同步示例管理器组中的用户，请使用以下过滤器： `(&(sAMAccountName=*)(memberOf=cn=Example-manager，ou=Example，ou=Security Group，dc=COMPANY))`
3个	检查识别房间以将房间数据与用户数据分开。要设置其他属性，将用户数据识别为房间数据，请单击自定义。如果要将内部会议室信息从Active Directory同步到Webex云时，请使用此设置。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。有关详细信息，请参阅将内部会议室信息同步到Webex云。
4个	要将Active Directory用户组同步到云，请检查组。不要向“组”字段添加用户同步LDAP筛选器。您仅应使用“组”字段将组数据本身同步到云。默认情况下，组不会为新客户同步。必须启用组同步。还必须同步安全组。
5个	如果要将用户的联系信息同步到云，请检查联系人。目录连接器仅管理由连接器同步的联系人。如果Control Hub中已经有联系人，则同步不会删除联系人。如果从同步范围中删除联系人，则在Control Hub中也会删除用户的联系信息。
6个	配置 LDAP 过滤器。您可以通过提供有效的LDAP过滤器来添加扩展过滤器。有关配置LDAP过滤器的更多信息，请参阅本文。
7	单击选择以查看Active Directory树结构，指定要同步的On Premises Base DN。您可以在此处选择或取消选择要搜索的容器。
8个	检查要为此配置添加的对象，然后单击选择。您可以选择要用于同步的单个容器或母容器。选择父容器，以启用所有子容器。如果您选择子容器，母容器会显示灰色复选标记，表示孩子已检查。然后，您可以单击选择以接受选中的Active Directory容器。如果您的组织将所有用户和组放置在“用户”容器中，则无需搜索其他容器。如果您的组织被分为组织单位，请确保选择OU。
9	单击应用。选择一个选项：应用配置更改干运行取消有关干运行的信息，请参阅在Active Directory用户上执行干运行同步。对于组同步，您必须执行完整同步：将Active Directory用户完全同步到云中。

映射用户属性

您可以将本地Active Directory中的属性映射到云中的相应属性。唯一的必填字段是*uid，这是云身份服务中每个用户帐户的唯一标识符。

您可以选择要映射到云的Active Directory属性—例如，您可以映射到Active Directory中的 firstName lastName，或将自定义属性表达式映射到云中的 displayName。

Active Directory中的帐户必须有一个电子邮件地址；uid映射默认为邮件的广告字段（不是 sAMAccountName）。

如果您选择使用首选语言来自Active Directory，则Active Directory是唯一的真理来源：用户将无法在Webex设置中更改其语言设置，管理员也无法在Control Hub中更改设置。

1个	从Directory Connector，单击配置，然后选择用户属性映射。此页显示Active Directory（左侧）和Webex云（右侧）的属性名称。所有必需属性都标有红色星号。
2个	向下滚动到 Active Directory属性名称的底部，然后选择其中一个Active Directory属性以映射到云属性uid：邮件—大多数部署用于电子邮件格式。 userPrincipalName—如果您的邮件属性在Active Directory中用于其他用途，则可选择此选项。此属性必须为电子邮件格式。您可以将其他Active Directory属性映射到uid，但我们建议您使用上述指南中的邮件或userPrincipalName。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。要查看Active Directory中的哪些属性与云中的对应关系，请参阅在Directory Connector中映射Active Directory属性。要使同步工作，您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口，以提醒您，如果您没有选择推荐的属性。
3个	如果预定义的Active Directory属性不适用于部署，请单击属性下拉菜单，滚动到底部，然后选择自定义属性以打开一个窗口来定义属性表达式。单击帮助以获取有关表达式的更多信息，并查看表达式如何工作的示例。您还可以查看自定义属性的表达式以了解更多信息。在此示例中，我们将将Active Directory属性 `givenName` 和 `Sn` 映射到云属性 `displayName`：将属性表达式定义为givenName + "" + Sn（引号为额外空间），然后提供现有的用户电子邮件以进行验证。单击验证，查看结果是否符合您的期望。成功结果如下：如果结果符合您的预期，请单击确定保存新的自定义属性。稍后，如果您要更改 displayName，可以输入新的属性表达式 Directory Connector验证身份服务中的uid的属性值，并在当前用户过滤选项下检索3个可用用户。如果所有3个用户都具有有效的电子邮件格式，则Cisco Directory Connector将显示以下消息：如果无法验证属性，您将看到以下警告，并可以返回到Active Directory以检查和修复用户数据：
4个	（可选）如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中，选择手机和电话号码的映射。当用户将鼠标悬停在另一个用户的档案照片上时，电话号码数据会显示在Webex应用程序中。有关从用户联系人卡呼叫的更多信息，请参阅在Webex (Unified CM)部署指南（管理员）。
5个	选择其他映射以显示在联系人卡中的更多数据： `部门号码` `显示名称` `经理` `标题` 映射属性后，当用户将鼠标悬停在另一个用户的档案图片上时，会显示信息：有关联系卡的更多信息，请参阅验证您的联系人。将这些属性同步到每个用户帐户后，您还可以在Control Hub中打开People Insights。此功能允许Webex App用户在配置文件中共享更多信息，并相互了解。有关该功能以及如何启用该功能的更多信息，请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events（新建）People Insights Profiles
6个	做出选择后，单击应用。

Active Directory中包含的任何用户数据都会覆盖与该用户对应的云中的数据。例如，如果您在Control Hub中手动创建用户，则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。在Active Directory中没有相应电子邮件地址的用户将被删除。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

活动目录和云属性

您可以使用用户属性映射选项卡将本地Active Directory中的属性映射到云中的相应属性。

此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。这些值和映射是Directory Connector中的默认设置。您可以在Active Directory下拉菜单中选择不同的属性，并确定哪些内部属性与哪个云属性同步。

将下拉菜单属性视为预设。作为Active Directory行中的值的替代，您还可以在Active Directory中指定自定义属性（具有多个属性的表达式）以映射到相应行中的单个云属性。这样，您可以灵活地确定用户的显示名称，例如，您可以添加一个表达式，根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。

您还可以指定任何Active Directory属性，以映射到云中的uid。但是，您必须确保内部属性遵循有效的电子邮件格式。

您还可以使用其他电子邮件地址，例如，如果您想使用userPrincipalName进行登录，但用户的电子邮件地址用于管理他们的日历。在这种情况下，将其他电子邮件地址映射到电子邮件；类型-工作属性。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。

活动目录属性名称	Webex云属性名称	注释
—	建筑名称	—
c	c	此属性指定用户的国家缩写。
部门号码	部门号码	此属性用于联系人卡和人员见解中显示的用户的部门号码。
显示名称	显示名称	此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。
用户帐户控制	ds-pwp-account-disabled	此属性用于用户同步。确保 userAccountControl 属性映射到 ds-pwp-account-disabled，或者用户未正确同步。
员工号码	员工号码	—
传真电话号码	传真电话号码	—
—	jabberID	此云属性与Jabber使用的IM地址（XMPP类型）有关。此值与sipAddresses不同。
L的	L的	此属性指定用户的城市。
—	Category：本地	—
经理	经理	此属性用于联系人卡和人员见解中的用户经理名称。
移动设备	移动设备	此属性被用作显示从联系人卡呼叫用户的移动号码。
或	或	此属性指定公司或组织的名称，并显示在联系人卡中。
或	或	此属性指定组织单位的名称。
physicalDeliveryOffice名称	physicalDeliveryOffice名称	此属性指定用户的办公位置。
邮政编码	邮政编码	此属性指定了用于实际邮件交付的用户的邮政或邮政编码。
首选语言	首选语言	此属性设置用户的首选语言，支持以下格式： xx_YY或xx-YY。下面是一些示例： en_US，en_GB，fr-CA。如果您使用不受支持的语言或无效的格式，用户的首选语言将更改为组织的语言集。
MSRTCSIP-主要用户地址 ipPhone	SipAddresses；type=enterprise	此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。
sn	sn	此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。
圣	圣	此属性指定用户的状态或省。
街道地址	街道	此属性指定用于实际邮件递送的用户的街道地址。
电话号码	电话号码	此属性指定用于从联系人卡呼叫用户的主要（工作）电话号码。
—	时区	此云属性指定用户的时区。
标题	标题	此属性指定联系人卡和人员见解中出现的用户标题。
类型	企业	—
邮件用户主要名称	uid	强制性的属性映射。对于每个用户帐户，Active Directory值映射到云中的唯一的UID。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。然后用户可以使用这两个电子邮件地址之一登录，只要正确的 SAML属性映射就行了。请参阅下面的示例属性映射，了解如何映射替代电子邮件地址。
用户主要名称邮件 <自定义属性>	电子邮件；类型工作	此映射是可选的，如果您想使用其他电子邮件地址，请使用此映射。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。
<Azure用户对象Id的新属性>	外部ID	创建新的Active Directory属性以保留Azure用户对象ID，使其不会与现有的ID冲突。此属性随后映射到externalId属性，确保Webex用户在Microsoft 365中创建群组时，会自动在Webex中创建群组。

替代电子邮件地址映射

自定义属性的表达式

表5。自定义属性的表达式
操作员	描述和示例
%	如果匹配，将字符串开头的所有字符删除到字符或字符串参数的位置。示例表达式 `"abc@example.com" % "@"` 结果 `example.com`
-	从指定字符串的末端剥离输入字符串的背部。示例表达式 `"abc@example.com" - "@"` 结果 `广播`
+	连接输入字符串或表达式。示例表达式 `"abc" +" + "def"` 结果 `abc def`
\|	根据空字符串评估分隔表达式，并选择第一个非空结果。示例表达式 `“” \| “abc”` 结果 `广播`

将Active Directory属性中的目录头像同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序同步来自Active Directory属性的原始头像数据。

1个	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2个	对于从获取头像，选择AD属性，然后选择头像属性，其中包含要同步到云的原始头像数据。
3个	要验证头像是否正确访问，请输入用户的电子邮件地址，然后单击获取用户头像。头像出现在右侧。
4个	验证头像显示正确后，单击应用保存更改。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步该做什么

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将目录头像从资源服务器同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序从资源服务器同步化头像。

开始之前

此过程中的URI模式和变量值是示例。您必须使用目录头像所在位置的实际URL。
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。连接器需要http或https访问图像，但图像不需要在互联网上公开访问。
头像数据同步与Active Directory用户配置文件分开。如果您运行代理，必须确保NTLM身份验证或基本身份验证可以访问头像数据。

1个	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2个	对于从获取头像，选择资源服务器，然后输入头像URI模式—例如，*`http：//www.example.com/dir/photo/zoom/{mail： .?(?=@.)}.jpg`* 让我们来看看阿凡达URI模式的每个部分及其含义： http：//www.example.com/dir/photo/zoom/—将同步的所有照片所在的路径。它必须是服务器上的Directory Connector服务必须能够访问的URL。邮件：—告诉Directory Connector从Active Directory获取邮件属性的值 .?(?=@.)—执行以下功能的regex语法： *`。—任何字符，重复零或多次重复。` `？—告诉前一个变量以匹配尽可能少的字符。` `(?= ... )—匹配主表达式之后的组，但结果中不包含该组。目录连接器查找匹配并且不包含在输出中。` `@。—在at符号，然后是任意字符，重复零或多次重复。`* `.jpg—用户头像的文件扩展名。查看本文档中支持的文件类型，并相应更改扩展名。`
3个	（可选）如果您的资源服务器需要凭证，请检查为头像设置用户凭证，然后选择使用当前服务登录用户或使用此用户并输入密码。
4个	输入变量值—例如： `abcd@example.com`。
5个	单击测试以确保头像URI模式正常工作。在此示例中，如果一个AD条目的邮件值为 `abcd@example.com`，并且jpg图像正在同步，则最终阿凡达URI 为 `http：//www.example.com/dir/photo/zoom/abcd.jpg`
6个	验证了URI信息并看起来正确后，单击应用。有关使用正则表达式的详细信息，请参阅 Microsoft正则表达式语言快速参考。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步该做什么

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将内部会议室信息同步到Webex云

使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的Webex设备（房间、桌面和板）上的可搜索条目。

1个	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择对象选择。
2个	检查将房间信息同步到云，在同步过程中将房间数据与用户数据分开。禁用此设置时，将以与用户同步数据相同的方式处理会议室数据。
3个	转至属性映射，然后更改云属性的属性映射sipAddresses；type=enterprise。要使用值验证，SIP地址的值应为Pattern.compile("^([^@])(.)@(.)$") 如果可用，选择 MSRTCSIP-PrimaryUserAddress。如果您在Active Directory模式中没有上述属性，请使用其他字段，例如 ipPhone。
4个	在Exchange中创建会议室资源邮箱。这将添加连接器用于识别房间的 msExchResourceMetaData；ResourceType：Room 属性。
5个	从Active Directory用户和计算机，导航到并编辑会议室的属性。使用sip的前缀添加完全合格SIP URI：
6个	在连接器中执行干运行同步，然后执行完整运行同步。新会议室对象列出已添加对象，匹配的会议室对象将出现在匹配对象中干运行报告中中。任何标记要删除的房间对象都位于已删除的房间下。干运行结果显示所有匹配的房间资源。此设置将Active Directory房间数据（包括房间属性）与用户数据分离。同步完成后，连接器仪表板上的云统计数据将显示与云同步的房间数据。

下一步该做什么

现在您已完成这些步骤，当您在Webex云注册设备上搜索时，您将看到使用SIP地址配置的同步房间条目。当您将Webex设备拨入该条目时，将呼叫放置到为房间配置的SIP地址。

从Control Hub，您可以自动从目录导入会议室并创建工作空间。

端点无法将呼叫回传回至Webex应用程序。对于测试拨号设备，这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。如果您正在搜索的Active Directory会议室系统已注册到Webex，并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上，则搜索结果不会显示重复条目。在Webex应用程序中直接拨打Room、Desk或Board设备，不会进行SIP呼叫。

在目录同步结果上发送电子邮件报告

默认情况下，组织联系人或管理员总是会收到电子邮件通知。使用此设置，您可以自定义谁应该接收总结目录同步报告的电子邮件通知。

1个	从Directory Connector，单击配置，然后选择通知。
2个	从Directory Connector中，单击设置，然后在电子邮件接收器旁边切换启用报告同步。
3个	如果要覆盖默认通知行为并添加一个或多个电子邮件收件人，请选择启用通知。
4个	单击添加，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
5个	单击添加电子邮件，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
6个	如果您需要编辑您输入的任何电子邮件地址，请双击左侧列中的电子邮件条目，然后进行所需的任何更改。
7	添加所有有效电子邮件地址后，单击应用。
8个	添加所有有效电子邮件地址后，单击保存。

下一步该做什么

如果您决定删除电子邮件地址，您可以单击电子邮件以突出显示该条目，然后单击删除。

如果您决定删除电子邮件地址，可以单击特定电子邮件地址条目旁边的删除。

从Active Directory向Control Hub提供用户

按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。在安装每个域的Directory Connector后，您可以从多个域Active Directory部署（包含单个森林或多个森林）提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

1个	在您的Active Directory用户上执行干线同步执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
2个	将Active Directory用户完全同步到云当您运行完全同步时，连接器服务将从Active Directory (AD)的所有过滤对象发送到云。连接器服务然后用您的AD条目更新身份存储。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。
3个	向Control Hub中的Directory同步用户分配Webex服务完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用各种方法分配Webex服务许可证。我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。您还可以在此初始步骤后进行个人更改。

在您的Active Directory用户上执行干线同步

执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。

在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。使用Directory Connector，目标是在Active Directory和Webex云之间实现精确匹配。

如果您在单个森林或多个森林中拥有多个域，则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。

开始之前

在使用Directory Connector之前，您可能已经在Control Hub中拥有一些Webex应用程序用户。在云中的用户中，有些用户可能会与本地Active Directory对象匹配，并为服务分配许可证。但有些测试用户可能是在进行同步时要删除。您必须在Active Directory和Control Hub之间创建完全匹配。

1个	选择一项：首次登录后，单击提示符上的是以执行干运行。如果您错过了执行干运行的提醒，请随时从Directory Connector单击仪表板，选择同步干运行，然后单击确定以开始干运行同步。当干运行完成时，您将看到以下结果之一： *在目录连接器中检测到不匹配的对象* *Dry Run报告结果和目录连接器中的不匹配对象摘要* 摘要包含有关对象匹配的信息：匹配对象 -在Webex Common Identity中并且还存在在Active Directory域中的用户，如someuser@cisco.com与Webex同步并显示在Control Hub中，并且同一用户(someuser@cisco.com)在Active Directory中存在。这意味着用户已匹配。不匹配对象 -在Webex中使用的用户，无论该用户是如何在Common Identity中添加的，但在Active Directory中不存在该用户。它被称为“不匹配对象”。例如，如果someuser@cisco.com在Webex中同步并显示在Control Hub中，但同一用户(someuser@cisco.com)未由Active Directory管理，则报告显示该用户不匹配。干运行通过比较与域用户来识别用户。如果用户属于当前域，应用程序可以识别用户。在下一步，您必须决定是删除对象还是保留它们。不匹配的对象已在Webex云中存在，但在内部Active Directory中不存在。
2个	查看干运行结果，然后根据您使用单个域还是多个域选择一个选项：单一域—确定是否要保留不匹配的用户。如果要保留它们，请选择否，请选择是，删除对象。在您完成这些步骤并手动运行完整同步后，以便本地和云之间精确匹配，Directory Connector将自动启用已安排的自动同步任务。多个域—对于具有域A和域B的组织，首先对域A进行干燥。如果您想保留不匹配用户，请选择否，保留对象。（这些不匹配的用户可能是域B的成员。）如果要删除，请选择是，删除对象。如果您保留用户，请先为Domain A运行完整同步，然后为Domain B运行干燥。如果仍然存在不匹配的用户，请在Active Directory中添加这些用户，然后为Domain B进行完整同步。当内部和云之间有精确匹配时，Directory Connector将自动启用已安排的自动同步任务。
3个	在确认干运行提示符中，单击是重执行干运行同步并查看仪表板以查看结果。在干运行中成功同步的所有帐户都出现在匹配对象下。如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户，则该条目在已删除用户下列出。要避免此删除标记，您可以在具有相同电子邮件地址的Active Directory中添加用户。要查看已同步项目的详细信息，请单击特定项目或匹配对象的相应选项卡。要保存摘要信息，请单击保存结果至文件。
4个	如果预期结果，请转至操作 > 同步模式 > 启用同步，然后单击立即启用进行手动同步，并在此处设置手动模式。在多个域部署中的最后一个Active Directory域进行同步后，必须为Directory Connector启用自动模式。只有当对象在Webex云和所有内部活动目录之间完全匹配时，您才可以启用自动模式。

下一步该做什么

对于您保留的任何不匹配的用户对象，您必须将其添加到Active Directory，以便在内部和云之间实现完全匹配。
选择同步类型：
- 首次将新用户同步到云时，将Active Directory用户完全同步到云中。您可以从操作 > 立即同步 > 完整进行操作，然后从当前域的用户将同步。
- 设置连接器计划并在运行完整同步后运行增量同步，如果要在初始同步后拾取更改。建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
  
  默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。
如果您有多个域，请在已安装的任何其他目录连接器上重复这些步骤。

需要记住的事情

启用完全同步之前或更改同步参数时执行干运行。如果干运行由配置更改启动，您可以在干运行完成后保存设置。如果您已手动添加用户，执行Active Directory同步可能会导致以前添加的用户被删除。您可以在完全同步到云之前检查Directory Connector Dry Run报告，以验证所有预期用户都存在。

如果匹配的用户被标记为要删除，并且您不确定如何继续，请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

将Active Directory用户完全同步到云

当您运行完全同步时，连接器服务将从Active Directory (AD)的所有过滤对象发送到云。连接器服务然后用您的AD条目更新身份存储。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。

如果您有多个域，则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。

目录连接器同步用户帐户状态—在Active Directory中，任何被标记为禁用的用户在云中也会显示为非活动。

开始之前

如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态，则必须执行以下步骤以绕过电子邮件验证：
- 将单点登录与Webex组织集成。查看使用Cisco Webex Services和您的组织的身份提供商进行单点登录有关更多信息。
- 使用Control Hub验证并选择声称电子邮件地址中包含的域。查看添加、验证和请求域.
- 抑制自动电子邮件邀请，这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。（您可以进行自己的电子邮件活动。）
  
  尚未登录的已激活用户在Control Hub中显示已验证状态。登录后，它们将显示为活动状态。有关用户状态的更多信息，请参阅 Cisco Webex Control Hub中的用户状态和操作。
启用同步时，Directory Connector要求您先执行干运行。我们建议您在完全同步之前进行干运行，以发现任何潜在的错误。
在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。

如果您不使用自动分配许可证模板，新同步的用户会自动获得免费许可证。他们将能够使用与免费帐户的相同的免费功能。

1个	选择一项：首次登录后，如果干运行已完成并且所有域看起来正确，请单击立即启用以允许自动同步发生。从Directory Connector，转至仪表板，单击操作，选择同步模式>启用同步，然后单击立即同步>完整开始同步。
2个	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择完全同步。
3个	确认同步的开始。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序会在您执行同步后72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。在同步过程中，仪表板会显示同步进度；这可能包括同步类型、它开始的时间，以及同步当前正在运行的阶段。同步后，最后同步和云统计部分将使用新信息更新。用户数据同步到云。如果在同步过程中发生错误，状态指示球将变为红色。
4个	要更新同步状态，请单击刷新。（同步项目出现在云统计下。）
5个	有关错误的信息，请从操作工具栏选择启动事件查看器以查看错误日志。
6个	要设置持续增量同步到云的同步计划，请参阅设置连接器计划和运行增量同步。

完成完全同步后，在Control Hub的设置页面上，目录同步状态将从禁用更新至操作。
当所有数据在内部和云之间匹配时，Directory Connector将从手动模式更改为自动同步模式。
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件，否则Webex应用程序用户帐户将保持未验证状态，直到用户首次登录Webex应用程序以确认其帐户。请参阅“开始之前”部分，了解如何将帐户同步为活动用户的指导。
如果您有多个域，请在已安装的任何其他目录连接器上执行此步骤。同步后，您添加的所有域上的用户都会在Control Hub中列出。
如果您将单点登录与Webex集成，并且已删除的电子邮件通知，则电子邮件邀请不会发送给新同步的用户。
启用目录连接器后，您无法在Control Hub中手动添加用户。启用后，从Cisco目录连接器执行用户管理，而Active Directory是唯一的真理源。
您同步的任何组都出现在Control Hub中，并且您可以分配许可证模板，以便该组中的用户获得许可证。

下一步该做什么

当您从Active Directory中删除用户时，该用户将在下次同步后被软删除。用户处于非活动状态，但云身份档案将保留七天（以便从意外删除中恢复）。

如果您在Active Directory中检查帐户已禁用，则下次同步后该用户将变为非活动。云身份档案七天后不会删除，以防要再次启用用户。
注意增量同步的这些异常（请按照上面的完整同步步骤操作）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。

向Control Hub中的Directory同步用户分配Webex服务

完成从Cisco目录连接器到Control Hub的完整用户同步后，您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证，或者如果您已经配置了自动分配的许可证模板，则向新用户添加其他许可证。您可以在此初始步骤后更改个人用户帐户。

完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证（如果您已经配置了自动分配许可证模板）。您可以在此初始步骤后更改个人用户帐户。

当您向Webex应用程序用户分配许可证时，该用户默认会收到一封确认分配的电子邮件。该电子邮件由Control Hub中的通知服务发送。如果您将单点登录(SSO)与Webex组织集成，则如果您更愿意直接联系用户，您也可以删除这些自动电子邮件通知。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
在Active Directory用户上执行干运行同步。
确认干运行结果后，在Active Directory用户上进行完全同步。

在完全同步时，用户在云中创建，不添加服务分配，也不发送激活电子邮件。如果电子邮件未被抑制，新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。

1个

从 https：//admin.webex.com 中的客户视图，转至管理 > 用户，单击管理用户，选择修改所有同步用户，然后单击下一步。

2个

选择一个选项：

下一步该做什么

如果电子邮件没有被抑制，将向每个用户发送电子邮件，并邀请其加入和下载Webex。
如果您为所有用户选择了相同的Webex服务，那么您可以单独或批量更改分配的许可证。

相关信息

目录连接器的已知问题

2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。此问题已在 2012 R2 和 2016版本中得到解决。
对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。

您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间，此时呼叫将无限响起。

管理Webex应用程序用户

运行增量同步

增量同步会查询 Active Directory，查找自上次同步以来发生的更改。然后，此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。

此同步不会给服务器带来那么多的负载，也不需要像完全同步那样多的时间。完成初始完整同步后，我们建议为后续同步使用增量选项。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
注意不支持增量同步的以下异常（请遵循将Active Directory用户完全同步到云中）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 对于属性映射、基本DN、过滤器和头像设置的新配置更改，增量同步无法工作，需要完全同步。

1	从 Directory Connector 中，单击控制板。启用同步时，Directory Connector 将要求您首先执行测试。
2	从操作中，如果尚未启用，单击同步模式>启用同步。默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。当新的增量时间间隔出现时，程序会根据最后一个时间标识检查更改。
3	从操作中，单击立即同步 > 增量。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存：Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，最后同步和云统计部分将使用新信息更新。如果同步期间发生错误，状态指示球将变为红色。
4	有关错误的信息，单击操作工具栏中的启动事件查看器可查看错误日志。

下一步

如果您有多个域，请在已安装的其他目录连接器实例上执行此步骤。

恢复意外删除的用户

Directory Connector具有制衡功能，以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器，这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复，并在Control Hub中重新建立用户帐户。

默认情况下，此功能对所有组织都启用。例如，在云中删除用户时，由于从Directory Connector同步后出现不匹配的对象问题，用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除，如果您快速采取行动，您可能能够恢复它们。

当在Active Directory中删除相应帐户时，用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间，您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。

在Active Directory中禁用的用户在Control Hub中标记为Inactive，但用户帐户在7天后不会删除。

1	登录到 Control Hub。
2	转至用户并确认特定用户帐户是否处于非活动状态或未列出。有关详细信息，请参阅控制中心中的用户状态和操作。
3	如果在Control Hub中删除用户，或者您注意到用户处于非活动状态，请转至Active Directory，添加缺失的用户帐户，然后在Directory Connector中执行干运行同步。使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。
4	执行完全同步，将暂时删除的用户帐户重新同步至Control Hub。用户被恢复并转至原始状态，包括其帐户状态和服务分配。

下一步

返回Control Hub，转至管理 > 用户，并确认先前删除的用户帐户出现在用户列表中。

在软删除后永久删除用户

执行干运行后，您可以选择永久删除下次同步时被软删除的用户。

1	干运行完成后，选择软删除对象。
2	选中要删除的用户旁边的复选框。
3	选择完成。

下一步

下次同步时，已检查的用户将被永久删除。

更改Webex应用程序电子邮件地址

如果您想更改用户电子邮件地址，并且您的组织使用Directory Connector，请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。

如果您只想更改一个用户的电子邮件或某个值，请勿从Active Directory中删除该用户，然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户，用户空间和云中的其他数据将丢失。

要在不更改域的情况下更改用户电子邮件地址：
1. 在Active Directory中打开用户帐户（例如，user1@example.com）并更改电子邮件地址（例如，user2@example.com）。
2. 在目录连接器上恢复同步。
  
  下次同步后，更改会显示在Control Hub中的用户列表中，以及缓存更新后Webex应用程序中的用户。
  
  采用此方法不会造成数据或空间丢失。第一次同步后在云中设置用户的唯一标识符。所有后续同步均基于此标识符。
在使用Directory Connector的多个域部署中，要在更改域时更改用户电子邮件地址（考虑旧域为example1.com，新域为example2.com）：
1. 对于旧用户帐户(user1@example1.com)，请注意映射到 uid 云属性的Active Directory属性。您需要为新帐户使用相同的Active Directory值。对于此示例，我们将使用 user1@example1.com 作为在云中映射到 uid 的本地属性。
2. 在example1.com和example2.com域的Directory Connector上暂停同步。
3. 在example2.com中创建新用户帐户，并使用上面的相同属性。（例如，user1@example1.com）。
4. 在Directory Connector上，例如2.com恢复同步
  
  在继续之前，请验证user1@example2.com帐户是否同步到Control Hub。我们建议您指示用户在Webex应用程序中验证电子邮件更改，并保留所有数据（空间、消息、会议、文件等）。
  
  使用此方法不会丢失数据或空间，但在新用户帐户中，您必须确保从旧用户帐户中保留映射到云uid属性的Active Directory属性。如果您更改了Active Directory值，新帐户不会保留旧帐户中的数据。
5. 验证电子邮件地址更改且数据完好后，删除example1.com上的旧用户帐户，然后使用Directory Connector恢复为example1.com的同步功能。
  
  此时，您可以安全地更新新的Active Directory域中的user1@example2.com电子邮件地址。

目录连接器不限制电子邮件域更改。但是，当用户重新同步到云时，用户状态取决于您的组织中是否验证新域。如果组织中未验证域，则在完全同步后，用户的状态将更改为“待定”。有关更多信息，请参阅管理您的域。

如果您的组织不使用Directory Connector，您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址，了解用户可以遵循的步骤来更改电子邮件。

更改 Active Directory 域

您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。

1	设置新的 Active Directory (AD) 域。
2	禁用所有连接器上的同步。
3	卸载所有连接器。
4	打开案例以更改域名。在案例提交中，请确保请求删除组织中的域配置和所有同步属性。在打开案例以更改域之前，请确保未运行同步功能。在案例解决之前，不要更改Active Directory中的任何用户电子邮件地址。
5	解决案例后：在具有新Active Directory域的同一服务器上安装Directory Connector。配置Directory Connector，使其指向新的Active Directory域。如果Control Hub ( https://admin.webex.com)中有现有用户，请确保具有匹配电子邮件地址的用户也出现在Active Directory中。如果您的组织已禁用DirSync中的 `softDelete` 切换，则在Control Hub中但不在Active Directory中的用户电子邮件地址将面临删除风险。在进行实际同步之前，使用Directory Connector执行测试运行。

域声明

如果您为某个组织申请电子邮件域名，从而在付费客户组织中创建任何旁边的帐户，而不是免费消费者组织中，则会出现域索偿。您只能通过支持案例进行域申索（有关更多信息，请参阅下面的链接）。

如果Directory Connector处于活动状态并且该域已声明，则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户，受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。

相关信息

在目录同步组织中转换免费的Webex应用程序用户

您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序，则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户，请在打开Directory Connector之前将其迁移（转换）到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。

如果您未在激活前转换帐户，请关闭 Directory Connector 以对帐户进行转换。

如果启用目录同步时尝试转换用户，将显示错误消息无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。

一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中，而不是不匹配对象。如果要将这些用户迁移到您的组织，则需要将这些用户添加到您的AD列表。

如果您未添加这些用户，它们将在您旁边同步到云时全部删除。

1	从 Directory Connector 中禁用目录同步功能。
2	按照在Control Hub中转换无许可用户程序将用户从免费消费组织转换为企业组织。此步骤将用户添加到您的组织，帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源，目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前，确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。
3	在Directory Connector上，执行干运行同步。测试完成后，查看“添加对象”标签页。验证是否未删除您已转换的任何用户。您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中，则Directory Connector将区分大小写，并删除其检测到电子邮件地址不匹配的转换用户（例如，user1@example.com和User1@example.com）。如果已删除任何转换的用户，他们将失去所有Webex应用程序空间。
4	如果您确定下一次同步将不会删除任何帐户，请从 Directory Connector 重新启用目录同步。

如果您没有验证域，转换的用户帐户不会自动激活。例如，如果您打开自动分配许可证模板，然后在没有域验证的情况下打开Directory Connector，转换后的用户将在云后端处于非活动状态，直到他们确认其电子邮件地址。

侧边的Webex应用程序用户帐户

当您邀请其他用户到Webex应用程序中的空间时，如果受邀用户没有Webex应用程序帐户，则为他们创建帐户（“侧面”）。缺省情况下，以此方式创建的帐户将添加至自由消费者组织中。

如果要使用Directory Connector管理侧栏帐户，则必须转换帐户。

目录同步后更改Webex应用程序用户名格式

默认情况下，Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。

执行目录同步后，您可能会发现该用户名以格式显示。

如果Active Directory中的 displayName 属性以这种方式配置，此用户名可能会出现。当属性映射到云中的 displayName 时，名称会在Control Hub中以格式显示。

若要更改格式，请在 Directory Connector 属性映射屏幕中进行如下操作：将Active Directory属性 givenName sn （或 sn givenName）映射到Cisco云属性名称中的 displayName 。

或者，将属性 sn givenName 映射到 displayName：

如果您想将自己的自定义属性表达式映射到 displayName，也可以使用“自定义属性”选项。

例如，输入givenName + "" + sn （名字、空间、姓氏）作为表达式。将Active Directory中的两个属性映射到云中displayName 。

允许用户在Webex Meetings中更改显示名称

如果您想允许用户编辑首选的显示名称，您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称，而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。

1	从Directory Connector，单击配置，然后选择用户属性映射。
2	在 Cisco云属性名称下选择显示名称。
3	选择不同步此属性。

下一步

用户现在可以从Webex站点编辑显示名称。

Directory Connector 故障诊断

升级到最新软件版本

要保持部署合规并获取最新功能、功能、错误修复和安全增强功能，您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本，则可能会遇到问题，例如Directory Connector不再正常同步，或者处于不支持强制性 TLS 1.2要求的版本上。

Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。

虽然您可以手动安装连接器软件更新更新，但我们建议您遵循设置自动升级中的步骤，让应用程序自动管理升级。

1	单击Windows任务栏中的通知，或右击Windows任务栏中的Directory Connector图标，开始升级过程。
2	按说明完成升级操作。
3	重新启动连接器并使用管理员凭据登录。
4	在帮助 > 关于下验证软件的版本号。

下一步

要重新安装Directory Connector，您可以下载zip文件，然后按照本指南中的安装步骤操作。

配置 Directory Connector 的常规设置

使用此程序配置常规设置，例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中，其中还包含正在运行的任何其他连接器。

1	从Directory Connector转至配置，然后单击常规。
2	在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。
3	从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括：信息（默认）—显示信息消息，突出显示高层次应用程序的进度。要在所有完整同步后接收报告，请使用此设置。警告—显示潜在的有害情况。调试-显示对调试应用程序最有用的详细信息事件。如果您看见任何问题，请设置此日志级别，并在提交支持申请时将事件日志发送给支持人员。错误-显示可能仍允许应用程序继续运行的错误事件。选择此选项时，仅在报告错误时发送同步报告。这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误，则仅在同步报告中报告错误；如果不存在错误，则不会发送同步报告。将设置更改为Info，然后在完全同步后收到同步报告。（请记住，对于增量同步，没有报告错误时不会发送报告。）
4	选择首选域控制器以设置域控制器同步身份的顺序。将按照从上到下的顺序访问域控制器。如果顶级控制器不可用，则选择列表中的第二个控制器。如果列表中没有控制器，您可以访问主控制器。
5	如果要进行自动升级，请检查自动升级到新的Cisco Directory Connector版本。将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置，允许在软件可用时安静地安装自动升级到软件。
6	检查通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。如果您未通过 SSL检查LDAP，则Directory Connector将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。

配置连接器策略

您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。

例如，将 1 设置为删除阈值触发值。在执行完全或增量同步时，如果您要删除的用户数大于该设置，Directory Connector 会显示警告。如果您单击忽略阈值，可以成功开始完全或增量同步，但是在您下次运行该策略时将再次看到此忽略提示。

1	从Directory Connector，单击配置，然后选择策略。
2	如需添加阈值触发器，请勾选“启用删除阈值触发器”复选框。选择该选项后，删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时，同步失败。
3	输入您要设置的最大删除次数。缺省值为 20。我们建议您不要增大该缺省值。
4	单击应用。

设置连接器的安排

在Active Directory中设置同步定时。为了实现高可用性 (HA)，使用了故障转移。如果有一个连接器宕机，我们会在预定义的间隔过后，切换到另一个待机连接器。

1	从Directory Connector，单击配置，然后选择计划。
2	以分钟为单位指定增量同步间隔。缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。
3	如果您希望更改发送报告的频率，请更改发送报告间隔时间值。
4	勾选启用完全同步计划以指定想要执行完全同步的日期和时间。
5	以分钟为单位指定故障转移间隔。
6	单击应用。

多域情境

多个域基于域优先级。对于在不同域具有相同键值的对象，在同步后，来自高优先级域的数据将覆盖来自低优先级域的数据。

具有相同键值的对象会链接到数据库中的同一条记录。

“用户”的键值是电子邮件地址；“组”的键值是组名。

多域使用示例

此示例假设某组织有两个域 - example1.com 和 example2.com，前者优先级高于后者。

添加 user1（电子邮件：user@example1.com）到 example1.com 的 Active Directory。
添加 group1（组名：Test）到 example1.com 的 Active Directory。
添加 user2（电子邮件：user@example2.com）到 example2.com 的 Active Directory。
添加 group2（组名：Test）到 example2.com 的 Active Directory。

在 example1.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

如果您为 example1.com 执行全面或增量同步，user1 和 group1 会同步。而且，user2 和 group2 会被 user1 和 group1 的信息覆盖。

User1 作为数据库中的相同记录链接到 user2；group1 作为数据库中的相同记录链接到 group2。

在 example1.com 和 example2.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

请考虑这些步骤：

在 example1.com 的 Active Directory 上删除 user1 和 group1。
为 example1.com 执行全面或增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1，而 group2 没有链接到 group1。
为 example2.com 执行增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。
为 example2.com 执行全面同步。
结果：user2 和 group2 的信息在 https://admin.webex.com 中列出。

同步新的域并保留现有域

如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后，该连接器会与新的域绑定，而域 (A) 下的用户信息不受影响。

每个域必须自带有效的连接器。请考虑采用以下设置的两个域：带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA)；带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中，一个连接器处于活动状态，另一个处于待机状态 (HA)。该设计可保持域同步，因为有一个连接器始终处于活动状态。也就是说，cb1 是域 B 处于活动状态的连接器，因为域 A 已有处于活动状态的连接器（ca1 或 ca2）。

设置域优先级

使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域，等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织，此设置会很有帮助。

如果在 Directory Connector 中只列出了一个域，则不要使用此过程。如果您尝试进行此配置，连接器会显示一条消息，说明不需要域优先级。

开始之前

要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击设置域优先级。
3	高亮显示列表中的一个域，单击向上或向下更改此域的优先级，然后单击保存保存更改。各个域会按优先级自上而下排序。

切换域

使用此程序将Cisco目录连接器重新绑定到另一个域。

开始之前

在切换域之前，确保没有同步任务在运行。
要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击切换域。
3	阅读警告后，如果您理解此更改对部署的影响，而且您仍然确定要更改，请单击是。如果您切换域，则您将从当前Cisco目录连接器中注销，连接器中的其他域未注册，并且删除该计算机上的连接器信息。
4	重新登录Cisco目录连接器并重新绑定域。

关闭目录同步

如果您需要停止从Directory Connector进行同步，可以从Control Hub暂时将其关闭。

1

从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，然后选择一个：

单击更多，然后单击要关闭的连接器实例旁边的关闭。
单击关闭所有目录同步可停止所有连接器实例的同步。

2

阅读提示之后，单击关闭。

同步停止，直到从Directory Connector重新启用它。

删除用户属性映射

使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后，属性值将从云中删除，不再与Webex同步。然后可以手动编辑这些值。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 删除用户属性映射。
3	选择映射以从属性名称列表中删除。
4	在受影响的用户范围下，选择以下其中一项：仅使用目录连接器同步用户：映射将仅从先前同步的Directory Connector的用户中删除。所有用户：映射将从所有Active Directory用户中删除。
5	单击应用。

管理档案照片

使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 管理配置文件图片。
3	在操作下，选择以下其中一项：删除空头头像源的个人资料图片：如果Active Directory个人资料图片为空，此选项可确保用户个人资料图片从云中删除，即使用户之前已在Webex中上传了自己的图片。从同步源重新上传以覆盖缓存的图片：目录连接器使用与之前相同的Active Directory来更新所有用户的配置文件图片。这可以确保Active Directory中的个人资料图片与云之间没有不匹配。
4	单击 Apply（应用）。

卸载并停用目录连接器

卸载 Directory Connector 实例后，必须取消注册它。如果面临以下任何情况，都应该彻底删除 Directory Connector：

您不想再使用目录同步。
您不想使用多个 Directory Connector（高可用性）中的某一个。
您想要更改域并安装其他连接器。

开始之前

您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例，请禁用同步。
卸载Directory Connector之前，保存并关闭任何重要工作。

1	在您的 Windows 计算机上，转至“控制面板”，然后单击程序和功能。
2	从程序列表中，单击目录连接器，选择卸载，然后按照提示操作。您可能需要重启系统来完成卸载。
3	从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，单击更多，然后单击要卸载的目录连接器实例旁边的停用。
4	阅读提示之后，单击停用。用户帐户将不会再同步，除非在高可用性 (HA) 部署中还有其他 Directory Connector。

运行诊断工具

您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。

如果同步工作不正确，您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接，因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误，您可以发送详细的日志结果以支持。

要为Active Directory域服务运行测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-DS 选项卡，输入您的域，然后单击加载域控制器。
2. 从列表中选择一个域控制器。
  
  以后不要更改条目，因为增量搜索必须始终在同一域控制器上运行。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户和组对象和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行Active Directory轻量级目录服务的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-LDS 选项卡，输入主机和端口，然后单击加载分区。
2. 从列表中选择分区，然后单击连接。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户、用户代理和用户代理完整和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行轻量级目录访问协议(LDAP)的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击LDAP RAW 选项卡，输入根路径，过滤，从属性中选择一个条目，然后单击加载分区。
2. 根据需要检查以下选项：
  - ObjectSecurity—如果存在此选项，呼叫方不需要任何权利，只能看到呼叫方可访问的对象和属性。如果此选项不存在，呼叫者有权复制更改。
  - 家长至上—确保所有孩子的家长都先到孩子面前。
3. 选择 ExtendedDN 的值。
  
  此值用于扩展的LDAP搜索，以请求对象突出名称的扩展形式。
4. 选择ReferralChasing值。
  
  当域控制器从查询中返回转介时，将启动转介追踪——例如，对于可能位于命名空间之外的查询结果的详细信息（例如其他域或森林中的群组成员）。
5. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
6. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。

解决Ciso Directory Connector中的问题

目录连接器的故障排除和修复

您可能在Directory Connector中遇到错误消息或其他问题。此外，在Directory Connector同步用户信息后，该连接器可能会向您发送一封电子邮件报告，列出同步存在的任何问题。在联系支持人员之前，请参考以下章节，了解可能出现的问题、可能的原因和建议解决方案。

安装

Directory Connector 停止运行

您收到警告电子邮件，通知您您的Directory Connector无法工作。

目录连接器可能未正确安装。
目录连接器可能未运行。
网络可能不可用。

请尝试以下操作：

打开控制面板 > 程序和功能。找到 Directory Connector。如果没有，请从Control Hub下载最新版本并安装。
打开服务并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止，请单击右键并选择“启动”以重启该服务。
确保安装Directory Connector的服务器能够访问Internet。

重新安装错误

问题—如果您在卸载旧连接器后立即安装新连接器，可能会看到错误消息。

可能原因—在Windows Server 2012中，卸载客户端需要时间从服务列表中删除服务帐户。

解决方案—经过一段时间后，请再次尝试安装。

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

请执行以下步骤以在用户级别更改策略：

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

在运行 gpupdate /force、重新启动机器（用于机器更改）或再次输入用户符号（用于用户更改）后，更改将生效。

无法注册Cisco DirSync服务连接器

问题

登录失败，并显示此消息：“无法注册Cisco DirSync服务连接器。”

解决方案

安装Directory Connector的Windows系统必须是Active Directory的成员。

未显示登录页面

问题

您打开目录连接器，登录页未显示。

解决方案

请尝试以下步骤：

在Internet Explorer中，转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器（如Chrome和Firefox）中尝试该链接。
如果Internet Explorer无法访问该链接，但其他浏览器可以，请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。（使用启用Internet Explorer中的TLS 程序。）

显示登录提示

问题

出现提示提示您输入用户名和密码以通过身份验证。

可能原因

Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败，会弹出对话框以请求身份验证用户名和密码。

解决方案

当您看到登录弹出窗口时，您需要提供具有正确身份验证的有效帐户，以保证传递安全。

无法连接远程服务器

问题

在正常操作期间，出现错误消息：“无法连接到远程服务器”。

可能原因

您可能有需要解决的代理问题。

解决方案

有关更多故障排除信息，请参阅故障排除服务帐户登录问题。

无法注册连接器

问题

您将看到错误消息“无法注册连接器。发生了一般例外。”

可能原因

在大多数情况下，问题在于Directory Connector没有连接到LDAP根上下文的特权。

解决方案

请尝试以下操作：

运行命令提示符(cmd)，然后输入 ldp.exe。
单击连接 > 绑定，选择绑定为当前登录用户，然后单击确定。
单击查看 > 树，输入DC=arbonneintl，DC=ad 作为BaseDN，然后单击确定。
如果问题继续，打开支持案例。

同步

头像未同步

问题

Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。

可能原因

如果您重复使用现有的头像服务器，并且用户头像已经同步，则本地缓存将捕获它们，并避免再次重订以保存带宽。

解决方案

按照以下步骤删除本地缓存：

转至C：\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
删除DirSyncPluginAvatar.dll-cache.bin。
从Cisco目录连接器重新启动头像同步。

用户电子邮件帐户冲突

问题

同步结果可能会显示有冲突的用户电子邮件帐户。

如果用户尝试了Webex应用程序的免费版本，他们的电子邮件地址将位于免费消费者组织中。
如果用户电子邮件在另一个组织中已同步。
如果用户电子邮件存在于属于组织的多个域中。

解决方案

请尝试以下操作：

如果您要向用户索要权，请按照以下步骤操作：
1. 确保您已在 Control Hub中验证该域。
2. 暂时禁用Cisco目录连接器。
3. 使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关详细信息，请参阅向您的组织索要用户（转换用户）。
4. 在Cisco Directory Connector中运行干燥，然后重新启用目录同步
对于最后一个案例，请复选您的Active Directory源中的用户数据。

已转换用户标记为非活动

问题

在您的目录同步环境中，您将免费（消费者组织）用户转换为企业组织，但转换用户无法登录Webex应用程序。

可能原因

当自由用户转换为企业组织时，该用户将被标记为非活动状态为30天，作为安全合规措施。在此期间内，用户无法登录Webex应用程序，并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。

解决方案

如果您不想删除该用户帐户，必须采取行动。要解决此问题，请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后，从Cisco Directory连接器执行同步。然后，用户可以再次登录Webex应用程序，帐户不会被删除。

增量同步失败

问题

增量同步失败。

在以下条件下可能会在Windows Server 2008 R2上出现此问题：

您支持增量值更新。
您使用的筛选器引用链接值属性。
该属性的结果值自上次进行完全同步以来已更新。

解决方案

Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。

属性的值无效

问题

对于 [user dn (distinguished name)]，属性 [attribute name] 有以下无效值 [attribute value]。

可能原因

对于CN=b，OU=Employees，OU=C Users，DC=c，DC=com，属性[电话号码]具有以下无效值：+。此属性必须包含至少一个数字。

解决方案

此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。

要删除匹配的用户

问题

匹配的用户将被标记为要删除。

当执行干运行同步以检查Active Directory和云之间的数据时，您可能会在两者中看到相同的电子邮件地址。但是，用户被标记为要删除的对象。

解决方案

选择适当的修复：

如果可以在之后删除用户并重新执行许可证，您可以使用Directory Connector进行修复。执行同步以删除用户，然后执行其他同步以将用户从本地AD同步到云。
如果您无法删除并重新创建用户帐户，请在支持下打开案例。

缺少属性

问题

添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值，否则不会在Control Hub中创建该条目。

可能原因

必需属性的 email address 缺失。添加内部条目时[CN=Sales User，OU=Engineers，OU=K，DC=k，DC=local]，除非所有必需属性都具有值，否则不会在Control Hub中创建条目。

解决方案

用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。

嵌套组无法同步

问题

嵌套的Active Directory组中的用户未正确与云同步。

可能原因

使用不受支持的子组和父组的筛选器。例如：(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)

解决方案

必须重新配置同步组的过滤器。例如：|(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)(memberof=CN=testSubGroup，CN=Users，DC=rktest2008，DC=org)

用户命名冲突

问题

对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言，[用户电子邮件地址]，以及用户类型[user_type]。

可能原因

已在Control Hub中存在该电子邮件地址的用户。

解决方案

在Active Directory中创建用户，其电子邮件地址与您通过Control Hub注册的帐户相同。

Control Hub

Control Hub中缺少用户列表

问题

如果您拥有超过1000名同步用户的Webex组织，则可能无法在Control Hub中看到用户列表。

解决方案

您可以使用搜索功能查找用户帐户。在Control Hub中，转至用户，单击搜索，然后输入搜索条件以查找特定用户。

组不会同步到Control Hub

问题

目录组中的用户无法正确同步到Control Hub。

可能原因

在Active Directory中，该组未标记为 isCriticalSystemObject 。

解决方案

确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。

启用 Directory Connector 故障诊断

您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息，并将其保存至文件。

以下日志文件： \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	运行 `services.msc` 文件，将Directory Connector服务的正在运行的帐户从本地系统更改为有权访问AD DS或AD LDS的域帐户。
2	重启服务。请参阅如何启动服务获取指导。
3	在目录连接器中，单击仪表板。
4	转至操作，然后单击实用程序 > 故障排除。
5	启用故障诊断后，重复执行导致错误的操作，这样将捕获流量数据，以便进行检查。
6	检查日志文件：如果文件空白，请确保帐户有权访问 AD DS 或 AD LDS。日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。
7	如有必要，向支持人员发送日志文件以获取协助。
8	诊断完成后，请禁用故障诊断功能。

相关信息

启动事件查看器

若要查看完全或增量同步期间发生的事件，请启动“事件查看器”。它显示管理事件和错误日志的摘要。

1	从Directory Connector转至仪表板，然后单击操作 > 启动事件查看器。 “事件属性”对话将显示同步事件详细信息与错误详细信息。
2	从事件查看器，转至应用程序和服务日志 > Cisco Directory Connector。
3	在操作下，单击保存所有事件为将所有日志导出为单个事件文件(*。evtx)或其他格式（如xml或csv）。

下一步

如果您需要打开案例，请联系支持人员，描述连接器的问题，然后将“事件”文件附加到案例中。

事件日志会捕捉用户操作。如需管理网络流量的帮助，请在连接器上启用故障排除。

在Internet Explorer中启用TLS

如果您切换了单点登录(SSO)提供商，您可能会看到来自Cisco目录连接器的以下错误消息：

登录到服务时出错
此页脚本中出现错误

如果您看到这些错误，必须在浏览器中启用TLS设置。

1	打开Internet Explorer，然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器，然后再次打开它
2	单击互联网选项，转至高级，滚动至安全。
3	检查使用TLS 1.1 和使用TLS 1.2 复选框，然后单击确定。
4	重新启动系统以便更改生效。

服务帐户登录问题故障诊断

如果您无法登录Cisco目录连接器或无法运行同步，请在联系支持人员之前尝试解决该问题。

1

尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。

2

根据结果选择一项：

如果您无法从浏览器访问该链接，请检查您的网络设置。如果您的环境使用代理，请检查代理设置。
如果您可以通过浏览器访问链接，但无法打开Cisco目录连接器（无法打开连接器并弹出带有407的错误消息），单击此处以获取最新版本的Cisco目录连接器。
如果您可以从浏览器访问链接，但无法从Cisco目录连接器运行同步，请将服务登录帐户更改为域管理员。

检查您用于登录Windows系统的帐户是否与您在“Cisco DirSync服务”中设置的帐户相同。如果他们是2个不同的帐户，请确保两个帐户都可以访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。如果您的环境使用代理，请确保两个帐户在Internet Explorer中配置为代理，并且可以成功访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL 。

3

至少，确保Cisco DirSync服务（可在Windows服务中找到）配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下，该服务利用Windows登录帐户凭据和身份验证。

相关信息

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

Cisco Directory连接器概述

目录连接器概述

Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件，并将其安装到本地计算机上。

使用Directory Connector，您可以在Active Directory中维护您的用户帐户和数据，因此Active Directory成为唯一的真相来源。当您在内部进行更改时，它会复制到云。

请参阅表中所有的功能、描述和优势：

功能	描述和优势
简单易用的控制板	该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。
在同步到云之前进行干燥	在云中实施这些更改之前，先对目录进行干燥。之后，运行报告以查看要执行的变更是否与预期一致。
完全同步和增量同步	同步整个目录。或者，仅同步增量变更，从而提高处理能力并缩短同步时间。
同步多个域（单森林或多森林）	Directory Connector支持单个森林或多个森林下的多个域（无需使用AD LDS）。对于拥有多个Active Directory域的企业，您可以为每个域安装Directory Connector，将每个域绑定到您的组织，然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态，允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。
按计划同步	按天、小时和分钟设置同步安排。
轻量级目录访问协议 (LDAP) 过滤器	定义 LDAP 搜索条件并实现高效的导入。
活动目录属性映射	将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性，并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据，例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据（职务、部门、经理等）。
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录	如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务，或者您拥有内部Room设备，此功能可让用户从Cisco Webex Calling（云PSTN）电话或Room资源搜索企业联系人目录。会议室资源同步协作室信息之后，具有已配置、已映射 SIP 地址的本地协作室设备将作为可搜索条目显示在云注册协作室设备（例如 Cisco Webex Room 设备或 Cisco Webex Board）中。当用户在Cisco Webex Room设备或Cisco Webex板上进行搜索时，您将看到使用SIP地址配置的同步房间条目。当他们将从Webex设备拨打到该条目上时，将将呼叫放置到为房间配置的SIP地址。正在呼叫除了Webex App联系人之外，用户还可以呼叫企业联系人。通过Directory Connector，企业用户及其电话号码会被添加到您的Webex组织。他们不需要为Webex服务获得许可才能使用此功能。未为Webex授权的用户将出现在从Cisco Webex呼叫用户电话执行的目录搜索中，只要通过Directory Connector与Webex同步的URI或电话号码即可。对于这两种用户，呼叫功能的表现是相同的。此功能部件还为只有电话号码的联系人提供了编辑拨号功能。在联系人搜索结果中：如果联系人具有可调用URI（Webex SIP地址）和电话号码，将显示与联系人关联的URI。如果联系人没有可拨号的 URI，但却有电话号码，则显示电话号码。还会显示一个编辑拨号软键。如果这两者联系人都没有，则该联系人不会显示在目录中。
事件查看器	使用事件查看器可确定是否存在同步问题。
诊断工具和故障排除	您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确，您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接，以便在联系支持人员之前自行诊断错误。在Directory Connector中启用故障排除后，将编写日志，可发送给技术支持。
自动升级	安装 Directory Connector 后，您会在软件有新版本时收到通知。您可以设置自动升级，以便在发布新版本时始终使用最新版本的软件。
高可用性	配置多个连接器，以便在主连接器或机器主机出现宕机情况时提供备用。

Directory Connector 分为以下三个部分：

Control Hub 是一个单一界面，可让您管理Webex组织的所有方面：如果您希望用户通过企业身份提供商进行身份验证，并且不想为Webex应用程序发送电子邮件邀请，则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域，您可以为要同步的每个域安装一个软件实例。使用该软件，您可以运行同步以将Active Directory用户帐户带入Webex，查看和监控同步状态，并配置Directory Connector服务。
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。

请参考此图了解Directory Connector架构：

为Directory Connector准备您的环境

目录连接器的要求

Windows和Active Directory要求

您可以在这些受支持的Windows服务器上安装Directory Connector：

Windows Server 2022
Windows Server 2019
Windows Server 2016

要解决Cookie问题，我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。

以下的Active Directory服务支持Directory Connector：

2016年活动目录

（在Windows Server 2019上使用最新版本的Active Directory时，支持目录连接器）
活动目录2012
活动目录2008 R2
活动目录2008

请注意以下附加要求：

目录连接器需要TLS1.2。您必须安装以下内容：
- .NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题，请使用使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
- .NET Framework v.4.5（TLS1.2必需）
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。（请参阅什么是 Active Directory 功能级别？获取更多信息。）

硬件要求

您必须在符合以下最低硬件要求的计算机上安装Directory Connector：

8 GB RAM
50 GB 存储
CPU 没有最低要求

网络要求

如果您的网络是防火墙的幕后，请确保您的系统有HTTPS（端口443）访问互联网。

Webex组织要求

要从Control Hub访问Directory Connector软件，您需要试用Webex组织或任何付费订阅。
（可选）如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态，我们建议您执行以下操作：
- 添加、验证并选择声称包含要同步到云的用户电子邮件地址的域。
- 将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成。
- 抑制自动电子邮件邀请，这样新用户就不会收到自动电子邮件邀请，您可以进行自己的电子邮件活动。（此功能需要SSO集成。）

有关详细信息，请参阅控制中心中的用户状态和操作。

安装要求

对于多个域环境（单森林或多森林），必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保您有受支持的独立 Windows Server 来安装 Directory Connector，以进行域 (B) 同步。
要登录连接器，我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。

此本地用户必须拥有该Windows计算机上的权限，才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。（此信息也适用于虚拟机登录。）
登录连接器时，登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下，连接器使用本地系统帐户访问Active Directory。但是，您可以使用Windows服务配置其他帐户以访问Active Directory。（此信息也适用于虚拟机登录。）
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用：在Windows注册表中检查SafeDllSearchMode。
如果您在单个森林上使用多个AD LDS域，我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。

多个域要求

在 Cisco目录连接器部署任务流中跟踪任务之前，如果您要将多个域的Active Directory信息同步到云中，请记住以下要求和建议：

每个域需要单独的Directory Connector实例。
Directory Connector软件必须运行在其将同步的同一域上的主机。
我们建议您在Control Hub中验证或声明您的域。（参见添加、验证和申请域。）
如果要同步超过50个域，您必须打开标签才能让您的组织移动到大型组织列表。
如果需要，您可以与用户帐户同步房间资源信息。（请参阅将内部会议室信息同步到Webex云。）

自动许可证分配活动目录组建议

Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。

Active Directory中有两种类型的组：

分发组—用于创建电子邮件分发列表。
安全组-用于分配共享资源的权限。

在Active Directory中创建组时，请考虑以下指导原则：

为每个角色、部门或服务创建全球组（例如销售、营销、经理、会计师、Webex授权等）。
在整个组织中使用标准命名规范，以便轻松识别有关组的重要信息。组名称可以包含组的详细信息，例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如，组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
以易于理解的方式组织群组，例如按地域或管理层次。使用组描述来完整描述组的目的。
在将用户添加到新配置的组之前，请为这些组在Control Hub中定义自动许可证组模板。有关详细信息，请参阅设置自动许可证分配模板。

调整尺寸信息

Directory Connector是本地Active Directory和Webex云之间的桥梁。因此，连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定，而不是连接器本身。

一些因素会影响同步的速度：

Active Directory对象的总数。（5,000个用户同步工作所需的时间不超过50,000。）
网络速度和带宽。
系统工作负载和规格。

如果您正在同步超过50,000个用户，我们强烈建议您使用第二个连接器进行故障转移和冗余。

由于同步涉及多个因素，并且每个部署取决于上述因素，因此我们无法提供对象同步所需时间的特定时间值。

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

WebEx 代理集成

如果您的环境中已启用 Web 代理验证，则您仍然可用使用 Directory Connector。

如果您的组织使用透明Web代理，则不支持身份验证。连接器已成功连接和同步用户。

您可以选择下列方法之一：

通过Internet Explorer显式Web代理（连接器继承了Web代理设置）
通过。pac文件显式网络代理（连接器继承企业特定的代理设置）
与连接器配合的透明代理，无需任何更改

通过浏览器使用 Web 代理

您可以通过Internet Explorer设置Directory Connector以使用Web代理。

如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行，那么您还需要用此帐户登录并配置 Web 代理。

1	在 Internet Explorer 中，转至 Internet 选项，单击连接，然后选择局域网 (LAN) 设置。
2	指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。
3	如果环境使用代理验证，请将这些 URL 添加到允许列表： cloudconnector.webex.com 用于同步。 idbroker.webex.com 进行身份验证。 idbroker-static.webex.com 用于提供静态资源，如font、js组件等。您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。
4	如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表： .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org 有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

通过 PAC 文件配置 Web 代理

您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。

1

要使连接器成功连接并同步用户信息到Webex云，请确保安装连接器的主机。pac文件配置中已禁用 cloudconnector.webex.com 的代理身份验证。

2

如果环境使用代理验证，请将这些 URL 添加到允许列表：

cloudconnector.webex.com 用于同步。
idbroker.webex.com 进行身份验证。
idbroker-static.webex.com 用于提供静态资源，如font、js组件等。

您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。

如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。

3

如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表：

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

NTLM代理

Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证，并确保其安全。

NTLM设计

在大多数情况下，用户希望通过客户端PC访问其他工作站资源，这很难以安全的方式进行。

一般来说，NTLM的技术设计基于挑战和响应机制：

用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同，密码的哈希值在本地存储。当用户通过密码登录客户端时，Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同，则验证将通过。

当用户想要访问其他服务器中的任何资源时，客户端会向服务器发送一个请求，帐户名称为纯文本。
当服务器收到请求时，服务器会生成16位随机密钥。关键称为Challenge（或Nonce）。在服务器返回客户端之前，挑战将存储在服务器中。然后，服务器将挑战以纯文本形式发送给客户端。
客户端收到服务器发送的挑战后，客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后，该值将返回到服务器。
当服务器从客户端收到加密值时，服务器将其发送到域控制器进行验证。请求包括：帐户名称、客户端发送的加密挑战，以及原始的简单挑战。
域控制器可以根据帐户名称检索密码的哈希值。然后，域控制器可以对原始挑战进行加密。然后，域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同，验证将成功。

Windows在操作系统中内置了安全验证，使应用程序更容易支持安全验证。因此，您无需完成进一步的配置。

配置透明代理

在这种情境下，浏览器不会知道透明 Web 代理正在拦截 http 请求（端口 80/端口 443），因此不需要客户端配置。

1	部署透明代理，以便连接器可以连接和同步用户。
2	确认代理已成功—启动连接器时，您会看到预期的浏览器身份验证弹出窗口。

设置代理身份验证

通过创建访问控制列表，将URL cloudconnector.webex.com 添加到允许列表中。

在企业防火墙服务器上：

1	如果尚未启用 DNS 查找，请启用。
2	确定此连接的估计带宽（连接器约为2 mb/s或以下）。这不是必须执行的步骤。
3	创建访问控制列表以应用于连接器主机，并指定 `cloudconnector.webex.com` 作为要添加到允许列表的终端。例如： `access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https`
4	将此ACL应用于相应的防火墙接口，该接口仅适用于此单个连接器主持人。
5	通过配置相应的隐式拒绝声明，确保企业中的其他主机仍需使用 Web 代理。

部署目录连接器

Cisco目录连接器部署任务流程

开始之前

1个	安装目录连接器 Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。要重新安装Directory Connector，请始终转至Control Hub (https：//admin.webex.com)获取软件的最新版本，以便您使用最新的功能和故障修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
2个	登录到目录连接器使用您的Webex管理员凭据登录，并执行初始设置。
3个	设置自动升级将Directory Connector软件更新到最新版本始终非常重要。我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。
4个	选择要同步的Active Directory对象默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
5个	映射用户属性您可以将本地Active Directory中的属性映射到云中的相应属性。唯一必填字段是*uid。
6个	使用以下程序之一同步目录头像：将Active Directory属性中的目录头像同步到云将目录头像从资源服务器同步到云您可以将用户的头像同步到云，以便每个用户登录应用程序时显示他们的头像。您可以从Active Directory属性或资源服务器同步化头像。
7	将内部会议室信息同步到Webex云使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备（例如Webex Room设备或Cisco Webex Board）上的可搜索条目
8个	要从Active Directory向Control Hub提供用户，请执行以下步骤：在您的Active Directory用户上执行干线同步将Active Directory用户完全同步到云向Control Hub中的Directory同步用户分配Webex服务按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

安装目录连接器

Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。

您必须为要同步的每个Active Directory域安装一个连接器。单个目录连接器实例只能服务单个域。请参阅下图了解多个域同步的流程：

开始之前

如果您通过代理服务器进行身份验证，请确保您拥有代理凭据：

对于代理基本身份验证，安装连接器的实例后，您将输入用户名和密码。基本身份验证也需要Internet Explorer代理配置；请参阅通过浏览器使用Web代理
对于代理NTLM，第一次打开连接器时可能会看到错误。请参阅通过浏览器使用Web代理。

1个	在控制中心中，转至用户 > 管理用户 > 启用目录同步，然后选择下一步。
2个	单击下载和安装链接，将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。您可以直接从此链接获取。zip文件，但必须对Control Hub组织的完整管理访问权限才能使用此软件。对于新安装，请获取软件的最新版本，以便使用最新的功能和bug修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
3个	在VMware或Windows服务器上，解压缩并在设置文件夹中运行。msi文件，以启动设置向导。
4个	单击下一步，勾选框以接受许可协议，然后单击下一步，直到您看到帐户类型屏幕。
5个	选择要使用的服务帐户类型，并使用管理员帐户执行安装：本地系统—默认选项。如果通过Internet Explorer配置了代理，则可以使用此选项。域帐户—如果计算机是域的一部分，请使用此选项。目录连接器必须与网络服务交互，才能访问域资源。您可以输入帐户信息并单击确定。输入用户名时，请使用`{domain}\{user_name}格式` 对于与AD （NTLMv2或Kerberos）集成的代理，您必须使用域帐户选项。用于运行Directory Connector服务的帐户必须具有足够的权限传递代理和访问AD。要避免错误，请确保具有以下权限：服务器是域的一部分域帐户可以访问内部AD数据和头像数据。帐户还必须具有本地管理员角色，因为它必须访问 `C：\Program Files` 下的访问文件。对于虚拟机登录，管理员帐户权限至少必须能够读取域信息。
6个	单击安装。网络测试运行后，如果出现提示，输入您的代理基本凭证，单击确定，然后单击完成。

下一步该做什么

我们建议您在安装后重新启动服务器。当数据未发布时，干运行报告无法显示正确结果。重启计算机时，所有数据都会刷新以在报告中显示准确结果。

登录到目录连接器

开始之前

确保您拥有代理凭据。

对于Proxy basic-auth，第一次打开连接器后将输入用户名和密码。
对于代理NTLM，打开Internet Explorer，单击齿轮图标，转至 Internet选项>连接> LAN设置，确保已添加代理服务器信息，然后单击确定。请参阅通过浏览器使用Web代理。

1个	打开连接器，如果看到提示，则将 `https：//idbroker.webex.com` 添加到您的受信任站点列表。
2个	如果出现提示，请使用代理身份验证凭据登录，然后使用您的管理员帐户登录Webex，然后单击下一步。
3个	确认您的组织和域。如果您选择 AD DS，请检查 SSL上的LDAP 以使用安全LDAP (LDAPS)作为连接协议，选择要同步的域，然后单击确认。如果您未通过 SSL检查LDAP，DirSync将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。 LDAPS通信经过加密且安全。如果您选择AD LDS，输入主机、域和端口，然后单击刷新以加载所有应用程序分区。然后从下拉列表中选择分区，然后单击确认。有关更多信息，请参阅AD LDS部分。在 CloudConnectorCommon.dll 配置文件中，请确保将 ADAuthLevel 设置添加到 appSetting 节点。值可以是1、2或3。请参阅来自Microsoft的这篇文章，了解有关AuthenticationTypes的更多信息。以下是值为1的设置示例： `<appSettings> <add key=”ConnectorServiceURI” value="https：//cloudconnector.webex.com/SynchronizationService-v1.0/？orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4个	出现确认组织屏幕后，单击确认。如果您已绑定AD DS/AD LDS，将显示确认组织屏幕。
5个	单击确认。
6个	根据要绑定到Directory Connector的Active Directory域数，选择一个：如果您只有一个域名为 AD LDS，请绑定到现有的AD LDS源，然后单击确认。如果您有一个名为 AD DS 的单一域，可以绑定到现有域或新域。如果您选择绑定至新域，请单击下一步。由于现有源类型为AD DS，因此无法为新绑定选择 AD LDS。如果您有多个域，请从列表中选择现有域或绑定到新域，然后单击下一步。由于您有多个域，现有源类型必须为 AD DS。如果您选择绑定至新域并单击下一步，则无法为新绑定选择AD LDS。

下一步该做什么

登录后，系统提示您执行干运行同步。

目录连接器仪表板

当您首次登录Directory Connector时，会显示仪表板。在这里，您可以查看所有同步活动的摘要、查看云统计、执行干运行同步、启动完整或增量同步并启动事件视图以查看错误信息。

如果您的会话超时，请重新登录。

您可以从“操作”工具栏或“操作”菜单轻松运行这些任务。

表1。仪表板组件
组件	描述
当前同步	显示当前正在进行的同步的状态信息。当未运行同步时，状态显示处于空闲状态。
下一次同步	显示下一个已安排的完整和增量同步。如果未设置计划，将显示未计划。
上次同步	显示最近两次已执行同步的状态。
当前同步状态	显示同步的总体状态。
连接器	显示可用于云的当前本地连接器。
云统计	显示同步的总体状态。
同步计划	显示增量同步和完全同步的同步计划。
配置摘要	列出配置中更改的设置。例如，摘要可能包括以下内容：所有对象都将同步所有用户都将同步已删除的阈值已禁用。

表2。操作工具栏
行动	描述
开始增量同步	手动启动增量同步暂停或禁用同步时，如果未完成完全同步或同步正在进行中，则此操作将禁用。
同步干运行	执行干运行同步。
启动活动查看器	启动Microsoft Event Viewer。
刷新	刷新Cisco目录连接器仪表板

表3. Menubar操作
行动	描述
立即同步	立即开始完全同步。
同步模式	选择增量或完全同步模式。
重置连接器秘密	在Cisco目录连接器和连接器服务之间建立对话。选择此操作将重置云中的秘密，然后在本地保存秘密。
干运行	对同步过程执行测试。在进行完全同步之前，必须先进行干运行。
故障排除	打开/关闭故障排除。
刷新	刷新Cisco目录连接器主屏幕。
退出	退出Cisco目录连接器。

表4。关键组合
关键组合	行动
Alt +A	显示操作菜单
`Alt +A + S`	现在同步
`Alt +A + R`	重置连接器秘密
`Alt +A + D`	干运行
`Alt +A + S + I`	增量同步
`Alt +A + S + F`	完全同步
`Alt + H`	显示帮助菜单
`Alt + H + H`	帮助
`Alt + H + A`	关于
`Alt + H + F`	常见问题

设置自动升级

1个	从Directory Connector，转至配置 > 通用，然后检查自动升级到新的Cisco Directory Connector版本。
2个	单击应用保存更改。

新版本的连接器可用时将自动安装。

您可以手动管理升级（如果您愿意）。有关更多信息，请参阅升级至最新软件版本。

选择要同步的Active Directory对象

默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。

自动许可证分配组

Control Hub允许您按组管理许可证分配。您可以创建许可证模板，并将其映射到同步到云的Active Directory组。在用户创建时，Webex检查该新用户的用户会员身份和自动许可证模板映射。

我们建议您使用LDAP过滤器仅将相关组同步到云。例如，您可以将过滤器设置为：

(&（cn=示例）（objectclass=组）)*

此过滤器将以Example开头的基础DN中的所有组同步。未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。

目录连接器中的对象选择屏幕

混合数据安全部署组

在Directory Connector中，如果您使用混合数据安全为试点用户配置试用组，则必须检查组。请参阅混合数据安全部署指南获得指导。此目录连接器设置不会影响云中的其他用户同步。

开始之前

1个	从目录连接器转至配置，然后单击对象选择。
2个	在对象类型部分中，检查用户，并考虑限制用户可搜索容器的数量。例如，如果您想仅同步特定组中的用户，必须在用户LDAP过滤器字段中输入LDAP过滤器。如果要同步示例管理器组中的用户，请使用以下过滤器： `(&(sAMAccountName=*)(memberOf=cn=Example-manager，ou=Example，ou=Security Group，dc=COMPANY))`
3个	检查识别房间以将房间数据与用户数据分开。要设置其他属性，将用户数据识别为房间数据，请单击自定义。如果要将内部会议室信息从Active Directory同步到Webex云时，请使用此设置。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。有关详细信息，请参阅将内部会议室信息同步到Webex云。
4个	要将Active Directory用户组同步到云，请检查组。不要向“组”字段添加用户同步LDAP筛选器。您仅应使用“组”字段将组数据本身同步到云。默认情况下，组不会为新客户同步。必须启用组同步。还必须同步安全组。
5个	如果要将用户的联系信息同步到云，请检查联系人。目录连接器仅管理由连接器同步的联系人。如果Control Hub中已经有联系人，则同步不会删除联系人。如果从同步范围中删除联系人，则在Control Hub中也会删除用户的联系信息。
6个	配置 LDAP 过滤器。您可以通过提供有效的LDAP过滤器来添加扩展过滤器。有关配置LDAP过滤器的更多信息，请参阅本文。
7	单击选择以查看Active Directory树结构，指定要同步的On Premises Base DN。您可以在此处选择或取消选择要搜索的容器。
8个	检查要为此配置添加的对象，然后单击选择。您可以选择要用于同步的单个容器或母容器。选择父容器，以启用所有子容器。如果您选择子容器，母容器会显示灰色复选标记，表示孩子已检查。然后，您可以单击选择以接受选中的Active Directory容器。如果您的组织将所有用户和组放置在“用户”容器中，则无需搜索其他容器。如果您的组织被分为组织单位，请确保选择OU。
9	单击应用。选择一个选项：应用配置更改干运行取消有关干运行的信息，请参阅在Active Directory用户上执行干运行同步。对于组同步，您必须执行完整同步：将Active Directory用户完全同步到云中。

映射用户属性

您可以将本地Active Directory中的属性映射到云中的相应属性。唯一的必填字段是*uid，这是云身份服务中每个用户帐户的唯一标识符。

您可以选择要映射到云的Active Directory属性—例如，您可以映射到Active Directory中的 firstName lastName，或将自定义属性表达式映射到云中的 displayName。

Active Directory中的帐户必须有一个电子邮件地址；uid映射默认为邮件的广告字段（不是 sAMAccountName）。

如果您选择使用首选语言来自Active Directory，则Active Directory是唯一的真理来源：用户将无法在Webex设置中更改其语言设置，管理员也无法在Control Hub中更改设置。

1个	从Directory Connector，单击配置，然后选择用户属性映射。此页显示Active Directory（左侧）和Webex云（右侧）的属性名称。所有必需属性都标有红色星号。
2个	向下滚动到 Active Directory属性名称的底部，然后选择其中一个Active Directory属性以映射到云属性uid：邮件—大多数部署用于电子邮件格式。 userPrincipalName—如果您的邮件属性在Active Directory中用于其他用途，则可选择此选项。此属性必须为电子邮件格式。您可以将其他Active Directory属性映射到uid，但我们建议您使用上述指南中的邮件或userPrincipalName。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。要查看Active Directory中的哪些属性与云中的对应关系，请参阅在Directory Connector中映射Active Directory属性。要使同步工作，您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口，以提醒您，如果您没有选择推荐的属性。
3个	如果预定义的Active Directory属性不适用于部署，请单击属性下拉菜单，滚动到底部，然后选择自定义属性以打开一个窗口来定义属性表达式。单击帮助以获取有关表达式的更多信息，并查看表达式如何工作的示例。您还可以查看自定义属性的表达式以了解更多信息。在此示例中，我们将将Active Directory属性 `givenName` 和 `Sn` 映射到云属性 `displayName`：将属性表达式定义为givenName + "" + Sn（引号为额外空间），然后提供现有的用户电子邮件以进行验证。单击验证，查看结果是否符合您的期望。成功结果如下：如果结果符合您的预期，请单击确定保存新的自定义属性。稍后，如果您要更改 displayName，可以输入新的属性表达式 Directory Connector验证身份服务中的uid的属性值，并在当前用户过滤选项下检索3个可用用户。如果所有3个用户都具有有效的电子邮件格式，则Cisco Directory Connector将显示以下消息：如果无法验证属性，您将看到以下警告，并可以返回到Active Directory以检查和修复用户数据：
4个	（可选）如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中，选择手机和电话号码的映射。当用户将鼠标悬停在另一个用户的档案照片上时，电话号码数据会显示在Webex应用程序中。有关从用户联系人卡呼叫的更多信息，请参阅在Webex (Unified CM)部署指南（管理员）。
5个	选择其他映射以显示在联系人卡中的更多数据： `部门号码` `显示名称` `经理` `标题` 映射属性后，当用户将鼠标悬停在另一个用户的档案图片上时，会显示信息：有关联系卡的更多信息，请参阅验证您的联系人。将这些属性同步到每个用户帐户后，您还可以在Control Hub中打开People Insights。此功能允许Webex App用户在配置文件中共享更多信息，并相互了解。有关该功能以及如何启用该功能的更多信息，请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events（新建）People Insights Profiles
6个	做出选择后，单击应用。

Active Directory中包含的任何用户数据都会覆盖与该用户对应的云中的数据。例如，如果您在Control Hub中手动创建用户，则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。在Active Directory中没有相应电子邮件地址的用户将被删除。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

活动目录和云属性

您可以使用用户属性映射选项卡将本地Active Directory中的属性映射到云中的相应属性。

此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。这些值和映射是Directory Connector中的默认设置。您可以在Active Directory下拉菜单中选择不同的属性，并确定哪些内部属性与哪个云属性同步。

将下拉菜单属性视为预设。作为Active Directory行中的值的替代，您还可以在Active Directory中指定自定义属性（具有多个属性的表达式）以映射到相应行中的单个云属性。这样，您可以灵活地确定用户的显示名称，例如，您可以添加一个表达式，根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。

您还可以指定任何Active Directory属性，以映射到云中的uid。但是，您必须确保内部属性遵循有效的电子邮件格式。

您还可以使用其他电子邮件地址，例如，如果您想使用userPrincipalName进行登录，但用户的电子邮件地址用于管理他们的日历。在这种情况下，将其他电子邮件地址映射到电子邮件；类型-工作属性。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。

活动目录属性名称	Webex云属性名称	注释
—	建筑名称	—
c	c	此属性指定用户的国家缩写。
部门号码	部门号码	此属性用于联系人卡和人员见解中显示的用户的部门号码。
显示名称	显示名称	此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。
用户帐户控制	ds-pwp-account-disabled	此属性用于用户同步。确保 userAccountControl 属性映射到 ds-pwp-account-disabled，或者用户未正确同步。
员工号码	员工号码	—
传真电话号码	传真电话号码	—
—	jabberID	此云属性与Jabber使用的IM地址（XMPP类型）有关。此值与sipAddresses不同。
L的	L的	此属性指定用户的城市。
—	Category：本地	—
经理	经理	此属性用于联系人卡和人员见解中的用户经理名称。
移动设备	移动设备	此属性被用作显示从联系人卡呼叫用户的移动号码。
或	或	此属性指定公司或组织的名称，并显示在联系人卡中。
或	或	此属性指定组织单位的名称。
physicalDeliveryOffice名称	physicalDeliveryOffice名称	此属性指定用户的办公位置。
邮政编码	邮政编码	此属性指定了用于实际邮件交付的用户的邮政或邮政编码。
首选语言	首选语言	此属性设置用户的首选语言，支持以下格式： xx_YY或xx-YY。下面是一些示例： en_US，en_GB，fr-CA。如果您使用不受支持的语言或无效的格式，用户的首选语言将更改为组织的语言集。
MSRTCSIP-主要用户地址 ipPhone	SipAddresses；type=enterprise	此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。
sn	sn	此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。
圣	圣	此属性指定用户的状态或省。
街道地址	街道	此属性指定用于实际邮件递送的用户的街道地址。
电话号码	电话号码	此属性指定用于从联系人卡呼叫用户的主要（工作）电话号码。
—	时区	此云属性指定用户的时区。
标题	标题	此属性指定联系人卡和人员见解中出现的用户标题。
类型	企业	—
邮件用户主要名称	uid	强制性的属性映射。对于每个用户帐户，Active Directory值映射到云中的唯一的UID。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。然后用户可以使用这两个电子邮件地址之一登录，只要正确的 SAML属性映射就行了。请参阅下面的示例属性映射，了解如何映射替代电子邮件地址。
用户主要名称邮件 <自定义属性>	电子邮件；类型工作	此映射是可选的，如果您想使用其他电子邮件地址，请使用此映射。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。
<Azure用户对象Id的新属性>	外部ID	创建新的Active Directory属性以保留Azure用户对象ID，使其不会与现有的ID冲突。此属性随后映射到externalId属性，确保Webex用户在Microsoft 365中创建群组时，会自动在Webex中创建群组。

替代电子邮件地址映射

自定义属性的表达式

表5。自定义属性的表达式
操作员	描述和示例
%	如果匹配，将字符串开头的所有字符删除到字符或字符串参数的位置。示例表达式 `"abc@example.com" % "@"` 结果 `example.com`
-	从指定字符串的末端剥离输入字符串的背部。示例表达式 `"abc@example.com" - "@"` 结果 `广播`
+	连接输入字符串或表达式。示例表达式 `"abc" +" + "def"` 结果 `abc def`
\|	根据空字符串评估分隔表达式，并选择第一个非空结果。示例表达式 `“” \| “abc”` 结果 `广播`

将Active Directory属性中的目录头像同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序同步来自Active Directory属性的原始头像数据。

1个	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2个	对于从获取头像，选择AD属性，然后选择头像属性，其中包含要同步到云的原始头像数据。
3个	要验证头像是否正确访问，请输入用户的电子邮件地址，然后单击获取用户头像。头像出现在右侧。
4个	验证头像显示正确后，单击应用保存更改。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步该做什么

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将目录头像从资源服务器同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序从资源服务器同步化头像。

开始之前

此过程中的URI模式和变量值是示例。您必须使用目录头像所在位置的实际URL。
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。连接器需要http或https访问图像，但图像不需要在互联网上公开访问。
头像数据同步与Active Directory用户配置文件分开。如果您运行代理，必须确保NTLM身份验证或基本身份验证可以访问头像数据。

1个	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2个	对于从获取头像，选择资源服务器，然后输入头像URI模式—例如，*`http：//www.example.com/dir/photo/zoom/{mail： .?(?=@.)}.jpg`* 让我们来看看阿凡达URI模式的每个部分及其含义： http：//www.example.com/dir/photo/zoom/—将同步的所有照片所在的路径。它必须是服务器上的Directory Connector服务必须能够访问的URL。邮件：—告诉Directory Connector从Active Directory获取邮件属性的值 .?(?=@.)—执行以下功能的regex语法： *`。—任何字符，重复零或多次重复。` `？—告诉前一个变量以匹配尽可能少的字符。` `(?= ... )—匹配主表达式之后的组，但结果中不包含该组。目录连接器查找匹配并且不包含在输出中。` `@。—在at符号，然后是任意字符，重复零或多次重复。`* `.jpg—用户头像的文件扩展名。查看本文档中支持的文件类型，并相应更改扩展名。`
3个	（可选）如果您的资源服务器需要凭证，请检查为头像设置用户凭证，然后选择使用当前服务登录用户或使用此用户并输入密码。
4个	输入变量值—例如： `abcd@example.com`。
5个	单击测试以确保头像URI模式正常工作。在此示例中，如果一个AD条目的邮件值为 `abcd@example.com`，并且jpg图像正在同步，则最终阿凡达URI 为 `http：//www.example.com/dir/photo/zoom/abcd.jpg`
6个	验证了URI信息并看起来正确后，单击应用。有关使用正则表达式的详细信息，请参阅 Microsoft正则表达式语言快速参考。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步该做什么

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将内部会议室信息同步到Webex云

使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的Webex设备（房间、桌面和板）上的可搜索条目。

1个	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择对象选择。
2个	检查将房间信息同步到云，在同步过程中将房间数据与用户数据分开。禁用此设置时，将以与用户同步数据相同的方式处理会议室数据。
3个	转至属性映射，然后更改云属性的属性映射sipAddresses；type=enterprise。要使用值验证，SIP地址的值应为Pattern.compile("^([^@])(.)@(.)$") 如果可用，选择 MSRTCSIP-PrimaryUserAddress。如果您在Active Directory模式中没有上述属性，请使用其他字段，例如 ipPhone。
4个	在Exchange中创建会议室资源邮箱。这将添加连接器用于识别房间的 msExchResourceMetaData；ResourceType：Room 属性。
5个	从Active Directory用户和计算机，导航到并编辑会议室的属性。使用sip的前缀添加完全合格SIP URI：
6个	在连接器中执行干运行同步，然后执行完整运行同步。新会议室对象列出已添加对象，匹配的会议室对象将出现在匹配对象中干运行报告中中。任何标记要删除的房间对象都位于已删除的房间下。干运行结果显示所有匹配的房间资源。此设置将Active Directory房间数据（包括房间属性）与用户数据分离。同步完成后，连接器仪表板上的云统计数据将显示与云同步的房间数据。

下一步该做什么

现在您已完成这些步骤，当您在Webex云注册设备上搜索时，您将看到使用SIP地址配置的同步房间条目。当您将Webex设备拨入该条目时，将呼叫放置到为房间配置的SIP地址。

从Control Hub，您可以自动从目录导入会议室并创建工作空间。

端点无法将呼叫回传回至Webex应用程序。对于测试拨号设备，这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。如果您正在搜索的Active Directory会议室系统已注册到Webex，并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上，则搜索结果不会显示重复条目。在Webex应用程序中直接拨打Room、Desk或Board设备，不会进行SIP呼叫。

在目录同步结果上发送电子邮件报告

默认情况下，组织联系人或管理员总是会收到电子邮件通知。使用此设置，您可以自定义谁应该接收总结目录同步报告的电子邮件通知。

1个	从Directory Connector，单击配置，然后选择通知。
2个	从Directory Connector中，单击设置，然后在电子邮件接收器旁边切换启用报告同步。
3个	如果要覆盖默认通知行为并添加一个或多个电子邮件收件人，请选择启用通知。
4个	单击添加，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
5个	单击添加电子邮件，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
6个	如果您需要编辑您输入的任何电子邮件地址，请双击左侧列中的电子邮件条目，然后进行所需的任何更改。
7	添加所有有效电子邮件地址后，单击应用。
8个	添加所有有效电子邮件地址后，单击保存。

下一步该做什么

如果您决定删除电子邮件地址，您可以单击电子邮件以突出显示该条目，然后单击删除。

如果您决定删除电子邮件地址，可以单击特定电子邮件地址条目旁边的删除。

从Active Directory向Control Hub提供用户

按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。在安装每个域的Directory Connector后，您可以从多个域Active Directory部署（包含单个森林或多个森林）提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

1个	在您的Active Directory用户上执行干线同步执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
2个	将Active Directory用户完全同步到云当您运行完全同步时，连接器服务将从Active Directory (AD)的所有过滤对象发送到云。连接器服务然后用您的AD条目更新身份存储。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。
3个	向Control Hub中的Directory同步用户分配Webex服务完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用各种方法分配Webex服务许可证。我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。您还可以在此初始步骤后进行个人更改。

在您的Active Directory用户上执行干线同步

执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。

在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。使用Directory Connector，目标是在Active Directory和Webex云之间实现精确匹配。

如果您在单个森林或多个森林中拥有多个域，则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。

开始之前

在使用Directory Connector之前，您可能已经在Control Hub中拥有一些Webex应用程序用户。在云中的用户中，有些用户可能会与本地Active Directory对象匹配，并为服务分配许可证。但有些测试用户可能是在进行同步时要删除。您必须在Active Directory和Control Hub之间创建完全匹配。

1个	选择一项：首次登录后，单击提示符上的是以执行干运行。如果您错过了执行干运行的提醒，请随时从Directory Connector单击仪表板，选择同步干运行，然后单击确定以开始干运行同步。当干运行完成时，您将看到以下结果之一： *在目录连接器中检测到不匹配的对象* *Dry Run报告结果和目录连接器中的不匹配对象摘要* 摘要包含有关对象匹配的信息：匹配对象 -在Webex Common Identity中并且还存在在Active Directory域中的用户，如someuser@cisco.com与Webex同步并显示在Control Hub中，并且同一用户(someuser@cisco.com)在Active Directory中存在。这意味着用户已匹配。不匹配对象 -在Webex中使用的用户，无论该用户是如何在Common Identity中添加的，但在Active Directory中不存在该用户。它被称为“不匹配对象”。例如，如果someuser@cisco.com在Webex中同步并显示在Control Hub中，但同一用户(someuser@cisco.com)未由Active Directory管理，则报告显示该用户不匹配。干运行通过比较与域用户来识别用户。如果用户属于当前域，应用程序可以识别用户。在下一步，您必须决定是删除对象还是保留它们。不匹配的对象已在Webex云中存在，但在内部Active Directory中不存在。
2个	查看干运行结果，然后根据您使用单个域还是多个域选择一个选项：单一域—确定是否要保留不匹配的用户。如果要保留它们，请选择否，请选择是，删除对象。在您完成这些步骤并手动运行完整同步后，以便本地和云之间精确匹配，Directory Connector将自动启用已安排的自动同步任务。多个域—对于具有域A和域B的组织，首先对域A进行干燥。如果您想保留不匹配用户，请选择否，保留对象。（这些不匹配的用户可能是域B的成员。）如果要删除，请选择是，删除对象。如果您保留用户，请先为Domain A运行完整同步，然后为Domain B运行干燥。如果仍然存在不匹配的用户，请在Active Directory中添加这些用户，然后为Domain B进行完整同步。当内部和云之间有精确匹配时，Directory Connector将自动启用已安排的自动同步任务。
3个	在确认干运行提示符中，单击是重执行干运行同步并查看仪表板以查看结果。在干运行中成功同步的所有帐户都出现在匹配对象下。如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户，则该条目在已删除用户下列出。要避免此删除标记，您可以在具有相同电子邮件地址的Active Directory中添加用户。要查看已同步项目的详细信息，请单击特定项目或匹配对象的相应选项卡。要保存摘要信息，请单击保存结果至文件。
4个	如果预期结果，请转至操作 > 同步模式 > 启用同步，然后单击立即启用进行手动同步，并在此处设置手动模式。在多个域部署中的最后一个Active Directory域进行同步后，必须为Directory Connector启用自动模式。只有当对象在Webex云和所有内部活动目录之间完全匹配时，您才可以启用自动模式。

下一步该做什么

对于您保留的任何不匹配的用户对象，您必须将其添加到Active Directory，以便在内部和云之间实现完全匹配。
选择同步类型：
- 首次将新用户同步到云时，将Active Directory用户完全同步到云中。您可以从操作 > 立即同步 > 完整进行操作，然后从当前域的用户将同步。
- 设置连接器计划并在运行完整同步后运行增量同步，如果要在初始同步后拾取更改。建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
  
  默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。
如果您有多个域，请在已安装的任何其他目录连接器上重复这些步骤。

需要记住的事情

启用完全同步之前或更改同步参数时执行干运行。如果干运行由配置更改启动，您可以在干运行完成后保存设置。如果您已手动添加用户，执行Active Directory同步可能会导致以前添加的用户被删除。您可以在完全同步到云之前检查Directory Connector Dry Run报告，以验证所有预期用户都存在。

如果匹配的用户被标记为要删除，并且您不确定如何继续，请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

将Active Directory用户完全同步到云

当您运行完全同步时，连接器服务将从Active Directory (AD)的所有过滤对象发送到云。连接器服务然后用您的AD条目更新身份存储。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。

如果您有多个域，则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。

目录连接器同步用户帐户状态—在Active Directory中，任何被标记为禁用的用户在云中也会显示为非活动。

开始之前

如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态，则必须执行以下步骤以绕过电子邮件验证：
- 将单点登录与Webex组织集成。查看使用Cisco Webex Services和您的组织的身份提供商进行单点登录有关更多信息。
- 使用Control Hub验证并选择声称电子邮件地址中包含的域。查看添加、验证和请求域.
- 抑制自动电子邮件邀请，这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。（您可以进行自己的电子邮件活动。）
  
  尚未登录的已激活用户在Control Hub中显示已验证状态。登录后，它们将显示为活动状态。有关用户状态的更多信息，请参阅 Cisco Webex Control Hub中的用户状态和操作。
启用同步时，Directory Connector要求您先执行干运行。我们建议您在完全同步之前进行干运行，以发现任何潜在的错误。
在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。

如果您不使用自动分配许可证模板，新同步的用户会自动获得免费许可证。他们将能够使用与免费帐户的相同的免费功能。

1个	选择一项：首次登录后，如果干运行已完成并且所有域看起来正确，请单击立即启用以允许自动同步发生。从Directory Connector，转至仪表板，单击操作，选择同步模式>启用同步，然后单击立即同步>完整开始同步。
2个	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择完全同步。
3个	确认同步的开始。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序会在您执行同步后72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。在同步过程中，仪表板会显示同步进度；这可能包括同步类型、它开始的时间，以及同步当前正在运行的阶段。同步后，最后同步和云统计部分将使用新信息更新。用户数据同步到云。如果在同步过程中发生错误，状态指示球将变为红色。
4个	要更新同步状态，请单击刷新。（同步项目出现在云统计下。）
5个	有关错误的信息，请从操作工具栏选择启动事件查看器以查看错误日志。
6个	要设置持续增量同步到云的同步计划，请参阅设置连接器计划和运行增量同步。

完成完全同步后，在Control Hub的设置页面上，目录同步状态将从禁用更新至操作。
当所有数据在内部和云之间匹配时，Directory Connector将从手动模式更改为自动同步模式。
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件，否则Webex应用程序用户帐户将保持未验证状态，直到用户首次登录Webex应用程序以确认其帐户。请参阅“开始之前”部分，了解如何将帐户同步为活动用户的指导。
如果您有多个域，请在已安装的任何其他目录连接器上执行此步骤。同步后，您添加的所有域上的用户都会在Control Hub中列出。
如果您将单点登录与Webex集成，并且已删除的电子邮件通知，则电子邮件邀请不会发送给新同步的用户。
启用目录连接器后，您无法在Control Hub中手动添加用户。启用后，从Cisco目录连接器执行用户管理，而Active Directory是唯一的真理源。
您同步的任何组都出现在Control Hub中，并且您可以分配许可证模板，以便该组中的用户获得许可证。

下一步该做什么

当您从Active Directory中删除用户时，该用户将在下次同步后被软删除。用户处于非活动状态，但云身份档案将保留七天（以便从意外删除中恢复）。

如果您在Active Directory中检查帐户已禁用，则下次同步后该用户将变为非活动。云身份档案七天后不会删除，以防要再次启用用户。
注意增量同步的这些异常（请按照上面的完整同步步骤操作）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。

向Control Hub中的Directory同步用户分配Webex服务

完成从Cisco目录连接器到Control Hub的完整用户同步后，您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证，或者如果您已经配置了自动分配的许可证模板，则向新用户添加其他许可证。您可以在此初始步骤后更改个人用户帐户。

完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证（如果您已经配置了自动分配许可证模板）。您可以在此初始步骤后更改个人用户帐户。

当您向Webex应用程序用户分配许可证时，该用户默认会收到一封确认分配的电子邮件。该电子邮件由Control Hub中的通知服务发送。如果您将单点登录(SSO)与Webex组织集成，则如果您更愿意直接联系用户，您也可以删除这些自动电子邮件通知。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
在Active Directory用户上执行干运行同步。
确认干运行结果后，在Active Directory用户上进行完全同步。

在完全同步时，用户在云中创建，不添加服务分配，也不发送激活电子邮件。如果电子邮件未被抑制，新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。

1个

从 https：//admin.webex.com 中的客户视图，转至管理 > 用户，单击管理用户，选择修改所有同步用户，然后单击下一步。

2个

选择一个选项：

下一步该做什么

如果电子邮件没有被抑制，将向每个用户发送电子邮件，并邀请其加入和下载Webex。
如果您为所有用户选择了相同的Webex服务，那么您可以单独或批量更改分配的许可证。

相关信息

目录连接器的已知问题

2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。此问题已在 2012 R2 和 2016版本中得到解决。
对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。

您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间，此时呼叫将无限响起。

管理Webex应用程序用户

运行增量同步

增量同步会查询 Active Directory，查找自上次同步以来发生的更改。然后，此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。

此同步不会给服务器带来那么多的负载，也不需要像完全同步那样多的时间。完成初始完整同步后，我们建议为后续同步使用增量选项。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
注意不支持增量同步的以下异常（请遵循将Active Directory用户完全同步到云中）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 对于属性映射、基本DN、过滤器和头像设置的新配置更改，增量同步无法工作，需要完全同步。

1	从 Directory Connector 中，单击控制板。启用同步时，Directory Connector 将要求您首先执行测试。
2	从操作中，如果尚未启用，单击同步模式>启用同步。默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。当新的增量时间间隔出现时，程序会根据最后一个时间标识检查更改。
3	从操作中，单击立即同步 > 增量。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存：Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，最后同步和云统计部分将使用新信息更新。如果同步期间发生错误，状态指示球将变为红色。
4	有关错误的信息，单击操作工具栏中的启动事件查看器可查看错误日志。

下一步

如果您有多个域，请在已安装的其他目录连接器实例上执行此步骤。

恢复意外删除的用户

Directory Connector具有制衡功能，以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器，这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复，并在Control Hub中重新建立用户帐户。

默认情况下，此功能对所有组织都启用。例如，在云中删除用户时，由于从Directory Connector同步后出现不匹配的对象问题，用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除，如果您快速采取行动，您可能能够恢复它们。

当在Active Directory中删除相应帐户时，用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间，您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。

在Active Directory中禁用的用户在Control Hub中标记为Inactive，但用户帐户在7天后不会删除。

1	登录到 Control Hub。
2	转至用户并确认特定用户帐户是否处于非活动状态或未列出。有关详细信息，请参阅控制中心中的用户状态和操作。
3	如果在Control Hub中删除用户，或者您注意到用户处于非活动状态，请转至Active Directory，添加缺失的用户帐户，然后在Directory Connector中执行干运行同步。使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。
4	执行完全同步，将暂时删除的用户帐户重新同步至Control Hub。用户被恢复并转至原始状态，包括其帐户状态和服务分配。

下一步

返回Control Hub，转至管理 > 用户，并确认先前删除的用户帐户出现在用户列表中。

在软删除后永久删除用户

执行干运行后，您可以选择永久删除下次同步时被软删除的用户。

1	干运行完成后，选择软删除对象。
2	选中要删除的用户旁边的复选框。
3	选择完成。

下一步

下次同步时，已检查的用户将被永久删除。

更改Webex应用程序电子邮件地址

如果您想更改用户电子邮件地址，并且您的组织使用Directory Connector，请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。

如果您只想更改一个用户的电子邮件或某个值，请勿从Active Directory中删除该用户，然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户，用户空间和云中的其他数据将丢失。

要在不更改域的情况下更改用户电子邮件地址：
1. 在Active Directory中打开用户帐户（例如，user1@example.com）并更改电子邮件地址（例如，user2@example.com）。
2. 在目录连接器上恢复同步。
  
  下次同步后，更改会显示在Control Hub中的用户列表中，以及缓存更新后Webex应用程序中的用户。
  
  采用此方法不会造成数据或空间丢失。第一次同步后在云中设置用户的唯一标识符。所有后续同步均基于此标识符。
在使用Directory Connector的多个域部署中，要在更改域时更改用户电子邮件地址（考虑旧域为example1.com，新域为example2.com）：
1. 对于旧用户帐户(user1@example1.com)，请注意映射到 uid 云属性的Active Directory属性。您需要为新帐户使用相同的Active Directory值。对于此示例，我们将使用 user1@example1.com 作为在云中映射到 uid 的本地属性。
2. 在example1.com和example2.com域的Directory Connector上暂停同步。
3. 在example2.com中创建新用户帐户，并使用上面的相同属性。（例如，user1@example1.com）。
4. 在Directory Connector上，例如2.com恢复同步
  
  在继续之前，请验证user1@example2.com帐户是否同步到Control Hub。我们建议您指示用户在Webex应用程序中验证电子邮件更改，并保留所有数据（空间、消息、会议、文件等）。
  
  使用此方法不会丢失数据或空间，但在新用户帐户中，您必须确保从旧用户帐户中保留映射到云uid属性的Active Directory属性。如果您更改了Active Directory值，新帐户不会保留旧帐户中的数据。
5. 验证电子邮件地址更改且数据完好后，删除example1.com上的旧用户帐户，然后使用Directory Connector恢复为example1.com的同步功能。
  
  此时，您可以安全地更新新的Active Directory域中的user1@example2.com电子邮件地址。

目录连接器不限制电子邮件域更改。但是，当用户重新同步到云时，用户状态取决于您的组织中是否验证新域。如果组织中未验证域，则在完全同步后，用户的状态将更改为“待定”。有关更多信息，请参阅管理您的域。

如果您的组织不使用Directory Connector，您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址，了解用户可以遵循的步骤来更改电子邮件。

更改 Active Directory 域

您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。

1	设置新的 Active Directory (AD) 域。
2	禁用所有连接器上的同步。
3	卸载所有连接器。
4	打开案例以更改域名。在案例提交中，请确保请求删除组织中的域配置和所有同步属性。在打开案例以更改域之前，请确保未运行同步功能。在案例解决之前，不要更改Active Directory中的任何用户电子邮件地址。
5	解决案例后：在具有新Active Directory域的同一服务器上安装Directory Connector。配置Directory Connector，使其指向新的Active Directory域。如果Control Hub ( https://admin.webex.com)中有现有用户，请确保具有匹配电子邮件地址的用户也出现在Active Directory中。如果您的组织已禁用DirSync中的 `softDelete` 切换，则在Control Hub中但不在Active Directory中的用户电子邮件地址将面临删除风险。在进行实际同步之前，使用Directory Connector执行测试运行。

域声明

如果您为某个组织申请电子邮件域名，从而在付费客户组织中创建任何旁边的帐户，而不是免费消费者组织中，则会出现域索偿。您只能通过支持案例进行域申索（有关更多信息，请参阅下面的链接）。

如果Directory Connector处于活动状态并且该域已声明，则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户，受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。

相关信息

在目录同步组织中转换免费的Webex应用程序用户

您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序，则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户，请在打开Directory Connector之前将其迁移（转换）到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。

如果您未在激活前转换帐户，请关闭 Directory Connector 以对帐户进行转换。

如果启用目录同步时尝试转换用户，将显示错误消息无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。

一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中，而不是不匹配对象。如果要将这些用户迁移到您的组织，则需要将这些用户添加到您的AD列表。

如果您未添加这些用户，它们将在您旁边同步到云时全部删除。

1	从 Directory Connector 中禁用目录同步功能。
2	按照在Control Hub中转换无许可用户程序将用户从免费消费组织转换为企业组织。此步骤将用户添加到您的组织，帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源，目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前，确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。
3	在Directory Connector上，执行干运行同步。测试完成后，查看“添加对象”标签页。验证是否未删除您已转换的任何用户。您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中，则Directory Connector将区分大小写，并删除其检测到电子邮件地址不匹配的转换用户（例如，user1@example.com和User1@example.com）。如果已删除任何转换的用户，他们将失去所有Webex应用程序空间。
4	如果您确定下一次同步将不会删除任何帐户，请从 Directory Connector 重新启用目录同步。

如果您没有验证域，转换的用户帐户不会自动激活。例如，如果您打开自动分配许可证模板，然后在没有域验证的情况下打开Directory Connector，转换后的用户将在云后端处于非活动状态，直到他们确认其电子邮件地址。

侧边的Webex应用程序用户帐户

当您邀请其他用户到Webex应用程序中的空间时，如果受邀用户没有Webex应用程序帐户，则为他们创建帐户（“侧面”）。缺省情况下，以此方式创建的帐户将添加至自由消费者组织中。

如果要使用Directory Connector管理侧栏帐户，则必须转换帐户。

目录同步后更改Webex应用程序用户名格式

默认情况下，Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。

执行目录同步后，您可能会发现该用户名以格式显示。

如果Active Directory中的 displayName 属性以这种方式配置，此用户名可能会出现。当属性映射到云中的 displayName 时，名称会在Control Hub中以格式显示。

若要更改格式，请在 Directory Connector 属性映射屏幕中进行如下操作：将Active Directory属性 givenName sn （或 sn givenName）映射到Cisco云属性名称中的 displayName 。

或者，将属性 sn givenName 映射到 displayName：

如果您想将自己的自定义属性表达式映射到 displayName，也可以使用“自定义属性”选项。

例如，输入givenName + "" + sn （名字、空间、姓氏）作为表达式。将Active Directory中的两个属性映射到云中displayName 。

允许用户在Webex Meetings中更改显示名称

如果您想允许用户编辑首选的显示名称，您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称，而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。

1	从Directory Connector，单击配置，然后选择用户属性映射。
2	在 Cisco云属性名称下选择显示名称。
3	选择不同步此属性。

下一步

用户现在可以从Webex站点编辑显示名称。

Directory Connector 故障诊断

升级到最新软件版本

要保持部署合规并获取最新功能、功能、错误修复和安全增强功能，您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本，则可能会遇到问题，例如Directory Connector不再正常同步，或者处于不支持强制性 TLS 1.2要求的版本上。

Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。

虽然您可以手动安装连接器软件更新更新，但我们建议您遵循设置自动升级中的步骤，让应用程序自动管理升级。

1	单击Windows任务栏中的通知，或右击Windows任务栏中的Directory Connector图标，开始升级过程。
2	按说明完成升级操作。
3	重新启动连接器并使用管理员凭据登录。
4	在帮助 > 关于下验证软件的版本号。

下一步

要重新安装Directory Connector，您可以下载zip文件，然后按照本指南中的安装步骤操作。

配置 Directory Connector 的常规设置

使用此程序配置常规设置，例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中，其中还包含正在运行的任何其他连接器。

1	从Directory Connector转至配置，然后单击常规。
2	在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。
3	从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括：信息（默认）—显示信息消息，突出显示高层次应用程序的进度。要在所有完整同步后接收报告，请使用此设置。警告—显示潜在的有害情况。调试-显示对调试应用程序最有用的详细信息事件。如果您看见任何问题，请设置此日志级别，并在提交支持申请时将事件日志发送给支持人员。错误-显示可能仍允许应用程序继续运行的错误事件。选择此选项时，仅在报告错误时发送同步报告。这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误，则仅在同步报告中报告错误；如果不存在错误，则不会发送同步报告。将设置更改为Info，然后在完全同步后收到同步报告。（请记住，对于增量同步，没有报告错误时不会发送报告。）
4	选择首选域控制器以设置域控制器同步身份的顺序。将按照从上到下的顺序访问域控制器。如果顶级控制器不可用，则选择列表中的第二个控制器。如果列表中没有控制器，您可以访问主控制器。
5	如果要进行自动升级，请检查自动升级到新的Cisco Directory Connector版本。将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置，允许在软件可用时安静地安装自动升级到软件。
6	检查通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。如果您未通过 SSL检查LDAP，则Directory Connector将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。

配置连接器策略

您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。

例如，将 1 设置为删除阈值触发值。在执行完全或增量同步时，如果您要删除的用户数大于该设置，Directory Connector 会显示警告。如果您单击忽略阈值，可以成功开始完全或增量同步，但是在您下次运行该策略时将再次看到此忽略提示。

1	从Directory Connector，单击配置，然后选择策略。
2	如需添加阈值触发器，请勾选“启用删除阈值触发器”复选框。选择该选项后，删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时，同步失败。
3	输入您要设置的最大删除次数。缺省值为 20。我们建议您不要增大该缺省值。
4	单击应用。

设置连接器的安排

在Active Directory中设置同步定时。为了实现高可用性 (HA)，使用了故障转移。如果有一个连接器宕机，我们会在预定义的间隔过后，切换到另一个待机连接器。

1	从Directory Connector，单击配置，然后选择计划。
2	以分钟为单位指定增量同步间隔。缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。
3	如果您希望更改发送报告的频率，请更改发送报告间隔时间值。
4	勾选启用完全同步计划以指定想要执行完全同步的日期和时间。
5	以分钟为单位指定故障转移间隔。
6	单击应用。

多域情境

多个域基于域优先级。对于在不同域具有相同键值的对象，在同步后，来自高优先级域的数据将覆盖来自低优先级域的数据。

具有相同键值的对象会链接到数据库中的同一条记录。

“用户”的键值是电子邮件地址；“组”的键值是组名。

多域使用示例

此示例假设某组织有两个域 - example1.com 和 example2.com，前者优先级高于后者。

添加 user1（电子邮件：user@example1.com）到 example1.com 的 Active Directory。
添加 group1（组名：Test）到 example1.com 的 Active Directory。
添加 user2（电子邮件：user@example2.com）到 example2.com 的 Active Directory。
添加 group2（组名：Test）到 example2.com 的 Active Directory。

在 example1.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

如果您为 example1.com 执行全面或增量同步，user1 和 group1 会同步。而且，user2 和 group2 会被 user1 和 group1 的信息覆盖。

User1 作为数据库中的相同记录链接到 user2；group1 作为数据库中的相同记录链接到 group2。

在 example1.com 和 example2.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

请考虑这些步骤：

在 example1.com 的 Active Directory 上删除 user1 和 group1。
为 example1.com 执行全面或增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1，而 group2 没有链接到 group1。
为 example2.com 执行增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。
为 example2.com 执行全面同步。
结果：user2 和 group2 的信息在 https://admin.webex.com 中列出。

同步新的域并保留现有域

如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后，该连接器会与新的域绑定，而域 (A) 下的用户信息不受影响。

每个域必须自带有效的连接器。请考虑采用以下设置的两个域：带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA)；带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中，一个连接器处于活动状态，另一个处于待机状态 (HA)。该设计可保持域同步，因为有一个连接器始终处于活动状态。也就是说，cb1 是域 B 处于活动状态的连接器，因为域 A 已有处于活动状态的连接器（ca1 或 ca2）。

设置域优先级

使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域，等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织，此设置会很有帮助。

如果在 Directory Connector 中只列出了一个域，则不要使用此过程。如果您尝试进行此配置，连接器会显示一条消息，说明不需要域优先级。

开始之前

要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击设置域优先级。
3	高亮显示列表中的一个域，单击向上或向下更改此域的优先级，然后单击保存保存更改。各个域会按优先级自上而下排序。

切换域

使用此程序将Cisco目录连接器重新绑定到另一个域。

开始之前

在切换域之前，确保没有同步任务在运行。
要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击切换域。
3	阅读警告后，如果您理解此更改对部署的影响，而且您仍然确定要更改，请单击是。如果您切换域，则您将从当前Cisco目录连接器中注销，连接器中的其他域未注册，并且删除该计算机上的连接器信息。
4	重新登录Cisco目录连接器并重新绑定域。

关闭目录同步

如果您需要停止从Directory Connector进行同步，可以从Control Hub暂时将其关闭。

1

从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，然后选择一个：

单击更多，然后单击要关闭的连接器实例旁边的关闭。
单击关闭所有目录同步可停止所有连接器实例的同步。

2

阅读提示之后，单击关闭。

同步停止，直到从Directory Connector重新启用它。

删除用户属性映射

使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后，属性值将从云中删除，不再与Webex同步。然后可以手动编辑这些值。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 删除用户属性映射。
3	选择映射以从属性名称列表中删除。
4	在受影响的用户范围下，选择以下其中一项：仅使用目录连接器同步用户：映射将仅从先前同步的Directory Connector的用户中删除。所有用户：映射将从所有Active Directory用户中删除。
5	单击应用。

管理档案照片

使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 管理配置文件图片。
3	在操作下，选择以下其中一项：删除空头头像源的个人资料图片：如果Active Directory个人资料图片为空，此选项可确保用户个人资料图片从云中删除，即使用户之前已在Webex中上传了自己的图片。从同步源重新上传以覆盖缓存的图片：目录连接器使用与之前相同的Active Directory来更新所有用户的配置文件图片。这可以确保Active Directory中的个人资料图片与云之间没有不匹配。
4	单击 Apply（应用）。

卸载并停用目录连接器

卸载 Directory Connector 实例后，必须取消注册它。如果面临以下任何情况，都应该彻底删除 Directory Connector：

您不想再使用目录同步。
您不想使用多个 Directory Connector（高可用性）中的某一个。
您想要更改域并安装其他连接器。

开始之前

您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例，请禁用同步。
卸载Directory Connector之前，保存并关闭任何重要工作。

1	在您的 Windows 计算机上，转至“控制面板”，然后单击程序和功能。
2	从程序列表中，单击目录连接器，选择卸载，然后按照提示操作。您可能需要重启系统来完成卸载。
3	从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，单击更多，然后单击要卸载的目录连接器实例旁边的停用。
4	阅读提示之后，单击停用。用户帐户将不会再同步，除非在高可用性 (HA) 部署中还有其他 Directory Connector。

运行诊断工具

您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。

如果同步工作不正确，您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接，因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误，您可以发送详细的日志结果以支持。

要为Active Directory域服务运行测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-DS 选项卡，输入您的域，然后单击加载域控制器。
2. 从列表中选择一个域控制器。
  
  以后不要更改条目，因为增量搜索必须始终在同一域控制器上运行。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户和组对象和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行Active Directory轻量级目录服务的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-LDS 选项卡，输入主机和端口，然后单击加载分区。
2. 从列表中选择分区，然后单击连接。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户、用户代理和用户代理完整和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行轻量级目录访问协议(LDAP)的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击LDAP RAW 选项卡，输入根路径，过滤，从属性中选择一个条目，然后单击加载分区。
2. 根据需要检查以下选项：
  - ObjectSecurity—如果存在此选项，呼叫方不需要任何权利，只能看到呼叫方可访问的对象和属性。如果此选项不存在，呼叫者有权复制更改。
  - 家长至上—确保所有孩子的家长都先到孩子面前。
3. 选择 ExtendedDN 的值。
  
  此值用于扩展的LDAP搜索，以请求对象突出名称的扩展形式。
4. 选择ReferralChasing值。
  
  当域控制器从查询中返回转介时，将启动转介追踪——例如，对于可能位于命名空间之外的查询结果的详细信息（例如其他域或森林中的群组成员）。
5. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
6. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。

解决Ciso Directory Connector中的问题

目录连接器的故障排除和修复

您可能在Directory Connector中遇到错误消息或其他问题。此外，在Directory Connector同步用户信息后，该连接器可能会向您发送一封电子邮件报告，列出同步存在的任何问题。在联系支持人员之前，请参考以下章节，了解可能出现的问题、可能的原因和建议解决方案。

安装

Directory Connector 停止运行

您收到警告电子邮件，通知您您的Directory Connector无法工作。

目录连接器可能未正确安装。
目录连接器可能未运行。
网络可能不可用。

请尝试以下操作：

打开控制面板 > 程序和功能。找到 Directory Connector。如果没有，请从Control Hub下载最新版本并安装。
打开服务并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止，请单击右键并选择“启动”以重启该服务。
确保安装Directory Connector的服务器能够访问Internet。

重新安装错误

问题—如果您在卸载旧连接器后立即安装新连接器，可能会看到错误消息。

可能原因—在Windows Server 2012中，卸载客户端需要时间从服务列表中删除服务帐户。

解决方案—经过一段时间后，请再次尝试安装。

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

请执行以下步骤以在用户级别更改策略：

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

在运行 gpupdate /force、重新启动机器（用于机器更改）或再次输入用户符号（用于用户更改）后，更改将生效。

无法注册Cisco DirSync服务连接器

问题

登录失败，并显示此消息：“无法注册Cisco DirSync服务连接器。”

解决方案

安装Directory Connector的Windows系统必须是Active Directory的成员。

未显示登录页面

问题

您打开目录连接器，登录页未显示。

解决方案

请尝试以下步骤：

在Internet Explorer中，转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器（如Chrome和Firefox）中尝试该链接。
如果Internet Explorer无法访问该链接，但其他浏览器可以，请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。（使用启用Internet Explorer中的TLS 程序。）

显示登录提示

问题

出现提示提示您输入用户名和密码以通过身份验证。

可能原因

Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败，会弹出对话框以请求身份验证用户名和密码。

解决方案

当您看到登录弹出窗口时，您需要提供具有正确身份验证的有效帐户，以保证传递安全。

无法连接远程服务器

问题

在正常操作期间，出现错误消息：“无法连接到远程服务器”。

可能原因

您可能有需要解决的代理问题。

解决方案

有关更多故障排除信息，请参阅故障排除服务帐户登录问题。

无法注册连接器

问题

您将看到错误消息“无法注册连接器。发生了一般例外。”

可能原因

在大多数情况下，问题在于Directory Connector没有连接到LDAP根上下文的特权。

解决方案

请尝试以下操作：

运行命令提示符(cmd)，然后输入 ldp.exe。
单击连接 > 绑定，选择绑定为当前登录用户，然后单击确定。
单击查看 > 树，输入DC=arbonneintl，DC=ad 作为BaseDN，然后单击确定。
如果问题继续，打开支持案例。

同步

头像未同步

问题

Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。

可能原因

如果您重复使用现有的头像服务器，并且用户头像已经同步，则本地缓存将捕获它们，并避免再次重订以保存带宽。

解决方案

按照以下步骤删除本地缓存：

转至C：\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
删除DirSyncPluginAvatar.dll-cache.bin。
从Cisco目录连接器重新启动头像同步。

用户电子邮件帐户冲突

问题

同步结果可能会显示有冲突的用户电子邮件帐户。

如果用户尝试了Webex应用程序的免费版本，他们的电子邮件地址将位于免费消费者组织中。
如果用户电子邮件在另一个组织中已同步。
如果用户电子邮件存在于属于组织的多个域中。

解决方案

请尝试以下操作：

如果您要向用户索要权，请按照以下步骤操作：
1. 确保您已在 Control Hub中验证该域。
2. 暂时禁用Cisco目录连接器。
3. 使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关详细信息，请参阅向您的组织索要用户（转换用户）。
4. 在Cisco Directory Connector中运行干燥，然后重新启用目录同步
对于最后一个案例，请复选您的Active Directory源中的用户数据。

已转换用户标记为非活动

问题

在您的目录同步环境中，您将免费（消费者组织）用户转换为企业组织，但转换用户无法登录Webex应用程序。

可能原因

当自由用户转换为企业组织时，该用户将被标记为非活动状态为30天，作为安全合规措施。在此期间内，用户无法登录Webex应用程序，并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。

解决方案

如果您不想删除该用户帐户，必须采取行动。要解决此问题，请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后，从Cisco Directory连接器执行同步。然后，用户可以再次登录Webex应用程序，帐户不会被删除。

增量同步失败

问题

增量同步失败。

在以下条件下可能会在Windows Server 2008 R2上出现此问题：

您支持增量值更新。
您使用的筛选器引用链接值属性。
该属性的结果值自上次进行完全同步以来已更新。

解决方案

Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。

属性的值无效

问题

对于 [user dn (distinguished name)]，属性 [attribute name] 有以下无效值 [attribute value]。

可能原因

对于CN=b，OU=Employees，OU=C Users，DC=c，DC=com，属性[电话号码]具有以下无效值：+。此属性必须包含至少一个数字。

解决方案

此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。

要删除匹配的用户

问题

匹配的用户将被标记为要删除。

当执行干运行同步以检查Active Directory和云之间的数据时，您可能会在两者中看到相同的电子邮件地址。但是，用户被标记为要删除的对象。

解决方案

选择适当的修复：

如果可以在之后删除用户并重新执行许可证，您可以使用Directory Connector进行修复。执行同步以删除用户，然后执行其他同步以将用户从本地AD同步到云。
如果您无法删除并重新创建用户帐户，请在支持下打开案例。

缺少属性

问题

添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值，否则不会在Control Hub中创建该条目。

可能原因

必需属性的 email address 缺失。添加内部条目时[CN=Sales User，OU=Engineers，OU=K，DC=k，DC=local]，除非所有必需属性都具有值，否则不会在Control Hub中创建条目。

解决方案

用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。

嵌套组无法同步

问题

嵌套的Active Directory组中的用户未正确与云同步。

可能原因

使用不受支持的子组和父组的筛选器。例如：(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)

解决方案

必须重新配置同步组的过滤器。例如：|(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)(memberof=CN=testSubGroup，CN=Users，DC=rktest2008，DC=org)

用户命名冲突

问题

对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言，[用户电子邮件地址]，以及用户类型[user_type]。

可能原因

已在Control Hub中存在该电子邮件地址的用户。

解决方案

在Active Directory中创建用户，其电子邮件地址与您通过Control Hub注册的帐户相同。

Control Hub

Control Hub中缺少用户列表

问题

如果您拥有超过1000名同步用户的Webex组织，则可能无法在Control Hub中看到用户列表。

解决方案

您可以使用搜索功能查找用户帐户。在Control Hub中，转至用户，单击搜索，然后输入搜索条件以查找特定用户。

组不会同步到Control Hub

问题

目录组中的用户无法正确同步到Control Hub。

可能原因

在Active Directory中，该组未标记为 isCriticalSystemObject 。

解决方案

确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。

启用 Directory Connector 故障诊断

您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息，并将其保存至文件。

以下日志文件： \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	运行 `services.msc` 文件，将Directory Connector服务的正在运行的帐户从本地系统更改为有权访问AD DS或AD LDS的域帐户。
2	重启服务。请参阅如何启动服务获取指导。
3	在目录连接器中，单击仪表板。
4	转至操作，然后单击实用程序 > 故障排除。
5	启用故障诊断后，重复执行导致错误的操作，这样将捕获流量数据，以便进行检查。
6	检查日志文件：如果文件空白，请确保帐户有权访问 AD DS 或 AD LDS。日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。
7	如有必要，向支持人员发送日志文件以获取协助。
8	诊断完成后，请禁用故障诊断功能。

相关信息

启动事件查看器

若要查看完全或增量同步期间发生的事件，请启动“事件查看器”。它显示管理事件和错误日志的摘要。

1	从Directory Connector转至仪表板，然后单击操作 > 启动事件查看器。 “事件属性”对话将显示同步事件详细信息与错误详细信息。
2	从事件查看器，转至应用程序和服务日志 > Cisco Directory Connector。
3	在操作下，单击保存所有事件为将所有日志导出为单个事件文件(*。evtx)或其他格式（如xml或csv）。

下一步

如果您需要打开案例，请联系支持人员，描述连接器的问题，然后将“事件”文件附加到案例中。

事件日志会捕捉用户操作。如需管理网络流量的帮助，请在连接器上启用故障排除。

在Internet Explorer中启用TLS

如果您切换了单点登录(SSO)提供商，您可能会看到来自Cisco目录连接器的以下错误消息：

登录到服务时出错
此页脚本中出现错误

如果您看到这些错误，必须在浏览器中启用TLS设置。

1	打开Internet Explorer，然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器，然后再次打开它
2	单击互联网选项，转至高级，滚动至安全。
3	检查使用TLS 1.1 和使用TLS 1.2 复选框，然后单击确定。
4	重新启动系统以便更改生效。

服务帐户登录问题故障诊断

如果您无法登录Cisco目录连接器或无法运行同步，请在联系支持人员之前尝试解决该问题。

1

尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。

2

根据结果选择一项：

如果您无法从浏览器访问该链接，请检查您的网络设置。如果您的环境使用代理，请检查代理设置。
如果您可以通过浏览器访问链接，但无法打开Cisco目录连接器（无法打开连接器并弹出带有407的错误消息），单击此处以获取最新版本的Cisco目录连接器。
如果您可以从浏览器访问链接，但无法从Cisco目录连接器运行同步，请将服务登录帐户更改为域管理员。

检查您用于登录Windows系统的帐户是否与您在“Cisco DirSync服务”中设置的帐户相同。如果他们是2个不同的帐户，请确保两个帐户都可以访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。如果您的环境使用代理，请确保两个帐户在Internet Explorer中配置为代理，并且可以成功访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL 。

3

至少，确保Cisco DirSync服务（可在Windows服务中找到）配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下，该服务利用Windows登录帐户凭据和身份验证。

相关信息

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

Cisco Directory连接器概述

目录连接器概述

Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件，并将其安装到本地计算机上。

使用Directory Connector，您可以在Active Directory中维护您的用户帐户和数据，因此Active Directory成为唯一的真相来源。当您在内部进行更改时，它会复制到云。

请参阅表中所有的功能、描述和优势：

功能	描述和优势
简单易用的控制板	该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。
在同步到云之前进行干燥	在云中实施这些更改之前，先对目录进行干燥。之后，运行报告以查看要执行的变更是否与预期一致。
完全同步和增量同步	同步整个目录。或者，仅同步增量变更，从而提高处理能力并缩短同步时间。
同步多个域（单森林或多森林）	Directory Connector支持单个森林或多个森林下的多个域（无需使用AD LDS）。对于拥有多个Active Directory域的企业，您可以为每个域安装Directory Connector，将每个域绑定到您的组织，然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态，允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。
按计划同步	按天、小时和分钟设置同步安排。
轻量级目录访问协议 (LDAP) 过滤器	定义 LDAP 搜索条件并实现高效的导入。
活动目录属性映射	将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性，并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据，例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据（职务、部门、经理等）。
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录	如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务，或者您拥有内部Room设备，此功能可让用户从Cisco Webex Calling（云PSTN）电话或Room资源搜索企业联系人目录。会议室资源同步协作室信息之后，具有已配置、已映射 SIP 地址的本地协作室设备将作为可搜索条目显示在云注册协作室设备（例如 Cisco Webex Room 设备或 Cisco Webex Board）中。当用户在Cisco Webex Room设备或Cisco Webex板上进行搜索时，您将看到使用SIP地址配置的同步房间条目。当他们将从Webex设备拨打到该条目上时，将将呼叫放置到为房间配置的SIP地址。正在呼叫除了Webex App联系人之外，用户还可以呼叫企业联系人。通过Directory Connector，企业用户及其电话号码会被添加到您的Webex组织。他们不需要为Webex服务获得许可才能使用此功能。未为Webex授权的用户将出现在从Cisco Webex呼叫用户电话执行的目录搜索中，只要通过Directory Connector与Webex同步的URI或电话号码即可。对于这两种用户，呼叫功能的表现是相同的。此功能部件还为只有电话号码的联系人提供了编辑拨号功能。在联系人搜索结果中：如果联系人具有可调用URI（Webex SIP地址）和电话号码，将显示与联系人关联的URI。如果联系人没有可拨号的 URI，但却有电话号码，则显示电话号码。还会显示一个编辑拨号软键。如果这两者联系人都没有，则该联系人不会显示在目录中。
事件查看器	使用事件查看器可确定是否存在同步问题。
诊断工具和故障排除	您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确，您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接，以便在联系支持人员之前自行诊断错误。在Directory Connector中启用故障排除后，将编写日志，可发送给技术支持。
自动升级	安装 Directory Connector 后，您会在软件有新版本时收到通知。您可以设置自动升级，以便在发布新版本时始终使用最新版本的软件。
高可用性	配置多个连接器，以便在主连接器或机器主机出现宕机情况时提供备用。

Directory Connector 分为以下三个部分：

Control Hub 是一个单一界面，可让您管理Webex组织的所有方面：如果您希望用户通过企业身份提供商进行身份验证，并且不想为Webex应用程序发送电子邮件邀请，则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域，您可以为要同步的每个域安装一个软件实例。使用该软件，您可以运行同步以将Active Directory用户帐户带入Webex，查看和监控同步状态，并配置Directory Connector服务。
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。

请参考此图了解Directory Connector架构：

为Directory Connector准备您的环境

目录连接器的要求

Windows和Active Directory要求

您可以在这些受支持的Windows服务器上安装Directory Connector：

Windows Server 2022
Windows Server 2019
Windows Server 2016

要解决Cookie问题，我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。

以下的Active Directory服务支持Directory Connector：

2016年活动目录

（在Windows Server 2019上使用最新版本的Active Directory时，支持目录连接器）
活动目录2012
活动目录2008 R2
活动目录2008

请注意以下附加要求：

目录连接器需要TLS1.2。您必须安装以下内容：
- .NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题，请使用使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
- .NET Framework v.4.5（TLS1.2必需）
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。（请参阅什么是 Active Directory 功能级别？获取更多信息。）

硬件要求

您必须在符合以下最低硬件要求的计算机上安装Directory Connector：

8 GB RAM
50 GB 存储
CPU 没有最低要求

网络要求

如果您的网络是防火墙的幕后，请确保您的系统有HTTPS（端口443）访问互联网。

Webex组织要求

要从Control Hub访问Directory Connector软件，您需要试用Webex组织或任何付费订阅。
（可选）如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态，我们建议您执行以下操作：
- 添加、验证并选择声称包含要同步到云的用户电子邮件地址的域。
- 将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成。
- 抑制自动电子邮件邀请，这样新用户就不会收到自动电子邮件邀请，您可以进行自己的电子邮件活动。（此功能需要SSO集成。）

有关详细信息，请参阅控制中心中的用户状态和操作。

安装要求

对于多个域环境（单森林或多森林），必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保您有受支持的独立 Windows Server 来安装 Directory Connector，以进行域 (B) 同步。
要登录连接器，我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。

此本地用户必须拥有该Windows计算机上的权限，才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。（此信息也适用于虚拟机登录。）
登录连接器时，登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下，连接器使用本地系统帐户访问Active Directory。但是，您可以使用Windows服务配置其他帐户以访问Active Directory。（此信息也适用于虚拟机登录。）
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用：在Windows注册表中检查SafeDllSearchMode。
如果您在单个森林上使用多个AD LDS域，我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。

多个域要求

在 Cisco目录连接器部署任务流中跟踪任务之前，如果您要将多个域的Active Directory信息同步到云中，请记住以下要求和建议：

每个域需要单独的Directory Connector实例。
Directory Connector软件必须运行在其将同步的同一域上的主机。
我们建议您在Control Hub中验证或声明您的域。（参见添加、验证和申请域。）
如果要同步超过50个域，您必须打开标签才能让您的组织移动到大型组织列表。
如果需要，您可以与用户帐户同步房间资源信息。（请参阅将内部会议室信息同步到Webex云。）

自动许可证分配活动目录组建议

Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。

Active Directory中有两种类型的组：

分发组—用于创建电子邮件分发列表。
安全组-用于分配共享资源的权限。

在Active Directory中创建组时，请考虑以下指导原则：

为每个角色、部门或服务创建全球组（例如销售、营销、经理、会计师、Webex授权等）。
在整个组织中使用标准命名规范，以便轻松识别有关组的重要信息。组名称可以包含组的详细信息，例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如，组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
以易于理解的方式组织群组，例如按地域或管理层次。使用组描述来完整描述组的目的。
在将用户添加到新配置的组之前，请为这些组在Control Hub中定义自动许可证组模板。有关详细信息，请参阅设置自动许可证分配模板。

调整尺寸信息

Directory Connector是本地Active Directory和Webex云之间的桥梁。因此，连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定，而不是连接器本身。

一些因素会影响同步的速度：

Active Directory对象的总数。（5,000个用户同步工作所需的时间不超过50,000。）
网络速度和带宽。
系统工作负载和规格。

如果您正在同步超过50,000个用户，我们强烈建议您使用第二个连接器进行故障转移和冗余。

由于同步涉及多个因素，并且每个部署取决于上述因素，因此我们无法提供对象同步所需时间的特定时间值。

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

WebEx 代理集成

如果您的环境中已启用 Web 代理验证，则您仍然可用使用 Directory Connector。

如果您的组织使用透明Web代理，则不支持身份验证。连接器已成功连接和同步用户。

您可以选择下列方法之一：

通过Internet Explorer显式Web代理（连接器继承了Web代理设置）
通过。pac文件显式网络代理（连接器继承企业特定的代理设置）
与连接器配合的透明代理，无需任何更改

通过浏览器使用 Web 代理

您可以通过Internet Explorer设置Directory Connector以使用Web代理。

如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行，那么您还需要用此帐户登录并配置 Web 代理。

1	在 Internet Explorer 中，转至 Internet 选项，单击连接，然后选择局域网 (LAN) 设置。
2	指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。
3	如果环境使用代理验证，请将这些 URL 添加到允许列表： cloudconnector.webex.com 用于同步。 idbroker.webex.com 进行身份验证。 idbroker-static.webex.com 用于提供静态资源，如font、js组件等。您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。
4	如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表： .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org 有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

通过 PAC 文件配置 Web 代理

您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。

1

要使连接器成功连接并同步用户信息到Webex云，请确保安装连接器的主机。pac文件配置中已禁用 cloudconnector.webex.com 的代理身份验证。

2

如果环境使用代理验证，请将这些 URL 添加到允许列表：

cloudconnector.webex.com 用于同步。
idbroker.webex.com 进行身份验证。
idbroker-static.webex.com 用于提供静态资源，如font、js组件等。

您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。

如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。

3

如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表：

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

NTLM代理

Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证，并确保其安全。

NTLM设计

在大多数情况下，用户希望通过客户端PC访问其他工作站资源，这很难以安全的方式进行。

一般来说，NTLM的技术设计基于挑战和响应机制：

用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同，密码的哈希值在本地存储。当用户通过密码登录客户端时，Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同，则验证将通过。

当用户想要访问其他服务器中的任何资源时，客户端会向服务器发送一个请求，帐户名称为纯文本。
当服务器收到请求时，服务器会生成16位随机密钥。关键称为Challenge（或Nonce）。在服务器返回客户端之前，挑战将存储在服务器中。然后，服务器将挑战以纯文本形式发送给客户端。
客户端收到服务器发送的挑战后，客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后，该值将返回到服务器。
当服务器从客户端收到加密值时，服务器将其发送到域控制器进行验证。请求包括：帐户名称、客户端发送的加密挑战，以及原始的简单挑战。
域控制器可以根据帐户名称检索密码的哈希值。然后，域控制器可以对原始挑战进行加密。然后，域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同，验证将成功。

Windows在操作系统中内置了安全验证，使应用程序更容易支持安全验证。因此，您无需完成进一步的配置。

配置透明代理

在这种情境下，浏览器不会知道透明 Web 代理正在拦截 http 请求（端口 80/端口 443），因此不需要客户端配置。

1	部署透明代理，以便连接器可以连接和同步用户。
2	确认代理已成功—启动连接器时，您会看到预期的浏览器身份验证弹出窗口。

设置代理身份验证

通过创建访问控制列表，将URL cloudconnector.webex.com 添加到允许列表中。

在企业防火墙服务器上：

1	如果尚未启用 DNS 查找，请启用。
2	确定此连接的估计带宽（连接器约为2 mb/s或以下）。这不是必须执行的步骤。
3	创建访问控制列表以应用于连接器主机，并指定 `cloudconnector.webex.com` 作为要添加到允许列表的终端。例如： `access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https`
4	将此ACL应用于相应的防火墙接口，该接口仅适用于此单个连接器主持人。
5	通过配置相应的隐式拒绝声明，确保企业中的其他主机仍需使用 Web 代理。

部署目录连接器

Cisco目录连接器部署任务流程

开始之前

1个	安装目录连接器 Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。要重新安装Directory Connector，请始终转至Control Hub (https：//admin.webex.com)获取软件的最新版本，以便您使用最新的功能和故障修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
2个	登录到目录连接器使用您的Webex管理员凭据登录，并执行初始设置。
3个	设置自动升级将Directory Connector软件更新到最新版本始终非常重要。我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。
4个	选择要同步的Active Directory对象默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
5个	映射用户属性您可以将本地Active Directory中的属性映射到云中的相应属性。唯一必填字段是*uid。
6个	使用以下程序之一同步目录头像：将Active Directory属性中的目录头像同步到云将目录头像从资源服务器同步到云您可以将用户的头像同步到云，以便每个用户登录应用程序时显示他们的头像。您可以从Active Directory属性或资源服务器同步化头像。
7	将内部会议室信息同步到Webex云使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备（例如Webex Room设备或Cisco Webex Board）上的可搜索条目
8个	要从Active Directory向Control Hub提供用户，请执行以下步骤：在您的Active Directory用户上执行干线同步将Active Directory用户完全同步到云向Control Hub中的Directory同步用户分配Webex服务按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

安装目录连接器

Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。

您必须为要同步的每个Active Directory域安装一个连接器。单个目录连接器实例只能服务单个域。请参阅下图了解多个域同步的流程：

开始之前

如果您通过代理服务器进行身份验证，请确保您拥有代理凭据：

对于代理基本身份验证，安装连接器的实例后，您将输入用户名和密码。基本身份验证也需要Internet Explorer代理配置；请参阅通过浏览器使用Web代理
对于代理NTLM，第一次打开连接器时可能会看到错误。请参阅通过浏览器使用Web代理。

1个	在控制中心中，转至用户 > 管理用户 > 启用目录同步，然后选择下一步。
2个	单击下载和安装链接，将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。您可以直接从此链接获取。zip文件，但必须对Control Hub组织的完整管理访问权限才能使用此软件。对于新安装，请获取软件的最新版本，以便使用最新的功能和bug修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
3个	在VMware或Windows服务器上，解压缩并在设置文件夹中运行。msi文件，以启动设置向导。
4个	单击下一步，勾选框以接受许可协议，然后单击下一步，直到您看到帐户类型屏幕。
5个	选择要使用的服务帐户类型，并使用管理员帐户执行安装：本地系统—默认选项。如果通过Internet Explorer配置了代理，则可以使用此选项。域帐户—如果计算机是域的一部分，请使用此选项。目录连接器必须与网络服务交互，才能访问域资源。您可以输入帐户信息并单击确定。输入用户名时，请使用`{domain}\{user_name}格式` 对于与AD （NTLMv2或Kerberos）集成的代理，您必须使用域帐户选项。用于运行Directory Connector服务的帐户必须具有足够的权限传递代理和访问AD。要避免错误，请确保具有以下权限：服务器是域的一部分域帐户可以访问内部AD数据和头像数据。帐户还必须具有本地管理员角色，因为它必须访问 `C：\Program Files` 下的访问文件。对于虚拟机登录，管理员帐户权限至少必须能够读取域信息。
6个	单击安装。网络测试运行后，如果出现提示，输入您的代理基本凭证，单击确定，然后单击完成。

下一步该做什么

我们建议您在安装后重新启动服务器。当数据未发布时，干运行报告无法显示正确结果。重启计算机时，所有数据都会刷新以在报告中显示准确结果。

登录到目录连接器

开始之前

确保您拥有代理凭据。

对于Proxy basic-auth，第一次打开连接器后将输入用户名和密码。
对于代理NTLM，打开Internet Explorer，单击齿轮图标，转至 Internet选项>连接> LAN设置，确保已添加代理服务器信息，然后单击确定。请参阅通过浏览器使用Web代理。

1个	打开连接器，如果看到提示，则将 `https：//idbroker.webex.com` 添加到您的受信任站点列表。
2个	如果出现提示，请使用代理身份验证凭据登录，然后使用您的管理员帐户登录Webex，然后单击下一步。
3个	确认您的组织和域。如果您选择 AD DS，请检查 SSL上的LDAP 以使用安全LDAP (LDAPS)作为连接协议，选择要同步的域，然后单击确认。如果您未通过 SSL检查LDAP，DirSync将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。 LDAPS通信经过加密且安全。如果您选择AD LDS，输入主机、域和端口，然后单击刷新以加载所有应用程序分区。然后从下拉列表中选择分区，然后单击确认。有关更多信息，请参阅AD LDS部分。在 CloudConnectorCommon.dll 配置文件中，请确保将 ADAuthLevel 设置添加到 appSetting 节点。值可以是1、2或3。请参阅来自Microsoft的这篇文章，了解有关AuthenticationTypes的更多信息。以下是值为1的设置示例： `<appSettings> <add key=”ConnectorServiceURI” value="https：//cloudconnector.webex.com/SynchronizationService-v1.0/？orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4个	出现确认组织屏幕后，单击确认。如果您已绑定AD DS/AD LDS，将显示确认组织屏幕。
5个	单击确认。
6个	根据要绑定到Directory Connector的Active Directory域数，选择一个：如果您只有一个域名为 AD LDS，请绑定到现有的AD LDS源，然后单击确认。如果您有一个名为 AD DS 的单一域，可以绑定到现有域或新域。如果您选择绑定至新域，请单击下一步。由于现有源类型为AD DS，因此无法为新绑定选择 AD LDS。如果您有多个域，请从列表中选择现有域或绑定到新域，然后单击下一步。由于您有多个域，现有源类型必须为 AD DS。如果您选择绑定至新域并单击下一步，则无法为新绑定选择AD LDS。

下一步该做什么

登录后，系统提示您执行干运行同步。

目录连接器仪表板

当您首次登录Directory Connector时，会显示仪表板。在这里，您可以查看所有同步活动的摘要、查看云统计、执行干运行同步、启动完整或增量同步并启动事件视图以查看错误信息。

如果您的会话超时，请重新登录。

您可以从“操作”工具栏或“操作”菜单轻松运行这些任务。

表1。仪表板组件
组件	描述
当前同步	显示当前正在进行的同步的状态信息。当未运行同步时，状态显示处于空闲状态。
下一次同步	显示下一个已安排的完整和增量同步。如果未设置计划，将显示未计划。
上次同步	显示最近两次已执行同步的状态。
当前同步状态	显示同步的总体状态。
连接器	显示可用于云的当前本地连接器。
云统计	显示同步的总体状态。
同步计划	显示增量同步和完全同步的同步计划。
配置摘要	列出配置中更改的设置。例如，摘要可能包括以下内容：所有对象都将同步所有用户都将同步已删除的阈值已禁用。

表2。操作工具栏
行动	描述
开始增量同步	手动启动增量同步暂停或禁用同步时，如果未完成完全同步或同步正在进行中，则此操作将禁用。
同步干运行	执行干运行同步。
启动活动查看器	启动Microsoft Event Viewer。
刷新	刷新Cisco目录连接器仪表板

表3. Menubar操作
行动	描述
立即同步	立即开始完全同步。
同步模式	选择增量或完全同步模式。
重置连接器秘密	在Cisco目录连接器和连接器服务之间建立对话。选择此操作将重置云中的秘密，然后在本地保存秘密。
干运行	对同步过程执行测试。在进行完全同步之前，必须先进行干运行。
故障排除	打开/关闭故障排除。
刷新	刷新Cisco目录连接器主屏幕。
退出	退出Cisco目录连接器。

表4。关键组合
关键组合	行动
Alt +A	显示操作菜单
`Alt +A + S`	现在同步
`Alt +A + R`	重置连接器秘密
`Alt +A + D`	干运行
`Alt +A + S + I`	增量同步
`Alt +A + S + F`	完全同步
`Alt + H`	显示帮助菜单
`Alt + H + H`	帮助
`Alt + H + A`	关于
`Alt + H + F`	常见问题

设置自动升级

1个	从Directory Connector，转至配置 > 通用，然后检查自动升级到新的Cisco Directory Connector版本。
2个	单击应用保存更改。

新版本的连接器可用时将自动安装。

您可以手动管理升级（如果您愿意）。有关更多信息，请参阅升级至最新软件版本。

选择要同步的Active Directory对象

默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。

自动许可证分配组

Control Hub允许您按组管理许可证分配。您可以创建许可证模板，并将其映射到同步到云的Active Directory组。在用户创建时，Webex检查该新用户的用户会员身份和自动许可证模板映射。

我们建议您使用LDAP过滤器仅将相关组同步到云。例如，您可以将过滤器设置为：

(&（cn=示例）（objectclass=组）)*

此过滤器将以Example开头的基础DN中的所有组同步。未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。

目录连接器中的对象选择屏幕

混合数据安全部署组

在Directory Connector中，如果您使用混合数据安全为试点用户配置试用组，则必须检查组。请参阅混合数据安全部署指南获得指导。此目录连接器设置不会影响云中的其他用户同步。

开始之前

1个	从目录连接器转至配置，然后单击对象选择。
2个	在对象类型部分中，检查用户，并考虑限制用户可搜索容器的数量。例如，如果您想仅同步特定组中的用户，必须在用户LDAP过滤器字段中输入LDAP过滤器。如果要同步示例管理器组中的用户，请使用以下过滤器： `(&(sAMAccountName=*)(memberOf=cn=Example-manager，ou=Example，ou=Security Group，dc=COMPANY))`
3个	检查识别房间以将房间数据与用户数据分开。要设置其他属性，将用户数据识别为房间数据，请单击自定义。如果要将内部会议室信息从Active Directory同步到Webex云时，请使用此设置。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。有关详细信息，请参阅将内部会议室信息同步到Webex云。
4个	要将Active Directory用户组同步到云，请检查组。不要向“组”字段添加用户同步LDAP筛选器。您仅应使用“组”字段将组数据本身同步到云。默认情况下，组不会为新客户同步。必须启用组同步。还必须同步安全组。
5个	如果要将用户的联系信息同步到云，请检查联系人。目录连接器仅管理由连接器同步的联系人。如果Control Hub中已经有联系人，则同步不会删除联系人。如果从同步范围中删除联系人，则在Control Hub中也会删除用户的联系信息。
6个	配置 LDAP 过滤器。您可以通过提供有效的LDAP过滤器来添加扩展过滤器。有关配置LDAP过滤器的更多信息，请参阅本文。
7	单击选择以查看Active Directory树结构，指定要同步的On Premises Base DN。您可以在此处选择或取消选择要搜索的容器。
8个	检查要为此配置添加的对象，然后单击选择。您可以选择要用于同步的单个容器或母容器。选择父容器，以启用所有子容器。如果您选择子容器，母容器会显示灰色复选标记，表示孩子已检查。然后，您可以单击选择以接受选中的Active Directory容器。如果您的组织将所有用户和组放置在“用户”容器中，则无需搜索其他容器。如果您的组织被分为组织单位，请确保选择OU。
9	单击应用。选择一个选项：应用配置更改干运行取消有关干运行的信息，请参阅在Active Directory用户上执行干运行同步。对于组同步，您必须执行完整同步：将Active Directory用户完全同步到云中。

映射用户属性

您可以将本地Active Directory中的属性映射到云中的相应属性。唯一的必填字段是*uid，这是云身份服务中每个用户帐户的唯一标识符。

您可以选择要映射到云的Active Directory属性—例如，您可以映射到Active Directory中的 firstName lastName，或将自定义属性表达式映射到云中的 displayName。

Active Directory中的帐户必须有一个电子邮件地址；uid映射默认为邮件的广告字段（不是 sAMAccountName）。

如果您选择使用首选语言来自Active Directory，则Active Directory是唯一的真理来源：用户将无法在Webex设置中更改其语言设置，管理员也无法在Control Hub中更改设置。

1个	从Directory Connector，单击配置，然后选择用户属性映射。此页显示Active Directory（左侧）和Webex云（右侧）的属性名称。所有必需属性都标有红色星号。
2个	向下滚动到 Active Directory属性名称的底部，然后选择其中一个Active Directory属性以映射到云属性uid：邮件—大多数部署用于电子邮件格式。 userPrincipalName—如果您的邮件属性在Active Directory中用于其他用途，则可选择此选项。此属性必须为电子邮件格式。您可以将其他Active Directory属性映射到uid，但我们建议您使用上述指南中的邮件或userPrincipalName。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。要查看Active Directory中的哪些属性与云中的对应关系，请参阅在Directory Connector中映射Active Directory属性。要使同步工作，您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口，以提醒您，如果您没有选择推荐的属性。
3个	如果预定义的Active Directory属性不适用于部署，请单击属性下拉菜单，滚动到底部，然后选择自定义属性以打开一个窗口来定义属性表达式。单击帮助以获取有关表达式的更多信息，并查看表达式如何工作的示例。您还可以查看自定义属性的表达式以了解更多信息。在此示例中，我们将将Active Directory属性 `givenName` 和 `Sn` 映射到云属性 `displayName`：将属性表达式定义为givenName + "" + Sn（引号为额外空间），然后提供现有的用户电子邮件以进行验证。单击验证，查看结果是否符合您的期望。成功结果如下：如果结果符合您的预期，请单击确定保存新的自定义属性。稍后，如果您要更改 displayName，可以输入新的属性表达式 Directory Connector验证身份服务中的uid的属性值，并在当前用户过滤选项下检索3个可用用户。如果所有3个用户都具有有效的电子邮件格式，则Cisco Directory Connector将显示以下消息：如果无法验证属性，您将看到以下警告，并可以返回到Active Directory以检查和修复用户数据：
4个	（可选）如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中，选择手机和电话号码的映射。当用户将鼠标悬停在另一个用户的档案照片上时，电话号码数据会显示在Webex应用程序中。有关从用户联系人卡呼叫的更多信息，请参阅在Webex (Unified CM)部署指南（管理员）。
5个	选择其他映射以显示在联系人卡中的更多数据： `部门号码` `显示名称` `经理` `标题` 映射属性后，当用户将鼠标悬停在另一个用户的档案图片上时，会显示信息：有关联系卡的更多信息，请参阅验证您的联系人。将这些属性同步到每个用户帐户后，您还可以在Control Hub中打开People Insights。此功能允许Webex App用户在配置文件中共享更多信息，并相互了解。有关该功能以及如何启用该功能的更多信息，请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events（新建）People Insights Profiles
6个	做出选择后，单击应用。

Active Directory中包含的任何用户数据都会覆盖与该用户对应的云中的数据。例如，如果您在Control Hub中手动创建用户，则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。在Active Directory中没有相应电子邮件地址的用户将被删除。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

活动目录和云属性

您可以使用用户属性映射选项卡将本地Active Directory中的属性映射到云中的相应属性。

此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。这些值和映射是Directory Connector中的默认设置。您可以在Active Directory下拉菜单中选择不同的属性，并确定哪些内部属性与哪个云属性同步。

将下拉菜单属性视为预设。作为Active Directory行中的值的替代，您还可以在Active Directory中指定自定义属性（具有多个属性的表达式）以映射到相应行中的单个云属性。这样，您可以灵活地确定用户的显示名称，例如，您可以添加一个表达式，根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。

您还可以指定任何Active Directory属性，以映射到云中的uid。但是，您必须确保内部属性遵循有效的电子邮件格式。

您还可以使用其他电子邮件地址，例如，如果您想使用userPrincipalName进行登录，但用户的电子邮件地址用于管理他们的日历。在这种情况下，将其他电子邮件地址映射到电子邮件；类型-工作属性。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。

活动目录属性名称	Webex云属性名称	注释
—	建筑名称	—
c	c	此属性指定用户的国家缩写。
部门号码	部门号码	此属性用于联系人卡和人员见解中显示的用户的部门号码。
显示名称	显示名称	此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。
用户帐户控制	ds-pwp-account-disabled	此属性用于用户同步。确保 userAccountControl 属性映射到 ds-pwp-account-disabled，或者用户未正确同步。
员工号码	员工号码	—
传真电话号码	传真电话号码	—
—	jabberID	此云属性与Jabber使用的IM地址（XMPP类型）有关。此值与sipAddresses不同。
L的	L的	此属性指定用户的城市。
—	Category：本地	—
经理	经理	此属性用于联系人卡和人员见解中的用户经理名称。
移动设备	移动设备	此属性被用作显示从联系人卡呼叫用户的移动号码。
或	或	此属性指定公司或组织的名称，并显示在联系人卡中。
或	或	此属性指定组织单位的名称。
physicalDeliveryOffice名称	physicalDeliveryOffice名称	此属性指定用户的办公位置。
邮政编码	邮政编码	此属性指定了用于实际邮件交付的用户的邮政或邮政编码。
首选语言	首选语言	此属性设置用户的首选语言，支持以下格式： xx_YY或xx-YY。下面是一些示例： en_US，en_GB，fr-CA。如果您使用不受支持的语言或无效的格式，用户的首选语言将更改为组织的语言集。
MSRTCSIP-主要用户地址 ipPhone	SipAddresses；type=enterprise	此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。
sn	sn	此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。
圣	圣	此属性指定用户的状态或省。
街道地址	街道	此属性指定用于实际邮件递送的用户的街道地址。
电话号码	电话号码	此属性指定用于从联系人卡呼叫用户的主要（工作）电话号码。
—	时区	此云属性指定用户的时区。
标题	标题	此属性指定联系人卡和人员见解中出现的用户标题。
类型	企业	—
邮件用户主要名称	uid	强制性的属性映射。对于每个用户帐户，Active Directory值映射到云中的唯一的UID。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。然后用户可以使用这两个电子邮件地址之一登录，只要正确的 SAML属性映射就行了。请参阅下面的示例属性映射，了解如何映射替代电子邮件地址。
用户主要名称邮件 <自定义属性>	电子邮件；类型工作	此映射是可选的，如果您想使用其他电子邮件地址，请使用此映射。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。
<Azure用户对象Id的新属性>	外部ID	创建新的Active Directory属性以保留Azure用户对象ID，使其不会与现有的ID冲突。此属性随后映射到externalId属性，确保Webex用户在Microsoft 365中创建群组时，会自动在Webex中创建群组。

替代电子邮件地址映射

自定义属性的表达式

表5。自定义属性的表达式
操作员	描述和示例
%	如果匹配，将字符串开头的所有字符删除到字符或字符串参数的位置。示例表达式 `"abc@example.com" % "@"` 结果 `example.com`
-	从指定字符串的末端剥离输入字符串的背部。示例表达式 `"abc@example.com" - "@"` 结果 `广播`
+	连接输入字符串或表达式。示例表达式 `"abc" +" + "def"` 结果 `abc def`
\|	根据空字符串评估分隔表达式，并选择第一个非空结果。示例表达式 `“” \| “abc”` 结果 `广播`

将Active Directory属性中的目录头像同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序同步来自Active Directory属性的原始头像数据。

1个	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2个	对于从获取头像，选择AD属性，然后选择头像属性，其中包含要同步到云的原始头像数据。
3个	要验证头像是否正确访问，请输入用户的电子邮件地址，然后单击获取用户头像。头像出现在右侧。
4个	验证头像显示正确后，单击应用保存更改。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步该做什么

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将目录头像从资源服务器同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序从资源服务器同步化头像。

开始之前

此过程中的URI模式和变量值是示例。您必须使用目录头像所在位置的实际URL。
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。连接器需要http或https访问图像，但图像不需要在互联网上公开访问。
头像数据同步与Active Directory用户配置文件分开。如果您运行代理，必须确保NTLM身份验证或基本身份验证可以访问头像数据。

1个	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2个	对于从获取头像，选择资源服务器，然后输入头像URI模式—例如，*`http：//www.example.com/dir/photo/zoom/{mail： .?(?=@.)}.jpg`* 让我们来看看阿凡达URI模式的每个部分及其含义： http：//www.example.com/dir/photo/zoom/—将同步的所有照片所在的路径。它必须是服务器上的Directory Connector服务必须能够访问的URL。邮件：—告诉Directory Connector从Active Directory获取邮件属性的值 .?(?=@.)—执行以下功能的regex语法： *`。—任何字符，重复零或多次重复。` `？—告诉前一个变量以匹配尽可能少的字符。` `(?= ... )—匹配主表达式之后的组，但结果中不包含该组。目录连接器查找匹配并且不包含在输出中。` `@。—在at符号，然后是任意字符，重复零或多次重复。`* `.jpg—用户头像的文件扩展名。查看本文档中支持的文件类型，并相应更改扩展名。`
3个	（可选）如果您的资源服务器需要凭证，请检查为头像设置用户凭证，然后选择使用当前服务登录用户或使用此用户并输入密码。
4个	输入变量值—例如： `abcd@example.com`。
5个	单击测试以确保头像URI模式正常工作。在此示例中，如果一个AD条目的邮件值为 `abcd@example.com`，并且jpg图像正在同步，则最终阿凡达URI 为 `http：//www.example.com/dir/photo/zoom/abcd.jpg`
6个	验证了URI信息并看起来正确后，单击应用。有关使用正则表达式的详细信息，请参阅 Microsoft正则表达式语言快速参考。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步该做什么

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将内部会议室信息同步到Webex云

使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的Webex设备（房间、桌面和板）上的可搜索条目。

1个	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择对象选择。
2个	检查将房间信息同步到云，在同步过程中将房间数据与用户数据分开。禁用此设置时，将以与用户同步数据相同的方式处理会议室数据。
3个	转至属性映射，然后更改云属性的属性映射sipAddresses；type=enterprise。要使用值验证，SIP地址的值应为Pattern.compile("^([^@])(.)@(.)$") 如果可用，选择 MSRTCSIP-PrimaryUserAddress。如果您在Active Directory模式中没有上述属性，请使用其他字段，例如 ipPhone。
4个	在Exchange中创建会议室资源邮箱。这将添加连接器用于识别房间的 msExchResourceMetaData；ResourceType：Room 属性。
5个	从Active Directory用户和计算机，导航到并编辑会议室的属性。使用sip的前缀添加完全合格SIP URI：
6个	在连接器中执行干运行同步，然后执行完整运行同步。新会议室对象列出已添加对象，匹配的会议室对象将出现在匹配对象中干运行报告中中。任何标记要删除的房间对象都位于已删除的房间下。干运行结果显示所有匹配的房间资源。此设置将Active Directory房间数据（包括房间属性）与用户数据分离。同步完成后，连接器仪表板上的云统计数据将显示与云同步的房间数据。

下一步该做什么

现在您已完成这些步骤，当您在Webex云注册设备上搜索时，您将看到使用SIP地址配置的同步房间条目。当您将Webex设备拨入该条目时，将呼叫放置到为房间配置的SIP地址。

从Control Hub，您可以自动从目录导入会议室并创建工作空间。

端点无法将呼叫回传回至Webex应用程序。对于测试拨号设备，这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。如果您正在搜索的Active Directory会议室系统已注册到Webex，并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上，则搜索结果不会显示重复条目。在Webex应用程序中直接拨打Room、Desk或Board设备，不会进行SIP呼叫。

在目录同步结果上发送电子邮件报告

默认情况下，组织联系人或管理员总是会收到电子邮件通知。使用此设置，您可以自定义谁应该接收总结目录同步报告的电子邮件通知。

1个	从Directory Connector，单击配置，然后选择通知。
2个	从Directory Connector中，单击设置，然后在电子邮件接收器旁边切换启用报告同步。
3个	如果要覆盖默认通知行为并添加一个或多个电子邮件收件人，请选择启用通知。
4个	单击添加，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
5个	单击添加电子邮件，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
6个	如果您需要编辑您输入的任何电子邮件地址，请双击左侧列中的电子邮件条目，然后进行所需的任何更改。
7	添加所有有效电子邮件地址后，单击应用。
8个	添加所有有效电子邮件地址后，单击保存。

下一步该做什么

如果您决定删除电子邮件地址，您可以单击电子邮件以突出显示该条目，然后单击删除。

如果您决定删除电子邮件地址，可以单击特定电子邮件地址条目旁边的删除。

从Active Directory向Control Hub提供用户

按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。在安装每个域的Directory Connector后，您可以从多个域Active Directory部署（包含单个森林或多个森林）提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

1个	在您的Active Directory用户上执行干线同步执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
2个	将Active Directory用户完全同步到云当您运行完全同步时，连接器服务将从Active Directory (AD)的所有过滤对象发送到云。连接器服务然后用您的AD条目更新身份存储。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。
3个	向Control Hub中的Directory同步用户分配Webex服务完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用各种方法分配Webex服务许可证。我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。您还可以在此初始步骤后进行个人更改。

在您的Active Directory用户上执行干线同步

执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。

在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。使用Directory Connector，目标是在Active Directory和Webex云之间实现精确匹配。

如果您在单个森林或多个森林中拥有多个域，则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。

开始之前

在使用Directory Connector之前，您可能已经在Control Hub中拥有一些Webex应用程序用户。在云中的用户中，有些用户可能会与本地Active Directory对象匹配，并为服务分配许可证。但有些测试用户可能是在进行同步时要删除。您必须在Active Directory和Control Hub之间创建完全匹配。

1个	选择一项：首次登录后，单击提示符上的是以执行干运行。如果您错过了执行干运行的提醒，请随时从Directory Connector单击仪表板，选择同步干运行，然后单击确定以开始干运行同步。当干运行完成时，您将看到以下结果之一： *在目录连接器中检测到不匹配的对象* *Dry Run报告结果和目录连接器中的不匹配对象摘要* 摘要包含有关对象匹配的信息：匹配对象 -在Webex Common Identity中并且还存在在Active Directory域中的用户，如someuser@cisco.com与Webex同步并显示在Control Hub中，并且同一用户(someuser@cisco.com)在Active Directory中存在。这意味着用户已匹配。不匹配对象 -在Webex中使用的用户，无论该用户是如何在Common Identity中添加的，但在Active Directory中不存在该用户。它被称为“不匹配对象”。例如，如果someuser@cisco.com在Webex中同步并显示在Control Hub中，但同一用户(someuser@cisco.com)未由Active Directory管理，则报告显示该用户不匹配。干运行通过比较与域用户来识别用户。如果用户属于当前域，应用程序可以识别用户。在下一步，您必须决定是删除对象还是保留它们。不匹配的对象已在Webex云中存在，但在内部Active Directory中不存在。
2个	查看干运行结果，然后根据您使用单个域还是多个域选择一个选项：单一域—确定是否要保留不匹配的用户。如果要保留它们，请选择否，请选择是，删除对象。在您完成这些步骤并手动运行完整同步后，以便本地和云之间精确匹配，Directory Connector将自动启用已安排的自动同步任务。多个域—对于具有域A和域B的组织，首先对域A进行干燥。如果您想保留不匹配用户，请选择否，保留对象。（这些不匹配的用户可能是域B的成员。）如果要删除，请选择是，删除对象。如果您保留用户，请先为Domain A运行完整同步，然后为Domain B运行干燥。如果仍然存在不匹配的用户，请在Active Directory中添加这些用户，然后为Domain B进行完整同步。当内部和云之间有精确匹配时，Directory Connector将自动启用已安排的自动同步任务。
3个	在确认干运行提示符中，单击是重执行干运行同步并查看仪表板以查看结果。在干运行中成功同步的所有帐户都出现在匹配对象下。如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户，则该条目在已删除用户下列出。要避免此删除标记，您可以在具有相同电子邮件地址的Active Directory中添加用户。要查看已同步项目的详细信息，请单击特定项目或匹配对象的相应选项卡。要保存摘要信息，请单击保存结果至文件。
4个	如果预期结果，请转至操作 > 同步模式 > 启用同步，然后单击立即启用进行手动同步，并在此处设置手动模式。在多个域部署中的最后一个Active Directory域进行同步后，必须为Directory Connector启用自动模式。只有当对象在Webex云和所有内部活动目录之间完全匹配时，您才可以启用自动模式。

下一步该做什么

对于您保留的任何不匹配的用户对象，您必须将其添加到Active Directory，以便在内部和云之间实现完全匹配。
选择同步类型：
- 首次将新用户同步到云时，将Active Directory用户完全同步到云中。您可以从操作 > 立即同步 > 完整进行操作，然后从当前域的用户将同步。
- 设置连接器计划并在运行完整同步后运行增量同步，如果要在初始同步后拾取更改。建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
  
  默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。
如果您有多个域，请在已安装的任何其他目录连接器上重复这些步骤。

需要记住的事情

启用完全同步之前或更改同步参数时执行干运行。如果干运行由配置更改启动，您可以在干运行完成后保存设置。如果您已手动添加用户，执行Active Directory同步可能会导致以前添加的用户被删除。您可以在完全同步到云之前检查Directory Connector Dry Run报告，以验证所有预期用户都存在。

如果匹配的用户被标记为要删除，并且您不确定如何继续，请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

将Active Directory用户完全同步到云

当您运行完全同步时，连接器服务将从Active Directory (AD)的所有过滤对象发送到云。连接器服务然后用您的AD条目更新身份存储。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。

如果您有多个域，则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。

目录连接器同步用户帐户状态—在Active Directory中，任何被标记为禁用的用户在云中也会显示为非活动。

开始之前

如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态，则必须执行以下步骤以绕过电子邮件验证：
- 将单点登录与Webex组织集成。查看使用Cisco Webex Services和您的组织的身份提供商进行单点登录有关更多信息。
- 使用Control Hub验证并选择声称电子邮件地址中包含的域。查看添加、验证和请求域.
- 抑制自动电子邮件邀请，这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。（您可以进行自己的电子邮件活动。）
  
  尚未登录的已激活用户在Control Hub中显示已验证状态。登录后，它们将显示为活动状态。有关用户状态的更多信息，请参阅 Cisco Webex Control Hub中的用户状态和操作。
启用同步时，Directory Connector要求您先执行干运行。我们建议您在完全同步之前进行干运行，以发现任何潜在的错误。
在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。

如果您不使用自动分配许可证模板，新同步的用户会自动获得免费许可证。他们将能够使用与免费帐户的相同的免费功能。

1个	选择一项：首次登录后，如果干运行已完成并且所有域看起来正确，请单击立即启用以允许自动同步发生。从Directory Connector，转至仪表板，单击操作，选择同步模式>启用同步，然后单击立即同步>完整开始同步。
2个	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择完全同步。
3个	确认同步的开始。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序会在您执行同步后72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。在同步过程中，仪表板会显示同步进度；这可能包括同步类型、它开始的时间，以及同步当前正在运行的阶段。同步后，最后同步和云统计部分将使用新信息更新。用户数据同步到云。如果在同步过程中发生错误，状态指示球将变为红色。
4个	要更新同步状态，请单击刷新。（同步项目出现在云统计下。）
5个	有关错误的信息，请从操作工具栏选择启动事件查看器以查看错误日志。
6个	要设置持续增量同步到云的同步计划，请参阅设置连接器计划和运行增量同步。

完成完全同步后，在Control Hub的设置页面上，目录同步状态将从禁用更新至操作。
当所有数据在内部和云之间匹配时，Directory Connector将从手动模式更改为自动同步模式。
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件，否则Webex应用程序用户帐户将保持未验证状态，直到用户首次登录Webex应用程序以确认其帐户。请参阅“开始之前”部分，了解如何将帐户同步为活动用户的指导。
如果您有多个域，请在已安装的任何其他目录连接器上执行此步骤。同步后，您添加的所有域上的用户都会在Control Hub中列出。
如果您将单点登录与Webex集成，并且已删除的电子邮件通知，则电子邮件邀请不会发送给新同步的用户。
启用目录连接器后，您无法在Control Hub中手动添加用户。启用后，从Cisco目录连接器执行用户管理，而Active Directory是唯一的真理源。
您同步的任何组都出现在Control Hub中，并且您可以分配许可证模板，以便该组中的用户获得许可证。

下一步该做什么

当您从Active Directory中删除用户时，该用户将在下次同步后被软删除。用户处于非活动状态，但云身份档案将保留七天（以便从意外删除中恢复）。

如果您在Active Directory中检查帐户已禁用，则下次同步后该用户将变为非活动。云身份档案七天后不会删除，以防要再次启用用户。
注意增量同步的这些异常（请按照上面的完整同步步骤操作）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。

向Control Hub中的Directory同步用户分配Webex服务

完成从Cisco目录连接器到Control Hub的完整用户同步后，您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证，或者如果您已经配置了自动分配的许可证模板，则向新用户添加其他许可证。您可以在此初始步骤后更改个人用户帐户。

完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证（如果您已经配置了自动分配许可证模板）。您可以在此初始步骤后更改个人用户帐户。

当您向Webex应用程序用户分配许可证时，该用户默认会收到一封确认分配的电子邮件。该电子邮件由Control Hub中的通知服务发送。如果您将单点登录(SSO)与Webex组织集成，则如果您更愿意直接联系用户，您也可以删除这些自动电子邮件通知。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
在Active Directory用户上执行干运行同步。
确认干运行结果后，在Active Directory用户上进行完全同步。

在完全同步时，用户在云中创建，不添加服务分配，也不发送激活电子邮件。如果电子邮件未被抑制，新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。

1个

从 https：//admin.webex.com 中的客户视图，转至管理 > 用户，单击管理用户，选择修改所有同步用户，然后单击下一步。

2个

选择一个选项：

下一步该做什么

如果电子邮件没有被抑制，将向每个用户发送电子邮件，并邀请其加入和下载Webex。
如果您为所有用户选择了相同的Webex服务，那么您可以单独或批量更改分配的许可证。

相关信息

目录连接器的已知问题

2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。此问题已在 2012 R2 和 2016版本中得到解决。
对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。

您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间，此时呼叫将无限响起。

管理Webex应用程序用户

运行增量同步

增量同步会查询 Active Directory，查找自上次同步以来发生的更改。然后，此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。

此同步不会给服务器带来那么多的负载，也不需要像完全同步那样多的时间。完成初始完整同步后，我们建议为后续同步使用增量选项。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
注意不支持增量同步的以下异常（请遵循将Active Directory用户完全同步到云中）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 对于属性映射、基本DN、过滤器和头像设置的新配置更改，增量同步无法工作，需要完全同步。

1	从 Directory Connector 中，单击控制板。启用同步时，Directory Connector 将要求您首先执行测试。
2	从操作中，如果尚未启用，单击同步模式>启用同步。默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。当新的增量时间间隔出现时，程序会根据最后一个时间标识检查更改。
3	从操作中，单击立即同步 > 增量。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存：Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，最后同步和云统计部分将使用新信息更新。如果同步期间发生错误，状态指示球将变为红色。
4	有关错误的信息，单击操作工具栏中的启动事件查看器可查看错误日志。

下一步

如果您有多个域，请在已安装的其他目录连接器实例上执行此步骤。

恢复意外删除的用户

Directory Connector具有制衡功能，以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器，这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复，并在Control Hub中重新建立用户帐户。

默认情况下，此功能对所有组织都启用。例如，在云中删除用户时，由于从Directory Connector同步后出现不匹配的对象问题，用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除，如果您快速采取行动，您可能能够恢复它们。

当在Active Directory中删除相应帐户时，用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间，您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。

在Active Directory中禁用的用户在Control Hub中标记为Inactive，但用户帐户在7天后不会删除。

1	登录到 Control Hub。
2	转至用户并确认特定用户帐户是否处于非活动状态或未列出。有关详细信息，请参阅控制中心中的用户状态和操作。
3	如果在Control Hub中删除用户，或者您注意到用户处于非活动状态，请转至Active Directory，添加缺失的用户帐户，然后在Directory Connector中执行干运行同步。使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。
4	执行完全同步，将暂时删除的用户帐户重新同步至Control Hub。用户被恢复并转至原始状态，包括其帐户状态和服务分配。

下一步

返回Control Hub，转至管理 > 用户，并确认先前删除的用户帐户出现在用户列表中。

在软删除后永久删除用户

执行干运行后，您可以选择永久删除下次同步时被软删除的用户。

1	干运行完成后，选择软删除对象。
2	选中要删除的用户旁边的复选框。
3	选择完成。

下一步

下次同步时，已检查的用户将被永久删除。

更改Webex应用程序电子邮件地址

如果您想更改用户电子邮件地址，并且您的组织使用Directory Connector，请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。

如果您只想更改一个用户的电子邮件或某个值，请勿从Active Directory中删除该用户，然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户，用户空间和云中的其他数据将丢失。

要在不更改域的情况下更改用户电子邮件地址：
1. 在Active Directory中打开用户帐户（例如，user1@example.com）并更改电子邮件地址（例如，user2@example.com）。
2. 在目录连接器上恢复同步。
  
  下次同步后，更改会显示在Control Hub中的用户列表中，以及缓存更新后Webex应用程序中的用户。
  
  采用此方法不会造成数据或空间丢失。第一次同步后在云中设置用户的唯一标识符。所有后续同步均基于此标识符。
在使用Directory Connector的多个域部署中，要在更改域时更改用户电子邮件地址（考虑旧域为example1.com，新域为example2.com）：
1. 对于旧用户帐户(user1@example1.com)，请注意映射到 uid 云属性的Active Directory属性。您需要为新帐户使用相同的Active Directory值。对于此示例，我们将使用 user1@example1.com 作为在云中映射到 uid 的本地属性。
2. 在example1.com和example2.com域的Directory Connector上暂停同步。
3. 在example2.com中创建新用户帐户，并使用上面的相同属性。（例如，user1@example1.com）。
4. 在Directory Connector上，例如2.com恢复同步
  
  在继续之前，请验证user1@example2.com帐户是否同步到Control Hub。我们建议您指示用户在Webex应用程序中验证电子邮件更改，并保留所有数据（空间、消息、会议、文件等）。
  
  使用此方法不会丢失数据或空间，但在新用户帐户中，您必须确保从旧用户帐户中保留映射到云uid属性的Active Directory属性。如果您更改了Active Directory值，新帐户不会保留旧帐户中的数据。
5. 验证电子邮件地址更改且数据完好后，删除example1.com上的旧用户帐户，然后使用Directory Connector恢复为example1.com的同步功能。
  
  此时，您可以安全地更新新的Active Directory域中的user1@example2.com电子邮件地址。

目录连接器不限制电子邮件域更改。但是，当用户重新同步到云时，用户状态取决于您的组织中是否验证新域。如果组织中未验证域，则在完全同步后，用户的状态将更改为“待定”。有关更多信息，请参阅管理您的域。

如果您的组织不使用Directory Connector，您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址，了解用户可以遵循的步骤来更改电子邮件。

更改 Active Directory 域

您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。

1	设置新的 Active Directory (AD) 域。
2	禁用所有连接器上的同步。
3	卸载所有连接器。
4	打开案例以更改域名。在案例提交中，请确保请求删除组织中的域配置和所有同步属性。在打开案例以更改域之前，请确保未运行同步功能。在案例解决之前，不要更改Active Directory中的任何用户电子邮件地址。
5	解决案例后：在具有新Active Directory域的同一服务器上安装Directory Connector。配置Directory Connector，使其指向新的Active Directory域。如果Control Hub ( https://admin.webex.com)中有现有用户，请确保具有匹配电子邮件地址的用户也出现在Active Directory中。如果您的组织已禁用DirSync中的 `softDelete` 切换，则在Control Hub中但不在Active Directory中的用户电子邮件地址将面临删除风险。在进行实际同步之前，使用Directory Connector执行测试运行。

域声明

如果您为某个组织申请电子邮件域名，从而在付费客户组织中创建任何旁边的帐户，而不是免费消费者组织中，则会出现域索偿。您只能通过支持案例进行域申索（有关更多信息，请参阅下面的链接）。

如果Directory Connector处于活动状态并且该域已声明，则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户，受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。

相关信息

在目录同步组织中转换免费的Webex应用程序用户

您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序，则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户，请在打开Directory Connector之前将其迁移（转换）到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。

如果您未在激活前转换帐户，请关闭 Directory Connector 以对帐户进行转换。

如果启用目录同步时尝试转换用户，将显示错误消息无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。

一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中，而不是不匹配对象。如果要将这些用户迁移到您的组织，则需要将这些用户添加到您的AD列表。

如果您未添加这些用户，它们将在您旁边同步到云时全部删除。

1	从 Directory Connector 中禁用目录同步功能。
2	按照在Control Hub中转换无许可用户程序将用户从免费消费组织转换为企业组织。此步骤将用户添加到您的组织，帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源，目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前，确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。
3	在Directory Connector上，执行干运行同步。测试完成后，查看“添加对象”标签页。验证是否未删除您已转换的任何用户。您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中，则Directory Connector将区分大小写，并删除其检测到电子邮件地址不匹配的转换用户（例如，user1@example.com和User1@example.com）。如果已删除任何转换的用户，他们将失去所有Webex应用程序空间。
4	如果您确定下一次同步将不会删除任何帐户，请从 Directory Connector 重新启用目录同步。

如果您没有验证域，转换的用户帐户不会自动激活。例如，如果您打开自动分配许可证模板，然后在没有域验证的情况下打开Directory Connector，转换后的用户将在云后端处于非活动状态，直到他们确认其电子邮件地址。

侧边的Webex应用程序用户帐户

当您邀请其他用户到Webex应用程序中的空间时，如果受邀用户没有Webex应用程序帐户，则为他们创建帐户（“侧面”）。缺省情况下，以此方式创建的帐户将添加至自由消费者组织中。

如果要使用Directory Connector管理侧栏帐户，则必须转换帐户。

目录同步后更改Webex应用程序用户名格式

默认情况下，Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。

执行目录同步后，您可能会发现该用户名以格式显示。

如果Active Directory中的 displayName 属性以这种方式配置，此用户名可能会出现。当属性映射到云中的 displayName 时，名称会在Control Hub中以格式显示。

若要更改格式，请在 Directory Connector 属性映射屏幕中进行如下操作：将Active Directory属性 givenName sn （或 sn givenName）映射到Cisco云属性名称中的 displayName 。

或者，将属性 sn givenName 映射到 displayName：

如果您想将自己的自定义属性表达式映射到 displayName，也可以使用“自定义属性”选项。

例如，输入givenName + "" + sn （名字、空间、姓氏）作为表达式。将Active Directory中的两个属性映射到云中displayName 。

允许用户在Webex Meetings中更改显示名称

如果您想允许用户编辑首选的显示名称，您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称，而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。

1	从Directory Connector，单击配置，然后选择用户属性映射。
2	在 Cisco云属性名称下选择显示名称。
3	选择不同步此属性。

下一步

用户现在可以从Webex站点编辑显示名称。

Directory Connector 故障诊断

升级到最新软件版本

要保持部署合规并获取最新功能、功能、错误修复和安全增强功能，您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本，则可能会遇到问题，例如Directory Connector不再正常同步，或者处于不支持强制性 TLS 1.2要求的版本上。

Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。

虽然您可以手动安装连接器软件更新更新，但我们建议您遵循设置自动升级中的步骤，让应用程序自动管理升级。

1	单击Windows任务栏中的通知，或右击Windows任务栏中的Directory Connector图标，开始升级过程。
2	按说明完成升级操作。
3	重新启动连接器并使用管理员凭据登录。
4	在帮助 > 关于下验证软件的版本号。

下一步

要重新安装Directory Connector，您可以下载zip文件，然后按照本指南中的安装步骤操作。

配置 Directory Connector 的常规设置

使用此程序配置常规设置，例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中，其中还包含正在运行的任何其他连接器。

1	从Directory Connector转至配置，然后单击常规。
2	在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。
3	从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括：信息（默认）—显示信息消息，突出显示高层次应用程序的进度。要在所有完整同步后接收报告，请使用此设置。警告—显示潜在的有害情况。调试-显示对调试应用程序最有用的详细信息事件。如果您看见任何问题，请设置此日志级别，并在提交支持申请时将事件日志发送给支持人员。错误-显示可能仍允许应用程序继续运行的错误事件。选择此选项时，仅在报告错误时发送同步报告。这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误，则仅在同步报告中报告错误；如果不存在错误，则不会发送同步报告。将设置更改为Info，然后在完全同步后收到同步报告。（请记住，对于增量同步，没有报告错误时不会发送报告。）
4	选择首选域控制器以设置域控制器同步身份的顺序。将按照从上到下的顺序访问域控制器。如果顶级控制器不可用，则选择列表中的第二个控制器。如果列表中没有控制器，您可以访问主控制器。
5	如果要进行自动升级，请检查自动升级到新的Cisco Directory Connector版本。将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置，允许在软件可用时安静地安装自动升级到软件。
6	检查通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。如果您未通过 SSL检查LDAP，则Directory Connector将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。

配置连接器策略

您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。

例如，将 1 设置为删除阈值触发值。在执行完全或增量同步时，如果您要删除的用户数大于该设置，Directory Connector 会显示警告。如果您单击忽略阈值，可以成功开始完全或增量同步，但是在您下次运行该策略时将再次看到此忽略提示。

1	从Directory Connector，单击配置，然后选择策略。
2	如需添加阈值触发器，请勾选“启用删除阈值触发器”复选框。选择该选项后，删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时，同步失败。
3	输入您要设置的最大删除次数。缺省值为 20。我们建议您不要增大该缺省值。
4	单击应用。

设置连接器的安排

在Active Directory中设置同步定时。为了实现高可用性 (HA)，使用了故障转移。如果有一个连接器宕机，我们会在预定义的间隔过后，切换到另一个待机连接器。

1	从Directory Connector，单击配置，然后选择计划。
2	以分钟为单位指定增量同步间隔。缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。
3	如果您希望更改发送报告的频率，请更改发送报告间隔时间值。
4	勾选启用完全同步计划以指定想要执行完全同步的日期和时间。
5	以分钟为单位指定故障转移间隔。
6	单击应用。

多域情境

多个域基于域优先级。对于在不同域具有相同键值的对象，在同步后，来自高优先级域的数据将覆盖来自低优先级域的数据。

具有相同键值的对象会链接到数据库中的同一条记录。

“用户”的键值是电子邮件地址；“组”的键值是组名。

多域使用示例

此示例假设某组织有两个域 - example1.com 和 example2.com，前者优先级高于后者。

添加 user1（电子邮件：user@example1.com）到 example1.com 的 Active Directory。
添加 group1（组名：Test）到 example1.com 的 Active Directory。
添加 user2（电子邮件：user@example2.com）到 example2.com 的 Active Directory。
添加 group2（组名：Test）到 example2.com 的 Active Directory。

在 example1.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

如果您为 example1.com 执行全面或增量同步，user1 和 group1 会同步。而且，user2 和 group2 会被 user1 和 group1 的信息覆盖。

User1 作为数据库中的相同记录链接到 user2；group1 作为数据库中的相同记录链接到 group2。

在 example1.com 和 example2.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

请考虑这些步骤：

在 example1.com 的 Active Directory 上删除 user1 和 group1。
为 example1.com 执行全面或增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1，而 group2 没有链接到 group1。
为 example2.com 执行增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。
为 example2.com 执行全面同步。
结果：user2 和 group2 的信息在 https://admin.webex.com 中列出。

同步新的域并保留现有域

如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后，该连接器会与新的域绑定，而域 (A) 下的用户信息不受影响。

每个域必须自带有效的连接器。请考虑采用以下设置的两个域：带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA)；带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中，一个连接器处于活动状态，另一个处于待机状态 (HA)。该设计可保持域同步，因为有一个连接器始终处于活动状态。也就是说，cb1 是域 B 处于活动状态的连接器，因为域 A 已有处于活动状态的连接器（ca1 或 ca2）。

设置域优先级

使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域，等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织，此设置会很有帮助。

如果在 Directory Connector 中只列出了一个域，则不要使用此过程。如果您尝试进行此配置，连接器会显示一条消息，说明不需要域优先级。

开始之前

要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击设置域优先级。
3	高亮显示列表中的一个域，单击向上或向下更改此域的优先级，然后单击保存保存更改。各个域会按优先级自上而下排序。

切换域

使用此程序将Cisco目录连接器重新绑定到另一个域。

开始之前

在切换域之前，确保没有同步任务在运行。
要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击切换域。
3	阅读警告后，如果您理解此更改对部署的影响，而且您仍然确定要更改，请单击是。如果您切换域，则您将从当前Cisco目录连接器中注销，连接器中的其他域未注册，并且删除该计算机上的连接器信息。
4	重新登录Cisco目录连接器并重新绑定域。

关闭目录同步

如果您需要停止从Directory Connector进行同步，可以从Control Hub暂时将其关闭。

1

从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，然后选择一个：

单击更多，然后单击要关闭的连接器实例旁边的关闭。
单击关闭所有目录同步可停止所有连接器实例的同步。

2

阅读提示之后，单击关闭。

同步停止，直到从Directory Connector重新启用它。

删除用户属性映射

使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后，属性值将从云中删除，不再与Webex同步。然后可以手动编辑这些值。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 删除用户属性映射。
3	选择映射以从属性名称列表中删除。
4	在受影响的用户范围下，选择以下其中一项：仅使用目录连接器同步用户：映射将仅从先前同步的Directory Connector的用户中删除。所有用户：映射将从所有Active Directory用户中删除。
5	单击应用。

管理档案照片

使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 管理配置文件图片。
3	在操作下，选择以下其中一项：删除空头头像源的个人资料图片：如果Active Directory个人资料图片为空，此选项可确保用户个人资料图片从云中删除，即使用户之前已在Webex中上传了自己的图片。从同步源重新上传以覆盖缓存的图片：目录连接器使用与之前相同的Active Directory来更新所有用户的配置文件图片。这可以确保Active Directory中的个人资料图片与云之间没有不匹配。
4	单击 Apply（应用）。

卸载并停用目录连接器

卸载 Directory Connector 实例后，必须取消注册它。如果面临以下任何情况，都应该彻底删除 Directory Connector：

您不想再使用目录同步。
您不想使用多个 Directory Connector（高可用性）中的某一个。
您想要更改域并安装其他连接器。

开始之前

您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例，请禁用同步。
卸载Directory Connector之前，保存并关闭任何重要工作。

1	在您的 Windows 计算机上，转至“控制面板”，然后单击程序和功能。
2	从程序列表中，单击目录连接器，选择卸载，然后按照提示操作。您可能需要重启系统来完成卸载。
3	从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，单击更多，然后单击要卸载的目录连接器实例旁边的停用。
4	阅读提示之后，单击停用。用户帐户将不会再同步，除非在高可用性 (HA) 部署中还有其他 Directory Connector。

运行诊断工具

您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。

如果同步工作不正确，您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接，因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误，您可以发送详细的日志结果以支持。

要为Active Directory域服务运行测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-DS 选项卡，输入您的域，然后单击加载域控制器。
2. 从列表中选择一个域控制器。
  
  以后不要更改条目，因为增量搜索必须始终在同一域控制器上运行。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户和组对象和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行Active Directory轻量级目录服务的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-LDS 选项卡，输入主机和端口，然后单击加载分区。
2. 从列表中选择分区，然后单击连接。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户、用户代理和用户代理完整和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行轻量级目录访问协议(LDAP)的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击LDAP RAW 选项卡，输入根路径，过滤，从属性中选择一个条目，然后单击加载分区。
2. 根据需要检查以下选项：
  - ObjectSecurity—如果存在此选项，呼叫方不需要任何权利，只能看到呼叫方可访问的对象和属性。如果此选项不存在，呼叫者有权复制更改。
  - 家长至上—确保所有孩子的家长都先到孩子面前。
3. 选择 ExtendedDN 的值。
  
  此值用于扩展的LDAP搜索，以请求对象突出名称的扩展形式。
4. 选择ReferralChasing值。
  
  当域控制器从查询中返回转介时，将启动转介追踪——例如，对于可能位于命名空间之外的查询结果的详细信息（例如其他域或森林中的群组成员）。
5. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
6. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。

解决Ciso Directory Connector中的问题

目录连接器的故障排除和修复

您可能在Directory Connector中遇到错误消息或其他问题。此外，在Directory Connector同步用户信息后，该连接器可能会向您发送一封电子邮件报告，列出同步存在的任何问题。在联系支持人员之前，请参考以下章节，了解可能出现的问题、可能的原因和建议解决方案。

安装

Directory Connector 停止运行

您收到警告电子邮件，通知您您的Directory Connector无法工作。

目录连接器可能未正确安装。
目录连接器可能未运行。
网络可能不可用。

请尝试以下操作：

打开控制面板 > 程序和功能。找到 Directory Connector。如果没有，请从Control Hub下载最新版本并安装。
打开服务并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止，请单击右键并选择“启动”以重启该服务。
确保安装Directory Connector的服务器能够访问Internet。

重新安装错误

问题—如果您在卸载旧连接器后立即安装新连接器，可能会看到错误消息。

可能原因—在Windows Server 2012中，卸载客户端需要时间从服务列表中删除服务帐户。

解决方案—经过一段时间后，请再次尝试安装。

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

请执行以下步骤以在用户级别更改策略：

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

在运行 gpupdate /force、重新启动机器（用于机器更改）或再次输入用户符号（用于用户更改）后，更改将生效。

无法注册Cisco DirSync服务连接器

问题

登录失败，并显示此消息：“无法注册Cisco DirSync服务连接器。”

解决方案

安装Directory Connector的Windows系统必须是Active Directory的成员。

未显示登录页面

问题

您打开目录连接器，登录页未显示。

解决方案

请尝试以下步骤：

在Internet Explorer中，转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器（如Chrome和Firefox）中尝试该链接。
如果Internet Explorer无法访问该链接，但其他浏览器可以，请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。（使用启用Internet Explorer中的TLS 程序。）

显示登录提示

问题

出现提示提示您输入用户名和密码以通过身份验证。

可能原因

Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败，会弹出对话框以请求身份验证用户名和密码。

解决方案

当您看到登录弹出窗口时，您需要提供具有正确身份验证的有效帐户，以保证传递安全。

无法连接远程服务器

问题

在正常操作期间，出现错误消息：“无法连接到远程服务器”。

可能原因

您可能有需要解决的代理问题。

解决方案

有关更多故障排除信息，请参阅故障排除服务帐户登录问题。

无法注册连接器

问题

您将看到错误消息“无法注册连接器。发生了一般例外。”

可能原因

在大多数情况下，问题在于Directory Connector没有连接到LDAP根上下文的特权。

解决方案

请尝试以下操作：

运行命令提示符(cmd)，然后输入 ldp.exe。
单击连接 > 绑定，选择绑定为当前登录用户，然后单击确定。
单击查看 > 树，输入DC=arbonneintl，DC=ad 作为BaseDN，然后单击确定。
如果问题继续，打开支持案例。

同步

头像未同步

问题

Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。

可能原因

如果您重复使用现有的头像服务器，并且用户头像已经同步，则本地缓存将捕获它们，并避免再次重订以保存带宽。

解决方案

按照以下步骤删除本地缓存：

转至C：\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
删除DirSyncPluginAvatar.dll-cache.bin。
从Cisco目录连接器重新启动头像同步。

用户电子邮件帐户冲突

问题

同步结果可能会显示有冲突的用户电子邮件帐户。

如果用户尝试了Webex应用程序的免费版本，他们的电子邮件地址将位于免费消费者组织中。
如果用户电子邮件在另一个组织中已同步。
如果用户电子邮件存在于属于组织的多个域中。

解决方案

请尝试以下操作：

如果您要向用户索要权，请按照以下步骤操作：
1. 确保您已在 Control Hub中验证该域。
2. 暂时禁用Cisco目录连接器。
3. 使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关详细信息，请参阅向您的组织索要用户（转换用户）。
4. 在Cisco Directory Connector中运行干燥，然后重新启用目录同步
对于最后一个案例，请复选您的Active Directory源中的用户数据。

已转换用户标记为非活动

问题

在您的目录同步环境中，您将免费（消费者组织）用户转换为企业组织，但转换用户无法登录Webex应用程序。

可能原因

当自由用户转换为企业组织时，该用户将被标记为非活动状态为30天，作为安全合规措施。在此期间内，用户无法登录Webex应用程序，并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。

解决方案

如果您不想删除该用户帐户，必须采取行动。要解决此问题，请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后，从Cisco Directory连接器执行同步。然后，用户可以再次登录Webex应用程序，帐户不会被删除。

增量同步失败

问题

增量同步失败。

在以下条件下可能会在Windows Server 2008 R2上出现此问题：

您支持增量值更新。
您使用的筛选器引用链接值属性。
该属性的结果值自上次进行完全同步以来已更新。

解决方案

Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。

属性的值无效

问题

对于 [user dn (distinguished name)]，属性 [attribute name] 有以下无效值 [attribute value]。

可能原因

对于CN=b，OU=Employees，OU=C Users，DC=c，DC=com，属性[电话号码]具有以下无效值：+。此属性必须包含至少一个数字。

解决方案

此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。

要删除匹配的用户

问题

匹配的用户将被标记为要删除。

当执行干运行同步以检查Active Directory和云之间的数据时，您可能会在两者中看到相同的电子邮件地址。但是，用户被标记为要删除的对象。

解决方案

选择适当的修复：

如果可以在之后删除用户并重新执行许可证，您可以使用Directory Connector进行修复。执行同步以删除用户，然后执行其他同步以将用户从本地AD同步到云。
如果您无法删除并重新创建用户帐户，请在支持下打开案例。

缺少属性

问题

添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值，否则不会在Control Hub中创建该条目。

可能原因

必需属性的 email address 缺失。添加内部条目时[CN=Sales User，OU=Engineers，OU=K，DC=k，DC=local]，除非所有必需属性都具有值，否则不会在Control Hub中创建条目。

解决方案

用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。

嵌套组无法同步

问题

嵌套的Active Directory组中的用户未正确与云同步。

可能原因

使用不受支持的子组和父组的筛选器。例如：(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)

解决方案

必须重新配置同步组的过滤器。例如：|(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)(memberof=CN=testSubGroup，CN=Users，DC=rktest2008，DC=org)

用户命名冲突

问题

对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言，[用户电子邮件地址]，以及用户类型[user_type]。

可能原因

已在Control Hub中存在该电子邮件地址的用户。

解决方案

在Active Directory中创建用户，其电子邮件地址与您通过Control Hub注册的帐户相同。

Control Hub

Control Hub中缺少用户列表

问题

如果您拥有超过1000名同步用户的Webex组织，则可能无法在Control Hub中看到用户列表。

解决方案

您可以使用搜索功能查找用户帐户。在Control Hub中，转至用户，单击搜索，然后输入搜索条件以查找特定用户。

组不会同步到Control Hub

问题

目录组中的用户无法正确同步到Control Hub。

可能原因

在Active Directory中，该组未标记为 isCriticalSystemObject 。

解决方案

确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。

启用 Directory Connector 故障诊断

您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息，并将其保存至文件。

以下日志文件： \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	运行 `services.msc` 文件，将Directory Connector服务的正在运行的帐户从本地系统更改为有权访问AD DS或AD LDS的域帐户。
2	重启服务。请参阅如何启动服务获取指导。
3	在目录连接器中，单击仪表板。
4	转至操作，然后单击实用程序 > 故障排除。
5	启用故障诊断后，重复执行导致错误的操作，这样将捕获流量数据，以便进行检查。
6	检查日志文件：如果文件空白，请确保帐户有权访问 AD DS 或 AD LDS。日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。
7	如有必要，向支持人员发送日志文件以获取协助。
8	诊断完成后，请禁用故障诊断功能。

相关信息

启动事件查看器

若要查看完全或增量同步期间发生的事件，请启动“事件查看器”。它显示管理事件和错误日志的摘要。

1	从Directory Connector转至仪表板，然后单击操作 > 启动事件查看器。 “事件属性”对话将显示同步事件详细信息与错误详细信息。
2	从事件查看器，转至应用程序和服务日志 > Cisco Directory Connector。
3	在操作下，单击保存所有事件为将所有日志导出为单个事件文件(*。evtx)或其他格式（如xml或csv）。

下一步

如果您需要打开案例，请联系支持人员，描述连接器的问题，然后将“事件”文件附加到案例中。

事件日志会捕捉用户操作。如需管理网络流量的帮助，请在连接器上启用故障排除。

在Internet Explorer中启用TLS

如果您切换了单点登录(SSO)提供商，您可能会看到来自Cisco目录连接器的以下错误消息：

登录到服务时出错
此页脚本中出现错误

如果您看到这些错误，必须在浏览器中启用TLS设置。

1	打开Internet Explorer，然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器，然后再次打开它
2	单击互联网选项，转至高级，滚动至安全。
3	检查使用TLS 1.1 和使用TLS 1.2 复选框，然后单击确定。
4	重新启动系统以便更改生效。

服务帐户登录问题故障诊断

如果您无法登录Cisco目录连接器或无法运行同步，请在联系支持人员之前尝试解决该问题。

1

尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。

2

根据结果选择一项：

如果您无法从浏览器访问该链接，请检查您的网络设置。如果您的环境使用代理，请检查代理设置。
如果您可以通过浏览器访问链接，但无法打开Cisco目录连接器（无法打开连接器并弹出带有407的错误消息），单击此处以获取最新版本的Cisco目录连接器。
如果您可以从浏览器访问链接，但无法从Cisco目录连接器运行同步，请将服务登录帐户更改为域管理员。

检查您用于登录Windows系统的帐户是否与您在“Cisco DirSync服务”中设置的帐户相同。如果他们是2个不同的帐户，请确保两个帐户都可以访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。如果您的环境使用代理，请确保两个帐户在Internet Explorer中配置为代理，并且可以成功访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL 。

3

至少，确保Cisco DirSync服务（可在Windows服务中找到）配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下，该服务利用Windows登录帐户凭据和身份验证。

相关信息

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

Cisco Directory连接器概述

目录连接器概述

Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件，并将其安装到本地计算机上。

使用Directory Connector，您可以在Active Directory中维护您的用户帐户和数据，因此Active Directory成为唯一的真相来源。当您在内部进行更改时，它会复制到云。

请参阅表中所有的功能、描述和优势：

功能	描述和优势
简单易用的控制板	该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。
在同步到云之前进行干燥	在云中实施这些更改之前，先对目录进行干燥。之后，运行报告以查看要执行的变更是否与预期一致。
完全同步和增量同步	同步整个目录。或者，仅同步增量变更，从而提高处理能力并缩短同步时间。
同步多个域（单森林或多森林）	Directory Connector支持单个森林或多个森林下的多个域（无需使用AD LDS）。对于拥有多个Active Directory域的企业，您可以为每个域安装Directory Connector，将每个域绑定到您的组织，然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态，允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。
按计划同步	按天、小时和分钟设置同步安排。
轻量级目录访问协议 (LDAP) 过滤器	定义 LDAP 搜索条件并实现高效的导入。
活动目录属性映射	将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性，并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据，例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据（职务、部门、经理等）。
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录	如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务，或者您拥有内部Room设备，此功能可让用户从Cisco Webex Calling（云PSTN）电话或Room资源搜索企业联系人目录。会议室资源同步协作室信息之后，具有已配置、已映射 SIP 地址的本地协作室设备将作为可搜索条目显示在云注册协作室设备（例如 Cisco Webex Room 设备或 Cisco Webex Board）中。当用户在Cisco Webex Room设备或Cisco Webex板上进行搜索时，您将看到使用SIP地址配置的同步房间条目。当他们将从Webex设备拨打到该条目上时，将将呼叫放置到为房间配置的SIP地址。正在呼叫除了Webex App联系人之外，用户还可以呼叫企业联系人。通过Directory Connector，企业用户及其电话号码会被添加到您的Webex组织。他们不需要为Webex服务获得许可才能使用此功能。未为Webex授权的用户将出现在从Cisco Webex呼叫用户电话执行的目录搜索中，只要通过Directory Connector与Webex同步的URI或电话号码即可。对于这两种用户，呼叫功能的表现是相同的。此功能部件还为只有电话号码的联系人提供了编辑拨号功能。在联系人搜索结果中：如果联系人具有可调用URI（Webex SIP地址）和电话号码，将显示与联系人关联的URI。如果联系人没有可拨号的 URI，但却有电话号码，则显示电话号码。还会显示一个编辑拨号软键。如果这两者联系人都没有，则该联系人不会显示在目录中。
事件查看器	使用事件查看器可确定是否存在同步问题。
诊断工具和故障排除	您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确，您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接，以便在联系支持人员之前自行诊断错误。在Directory Connector中启用故障排除后，将编写日志，可发送给技术支持。
自动升级	安装 Directory Connector 后，您会在软件有新版本时收到通知。您可以设置自动升级，以便在发布新版本时始终使用最新版本的软件。
高可用性	配置多个连接器，以便在主连接器或机器主机出现宕机情况时提供备用。

Directory Connector 分为以下三个部分：

Control Hub 是一个单一界面，可让您管理Webex组织的所有方面：如果您希望用户通过企业身份提供商进行身份验证，并且不想为Webex应用程序发送电子邮件邀请，则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域，您可以为要同步的每个域安装一个软件实例。使用该软件，您可以运行同步以将Active Directory用户帐户带入Webex，查看和监控同步状态，并配置Directory Connector服务。
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。

请参考此图了解Directory Connector架构：

为Directory Connector准备您的环境

目录连接器的要求

Windows和Active Directory要求

您可以在这些受支持的Windows服务器上安装Directory Connector：

Windows Server 2022
Windows Server 2019
Windows Server 2016

要解决Cookie问题，我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。

以下的Active Directory服务支持Directory Connector：

2016年活动目录

（在Windows Server 2019上使用最新版本的Active Directory时，支持目录连接器）
活动目录2012
活动目录2008 R2
活动目录2008

请注意以下附加要求：

目录连接器需要TLS1.2。您必须安装以下内容：
- .NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题，请使用使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
- .NET Framework v.4.5（TLS1.2必需）
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。（请参阅什么是 Active Directory 功能级别？获取更多信息。）

硬件要求

您必须在符合以下最低硬件要求的计算机上安装Directory Connector：

8 GB RAM
50 GB 存储
CPU 没有最低要求

网络要求

如果您的网络是防火墙的幕后，请确保您的系统有HTTPS（端口443）访问互联网。

Webex组织要求

要从Control Hub访问Directory Connector软件，您需要试用Webex组织或任何付费订阅。
（可选）如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态，我们建议您执行以下操作：
- 添加、验证并选择声称包含要同步到云的用户电子邮件地址的域。
- 将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成。
- 抑制自动电子邮件邀请，这样新用户就不会收到自动电子邮件邀请，您可以进行自己的电子邮件活动。（此功能需要SSO集成。）

有关详细信息，请参阅控制中心中的用户状态和操作。

安装要求

对于多个域环境（单森林或多森林），必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保您有受支持的独立 Windows Server 来安装 Directory Connector，以进行域 (B) 同步。
要登录连接器，我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。

此本地用户必须拥有该Windows计算机上的权限，才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。（此信息也适用于虚拟机登录。）
登录连接器时，登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下，连接器使用本地系统帐户访问Active Directory。但是，您可以使用Windows服务配置其他帐户以访问Active Directory。（此信息也适用于虚拟机登录。）
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用：在Windows注册表中检查SafeDllSearchMode。
如果您在单个森林上使用多个AD LDS域，我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。

多个域要求

在 Cisco目录连接器部署任务流中跟踪任务之前，如果您要将多个域的Active Directory信息同步到云中，请记住以下要求和建议：

每个域需要单独的Directory Connector实例。
Directory Connector软件必须运行在其将同步的同一域上的主机。
我们建议您在Control Hub中验证或声明您的域。（参见添加、验证和申请域。）
如果要同步超过50个域，您必须打开标签才能让您的组织移动到大型组织列表。
如果需要，您可以与用户帐户同步房间资源信息。（请参阅将内部会议室信息同步到Webex云。）

自动许可证分配活动目录组建议

Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。

Active Directory中有两种类型的组：

分发组—用于创建电子邮件分发列表。
安全组-用于分配共享资源的权限。

在Active Directory中创建组时，请考虑以下指导原则：

为每个角色、部门或服务创建全球组（例如销售、营销、经理、会计师、Webex授权等）。
在整个组织中使用标准命名规范，以便轻松识别有关组的重要信息。组名称可以包含组的详细信息，例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如，组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
以易于理解的方式组织群组，例如按地域或管理层次。使用组描述来完整描述组的目的。
在将用户添加到新配置的组之前，请为这些组在Control Hub中定义自动许可证组模板。有关详细信息，请参阅设置自动许可证分配模板。

调整尺寸信息

Directory Connector是本地Active Directory和Webex云之间的桥梁。因此，连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定，而不是连接器本身。

一些因素会影响同步的速度：

Active Directory对象的总数。（5,000个用户同步工作所需的时间不超过50,000。）
网络速度和带宽。
系统工作负载和规格。

如果您正在同步超过50,000个用户，我们强烈建议您使用第二个连接器进行故障转移和冗余。

由于同步涉及多个因素，并且每个部署取决于上述因素，因此我们无法提供对象同步所需时间的特定时间值。

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

WebEx 代理集成

如果您的环境中已启用 Web 代理验证，则您仍然可用使用 Directory Connector。

如果您的组织使用透明Web代理，则不支持身份验证。连接器已成功连接和同步用户。

您可以选择下列方法之一：

通过Internet Explorer显式Web代理（连接器继承了Web代理设置）
通过。pac文件显式网络代理（连接器继承企业特定的代理设置）
与连接器配合的透明代理，无需任何更改

通过浏览器使用 Web 代理

您可以通过Internet Explorer设置Directory Connector以使用Web代理。

如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行，那么您还需要用此帐户登录并配置 Web 代理。

1	在 Internet Explorer 中，转至 Internet 选项，单击连接，然后选择局域网 (LAN) 设置。
2	指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。
3	如果环境使用代理验证，请将这些 URL 添加到允许列表： cloudconnector.webex.com 用于同步。 idbroker.webex.com 进行身份验证。 idbroker-static.webex.com 用于提供静态资源，如font、js组件等。您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。
4	如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表： .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org 有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

通过 PAC 文件配置 Web 代理

您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。

1

要使连接器成功连接并同步用户信息到Webex云，请确保安装连接器的主机。pac文件配置中已禁用 cloudconnector.webex.com 的代理身份验证。

2

如果环境使用代理验证，请将这些 URL 添加到允许列表：

cloudconnector.webex.com 用于同步。
idbroker.webex.com 进行身份验证。
idbroker-static.webex.com 用于提供静态资源，如font、js组件等。

您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。

如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。

3

如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表：

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

NTLM代理

Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证，并确保其安全。

NTLM设计

在大多数情况下，用户希望通过客户端PC访问其他工作站资源，这很难以安全的方式进行。

一般来说，NTLM的技术设计基于挑战和响应机制：

用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同，密码的哈希值在本地存储。当用户通过密码登录客户端时，Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同，则验证将通过。

当用户想要访问其他服务器中的任何资源时，客户端会向服务器发送一个请求，帐户名称为纯文本。
当服务器收到请求时，服务器会生成16位随机密钥。关键称为Challenge（或Nonce）。在服务器返回客户端之前，挑战将存储在服务器中。然后，服务器将挑战以纯文本形式发送给客户端。
客户端收到服务器发送的挑战后，客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后，该值将返回到服务器。
当服务器从客户端收到加密值时，服务器将其发送到域控制器进行验证。请求包括：帐户名称、客户端发送的加密挑战，以及原始的简单挑战。
域控制器可以根据帐户名称检索密码的哈希值。然后，域控制器可以对原始挑战进行加密。然后，域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同，验证将成功。

Windows在操作系统中内置了安全验证，使应用程序更容易支持安全验证。因此，您无需完成进一步的配置。

配置透明代理

在这种情境下，浏览器不会知道透明 Web 代理正在拦截 http 请求（端口 80/端口 443），因此不需要客户端配置。

1	部署透明代理，以便连接器可以连接和同步用户。
2	确认代理已成功—启动连接器时，您会看到预期的浏览器身份验证弹出窗口。

设置代理身份验证

通过创建访问控制列表，将URL cloudconnector.webex.com 添加到允许列表中。

在企业防火墙服务器上：

1	如果尚未启用 DNS 查找，请启用。
2	确定此连接的估计带宽（连接器约为2 mb/s或以下）。这不是必须执行的步骤。
3	创建访问控制列表以应用于连接器主机，并指定 `cloudconnector.webex.com` 作为要添加到允许列表的终端。例如： `access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https`
4	将此ACL应用于相应的防火墙接口，该接口仅适用于此单个连接器主持人。
5	通过配置相应的隐式拒绝声明，确保企业中的其他主机仍需使用 Web 代理。

部署目录连接器

Cisco目录连接器部署任务流程

开始之前

1个	安装目录连接器 Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。要重新安装Directory Connector，请始终转至Control Hub (https：//admin.webex.com)获取软件的最新版本，以便您使用最新的功能和故障修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
2个	登录到目录连接器使用您的Webex管理员凭据登录，并执行初始设置。
3个	设置自动升级将Directory Connector软件更新到最新版本始终非常重要。我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。
4个	选择要同步的Active Directory对象默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
5个	映射用户属性您可以将本地Active Directory中的属性映射到云中的相应属性。唯一必填字段是*uid。
6个	使用以下程序之一同步目录头像：将Active Directory属性中的目录头像同步到云将目录头像从资源服务器同步到云您可以将用户的头像同步到云，以便每个用户登录应用程序时显示他们的头像。您可以从Active Directory属性或资源服务器同步化头像。
7	将内部会议室信息同步到Webex云使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备（例如Webex Room设备或Cisco Webex Board）上的可搜索条目
8个	要从Active Directory向Control Hub提供用户，请执行以下步骤：在您的Active Directory用户上执行干线同步将Active Directory用户完全同步到云向Control Hub中的Directory同步用户分配Webex服务按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

安装目录连接器

Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。

您必须为要同步的每个Active Directory域安装一个连接器。单个目录连接器实例只能服务单个域。请参阅下图了解多个域同步的流程：

开始之前

如果您通过代理服务器进行身份验证，请确保您拥有代理凭据：

对于代理基本身份验证，安装连接器的实例后，您将输入用户名和密码。基本身份验证也需要Internet Explorer代理配置；请参阅通过浏览器使用Web代理
对于代理NTLM，第一次打开连接器时可能会看到错误。请参阅通过浏览器使用Web代理。

1个	在控制中心中，转至用户 > 管理用户 > 启用目录同步，然后选择下一步。
2个	单击下载和安装链接，将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。您可以直接从此链接获取。zip文件，但必须对Control Hub组织的完整管理访问权限才能使用此软件。对于新安装，请获取软件的最新版本，以便使用最新的功能和bug修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
3个	在VMware或Windows服务器上，解压缩并在设置文件夹中运行。msi文件，以启动设置向导。
4个	单击下一步，勾选框以接受许可协议，然后单击下一步，直到您看到帐户类型屏幕。
5个	选择要使用的服务帐户类型，并使用管理员帐户执行安装：本地系统—默认选项。如果通过Internet Explorer配置了代理，则可以使用此选项。域帐户—如果计算机是域的一部分，请使用此选项。目录连接器必须与网络服务交互，才能访问域资源。您可以输入帐户信息并单击确定。输入用户名时，请使用`{domain}\{user_name}格式` 对于与AD （NTLMv2或Kerberos）集成的代理，您必须使用域帐户选项。用于运行Directory Connector服务的帐户必须具有足够的权限传递代理和访问AD。要避免错误，请确保具有以下权限：服务器是域的一部分域帐户可以访问内部AD数据和头像数据。帐户还必须具有本地管理员角色，因为它必须访问 `C：\Program Files` 下的访问文件。对于虚拟机登录，管理员帐户权限至少必须能够读取域信息。
6个	单击安装。网络测试运行后，如果出现提示，输入您的代理基本凭证，单击确定，然后单击完成。

下一步该做什么

我们建议您在安装后重新启动服务器。当数据未发布时，干运行报告无法显示正确结果。重启计算机时，所有数据都会刷新以在报告中显示准确结果。

登录到目录连接器

开始之前

确保您拥有代理凭据。

对于Proxy basic-auth，第一次打开连接器后将输入用户名和密码。
对于代理NTLM，打开Internet Explorer，单击齿轮图标，转至 Internet选项>连接> LAN设置，确保已添加代理服务器信息，然后单击确定。请参阅通过浏览器使用Web代理。

1个	打开连接器，如果看到提示，则将 `https：//idbroker.webex.com` 添加到您的受信任站点列表。
2个	如果出现提示，请使用代理身份验证凭据登录，然后使用您的管理员帐户登录Webex，然后单击下一步。
3个	确认您的组织和域。如果您选择 AD DS，请检查 SSL上的LDAP 以使用安全LDAP (LDAPS)作为连接协议，选择要同步的域，然后单击确认。如果您未通过 SSL检查LDAP，DirSync将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。 LDAPS通信经过加密且安全。如果您选择AD LDS，输入主机、域和端口，然后单击刷新以加载所有应用程序分区。然后从下拉列表中选择分区，然后单击确认。有关更多信息，请参阅AD LDS部分。在 CloudConnectorCommon.dll 配置文件中，请确保将 ADAuthLevel 设置添加到 appSetting 节点。值可以是1、2或3。请参阅来自Microsoft的这篇文章，了解有关AuthenticationTypes的更多信息。以下是值为1的设置示例： `<appSettings> <add key=”ConnectorServiceURI” value="https：//cloudconnector.webex.com/SynchronizationService-v1.0/？orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4个	出现确认组织屏幕后，单击确认。如果您已绑定AD DS/AD LDS，将显示确认组织屏幕。
5个	单击确认。
6个	根据要绑定到Directory Connector的Active Directory域数，选择一个：如果您只有一个域名为 AD LDS，请绑定到现有的AD LDS源，然后单击确认。如果您有一个名为 AD DS 的单一域，可以绑定到现有域或新域。如果您选择绑定至新域，请单击下一步。由于现有源类型为AD DS，因此无法为新绑定选择 AD LDS。如果您有多个域，请从列表中选择现有域或绑定到新域，然后单击下一步。由于您有多个域，现有源类型必须为 AD DS。如果您选择绑定至新域并单击下一步，则无法为新绑定选择AD LDS。

下一步该做什么

登录后，系统提示您执行干运行同步。

目录连接器仪表板

当您首次登录Directory Connector时，会显示仪表板。在这里，您可以查看所有同步活动的摘要、查看云统计、执行干运行同步、启动完整或增量同步并启动事件视图以查看错误信息。

如果您的会话超时，请重新登录。

您可以从“操作”工具栏或“操作”菜单轻松运行这些任务。

表1。仪表板组件
组件	描述
当前同步	显示当前正在进行的同步的状态信息。当未运行同步时，状态显示处于空闲状态。
下一次同步	显示下一个已安排的完整和增量同步。如果未设置计划，将显示未计划。
上次同步	显示最近两次已执行同步的状态。
当前同步状态	显示同步的总体状态。
连接器	显示可用于云的当前本地连接器。
云统计	显示同步的总体状态。
同步计划	显示增量同步和完全同步的同步计划。
配置摘要	列出配置中更改的设置。例如，摘要可能包括以下内容：所有对象都将同步所有用户都将同步已删除的阈值已禁用。

表2。操作工具栏
行动	描述
开始增量同步	手动启动增量同步暂停或禁用同步时，如果未完成完全同步或同步正在进行中，则此操作将禁用。
同步干运行	执行干运行同步。
启动活动查看器	启动Microsoft Event Viewer。
刷新	刷新Cisco目录连接器仪表板

表3. Menubar操作
行动	描述
立即同步	立即开始完全同步。
同步模式	选择增量或完全同步模式。
重置连接器秘密	在Cisco目录连接器和连接器服务之间建立对话。选择此操作将重置云中的秘密，然后在本地保存秘密。
干运行	对同步过程执行测试。在进行完全同步之前，必须先进行干运行。
故障排除	打开/关闭故障排除。
刷新	刷新Cisco目录连接器主屏幕。
退出	退出Cisco目录连接器。

表4。关键组合
关键组合	行动
Alt +A	显示操作菜单
`Alt +A + S`	现在同步
`Alt +A + R`	重置连接器秘密
`Alt +A + D`	干运行
`Alt +A + S + I`	增量同步
`Alt +A + S + F`	完全同步
`Alt + H`	显示帮助菜单
`Alt + H + H`	帮助
`Alt + H + A`	关于
`Alt + H + F`	常见问题

设置自动升级

1个	从Directory Connector，转至配置 > 通用，然后检查自动升级到新的Cisco Directory Connector版本。
2个	单击应用保存更改。

新版本的连接器可用时将自动安装。

您可以手动管理升级（如果您愿意）。有关更多信息，请参阅升级至最新软件版本。

选择要同步的Active Directory对象

默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。

自动许可证分配组

Control Hub允许您按组管理许可证分配。您可以创建许可证模板，并将其映射到同步到云的Active Directory组。在用户创建时，Webex检查该新用户的用户会员身份和自动许可证模板映射。

我们建议您使用LDAP过滤器仅将相关组同步到云。例如，您可以将过滤器设置为：

(&（cn=示例）（objectclass=组）)*

此过滤器将以Example开头的基础DN中的所有组同步。未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。

目录连接器中的对象选择屏幕

混合数据安全部署组

在Directory Connector中，如果您使用混合数据安全为试点用户配置试用组，则必须检查组。请参阅混合数据安全部署指南获得指导。此目录连接器设置不会影响云中的其他用户同步。

开始之前

1个	从目录连接器转至配置，然后单击对象选择。
2个	在对象类型部分中，检查用户，并考虑限制用户可搜索容器的数量。例如，如果您想仅同步特定组中的用户，必须在用户LDAP过滤器字段中输入LDAP过滤器。如果要同步示例管理器组中的用户，请使用以下过滤器： `(&(sAMAccountName=*)(memberOf=cn=Example-manager，ou=Example，ou=Security Group，dc=COMPANY))`
3个	检查识别房间以将房间数据与用户数据分开。要设置其他属性，将用户数据识别为房间数据，请单击自定义。如果要将内部会议室信息从Active Directory同步到Webex云时，请使用此设置。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。有关详细信息，请参阅将内部会议室信息同步到Webex云。
4个	要将Active Directory用户组同步到云，请检查组。不要向“组”字段添加用户同步LDAP筛选器。您仅应使用“组”字段将组数据本身同步到云。默认情况下，组不会为新客户同步。必须启用组同步。还必须同步安全组。
5个	如果要将用户的联系信息同步到云，请检查联系人。目录连接器仅管理由连接器同步的联系人。如果Control Hub中已经有联系人，则同步不会删除联系人。如果从同步范围中删除联系人，则在Control Hub中也会删除用户的联系信息。
6个	配置 LDAP 过滤器。您可以通过提供有效的LDAP过滤器来添加扩展过滤器。有关配置LDAP过滤器的更多信息，请参阅本文。
7	单击选择以查看Active Directory树结构，指定要同步的On Premises Base DN。您可以在此处选择或取消选择要搜索的容器。
8个	检查要为此配置添加的对象，然后单击选择。您可以选择要用于同步的单个容器或母容器。选择父容器，以启用所有子容器。如果您选择子容器，母容器会显示灰色复选标记，表示孩子已检查。然后，您可以单击选择以接受选中的Active Directory容器。如果您的组织将所有用户和组放置在“用户”容器中，则无需搜索其他容器。如果您的组织被分为组织单位，请确保选择OU。
9	单击应用。选择一个选项：应用配置更改干运行取消有关干运行的信息，请参阅在Active Directory用户上执行干运行同步。对于组同步，您必须执行完整同步：将Active Directory用户完全同步到云中。

映射用户属性

您可以将本地Active Directory中的属性映射到云中的相应属性。唯一的必填字段是*uid，这是云身份服务中每个用户帐户的唯一标识符。

您可以选择要映射到云的Active Directory属性—例如，您可以映射到Active Directory中的 firstName lastName，或将自定义属性表达式映射到云中的 displayName。

Active Directory中的帐户必须有一个电子邮件地址；uid映射默认为邮件的广告字段（不是 sAMAccountName）。

如果您选择使用首选语言来自Active Directory，则Active Directory是唯一的真理来源：用户将无法在Webex设置中更改其语言设置，管理员也无法在Control Hub中更改设置。

1个	从Directory Connector，单击配置，然后选择用户属性映射。此页显示Active Directory（左侧）和Webex云（右侧）的属性名称。所有必需属性都标有红色星号。
2个	向下滚动到 Active Directory属性名称的底部，然后选择其中一个Active Directory属性以映射到云属性uid：邮件—大多数部署用于电子邮件格式。 userPrincipalName—如果您的邮件属性在Active Directory中用于其他用途，则可选择此选项。此属性必须为电子邮件格式。您可以将其他Active Directory属性映射到uid，但我们建议您使用上述指南中的邮件或userPrincipalName。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。要查看Active Directory中的哪些属性与云中的对应关系，请参阅在Directory Connector中映射Active Directory属性。要使同步工作，您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口，以提醒您，如果您没有选择推荐的属性。
3个	如果预定义的Active Directory属性不适用于部署，请单击属性下拉菜单，滚动到底部，然后选择自定义属性以打开一个窗口来定义属性表达式。单击帮助以获取有关表达式的更多信息，并查看表达式如何工作的示例。您还可以查看自定义属性的表达式以了解更多信息。在此示例中，我们将将Active Directory属性 `givenName` 和 `Sn` 映射到云属性 `displayName`：将属性表达式定义为givenName + "" + Sn（引号为额外空间），然后提供现有的用户电子邮件以进行验证。单击验证，查看结果是否符合您的期望。成功结果如下：如果结果符合您的预期，请单击确定保存新的自定义属性。稍后，如果您要更改 displayName，可以输入新的属性表达式 Directory Connector验证身份服务中的uid的属性值，并在当前用户过滤选项下检索3个可用用户。如果所有3个用户都具有有效的电子邮件格式，则Cisco Directory Connector将显示以下消息：如果无法验证属性，您将看到以下警告，并可以返回到Active Directory以检查和修复用户数据：
4个	（可选）如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中，选择手机和电话号码的映射。当用户将鼠标悬停在另一个用户的档案照片上时，电话号码数据会显示在Webex应用程序中。有关从用户联系人卡呼叫的更多信息，请参阅在Webex (Unified CM)部署指南（管理员）。
5个	选择其他映射以显示在联系人卡中的更多数据： `部门号码` `显示名称` `经理` `标题` 映射属性后，当用户将鼠标悬停在另一个用户的档案图片上时，会显示信息：有关联系卡的更多信息，请参阅验证您的联系人。将这些属性同步到每个用户帐户后，您还可以在Control Hub中打开People Insights。此功能允许Webex App用户在配置文件中共享更多信息，并相互了解。有关该功能以及如何启用该功能的更多信息，请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events（新建）People Insights Profiles
6个	做出选择后，单击应用。

Active Directory中包含的任何用户数据都会覆盖与该用户对应的云中的数据。例如，如果您在Control Hub中手动创建用户，则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。在Active Directory中没有相应电子邮件地址的用户将被删除。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

活动目录和云属性

您可以使用用户属性映射选项卡将本地Active Directory中的属性映射到云中的相应属性。

此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。这些值和映射是Directory Connector中的默认设置。您可以在Active Directory下拉菜单中选择不同的属性，并确定哪些内部属性与哪个云属性同步。

将下拉菜单属性视为预设。作为Active Directory行中的值的替代，您还可以在Active Directory中指定自定义属性（具有多个属性的表达式）以映射到相应行中的单个云属性。这样，您可以灵活地确定用户的显示名称，例如，您可以添加一个表达式，根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。

您还可以指定任何Active Directory属性，以映射到云中的uid。但是，您必须确保内部属性遵循有效的电子邮件格式。

您还可以使用其他电子邮件地址，例如，如果您想使用userPrincipalName进行登录，但用户的电子邮件地址用于管理他们的日历。在这种情况下，将其他电子邮件地址映射到电子邮件；类型-工作属性。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。

活动目录属性名称	Webex云属性名称	注释
—	建筑名称	—
c	c	此属性指定用户的国家缩写。
部门号码	部门号码	此属性用于联系人卡和人员见解中显示的用户的部门号码。
显示名称	显示名称	此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。
用户帐户控制	ds-pwp-account-disabled	此属性用于用户同步。确保 userAccountControl 属性映射到 ds-pwp-account-disabled，或者用户未正确同步。
员工号码	员工号码	—
传真电话号码	传真电话号码	—
—	jabberID	此云属性与Jabber使用的IM地址（XMPP类型）有关。此值与sipAddresses不同。
L的	L的	此属性指定用户的城市。
—	Category：本地	—
经理	经理	此属性用于联系人卡和人员见解中的用户经理名称。
移动设备	移动设备	此属性被用作显示从联系人卡呼叫用户的移动号码。
或	或	此属性指定公司或组织的名称，并显示在联系人卡中。
或	或	此属性指定组织单位的名称。
physicalDeliveryOffice名称	physicalDeliveryOffice名称	此属性指定用户的办公位置。
邮政编码	邮政编码	此属性指定了用于实际邮件交付的用户的邮政或邮政编码。
首选语言	首选语言	此属性设置用户的首选语言，支持以下格式： xx_YY或xx-YY。下面是一些示例： en_US，en_GB，fr-CA。如果您使用不受支持的语言或无效的格式，用户的首选语言将更改为组织的语言集。
MSRTCSIP-主要用户地址 ipPhone	SipAddresses；type=enterprise	此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。
sn	sn	此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。
圣	圣	此属性指定用户的状态或省。
街道地址	街道	此属性指定用于实际邮件递送的用户的街道地址。
电话号码	电话号码	此属性指定用于从联系人卡呼叫用户的主要（工作）电话号码。
—	时区	此云属性指定用户的时区。
标题	标题	此属性指定联系人卡和人员见解中出现的用户标题。
类型	企业	—
邮件用户主要名称	uid	强制性的属性映射。对于每个用户帐户，Active Directory值映射到云中的唯一的UID。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。然后用户可以使用这两个电子邮件地址之一登录，只要正确的 SAML属性映射就行了。请参阅下面的示例属性映射，了解如何映射替代电子邮件地址。
用户主要名称邮件 <自定义属性>	电子邮件；类型工作	此映射是可选的，如果您想使用其他电子邮件地址，请使用此映射。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。
<Azure用户对象Id的新属性>	外部ID	创建新的Active Directory属性以保留Azure用户对象ID，使其不会与现有的ID冲突。此属性随后映射到externalId属性，确保Webex用户在Microsoft 365中创建群组时，会自动在Webex中创建群组。

替代电子邮件地址映射

自定义属性的表达式

表5。自定义属性的表达式
操作员	描述和示例
%	如果匹配，将字符串开头的所有字符删除到字符或字符串参数的位置。示例表达式 `"abc@example.com" % "@"` 结果 `example.com`
-	从指定字符串的末端剥离输入字符串的背部。示例表达式 `"abc@example.com" - "@"` 结果 `广播`
+	连接输入字符串或表达式。示例表达式 `"abc" +" + "def"` 结果 `abc def`
\|	根据空字符串评估分隔表达式，并选择第一个非空结果。示例表达式 `“” \| “abc”` 结果 `广播`

将Active Directory属性中的目录头像同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序同步来自Active Directory属性的原始头像数据。

1个	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2个	对于从获取头像，选择AD属性，然后选择头像属性，其中包含要同步到云的原始头像数据。
3个	要验证头像是否正确访问，请输入用户的电子邮件地址，然后单击获取用户头像。头像出现在右侧。
4个	验证头像显示正确后，单击应用保存更改。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步该做什么

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将目录头像从资源服务器同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序从资源服务器同步化头像。

开始之前

此过程中的URI模式和变量值是示例。您必须使用目录头像所在位置的实际URL。
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。连接器需要http或https访问图像，但图像不需要在互联网上公开访问。
头像数据同步与Active Directory用户配置文件分开。如果您运行代理，必须确保NTLM身份验证或基本身份验证可以访问头像数据。

1个	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2个	对于从获取头像，选择资源服务器，然后输入头像URI模式—例如，*`http：//www.example.com/dir/photo/zoom/{mail： .?(?=@.)}.jpg`* 让我们来看看阿凡达URI模式的每个部分及其含义： http：//www.example.com/dir/photo/zoom/—将同步的所有照片所在的路径。它必须是服务器上的Directory Connector服务必须能够访问的URL。邮件：—告诉Directory Connector从Active Directory获取邮件属性的值 .?(?=@.)—执行以下功能的regex语法： *`。—任何字符，重复零或多次重复。` `？—告诉前一个变量以匹配尽可能少的字符。` `(?= ... )—匹配主表达式之后的组，但结果中不包含该组。目录连接器查找匹配并且不包含在输出中。` `@。—在at符号，然后是任意字符，重复零或多次重复。`* `.jpg—用户头像的文件扩展名。查看本文档中支持的文件类型，并相应更改扩展名。`
3个	（可选）如果您的资源服务器需要凭证，请检查为头像设置用户凭证，然后选择使用当前服务登录用户或使用此用户并输入密码。
4个	输入变量值—例如： `abcd@example.com`。
5个	单击测试以确保头像URI模式正常工作。在此示例中，如果一个AD条目的邮件值为 `abcd@example.com`，并且jpg图像正在同步，则最终阿凡达URI 为 `http：//www.example.com/dir/photo/zoom/abcd.jpg`
6个	验证了URI信息并看起来正确后，单击应用。有关使用正则表达式的详细信息，请参阅 Microsoft正则表达式语言快速参考。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步该做什么

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将内部会议室信息同步到Webex云

使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的Webex设备（房间、桌面和板）上的可搜索条目。

1个	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择对象选择。
2个	检查将房间信息同步到云，在同步过程中将房间数据与用户数据分开。禁用此设置时，将以与用户同步数据相同的方式处理会议室数据。
3个	转至属性映射，然后更改云属性的属性映射sipAddresses；type=enterprise。要使用值验证，SIP地址的值应为Pattern.compile("^([^@])(.)@(.)$") 如果可用，选择 MSRTCSIP-PrimaryUserAddress。如果您在Active Directory模式中没有上述属性，请使用其他字段，例如 ipPhone。
4个	在Exchange中创建会议室资源邮箱。这将添加连接器用于识别房间的 msExchResourceMetaData；ResourceType：Room 属性。
5个	从Active Directory用户和计算机，导航到并编辑会议室的属性。使用sip的前缀添加完全合格SIP URI：
6个	在连接器中执行干运行同步，然后执行完整运行同步。新会议室对象列出已添加对象，匹配的会议室对象将出现在匹配对象中干运行报告中中。任何标记要删除的房间对象都位于已删除的房间下。干运行结果显示所有匹配的房间资源。此设置将Active Directory房间数据（包括房间属性）与用户数据分离。同步完成后，连接器仪表板上的云统计数据将显示与云同步的房间数据。

下一步该做什么

现在您已完成这些步骤，当您在Webex云注册设备上搜索时，您将看到使用SIP地址配置的同步房间条目。当您将Webex设备拨入该条目时，将呼叫放置到为房间配置的SIP地址。

从Control Hub，您可以自动从目录导入会议室并创建工作空间。

端点无法将呼叫回传回至Webex应用程序。对于测试拨号设备，这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。如果您正在搜索的Active Directory会议室系统已注册到Webex，并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上，则搜索结果不会显示重复条目。在Webex应用程序中直接拨打Room、Desk或Board设备，不会进行SIP呼叫。

在目录同步结果上发送电子邮件报告

默认情况下，组织联系人或管理员总是会收到电子邮件通知。使用此设置，您可以自定义谁应该接收总结目录同步报告的电子邮件通知。

1个	从Directory Connector，单击配置，然后选择通知。
2个	从Directory Connector中，单击设置，然后在电子邮件接收器旁边切换启用报告同步。
3个	如果要覆盖默认通知行为并添加一个或多个电子邮件收件人，请选择启用通知。
4个	单击添加，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
5个	单击添加电子邮件，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
6个	如果您需要编辑您输入的任何电子邮件地址，请双击左侧列中的电子邮件条目，然后进行所需的任何更改。
7	添加所有有效电子邮件地址后，单击应用。
8个	添加所有有效电子邮件地址后，单击保存。

下一步该做什么

如果您决定删除电子邮件地址，您可以单击电子邮件以突出显示该条目，然后单击删除。

如果您决定删除电子邮件地址，可以单击特定电子邮件地址条目旁边的删除。

从Active Directory向Control Hub提供用户

按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。在安装每个域的Directory Connector后，您可以从多个域Active Directory部署（包含单个森林或多个森林）提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

1个	在您的Active Directory用户上执行干线同步执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
2个	将Active Directory用户完全同步到云当您运行完全同步时，连接器服务将从Active Directory (AD)的所有过滤对象发送到云。连接器服务然后用您的AD条目更新身份存储。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。
3个	向Control Hub中的Directory同步用户分配Webex服务完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用各种方法分配Webex服务许可证。我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。您还可以在此初始步骤后进行个人更改。

在您的Active Directory用户上执行干线同步

执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。

在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。使用Directory Connector，目标是在Active Directory和Webex云之间实现精确匹配。

如果您在单个森林或多个森林中拥有多个域，则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。

开始之前

在使用Directory Connector之前，您可能已经在Control Hub中拥有一些Webex应用程序用户。在云中的用户中，有些用户可能会与本地Active Directory对象匹配，并为服务分配许可证。但有些测试用户可能是在进行同步时要删除。您必须在Active Directory和Control Hub之间创建完全匹配。

1个	选择一项：首次登录后，单击提示符上的是以执行干运行。如果您错过了执行干运行的提醒，请随时从Directory Connector单击仪表板，选择同步干运行，然后单击确定以开始干运行同步。当干运行完成时，您将看到以下结果之一： *在目录连接器中检测到不匹配的对象* *Dry Run报告结果和目录连接器中的不匹配对象摘要* 摘要包含有关对象匹配的信息：匹配对象 -在Webex Common Identity中并且还存在在Active Directory域中的用户，如someuser@cisco.com与Webex同步并显示在Control Hub中，并且同一用户(someuser@cisco.com)在Active Directory中存在。这意味着用户已匹配。不匹配对象 -在Webex中使用的用户，无论该用户是如何在Common Identity中添加的，但在Active Directory中不存在该用户。它被称为“不匹配对象”。例如，如果someuser@cisco.com在Webex中同步并显示在Control Hub中，但同一用户(someuser@cisco.com)未由Active Directory管理，则报告显示该用户不匹配。干运行通过比较与域用户来识别用户。如果用户属于当前域，应用程序可以识别用户。在下一步，您必须决定是删除对象还是保留它们。不匹配的对象已在Webex云中存在，但在内部Active Directory中不存在。
2个	查看干运行结果，然后根据您使用单个域还是多个域选择一个选项：单一域—确定是否要保留不匹配的用户。如果要保留它们，请选择否，请选择是，删除对象。在您完成这些步骤并手动运行完整同步后，以便本地和云之间精确匹配，Directory Connector将自动启用已安排的自动同步任务。多个域—对于具有域A和域B的组织，首先对域A进行干燥。如果您想保留不匹配用户，请选择否，保留对象。（这些不匹配的用户可能是域B的成员。）如果要删除，请选择是，删除对象。如果您保留用户，请先为Domain A运行完整同步，然后为Domain B运行干燥。如果仍然存在不匹配的用户，请在Active Directory中添加这些用户，然后为Domain B进行完整同步。当内部和云之间有精确匹配时，Directory Connector将自动启用已安排的自动同步任务。
3个	在确认干运行提示符中，单击是重执行干运行同步并查看仪表板以查看结果。在干运行中成功同步的所有帐户都出现在匹配对象下。如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户，则该条目在已删除用户下列出。要避免此删除标记，您可以在具有相同电子邮件地址的Active Directory中添加用户。要查看已同步项目的详细信息，请单击特定项目或匹配对象的相应选项卡。要保存摘要信息，请单击保存结果至文件。
4个	如果预期结果，请转至操作 > 同步模式 > 启用同步，然后单击立即启用进行手动同步，并在此处设置手动模式。在多个域部署中的最后一个Active Directory域进行同步后，必须为Directory Connector启用自动模式。只有当对象在Webex云和所有内部活动目录之间完全匹配时，您才可以启用自动模式。

下一步该做什么

对于您保留的任何不匹配的用户对象，您必须将其添加到Active Directory，以便在内部和云之间实现完全匹配。
选择同步类型：
- 首次将新用户同步到云时，将Active Directory用户完全同步到云中。您可以从操作 > 立即同步 > 完整进行操作，然后从当前域的用户将同步。
- 设置连接器计划并在运行完整同步后运行增量同步，如果要在初始同步后拾取更改。建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
  
  默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。
如果您有多个域，请在已安装的任何其他目录连接器上重复这些步骤。

需要记住的事情

启用完全同步之前或更改同步参数时执行干运行。如果干运行由配置更改启动，您可以在干运行完成后保存设置。如果您已手动添加用户，执行Active Directory同步可能会导致以前添加的用户被删除。您可以在完全同步到云之前检查Directory Connector Dry Run报告，以验证所有预期用户都存在。

如果匹配的用户被标记为要删除，并且您不确定如何继续，请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

将Active Directory用户完全同步到云

当您运行完全同步时，连接器服务将从Active Directory (AD)的所有过滤对象发送到云。连接器服务然后用您的AD条目更新身份存储。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。

如果您有多个域，则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。

目录连接器同步用户帐户状态—在Active Directory中，任何被标记为禁用的用户在云中也会显示为非活动。

开始之前

如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态，则必须执行以下步骤以绕过电子邮件验证：
- 将单点登录与Webex组织集成。查看使用Cisco Webex Services和您的组织的身份提供商进行单点登录有关更多信息。
- 使用Control Hub验证并选择声称电子邮件地址中包含的域。查看添加、验证和请求域.
- 抑制自动电子邮件邀请，这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。（您可以进行自己的电子邮件活动。）
  
  尚未登录的已激活用户在Control Hub中显示已验证状态。登录后，它们将显示为活动状态。有关用户状态的更多信息，请参阅 Cisco Webex Control Hub中的用户状态和操作。
启用同步时，Directory Connector要求您先执行干运行。我们建议您在完全同步之前进行干运行，以发现任何潜在的错误。
在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。

如果您不使用自动分配许可证模板，新同步的用户会自动获得免费许可证。他们将能够使用与免费帐户的相同的免费功能。

1个	选择一项：首次登录后，如果干运行已完成并且所有域看起来正确，请单击立即启用以允许自动同步发生。从Directory Connector，转至仪表板，单击操作，选择同步模式>启用同步，然后单击立即同步>完整开始同步。
2个	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择完全同步。
3个	确认同步的开始。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序会在您执行同步后72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。在同步过程中，仪表板会显示同步进度；这可能包括同步类型、它开始的时间，以及同步当前正在运行的阶段。同步后，最后同步和云统计部分将使用新信息更新。用户数据同步到云。如果在同步过程中发生错误，状态指示球将变为红色。
4个	要更新同步状态，请单击刷新。（同步项目出现在云统计下。）
5个	有关错误的信息，请从操作工具栏选择启动事件查看器以查看错误日志。
6个	要设置持续增量同步到云的同步计划，请参阅设置连接器计划和运行增量同步。

完成完全同步后，在Control Hub的设置页面上，目录同步状态将从禁用更新至操作。
当所有数据在内部和云之间匹配时，Directory Connector将从手动模式更改为自动同步模式。
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件，否则Webex应用程序用户帐户将保持未验证状态，直到用户首次登录Webex应用程序以确认其帐户。请参阅“开始之前”部分，了解如何将帐户同步为活动用户的指导。
如果您有多个域，请在已安装的任何其他目录连接器上执行此步骤。同步后，您添加的所有域上的用户都会在Control Hub中列出。
如果您将单点登录与Webex集成，并且已删除的电子邮件通知，则电子邮件邀请不会发送给新同步的用户。
启用目录连接器后，您无法在Control Hub中手动添加用户。启用后，从Cisco目录连接器执行用户管理，而Active Directory是唯一的真理源。
您同步的任何组都出现在Control Hub中，并且您可以分配许可证模板，以便该组中的用户获得许可证。

下一步该做什么

当您从Active Directory中删除用户时，该用户将在下次同步后被软删除。用户处于非活动状态，但云身份档案将保留七天（以便从意外删除中恢复）。

如果您在Active Directory中检查帐户已禁用，则下次同步后该用户将变为非活动。云身份档案七天后不会删除，以防要再次启用用户。
注意增量同步的这些异常（请按照上面的完整同步步骤操作）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。

向Control Hub中的Directory同步用户分配Webex服务

完成从Cisco目录连接器到Control Hub的完整用户同步后，您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证，或者如果您已经配置了自动分配的许可证模板，则向新用户添加其他许可证。您可以在此初始步骤后更改个人用户帐户。

完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证（如果您已经配置了自动分配许可证模板）。您可以在此初始步骤后更改个人用户帐户。

当您向Webex应用程序用户分配许可证时，该用户默认会收到一封确认分配的电子邮件。该电子邮件由Control Hub中的通知服务发送。如果您将单点登录(SSO)与Webex组织集成，则如果您更愿意直接联系用户，您也可以删除这些自动电子邮件通知。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
在Active Directory用户上执行干运行同步。
确认干运行结果后，在Active Directory用户上进行完全同步。

在完全同步时，用户在云中创建，不添加服务分配，也不发送激活电子邮件。如果电子邮件未被抑制，新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。

1个

从 https：//admin.webex.com 中的客户视图，转至管理 > 用户，单击管理用户，选择修改所有同步用户，然后单击下一步。

2个

选择一个选项：

下一步该做什么

如果电子邮件没有被抑制，将向每个用户发送电子邮件，并邀请其加入和下载Webex。
如果您为所有用户选择了相同的Webex服务，那么您可以单独或批量更改分配的许可证。

相关信息

目录连接器的已知问题

2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。此问题已在 2012 R2 和 2016版本中得到解决。
对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。

您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间，此时呼叫将无限响起。

管理Webex应用程序用户

运行增量同步

增量同步会查询 Active Directory，查找自上次同步以来发生的更改。然后，此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。

此同步不会给服务器带来那么多的负载，也不需要像完全同步那样多的时间。完成初始完整同步后，我们建议为后续同步使用增量选项。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
注意不支持增量同步的以下异常（请遵循将Active Directory用户完全同步到云中）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 对于属性映射、基本DN、过滤器和头像设置的新配置更改，增量同步无法工作，需要完全同步。

1	从 Directory Connector 中，单击控制板。启用同步时，Directory Connector 将要求您首先执行测试。
2	从操作中，如果尚未启用，单击同步模式>启用同步。默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。当新的增量时间间隔出现时，程序会根据最后一个时间标识检查更改。
3	从操作中，单击立即同步 > 增量。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存：Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，最后同步和云统计部分将使用新信息更新。如果同步期间发生错误，状态指示球将变为红色。
4	有关错误的信息，单击操作工具栏中的启动事件查看器可查看错误日志。

下一步

如果您有多个域，请在已安装的其他目录连接器实例上执行此步骤。

恢复意外删除的用户

Directory Connector具有制衡功能，以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器，这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复，并在Control Hub中重新建立用户帐户。

默认情况下，此功能对所有组织都启用。例如，在云中删除用户时，由于从Directory Connector同步后出现不匹配的对象问题，用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除，如果您快速采取行动，您可能能够恢复它们。

当在Active Directory中删除相应帐户时，用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间，您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。

在Active Directory中禁用的用户在Control Hub中标记为Inactive，但用户帐户在7天后不会删除。

1	登录到 Control Hub。
2	转至用户并确认特定用户帐户是否处于非活动状态或未列出。有关详细信息，请参阅控制中心中的用户状态和操作。
3	如果在Control Hub中删除用户，或者您注意到用户处于非活动状态，请转至Active Directory，添加缺失的用户帐户，然后在Directory Connector中执行干运行同步。使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。
4	执行完全同步，将暂时删除的用户帐户重新同步至Control Hub。用户被恢复并转至原始状态，包括其帐户状态和服务分配。

下一步

返回Control Hub，转至管理 > 用户，并确认先前删除的用户帐户出现在用户列表中。

在软删除后永久删除用户

执行干运行后，您可以选择永久删除下次同步时被软删除的用户。

1	干运行完成后，选择软删除对象。
2	选中要删除的用户旁边的复选框。
3	选择完成。

下一步

下次同步时，已检查的用户将被永久删除。

更改Webex应用程序电子邮件地址

如果您想更改用户电子邮件地址，并且您的组织使用Directory Connector，请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。

如果您只想更改一个用户的电子邮件或某个值，请勿从Active Directory中删除该用户，然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户，用户空间和云中的其他数据将丢失。

要在不更改域的情况下更改用户电子邮件地址：
1. 在Active Directory中打开用户帐户（例如，user1@example.com）并更改电子邮件地址（例如，user2@example.com）。
2. 在目录连接器上恢复同步。
  
  下次同步后，更改会显示在Control Hub中的用户列表中，以及缓存更新后Webex应用程序中的用户。
  
  采用此方法不会造成数据或空间丢失。第一次同步后在云中设置用户的唯一标识符。所有后续同步均基于此标识符。
在使用Directory Connector的多个域部署中，要在更改域时更改用户电子邮件地址（考虑旧域为example1.com，新域为example2.com）：
1. 对于旧用户帐户(user1@example1.com)，请注意映射到 uid 云属性的Active Directory属性。您需要为新帐户使用相同的Active Directory值。对于此示例，我们将使用 user1@example1.com 作为在云中映射到 uid 的本地属性。
2. 在example1.com和example2.com域的Directory Connector上暂停同步。
3. 在example2.com中创建新用户帐户，并使用上面的相同属性。（例如，user1@example1.com）。
4. 在Directory Connector上，例如2.com恢复同步
  
  在继续之前，请验证user1@example2.com帐户是否同步到Control Hub。我们建议您指示用户在Webex应用程序中验证电子邮件更改，并保留所有数据（空间、消息、会议、文件等）。
  
  使用此方法不会丢失数据或空间，但在新用户帐户中，您必须确保从旧用户帐户中保留映射到云uid属性的Active Directory属性。如果您更改了Active Directory值，新帐户不会保留旧帐户中的数据。
5. 验证电子邮件地址更改且数据完好后，删除example1.com上的旧用户帐户，然后使用Directory Connector恢复为example1.com的同步功能。
  
  此时，您可以安全地更新新的Active Directory域中的user1@example2.com电子邮件地址。

目录连接器不限制电子邮件域更改。但是，当用户重新同步到云时，用户状态取决于您的组织中是否验证新域。如果组织中未验证域，则在完全同步后，用户的状态将更改为“待定”。有关更多信息，请参阅管理您的域。

如果您的组织不使用Directory Connector，您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址，了解用户可以遵循的步骤来更改电子邮件。

更改 Active Directory 域

您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。

1	设置新的 Active Directory (AD) 域。
2	禁用所有连接器上的同步。
3	卸载所有连接器。
4	打开案例以更改域名。在案例提交中，请确保请求删除组织中的域配置和所有同步属性。在打开案例以更改域之前，请确保未运行同步功能。在案例解决之前，不要更改Active Directory中的任何用户电子邮件地址。
5	解决案例后：在具有新Active Directory域的同一服务器上安装Directory Connector。配置Directory Connector，使其指向新的Active Directory域。如果Control Hub ( https://admin.webex.com)中有现有用户，请确保具有匹配电子邮件地址的用户也出现在Active Directory中。如果您的组织已禁用DirSync中的 `softDelete` 切换，则在Control Hub中但不在Active Directory中的用户电子邮件地址将面临删除风险。在进行实际同步之前，使用Directory Connector执行测试运行。

域声明

如果您为某个组织申请电子邮件域名，从而在付费客户组织中创建任何旁边的帐户，而不是免费消费者组织中，则会出现域索偿。您只能通过支持案例进行域申索（有关更多信息，请参阅下面的链接）。

如果Directory Connector处于活动状态并且该域已声明，则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户，受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。

相关信息

在目录同步组织中转换免费的Webex应用程序用户

您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序，则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户，请在打开Directory Connector之前将其迁移（转换）到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。

如果您未在激活前转换帐户，请关闭 Directory Connector 以对帐户进行转换。

如果启用目录同步时尝试转换用户，将显示错误消息无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。

一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中，而不是不匹配对象。如果要将这些用户迁移到您的组织，则需要将这些用户添加到您的AD列表。

如果您未添加这些用户，它们将在您旁边同步到云时全部删除。

1	从 Directory Connector 中禁用目录同步功能。
2	按照在Control Hub中转换无许可用户程序将用户从免费消费组织转换为企业组织。此步骤将用户添加到您的组织，帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源，目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前，确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。
3	在Directory Connector上，执行干运行同步。测试完成后，查看“添加对象”标签页。验证是否未删除您已转换的任何用户。您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中，则Directory Connector将区分大小写，并删除其检测到电子邮件地址不匹配的转换用户（例如，user1@example.com和User1@example.com）。如果已删除任何转换的用户，他们将失去所有Webex应用程序空间。
4	如果您确定下一次同步将不会删除任何帐户，请从 Directory Connector 重新启用目录同步。

如果您没有验证域，转换的用户帐户不会自动激活。例如，如果您打开自动分配许可证模板，然后在没有域验证的情况下打开Directory Connector，转换后的用户将在云后端处于非活动状态，直到他们确认其电子邮件地址。

侧边的Webex应用程序用户帐户

当您邀请其他用户到Webex应用程序中的空间时，如果受邀用户没有Webex应用程序帐户，则为他们创建帐户（“侧面”）。缺省情况下，以此方式创建的帐户将添加至自由消费者组织中。

如果要使用Directory Connector管理侧栏帐户，则必须转换帐户。

目录同步后更改Webex应用程序用户名格式

默认情况下，Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。

执行目录同步后，您可能会发现该用户名以格式显示。

如果Active Directory中的 displayName 属性以这种方式配置，此用户名可能会出现。当属性映射到云中的 displayName 时，名称会在Control Hub中以格式显示。

若要更改格式，请在 Directory Connector 属性映射屏幕中进行如下操作：将Active Directory属性 givenName sn （或 sn givenName）映射到Cisco云属性名称中的 displayName 。

或者，将属性 sn givenName 映射到 displayName：

如果您想将自己的自定义属性表达式映射到 displayName，也可以使用“自定义属性”选项。

例如，输入givenName + "" + sn （名字、空间、姓氏）作为表达式。将Active Directory中的两个属性映射到云中displayName 。

允许用户在Webex Meetings中更改显示名称

如果您想允许用户编辑首选的显示名称，您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称，而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。

1	从Directory Connector，单击配置，然后选择用户属性映射。
2	在 Cisco云属性名称下选择显示名称。
3	选择不同步此属性。

下一步

用户现在可以从Webex站点编辑显示名称。

Directory Connector 故障诊断

升级到最新软件版本

要保持部署合规并获取最新功能、功能、错误修复和安全增强功能，您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本，则可能会遇到问题，例如Directory Connector不再正常同步，或者处于不支持强制性 TLS 1.2要求的版本上。

Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。

虽然您可以手动安装连接器软件更新更新，但我们建议您遵循设置自动升级中的步骤，让应用程序自动管理升级。

1	单击Windows任务栏中的通知，或右击Windows任务栏中的Directory Connector图标，开始升级过程。
2	按说明完成升级操作。
3	重新启动连接器并使用管理员凭据登录。
4	在帮助 > 关于下验证软件的版本号。

下一步

要重新安装Directory Connector，您可以下载zip文件，然后按照本指南中的安装步骤操作。

配置 Directory Connector 的常规设置

使用此程序配置常规设置，例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中，其中还包含正在运行的任何其他连接器。

1	从Directory Connector转至配置，然后单击常规。
2	在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。
3	从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括：信息（默认）—显示信息消息，突出显示高层次应用程序的进度。要在所有完整同步后接收报告，请使用此设置。警告—显示潜在的有害情况。调试-显示对调试应用程序最有用的详细信息事件。如果您看见任何问题，请设置此日志级别，并在提交支持申请时将事件日志发送给支持人员。错误-显示可能仍允许应用程序继续运行的错误事件。选择此选项时，仅在报告错误时发送同步报告。这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误，则仅在同步报告中报告错误；如果不存在错误，则不会发送同步报告。将设置更改为Info，然后在完全同步后收到同步报告。（请记住，对于增量同步，没有报告错误时不会发送报告。）
4	选择首选域控制器以设置域控制器同步身份的顺序。将按照从上到下的顺序访问域控制器。如果顶级控制器不可用，则选择列表中的第二个控制器。如果列表中没有控制器，您可以访问主控制器。
5	如果要进行自动升级，请检查自动升级到新的Cisco Directory Connector版本。将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置，允许在软件可用时安静地安装自动升级到软件。
6	检查通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。如果您未通过 SSL检查LDAP，则Directory Connector将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。

配置连接器策略

您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。

例如，将 1 设置为删除阈值触发值。在执行完全或增量同步时，如果您要删除的用户数大于该设置，Directory Connector 会显示警告。如果您单击忽略阈值，可以成功开始完全或增量同步，但是在您下次运行该策略时将再次看到此忽略提示。

1	从Directory Connector，单击配置，然后选择策略。
2	如需添加阈值触发器，请勾选“启用删除阈值触发器”复选框。选择该选项后，删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时，同步失败。
3	输入您要设置的最大删除次数。缺省值为 20。我们建议您不要增大该缺省值。
4	单击应用。

设置连接器的安排

在Active Directory中设置同步定时。为了实现高可用性 (HA)，使用了故障转移。如果有一个连接器宕机，我们会在预定义的间隔过后，切换到另一个待机连接器。

1	从Directory Connector，单击配置，然后选择计划。
2	以分钟为单位指定增量同步间隔。缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。
3	如果您希望更改发送报告的频率，请更改发送报告间隔时间值。
4	勾选启用完全同步计划以指定想要执行完全同步的日期和时间。
5	以分钟为单位指定故障转移间隔。
6	单击应用。

多域情境

多个域基于域优先级。对于在不同域具有相同键值的对象，在同步后，来自高优先级域的数据将覆盖来自低优先级域的数据。

具有相同键值的对象会链接到数据库中的同一条记录。

“用户”的键值是电子邮件地址；“组”的键值是组名。

多域使用示例

此示例假设某组织有两个域 - example1.com 和 example2.com，前者优先级高于后者。

添加 user1（电子邮件：user@example1.com）到 example1.com 的 Active Directory。
添加 group1（组名：Test）到 example1.com 的 Active Directory。
添加 user2（电子邮件：user@example2.com）到 example2.com 的 Active Directory。
添加 group2（组名：Test）到 example2.com 的 Active Directory。

在 example1.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

如果您为 example1.com 执行全面或增量同步，user1 和 group1 会同步。而且，user2 和 group2 会被 user1 和 group1 的信息覆盖。

User1 作为数据库中的相同记录链接到 user2；group1 作为数据库中的相同记录链接到 group2。

在 example1.com 和 example2.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

请考虑这些步骤：

在 example1.com 的 Active Directory 上删除 user1 和 group1。
为 example1.com 执行全面或增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1，而 group2 没有链接到 group1。
为 example2.com 执行增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。
为 example2.com 执行全面同步。
结果：user2 和 group2 的信息在 https://admin.webex.com 中列出。

同步新的域并保留现有域

如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后，该连接器会与新的域绑定，而域 (A) 下的用户信息不受影响。

每个域必须自带有效的连接器。请考虑采用以下设置的两个域：带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA)；带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中，一个连接器处于活动状态，另一个处于待机状态 (HA)。该设计可保持域同步，因为有一个连接器始终处于活动状态。也就是说，cb1 是域 B 处于活动状态的连接器，因为域 A 已有处于活动状态的连接器（ca1 或 ca2）。

设置域优先级

使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域，等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织，此设置会很有帮助。

如果在 Directory Connector 中只列出了一个域，则不要使用此过程。如果您尝试进行此配置，连接器会显示一条消息，说明不需要域优先级。

开始之前

要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击设置域优先级。
3	高亮显示列表中的一个域，单击向上或向下更改此域的优先级，然后单击保存保存更改。各个域会按优先级自上而下排序。

切换域

使用此程序将Cisco目录连接器重新绑定到另一个域。

开始之前

在切换域之前，确保没有同步任务在运行。
要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击切换域。
3	阅读警告后，如果您理解此更改对部署的影响，而且您仍然确定要更改，请单击是。如果您切换域，则您将从当前Cisco目录连接器中注销，连接器中的其他域未注册，并且删除该计算机上的连接器信息。
4	重新登录Cisco目录连接器并重新绑定域。

关闭目录同步

如果您需要停止从Directory Connector进行同步，可以从Control Hub暂时将其关闭。

1

从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，然后选择一个：

单击更多，然后单击要关闭的连接器实例旁边的关闭。
单击关闭所有目录同步可停止所有连接器实例的同步。

2

阅读提示之后，单击关闭。

同步停止，直到从Directory Connector重新启用它。

删除用户属性映射

使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后，属性值将从云中删除，不再与Webex同步。然后可以手动编辑这些值。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 删除用户属性映射。
3	选择映射以从属性名称列表中删除。
4	在受影响的用户范围下，选择以下其中一项：仅使用目录连接器同步用户：映射将仅从先前同步的Directory Connector的用户中删除。所有用户：映射将从所有Active Directory用户中删除。
5	单击应用。

管理档案照片

使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 管理配置文件图片。
3	在操作下，选择以下其中一项：删除空头头像源的个人资料图片：如果Active Directory个人资料图片为空，此选项可确保用户个人资料图片从云中删除，即使用户之前已在Webex中上传了自己的图片。从同步源重新上传以覆盖缓存的图片：目录连接器使用与之前相同的Active Directory来更新所有用户的配置文件图片。这可以确保Active Directory中的个人资料图片与云之间没有不匹配。
4	单击 Apply（应用）。

卸载并停用目录连接器

卸载 Directory Connector 实例后，必须取消注册它。如果面临以下任何情况，都应该彻底删除 Directory Connector：

您不想再使用目录同步。
您不想使用多个 Directory Connector（高可用性）中的某一个。
您想要更改域并安装其他连接器。

开始之前

您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例，请禁用同步。
卸载Directory Connector之前，保存并关闭任何重要工作。

1	在您的 Windows 计算机上，转至“控制面板”，然后单击程序和功能。
2	从程序列表中，单击目录连接器，选择卸载，然后按照提示操作。您可能需要重启系统来完成卸载。
3	从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，单击更多，然后单击要卸载的目录连接器实例旁边的停用。
4	阅读提示之后，单击停用。用户帐户将不会再同步，除非在高可用性 (HA) 部署中还有其他 Directory Connector。

运行诊断工具

您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。

如果同步工作不正确，您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接，因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误，您可以发送详细的日志结果以支持。

要为Active Directory域服务运行测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-DS 选项卡，输入您的域，然后单击加载域控制器。
2. 从列表中选择一个域控制器。
  
  以后不要更改条目，因为增量搜索必须始终在同一域控制器上运行。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户和组对象和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行Active Directory轻量级目录服务的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-LDS 选项卡，输入主机和端口，然后单击加载分区。
2. 从列表中选择分区，然后单击连接。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户、用户代理和用户代理完整和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行轻量级目录访问协议(LDAP)的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击LDAP RAW 选项卡，输入根路径，过滤，从属性中选择一个条目，然后单击加载分区。
2. 根据需要检查以下选项：
  - ObjectSecurity—如果存在此选项，呼叫方不需要任何权利，只能看到呼叫方可访问的对象和属性。如果此选项不存在，呼叫者有权复制更改。
  - 家长至上—确保所有孩子的家长都先到孩子面前。
3. 选择 ExtendedDN 的值。
  
  此值用于扩展的LDAP搜索，以请求对象突出名称的扩展形式。
4. 选择ReferralChasing值。
  
  当域控制器从查询中返回转介时，将启动转介追踪——例如，对于可能位于命名空间之外的查询结果的详细信息（例如其他域或森林中的群组成员）。
5. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
6. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。

解决Ciso Directory Connector中的问题

目录连接器的故障排除和修复

您可能在Directory Connector中遇到错误消息或其他问题。此外，在Directory Connector同步用户信息后，该连接器可能会向您发送一封电子邮件报告，列出同步存在的任何问题。在联系支持人员之前，请参考以下章节，了解可能出现的问题、可能的原因和建议解决方案。

安装

Directory Connector 停止运行

您收到警告电子邮件，通知您您的Directory Connector无法工作。

目录连接器可能未正确安装。
目录连接器可能未运行。
网络可能不可用。

请尝试以下操作：

打开控制面板 > 程序和功能。找到 Directory Connector。如果没有，请从Control Hub下载最新版本并安装。
打开服务并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止，请单击右键并选择“启动”以重启该服务。
确保安装Directory Connector的服务器能够访问Internet。

重新安装错误

问题—如果您在卸载旧连接器后立即安装新连接器，可能会看到错误消息。

可能原因—在Windows Server 2012中，卸载客户端需要时间从服务列表中删除服务帐户。

解决方案—经过一段时间后，请再次尝试安装。

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

请执行以下步骤以在用户级别更改策略：

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

在运行 gpupdate /force、重新启动机器（用于机器更改）或再次输入用户符号（用于用户更改）后，更改将生效。

无法注册Cisco DirSync服务连接器

问题

登录失败，并显示此消息：“无法注册Cisco DirSync服务连接器。”

解决方案

安装Directory Connector的Windows系统必须是Active Directory的成员。

未显示登录页面

问题

您打开目录连接器，登录页未显示。

解决方案

请尝试以下步骤：

在Internet Explorer中，转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器（如Chrome和Firefox）中尝试该链接。
如果Internet Explorer无法访问该链接，但其他浏览器可以，请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。（使用启用Internet Explorer中的TLS 程序。）

显示登录提示

问题

出现提示提示您输入用户名和密码以通过身份验证。

可能原因

Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败，会弹出对话框以请求身份验证用户名和密码。

解决方案

当您看到登录弹出窗口时，您需要提供具有正确身份验证的有效帐户，以保证传递安全。

无法连接远程服务器

问题

在正常操作期间，出现错误消息：“无法连接到远程服务器”。

可能原因

您可能有需要解决的代理问题。

解决方案

有关更多故障排除信息，请参阅故障排除服务帐户登录问题。

无法注册连接器

问题

您将看到错误消息“无法注册连接器。发生了一般例外。”

可能原因

在大多数情况下，问题在于Directory Connector没有连接到LDAP根上下文的特权。

解决方案

请尝试以下操作：

运行命令提示符(cmd)，然后输入 ldp.exe。
单击连接 > 绑定，选择绑定为当前登录用户，然后单击确定。
单击查看 > 树，输入DC=arbonneintl，DC=ad 作为BaseDN，然后单击确定。
如果问题继续，打开支持案例。

同步

头像未同步

问题

Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。

可能原因

如果您重复使用现有的头像服务器，并且用户头像已经同步，则本地缓存将捕获它们，并避免再次重订以保存带宽。

解决方案

按照以下步骤删除本地缓存：

转至C：\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
删除DirSyncPluginAvatar.dll-cache.bin。
从Cisco目录连接器重新启动头像同步。

用户电子邮件帐户冲突

问题

同步结果可能会显示有冲突的用户电子邮件帐户。

如果用户尝试了Webex应用程序的免费版本，他们的电子邮件地址将位于免费消费者组织中。
如果用户电子邮件在另一个组织中已同步。
如果用户电子邮件存在于属于组织的多个域中。

解决方案

请尝试以下操作：

如果您要向用户索要权，请按照以下步骤操作：
1. 确保您已在 Control Hub中验证该域。
2. 暂时禁用Cisco目录连接器。
3. 使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关详细信息，请参阅向您的组织索要用户（转换用户）。
4. 在Cisco Directory Connector中运行干燥，然后重新启用目录同步
对于最后一个案例，请复选您的Active Directory源中的用户数据。

已转换用户标记为非活动

问题

在您的目录同步环境中，您将免费（消费者组织）用户转换为企业组织，但转换用户无法登录Webex应用程序。

可能原因

当自由用户转换为企业组织时，该用户将被标记为非活动状态为30天，作为安全合规措施。在此期间内，用户无法登录Webex应用程序，并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。

解决方案

如果您不想删除该用户帐户，必须采取行动。要解决此问题，请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后，从Cisco Directory连接器执行同步。然后，用户可以再次登录Webex应用程序，帐户不会被删除。

增量同步失败

问题

增量同步失败。

在以下条件下可能会在Windows Server 2008 R2上出现此问题：

您支持增量值更新。
您使用的筛选器引用链接值属性。
该属性的结果值自上次进行完全同步以来已更新。

解决方案

Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。

属性的值无效

问题

对于 [user dn (distinguished name)]，属性 [attribute name] 有以下无效值 [attribute value]。

可能原因

对于CN=b，OU=Employees，OU=C Users，DC=c，DC=com，属性[电话号码]具有以下无效值：+。此属性必须包含至少一个数字。

解决方案

此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。

要删除匹配的用户

问题

匹配的用户将被标记为要删除。

当执行干运行同步以检查Active Directory和云之间的数据时，您可能会在两者中看到相同的电子邮件地址。但是，用户被标记为要删除的对象。

解决方案

选择适当的修复：

如果可以在之后删除用户并重新执行许可证，您可以使用Directory Connector进行修复。执行同步以删除用户，然后执行其他同步以将用户从本地AD同步到云。
如果您无法删除并重新创建用户帐户，请在支持下打开案例。

缺少属性

问题

添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值，否则不会在Control Hub中创建该条目。

可能原因

必需属性的 email address 缺失。添加内部条目时[CN=Sales User，OU=Engineers，OU=K，DC=k，DC=local]，除非所有必需属性都具有值，否则不会在Control Hub中创建条目。

解决方案

用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。

嵌套组无法同步

问题

嵌套的Active Directory组中的用户未正确与云同步。

可能原因

使用不受支持的子组和父组的筛选器。例如：(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)

解决方案

必须重新配置同步组的过滤器。例如：|(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)(memberof=CN=testSubGroup，CN=Users，DC=rktest2008，DC=org)

用户命名冲突

问题

对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言，[用户电子邮件地址]，以及用户类型[user_type]。

可能原因

已在Control Hub中存在该电子邮件地址的用户。

解决方案

在Active Directory中创建用户，其电子邮件地址与您通过Control Hub注册的帐户相同。

Control Hub

Control Hub中缺少用户列表

问题

如果您拥有超过1000名同步用户的Webex组织，则可能无法在Control Hub中看到用户列表。

解决方案

您可以使用搜索功能查找用户帐户。在Control Hub中，转至用户，单击搜索，然后输入搜索条件以查找特定用户。

组不会同步到Control Hub

问题

目录组中的用户无法正确同步到Control Hub。

可能原因

在Active Directory中，该组未标记为 isCriticalSystemObject 。

解决方案

确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。

启用 Directory Connector 故障诊断

您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息，并将其保存至文件。

以下日志文件： \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	运行 `services.msc` 文件，将Directory Connector服务的正在运行的帐户从本地系统更改为有权访问AD DS或AD LDS的域帐户。
2	重启服务。请参阅如何启动服务获取指导。
3	在目录连接器中，单击仪表板。
4	转至操作，然后单击实用程序 > 故障排除。
5	启用故障诊断后，重复执行导致错误的操作，这样将捕获流量数据，以便进行检查。
6	检查日志文件：如果文件空白，请确保帐户有权访问 AD DS 或 AD LDS。日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。
7	如有必要，向支持人员发送日志文件以获取协助。
8	诊断完成后，请禁用故障诊断功能。

相关信息

启动事件查看器

若要查看完全或增量同步期间发生的事件，请启动“事件查看器”。它显示管理事件和错误日志的摘要。

1	从Directory Connector转至仪表板，然后单击操作 > 启动事件查看器。 “事件属性”对话将显示同步事件详细信息与错误详细信息。
2	从事件查看器，转至应用程序和服务日志 > Cisco Directory Connector。
3	在操作下，单击保存所有事件为将所有日志导出为单个事件文件(*。evtx)或其他格式（如xml或csv）。

下一步

如果您需要打开案例，请联系支持人员，描述连接器的问题，然后将“事件”文件附加到案例中。

事件日志会捕捉用户操作。如需管理网络流量的帮助，请在连接器上启用故障排除。

在Internet Explorer中启用TLS

如果您切换了单点登录(SSO)提供商，您可能会看到来自Cisco目录连接器的以下错误消息：

登录到服务时出错
此页脚本中出现错误

如果您看到这些错误，必须在浏览器中启用TLS设置。

1	打开Internet Explorer，然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器，然后再次打开它
2	单击互联网选项，转至高级，滚动至安全。
3	检查使用TLS 1.1 和使用TLS 1.2 复选框，然后单击确定。
4	重新启动系统以便更改生效。

服务帐户登录问题故障诊断

如果您无法登录Cisco目录连接器或无法运行同步，请在联系支持人员之前尝试解决该问题。

1

尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。

2

根据结果选择一项：

如果您无法从浏览器访问该链接，请检查您的网络设置。如果您的环境使用代理，请检查代理设置。
如果您可以通过浏览器访问链接，但无法打开Cisco目录连接器（无法打开连接器并弹出带有407的错误消息），单击此处以获取最新版本的Cisco目录连接器。
如果您可以从浏览器访问链接，但无法从Cisco目录连接器运行同步，请将服务登录帐户更改为域管理员。

检查您用于登录Windows系统的帐户是否与您在“Cisco DirSync服务”中设置的帐户相同。如果他们是2个不同的帐户，请确保两个帐户都可以访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。如果您的环境使用代理，请确保两个帐户在Internet Explorer中配置为代理，并且可以成功访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL 。

3

至少，确保Cisco DirSync服务（可在Windows服务中找到）配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下，该服务利用Windows登录帐户凭据和身份验证。

相关信息

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

Cisco Directory连接器概述

目录连接器概述

Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件，并将其安装到本地计算机上。

使用Directory Connector，您可以在Active Directory中维护您的用户帐户和数据，因此Active Directory成为唯一的真相来源。当您在内部进行更改时，它会复制到云。

请参阅表中所有的功能、描述和优势：

功能	描述和优势
简单易用的控制板	该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。
在同步到云之前进行干燥	在云中实施这些更改之前，先对目录进行干燥。之后，运行报告以查看要执行的变更是否与预期一致。
完全同步和增量同步	同步整个目录。或者，仅同步增量变更，从而提高处理能力并缩短同步时间。
同步多个域（单森林或多森林）	Directory Connector支持单个森林或多个森林下的多个域（无需使用AD LDS）。对于拥有多个Active Directory域的企业，您可以为每个域安装Directory Connector，将每个域绑定到您的组织，然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态，允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。
按计划同步	按天、小时和分钟设置同步安排。
轻量级目录访问协议 (LDAP) 过滤器	定义 LDAP 搜索条件并实现高效的导入。
活动目录属性映射	将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性，并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据，例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据（职务、部门、经理等）。
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录	如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务，或者您拥有内部Room设备，此功能可让用户从Cisco Webex Calling（云PSTN）电话或Room资源搜索企业联系人目录。会议室资源同步协作室信息之后，具有已配置、已映射 SIP 地址的本地协作室设备将作为可搜索条目显示在云注册协作室设备（例如 Cisco Webex Room 设备或 Cisco Webex Board）中。当用户在Cisco Webex Room设备或Cisco Webex板上进行搜索时，您将看到使用SIP地址配置的同步房间条目。当他们将从Webex设备拨打到该条目上时，将将呼叫放置到为房间配置的SIP地址。正在呼叫除了Webex App联系人之外，用户还可以呼叫企业联系人。通过Directory Connector，企业用户及其电话号码会被添加到您的Webex组织。他们不需要为Webex服务获得许可才能使用此功能。未为Webex授权的用户将出现在从Cisco Webex呼叫用户电话执行的目录搜索中，只要通过Directory Connector与Webex同步的URI或电话号码即可。对于这两种用户，呼叫功能的表现是相同的。此功能部件还为只有电话号码的联系人提供了编辑拨号功能。在联系人搜索结果中：如果联系人具有可调用URI（Webex SIP地址）和电话号码，将显示与联系人关联的URI。如果联系人没有可拨号的 URI，但却有电话号码，则显示电话号码。还会显示一个编辑拨号软键。如果这两者联系人都没有，则该联系人不会显示在目录中。
事件查看器	使用事件查看器可确定是否存在同步问题。
诊断工具和故障排除	您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确，您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接，以便在联系支持人员之前自行诊断错误。在Directory Connector中启用故障排除后，将编写日志，可发送给技术支持。
自动升级	安装 Directory Connector 后，您会在软件有新版本时收到通知。您可以设置自动升级，以便在发布新版本时始终使用最新版本的软件。
高可用性	配置多个连接器，以便在主连接器或机器主机出现宕机情况时提供备用。

Directory Connector 分为以下三个部分：

Control Hub 是一个单一界面，可让您管理Webex组织的所有方面：如果您希望用户通过企业身份提供商进行身份验证，并且不想为Webex应用程序发送电子邮件邀请，则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域，您可以为要同步的每个域安装一个软件实例。使用该软件，您可以运行同步以将Active Directory用户帐户带入Webex，查看和监控同步状态，并配置Directory Connector服务。
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。

请参考此图了解Directory Connector架构：

为Directory Connector准备您的环境

目录连接器的要求

Windows和Active Directory要求

您可以在这些受支持的Windows服务器上安装Directory Connector：

Windows Server 2022
Windows Server 2019
Windows Server 2016

要解决Cookie问题，我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。

以下的Active Directory服务支持Directory Connector：

2016年活动目录

（在Windows Server 2019上使用最新版本的Active Directory时，支持目录连接器）
活动目录2012
活动目录2008 R2
活动目录2008

请注意以下附加要求：

目录连接器需要TLS1.2。您必须安装以下内容：
- .NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题，请使用使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
- .NET Framework v.4.5（TLS1.2必需）
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。（请参阅什么是 Active Directory 功能级别？获取更多信息。）

硬件要求

您必须在符合以下最低硬件要求的计算机上安装Directory Connector：

8 GB RAM
50 GB 存储
CPU 没有最低要求

网络要求

如果您的网络是防火墙的幕后，请确保您的系统有HTTPS（端口443）访问互联网。

Webex组织要求

要从Control Hub访问Directory Connector软件，您需要试用Webex组织或任何付费订阅。
（可选）如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态，我们建议您执行以下操作：
- 添加、验证并选择声称包含要同步到云的用户电子邮件地址的域。
- 将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成。
- 抑制自动电子邮件邀请，这样新用户就不会收到自动电子邮件邀请，您可以进行自己的电子邮件活动。（此功能需要SSO集成。）

有关详细信息，请参阅控制中心中的用户状态和操作。

安装要求

对于多个域环境（单森林或多森林），必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保您有受支持的独立 Windows Server 来安装 Directory Connector，以进行域 (B) 同步。
要登录连接器，我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。

此本地用户必须拥有该Windows计算机上的权限，才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。（此信息也适用于虚拟机登录。）
登录连接器时，登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下，连接器使用本地系统帐户访问Active Directory。但是，您可以使用Windows服务配置其他帐户以访问Active Directory。（此信息也适用于虚拟机登录。）
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用：在Windows注册表中检查SafeDllSearchMode。
如果您在单个森林上使用多个AD LDS域，我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。

多个域要求

在 Cisco目录连接器部署任务流中跟踪任务之前，如果您要将多个域的Active Directory信息同步到云中，请记住以下要求和建议：

每个域需要单独的Directory Connector实例。
Directory Connector软件必须运行在其将同步的同一域上的主机。
我们建议您在Control Hub中验证或声明您的域。（参见添加、验证和申请域。）
如果要同步超过50个域，您必须打开标签才能让您的组织移动到大型组织列表。
如果需要，您可以与用户帐户同步房间资源信息。（请参阅将内部会议室信息同步到Webex云。）

自动许可证分配活动目录组建议

Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。

Active Directory中有两种类型的组：

分发组—用于创建电子邮件分发列表。
安全组-用于分配共享资源的权限。

在Active Directory中创建组时，请考虑以下指导原则：

为每个角色、部门或服务创建全球组（例如销售、营销、经理、会计师、Webex授权等）。
在整个组织中使用标准命名规范，以便轻松识别有关组的重要信息。组名称可以包含组的详细信息，例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如，组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
以易于理解的方式组织群组，例如按地域或管理层次。使用组描述来完整描述组的目的。
在将用户添加到新配置的组之前，请为这些组在Control Hub中定义自动许可证组模板。有关详细信息，请参阅设置自动许可证分配模板。

调整尺寸信息

Directory Connector是本地Active Directory和Webex云之间的桥梁。因此，连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定，而不是连接器本身。

一些因素会影响同步的速度：

Active Directory对象的总数。（5,000个用户同步工作所需的时间不超过50,000。）
网络速度和带宽。
系统工作负载和规格。

如果您正在同步超过50,000个用户，我们强烈建议您使用第二个连接器进行故障转移和冗余。

由于同步涉及多个因素，并且每个部署取决于上述因素，因此我们无法提供对象同步所需时间的特定时间值。

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

WebEx 代理集成

如果您的环境中已启用 Web 代理验证，则您仍然可用使用 Directory Connector。

如果您的组织使用透明Web代理，则不支持身份验证。连接器已成功连接和同步用户。

您可以选择下列方法之一：

通过Internet Explorer显式Web代理（连接器继承了Web代理设置）
通过。pac文件显式网络代理（连接器继承企业特定的代理设置）
与连接器配合的透明代理，无需任何更改

通过浏览器使用 Web 代理

您可以通过Internet Explorer设置Directory Connector以使用Web代理。

如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行，那么您还需要用此帐户登录并配置 Web 代理。

1	在 Internet Explorer 中，转至 Internet 选项，单击连接，然后选择局域网 (LAN) 设置。
2	指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。
3	如果环境使用代理验证，请将这些 URL 添加到允许列表： cloudconnector.webex.com 用于同步。 idbroker.webex.com 进行身份验证。 idbroker-static.webex.com 用于提供静态资源，如font、js组件等。您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。
4	如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表： .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org 有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

通过 PAC 文件配置 Web 代理

您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。

1

要使连接器成功连接并同步用户信息到Webex云，请确保安装连接器的主机。pac文件配置中已禁用 cloudconnector.webex.com 的代理身份验证。

2

如果环境使用代理验证，请将这些 URL 添加到允许列表：

cloudconnector.webex.com 用于同步。
idbroker.webex.com 进行身份验证。
idbroker-static.webex.com 用于提供静态资源，如font、js组件等。

您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。

如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。

3

如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表：

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

NTLM代理

Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证，并确保其安全。

NTLM设计

在大多数情况下，用户希望通过客户端PC访问其他工作站资源，这很难以安全的方式进行。

一般来说，NTLM的技术设计基于挑战和响应机制：

用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同，密码的哈希值在本地存储。当用户通过密码登录客户端时，Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同，则验证将通过。

当用户想要访问其他服务器中的任何资源时，客户端会向服务器发送一个请求，帐户名称为纯文本。
当服务器收到请求时，服务器会生成16位随机密钥。关键称为Challenge（或Nonce）。在服务器返回客户端之前，挑战将存储在服务器中。然后，服务器将挑战以纯文本形式发送给客户端。
客户端收到服务器发送的挑战后，客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后，该值将返回到服务器。
当服务器从客户端收到加密值时，服务器将其发送到域控制器进行验证。请求包括：帐户名称、客户端发送的加密挑战，以及原始的简单挑战。
域控制器可以根据帐户名称检索密码的哈希值。然后，域控制器可以对原始挑战进行加密。然后，域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同，验证将成功。

Windows在操作系统中内置了安全验证，使应用程序更容易支持安全验证。因此，您无需完成进一步的配置。

配置透明代理

在这种情境下，浏览器不会知道透明 Web 代理正在拦截 http 请求（端口 80/端口 443），因此不需要客户端配置。

1	部署透明代理，以便连接器可以连接和同步用户。
2	确认代理已成功—启动连接器时，您会看到预期的浏览器身份验证弹出窗口。

设置代理身份验证

通过创建访问控制列表，将URL cloudconnector.webex.com 添加到允许列表中。

在企业防火墙服务器上：

1	如果尚未启用 DNS 查找，请启用。
2	确定此连接的估计带宽（连接器约为2 mb/s或以下）。这不是必须执行的步骤。
3	创建访问控制列表以应用于连接器主机，并指定 `cloudconnector.webex.com` 作为要添加到允许列表的终端。例如： `access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https`
4	将此ACL应用于相应的防火墙接口，该接口仅适用于此单个连接器主持人。
5	通过配置相应的隐式拒绝声明，确保企业中的其他主机仍需使用 Web 代理。

部署目录连接器

Cisco目录连接器部署任务流程

开始之前

1个	安装目录连接器 Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。要重新安装Directory Connector，请始终转至Control Hub (https：//admin.webex.com)获取软件的最新版本，以便您使用最新的功能和故障修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
2个	登录到目录连接器使用您的Webex管理员凭据登录，并执行初始设置。
3个	设置自动升级将Directory Connector软件更新到最新版本始终非常重要。我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。
4个	选择要同步的Active Directory对象默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
5个	映射用户属性您可以将本地Active Directory中的属性映射到云中的相应属性。唯一必填字段是*uid。
6个	使用以下程序之一同步目录头像：将Active Directory属性中的目录头像同步到云将目录头像从资源服务器同步到云您可以将用户的头像同步到云，以便每个用户登录应用程序时显示他们的头像。您可以从Active Directory属性或资源服务器同步化头像。
7	将内部会议室信息同步到Webex云使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备（例如Webex Room设备或Cisco Webex Board）上的可搜索条目
8个	要从Active Directory向Control Hub提供用户，请执行以下步骤：在您的Active Directory用户上执行干线同步将Active Directory用户完全同步到云向Control Hub中的Directory同步用户分配Webex服务按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

安装目录连接器

Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。

您必须为要同步的每个Active Directory域安装一个连接器。单个目录连接器实例只能服务单个域。请参阅下图了解多个域同步的流程：

开始之前

如果您通过代理服务器进行身份验证，请确保您拥有代理凭据：

对于代理基本身份验证，安装连接器的实例后，您将输入用户名和密码。基本身份验证也需要Internet Explorer代理配置；请参阅通过浏览器使用Web代理
对于代理NTLM，第一次打开连接器时可能会看到错误。请参阅通过浏览器使用Web代理。

1个	在控制中心中，转至用户 > 管理用户 > 启用目录同步，然后选择下一步。
2个	单击下载和安装链接，将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。您可以直接从此链接获取。zip文件，但必须对Control Hub组织的完整管理访问权限才能使用此软件。对于新安装，请获取软件的最新版本，以便使用最新的功能和bug修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
3个	在VMware或Windows服务器上，解压缩并在设置文件夹中运行。msi文件，以启动设置向导。
4个	单击下一步，勾选框以接受许可协议，然后单击下一步，直到您看到帐户类型屏幕。
5个	选择要使用的服务帐户类型，并使用管理员帐户执行安装：本地系统—默认选项。如果通过Internet Explorer配置了代理，则可以使用此选项。域帐户—如果计算机是域的一部分，请使用此选项。目录连接器必须与网络服务交互，才能访问域资源。您可以输入帐户信息并单击确定。输入用户名时，请使用`{domain}\{user_name}格式` 对于与AD （NTLMv2或Kerberos）集成的代理，您必须使用域帐户选项。用于运行Directory Connector服务的帐户必须具有足够的权限传递代理和访问AD。要避免错误，请确保具有以下权限：服务器是域的一部分域帐户可以访问内部AD数据和头像数据。帐户还必须具有本地管理员角色，因为它必须访问 `C：\Program Files` 下的访问文件。对于虚拟机登录，管理员帐户权限至少必须能够读取域信息。
6个	单击安装。网络测试运行后，如果出现提示，输入您的代理基本凭证，单击确定，然后单击完成。

下一步该做什么

我们建议您在安装后重新启动服务器。当数据未发布时，干运行报告无法显示正确结果。重启计算机时，所有数据都会刷新以在报告中显示准确结果。

登录到目录连接器

开始之前

确保您拥有代理凭据。

对于Proxy basic-auth，第一次打开连接器后将输入用户名和密码。
对于代理NTLM，打开Internet Explorer，单击齿轮图标，转至 Internet选项>连接> LAN设置，确保已添加代理服务器信息，然后单击确定。请参阅通过浏览器使用Web代理。

1个	打开连接器，如果看到提示，则将 `https：//idbroker.webex.com` 添加到您的受信任站点列表。
2个	如果出现提示，请使用代理身份验证凭据登录，然后使用您的管理员帐户登录Webex，然后单击下一步。
3个	确认您的组织和域。如果您选择 AD DS，请检查 SSL上的LDAP 以使用安全LDAP (LDAPS)作为连接协议，选择要同步的域，然后单击确认。如果您未通过 SSL检查LDAP，DirSync将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。 LDAPS通信经过加密且安全。如果您选择AD LDS，输入主机、域和端口，然后单击刷新以加载所有应用程序分区。然后从下拉列表中选择分区，然后单击确认。有关更多信息，请参阅AD LDS部分。在 CloudConnectorCommon.dll 配置文件中，请确保将 ADAuthLevel 设置添加到 appSetting 节点。值可以是1、2或3。请参阅来自Microsoft的这篇文章，了解有关AuthenticationTypes的更多信息。以下是值为1的设置示例： `<appSettings> <add key=”ConnectorServiceURI” value="https：//cloudconnector.webex.com/SynchronizationService-v1.0/？orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4个	出现确认组织屏幕后，单击确认。如果您已绑定AD DS/AD LDS，将显示确认组织屏幕。
5个	单击确认。
6个	根据要绑定到Directory Connector的Active Directory域数，选择一个：如果您只有一个域名为 AD LDS，请绑定到现有的AD LDS源，然后单击确认。如果您有一个名为 AD DS 的单一域，可以绑定到现有域或新域。如果您选择绑定至新域，请单击下一步。由于现有源类型为AD DS，因此无法为新绑定选择 AD LDS。如果您有多个域，请从列表中选择现有域或绑定到新域，然后单击下一步。由于您有多个域，现有源类型必须为 AD DS。如果您选择绑定至新域并单击下一步，则无法为新绑定选择AD LDS。

下一步该做什么

登录后，系统提示您执行干运行同步。

目录连接器仪表板

当您首次登录Directory Connector时，会显示仪表板。在这里，您可以查看所有同步活动的摘要、查看云统计、执行干运行同步、启动完整或增量同步并启动事件视图以查看错误信息。

如果您的会话超时，请重新登录。

您可以从“操作”工具栏或“操作”菜单轻松运行这些任务。

表1。仪表板组件
组件	描述
当前同步	显示当前正在进行的同步的状态信息。当未运行同步时，状态显示处于空闲状态。
下一次同步	显示下一个已安排的完整和增量同步。如果未设置计划，将显示未计划。
上次同步	显示最近两次已执行同步的状态。
当前同步状态	显示同步的总体状态。
连接器	显示可用于云的当前本地连接器。
云统计	显示同步的总体状态。
同步计划	显示增量同步和完全同步的同步计划。
配置摘要	列出配置中更改的设置。例如，摘要可能包括以下内容：所有对象都将同步所有用户都将同步已删除的阈值已禁用。

表2。操作工具栏
行动	描述
开始增量同步	手动启动增量同步暂停或禁用同步时，如果未完成完全同步或同步正在进行中，则此操作将禁用。
同步干运行	执行干运行同步。
启动活动查看器	启动Microsoft Event Viewer。
刷新	刷新Cisco目录连接器仪表板

表3. Menubar操作
行动	描述
立即同步	立即开始完全同步。
同步模式	选择增量或完全同步模式。
重置连接器秘密	在Cisco目录连接器和连接器服务之间建立对话。选择此操作将重置云中的秘密，然后在本地保存秘密。
干运行	对同步过程执行测试。在进行完全同步之前，必须先进行干运行。
故障排除	打开/关闭故障排除。
刷新	刷新Cisco目录连接器主屏幕。
退出	退出Cisco目录连接器。

表4。关键组合
关键组合	行动
Alt +A	显示操作菜单
`Alt +A + S`	现在同步
`Alt +A + R`	重置连接器秘密
`Alt +A + D`	干运行
`Alt +A + S + I`	增量同步
`Alt +A + S + F`	完全同步
`Alt + H`	显示帮助菜单
`Alt + H + H`	帮助
`Alt + H + A`	关于
`Alt + H + F`	常见问题

设置自动升级

1个	从Directory Connector，转至配置 > 通用，然后检查自动升级到新的Cisco Directory Connector版本。
2个	单击应用保存更改。

新版本的连接器可用时将自动安装。

您可以手动管理升级（如果您愿意）。有关更多信息，请参阅升级至最新软件版本。

选择要同步的Active Directory对象

默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。

自动许可证分配组

Control Hub允许您按组管理许可证分配。您可以创建许可证模板，并将其映射到同步到云的Active Directory组。在用户创建时，Webex检查该新用户的用户会员身份和自动许可证模板映射。

我们建议您使用LDAP过滤器仅将相关组同步到云。例如，您可以将过滤器设置为：

(&（cn=示例）（objectclass=组）)*

此过滤器将以Example开头的基础DN中的所有组同步。未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。

目录连接器中的对象选择屏幕

混合数据安全部署组

在Directory Connector中，如果您使用混合数据安全为试点用户配置试用组，则必须检查组。请参阅混合数据安全部署指南获得指导。此目录连接器设置不会影响云中的其他用户同步。

开始之前

1个	从目录连接器转至配置，然后单击对象选择。
2个	在对象类型部分中，检查用户，并考虑限制用户可搜索容器的数量。例如，如果您想仅同步特定组中的用户，必须在用户LDAP过滤器字段中输入LDAP过滤器。如果要同步示例管理器组中的用户，请使用以下过滤器： `(&(sAMAccountName=*)(memberOf=cn=Example-manager，ou=Example，ou=Security Group，dc=COMPANY))`
3个	检查识别房间以将房间数据与用户数据分开。要设置其他属性，将用户数据识别为房间数据，请单击自定义。如果要将内部会议室信息从Active Directory同步到Webex云时，请使用此设置。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。有关详细信息，请参阅将内部会议室信息同步到Webex云。
4个	要将Active Directory用户组同步到云，请检查组。不要向“组”字段添加用户同步LDAP筛选器。您仅应使用“组”字段将组数据本身同步到云。默认情况下，组不会为新客户同步。必须启用组同步。还必须同步安全组。
5个	如果要将用户的联系信息同步到云，请检查联系人。目录连接器仅管理由连接器同步的联系人。如果Control Hub中已经有联系人，则同步不会删除联系人。如果从同步范围中删除联系人，则在Control Hub中也会删除用户的联系信息。
6个	配置 LDAP 过滤器。您可以通过提供有效的LDAP过滤器来添加扩展过滤器。有关配置LDAP过滤器的更多信息，请参阅本文。
7	单击选择以查看Active Directory树结构，指定要同步的On Premises Base DN。您可以在此处选择或取消选择要搜索的容器。
8个	检查要为此配置添加的对象，然后单击选择。您可以选择要用于同步的单个容器或母容器。选择父容器，以启用所有子容器。如果您选择子容器，母容器会显示灰色复选标记，表示孩子已检查。然后，您可以单击选择以接受选中的Active Directory容器。如果您的组织将所有用户和组放置在“用户”容器中，则无需搜索其他容器。如果您的组织被分为组织单位，请确保选择OU。
9	单击应用。选择一个选项：应用配置更改干运行取消有关干运行的信息，请参阅在Active Directory用户上执行干运行同步。对于组同步，您必须执行完整同步：将Active Directory用户完全同步到云中。

映射用户属性

您可以将本地Active Directory中的属性映射到云中的相应属性。唯一的必填字段是*uid，这是云身份服务中每个用户帐户的唯一标识符。

您可以选择要映射到云的Active Directory属性—例如，您可以映射到Active Directory中的 firstName lastName，或将自定义属性表达式映射到云中的 displayName。

Active Directory中的帐户必须有一个电子邮件地址；uid映射默认为邮件的广告字段（不是 sAMAccountName）。

如果您选择使用首选语言来自Active Directory，则Active Directory是唯一的真理来源：用户将无法在Webex设置中更改其语言设置，管理员也无法在Control Hub中更改设置。

1个	从Directory Connector，单击配置，然后选择用户属性映射。此页显示Active Directory（左侧）和Webex云（右侧）的属性名称。所有必需属性都标有红色星号。
2个	向下滚动到 Active Directory属性名称的底部，然后选择其中一个Active Directory属性以映射到云属性uid：邮件—大多数部署用于电子邮件格式。 userPrincipalName—如果您的邮件属性在Active Directory中用于其他用途，则可选择此选项。此属性必须为电子邮件格式。您可以将其他Active Directory属性映射到uid，但我们建议您使用上述指南中的邮件或userPrincipalName。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。要查看Active Directory中的哪些属性与云中的对应关系，请参阅在Directory Connector中映射Active Directory属性。要使同步工作，您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口，以提醒您，如果您没有选择推荐的属性。
3个	如果预定义的Active Directory属性不适用于部署，请单击属性下拉菜单，滚动到底部，然后选择自定义属性以打开一个窗口来定义属性表达式。单击帮助以获取有关表达式的更多信息，并查看表达式如何工作的示例。您还可以查看自定义属性的表达式以了解更多信息。在此示例中，我们将将Active Directory属性 `givenName` 和 `Sn` 映射到云属性 `displayName`：将属性表达式定义为givenName + "" + Sn（引号为额外空间），然后提供现有的用户电子邮件以进行验证。单击验证，查看结果是否符合您的期望。成功结果如下：如果结果符合您的预期，请单击确定保存新的自定义属性。稍后，如果您要更改 displayName，可以输入新的属性表达式 Directory Connector验证身份服务中的uid的属性值，并在当前用户过滤选项下检索3个可用用户。如果所有3个用户都具有有效的电子邮件格式，则Cisco Directory Connector将显示以下消息：如果无法验证属性，您将看到以下警告，并可以返回到Active Directory以检查和修复用户数据：
4个	（可选）如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中，选择手机和电话号码的映射。当用户将鼠标悬停在另一个用户的档案照片上时，电话号码数据会显示在Webex应用程序中。有关从用户联系人卡呼叫的更多信息，请参阅在Webex (Unified CM)部署指南（管理员）。
5个	选择其他映射以显示在联系人卡中的更多数据： `部门号码` `显示名称` `经理` `标题` 映射属性后，当用户将鼠标悬停在另一个用户的档案图片上时，会显示信息：有关联系卡的更多信息，请参阅验证您的联系人。将这些属性同步到每个用户帐户后，您还可以在Control Hub中打开People Insights。此功能允许Webex App用户在配置文件中共享更多信息，并相互了解。有关该功能以及如何启用该功能的更多信息，请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events（新建）People Insights Profiles
6个	做出选择后，单击应用。

Active Directory中包含的任何用户数据都会覆盖与该用户对应的云中的数据。例如，如果您在Control Hub中手动创建用户，则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。在Active Directory中没有相应电子邮件地址的用户将被删除。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

活动目录和云属性

您可以使用用户属性映射选项卡将本地Active Directory中的属性映射到云中的相应属性。

此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。这些值和映射是Directory Connector中的默认设置。您可以在Active Directory下拉菜单中选择不同的属性，并确定哪些内部属性与哪个云属性同步。

将下拉菜单属性视为预设。作为Active Directory行中的值的替代，您还可以在Active Directory中指定自定义属性（具有多个属性的表达式）以映射到相应行中的单个云属性。这样，您可以灵活地确定用户的显示名称，例如，您可以添加一个表达式，根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。

您还可以指定任何Active Directory属性，以映射到云中的uid。但是，您必须确保内部属性遵循有效的电子邮件格式。

您还可以使用其他电子邮件地址，例如，如果您想使用userPrincipalName进行登录，但用户的电子邮件地址用于管理他们的日历。在这种情况下，将其他电子邮件地址映射到电子邮件；类型-工作属性。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。

活动目录属性名称	Webex云属性名称	注释
—	建筑名称	—
c	c	此属性指定用户的国家缩写。
部门号码	部门号码	此属性用于联系人卡和人员见解中显示的用户的部门号码。
显示名称	显示名称	此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。
用户帐户控制	ds-pwp-account-disabled	此属性用于用户同步。确保 userAccountControl 属性映射到 ds-pwp-account-disabled，或者用户未正确同步。
员工号码	员工号码	—
传真电话号码	传真电话号码	—
—	jabberID	此云属性与Jabber使用的IM地址（XMPP类型）有关。此值与sipAddresses不同。
L的	L的	此属性指定用户的城市。
—	Category：本地	—
经理	经理	此属性用于联系人卡和人员见解中的用户经理名称。
移动设备	移动设备	此属性被用作显示从联系人卡呼叫用户的移动号码。
或	或	此属性指定公司或组织的名称，并显示在联系人卡中。
或	或	此属性指定组织单位的名称。
physicalDeliveryOffice名称	physicalDeliveryOffice名称	此属性指定用户的办公位置。
邮政编码	邮政编码	此属性指定了用于实际邮件交付的用户的邮政或邮政编码。
首选语言	首选语言	此属性设置用户的首选语言，支持以下格式： xx_YY或xx-YY。下面是一些示例： en_US，en_GB，fr-CA。如果您使用不受支持的语言或无效的格式，用户的首选语言将更改为组织的语言集。
MSRTCSIP-主要用户地址 ipPhone	SipAddresses；type=enterprise	此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。
sn	sn	此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。
圣	圣	此属性指定用户的状态或省。
街道地址	街道	此属性指定用于实际邮件递送的用户的街道地址。
电话号码	电话号码	此属性指定用于从联系人卡呼叫用户的主要（工作）电话号码。
—	时区	此云属性指定用户的时区。
标题	标题	此属性指定联系人卡和人员见解中出现的用户标题。
类型	企业	—
邮件用户主要名称	uid	强制性的属性映射。对于每个用户帐户，Active Directory值映射到云中的唯一的UID。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。然后用户可以使用这两个电子邮件地址之一登录，只要正确的 SAML属性映射就行了。请参阅下面的示例属性映射，了解如何映射替代电子邮件地址。
用户主要名称邮件 <自定义属性>	电子邮件；类型工作	此映射是可选的，如果您想使用其他电子邮件地址，请使用此映射。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。
<Azure用户对象Id的新属性>	外部ID	创建新的Active Directory属性以保留Azure用户对象ID，使其不会与现有的ID冲突。此属性随后映射到externalId属性，确保Webex用户在Microsoft 365中创建群组时，会自动在Webex中创建群组。

替代电子邮件地址映射

自定义属性的表达式

表5。自定义属性的表达式
操作员	描述和示例
%	如果匹配，将字符串开头的所有字符删除到字符或字符串参数的位置。示例表达式 `"abc@example.com" % "@"` 结果 `example.com`
-	从指定字符串的末端剥离输入字符串的背部。示例表达式 `"abc@example.com" - "@"` 结果 `广播`
+	连接输入字符串或表达式。示例表达式 `"abc" +" + "def"` 结果 `abc def`
\|	根据空字符串评估分隔表达式，并选择第一个非空结果。示例表达式 `“” \| “abc”` 结果 `广播`

将Active Directory属性中的目录头像同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序同步来自Active Directory属性的原始头像数据。

1个	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2个	对于从获取头像，选择AD属性，然后选择头像属性，其中包含要同步到云的原始头像数据。
3个	要验证头像是否正确访问，请输入用户的电子邮件地址，然后单击获取用户头像。头像出现在右侧。
4个	验证头像显示正确后，单击应用保存更改。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步该做什么

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将目录头像从资源服务器同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序从资源服务器同步化头像。

开始之前

此过程中的URI模式和变量值是示例。您必须使用目录头像所在位置的实际URL。
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。连接器需要http或https访问图像，但图像不需要在互联网上公开访问。
头像数据同步与Active Directory用户配置文件分开。如果您运行代理，必须确保NTLM身份验证或基本身份验证可以访问头像数据。

1个	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2个	对于从获取头像，选择资源服务器，然后输入头像URI模式—例如，*`http：//www.example.com/dir/photo/zoom/{mail： .?(?=@.)}.jpg`* 让我们来看看阿凡达URI模式的每个部分及其含义： http：//www.example.com/dir/photo/zoom/—将同步的所有照片所在的路径。它必须是服务器上的Directory Connector服务必须能够访问的URL。邮件：—告诉Directory Connector从Active Directory获取邮件属性的值 .?(?=@.)—执行以下功能的regex语法： *`。—任何字符，重复零或多次重复。` `？—告诉前一个变量以匹配尽可能少的字符。` `(?= ... )—匹配主表达式之后的组，但结果中不包含该组。目录连接器查找匹配并且不包含在输出中。` `@。—在at符号，然后是任意字符，重复零或多次重复。`* `.jpg—用户头像的文件扩展名。查看本文档中支持的文件类型，并相应更改扩展名。`
3个	（可选）如果您的资源服务器需要凭证，请检查为头像设置用户凭证，然后选择使用当前服务登录用户或使用此用户并输入密码。
4个	输入变量值—例如： `abcd@example.com`。
5个	单击测试以确保头像URI模式正常工作。在此示例中，如果一个AD条目的邮件值为 `abcd@example.com`，并且jpg图像正在同步，则最终阿凡达URI 为 `http：//www.example.com/dir/photo/zoom/abcd.jpg`
6个	验证了URI信息并看起来正确后，单击应用。有关使用正则表达式的详细信息，请参阅 Microsoft正则表达式语言快速参考。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步该做什么

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将内部会议室信息同步到Webex云

使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的Webex设备（房间、桌面和板）上的可搜索条目。

1个	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择对象选择。
2个	检查将房间信息同步到云，在同步过程中将房间数据与用户数据分开。禁用此设置时，将以与用户同步数据相同的方式处理会议室数据。
3个	转至属性映射，然后更改云属性的属性映射sipAddresses；type=enterprise。要使用值验证，SIP地址的值应为Pattern.compile("^([^@])(.)@(.)$") 如果可用，选择 MSRTCSIP-PrimaryUserAddress。如果您在Active Directory模式中没有上述属性，请使用其他字段，例如 ipPhone。
4个	在Exchange中创建会议室资源邮箱。这将添加连接器用于识别房间的 msExchResourceMetaData；ResourceType：Room 属性。
5个	从Active Directory用户和计算机，导航到并编辑会议室的属性。使用sip的前缀添加完全合格SIP URI：
6个	在连接器中执行干运行同步，然后执行完整运行同步。新会议室对象列出已添加对象，匹配的会议室对象将出现在匹配对象中干运行报告中中。任何标记要删除的房间对象都位于已删除的房间下。干运行结果显示所有匹配的房间资源。此设置将Active Directory房间数据（包括房间属性）与用户数据分离。同步完成后，连接器仪表板上的云统计数据将显示与云同步的房间数据。

下一步该做什么

现在您已完成这些步骤，当您在Webex云注册设备上搜索时，您将看到使用SIP地址配置的同步房间条目。当您将Webex设备拨入该条目时，将呼叫放置到为房间配置的SIP地址。

从Control Hub，您可以自动从目录导入会议室并创建工作空间。

端点无法将呼叫回传回至Webex应用程序。对于测试拨号设备，这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。如果您正在搜索的Active Directory会议室系统已注册到Webex，并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上，则搜索结果不会显示重复条目。在Webex应用程序中直接拨打Room、Desk或Board设备，不会进行SIP呼叫。

在目录同步结果上发送电子邮件报告

默认情况下，组织联系人或管理员总是会收到电子邮件通知。使用此设置，您可以自定义谁应该接收总结目录同步报告的电子邮件通知。

1个	从Directory Connector，单击配置，然后选择通知。
2个	从Directory Connector中，单击设置，然后在电子邮件接收器旁边切换启用报告同步。
3个	如果要覆盖默认通知行为并添加一个或多个电子邮件收件人，请选择启用通知。
4个	单击添加，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
5个	单击添加电子邮件，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
6个	如果您需要编辑您输入的任何电子邮件地址，请双击左侧列中的电子邮件条目，然后进行所需的任何更改。
7	添加所有有效电子邮件地址后，单击应用。
8个	添加所有有效电子邮件地址后，单击保存。

下一步该做什么

如果您决定删除电子邮件地址，您可以单击电子邮件以突出显示该条目，然后单击删除。

如果您决定删除电子邮件地址，可以单击特定电子邮件地址条目旁边的删除。

从Active Directory向Control Hub提供用户

按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。在安装每个域的Directory Connector后，您可以从多个域Active Directory部署（包含单个森林或多个森林）提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

1个	在您的Active Directory用户上执行干线同步执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
2个	将Active Directory用户完全同步到云当您运行完全同步时，连接器服务将从Active Directory (AD)的所有过滤对象发送到云。连接器服务然后用您的AD条目更新身份存储。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。
3个	向Control Hub中的Directory同步用户分配Webex服务完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用各种方法分配Webex服务许可证。我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。您还可以在此初始步骤后进行个人更改。

在您的Active Directory用户上执行干线同步

执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。

在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。使用Directory Connector，目标是在Active Directory和Webex云之间实现精确匹配。

如果您在单个森林或多个森林中拥有多个域，则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。

开始之前

在使用Directory Connector之前，您可能已经在Control Hub中拥有一些Webex应用程序用户。在云中的用户中，有些用户可能会与本地Active Directory对象匹配，并为服务分配许可证。但有些测试用户可能是在进行同步时要删除。您必须在Active Directory和Control Hub之间创建完全匹配。

1个	选择一项：首次登录后，单击提示符上的是以执行干运行。如果您错过了执行干运行的提醒，请随时从Directory Connector单击仪表板，选择同步干运行，然后单击确定以开始干运行同步。当干运行完成时，您将看到以下结果之一： *在目录连接器中检测到不匹配的对象* *Dry Run报告结果和目录连接器中的不匹配对象摘要* 摘要包含有关对象匹配的信息：匹配对象 -在Webex Common Identity中并且还存在在Active Directory域中的用户，如someuser@cisco.com与Webex同步并显示在Control Hub中，并且同一用户(someuser@cisco.com)在Active Directory中存在。这意味着用户已匹配。不匹配对象 -在Webex中使用的用户，无论该用户是如何在Common Identity中添加的，但在Active Directory中不存在该用户。它被称为“不匹配对象”。例如，如果someuser@cisco.com在Webex中同步并显示在Control Hub中，但同一用户(someuser@cisco.com)未由Active Directory管理，则报告显示该用户不匹配。干运行通过比较与域用户来识别用户。如果用户属于当前域，应用程序可以识别用户。在下一步，您必须决定是删除对象还是保留它们。不匹配的对象已在Webex云中存在，但在内部Active Directory中不存在。
2个	查看干运行结果，然后根据您使用单个域还是多个域选择一个选项：单一域—确定是否要保留不匹配的用户。如果要保留它们，请选择否，请选择是，删除对象。在您完成这些步骤并手动运行完整同步后，以便本地和云之间精确匹配，Directory Connector将自动启用已安排的自动同步任务。多个域—对于具有域A和域B的组织，首先对域A进行干燥。如果您想保留不匹配用户，请选择否，保留对象。（这些不匹配的用户可能是域B的成员。）如果要删除，请选择是，删除对象。如果您保留用户，请先为Domain A运行完整同步，然后为Domain B运行干燥。如果仍然存在不匹配的用户，请在Active Directory中添加这些用户，然后为Domain B进行完整同步。当内部和云之间有精确匹配时，Directory Connector将自动启用已安排的自动同步任务。
3个	在确认干运行提示符中，单击是重执行干运行同步并查看仪表板以查看结果。在干运行中成功同步的所有帐户都出现在匹配对象下。如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户，则该条目在已删除用户下列出。要避免此删除标记，您可以在具有相同电子邮件地址的Active Directory中添加用户。要查看已同步项目的详细信息，请单击特定项目或匹配对象的相应选项卡。要保存摘要信息，请单击保存结果至文件。
4个	如果预期结果，请转至操作 > 同步模式 > 启用同步，然后单击立即启用进行手动同步，并在此处设置手动模式。在多个域部署中的最后一个Active Directory域进行同步后，必须为Directory Connector启用自动模式。只有当对象在Webex云和所有内部活动目录之间完全匹配时，您才可以启用自动模式。

下一步该做什么

对于您保留的任何不匹配的用户对象，您必须将其添加到Active Directory，以便在内部和云之间实现完全匹配。
选择同步类型：
- 首次将新用户同步到云时，将Active Directory用户完全同步到云中。您可以从操作 > 立即同步 > 完整进行操作，然后从当前域的用户将同步。
- 设置连接器计划并在运行完整同步后运行增量同步，如果要在初始同步后拾取更改。建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
  
  默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。
如果您有多个域，请在已安装的任何其他目录连接器上重复这些步骤。

需要记住的事情

启用完全同步之前或更改同步参数时执行干运行。如果干运行由配置更改启动，您可以在干运行完成后保存设置。如果您已手动添加用户，执行Active Directory同步可能会导致以前添加的用户被删除。您可以在完全同步到云之前检查Directory Connector Dry Run报告，以验证所有预期用户都存在。

如果匹配的用户被标记为要删除，并且您不确定如何继续，请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

将Active Directory用户完全同步到云

当您运行完全同步时，连接器服务将从Active Directory (AD)的所有过滤对象发送到云。连接器服务然后用您的AD条目更新身份存储。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。

如果您有多个域，则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。

目录连接器同步用户帐户状态—在Active Directory中，任何被标记为禁用的用户在云中也会显示为非活动。

开始之前

如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态，则必须执行以下步骤以绕过电子邮件验证：
- 将单点登录与Webex组织集成。查看使用Cisco Webex Services和您的组织的身份提供商进行单点登录有关更多信息。
- 使用Control Hub验证并选择声称电子邮件地址中包含的域。查看添加、验证和请求域.
- 抑制自动电子邮件邀请，这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。（您可以进行自己的电子邮件活动。）
  
  尚未登录的已激活用户在Control Hub中显示已验证状态。登录后，它们将显示为活动状态。有关用户状态的更多信息，请参阅 Cisco Webex Control Hub中的用户状态和操作。
启用同步时，Directory Connector要求您先执行干运行。我们建议您在完全同步之前进行干运行，以发现任何潜在的错误。
在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。

如果您不使用自动分配许可证模板，新同步的用户会自动获得免费许可证。他们将能够使用与免费帐户的相同的免费功能。

1个	选择一项：首次登录后，如果干运行已完成并且所有域看起来正确，请单击立即启用以允许自动同步发生。从Directory Connector，转至仪表板，单击操作，选择同步模式>启用同步，然后单击立即同步>完整开始同步。
2个	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择完全同步。
3个	确认同步的开始。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序会在您执行同步后72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。在同步过程中，仪表板会显示同步进度；这可能包括同步类型、它开始的时间，以及同步当前正在运行的阶段。同步后，最后同步和云统计部分将使用新信息更新。用户数据同步到云。如果在同步过程中发生错误，状态指示球将变为红色。
4个	要更新同步状态，请单击刷新。（同步项目出现在云统计下。）
5个	有关错误的信息，请从操作工具栏选择启动事件查看器以查看错误日志。
6个	要设置持续增量同步到云的同步计划，请参阅设置连接器计划和运行增量同步。

完成完全同步后，在Control Hub的设置页面上，目录同步状态将从禁用更新至操作。
当所有数据在内部和云之间匹配时，Directory Connector将从手动模式更改为自动同步模式。
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件，否则Webex应用程序用户帐户将保持未验证状态，直到用户首次登录Webex应用程序以确认其帐户。请参阅“开始之前”部分，了解如何将帐户同步为活动用户的指导。
如果您有多个域，请在已安装的任何其他目录连接器上执行此步骤。同步后，您添加的所有域上的用户都会在Control Hub中列出。
如果您将单点登录与Webex集成，并且已删除的电子邮件通知，则电子邮件邀请不会发送给新同步的用户。
启用目录连接器后，您无法在Control Hub中手动添加用户。启用后，从Cisco目录连接器执行用户管理，而Active Directory是唯一的真理源。
您同步的任何组都出现在Control Hub中，并且您可以分配许可证模板，以便该组中的用户获得许可证。

下一步该做什么

当您从Active Directory中删除用户时，该用户将在下次同步后被软删除。用户处于非活动状态，但云身份档案将保留七天（以便从意外删除中恢复）。

如果您在Active Directory中检查帐户已禁用，则下次同步后该用户将变为非活动。云身份档案七天后不会删除，以防要再次启用用户。
注意增量同步的这些异常（请按照上面的完整同步步骤操作）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。

向Control Hub中的Directory同步用户分配Webex服务

完成从Cisco目录连接器到Control Hub的完整用户同步后，您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证，或者如果您已经配置了自动分配的许可证模板，则向新用户添加其他许可证。您可以在此初始步骤后更改个人用户帐户。

完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证（如果您已经配置了自动分配许可证模板）。您可以在此初始步骤后更改个人用户帐户。

当您向Webex应用程序用户分配许可证时，该用户默认会收到一封确认分配的电子邮件。该电子邮件由Control Hub中的通知服务发送。如果您将单点登录(SSO)与Webex组织集成，则如果您更愿意直接联系用户，您也可以删除这些自动电子邮件通知。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
在Active Directory用户上执行干运行同步。
确认干运行结果后，在Active Directory用户上进行完全同步。

在完全同步时，用户在云中创建，不添加服务分配，也不发送激活电子邮件。如果电子邮件未被抑制，新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。

1个

从 https：//admin.webex.com 中的客户视图，转至管理 > 用户，单击管理用户，选择修改所有同步用户，然后单击下一步。

2个

选择一个选项：

下一步该做什么

如果电子邮件没有被抑制，将向每个用户发送电子邮件，并邀请其加入和下载Webex。
如果您为所有用户选择了相同的Webex服务，那么您可以单独或批量更改分配的许可证。

相关信息

目录连接器的已知问题

2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。此问题已在 2012 R2 和 2016版本中得到解决。
对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。

您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间，此时呼叫将无限响起。

管理Webex应用程序用户

运行增量同步

增量同步会查询 Active Directory，查找自上次同步以来发生的更改。然后，此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。

此同步不会给服务器带来那么多的负载，也不需要像完全同步那样多的时间。完成初始完整同步后，我们建议为后续同步使用增量选项。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
注意不支持增量同步的以下异常（请遵循将Active Directory用户完全同步到云中）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 对于属性映射、基本DN、过滤器和头像设置的新配置更改，增量同步无法工作，需要完全同步。

1	从 Directory Connector 中，单击控制板。启用同步时，Directory Connector 将要求您首先执行测试。
2	从操作中，如果尚未启用，单击同步模式>启用同步。默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。当新的增量时间间隔出现时，程序会根据最后一个时间标识检查更改。
3	从操作中，单击立即同步 > 增量。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存：Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，最后同步和云统计部分将使用新信息更新。如果同步期间发生错误，状态指示球将变为红色。
4	有关错误的信息，单击操作工具栏中的启动事件查看器可查看错误日志。

下一步

如果您有多个域，请在已安装的其他目录连接器实例上执行此步骤。

恢复意外删除的用户

Directory Connector具有制衡功能，以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器，这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复，并在Control Hub中重新建立用户帐户。

默认情况下，此功能对所有组织都启用。例如，在云中删除用户时，由于从Directory Connector同步后出现不匹配的对象问题，用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除，如果您快速采取行动，您可能能够恢复它们。

当在Active Directory中删除相应帐户时，用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间，您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。

在Active Directory中禁用的用户在Control Hub中标记为Inactive，但用户帐户在7天后不会删除。

1	登录到 Control Hub。
2	转至用户并确认特定用户帐户是否处于非活动状态或未列出。有关详细信息，请参阅控制中心中的用户状态和操作。
3	如果在Control Hub中删除用户，或者您注意到用户处于非活动状态，请转至Active Directory，添加缺失的用户帐户，然后在Directory Connector中执行干运行同步。使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。
4	执行完全同步，将暂时删除的用户帐户重新同步至Control Hub。用户被恢复并转至原始状态，包括其帐户状态和服务分配。

下一步

返回Control Hub，转至管理 > 用户，并确认先前删除的用户帐户出现在用户列表中。

在软删除后永久删除用户

执行干运行后，您可以选择永久删除下次同步时被软删除的用户。

1	干运行完成后，选择软删除对象。
2	选中要删除的用户旁边的复选框。
3	选择完成。

下一步

下次同步时，已检查的用户将被永久删除。

更改Webex应用程序电子邮件地址

如果您想更改用户电子邮件地址，并且您的组织使用Directory Connector，请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。

如果您只想更改一个用户的电子邮件或某个值，请勿从Active Directory中删除该用户，然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户，用户空间和云中的其他数据将丢失。

要在不更改域的情况下更改用户电子邮件地址：
1. 在Active Directory中打开用户帐户（例如，user1@example.com）并更改电子邮件地址（例如，user2@example.com）。
2. 在目录连接器上恢复同步。
  
  下次同步后，更改会显示在Control Hub中的用户列表中，以及缓存更新后Webex应用程序中的用户。
  
  采用此方法不会造成数据或空间丢失。第一次同步后在云中设置用户的唯一标识符。所有后续同步均基于此标识符。
在使用Directory Connector的多个域部署中，要在更改域时更改用户电子邮件地址（考虑旧域为example1.com，新域为example2.com）：
1. 对于旧用户帐户(user1@example1.com)，请注意映射到 uid 云属性的Active Directory属性。您需要为新帐户使用相同的Active Directory值。对于此示例，我们将使用 user1@example1.com 作为在云中映射到 uid 的本地属性。
2. 在example1.com和example2.com域的Directory Connector上暂停同步。
3. 在example2.com中创建新用户帐户，并使用上面的相同属性。（例如，user1@example1.com）。
4. 在Directory Connector上，例如2.com恢复同步
  
  在继续之前，请验证user1@example2.com帐户是否同步到Control Hub。我们建议您指示用户在Webex应用程序中验证电子邮件更改，并保留所有数据（空间、消息、会议、文件等）。
  
  使用此方法不会丢失数据或空间，但在新用户帐户中，您必须确保从旧用户帐户中保留映射到云uid属性的Active Directory属性。如果您更改了Active Directory值，新帐户不会保留旧帐户中的数据。
5. 验证电子邮件地址更改且数据完好后，删除example1.com上的旧用户帐户，然后使用Directory Connector恢复为example1.com的同步功能。
  
  此时，您可以安全地更新新的Active Directory域中的user1@example2.com电子邮件地址。

目录连接器不限制电子邮件域更改。但是，当用户重新同步到云时，用户状态取决于您的组织中是否验证新域。如果组织中未验证域，则在完全同步后，用户的状态将更改为“待定”。有关更多信息，请参阅管理您的域。

如果您的组织不使用Directory Connector，您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址，了解用户可以遵循的步骤来更改电子邮件。

更改 Active Directory 域

您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。

1	设置新的 Active Directory (AD) 域。
2	禁用所有连接器上的同步。
3	卸载所有连接器。
4	打开案例以更改域名。在案例提交中，请确保请求删除组织中的域配置和所有同步属性。在打开案例以更改域之前，请确保未运行同步功能。在案例解决之前，不要更改Active Directory中的任何用户电子邮件地址。
5	解决案例后：在具有新Active Directory域的同一服务器上安装Directory Connector。配置Directory Connector，使其指向新的Active Directory域。如果Control Hub ( https://admin.webex.com)中有现有用户，请确保具有匹配电子邮件地址的用户也出现在Active Directory中。如果您的组织已禁用DirSync中的 `softDelete` 切换，则在Control Hub中但不在Active Directory中的用户电子邮件地址将面临删除风险。在进行实际同步之前，使用Directory Connector执行测试运行。

域声明

如果您为某个组织申请电子邮件域名，从而在付费客户组织中创建任何旁边的帐户，而不是免费消费者组织中，则会出现域索偿。您只能通过支持案例进行域申索（有关更多信息，请参阅下面的链接）。

如果Directory Connector处于活动状态并且该域已声明，则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户，受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。

相关信息

在目录同步组织中转换免费的Webex应用程序用户

您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序，则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户，请在打开Directory Connector之前将其迁移（转换）到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。

如果您未在激活前转换帐户，请关闭 Directory Connector 以对帐户进行转换。

如果启用目录同步时尝试转换用户，将显示错误消息无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。

一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中，而不是不匹配对象。如果要将这些用户迁移到您的组织，则需要将这些用户添加到您的AD列表。

如果您未添加这些用户，它们将在您旁边同步到云时全部删除。

1	从 Directory Connector 中禁用目录同步功能。
2	按照在Control Hub中转换无许可用户程序将用户从免费消费组织转换为企业组织。此步骤将用户添加到您的组织，帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源，目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前，确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。
3	在Directory Connector上，执行干运行同步。测试完成后，查看“添加对象”标签页。验证是否未删除您已转换的任何用户。您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中，则Directory Connector将区分大小写，并删除其检测到电子邮件地址不匹配的转换用户（例如，user1@example.com和User1@example.com）。如果已删除任何转换的用户，他们将失去所有Webex应用程序空间。
4	如果您确定下一次同步将不会删除任何帐户，请从 Directory Connector 重新启用目录同步。

如果您没有验证域，转换的用户帐户不会自动激活。例如，如果您打开自动分配许可证模板，然后在没有域验证的情况下打开Directory Connector，转换后的用户将在云后端处于非活动状态，直到他们确认其电子邮件地址。

侧边的Webex应用程序用户帐户

当您邀请其他用户到Webex应用程序中的空间时，如果受邀用户没有Webex应用程序帐户，则为他们创建帐户（“侧面”）。缺省情况下，以此方式创建的帐户将添加至自由消费者组织中。

如果要使用Directory Connector管理侧栏帐户，则必须转换帐户。

目录同步后更改Webex应用程序用户名格式

默认情况下，Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。

执行目录同步后，您可能会发现该用户名以格式显示。

如果Active Directory中的 displayName 属性以这种方式配置，此用户名可能会出现。当属性映射到云中的 displayName 时，名称会在Control Hub中以格式显示。

若要更改格式，请在 Directory Connector 属性映射屏幕中进行如下操作：将Active Directory属性 givenName sn （或 sn givenName）映射到Cisco云属性名称中的 displayName 。

或者，将属性 sn givenName 映射到 displayName：

如果您想将自己的自定义属性表达式映射到 displayName，也可以使用“自定义属性”选项。

例如，输入givenName + "" + sn （名字、空间、姓氏）作为表达式。将Active Directory中的两个属性映射到云中displayName 。

允许用户在Webex Meetings中更改显示名称

如果您想允许用户编辑首选的显示名称，您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称，而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。

1	从Directory Connector，单击配置，然后选择用户属性映射。
2	在 Cisco云属性名称下选择显示名称。
3	选择不同步此属性。

下一步

用户现在可以从Webex站点编辑显示名称。

Directory Connector 故障诊断

升级到最新软件版本

要保持部署合规并获取最新功能、功能、错误修复和安全增强功能，您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本，则可能会遇到问题，例如Directory Connector不再正常同步，或者处于不支持强制性 TLS 1.2要求的版本上。

Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。

虽然您可以手动安装连接器软件更新更新，但我们建议您遵循设置自动升级中的步骤，让应用程序自动管理升级。

1	单击Windows任务栏中的通知，或右击Windows任务栏中的Directory Connector图标，开始升级过程。
2	按说明完成升级操作。
3	重新启动连接器并使用管理员凭据登录。
4	在帮助 > 关于下验证软件的版本号。

下一步

要重新安装Directory Connector，您可以下载zip文件，然后按照本指南中的安装步骤操作。

配置 Directory Connector 的常规设置

使用此程序配置常规设置，例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中，其中还包含正在运行的任何其他连接器。

1	从Directory Connector转至配置，然后单击常规。
2	在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。
3	从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括：信息（默认）—显示信息消息，突出显示高层次应用程序的进度。要在所有完整同步后接收报告，请使用此设置。警告—显示潜在的有害情况。调试-显示对调试应用程序最有用的详细信息事件。如果您看见任何问题，请设置此日志级别，并在提交支持申请时将事件日志发送给支持人员。错误-显示可能仍允许应用程序继续运行的错误事件。选择此选项时，仅在报告错误时发送同步报告。这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误，则仅在同步报告中报告错误；如果不存在错误，则不会发送同步报告。将设置更改为Info，然后在完全同步后收到同步报告。（请记住，对于增量同步，没有报告错误时不会发送报告。）
4	选择首选域控制器以设置域控制器同步身份的顺序。将按照从上到下的顺序访问域控制器。如果顶级控制器不可用，则选择列表中的第二个控制器。如果列表中没有控制器，您可以访问主控制器。
5	如果要进行自动升级，请检查自动升级到新的Cisco Directory Connector版本。将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置，允许在软件可用时安静地安装自动升级到软件。
6	检查通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。如果您未通过 SSL检查LDAP，则Directory Connector将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。

配置连接器策略

您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。

例如，将 1 设置为删除阈值触发值。在执行完全或增量同步时，如果您要删除的用户数大于该设置，Directory Connector 会显示警告。如果您单击忽略阈值，可以成功开始完全或增量同步，但是在您下次运行该策略时将再次看到此忽略提示。

1	从Directory Connector，单击配置，然后选择策略。
2	如需添加阈值触发器，请勾选“启用删除阈值触发器”复选框。选择该选项后，删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时，同步失败。
3	输入您要设置的最大删除次数。缺省值为 20。我们建议您不要增大该缺省值。
4	单击应用。

设置连接器的安排

在Active Directory中设置同步定时。为了实现高可用性 (HA)，使用了故障转移。如果有一个连接器宕机，我们会在预定义的间隔过后，切换到另一个待机连接器。

1	从Directory Connector，单击配置，然后选择计划。
2	以分钟为单位指定增量同步间隔。缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。
3	如果您希望更改发送报告的频率，请更改发送报告间隔时间值。
4	勾选启用完全同步计划以指定想要执行完全同步的日期和时间。
5	以分钟为单位指定故障转移间隔。
6	单击应用。

多域情境

多个域基于域优先级。对于在不同域具有相同键值的对象，在同步后，来自高优先级域的数据将覆盖来自低优先级域的数据。

具有相同键值的对象会链接到数据库中的同一条记录。

“用户”的键值是电子邮件地址；“组”的键值是组名。

多域使用示例

此示例假设某组织有两个域 - example1.com 和 example2.com，前者优先级高于后者。

添加 user1（电子邮件：user@example1.com）到 example1.com 的 Active Directory。
添加 group1（组名：Test）到 example1.com 的 Active Directory。
添加 user2（电子邮件：user@example2.com）到 example2.com 的 Active Directory。
添加 group2（组名：Test）到 example2.com 的 Active Directory。

在 example1.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

如果您为 example1.com 执行全面或增量同步，user1 和 group1 会同步。而且，user2 和 group2 会被 user1 和 group1 的信息覆盖。

User1 作为数据库中的相同记录链接到 user2；group1 作为数据库中的相同记录链接到 group2。

在 example1.com 和 example2.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

请考虑这些步骤：

在 example1.com 的 Active Directory 上删除 user1 和 group1。
为 example1.com 执行全面或增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1，而 group2 没有链接到 group1。
为 example2.com 执行增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。
为 example2.com 执行全面同步。
结果：user2 和 group2 的信息在 https://admin.webex.com 中列出。

同步新的域并保留现有域

如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后，该连接器会与新的域绑定，而域 (A) 下的用户信息不受影响。

每个域必须自带有效的连接器。请考虑采用以下设置的两个域：带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA)；带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中，一个连接器处于活动状态，另一个处于待机状态 (HA)。该设计可保持域同步，因为有一个连接器始终处于活动状态。也就是说，cb1 是域 B 处于活动状态的连接器，因为域 A 已有处于活动状态的连接器（ca1 或 ca2）。

设置域优先级

使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域，等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织，此设置会很有帮助。

如果在 Directory Connector 中只列出了一个域，则不要使用此过程。如果您尝试进行此配置，连接器会显示一条消息，说明不需要域优先级。

开始之前

要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击设置域优先级。
3	高亮显示列表中的一个域，单击向上或向下更改此域的优先级，然后单击保存保存更改。各个域会按优先级自上而下排序。

切换域

使用此程序将Cisco目录连接器重新绑定到另一个域。

开始之前

在切换域之前，确保没有同步任务在运行。
要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击切换域。
3	阅读警告后，如果您理解此更改对部署的影响，而且您仍然确定要更改，请单击是。如果您切换域，则您将从当前Cisco目录连接器中注销，连接器中的其他域未注册，并且删除该计算机上的连接器信息。
4	重新登录Cisco目录连接器并重新绑定域。

关闭目录同步

如果您需要停止从Directory Connector进行同步，可以从Control Hub暂时将其关闭。

1

从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，然后选择一个：

单击更多，然后单击要关闭的连接器实例旁边的关闭。
单击关闭所有目录同步可停止所有连接器实例的同步。

2

阅读提示之后，单击关闭。

同步停止，直到从Directory Connector重新启用它。

删除用户属性映射

使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后，属性值将从云中删除，不再与Webex同步。然后可以手动编辑这些值。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 删除用户属性映射。
3	选择映射以从属性名称列表中删除。
4	在受影响的用户范围下，选择以下其中一项：仅使用目录连接器同步用户：映射将仅从先前同步的Directory Connector的用户中删除。所有用户：映射将从所有Active Directory用户中删除。
5	单击应用。

管理档案照片

使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 管理配置文件图片。
3	在操作下，选择以下其中一项：删除空头头像源的个人资料图片：如果Active Directory个人资料图片为空，此选项可确保用户个人资料图片从云中删除，即使用户之前已在Webex中上传了自己的图片。从同步源重新上传以覆盖缓存的图片：目录连接器使用与之前相同的Active Directory来更新所有用户的配置文件图片。这可以确保Active Directory中的个人资料图片与云之间没有不匹配。
4	单击 Apply（应用）。

卸载并停用目录连接器

卸载 Directory Connector 实例后，必须取消注册它。如果面临以下任何情况，都应该彻底删除 Directory Connector：

您不想再使用目录同步。
您不想使用多个 Directory Connector（高可用性）中的某一个。
您想要更改域并安装其他连接器。

开始之前

您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例，请禁用同步。
卸载Directory Connector之前，保存并关闭任何重要工作。

1	在您的 Windows 计算机上，转至“控制面板”，然后单击程序和功能。
2	从程序列表中，单击目录连接器，选择卸载，然后按照提示操作。您可能需要重启系统来完成卸载。
3	从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，单击更多，然后单击要卸载的目录连接器实例旁边的停用。
4	阅读提示之后，单击停用。用户帐户将不会再同步，除非在高可用性 (HA) 部署中还有其他 Directory Connector。

运行诊断工具

您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。

如果同步工作不正确，您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接，因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误，您可以发送详细的日志结果以支持。

要为Active Directory域服务运行测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-DS 选项卡，输入您的域，然后单击加载域控制器。
2. 从列表中选择一个域控制器。
  
  以后不要更改条目，因为增量搜索必须始终在同一域控制器上运行。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户和组对象和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行Active Directory轻量级目录服务的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-LDS 选项卡，输入主机和端口，然后单击加载分区。
2. 从列表中选择分区，然后单击连接。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户、用户代理和用户代理完整和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行轻量级目录访问协议(LDAP)的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击LDAP RAW 选项卡，输入根路径，过滤，从属性中选择一个条目，然后单击加载分区。
2. 根据需要检查以下选项：
  - ObjectSecurity—如果存在此选项，呼叫方不需要任何权利，只能看到呼叫方可访问的对象和属性。如果此选项不存在，呼叫者有权复制更改。
  - 家长至上—确保所有孩子的家长都先到孩子面前。
3. 选择 ExtendedDN 的值。
  
  此值用于扩展的LDAP搜索，以请求对象突出名称的扩展形式。
4. 选择ReferralChasing值。
  
  当域控制器从查询中返回转介时，将启动转介追踪——例如，对于可能位于命名空间之外的查询结果的详细信息（例如其他域或森林中的群组成员）。
5. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
6. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。

解决Ciso Directory Connector中的问题

目录连接器的故障排除和修复

您可能在Directory Connector中遇到错误消息或其他问题。此外，在Directory Connector同步用户信息后，该连接器可能会向您发送一封电子邮件报告，列出同步存在的任何问题。在联系支持人员之前，请参考以下章节，了解可能出现的问题、可能的原因和建议解决方案。

安装

Directory Connector 停止运行

您收到警告电子邮件，通知您您的Directory Connector无法工作。

目录连接器可能未正确安装。
目录连接器可能未运行。
网络可能不可用。

请尝试以下操作：

打开控制面板 > 程序和功能。找到 Directory Connector。如果没有，请从Control Hub下载最新版本并安装。
打开服务并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止，请单击右键并选择“启动”以重启该服务。
确保安装Directory Connector的服务器能够访问Internet。

重新安装错误

问题—如果您在卸载旧连接器后立即安装新连接器，可能会看到错误消息。

可能原因—在Windows Server 2012中，卸载客户端需要时间从服务列表中删除服务帐户。

解决方案—经过一段时间后，请再次尝试安装。

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

请执行以下步骤以在用户级别更改策略：

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

在运行 gpupdate /force、重新启动机器（用于机器更改）或再次输入用户符号（用于用户更改）后，更改将生效。

无法注册Cisco DirSync服务连接器

问题

登录失败，并显示此消息：“无法注册Cisco DirSync服务连接器。”

解决方案

安装Directory Connector的Windows系统必须是Active Directory的成员。

未显示登录页面

问题

您打开目录连接器，登录页未显示。

解决方案

请尝试以下步骤：

在Internet Explorer中，转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器（如Chrome和Firefox）中尝试该链接。
如果Internet Explorer无法访问该链接，但其他浏览器可以，请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。（使用启用Internet Explorer中的TLS 程序。）

显示登录提示

问题

出现提示提示您输入用户名和密码以通过身份验证。

可能原因

Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败，会弹出对话框以请求身份验证用户名和密码。

解决方案

当您看到登录弹出窗口时，您需要提供具有正确身份验证的有效帐户，以保证传递安全。

无法连接远程服务器

问题

在正常操作期间，出现错误消息：“无法连接到远程服务器”。

可能原因

您可能有需要解决的代理问题。

解决方案

有关更多故障排除信息，请参阅故障排除服务帐户登录问题。

无法注册连接器

问题

您将看到错误消息“无法注册连接器。发生了一般例外。”

可能原因

在大多数情况下，问题在于Directory Connector没有连接到LDAP根上下文的特权。

解决方案

请尝试以下操作：

运行命令提示符(cmd)，然后输入 ldp.exe。
单击连接 > 绑定，选择绑定为当前登录用户，然后单击确定。
单击查看 > 树，输入DC=arbonneintl，DC=ad 作为BaseDN，然后单击确定。
如果问题继续，打开支持案例。

同步

头像未同步

问题

Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。

可能原因

如果您重复使用现有的头像服务器，并且用户头像已经同步，则本地缓存将捕获它们，并避免再次重订以保存带宽。

解决方案

按照以下步骤删除本地缓存：

转至C：\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
删除DirSyncPluginAvatar.dll-cache.bin。
从Cisco目录连接器重新启动头像同步。

用户电子邮件帐户冲突

问题

同步结果可能会显示有冲突的用户电子邮件帐户。

如果用户尝试了Webex应用程序的免费版本，他们的电子邮件地址将位于免费消费者组织中。
如果用户电子邮件在另一个组织中已同步。
如果用户电子邮件存在于属于组织的多个域中。

解决方案

请尝试以下操作：

如果您要向用户索要权，请按照以下步骤操作：
1. 确保您已在 Control Hub中验证该域。
2. 暂时禁用Cisco目录连接器。
3. 使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关详细信息，请参阅向您的组织索要用户（转换用户）。
4. 在Cisco Directory Connector中运行干燥，然后重新启用目录同步
对于最后一个案例，请复选您的Active Directory源中的用户数据。

已转换用户标记为非活动

问题

在您的目录同步环境中，您将免费（消费者组织）用户转换为企业组织，但转换用户无法登录Webex应用程序。

可能原因

当自由用户转换为企业组织时，该用户将被标记为非活动状态为30天，作为安全合规措施。在此期间内，用户无法登录Webex应用程序，并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。

解决方案

如果您不想删除该用户帐户，必须采取行动。要解决此问题，请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后，从Cisco Directory连接器执行同步。然后，用户可以再次登录Webex应用程序，帐户不会被删除。

增量同步失败

问题

增量同步失败。

在以下条件下可能会在Windows Server 2008 R2上出现此问题：

您支持增量值更新。
您使用的筛选器引用链接值属性。
该属性的结果值自上次进行完全同步以来已更新。

解决方案

Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。

属性的值无效

问题

对于 [user dn (distinguished name)]，属性 [attribute name] 有以下无效值 [attribute value]。

可能原因

对于CN=b，OU=Employees，OU=C Users，DC=c，DC=com，属性[电话号码]具有以下无效值：+。此属性必须包含至少一个数字。

解决方案

此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。

要删除匹配的用户

问题

匹配的用户将被标记为要删除。

当执行干运行同步以检查Active Directory和云之间的数据时，您可能会在两者中看到相同的电子邮件地址。但是，用户被标记为要删除的对象。

解决方案

选择适当的修复：

如果可以在之后删除用户并重新执行许可证，您可以使用Directory Connector进行修复。执行同步以删除用户，然后执行其他同步以将用户从本地AD同步到云。
如果您无法删除并重新创建用户帐户，请在支持下打开案例。

缺少属性

问题

添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值，否则不会在Control Hub中创建该条目。

可能原因

必需属性的 email address 缺失。添加内部条目时[CN=Sales User，OU=Engineers，OU=K，DC=k，DC=local]，除非所有必需属性都具有值，否则不会在Control Hub中创建条目。

解决方案

用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。

嵌套组无法同步

问题

嵌套的Active Directory组中的用户未正确与云同步。

可能原因

使用不受支持的子组和父组的筛选器。例如：(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)

解决方案

必须重新配置同步组的过滤器。例如：|(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)(memberof=CN=testSubGroup，CN=Users，DC=rktest2008，DC=org)

用户命名冲突

问题

对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言，[用户电子邮件地址]，以及用户类型[user_type]。

可能原因

已在Control Hub中存在该电子邮件地址的用户。

解决方案

在Active Directory中创建用户，其电子邮件地址与您通过Control Hub注册的帐户相同。

Control Hub

Control Hub中缺少用户列表

问题

如果您拥有超过1000名同步用户的Webex组织，则可能无法在Control Hub中看到用户列表。

解决方案

您可以使用搜索功能查找用户帐户。在Control Hub中，转至用户，单击搜索，然后输入搜索条件以查找特定用户。

组不会同步到Control Hub

问题

目录组中的用户无法正确同步到Control Hub。

可能原因

在Active Directory中，该组未标记为 isCriticalSystemObject 。

解决方案

确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。

启用 Directory Connector 故障诊断

您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息，并将其保存至文件。

以下日志文件： \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	运行 `services.msc` 文件，将Directory Connector服务的正在运行的帐户从本地系统更改为有权访问AD DS或AD LDS的域帐户。
2	重启服务。请参阅如何启动服务获取指导。
3	在目录连接器中，单击仪表板。
4	转至操作，然后单击实用程序 > 故障排除。
5	启用故障诊断后，重复执行导致错误的操作，这样将捕获流量数据，以便进行检查。
6	检查日志文件：如果文件空白，请确保帐户有权访问 AD DS 或 AD LDS。日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。
7	如有必要，向支持人员发送日志文件以获取协助。
8	诊断完成后，请禁用故障诊断功能。

相关信息

启动事件查看器

若要查看完全或增量同步期间发生的事件，请启动“事件查看器”。它显示管理事件和错误日志的摘要。

1	从Directory Connector转至仪表板，然后单击操作 > 启动事件查看器。 “事件属性”对话将显示同步事件详细信息与错误详细信息。
2	从事件查看器，转至应用程序和服务日志 > Cisco Directory Connector。
3	在操作下，单击保存所有事件为将所有日志导出为单个事件文件(*。evtx)或其他格式（如xml或csv）。

下一步

如果您需要打开案例，请联系支持人员，描述连接器的问题，然后将“事件”文件附加到案例中。

事件日志会捕捉用户操作。如需管理网络流量的帮助，请在连接器上启用故障排除。

在Internet Explorer中启用TLS

如果您切换了单点登录(SSO)提供商，您可能会看到来自Cisco目录连接器的以下错误消息：

登录到服务时出错
此页脚本中出现错误

如果您看到这些错误，必须在浏览器中启用TLS设置。

1	打开Internet Explorer，然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器，然后再次打开它
2	单击互联网选项，转至高级，滚动至安全。
3	检查使用TLS 1.1 和使用TLS 1.2 复选框，然后单击确定。
4	重新启动系统以便更改生效。

服务帐户登录问题故障诊断

如果您无法登录Cisco目录连接器或无法运行同步，请在联系支持人员之前尝试解决该问题。

1

尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。

2

根据结果选择一项：

如果您无法从浏览器访问该链接，请检查您的网络设置。如果您的环境使用代理，请检查代理设置。
如果您可以通过浏览器访问链接，但无法打开Cisco目录连接器（无法打开连接器并弹出带有407的错误消息），单击此处以获取最新版本的Cisco目录连接器。
如果您可以从浏览器访问链接，但无法从Cisco目录连接器运行同步，请将服务登录帐户更改为域管理员。

检查您用于登录Windows系统的帐户是否与您在“Cisco DirSync服务”中设置的帐户相同。如果他们是2个不同的帐户，请确保两个帐户都可以访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。如果您的环境使用代理，请确保两个帐户在Internet Explorer中配置为代理，并且可以成功访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL 。

3

至少，确保Cisco DirSync服务（可在Windows服务中找到）配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下，该服务利用Windows登录帐户凭据和身份验证。

相关信息

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

Cisco Directory连接器概述

目录连接器概述

Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件，并将其安装到本地计算机上。

使用Directory Connector，您可以在Active Directory中维护您的用户帐户和数据，因此Active Directory成为唯一的真相来源。当您在内部进行更改时，它会复制到云。

请参阅表中所有的功能、描述和优势：

功能	描述和优势
简单易用的控制板	该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。
在同步到云之前进行干燥	在云中实施这些更改之前，先对目录进行干燥。之后，运行报告以查看要执行的变更是否与预期一致。
完全同步和增量同步	同步整个目录。或者，仅同步增量变更，从而提高处理能力并缩短同步时间。
同步多个域（单森林或多森林）	Directory Connector支持单个森林或多个森林下的多个域（无需使用AD LDS）。对于拥有多个Active Directory域的企业，您可以为每个域安装Directory Connector，将每个域绑定到您的组织，然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态，允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。
按计划同步	按天、小时和分钟设置同步安排。
轻量级目录访问协议 (LDAP) 过滤器	定义 LDAP 搜索条件并实现高效的导入。
活动目录属性映射	将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性，并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据，例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据（职务、部门、经理等）。
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录	如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务，或者您拥有内部Room设备，此功能可让用户从Cisco Webex Calling（云PSTN）电话或Room资源搜索企业联系人目录。会议室资源同步协作室信息之后，具有已配置、已映射 SIP 地址的本地协作室设备将作为可搜索条目显示在云注册协作室设备（例如 Cisco Webex Room 设备或 Cisco Webex Board）中。当用户在Cisco Webex Room设备或Cisco Webex板上进行搜索时，您将看到使用SIP地址配置的同步房间条目。当他们将从Webex设备拨打到该条目上时，将将呼叫放置到为房间配置的SIP地址。正在呼叫除了Webex App联系人之外，用户还可以呼叫企业联系人。通过Directory Connector，企业用户及其电话号码会被添加到您的Webex组织。他们不需要为Webex服务获得许可才能使用此功能。未为Webex授权的用户将出现在从Cisco Webex呼叫用户电话执行的目录搜索中，只要通过Directory Connector与Webex同步的URI或电话号码即可。对于这两种用户，呼叫功能的表现是相同的。此功能部件还为只有电话号码的联系人提供了编辑拨号功能。在联系人搜索结果中：如果联系人具有可调用URI（Webex SIP地址）和电话号码，将显示与联系人关联的URI。如果联系人没有可拨号的 URI，但却有电话号码，则显示电话号码。还会显示一个编辑拨号软键。如果这两者联系人都没有，则该联系人不会显示在目录中。
事件查看器	使用事件查看器可确定是否存在同步问题。
诊断工具和故障排除	您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确，您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接，以便在联系支持人员之前自行诊断错误。在Directory Connector中启用故障排除后，将编写日志，可发送给技术支持。
自动升级	安装 Directory Connector 后，您会在软件有新版本时收到通知。您可以设置自动升级，以便在发布新版本时始终使用最新版本的软件。
高可用性	配置多个连接器，以便在主连接器或机器主机出现宕机情况时提供备用。

Directory Connector 分为以下三个部分：

Control Hub 是一个单一界面，可让您管理Webex组织的所有方面：如果您希望用户通过企业身份提供商进行身份验证，并且不想为Webex应用程序发送电子邮件邀请，则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域，您可以为要同步的每个域安装一个软件实例。使用该软件，您可以运行同步以将Active Directory用户帐户带入Webex，查看和监控同步状态，并配置Directory Connector服务。
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。

请参考此图了解Directory Connector架构：

为Directory Connector准备您的环境

目录连接器的要求

Windows和Active Directory要求

您可以在这些受支持的Windows服务器上安装Directory Connector：

Windows Server 2022
Windows Server 2019
Windows Server 2016

要解决Cookie问题，我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。

以下的Active Directory服务支持Directory Connector：

2016年活动目录

（在Windows Server 2019上使用最新版本的Active Directory时，支持目录连接器）
活动目录2012
活动目录2008 R2
活动目录2008

请注意以下附加要求：

目录连接器需要TLS1.2。您必须安装以下内容：
- .NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题，请使用使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
- .NET Framework v.4.5（TLS1.2必需）
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。（请参阅什么是 Active Directory 功能级别？获取更多信息。）

硬件要求

您必须在符合以下最低硬件要求的计算机上安装Directory Connector：

8 GB RAM
50 GB 存储
CPU 没有最低要求

网络要求

如果您的网络是防火墙的幕后，请确保您的系统有HTTPS（端口443）访问互联网。

Webex组织要求

要从Control Hub访问Directory Connector软件，您需要试用Webex组织或任何付费订阅。
（可选）如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态，我们建议您执行以下操作：
- 添加、验证并选择声称包含要同步到云的用户电子邮件地址的域。
- 将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成。
- 抑制自动电子邮件邀请，这样新用户就不会收到自动电子邮件邀请，您可以进行自己的电子邮件活动。（此功能需要SSO集成。）

有关详细信息，请参阅控制中心中的用户状态和操作。

安装要求

对于多个域环境（单森林或多森林），必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保您有受支持的独立 Windows Server 来安装 Directory Connector，以进行域 (B) 同步。
要登录连接器，我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。

此本地用户必须拥有该Windows计算机上的权限，才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。（此信息也适用于虚拟机登录。）
登录连接器时，登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下，连接器使用本地系统帐户访问Active Directory。但是，您可以使用Windows服务配置其他帐户以访问Active Directory。（此信息也适用于虚拟机登录。）
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用：在Windows注册表中检查SafeDllSearchMode。
如果您在单个森林上使用多个AD LDS域，我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。

多个域要求

在 Cisco目录连接器部署任务流中跟踪任务之前，如果您要将多个域的Active Directory信息同步到云中，请记住以下要求和建议：

每个域需要单独的Directory Connector实例。
Directory Connector软件必须运行在其将同步的同一域上的主机。
我们建议您在Control Hub中验证或声明您的域。（参见添加、验证和申请域。）
如果要同步超过50个域，您必须打开标签才能让您的组织移动到大型组织列表。
如果需要，您可以与用户帐户同步房间资源信息。（请参阅将内部会议室信息同步到Webex云。）

自动许可证分配活动目录组建议

Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。

Active Directory中有两种类型的组：

分发组—用于创建电子邮件分发列表。
安全组-用于分配共享资源的权限。

在Active Directory中创建组时，请考虑以下指导原则：

为每个角色、部门或服务创建全球组（例如销售、营销、经理、会计师、Webex授权等）。
在整个组织中使用标准命名规范，以便轻松识别有关组的重要信息。组名称可以包含组的详细信息，例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如，组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
以易于理解的方式组织群组，例如按地域或管理层次。使用组描述来完整描述组的目的。
在将用户添加到新配置的组之前，请为这些组在Control Hub中定义自动许可证组模板。有关详细信息，请参阅设置自动许可证分配模板。

调整尺寸信息

Directory Connector是本地Active Directory和Webex云之间的桥梁。因此，连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定，而不是连接器本身。

一些因素会影响同步的速度：

Active Directory对象的总数。（5,000个用户同步工作所需的时间不超过50,000。）
网络速度和带宽。
系统工作负载和规格。

如果您正在同步超过50,000个用户，我们强烈建议您使用第二个连接器进行故障转移和冗余。

由于同步涉及多个因素，并且每个部署取决于上述因素，因此我们无法提供对象同步所需时间的特定时间值。

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

WebEx 代理集成

如果您的环境中已启用 Web 代理验证，则您仍然可用使用 Directory Connector。

如果您的组织使用透明Web代理，则不支持身份验证。连接器已成功连接和同步用户。

您可以选择下列方法之一：

通过Internet Explorer显式Web代理（连接器继承了Web代理设置）
通过。pac文件显式网络代理（连接器继承企业特定的代理设置）
与连接器配合的透明代理，无需任何更改

通过浏览器使用 Web 代理

您可以通过Internet Explorer设置Directory Connector以使用Web代理。

如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行，那么您还需要用此帐户登录并配置 Web 代理。

1	在 Internet Explorer 中，转至 Internet 选项，单击连接，然后选择局域网 (LAN) 设置。
2	指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。
3	如果环境使用代理验证，请将这些 URL 添加到允许列表： cloudconnector.webex.com 用于同步。 idbroker.webex.com 进行身份验证。 idbroker-static.webex.com 用于提供静态资源，如font、js组件等。您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。
4	如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表： .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org 有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

通过 PAC 文件配置 Web 代理

您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。

1

要使连接器成功连接并同步用户信息到Webex云，请确保安装连接器的主机。pac文件配置中已禁用 cloudconnector.webex.com 的代理身份验证。

2

如果环境使用代理验证，请将这些 URL 添加到允许列表：

cloudconnector.webex.com 用于同步。
idbroker.webex.com 进行身份验证。
idbroker-static.webex.com 用于提供静态资源，如font、js组件等。

您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。

如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。

3

如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表：

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

NTLM代理

Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证，并确保其安全。

NTLM设计

在大多数情况下，用户希望通过客户端PC访问其他工作站资源，这很难以安全的方式进行。

一般来说，NTLM的技术设计基于挑战和响应机制：

用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同，密码的哈希值在本地存储。当用户通过密码登录客户端时，Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同，则验证将通过。

当用户想要访问其他服务器中的任何资源时，客户端会向服务器发送一个请求，帐户名称为纯文本。
当服务器收到请求时，服务器会生成16位随机密钥。关键称为Challenge（或Nonce）。在服务器返回客户端之前，挑战将存储在服务器中。然后，服务器将挑战以纯文本形式发送给客户端。
客户端收到服务器发送的挑战后，客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后，该值将返回到服务器。
当服务器从客户端收到加密值时，服务器将其发送到域控制器进行验证。请求包括：帐户名称、客户端发送的加密挑战，以及原始的简单挑战。
域控制器可以根据帐户名称检索密码的哈希值。然后，域控制器可以对原始挑战进行加密。然后，域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同，验证将成功。

Windows在操作系统中内置了安全验证，使应用程序更容易支持安全验证。因此，您无需完成进一步的配置。

配置透明代理

在这种情境下，浏览器不会知道透明 Web 代理正在拦截 http 请求（端口 80/端口 443），因此不需要客户端配置。

1	部署透明代理，以便连接器可以连接和同步用户。
2	确认代理已成功—启动连接器时，您会看到预期的浏览器身份验证弹出窗口。

设置代理身份验证

通过创建访问控制列表，将URL cloudconnector.webex.com 添加到允许列表中。

在企业防火墙服务器上：

1	如果尚未启用 DNS 查找，请启用。
2	确定此连接的估计带宽（连接器约为2 mb/s或以下）。这不是必须执行的步骤。
3	创建访问控制列表以应用于连接器主机，并指定 `cloudconnector.webex.com` 作为要添加到允许列表的终端。例如： `access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https`
4	将此ACL应用于相应的防火墙接口，该接口仅适用于此单个连接器主持人。
5	通过配置相应的隐式拒绝声明，确保企业中的其他主机仍需使用 Web 代理。

部署目录连接器

Cisco目录连接器部署任务流程

开始之前

1个	安装目录连接器 Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。要重新安装Directory Connector，请始终转至Control Hub (https：//admin.webex.com)获取软件的最新版本，以便您使用最新的功能和故障修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
2个	登录到目录连接器使用您的Webex管理员凭据登录，并执行初始设置。
3个	设置自动升级将Directory Connector软件更新到最新版本始终非常重要。我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。
4个	选择要同步的Active Directory对象默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
5个	映射用户属性您可以将本地Active Directory中的属性映射到云中的相应属性。唯一必填字段是*uid。
6个	使用以下程序之一同步目录头像：将Active Directory属性中的目录头像同步到云将目录头像从资源服务器同步到云您可以将用户的头像同步到云，以便每个用户登录应用程序时显示他们的头像。您可以从Active Directory属性或资源服务器同步化头像。
7	将内部会议室信息同步到Webex云使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备（例如Webex Room设备或Cisco Webex Board）上的可搜索条目
8个	要从Active Directory向Control Hub提供用户，请执行以下步骤：在您的Active Directory用户上执行干线同步将Active Directory用户完全同步到云向Control Hub中的Directory同步用户分配Webex服务按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

安装目录连接器

Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。

您必须为要同步的每个Active Directory域安装一个连接器。单个目录连接器实例只能服务单个域。请参阅下图了解多个域同步的流程：

开始之前

如果您通过代理服务器进行身份验证，请确保您拥有代理凭据：

对于代理基本身份验证，安装连接器的实例后，您将输入用户名和密码。基本身份验证也需要Internet Explorer代理配置；请参阅通过浏览器使用Web代理
对于代理NTLM，第一次打开连接器时可能会看到错误。请参阅通过浏览器使用Web代理。

1个	在控制中心中，转至用户 > 管理用户 > 启用目录同步，然后选择下一步。
2个	单击下载和安装链接，将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。您可以直接从此链接获取。zip文件，但必须对Control Hub组织的完整管理访问权限才能使用此软件。对于新安装，请获取软件的最新版本，以便使用最新的功能和bug修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
3个	在VMware或Windows服务器上，解压缩并在设置文件夹中运行。msi文件，以启动设置向导。
4个	单击下一步，勾选框以接受许可协议，然后单击下一步，直到您看到帐户类型屏幕。
5个	选择要使用的服务帐户类型，并使用管理员帐户执行安装：本地系统—默认选项。如果通过Internet Explorer配置了代理，则可以使用此选项。域帐户—如果计算机是域的一部分，请使用此选项。目录连接器必须与网络服务交互，才能访问域资源。您可以输入帐户信息并单击确定。输入用户名时，请使用`{domain}\{user_name}格式` 对于与AD （NTLMv2或Kerberos）集成的代理，您必须使用域帐户选项。用于运行Directory Connector服务的帐户必须具有足够的权限传递代理和访问AD。要避免错误，请确保具有以下权限：服务器是域的一部分域帐户可以访问内部AD数据和头像数据。帐户还必须具有本地管理员角色，因为它必须访问 `C：\Program Files` 下的访问文件。对于虚拟机登录，管理员帐户权限至少必须能够读取域信息。
6个	单击安装。网络测试运行后，如果出现提示，输入您的代理基本凭证，单击确定，然后单击完成。

下一步该做什么

我们建议您在安装后重新启动服务器。当数据未发布时，干运行报告无法显示正确结果。重启计算机时，所有数据都会刷新以在报告中显示准确结果。

登录到目录连接器

开始之前

确保您拥有代理凭据。

对于Proxy basic-auth，第一次打开连接器后将输入用户名和密码。
对于代理NTLM，打开Internet Explorer，单击齿轮图标，转至 Internet选项>连接> LAN设置，确保已添加代理服务器信息，然后单击确定。请参阅通过浏览器使用Web代理。

1个	打开连接器，如果看到提示，则将 `https：//idbroker.webex.com` 添加到您的受信任站点列表。
2个	如果出现提示，请使用代理身份验证凭据登录，然后使用您的管理员帐户登录Webex，然后单击下一步。
3个	确认您的组织和域。如果您选择 AD DS，请检查 SSL上的LDAP 以使用安全LDAP (LDAPS)作为连接协议，选择要同步的域，然后单击确认。如果您未通过 SSL检查LDAP，DirSync将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。 LDAPS通信经过加密且安全。如果您选择AD LDS，输入主机、域和端口，然后单击刷新以加载所有应用程序分区。然后从下拉列表中选择分区，然后单击确认。有关更多信息，请参阅AD LDS部分。在 CloudConnectorCommon.dll 配置文件中，请确保将 ADAuthLevel 设置添加到 appSetting 节点。值可以是1、2或3。请参阅来自Microsoft的这篇文章，了解有关AuthenticationTypes的更多信息。以下是值为1的设置示例： `<appSettings> <add key=”ConnectorServiceURI” value="https：//cloudconnector.webex.com/SynchronizationService-v1.0/？orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4个	出现确认组织屏幕后，单击确认。如果您已绑定AD DS/AD LDS，将显示确认组织屏幕。
5个	单击确认。
6个	根据要绑定到Directory Connector的Active Directory域数，选择一个：如果您只有一个域名为 AD LDS，请绑定到现有的AD LDS源，然后单击确认。如果您有一个名为 AD DS 的单一域，可以绑定到现有域或新域。如果您选择绑定至新域，请单击下一步。由于现有源类型为AD DS，因此无法为新绑定选择 AD LDS。如果您有多个域，请从列表中选择现有域或绑定到新域，然后单击下一步。由于您有多个域，现有源类型必须为 AD DS。如果您选择绑定至新域并单击下一步，则无法为新绑定选择AD LDS。

下一步该做什么

登录后，系统提示您执行干运行同步。

目录连接器仪表板

当您首次登录Directory Connector时，会显示仪表板。在这里，您可以查看所有同步活动的摘要、查看云统计、执行干运行同步、启动完整或增量同步并启动事件视图以查看错误信息。

如果您的会话超时，请重新登录。

您可以从“操作”工具栏或“操作”菜单轻松运行这些任务。

表1。仪表板组件
组件	描述
当前同步	显示当前正在进行的同步的状态信息。当未运行同步时，状态显示处于空闲状态。
下一次同步	显示下一个已安排的完整和增量同步。如果未设置计划，将显示未计划。
上次同步	显示最近两次已执行同步的状态。
当前同步状态	显示同步的总体状态。
连接器	显示可用于云的当前本地连接器。
云统计	显示同步的总体状态。
同步计划	显示增量同步和完全同步的同步计划。
配置摘要	列出配置中更改的设置。例如，摘要可能包括以下内容：所有对象都将同步所有用户都将同步已删除的阈值已禁用。

表2。操作工具栏
行动	描述
开始增量同步	手动启动增量同步暂停或禁用同步时，如果未完成完全同步或同步正在进行中，则此操作将禁用。
同步干运行	执行干运行同步。
启动活动查看器	启动Microsoft Event Viewer。
刷新	刷新Cisco目录连接器仪表板

表3. Menubar操作
行动	描述
立即同步	立即开始完全同步。
同步模式	选择增量或完全同步模式。
重置连接器秘密	在Cisco目录连接器和连接器服务之间建立对话。选择此操作将重置云中的秘密，然后在本地保存秘密。
干运行	对同步过程执行测试。在进行完全同步之前，必须先进行干运行。
故障排除	打开/关闭故障排除。
刷新	刷新Cisco目录连接器主屏幕。
退出	退出Cisco目录连接器。

表4。关键组合
关键组合	行动
Alt +A	显示操作菜单
`Alt +A + S`	现在同步
`Alt +A + R`	重置连接器秘密
`Alt +A + D`	干运行
`Alt +A + S + I`	增量同步
`Alt +A + S + F`	完全同步
`Alt + H`	显示帮助菜单
`Alt + H + H`	帮助
`Alt + H + A`	关于
`Alt + H + F`	常见问题

设置自动升级

1个	从Directory Connector，转至配置 > 通用，然后检查自动升级到新的Cisco Directory Connector版本。
2个	单击应用保存更改。

新版本的连接器可用时将自动安装。

您可以手动管理升级（如果您愿意）。有关更多信息，请参阅升级至最新软件版本。

选择要同步的Active Directory对象

默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。

自动许可证分配组

Control Hub允许您按组管理许可证分配。您可以创建许可证模板，并将其映射到同步到云的Active Directory组。在用户创建时，Webex检查该新用户的用户会员身份和自动许可证模板映射。

我们建议您使用LDAP过滤器仅将相关组同步到云。例如，您可以将过滤器设置为：

(&（cn=示例）（objectclass=组）)*

此过滤器将以Example开头的基础DN中的所有组同步。未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。

目录连接器中的对象选择屏幕

混合数据安全部署组

在Directory Connector中，如果您使用混合数据安全为试点用户配置试用组，则必须检查组。请参阅混合数据安全部署指南获得指导。此目录连接器设置不会影响云中的其他用户同步。

开始之前

1个	从目录连接器转至配置，然后单击对象选择。
2个	在对象类型部分中，检查用户，并考虑限制用户可搜索容器的数量。例如，如果您想仅同步特定组中的用户，必须在用户LDAP过滤器字段中输入LDAP过滤器。如果要同步示例管理器组中的用户，请使用以下过滤器： `(&(sAMAccountName=*)(memberOf=cn=Example-manager，ou=Example，ou=Security Group，dc=COMPANY))`
3个	检查识别房间以将房间数据与用户数据分开。要设置其他属性，将用户数据识别为房间数据，请单击自定义。如果要将内部会议室信息从Active Directory同步到Webex云时，请使用此设置。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。有关详细信息，请参阅将内部会议室信息同步到Webex云。
4个	要将Active Directory用户组同步到云，请检查组。不要向“组”字段添加用户同步LDAP筛选器。您仅应使用“组”字段将组数据本身同步到云。默认情况下，组不会为新客户同步。必须启用组同步。还必须同步安全组。
5个	如果要将用户的联系信息同步到云，请检查联系人。目录连接器仅管理由连接器同步的联系人。如果Control Hub中已经有联系人，则同步不会删除联系人。如果从同步范围中删除联系人，则在Control Hub中也会删除用户的联系信息。
6个	配置 LDAP 过滤器。您可以通过提供有效的LDAP过滤器来添加扩展过滤器。有关配置LDAP过滤器的更多信息，请参阅本文。
7	单击选择以查看Active Directory树结构，指定要同步的On Premises Base DN。您可以在此处选择或取消选择要搜索的容器。
8个	检查要为此配置添加的对象，然后单击选择。您可以选择要用于同步的单个容器或母容器。选择父容器，以启用所有子容器。如果您选择子容器，母容器会显示灰色复选标记，表示孩子已检查。然后，您可以单击选择以接受选中的Active Directory容器。如果您的组织将所有用户和组放置在“用户”容器中，则无需搜索其他容器。如果您的组织被分为组织单位，请确保选择OU。
9	单击应用。选择一个选项：应用配置更改干运行取消有关干运行的信息，请参阅在Active Directory用户上执行干运行同步。对于组同步，您必须执行完整同步：将Active Directory用户完全同步到云中。

映射用户属性

您可以将本地Active Directory中的属性映射到云中的相应属性。唯一的必填字段是*uid，这是云身份服务中每个用户帐户的唯一标识符。

您可以选择要映射到云的Active Directory属性—例如，您可以映射到Active Directory中的 firstName lastName，或将自定义属性表达式映射到云中的 displayName。

Active Directory中的帐户必须有一个电子邮件地址；uid映射默认为邮件的广告字段（不是 sAMAccountName）。

如果您选择使用首选语言来自Active Directory，则Active Directory是唯一的真理来源：用户将无法在Webex设置中更改其语言设置，管理员也无法在Control Hub中更改设置。

1个	从Directory Connector，单击配置，然后选择用户属性映射。此页显示Active Directory（左侧）和Webex云（右侧）的属性名称。所有必需属性都标有红色星号。
2个	向下滚动到 Active Directory属性名称的底部，然后选择其中一个Active Directory属性以映射到云属性uid：邮件—大多数部署用于电子邮件格式。 userPrincipalName—如果您的邮件属性在Active Directory中用于其他用途，则可选择此选项。此属性必须为电子邮件格式。您可以将其他Active Directory属性映射到uid，但我们建议您使用上述指南中的邮件或userPrincipalName。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。要查看Active Directory中的哪些属性与云中的对应关系，请参阅在Directory Connector中映射Active Directory属性。要使同步工作，您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口，以提醒您，如果您没有选择推荐的属性。
3个	如果预定义的Active Directory属性不适用于部署，请单击属性下拉菜单，滚动到底部，然后选择自定义属性以打开一个窗口来定义属性表达式。单击帮助以获取有关表达式的更多信息，并查看表达式如何工作的示例。您还可以查看自定义属性的表达式以了解更多信息。在此示例中，我们将将Active Directory属性 `givenName` 和 `Sn` 映射到云属性 `displayName`：将属性表达式定义为givenName + "" + Sn（引号为额外空间），然后提供现有的用户电子邮件以进行验证。单击验证，查看结果是否符合您的期望。成功结果如下：如果结果符合您的预期，请单击确定保存新的自定义属性。稍后，如果您要更改 displayName，可以输入新的属性表达式 Directory Connector验证身份服务中的uid的属性值，并在当前用户过滤选项下检索3个可用用户。如果所有3个用户都具有有效的电子邮件格式，则Cisco Directory Connector将显示以下消息：如果无法验证属性，您将看到以下警告，并可以返回到Active Directory以检查和修复用户数据：
4个	（可选）如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中，选择手机和电话号码的映射。当用户将鼠标悬停在另一个用户的档案照片上时，电话号码数据会显示在Webex应用程序中。有关从用户联系人卡呼叫的更多信息，请参阅在Webex (Unified CM)部署指南（管理员）。
5个	选择其他映射以显示在联系人卡中的更多数据： `部门号码` `显示名称` `经理` `标题` 映射属性后，当用户将鼠标悬停在另一个用户的档案图片上时，会显示信息：有关联系卡的更多信息，请参阅验证您的联系人。将这些属性同步到每个用户帐户后，您还可以在Control Hub中打开People Insights。此功能允许Webex App用户在配置文件中共享更多信息，并相互了解。有关该功能以及如何启用该功能的更多信息，请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events（新建）People Insights Profiles
6个	做出选择后，单击应用。

Active Directory中包含的任何用户数据都会覆盖与该用户对应的云中的数据。例如，如果您在Control Hub中手动创建用户，则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。在Active Directory中没有相应电子邮件地址的用户将被删除。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

活动目录和云属性

您可以使用用户属性映射选项卡将本地Active Directory中的属性映射到云中的相应属性。

此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。这些值和映射是Directory Connector中的默认设置。您可以在Active Directory下拉菜单中选择不同的属性，并确定哪些内部属性与哪个云属性同步。

将下拉菜单属性视为预设。作为Active Directory行中的值的替代，您还可以在Active Directory中指定自定义属性（具有多个属性的表达式）以映射到相应行中的单个云属性。这样，您可以灵活地确定用户的显示名称，例如，您可以添加一个表达式，根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。

您还可以指定任何Active Directory属性，以映射到云中的uid。但是，您必须确保内部属性遵循有效的电子邮件格式。

您还可以使用其他电子邮件地址，例如，如果您想使用userPrincipalName进行登录，但用户的电子邮件地址用于管理他们的日历。在这种情况下，将其他电子邮件地址映射到电子邮件；类型-工作属性。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。

活动目录属性名称	Webex云属性名称	注释
—	建筑名称	—
c	c	此属性指定用户的国家缩写。
部门号码	部门号码	此属性用于联系人卡和人员见解中显示的用户的部门号码。
显示名称	显示名称	此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。
用户帐户控制	ds-pwp-account-disabled	此属性用于用户同步。确保 userAccountControl 属性映射到 ds-pwp-account-disabled，或者用户未正确同步。
员工号码	员工号码	—
传真电话号码	传真电话号码	—
—	jabberID	此云属性与Jabber使用的IM地址（XMPP类型）有关。此值与sipAddresses不同。
L的	L的	此属性指定用户的城市。
—	Category：本地	—
经理	经理	此属性用于联系人卡和人员见解中的用户经理名称。
移动设备	移动设备	此属性被用作显示从联系人卡呼叫用户的移动号码。
或	或	此属性指定公司或组织的名称，并显示在联系人卡中。
或	或	此属性指定组织单位的名称。
physicalDeliveryOffice名称	physicalDeliveryOffice名称	此属性指定用户的办公位置。
邮政编码	邮政编码	此属性指定了用于实际邮件交付的用户的邮政或邮政编码。
首选语言	首选语言	此属性设置用户的首选语言，支持以下格式： xx_YY或xx-YY。下面是一些示例： en_US，en_GB，fr-CA。如果您使用不受支持的语言或无效的格式，用户的首选语言将更改为组织的语言集。
MSRTCSIP-主要用户地址 ipPhone	SipAddresses；type=enterprise	此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。
sn	sn	此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。
圣	圣	此属性指定用户的状态或省。
街道地址	街道	此属性指定用于实际邮件递送的用户的街道地址。
电话号码	电话号码	此属性指定用于从联系人卡呼叫用户的主要（工作）电话号码。
—	时区	此云属性指定用户的时区。
标题	标题	此属性指定联系人卡和人员见解中出现的用户标题。
类型	企业	—
邮件用户主要名称	uid	强制性的属性映射。对于每个用户帐户，Active Directory值映射到云中的唯一的UID。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。然后用户可以使用这两个电子邮件地址之一登录，只要正确的 SAML属性映射就行了。请参阅下面的示例属性映射，了解如何映射替代电子邮件地址。
用户主要名称邮件 <自定义属性>	电子邮件；类型工作	此映射是可选的，如果您想使用其他电子邮件地址，请使用此映射。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。
<Azure用户对象Id的新属性>	外部ID	创建新的Active Directory属性以保留Azure用户对象ID，使其不会与现有的ID冲突。此属性随后映射到externalId属性，确保Webex用户在Microsoft 365中创建群组时，会自动在Webex中创建群组。

替代电子邮件地址映射

自定义属性的表达式

表5。自定义属性的表达式
操作员	描述和示例
%	如果匹配，将字符串开头的所有字符删除到字符或字符串参数的位置。示例表达式 `"abc@example.com" % "@"` 结果 `example.com`
-	从指定字符串的末端剥离输入字符串的背部。示例表达式 `"abc@example.com" - "@"` 结果 `广播`
+	连接输入字符串或表达式。示例表达式 `"abc" +" + "def"` 结果 `abc def`
\|	根据空字符串评估分隔表达式，并选择第一个非空结果。示例表达式 `“” \| “abc”` 结果 `广播`

将Active Directory属性中的目录头像同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序同步来自Active Directory属性的原始头像数据。

1个	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2个	对于从获取头像，选择AD属性，然后选择头像属性，其中包含要同步到云的原始头像数据。
3个	要验证头像是否正确访问，请输入用户的电子邮件地址，然后单击获取用户头像。头像出现在右侧。
4个	验证头像显示正确后，单击应用保存更改。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步该做什么

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将目录头像从资源服务器同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序从资源服务器同步化头像。

开始之前

此过程中的URI模式和变量值是示例。您必须使用目录头像所在位置的实际URL。
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。连接器需要http或https访问图像，但图像不需要在互联网上公开访问。
头像数据同步与Active Directory用户配置文件分开。如果您运行代理，必须确保NTLM身份验证或基本身份验证可以访问头像数据。

1个	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2个	对于从获取头像，选择资源服务器，然后输入头像URI模式—例如，*`http：//www.example.com/dir/photo/zoom/{mail： .?(?=@.)}.jpg`* 让我们来看看阿凡达URI模式的每个部分及其含义： http：//www.example.com/dir/photo/zoom/—将同步的所有照片所在的路径。它必须是服务器上的Directory Connector服务必须能够访问的URL。邮件：—告诉Directory Connector从Active Directory获取邮件属性的值 .?(?=@.)—执行以下功能的regex语法： *`。—任何字符，重复零或多次重复。` `？—告诉前一个变量以匹配尽可能少的字符。` `(?= ... )—匹配主表达式之后的组，但结果中不包含该组。目录连接器查找匹配并且不包含在输出中。` `@。—在at符号，然后是任意字符，重复零或多次重复。`* `.jpg—用户头像的文件扩展名。查看本文档中支持的文件类型，并相应更改扩展名。`
3个	（可选）如果您的资源服务器需要凭证，请检查为头像设置用户凭证，然后选择使用当前服务登录用户或使用此用户并输入密码。
4个	输入变量值—例如： `abcd@example.com`。
5个	单击测试以确保头像URI模式正常工作。在此示例中，如果一个AD条目的邮件值为 `abcd@example.com`，并且jpg图像正在同步，则最终阿凡达URI 为 `http：//www.example.com/dir/photo/zoom/abcd.jpg`
6个	验证了URI信息并看起来正确后，单击应用。有关使用正则表达式的详细信息，请参阅 Microsoft正则表达式语言快速参考。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步该做什么

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将内部会议室信息同步到Webex云

使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的Webex设备（房间、桌面和板）上的可搜索条目。

1个	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择对象选择。
2个	检查将房间信息同步到云，在同步过程中将房间数据与用户数据分开。禁用此设置时，将以与用户同步数据相同的方式处理会议室数据。
3个	转至属性映射，然后更改云属性的属性映射sipAddresses；type=enterprise。要使用值验证，SIP地址的值应为Pattern.compile("^([^@])(.)@(.)$") 如果可用，选择 MSRTCSIP-PrimaryUserAddress。如果您在Active Directory模式中没有上述属性，请使用其他字段，例如 ipPhone。
4个	在Exchange中创建会议室资源邮箱。这将添加连接器用于识别房间的 msExchResourceMetaData；ResourceType：Room 属性。
5个	从Active Directory用户和计算机，导航到并编辑会议室的属性。使用sip的前缀添加完全合格SIP URI：
6个	在连接器中执行干运行同步，然后执行完整运行同步。新会议室对象列出已添加对象，匹配的会议室对象将出现在匹配对象中干运行报告中中。任何标记要删除的房间对象都位于已删除的房间下。干运行结果显示所有匹配的房间资源。此设置将Active Directory房间数据（包括房间属性）与用户数据分离。同步完成后，连接器仪表板上的云统计数据将显示与云同步的房间数据。

下一步该做什么

现在您已完成这些步骤，当您在Webex云注册设备上搜索时，您将看到使用SIP地址配置的同步房间条目。当您将Webex设备拨入该条目时，将呼叫放置到为房间配置的SIP地址。

从Control Hub，您可以自动从目录导入会议室并创建工作空间。

端点无法将呼叫回传回至Webex应用程序。对于测试拨号设备，这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。如果您正在搜索的Active Directory会议室系统已注册到Webex，并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上，则搜索结果不会显示重复条目。在Webex应用程序中直接拨打Room、Desk或Board设备，不会进行SIP呼叫。

在目录同步结果上发送电子邮件报告

默认情况下，组织联系人或管理员总是会收到电子邮件通知。使用此设置，您可以自定义谁应该接收总结目录同步报告的电子邮件通知。

1个	从Directory Connector，单击配置，然后选择通知。
2个	从Directory Connector中，单击设置，然后在电子邮件接收器旁边切换启用报告同步。
3个	如果要覆盖默认通知行为并添加一个或多个电子邮件收件人，请选择启用通知。
4个	单击添加，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
5个	单击添加电子邮件，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
6个	如果您需要编辑您输入的任何电子邮件地址，请双击左侧列中的电子邮件条目，然后进行所需的任何更改。
7	添加所有有效电子邮件地址后，单击应用。
8个	添加所有有效电子邮件地址后，单击保存。

下一步该做什么

如果您决定删除电子邮件地址，您可以单击电子邮件以突出显示该条目，然后单击删除。

如果您决定删除电子邮件地址，可以单击特定电子邮件地址条目旁边的删除。

从Active Directory向Control Hub提供用户

按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。在安装每个域的Directory Connector后，您可以从多个域Active Directory部署（包含单个森林或多个森林）提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

1个	在您的Active Directory用户上执行干线同步执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
2个	将Active Directory用户完全同步到云当您运行完全同步时，连接器服务将从Active Directory (AD)的所有过滤对象发送到云。连接器服务然后用您的AD条目更新身份存储。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。
3个	向Control Hub中的Directory同步用户分配Webex服务完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用各种方法分配Webex服务许可证。我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。您还可以在此初始步骤后进行个人更改。

在您的Active Directory用户上执行干线同步

执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。

在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。使用Directory Connector，目标是在Active Directory和Webex云之间实现精确匹配。

如果您在单个森林或多个森林中拥有多个域，则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。

开始之前

在使用Directory Connector之前，您可能已经在Control Hub中拥有一些Webex应用程序用户。在云中的用户中，有些用户可能会与本地Active Directory对象匹配，并为服务分配许可证。但有些测试用户可能是在进行同步时要删除。您必须在Active Directory和Control Hub之间创建完全匹配。

1个	选择一项：首次登录后，单击提示符上的是以执行干运行。如果您错过了执行干运行的提醒，请随时从Directory Connector单击仪表板，选择同步干运行，然后单击确定以开始干运行同步。当干运行完成时，您将看到以下结果之一： *在目录连接器中检测到不匹配的对象* *Dry Run报告结果和目录连接器中的不匹配对象摘要* 摘要包含有关对象匹配的信息：匹配对象 -在Webex Common Identity中并且还存在在Active Directory域中的用户，如someuser@cisco.com与Webex同步并显示在Control Hub中，并且同一用户(someuser@cisco.com)在Active Directory中存在。这意味着用户已匹配。不匹配对象 -在Webex中使用的用户，无论该用户是如何在Common Identity中添加的，但在Active Directory中不存在该用户。它被称为“不匹配对象”。例如，如果someuser@cisco.com在Webex中同步并显示在Control Hub中，但同一用户(someuser@cisco.com)未由Active Directory管理，则报告显示该用户不匹配。干运行通过比较与域用户来识别用户。如果用户属于当前域，应用程序可以识别用户。在下一步，您必须决定是删除对象还是保留它们。不匹配的对象已在Webex云中存在，但在内部Active Directory中不存在。
2个	查看干运行结果，然后根据您使用单个域还是多个域选择一个选项：单一域—确定是否要保留不匹配的用户。如果要保留它们，请选择否，请选择是，删除对象。在您完成这些步骤并手动运行完整同步后，以便本地和云之间精确匹配，Directory Connector将自动启用已安排的自动同步任务。多个域—对于具有域A和域B的组织，首先对域A进行干燥。如果您想保留不匹配用户，请选择否，保留对象。（这些不匹配的用户可能是域B的成员。）如果要删除，请选择是，删除对象。如果您保留用户，请先为Domain A运行完整同步，然后为Domain B运行干燥。如果仍然存在不匹配的用户，请在Active Directory中添加这些用户，然后为Domain B进行完整同步。当内部和云之间有精确匹配时，Directory Connector将自动启用已安排的自动同步任务。
3个	在确认干运行提示符中，单击是重执行干运行同步并查看仪表板以查看结果。在干运行中成功同步的所有帐户都出现在匹配对象下。如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户，则该条目在已删除用户下列出。要避免此删除标记，您可以在具有相同电子邮件地址的Active Directory中添加用户。要查看已同步项目的详细信息，请单击特定项目或匹配对象的相应选项卡。要保存摘要信息，请单击保存结果至文件。
4个	如果预期结果，请转至操作 > 同步模式 > 启用同步，然后单击立即启用进行手动同步，并在此处设置手动模式。在多个域部署中的最后一个Active Directory域进行同步后，必须为Directory Connector启用自动模式。只有当对象在Webex云和所有内部活动目录之间完全匹配时，您才可以启用自动模式。

下一步该做什么

对于您保留的任何不匹配的用户对象，您必须将其添加到Active Directory，以便在内部和云之间实现完全匹配。
选择同步类型：
- 首次将新用户同步到云时，将Active Directory用户完全同步到云中。您可以从操作 > 立即同步 > 完整进行操作，然后从当前域的用户将同步。
- 设置连接器计划并在运行完整同步后运行增量同步，如果要在初始同步后拾取更改。建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
  
  默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。
如果您有多个域，请在已安装的任何其他目录连接器上重复这些步骤。

需要记住的事情

启用完全同步之前或更改同步参数时执行干运行。如果干运行由配置更改启动，您可以在干运行完成后保存设置。如果您已手动添加用户，执行Active Directory同步可能会导致以前添加的用户被删除。您可以在完全同步到云之前检查Directory Connector Dry Run报告，以验证所有预期用户都存在。

如果匹配的用户被标记为要删除，并且您不确定如何继续，请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

将Active Directory用户完全同步到云

当您运行完全同步时，连接器服务将从Active Directory (AD)的所有过滤对象发送到云。连接器服务然后用您的AD条目更新身份存储。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。

如果您有多个域，则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。

目录连接器同步用户帐户状态—在Active Directory中，任何被标记为禁用的用户在云中也会显示为非活动。

开始之前

如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态，则必须执行以下步骤以绕过电子邮件验证：
- 将单点登录与Webex组织集成。查看使用Cisco Webex Services和您的组织的身份提供商进行单点登录有关更多信息。
- 使用Control Hub验证并选择声称电子邮件地址中包含的域。查看添加、验证和请求域.
- 抑制自动电子邮件邀请，这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。（您可以进行自己的电子邮件活动。）
  
  尚未登录的已激活用户在Control Hub中显示已验证状态。登录后，它们将显示为活动状态。有关用户状态的更多信息，请参阅 Cisco Webex Control Hub中的用户状态和操作。
启用同步时，Directory Connector要求您先执行干运行。我们建议您在完全同步之前进行干运行，以发现任何潜在的错误。
在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。

如果您不使用自动分配许可证模板，新同步的用户会自动获得免费许可证。他们将能够使用与免费帐户的相同的免费功能。

1个	选择一项：首次登录后，如果干运行已完成并且所有域看起来正确，请单击立即启用以允许自动同步发生。从Directory Connector，转至仪表板，单击操作，选择同步模式>启用同步，然后单击立即同步>完整开始同步。
2个	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择完全同步。
3个	确认同步的开始。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序会在您执行同步后72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。在同步过程中，仪表板会显示同步进度；这可能包括同步类型、它开始的时间，以及同步当前正在运行的阶段。同步后，最后同步和云统计部分将使用新信息更新。用户数据同步到云。如果在同步过程中发生错误，状态指示球将变为红色。
4个	要更新同步状态，请单击刷新。（同步项目出现在云统计下。）
5个	有关错误的信息，请从操作工具栏选择启动事件查看器以查看错误日志。
6个	要设置持续增量同步到云的同步计划，请参阅设置连接器计划和运行增量同步。

完成完全同步后，在Control Hub的设置页面上，目录同步状态将从禁用更新至操作。
当所有数据在内部和云之间匹配时，Directory Connector将从手动模式更改为自动同步模式。
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件，否则Webex应用程序用户帐户将保持未验证状态，直到用户首次登录Webex应用程序以确认其帐户。请参阅“开始之前”部分，了解如何将帐户同步为活动用户的指导。
如果您有多个域，请在已安装的任何其他目录连接器上执行此步骤。同步后，您添加的所有域上的用户都会在Control Hub中列出。
如果您将单点登录与Webex集成，并且已删除的电子邮件通知，则电子邮件邀请不会发送给新同步的用户。
启用目录连接器后，您无法在Control Hub中手动添加用户。启用后，从Cisco目录连接器执行用户管理，而Active Directory是唯一的真理源。
您同步的任何组都出现在Control Hub中，并且您可以分配许可证模板，以便该组中的用户获得许可证。

下一步该做什么

当您从Active Directory中删除用户时，该用户将在下次同步后被软删除。用户处于非活动状态，但云身份档案将保留七天（以便从意外删除中恢复）。

如果您在Active Directory中检查帐户已禁用，则下次同步后该用户将变为非活动。云身份档案七天后不会删除，以防要再次启用用户。
注意增量同步的这些异常（请按照上面的完整同步步骤操作）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。

向Control Hub中的Directory同步用户分配Webex服务

完成从Cisco目录连接器到Control Hub的完整用户同步后，您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证，或者如果您已经配置了自动分配的许可证模板，则向新用户添加其他许可证。您可以在此初始步骤后更改个人用户帐户。

完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证（如果您已经配置了自动分配许可证模板）。您可以在此初始步骤后更改个人用户帐户。

当您向Webex应用程序用户分配许可证时，该用户默认会收到一封确认分配的电子邮件。该电子邮件由Control Hub中的通知服务发送。如果您将单点登录(SSO)与Webex组织集成，则如果您更愿意直接联系用户，您也可以删除这些自动电子邮件通知。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
在Active Directory用户上执行干运行同步。
确认干运行结果后，在Active Directory用户上进行完全同步。

在完全同步时，用户在云中创建，不添加服务分配，也不发送激活电子邮件。如果电子邮件未被抑制，新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。

1个

从 https：//admin.webex.com 中的客户视图，转至管理 > 用户，单击管理用户，选择修改所有同步用户，然后单击下一步。

2个

选择一个选项：

下一步该做什么

如果电子邮件没有被抑制，将向每个用户发送电子邮件，并邀请其加入和下载Webex。
如果您为所有用户选择了相同的Webex服务，那么您可以单独或批量更改分配的许可证。

相关信息

目录连接器的已知问题

2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。此问题已在 2012 R2 和 2016版本中得到解决。
对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。

您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间，此时呼叫将无限响起。

管理Webex应用程序用户

运行增量同步

增量同步会查询 Active Directory，查找自上次同步以来发生的更改。然后，此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。

此同步不会给服务器带来那么多的负载，也不需要像完全同步那样多的时间。完成初始完整同步后，我们建议为后续同步使用增量选项。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
注意不支持增量同步的以下异常（请遵循将Active Directory用户完全同步到云中）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 对于属性映射、基本DN、过滤器和头像设置的新配置更改，增量同步无法工作，需要完全同步。

1	从 Directory Connector 中，单击控制板。启用同步时，Directory Connector 将要求您首先执行测试。
2	从操作中，如果尚未启用，单击同步模式>启用同步。默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。当新的增量时间间隔出现时，程序会根据最后一个时间标识检查更改。
3	从操作中，单击立即同步 > 增量。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存：Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，最后同步和云统计部分将使用新信息更新。如果同步期间发生错误，状态指示球将变为红色。
4	有关错误的信息，单击操作工具栏中的启动事件查看器可查看错误日志。

下一步

如果您有多个域，请在已安装的其他目录连接器实例上执行此步骤。

恢复意外删除的用户

Directory Connector具有制衡功能，以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器，这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复，并在Control Hub中重新建立用户帐户。

默认情况下，此功能对所有组织都启用。例如，在云中删除用户时，由于从Directory Connector同步后出现不匹配的对象问题，用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除，如果您快速采取行动，您可能能够恢复它们。

当在Active Directory中删除相应帐户时，用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间，您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。

在Active Directory中禁用的用户在Control Hub中标记为Inactive，但用户帐户在7天后不会删除。

1	登录到 Control Hub。
2	转至用户并确认特定用户帐户是否处于非活动状态或未列出。有关详细信息，请参阅控制中心中的用户状态和操作。
3	如果在Control Hub中删除用户，或者您注意到用户处于非活动状态，请转至Active Directory，添加缺失的用户帐户，然后在Directory Connector中执行干运行同步。使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。
4	执行完全同步，将暂时删除的用户帐户重新同步至Control Hub。用户被恢复并转至原始状态，包括其帐户状态和服务分配。

下一步

返回Control Hub，转至管理 > 用户，并确认先前删除的用户帐户出现在用户列表中。

在软删除后永久删除用户

执行干运行后，您可以选择永久删除下次同步时被软删除的用户。

1	干运行完成后，选择软删除对象。
2	选中要删除的用户旁边的复选框。
3	选择完成。

下一步

下次同步时，已检查的用户将被永久删除。

更改Webex应用程序电子邮件地址

如果您想更改用户电子邮件地址，并且您的组织使用Directory Connector，请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。

如果您只想更改一个用户的电子邮件或某个值，请勿从Active Directory中删除该用户，然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户，用户空间和云中的其他数据将丢失。

要在不更改域的情况下更改用户电子邮件地址：
1. 在Active Directory中打开用户帐户（例如，user1@example.com）并更改电子邮件地址（例如，user2@example.com）。
2. 在目录连接器上恢复同步。
  
  下次同步后，更改会显示在Control Hub中的用户列表中，以及缓存更新后Webex应用程序中的用户。
  
  采用此方法不会造成数据或空间丢失。第一次同步后在云中设置用户的唯一标识符。所有后续同步均基于此标识符。
在使用Directory Connector的多个域部署中，要在更改域时更改用户电子邮件地址（考虑旧域为example1.com，新域为example2.com）：
1. 对于旧用户帐户(user1@example1.com)，请注意映射到 uid 云属性的Active Directory属性。您需要为新帐户使用相同的Active Directory值。对于此示例，我们将使用 user1@example1.com 作为在云中映射到 uid 的本地属性。
2. 在example1.com和example2.com域的Directory Connector上暂停同步。
3. 在example2.com中创建新用户帐户，并使用上面的相同属性。（例如，user1@example1.com）。
4. 在Directory Connector上，例如2.com恢复同步
  
  在继续之前，请验证user1@example2.com帐户是否同步到Control Hub。我们建议您指示用户在Webex应用程序中验证电子邮件更改，并保留所有数据（空间、消息、会议、文件等）。
  
  使用此方法不会丢失数据或空间，但在新用户帐户中，您必须确保从旧用户帐户中保留映射到云uid属性的Active Directory属性。如果您更改了Active Directory值，新帐户不会保留旧帐户中的数据。
5. 验证电子邮件地址更改且数据完好后，删除example1.com上的旧用户帐户，然后使用Directory Connector恢复为example1.com的同步功能。
  
  此时，您可以安全地更新新的Active Directory域中的user1@example2.com电子邮件地址。

目录连接器不限制电子邮件域更改。但是，当用户重新同步到云时，用户状态取决于您的组织中是否验证新域。如果组织中未验证域，则在完全同步后，用户的状态将更改为“待定”。有关更多信息，请参阅管理您的域。

如果您的组织不使用Directory Connector，您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址，了解用户可以遵循的步骤来更改电子邮件。

更改 Active Directory 域

您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。

1	设置新的 Active Directory (AD) 域。
2	禁用所有连接器上的同步。
3	卸载所有连接器。
4	打开案例以更改域名。在案例提交中，请确保请求删除组织中的域配置和所有同步属性。在打开案例以更改域之前，请确保未运行同步功能。在案例解决之前，不要更改Active Directory中的任何用户电子邮件地址。
5	解决案例后：在具有新Active Directory域的同一服务器上安装Directory Connector。配置Directory Connector，使其指向新的Active Directory域。如果Control Hub ( https://admin.webex.com)中有现有用户，请确保具有匹配电子邮件地址的用户也出现在Active Directory中。如果您的组织已禁用DirSync中的 `softDelete` 切换，则在Control Hub中但不在Active Directory中的用户电子邮件地址将面临删除风险。在进行实际同步之前，使用Directory Connector执行测试运行。

域声明

如果您为某个组织申请电子邮件域名，从而在付费客户组织中创建任何旁边的帐户，而不是免费消费者组织中，则会出现域索偿。您只能通过支持案例进行域申索（有关更多信息，请参阅下面的链接）。

如果Directory Connector处于活动状态并且该域已声明，则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户，受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。

相关信息

在目录同步组织中转换免费的Webex应用程序用户

您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序，则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户，请在打开Directory Connector之前将其迁移（转换）到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。

如果您未在激活前转换帐户，请关闭 Directory Connector 以对帐户进行转换。

如果启用目录同步时尝试转换用户，将显示错误消息无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。

一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中，而不是不匹配对象。如果要将这些用户迁移到您的组织，则需要将这些用户添加到您的AD列表。

如果您未添加这些用户，它们将在您旁边同步到云时全部删除。

1	从 Directory Connector 中禁用目录同步功能。
2	按照在Control Hub中转换无许可用户程序将用户从免费消费组织转换为企业组织。此步骤将用户添加到您的组织，帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源，目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前，确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。
3	在Directory Connector上，执行干运行同步。测试完成后，查看“添加对象”标签页。验证是否未删除您已转换的任何用户。您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中，则Directory Connector将区分大小写，并删除其检测到电子邮件地址不匹配的转换用户（例如，user1@example.com和User1@example.com）。如果已删除任何转换的用户，他们将失去所有Webex应用程序空间。
4	如果您确定下一次同步将不会删除任何帐户，请从 Directory Connector 重新启用目录同步。

如果您没有验证域，转换的用户帐户不会自动激活。例如，如果您打开自动分配许可证模板，然后在没有域验证的情况下打开Directory Connector，转换后的用户将在云后端处于非活动状态，直到他们确认其电子邮件地址。

侧边的Webex应用程序用户帐户

当您邀请其他用户到Webex应用程序中的空间时，如果受邀用户没有Webex应用程序帐户，则为他们创建帐户（“侧面”）。缺省情况下，以此方式创建的帐户将添加至自由消费者组织中。

如果要使用Directory Connector管理侧栏帐户，则必须转换帐户。

目录同步后更改Webex应用程序用户名格式

默认情况下，Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。

执行目录同步后，您可能会发现该用户名以格式显示。

如果Active Directory中的 displayName 属性以这种方式配置，此用户名可能会出现。当属性映射到云中的 displayName 时，名称会在Control Hub中以格式显示。

若要更改格式，请在 Directory Connector 属性映射屏幕中进行如下操作：将Active Directory属性 givenName sn （或 sn givenName）映射到Cisco云属性名称中的 displayName 。

或者，将属性 sn givenName 映射到 displayName：

如果您想将自己的自定义属性表达式映射到 displayName，也可以使用“自定义属性”选项。

例如，输入givenName + "" + sn （名字、空间、姓氏）作为表达式。将Active Directory中的两个属性映射到云中displayName 。

允许用户在Webex Meetings中更改显示名称

如果您想允许用户编辑首选的显示名称，您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称，而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。

1	从Directory Connector，单击配置，然后选择用户属性映射。
2	在 Cisco云属性名称下选择显示名称。
3	选择不同步此属性。

下一步

用户现在可以从Webex站点编辑显示名称。

Directory Connector 故障诊断

升级到最新软件版本

要保持部署合规并获取最新功能、功能、错误修复和安全增强功能，您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本，则可能会遇到问题，例如Directory Connector不再正常同步，或者处于不支持强制性 TLS 1.2要求的版本上。

Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。

虽然您可以手动安装连接器软件更新更新，但我们建议您遵循设置自动升级中的步骤，让应用程序自动管理升级。

1	单击Windows任务栏中的通知，或右击Windows任务栏中的Directory Connector图标，开始升级过程。
2	按说明完成升级操作。
3	重新启动连接器并使用管理员凭据登录。
4	在帮助 > 关于下验证软件的版本号。

下一步

要重新安装Directory Connector，您可以下载zip文件，然后按照本指南中的安装步骤操作。

配置 Directory Connector 的常规设置

使用此程序配置常规设置，例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中，其中还包含正在运行的任何其他连接器。

1	从Directory Connector转至配置，然后单击常规。
2	在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。
3	从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括：信息（默认）—显示信息消息，突出显示高层次应用程序的进度。要在所有完整同步后接收报告，请使用此设置。警告—显示潜在的有害情况。调试-显示对调试应用程序最有用的详细信息事件。如果您看见任何问题，请设置此日志级别，并在提交支持申请时将事件日志发送给支持人员。错误-显示可能仍允许应用程序继续运行的错误事件。选择此选项时，仅在报告错误时发送同步报告。这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误，则仅在同步报告中报告错误；如果不存在错误，则不会发送同步报告。将设置更改为Info，然后在完全同步后收到同步报告。（请记住，对于增量同步，没有报告错误时不会发送报告。）
4	选择首选域控制器以设置域控制器同步身份的顺序。将按照从上到下的顺序访问域控制器。如果顶级控制器不可用，则选择列表中的第二个控制器。如果列表中没有控制器，您可以访问主控制器。
5	如果要进行自动升级，请检查自动升级到新的Cisco Directory Connector版本。将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置，允许在软件可用时安静地安装自动升级到软件。
6	检查通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。如果您未通过 SSL检查LDAP，则Directory Connector将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。

配置连接器策略

您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。

例如，将 1 设置为删除阈值触发值。在执行完全或增量同步时，如果您要删除的用户数大于该设置，Directory Connector 会显示警告。如果您单击忽略阈值，可以成功开始完全或增量同步，但是在您下次运行该策略时将再次看到此忽略提示。

1	从Directory Connector，单击配置，然后选择策略。
2	如需添加阈值触发器，请勾选“启用删除阈值触发器”复选框。选择该选项后，删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时，同步失败。
3	输入您要设置的最大删除次数。缺省值为 20。我们建议您不要增大该缺省值。
4	单击应用。

设置连接器的安排

在Active Directory中设置同步定时。为了实现高可用性 (HA)，使用了故障转移。如果有一个连接器宕机，我们会在预定义的间隔过后，切换到另一个待机连接器。

1	从Directory Connector，单击配置，然后选择计划。
2	以分钟为单位指定增量同步间隔。缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。
3	如果您希望更改发送报告的频率，请更改发送报告间隔时间值。
4	勾选启用完全同步计划以指定想要执行完全同步的日期和时间。
5	以分钟为单位指定故障转移间隔。
6	单击应用。

多域情境

多个域基于域优先级。对于在不同域具有相同键值的对象，在同步后，来自高优先级域的数据将覆盖来自低优先级域的数据。

具有相同键值的对象会链接到数据库中的同一条记录。

“用户”的键值是电子邮件地址；“组”的键值是组名。

多域使用示例

此示例假设某组织有两个域 - example1.com 和 example2.com，前者优先级高于后者。

添加 user1（电子邮件：user@example1.com）到 example1.com 的 Active Directory。
添加 group1（组名：Test）到 example1.com 的 Active Directory。
添加 user2（电子邮件：user@example2.com）到 example2.com 的 Active Directory。
添加 group2（组名：Test）到 example2.com 的 Active Directory。

在 example1.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

如果您为 example1.com 执行全面或增量同步，user1 和 group1 会同步。而且，user2 和 group2 会被 user1 和 group1 的信息覆盖。

User1 作为数据库中的相同记录链接到 user2；group1 作为数据库中的相同记录链接到 group2。

在 example1.com 和 example2.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

请考虑这些步骤：

在 example1.com 的 Active Directory 上删除 user1 和 group1。
为 example1.com 执行全面或增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1，而 group2 没有链接到 group1。
为 example2.com 执行增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。
为 example2.com 执行全面同步。
结果：user2 和 group2 的信息在 https://admin.webex.com 中列出。

同步新的域并保留现有域

如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后，该连接器会与新的域绑定，而域 (A) 下的用户信息不受影响。

每个域必须自带有效的连接器。请考虑采用以下设置的两个域：带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA)；带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中，一个连接器处于活动状态，另一个处于待机状态 (HA)。该设计可保持域同步，因为有一个连接器始终处于活动状态。也就是说，cb1 是域 B 处于活动状态的连接器，因为域 A 已有处于活动状态的连接器（ca1 或 ca2）。

设置域优先级

使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域，等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织，此设置会很有帮助。

如果在 Directory Connector 中只列出了一个域，则不要使用此过程。如果您尝试进行此配置，连接器会显示一条消息，说明不需要域优先级。

开始之前

要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击设置域优先级。
3	高亮显示列表中的一个域，单击向上或向下更改此域的优先级，然后单击保存保存更改。各个域会按优先级自上而下排序。

切换域

使用此程序将Cisco目录连接器重新绑定到另一个域。

开始之前

在切换域之前，确保没有同步任务在运行。
要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击切换域。
3	阅读警告后，如果您理解此更改对部署的影响，而且您仍然确定要更改，请单击是。如果您切换域，则您将从当前Cisco目录连接器中注销，连接器中的其他域未注册，并且删除该计算机上的连接器信息。
4	重新登录Cisco目录连接器并重新绑定域。

关闭目录同步

如果您需要停止从Directory Connector进行同步，可以从Control Hub暂时将其关闭。

1

从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，然后选择一个：

单击更多，然后单击要关闭的连接器实例旁边的关闭。
单击关闭所有目录同步可停止所有连接器实例的同步。

2

阅读提示之后，单击关闭。

同步停止，直到从Directory Connector重新启用它。

删除用户属性映射

使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后，属性值将从云中删除，不再与Webex同步。然后可以手动编辑这些值。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 删除用户属性映射。
3	选择映射以从属性名称列表中删除。
4	在受影响的用户范围下，选择以下其中一项：仅使用目录连接器同步用户：映射将仅从先前同步的Directory Connector的用户中删除。所有用户：映射将从所有Active Directory用户中删除。
5	单击应用。

管理档案照片

使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 管理配置文件图片。
3	在操作下，选择以下其中一项：删除空头头像源的个人资料图片：如果Active Directory个人资料图片为空，此选项可确保用户个人资料图片从云中删除，即使用户之前已在Webex中上传了自己的图片。从同步源重新上传以覆盖缓存的图片：目录连接器使用与之前相同的Active Directory来更新所有用户的配置文件图片。这可以确保Active Directory中的个人资料图片与云之间没有不匹配。
4	单击 Apply（应用）。

卸载并停用目录连接器

卸载 Directory Connector 实例后，必须取消注册它。如果面临以下任何情况，都应该彻底删除 Directory Connector：

您不想再使用目录同步。
您不想使用多个 Directory Connector（高可用性）中的某一个。
您想要更改域并安装其他连接器。

开始之前

您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例，请禁用同步。
卸载Directory Connector之前，保存并关闭任何重要工作。

1	在您的 Windows 计算机上，转至“控制面板”，然后单击程序和功能。
2	从程序列表中，单击目录连接器，选择卸载，然后按照提示操作。您可能需要重启系统来完成卸载。
3	从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，单击更多，然后单击要卸载的目录连接器实例旁边的停用。
4	阅读提示之后，单击停用。用户帐户将不会再同步，除非在高可用性 (HA) 部署中还有其他 Directory Connector。

运行诊断工具

您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。

如果同步工作不正确，您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接，因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误，您可以发送详细的日志结果以支持。

要为Active Directory域服务运行测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-DS 选项卡，输入您的域，然后单击加载域控制器。
2. 从列表中选择一个域控制器。
  
  以后不要更改条目，因为增量搜索必须始终在同一域控制器上运行。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户和组对象和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行Active Directory轻量级目录服务的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-LDS 选项卡，输入主机和端口，然后单击加载分区。
2. 从列表中选择分区，然后单击连接。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户、用户代理和用户代理完整和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行轻量级目录访问协议(LDAP)的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击LDAP RAW 选项卡，输入根路径，过滤，从属性中选择一个条目，然后单击加载分区。
2. 根据需要检查以下选项：
  - ObjectSecurity—如果存在此选项，呼叫方不需要任何权利，只能看到呼叫方可访问的对象和属性。如果此选项不存在，呼叫者有权复制更改。
  - 家长至上—确保所有孩子的家长都先到孩子面前。
3. 选择 ExtendedDN 的值。
  
  此值用于扩展的LDAP搜索，以请求对象突出名称的扩展形式。
4. 选择ReferralChasing值。
  
  当域控制器从查询中返回转介时，将启动转介追踪——例如，对于可能位于命名空间之外的查询结果的详细信息（例如其他域或森林中的群组成员）。
5. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
6. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。

解决Ciso Directory Connector中的问题

目录连接器的故障排除和修复

您可能在Directory Connector中遇到错误消息或其他问题。此外，在Directory Connector同步用户信息后，该连接器可能会向您发送一封电子邮件报告，列出同步存在的任何问题。在联系支持人员之前，请参考以下章节，了解可能出现的问题、可能的原因和建议解决方案。

安装

Directory Connector 停止运行

您收到警告电子邮件，通知您您的Directory Connector无法工作。

目录连接器可能未正确安装。
目录连接器可能未运行。
网络可能不可用。

请尝试以下操作：

打开控制面板 > 程序和功能。找到 Directory Connector。如果没有，请从Control Hub下载最新版本并安装。
打开服务并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止，请单击右键并选择“启动”以重启该服务。
确保安装Directory Connector的服务器能够访问Internet。

重新安装错误

问题—如果您在卸载旧连接器后立即安装新连接器，可能会看到错误消息。

可能原因—在Windows Server 2012中，卸载客户端需要时间从服务列表中删除服务帐户。

解决方案—经过一段时间后，请再次尝试安装。

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

请执行以下步骤以在用户级别更改策略：

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

在运行 gpupdate /force、重新启动机器（用于机器更改）或再次输入用户符号（用于用户更改）后，更改将生效。

无法注册Cisco DirSync服务连接器

问题

登录失败，并显示此消息：“无法注册Cisco DirSync服务连接器。”

解决方案

安装Directory Connector的Windows系统必须是Active Directory的成员。

未显示登录页面

问题

您打开目录连接器，登录页未显示。

解决方案

请尝试以下步骤：

在Internet Explorer中，转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器（如Chrome和Firefox）中尝试该链接。
如果Internet Explorer无法访问该链接，但其他浏览器可以，请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。（使用启用Internet Explorer中的TLS 程序。）

显示登录提示

问题

出现提示提示您输入用户名和密码以通过身份验证。

可能原因

Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败，会弹出对话框以请求身份验证用户名和密码。

解决方案

当您看到登录弹出窗口时，您需要提供具有正确身份验证的有效帐户，以保证传递安全。

无法连接远程服务器

问题

在正常操作期间，出现错误消息：“无法连接到远程服务器”。

可能原因

您可能有需要解决的代理问题。

解决方案

有关更多故障排除信息，请参阅故障排除服务帐户登录问题。

无法注册连接器

问题

您将看到错误消息“无法注册连接器。发生了一般例外。”

可能原因

在大多数情况下，问题在于Directory Connector没有连接到LDAP根上下文的特权。

解决方案

请尝试以下操作：

运行命令提示符(cmd)，然后输入 ldp.exe。
单击连接 > 绑定，选择绑定为当前登录用户，然后单击确定。
单击查看 > 树，输入DC=arbonneintl，DC=ad 作为BaseDN，然后单击确定。
如果问题继续，打开支持案例。

同步

头像未同步

问题

Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。

可能原因

如果您重复使用现有的头像服务器，并且用户头像已经同步，则本地缓存将捕获它们，并避免再次重订以保存带宽。

解决方案

按照以下步骤删除本地缓存：

转至C：\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
删除DirSyncPluginAvatar.dll-cache.bin。
从Cisco目录连接器重新启动头像同步。

用户电子邮件帐户冲突

问题

同步结果可能会显示有冲突的用户电子邮件帐户。

如果用户尝试了Webex应用程序的免费版本，他们的电子邮件地址将位于免费消费者组织中。
如果用户电子邮件在另一个组织中已同步。
如果用户电子邮件存在于属于组织的多个域中。

解决方案

请尝试以下操作：

如果您要向用户索要权，请按照以下步骤操作：
1. 确保您已在 Control Hub中验证该域。
2. 暂时禁用Cisco目录连接器。
3. 使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关详细信息，请参阅向您的组织索要用户（转换用户）。
4. 在Cisco Directory Connector中运行干燥，然后重新启用目录同步
对于最后一个案例，请复选您的Active Directory源中的用户数据。

已转换用户标记为非活动

问题

在您的目录同步环境中，您将免费（消费者组织）用户转换为企业组织，但转换用户无法登录Webex应用程序。

可能原因

当自由用户转换为企业组织时，该用户将被标记为非活动状态为30天，作为安全合规措施。在此期间内，用户无法登录Webex应用程序，并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。

解决方案

如果您不想删除该用户帐户，必须采取行动。要解决此问题，请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后，从Cisco Directory连接器执行同步。然后，用户可以再次登录Webex应用程序，帐户不会被删除。

增量同步失败

问题

增量同步失败。

在以下条件下可能会在Windows Server 2008 R2上出现此问题：

您支持增量值更新。
您使用的筛选器引用链接值属性。
该属性的结果值自上次进行完全同步以来已更新。

解决方案

Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。

属性的值无效

问题

对于 [user dn (distinguished name)]，属性 [attribute name] 有以下无效值 [attribute value]。

可能原因

对于CN=b，OU=Employees，OU=C Users，DC=c，DC=com，属性[电话号码]具有以下无效值：+。此属性必须包含至少一个数字。

解决方案

此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。

要删除匹配的用户

问题

匹配的用户将被标记为要删除。

当执行干运行同步以检查Active Directory和云之间的数据时，您可能会在两者中看到相同的电子邮件地址。但是，用户被标记为要删除的对象。

解决方案

选择适当的修复：

如果可以在之后删除用户并重新执行许可证，您可以使用Directory Connector进行修复。执行同步以删除用户，然后执行其他同步以将用户从本地AD同步到云。
如果您无法删除并重新创建用户帐户，请在支持下打开案例。

缺少属性

问题

添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值，否则不会在Control Hub中创建该条目。

可能原因

必需属性的 email address 缺失。添加内部条目时[CN=Sales User，OU=Engineers，OU=K，DC=k，DC=local]，除非所有必需属性都具有值，否则不会在Control Hub中创建条目。

解决方案

用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。

嵌套组无法同步

问题

嵌套的Active Directory组中的用户未正确与云同步。

可能原因

使用不受支持的子组和父组的筛选器。例如：(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)

解决方案

必须重新配置同步组的过滤器。例如：|(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)(memberof=CN=testSubGroup，CN=Users，DC=rktest2008，DC=org)

用户命名冲突

问题

对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言，[用户电子邮件地址]，以及用户类型[user_type]。

可能原因

已在Control Hub中存在该电子邮件地址的用户。

解决方案

在Active Directory中创建用户，其电子邮件地址与您通过Control Hub注册的帐户相同。

Control Hub

Control Hub中缺少用户列表

问题

如果您拥有超过1000名同步用户的Webex组织，则可能无法在Control Hub中看到用户列表。

解决方案

您可以使用搜索功能查找用户帐户。在Control Hub中，转至用户，单击搜索，然后输入搜索条件以查找特定用户。

组不会同步到Control Hub

问题

目录组中的用户无法正确同步到Control Hub。

可能原因

在Active Directory中，该组未标记为 isCriticalSystemObject 。

解决方案

确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。

启用 Directory Connector 故障诊断

您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息，并将其保存至文件。

以下日志文件： \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	运行 `services.msc` 文件，将Directory Connector服务的正在运行的帐户从本地系统更改为有权访问AD DS或AD LDS的域帐户。
2	重启服务。请参阅如何启动服务获取指导。
3	在目录连接器中，单击仪表板。
4	转至操作，然后单击实用程序 > 故障排除。
5	启用故障诊断后，重复执行导致错误的操作，这样将捕获流量数据，以便进行检查。
6	检查日志文件：如果文件空白，请确保帐户有权访问 AD DS 或 AD LDS。日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。
7	如有必要，向支持人员发送日志文件以获取协助。
8	诊断完成后，请禁用故障诊断功能。

相关信息

启动事件查看器

若要查看完全或增量同步期间发生的事件，请启动“事件查看器”。它显示管理事件和错误日志的摘要。

1	从Directory Connector转至仪表板，然后单击操作 > 启动事件查看器。 “事件属性”对话将显示同步事件详细信息与错误详细信息。
2	从事件查看器，转至应用程序和服务日志 > Cisco Directory Connector。
3	在操作下，单击保存所有事件为将所有日志导出为单个事件文件(*。evtx)或其他格式（如xml或csv）。

下一步

如果您需要打开案例，请联系支持人员，描述连接器的问题，然后将“事件”文件附加到案例中。

事件日志会捕捉用户操作。如需管理网络流量的帮助，请在连接器上启用故障排除。

在Internet Explorer中启用TLS

如果您切换了单点登录(SSO)提供商，您可能会看到来自Cisco目录连接器的以下错误消息：

登录到服务时出错
此页脚本中出现错误

如果您看到这些错误，必须在浏览器中启用TLS设置。

1	打开Internet Explorer，然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器，然后再次打开它
2	单击互联网选项，转至高级，滚动至安全。
3	检查使用TLS 1.1 和使用TLS 1.2 复选框，然后单击确定。
4	重新启动系统以便更改生效。

服务帐户登录问题故障诊断

如果您无法登录Cisco目录连接器或无法运行同步，请在联系支持人员之前尝试解决该问题。

1

尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。

2

根据结果选择一项：

如果您无法从浏览器访问该链接，请检查您的网络设置。如果您的环境使用代理，请检查代理设置。
如果您可以通过浏览器访问链接，但无法打开Cisco目录连接器（无法打开连接器并弹出带有407的错误消息），单击此处以获取最新版本的Cisco目录连接器。
如果您可以从浏览器访问链接，但无法从Cisco目录连接器运行同步，请将服务登录帐户更改为域管理员。

检查您用于登录Windows系统的帐户是否与您在“Cisco DirSync服务”中设置的帐户相同。如果他们是2个不同的帐户，请确保两个帐户都可以访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。如果您的环境使用代理，请确保两个帐户在Internet Explorer中配置为代理，并且可以成功访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL 。

3

至少，确保Cisco DirSync服务（可在Windows服务中找到）配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下，该服务利用Windows登录帐户凭据和身份验证。

相关信息

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

Cisco Directory连接器概述

目录连接器概述

Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件，并将其安装到本地计算机上。

使用Directory Connector，您可以在Active Directory中维护您的用户帐户和数据，因此Active Directory成为唯一的真相来源。当您在内部进行更改时，它会复制到云。

请参阅表中所有的功能、描述和优势：

功能	描述和优势
简单易用的控制板	该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。
在同步到云之前进行干燥	在云中实施这些更改之前，先对目录进行干燥。之后，运行报告以查看要执行的变更是否与预期一致。
完全同步和增量同步	同步整个目录。或者，仅同步增量变更，从而提高处理能力并缩短同步时间。
同步多个域（单森林或多森林）	Directory Connector支持单个森林或多个森林下的多个域（无需使用AD LDS）。对于拥有多个Active Directory域的企业，您可以为每个域安装Directory Connector，将每个域绑定到您的组织，然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态，允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。
按计划同步	按天、小时和分钟设置同步安排。
轻量级目录访问协议 (LDAP) 过滤器	定义 LDAP 搜索条件并实现高效的导入。
活动目录属性映射	将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性，并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据，例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据（职务、部门、经理等）。
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录	如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务，或者您拥有内部Room设备，此功能可让用户从Cisco Webex Calling（云PSTN）电话或Room资源搜索企业联系人目录。会议室资源同步协作室信息之后，具有已配置、已映射 SIP 地址的本地协作室设备将作为可搜索条目显示在云注册协作室设备（例如 Cisco Webex Room 设备或 Cisco Webex Board）中。当用户在Cisco Webex Room设备或Cisco Webex板上进行搜索时，您将看到使用SIP地址配置的同步房间条目。当他们将从Webex设备拨打到该条目上时，将将呼叫放置到为房间配置的SIP地址。正在呼叫除了Webex App联系人之外，用户还可以呼叫企业联系人。通过Directory Connector，企业用户及其电话号码会被添加到您的Webex组织。他们不需要为Webex服务获得许可才能使用此功能。未为Webex授权的用户将出现在从Cisco Webex呼叫用户电话执行的目录搜索中，只要通过Directory Connector与Webex同步的URI或电话号码即可。对于这两种用户，呼叫功能的表现是相同的。此功能部件还为只有电话号码的联系人提供了编辑拨号功能。在联系人搜索结果中：如果联系人具有可调用URI（Webex SIP地址）和电话号码，将显示与联系人关联的URI。如果联系人没有可拨号的 URI，但却有电话号码，则显示电话号码。还会显示一个编辑拨号软键。如果这两者联系人都没有，则该联系人不会显示在目录中。
事件查看器	使用事件查看器可确定是否存在同步问题。
诊断工具和故障排除	您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确，您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接，以便在联系支持人员之前自行诊断错误。在Directory Connector中启用故障排除后，将编写日志，可发送给技术支持。
自动升级	安装 Directory Connector 后，您会在软件有新版本时收到通知。您可以设置自动升级，以便在发布新版本时始终使用最新版本的软件。
高可用性	配置多个连接器，以便在主连接器或机器主机出现宕机情况时提供备用。

Directory Connector 分为以下三个部分：

Control Hub 是一个单一界面，可让您管理Webex组织的所有方面：如果您希望用户通过企业身份提供商进行身份验证，并且不想为Webex应用程序发送电子邮件邀请，则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域，您可以为要同步的每个域安装一个软件实例。使用该软件，您可以运行同步以将Active Directory用户帐户带入Webex，查看和监控同步状态，并配置Directory Connector服务。
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。

请参考此图了解Directory Connector架构：

为Directory Connector准备您的环境

目录连接器的要求

Windows和Active Directory要求

您可以在这些受支持的Windows服务器上安装Directory Connector：

Windows Server 2022
Windows Server 2019
Windows Server 2016

要解决Cookie问题，我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。

以下的Active Directory服务支持Directory Connector：

2016年活动目录

（在Windows Server 2019上使用最新版本的Active Directory时，支持目录连接器）
活动目录2012
活动目录2008 R2
活动目录2008

请注意以下附加要求：

目录连接器需要TLS1.2。您必须安装以下内容：
- .NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题，请使用使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
- .NET Framework v.4.5（TLS1.2必需）
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。（请参阅什么是 Active Directory 功能级别？获取更多信息。）

硬件要求

您必须在符合以下最低硬件要求的计算机上安装Directory Connector：

8 GB RAM
50 GB 存储
CPU 没有最低要求

网络要求

如果您的网络是防火墙的幕后，请确保您的系统有HTTPS（端口443）访问互联网。

Webex组织要求

要从Control Hub访问Directory Connector软件，您需要试用Webex组织或任何付费订阅。
（可选）如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态，我们建议您执行以下操作：
- 添加、验证并选择声称包含要同步到云的用户电子邮件地址的域。
- 将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成。
- 抑制自动电子邮件邀请，这样新用户就不会收到自动电子邮件邀请，您可以进行自己的电子邮件活动。（此功能需要SSO集成。）

有关详细信息，请参阅控制中心中的用户状态和操作。

安装要求

对于多个域环境（单森林或多森林），必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保您有受支持的独立 Windows Server 来安装 Directory Connector，以进行域 (B) 同步。
要登录连接器，我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。

此本地用户必须拥有该Windows计算机上的权限，才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。（此信息也适用于虚拟机登录。）
登录连接器时，登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下，连接器使用本地系统帐户访问Active Directory。但是，您可以使用Windows服务配置其他帐户以访问Active Directory。（此信息也适用于虚拟机登录。）
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用：在Windows注册表中检查SafeDllSearchMode。
如果您在单个森林上使用多个AD LDS域，我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。

多个域要求

在 Cisco目录连接器部署任务流中跟踪任务之前，如果您要将多个域的Active Directory信息同步到云中，请记住以下要求和建议：

每个域需要单独的Directory Connector实例。
Directory Connector软件必须运行在其将同步的同一域上的主机。
我们建议您在Control Hub中验证或声明您的域。（参见添加、验证和申请域。）
如果要同步超过50个域，您必须打开标签才能让您的组织移动到大型组织列表。
如果需要，您可以与用户帐户同步房间资源信息。（请参阅将内部会议室信息同步到Webex云。）

自动许可证分配活动目录组建议

Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。

Active Directory中有两种类型的组：

分发组—用于创建电子邮件分发列表。
安全组-用于分配共享资源的权限。

活动目录组类型

在Active Directory中创建组时，请考虑以下指导原则：

为每个角色、部门或服务创建全球组（例如销售、营销、经理、会计师、Webex授权等）。
在整个组织中使用标准命名规范，以便轻松识别有关组的重要信息。组名称可以包含组的详细信息，例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如，组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
以易于理解的方式组织群组，例如按地域或管理层次。使用组描述来完整描述组的目的。
在将用户添加到新配置的组之前，请为这些组在Control Hub中定义自动许可证组模板。有关详细信息，请参阅设置自动许可证分配模板。

调整尺寸信息

Directory Connector是本地Active Directory和Webex云之间的桥梁。因此，连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定，而不是连接器本身。

一些因素会影响同步的速度：

Active Directory对象的总数。（5,000个用户同步工作所需的时间不超过50,000。）
网络速度和带宽。
系统工作负载和规格。

如果您正在同步超过50,000个用户，我们强烈建议您使用第二个连接器进行故障转移和冗余。

由于同步涉及多个因素，并且每个部署取决于上述因素，因此我们无法提供对象同步所需时间的特定时间值。

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

WebEx 代理集成

如果您的环境中已启用 Web 代理验证，则您仍然可用使用 Directory Connector。

如果您的组织使用透明Web代理，则不支持身份验证。连接器已成功连接和同步用户。

您可以选择下列方法之一：

通过Internet Explorer显式Web代理（连接器继承了Web代理设置）
通过。pac文件显式网络代理（连接器继承企业特定的代理设置）
与连接器配合的透明代理，无需任何更改

通过浏览器使用 Web 代理

您可以通过Internet Explorer设置Directory Connector以使用Web代理。

如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行，那么您还需要用此帐户登录并配置 Web 代理。

1	在 Internet Explorer 中，转至 Internet 选项，单击连接，然后选择局域网 (LAN) 设置。
2	指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。
3	如果环境使用代理验证，请将这些 URL 添加到允许列表： cloudconnector.webex.com 用于同步。 idbroker.webex.com 进行身份验证。 idbroker-static.webex.com 用于提供静态资源，如font、js组件等。您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。
4	如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表： .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org 有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

通过 PAC 文件配置 Web 代理

您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。

1

要使连接器成功连接并同步用户信息到Webex云，请确保安装连接器的主机。pac文件配置中已禁用 cloudconnector.webex.com 的代理身份验证。

2

如果环境使用代理验证，请将这些 URL 添加到允许列表：

cloudconnector.webex.com 用于同步。
idbroker.webex.com 进行身份验证。
idbroker-static.webex.com 用于提供静态资源，如font、js组件等。

您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。

如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。

3

如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表：

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

NTLM代理

Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证，并确保其安全。

NTLM设计

在大多数情况下，用户希望通过客户端PC访问其他工作站资源，这很难以安全的方式进行。

一般来说，NTLM的技术设计基于挑战和响应机制：

用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同，密码的哈希值在本地存储。当用户通过密码登录客户端时，Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同，则验证将通过。

当用户想要访问其他服务器中的任何资源时，客户端会向服务器发送一个请求，帐户名称为纯文本。
当服务器收到请求时，服务器会生成16位随机密钥。关键称为Challenge（或Nonce）。在服务器返回客户端之前，挑战将存储在服务器中。然后，服务器将挑战以纯文本形式发送给客户端。
客户端收到服务器发送的挑战后，客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后，该值将返回到服务器。
当服务器从客户端收到加密值时，服务器将其发送到域控制器进行验证。请求包括：帐户名称、客户端发送的加密挑战，以及原始的简单挑战。
域控制器可以根据帐户名称检索密码的哈希值。然后，域控制器可以对原始挑战进行加密。然后，域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同，验证将成功。

Windows在操作系统中内置了安全验证，使应用程序更容易支持安全验证。因此，您无需完成进一步的配置。

配置透明代理

在这种情境下，浏览器不会知道透明 Web 代理正在拦截 http 请求（端口 80/端口 443），因此不需要客户端配置。

1	部署透明代理，以便连接器可以连接和同步用户。
2	确认代理已成功—启动连接器时，您会看到预期的浏览器身份验证弹出窗口。

设置代理身份验证

通过创建访问控制列表，将URL cloudconnector.webex.com 添加到允许列表中。

在企业防火墙服务器上：

1	如果尚未启用 DNS 查找，请启用。
2	确定此连接的估计带宽（连接器约为2 mb/s或以下）。这不是必须执行的步骤。
3	创建访问控制列表以应用于连接器主机，并指定 `cloudconnector.webex.com` 作为要添加到允许列表的终端。例如： `access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https`
4	将此ACL应用于相应的防火墙接口，该接口仅适用于此单个连接器主持人。
5	通过配置相应的隐式拒绝声明，确保企业中的其他主机仍需使用 Web 代理。

部署目录连接器

Cisco目录连接器部署任务流程

准备工作

1	安装 Directory Connector Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。要重新安装Directory Connector，请始终转至Control Hub (https：//admin.webex.com)获取软件的最新版本，以便您使用最新的功能和故障修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
2	登录 Directory Connector 使用您的Webex管理员凭据登录，并执行初始设置。
3	设置自动升级将Directory Connector软件更新到最新版本始终非常重要。我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。
4	选择要同步的Active Directory对象默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
5	映射用户属性您可以将本地 Active Directory 的属性映射到云端的对应属性。唯一的必填字段是“*uid”。
6	使用以下程序之一同步目录头像：将Active Directory属性中的目录头像同步到云将目录头像从资源服务器同步到云您可以将用户的头像同步到云端，这样每个用户在登录应用程序时都可以看到其头像。您可以从Active Directory属性或资源服务器同步化头像。
7	将内部会议室信息同步到Webex云使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备（例如Webex Room设备或Cisco Webex Board）上的可搜索条目
8	要从Active Directory向Control Hub提供用户，请执行以下步骤：在您的Active Directory用户上执行干线同步将Active Directory用户完全同步到云向Control Hub中的Directory同步用户分配Webex服务按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

安装 Directory Connector

Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。

您必须为要同步的每个Active Directory域安装一个连接器。单个目录连接器实例只能服务单个域。请参阅下图了解多个域同步的流程：

Multiple Domain Flow for Directory Connector — ***目录连接器的多个域流***

准备工作

如果您通过代理服务器进行身份验证，请确保您拥有代理凭据：

对于代理基本身份验证，安装连接器的实例后，您将输入用户名和密码。基本身份验证也需要Internet Explorer代理配置；请参阅通过浏览器使用Web代理
对于代理NTLM，第一次打开连接器时可能会看到错误。请参阅通过浏览器使用Web代理。

1	在控制中心中，转至用户 > 管理用户 > 启用目录同步，然后选择下一步。
2	单击下载和安装链接，将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。您可以直接从此链接获取。zip文件，但必须对Control Hub组织的完整管理访问权限才能使用此软件。对于新安装，请获取软件的最新版本，以便使用最新的功能和bug修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
3	在VMware或Windows服务器上，解压缩并在设置文件夹中运行。msi文件，以启动设置向导。
4	单击下一步，勾选框以接受许可协议，然后单击下一步，直到您看到帐户类型屏幕。
5	选择您要使用的服务帐户类型，然后使用管理帐户执行安装：本地系统 - 缺省选项。如果您已经通过 Internet Explorer 配置了代理，可以使用此选项。域帐户 - 如果计算机是域的一部分，请使用此选项。 Directory Connector 必须与网络服务交互才能访问域资源。您可以输入帐户信息，然后单击确定。输入用户名时，请使用格式 `{domain}\{user_name}` 对于与 AD 集成的代理（NTLMv2 或 Kerberos），必须使用域帐户选项。用于运行 Directory Connector 服务的帐户必须有足以通过代理和访问 AD 的权限。要避免错误，请确保具有以下权限：服务器是域的一部分域帐户可以访问内部AD数据和头像数据。该帐户还必须有本地管理员角色，因为它必须访问 `C:\Program Files` 中的文件。对于虚拟机登录，管理员帐户权限至少必须能够读取域信息。
6	单击安装。网络测试运行后，如果出现提示，输入您的代理基本凭证，单击确定，然后单击完成。

下一步

我们建议您在安装后重新启动服务器。当数据未发布时，干运行报告无法显示正确结果。重启计算机时，所有数据都会刷新以在报告中显示准确结果。

登录 Directory Connector

准备工作

确保您拥有代理凭据。

对于Proxy basic-auth，第一次打开连接器后将输入用户名和密码。
对于代理NTLM，打开Internet Explorer，单击齿轮图标，转至 Internet选项>连接> LAN设置，确保已添加代理服务器信息，然后单击确定。请参阅通过浏览器使用Web代理。

1	打开连接器，如果看到提示，则将 `https：//idbroker.webex.com` 添加到您的受信任站点列表。
2	如果出现提示，请使用代理身份验证凭据登录，然后使用您的管理员帐户登录Webex，然后单击下一步。
3	确认组织和域。如果您选择 AD DS，请检查 SSL上的LDAP 以使用安全LDAP (LDAPS)作为连接协议，选择要同步的域，然后单击确认。如果您未通过 SSL检查LDAP，DirSync将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。 LDAPS通信经过加密且安全。如果您选择 AD LDS，请输入主机、域和端口，然后单击刷新按钮以加载所有应用程序分区。然后从下拉列表中选择分区并单击“确认”。请参阅 AD LDS 部分了解更多信息。在 CloudConnectorCommon.dll 配置文件中，请确保将 ADAuthLevel 设置添加到 appSetting 节点。值可以是1、2或3。请参阅来自Microsoft的这篇文章，了解有关AuthenticationTypes的更多信息。以下是值为1的设置示例： `<appSettings> <add key=”ConnectorServiceURI” value="https：//cloudconnector.webex.com/SynchronizationService-v1.0/？orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	在确认组织屏幕出现后，单击确认。如果您此前已绑定 AD DS/AD LDS，将出现确认组织屏幕。
5	单击“确认”。
6	根据您要绑定到 Directory Connector 的 Active Directory 域数量选择一项：如果您只有一个 AD LDS 域，则绑定到现有 AD LDS 源，然后单击确认。如果您只有一个 AD DS 域，则绑定到现有域或新域。如果您选择绑定到新域，单击下一步。因为现有的源类型是 AD DS，所以不能为新的绑定选择 AD LDS。如果您有多个域，请从列表中选择一个现有域，或选择绑定到新域，然后单击下一步。因为您有多个域，所以现有源类型必须是 AD DS。如果您选择绑定到新域并单击下一步，则不能为新的绑定选择 AD LDS。

下一步

登录后，系统提示您执行干运行同步。

Directory Connector 控制板

首次登录 Directory Connector 时，将显示控制板。您可以在此处查看所有同步活动的摘要及云统计信息、执行测试同步、开始完全或增量同步并启动事件视图以查看错误信息。

如果会话超时，请重新登录。

您可以从操作工具栏或操作菜单中轻松运行这些任务。

表 1. 控制板组件
组件	描述
当前同步	显示与当前进行的同步有关的状态信息。无正在运行的同步时，状态显示为“空闲”。
下次同步	显示安排的下次完全和增量同步。如果未设置安排，则显示“未安排”。
上次同步	显示上两次执行的同步的状态。
当前同步状态	显示同步的整体状态。
连接器	显示云当前可用的内建连接器。
云统计信息	显示同步的整体状态。
同步安排	显示增量与完全同步的同步安排。
配置摘要	列示您在配置中已更改的设置。例如，该摘要可能包含以下内容：将同步所有对象将同步所有用户已禁用被删除的阈值。

表 2. 操作工具栏
操作	描述
开始增量同步	手动启动增量同步暂停或禁用同步时，如果未完成完全同步或同步正在进行中，则此操作将禁用。
同步测试	执行测试同步。
启动事件查看器	启动 Microsoft 事件查看器。
刷新	刷新Cisco目录连接器仪表板

表3。操作菜单栏
操作	描述
立即同步	立即开始完全同步。
同步模式	选择增量或完全同步模式。
重设连接器保密信息	在Cisco目录连接器和连接器服务之间建立对话。选择此操作将重设云中的保密信息，然后在本地保存该保密信息。
排练	执行同步过程测试。在进行完全同步之前必须执行测试。
疑难解答	打开/关闭故障诊断。
刷新	刷新Cisco目录连接器主屏幕。
退出	退出Cisco目录连接器。

表 4. 组合键
组合键	操作
Alt + A	显示“操作”菜单
`Alt +A + S`	立即同步
`Alt +A + R`	重设连接器保密信息
`Alt +A + D`	测试
`Alt +A + S + I`	增量同步
`Alt +A + S + F`	完全同步
`Alt + H`	显示“帮助”菜单
`Alt + H + H`	帮助
`Alt + H + A`	关于
`Alt + H + F`	常见问题解答

设置自动升级

1	从Directory Connector，转至配置 > 通用，然后检查自动升级到新的Cisco Directory Connector版本。
2	单击应用以保存您所做的更改。

新版本的连接器可用时将自动安装。

您可以手动管理升级（如果您愿意）。有关更多信息，请参阅升级至最新软件版本。

选择要同步的Active Directory对象

默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。

自动许可证分配组

Control Hub允许您按组管理许可证分配。您可以创建许可证模板，并将其映射到同步到云的Active Directory组。在用户创建时，Webex检查该新用户的用户会员身份和自动许可证模板映射。

我们建议您使用LDAP过滤器仅将相关组同步到云。例如，您可以将过滤器设置为：

(&（cn=示例）（objectclass=组）)*

此过滤器将以Example开头的基础DN中的所有组同步。未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。

目录连接器中的对象选择屏幕

混合数据安全部署组

在Directory Connector中，如果您使用混合数据安全为试点用户配置试用组，则必须检查组。请参阅混合数据安全部署指南获得指导。此目录连接器设置不会影响云中的其他用户同步。

准备工作

1	在 Directory Connector 中，转至配置，然后单击对象选择。
2	在对象类型部分中，检查用户，并考虑限制用户可搜索容器的数量。例如，如果您想仅同步特定组中的用户，必须在用户LDAP过滤器字段中输入LDAP过滤器。如果要同步示例管理器组中的用户，请使用以下过滤器： `(&(sAMAccountName=*)(memberOf=cn=Example-manager，ou=Example，ou=Security Group，dc=COMPANY))`
3	检查识别房间以将房间数据与用户数据分开。要设置其他属性，将用户数据识别为房间数据，请单击自定义。如果要将内部会议室信息从Active Directory同步到Webex云时，请使用此设置。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。有关详细信息，请参阅将内部会议室信息同步到Webex云。
4	要将Active Directory用户组同步到云，请检查组。不要向“组”字段添加用户同步LDAP筛选器。您仅应使用“组”字段将组数据本身同步到云。默认情况下，组不会为新客户同步。必须启用组同步。还必须同步安全组。
5	如果要将用户的联系信息同步到云，请检查联系人。目录连接器仅管理由连接器同步的联系人。如果Control Hub中已经有联系人，则同步不会删除联系人。如果从同步范围中删除联系人，则在Control Hub中也会删除用户的联系信息。
6	配置 LDAP 过滤器。您可以通过提供有效的 LDAP 过滤器来添加扩展的过滤器。有关配置LDAP过滤器的更多信息，请参阅本文。
7	单击选择以查看Active Directory树结构，指定要同步的On Premises Base DN。您可以在此选择或取消选择要搜索的容器。
8	勾选您要在此次配置中添加的对象，然后单击“选择”。您可以选择单个容器或父容器以用于同步。选择父容器时会自动选中其所有子容器。如果选择子容器，父容器会显示灰色复选标记，说明其下勾选了子容器。然后，您可以单击“选择”以接受勾选的 Active Directory 容器。如果贵组织将所有的用户和组都放在“用户”容器中，则不需要搜索其他容器。如果贵组织划分为多个组织单元，务必选择 OU。
9	单击 Apply（应用）。选择一个选项：应用配置更改排练取消有关干运行的信息，请参阅在Active Directory用户上执行干运行同步。对于组同步，您必须执行完整同步：将Active Directory用户完全同步到云中。

映射用户属性

您可以将本地 Active Directory 的属性映射到云端的对应属性。唯一的必填字段是*uid，这是云身份服务中每个用户帐户的唯一标识符。

您可以选择要映射到云的Active Directory属性—例如，您可以映射到Active Directory中的 firstName lastName，或将自定义属性表达式映射到云中的 displayName。

Active Directory 中的帐户必须具有电子邮件地址；缺省情况下，uid 会映射到邮件的 ad 字段（非 sAMAccountName）。

如果您选择使用首选语言来自Active Directory，则Active Directory是唯一的真理来源：用户将无法在Webex设置中更改其语言设置，管理员也无法在Control Hub中更改设置。

1	在 Directory Connector 中，单击配置，然后选择用户属性映射。此页显示Active Directory（左侧）和Webex云（右侧）的属性名称。所有必需属性都标有红色星号。
2	向下滚动到 Active Directory属性名称的底部，然后选择其中一个Active Directory属性以映射到云属性uid：邮件—大多数部署用于电子邮件格式。 userPrincipalName—如果您的邮件属性在Active Directory中用于其他用途，则可选择此选项。此属性必须为电子邮件格式。您可以将其他Active Directory属性映射到uid，但我们建议您使用上述指南中的邮件或userPrincipalName。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。要查看Active Directory中的哪些属性与云中的对应关系，请参阅在Directory Connector中映射Active Directory属性。要使同步工作，您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口，以提醒您，如果您没有选择推荐的属性。
3	如果预定义的Active Directory属性不适用于部署，请单击属性下拉菜单，滚动到底部，然后选择自定义属性以打开一个窗口来定义属性表达式。单击帮助以获取有关表达式的更多信息，并查看表达式如何工作的示例。您还可以查看自定义属性的表达式以了解更多信息。在此示例中，我们将将Active Directory属性 `givenName` 和 `Sn` 映射到云属性 `displayName`：将属性表达式定义为givenName + "" + Sn（引号为额外空间），然后提供现有的用户电子邮件以进行验证。单击验证，查看结果是否符合您的期望。成功结果如下：如果结果符合您的预期，请单击确定保存新的自定义属性。稍后，如果您要更改 displayName，可以输入新的属性表达式 Directory Connector验证身份服务中的uid的属性值，并在当前用户过滤选项下检索3个可用用户。如果所有3个用户都具有有效的电子邮件格式，则Cisco Directory Connector将显示以下消息：如果无法验证属性，您将看到以下警告，并可以返回到Active Directory以检查和修复用户数据：
4	（可选）如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中，选择手机和电话号码的映射。当用户将鼠标悬停在另一个用户的档案照片上时，电话号码数据会显示在Webex应用程序中。有关从用户联系人卡呼叫的更多信息，请参阅在Webex (Unified CM)部署指南（管理员）。
5	选择其他映射以显示在联系人卡中的更多数据： `departmentNumber` `displayName` `Manager` `标题` 映射属性后，当用户将鼠标悬停在另一个用户的档案图片上时，会显示信息：有关联系卡的更多信息，请参阅验证您的联系人。将这些属性同步到每个用户帐户后，您还可以在Control Hub中打开People Insights。此功能允许Webex App用户在配置文件中共享更多信息，并相互了解。有关该功能以及如何启用该功能的更多信息，请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events（新建）People Insights Profiles
6	选定后单击应用。

Active Directory 中包含的任何用户数据都会覆盖对应于该用户的云端数据。例如，如果您在Control Hub中手动创建用户，则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。在Active Directory中没有相应电子邮件地址的用户将被删除。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

活动目录和云属性

您可以使用“用户属性映射”标签页将本地 Active Directory 的属性映射到云端的对应属性。

此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。这些值和映射是Directory Connector中的默认设置。您可以在Active Directory下拉菜单中选择不同的属性，并确定哪些内部属性与哪个云属性同步。

将下拉菜单属性视为预设。作为Active Directory行中的值的替代，您还可以在Active Directory中指定自定义属性（具有多个属性的表达式）以映射到相应行中的单个云属性。这样，您可以灵活地确定用户的显示名称，例如，您可以添加一个表达式，根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。

您还可以指定任何Active Directory属性，以映射到云中的uid。但是，您必须确保内部属性遵循有效的电子邮件格式。

您还可以使用其他电子邮件地址，例如，如果您想使用userPrincipalName进行登录，但用户的电子邮件地址用于管理他们的日历。在这种情况下，将其他电子邮件地址映射到电子邮件；类型-工作属性。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。

活动目录属性名称	Webex云属性名称	笔记
—	buildingName	—
C	C	此属性指定用户的国家缩写。
departmentNumber	departmentNumber	此属性用于联系人卡和人员见解中显示的用户的部门号码。
displayName	displayName	此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。
userAccountControl	ds-pwp-account-disabled	此属性用于用户同步。确保 userAccountControl 属性映射到 ds-pwp-account-disabled，或者用户未正确同步。
employeeNumber	employeeNumber	—
facsimileTelephoneNumber	facsimileTelephoneNumber	—
—	jabberID	此云属性与Jabber使用的IM地址（XMPP类型）有关。此值与sipAddresses不同。
l	l	此属性指定用户的城市。
—	locale	—
Manager	Manager	此属性用于联系人卡和人员见解中的用户经理名称。
移动设备	移动设备	此属性被用作显示从联系人卡呼叫用户的移动号码。
o	o	此属性指定公司或组织的名称，并显示在联系人卡中。
ou	ou	此属性指定组织单位的名称。
physicalDeliveryOfficeName	physicalDeliveryOfficeName	此属性指定用户的办公位置。
postalCode	postalCode	此属性指定了用于实际邮件交付的用户的邮政或邮政编码。
preferredLanguage	preferredLanguage	此属性设置用户的首选语言，支持以下格式： xx_YY 或 xx-YY。这里是一些示例： en_US、en_GB、fr-CA。如果您使用不受支持的语言或无效的格式，用户的首选语言将更改至为组织设置的语言。
MSRTCSIP-主要用户地址 ipPhone	SipAddresses；type=enterprise	此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。
sn	sn	此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。
st	st	此属性指定用户的状态或省。
streetAddress	street	此属性指定用于实际邮件递送的用户的街道地址。
telephoneNumber	telephoneNumber	此属性指定用于从联系人卡呼叫用户的主要（工作）电话号码。
—	timezone	此云属性指定用户的时区。
标题	标题	此属性指定联系人卡和人员见解中出现的用户标题。
type	enterprise	—
mail 用户主要名称	uid	强制性的属性映射。对于每个用户帐户，Active Directory值映射到云中的唯一的UID。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。然后用户可以使用这两个电子邮件地址之一登录，只要正确的 SAML属性映射就行了。请参阅下面的示例属性映射，了解如何映射替代电子邮件地址。
用户主要名称 mail <自定义属性>	电子邮件；类型工作	此映射是可选的，如果您想使用其他电子邮件地址，请使用此映射。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。
<Azure用户对象Id的新属性>	externalId	创建新的Active Directory属性以保留Azure用户对象ID，使其不会与现有的ID冲突。此属性随后映射到externalId属性，确保Webex用户在Microsoft 365中创建群组时，会自动在Webex中创建群组。

替代电子邮件地址映射

自定义属性的表达式

表 5. 自定义属性的表达式
接线员	描述和示例
%	如果匹配，将字符串开头的所有字符删除到字符或字符串参数的位置。示例表达式 `"abc@example.com" % "@"` 结果 `example.com`
-	从指定字符串的末端剥离输入字符串的背部。示例表达式 `"abc@example.com" - "@"` 结果 `abc`
+	连接输入字符串或表达式。示例表达式 `"abc" +" + "def"` 结果 `abc def`
\|	根据空字符串评估分隔表达式，并选择第一个非空结果。示例表达式 `“” \| “abc”` 结果 `abc`

将Active Directory属性中的目录头像同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序同步来自Active Directory属性的原始头像数据。

1	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2	对于从获取头像，选择AD属性，然后选择头像属性，其中包含要同步到云的原始头像数据。
3	要验证头像是否正确访问，请输入用户的电子邮件地址，然后单击获取用户头像。头像出现在右侧。
4	验证头像显示正确后，单击应用保存更改。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将目录头像从资源服务器同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序从资源服务器同步化头像。

准备工作

此过程中的 URI 模式和变量值都是示例。您必须使用目录头像所在位置的实际 URL。
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。连接器需要http或https访问图像，但图像不需要在互联网上公开访问。
头像数据同步与Active Directory用户配置文件分开。如果您运行代理，必须确保NTLM身份验证或基本身份验证可以访问头像数据。

1	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2	对于从获取头像，选择资源服务器，然后输入头像URI模式—例如，*`http：//www.example.com/dir/photo/zoom/{mail： .?(?=@.)}.jpg`* 让我们来看看阿凡达URI模式的每个部分及其含义： http：//www.example.com/dir/photo/zoom/—将同步的所有照片所在的路径。它必须是服务器上的Directory Connector服务必须能够访问的URL。邮件：—告诉Directory Connector从Active Directory获取邮件属性的值 .?(?=@.)—执行以下功能的regex语法： *`。—任何字符，重复零或多次重复。` `？—告诉前一个变量以匹配尽可能少的字符。` `(?= ... )—匹配主表达式之后的组，但结果中不包含该组。目录连接器查找匹配并且不包含在输出中。` `@。—在at符号，然后是任意字符，重复零或多次重复。`* `.jpg—用户头像的文件扩展名。查看本文档中支持的文件类型，并相应更改扩展名。`
3	（可选）如果您的资源服务器需要凭证，请检查为头像设置用户凭证，然后选择使用当前服务登录用户或使用此用户并输入密码。
4	输入变量值 - 例如： `abcd@example.com。`
5	单击测试以确保头像URI模式正常工作。在此示例中，如果一个AD条目的邮件值为 `abcd@example.com`，并且jpg图像正在同步，则最终阿凡达URI 为 `http：//www.example.com/dir/photo/zoom/abcd.jpg`
6	验证了URI信息并看起来正确后，单击应用。有关如何使用正则表达式的详细信息，请参阅《Microsoft 正则表达式语言快速参考》。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将内部会议室信息同步到Webex云

使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的Webex设备（房间、桌面和板）上的可搜索条目。

1	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择对象选择。
2	检查将房间信息同步到云，在同步过程中将房间数据与用户数据分开。禁用此设置时，将以与用户同步数据相同的方式处理会议室数据。
3	转至属性映射，然后更改云属性的属性映射sipAddresses；type=enterprise。要使用值验证，SIP地址的值应为Pattern.compile("^([^@])(.)@(.)$") 如果可用，选择 MSRTCSIP-PrimaryUserAddress。如果您在Active Directory模式中没有上述属性，请使用其他字段，例如 ipPhone。
4	在Exchange中创建会议室资源邮箱。这将添加连接器用于识别房间的 msExchResourceMetaData；ResourceType：Room 属性。
5	从Active Directory用户和计算机，导航到并编辑会议室的属性。使用sip的前缀添加完全合格SIP URI：
6	在连接器中执行干运行同步，然后执行完整运行同步。新会议室对象列出已添加对象，匹配的会议室对象将显示在已匹配对象中。任何标记要删除的房间对象都位于已删除的房间下。干运行结果显示所有匹配的房间资源。此设置将Active Directory房间数据（包括房间属性）与用户数据分离。同步完成后，连接器仪表板上的云统计数据将显示与云同步的房间数据。

下一步

现在您已完成这些步骤，当您在Webex云注册设备上搜索时，您将看到使用SIP地址配置的同步房间条目。当您将Webex设备拨入该条目时，将呼叫放置到为房间配置的SIP地址。

从Control Hub，您可以自动从目录导入会议室并创建工作空间。

端点无法将呼叫回传回至Webex应用程序。对于测试拨号设备，这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。如果您正在搜索的Active Directory会议室系统已注册到Webex，并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上，则搜索结果不会显示重复条目。在Webex应用程序中直接拨打Room、Desk或Board设备，不会进行SIP呼叫。

在目录同步结果上发送电子邮件报告

默认情况下，组织联系人或管理员始终都会收到电子邮件通知。使用此设置，您可以自定义谁应该接收总结目录同步报告的电子邮件通知。

1	从Directory Connector，单击配置，然后选择通知。
2	从Directory Connector中，单击设置，然后单击电子邮件接收器旁边的切换启用报告同步。
3	如果要覆盖默认通知行为并添加一个或多个电子邮件收件人，请选择启用通知。
4	单击添加，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
5	单击添加电子邮件，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
6	如果您需要编辑您输入的任何电子邮件地址，请双击左侧列中的电子邮件条目，然后进行所需的任何更改。
7	添加所有有效电子邮件地址后，单击应用。
8	添加所有有效电子邮件地址后，单击保存。

下一步

如果您决定删除电子邮件地址，您可以单击电子邮件以突出显示该条目，然后单击删除。

如果您决定删除电子邮件地址，可以单击特定电子邮件地址条目旁边的删除。

从Active Directory向Control Hub提供用户

按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。在安装每个域的Directory Connector后，您可以从多个域Active Directory部署（包含单个森林或多个森林）提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

1	在您的Active Directory用户上执行干线同步执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
2	将Active Directory用户完全同步到云在您运行完全同步时，连接器服务将所有已过滤对象从 Active Directory (AD) 发送至云。然后，连接器服务将您的 AD 条目更新到身份存储库中。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。
3	向Control Hub中的Directory同步用户分配Webex服务完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用各种方法分配Webex服务许可证。我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。您还可以在此初始步骤后进行个人更改。

在您的Active Directory用户上执行干线同步

执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。

在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。使用Directory Connector，目标是在Active Directory和Webex云之间实现精确匹配。

如果您在单个森林或多个森林中拥有多个域，则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。

准备工作

在使用Directory Connector之前，您可能已经在Control Hub中拥有一些Webex应用程序用户。在云中的用户中，有些用户可能会与本地Active Directory对象匹配，并为服务分配许可证。但有些测试用户可能是在进行同步时要删除。您必须在Active Directory和Control Hub之间创建完全匹配。

1	选择一种：首次登录后，单击提示符上的是以执行干运行。如果您错过了执行干运行的提醒，请随时从Directory Connector单击仪表板，选择同步干运行，然后单击确定以开始干运行同步。当干运行完成时，您将看到以下结果之一： *在目录连接器中检测到不匹配的对象* *Dry Run报告结果和目录连接器中的不匹配对象摘要* 摘要包含有关对象匹配的信息：匹配对象 -在Webex Common Identity中并且还存在在Active Directory域中的用户，如someuser@cisco.com与Webex同步并显示在Control Hub中，并且同一用户(someuser@cisco.com)在Active Directory中存在。这意味着用户已匹配。不匹配对象 -在Webex中使用的用户，无论该用户是如何在Common Identity中添加的，但在Active Directory中不存在该用户。它被称为“不匹配对象”。例如，如果someuser@cisco.com在Webex中同步并显示在Control Hub中，但同一用户(someuser@cisco.com)未由Active Directory管理，则报告显示该用户不匹配。干运行通过比较与域用户来识别用户。如果用户属于当前域，应用程序可以识别用户。在下一步，您必须决定是删除对象还是保留它们。不匹配的对象已在Webex云中存在，但在内部Active Directory中不存在。
2	查看干运行结果，然后根据您使用单个域还是多个域选择一个选项：单一域—确定是否要保留不匹配的用户。如果要保留它们，请选择否，请选择是，删除对象。在您执行这些步骤并手动运行完整同步后，以便本地和云之间精确匹配，Directory Connector将自动启用已安排的自动同步任务。多个域—对于具有域A和域B的组织，首先对域A进行干燥。如果您想保留不匹配用户，请选择否，保留对象。（这些不匹配的用户可能是域B的成员。）如果要删除，请选择是，删除对象。如果您保留用户，请先为Domain A运行完整同步，然后为Domain B运行干燥。如果仍然有不匹配的用户，请在Active Directory中添加这些用户，然后为Domain B进行完整同步。当内部与云之间存在完全匹配时，Directory Connector将自动启用已安排的自动同步任务。
3	在确认干运行提示符中，单击是重执行干运行同步并查看仪表板以查看结果。在干运行中成功同步的所有帐户都出现在匹配对象下。如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户，则该条目在已删除用户下列出。为了避免此删除标记，您可以在 Active Directory 中添加使用相同电子邮件地址的用户。若要查看已同步项目的详细信息，请单击特定项目的相应标签页或已匹配对象。若要保存摘要信息，请单击“将结果保存至文件”。
4	如果预期结果，请转至操作 > 同步模式 > 启用同步，然后单击立即启用进行手动同步，并在此处设置手动模式。在多个域部署中的最后一个Active Directory域进行同步后，必须为Directory Connector启用自动模式。只有当对象在Webex云和所有内部活动目录之间完全匹配时，您才可以启用自动模式。

下一步

对于您保留的任何不匹配的用户对象，您必须将其添加到Active Directory，以便在内部和云之间实现完全匹配。
选择同步类型：
- 首次将新用户同步到云时，将Active Directory用户完全同步到云中。您通过操作 > 立即同步 > 完整进行操作，然后将同步当前域中的用户。
- 设置连接器计划并在运行完整同步后运行增量同步，如果要在初始同步后检索更改。建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
  
  默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。
如果您有多个域，请在已安装的任何其他目录连接器上重复这些步骤。

注意事项

启用完全同步之前或更改同步参数时执行干运行。如果测试是由配置更改而引起的，可以在测试完成后保存设置。如果您已手动添加用户，执行Active Directory同步可能会导致以前添加的用户被删除。您可以在完全同步到云之前检查Directory Connector Dry Run报告，以验证所有预期用户都存在。

如果匹配的用户被标记为要删除，并且您不确定如何继续，请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

将Active Directory用户完全同步到云

在您运行完全同步时，连接器服务将所有已过滤对象从 Active Directory (AD) 发送至云。然后，连接器服务将您的 AD 条目更新到身份存储库中。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。

如果您有多个域，则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。

目录连接器同步用户帐户状态—在Active Directory中，任何被标记为禁用的用户在云中也会显示为非活动。

准备工作

如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态，则必须执行以下步骤以绕过电子邮件验证：
- 将单点登录与Webex组织集成。请参阅使用Cisco Webex Services和您的组织的身份提供商进行单点登录以了解更多信息。
- 使用Control Hub验证并选择声称电子邮件地址中包含的域。请参阅添加、验证和声明域。
- 抑制自动电子邮件邀请，这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。（您可以进行自己的电子邮件活动。）
  
  尚未登录的已激活用户在Control Hub中显示已验证状态。登录后，他们将显示为“活动”状态。有关用户状态的详细信息，请参阅 Cisco Webex Control Hub 中的用户状态和操作。
启用同步时，Directory Connector要求您先执行干运行。我们建议您在完全同步之前进行干运行，以发现任何潜在的错误。
在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。

如果您不使用自动分配许可证模板，新同步的用户会自动获得免费许可证。他们将能够使用与免费帐户的相同的免费功能。

1	选择一种：首次登录后，如果干运行已完成并且所有域看起来正确，请单击立即启用以允许自动同步发生。从Directory Connector，转至仪表板，单击操作，选择同步模式>启用同步，然后单击立即同步>完整开始同步。
2	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择完全同步。
3	确认同步的开始。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序会在您执行同步后72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，最后同步和云统计部分将使用新信息更新。用户数据同步到云。如果同步期间发生错误，状态指示球将变为红色。
4	要更新同步状态，请单击刷新。（同步项目出现在云统计下。）
5	有关错误的信息，请从操作工具栏选择启动事件查看器以查看错误日志。
6	要设置持续增量同步到云的同步计划，请参阅设置连接器计划和运行增量同步。

完成完全同步后，在Control Hub的设置页面上，目录同步状态将从禁用更新至操作。
当所有数据在内部和云之间匹配时，Directory Connector将从手动模式更改为自动同步模式。
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件，否则Webex应用程序用户帐户将保持未验证状态，直到用户首次登录Webex应用程序以确认其帐户。请参阅“开始之前”部分，了解如何将帐户同步为活动用户的指导。
如果您有多个域，请在已安装的任何其他目录连接器上执行此步骤。同步后，您添加的所有域上的用户都会在Control Hub中列出。
如果您将单点登录与Webex集成，并且已删除的电子邮件通知，则电子邮件邀请不会发送给新同步的用户。
启用目录连接器后，您无法在Control Hub中手动添加用户。启用后，从Cisco目录连接器执行用户管理，而Active Directory是唯一的真理源。
您同步的任何组都出现在Control Hub中，并且您可以分配许可证模板，以便该组中的用户获得许可证。

下一步

当您从Active Directory中删除用户时，该用户将在下次同步后被软删除。用户处于非活动状态，但云身份档案将保留七天（以便从意外删除中恢复）。

如果您在Active Directory中检查帐户已禁用，则下次同步后该用户将变为非活动。云身份档案七天后不会删除，以防要再次启用用户。
注意增量同步的这些异常（请按照上面的完整同步步骤操作）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。

向Control Hub中的Directory同步用户分配Webex服务

完成从Cisco目录连接器到Control Hub的完整用户同步后，您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证，或者如果您已经配置了自动分配的许可证模板，则向新用户添加其他许可证。您可以在此初始步骤后更改个人用户帐户。

完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证（如果您已经配置了自动分配许可证模板）。您可以在此初始步骤后更改个人用户帐户。

当您向Webex应用程序用户分配许可证时，该用户默认会收到一封确认分配的电子邮件。该电子邮件由Control Hub中的通知服务发送。如果您将单点登录(SSO)与Webex组织集成，则如果您更愿意直接联系用户，您也可以删除这些自动电子邮件通知。

准备工作

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
在Active Directory用户上执行干运行同步。
确认干运行结果后，在Active Directory用户上进行完全同步。

在完全同步时，用户在云中创建，不添加服务分配，也不发送激活电子邮件。如果电子邮件未被抑制，新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。

1

从 https：//admin.webex.com 中的客户视图，转至管理 > 用户，单击管理用户，选择修改所有同步用户，然后单击下一步。

2

选择一个选项：

下一步

如果电子邮件没有被抑制，将向每个用户发送电子邮件，并邀请其加入和下载Webex。
如果您为所有用户选择了相同的Webex服务，那么您可以单独或批量更改分配的许可证。

相关信息

目录连接器的已知问题

2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。此问题已在 2012 R2 和 2016版本中得到解决。
对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。

您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间，此时呼叫将无限响起。

管理Webex应用程序用户

运行增量同步

增量同步会查询 Active Directory，查找自上次同步以来发生的更改。然后，此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。

此同步不会给服务器带来那么多的负载，也不需要像完全同步那样多的时间。完成初始完整同步后，我们建议为后续同步使用增量选项。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
注意不支持增量同步的以下异常（请遵循将Active Directory用户完全同步到云中）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 对于属性映射、基本DN、过滤器和头像设置的新配置更改，增量同步无法工作，需要完全同步。

1	从 Directory Connector 中，单击控制板。启用同步时，Directory Connector 将要求您首先执行测试。
2	从操作中，如果尚未启用，单击同步模式>启用同步。默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。当新的增量时间间隔出现时，程序会根据最后一个时间标识检查更改。
3	从操作中，单击立即同步 > 增量。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存：Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，最后同步和云统计部分将使用新信息更新。如果同步期间发生错误，状态指示球将变为红色。
4	有关错误的信息，单击操作工具栏中的启动事件查看器可查看错误日志。

下一步

如果您有多个域，请在已安装的其他目录连接器实例上执行此步骤。

恢复意外删除的用户

Directory Connector具有制衡功能，以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器，这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复，并在Control Hub中重新建立用户帐户。

默认情况下，此功能对所有组织都启用。例如，在云中删除用户时，由于从Directory Connector同步后出现不匹配的对象问题，用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除，如果您快速采取行动，您可能能够恢复它们。

当在Active Directory中删除相应帐户时，用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间，您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。

在Active Directory中禁用的用户在Control Hub中标记为Inactive，但用户帐户在7天后不会删除。

1	登录到 Control Hub。
2	转至用户并确认特定用户帐户是否处于非活动状态或未列出。有关详细信息，请参阅控制中心中的用户状态和操作。
3	如果在Control Hub中删除用户，或者您注意到用户处于非活动状态，请转至Active Directory，添加缺失的用户帐户，然后在Directory Connector中执行干运行同步。使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。
4	执行完全同步，将暂时删除的用户帐户重新同步至Control Hub。用户被恢复并转至原始状态，包括其帐户状态和服务分配。

下一步

返回Control Hub，转至管理 > 用户，并确认先前删除的用户帐户出现在用户列表中。

在软删除后永久删除用户

执行干运行后，您可以选择永久删除下次同步时被软删除的用户。

1	干运行完成后，选择软删除对象。
2	选中要删除的用户旁边的复选框。
3	选择完成。

下一步

下次同步时，已检查的用户将被永久删除。

更改Webex应用程序电子邮件地址

如果您想更改用户电子邮件地址，并且您的组织使用Directory Connector，请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。

如果您只想更改一个用户的电子邮件或某个值，请勿从Active Directory中删除该用户，然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户，用户空间和云中的其他数据将丢失。

要在不更改域的情况下更改用户电子邮件地址：
1. 在Active Directory中打开用户帐户（例如，user1@example.com）并更改电子邮件地址（例如，user2@example.com）。
2. 在目录连接器上恢复同步。
  
  下次同步后，更改会显示在Control Hub中的用户列表中，以及缓存更新后Webex应用程序中的用户。
  
  采用此方法不会造成数据或空间丢失。第一次同步后在云中设置用户的唯一标识符。所有后续同步均基于此标识符。
在使用Directory Connector的多个域部署中，要在更改域时更改用户电子邮件地址（考虑旧域为example1.com，新域为example2.com）：
1. 对于旧用户帐户(user1@example1.com)，请注意映射到 uid 云属性的Active Directory属性。您需要为新帐户使用相同的Active Directory值。对于此示例，我们将使用 user1@example1.com 作为在云中映射到 uid 的本地属性。
2. 在example1.com和example2.com域的Directory Connector上暂停同步。
3. 在example2.com中创建新用户帐户，并使用上面的相同属性。（例如，user1@example1.com）。
4. 在Directory Connector上，例如2.com恢复同步
  
  在继续之前，请验证user1@example2.com帐户是否同步到Control Hub。我们建议您指示用户在Webex应用程序中验证电子邮件更改，并保留所有数据（空间、消息、会议、文件等）。
  
  使用此方法不会丢失数据或空间，但在新用户帐户中，您必须确保从旧用户帐户中保留映射到云uid属性的Active Directory属性。如果您更改了Active Directory值，新帐户不会保留旧帐户中的数据。
5. 验证电子邮件地址更改且数据完好后，删除example1.com上的旧用户帐户，然后使用Directory Connector恢复为example1.com的同步功能。
  
  此时，您可以安全地更新新的Active Directory域中的user1@example2.com电子邮件地址。

目录连接器不限制电子邮件域更改。但是，当用户重新同步到云时，用户状态取决于您的组织中是否验证新域。如果组织中未验证域，则在完全同步后，用户的状态将更改为“待定”。有关更多信息，请参阅管理您的域。

如果您的组织不使用Directory Connector，您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址，了解用户可以遵循的步骤来更改电子邮件。

更改 Active Directory 域

您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。

1	设置新的 Active Directory (AD) 域。
2	禁用所有连接器上的同步。
3	卸载所有连接器。
4	打开案例以更改域名。在案例提交中，请确保请求删除组织中的域配置和所有同步属性。在打开案例以更改域之前，请确保未运行同步功能。在案例解决之前，不要更改Active Directory中的任何用户电子邮件地址。
5	解决案例后：在具有新Active Directory域的同一服务器上安装Directory Connector。配置Directory Connector，使其指向新的Active Directory域。如果Control Hub ( https://admin.webex.com)中有现有用户，请确保具有匹配电子邮件地址的用户也出现在Active Directory中。如果您的组织已禁用DirSync中的 `softDelete` 切换，则在Control Hub中但不在Active Directory中的用户电子邮件地址将面临删除风险。在进行实际同步之前，使用Directory Connector执行测试运行。

域声明

如果您为某个组织申请电子邮件域名，从而在付费客户组织中创建任何旁边的帐户，而不是免费消费者组织中，则会出现域索偿。您只能通过支持案例进行域申索（有关更多信息，请参阅下面的链接）。

如果Directory Connector处于活动状态并且该域已声明，则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户，受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。

相关信息

在目录同步组织中转换免费的Webex应用程序用户

您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序，则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户，请在打开Directory Connector之前将其迁移（转换）到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。

如果您未在激活前转换帐户，请关闭 Directory Connector 以对帐户进行转换。

如果启用目录同步时尝试转换用户，将显示错误消息无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。

一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中，而不是不匹配对象。如果要将这些用户迁移到您的组织，则需要将这些用户添加到您的AD列表。

如果您未添加这些用户，它们将在您旁边同步到云时全部删除。

1	从 Directory Connector 中禁用目录同步功能。
2	按照在Control Hub中转换无许可用户程序将用户从免费消费组织转换为企业组织。此步骤将用户添加到您的组织，帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源，目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前，确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。
3	在Directory Connector上，执行干运行同步。测试完成后，查看“添加对象”标签页。验证是否未删除您已转换的任何用户。您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中，则Directory Connector将区分大小写，并删除其检测到电子邮件地址不匹配的转换用户（例如，user1@example.com和User1@example.com）。如果已删除任何转换的用户，他们将失去所有Webex应用程序空间。
4	如果您确定下一次同步将不会删除任何帐户，请从 Directory Connector 重新启用目录同步。

如果您没有验证域，转换的用户帐户不会自动激活。例如，如果您打开自动分配许可证模板，然后在没有域验证的情况下打开Directory Connector，转换后的用户将在云后端处于非活动状态，直到他们确认其电子邮件地址。

侧边的Webex应用程序用户帐户

当您邀请其他用户到Webex应用程序中的空间时，如果受邀用户没有Webex应用程序帐户，则为他们创建帐户（“侧面”）。缺省情况下，以此方式创建的帐户将添加至自由消费者组织中。

如果要使用Directory Connector管理侧栏帐户，则必须转换帐户。

目录同步后更改Webex应用程序用户名格式

默认情况下，Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。

执行目录同步后，您可能会发现该用户名以格式显示。

如果Active Directory中的 displayName 属性以这种方式配置，此用户名可能会出现。当属性映射到云中的 displayName 时，名称会在Control Hub中以格式显示。

若要更改格式，请在 Directory Connector 属性映射屏幕中进行如下操作：将Active Directory属性 givenName sn （或 sn givenName）映射到Cisco云属性名称中的 displayName 。

更改Cisco云属性名称格式

或者，将属性 sn givenName 映射到 displayName：

更改Cisco云属性名称格式

如果您想将自己的自定义属性表达式映射到 displayName，也可以使用“自定义属性”选项。

自定义Cisco云属性名称格式

例如，输入givenName + "" + sn （名字、空间、姓氏）作为表达式。将Active Directory中的两个属性映射到云中displayName 。

本地活动目录中的映射属性

允许用户在Webex Meetings中更改显示名称

如果您想允许用户编辑首选的显示名称，您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称，而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。

1	从Directory Connector，单击配置，然后选择用户属性映射。
2	在 Cisco云属性名称下选择显示名称。
3	选择不同步此属性。

下一步

用户现在可以从Webex站点编辑显示名称。

Directory Connector 故障诊断

升级到最新软件版本

要保持部署合规并获取最新功能、功能、错误修复和安全增强功能，您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本，则可能会遇到问题，例如Directory Connector不再正常同步，或者处于不支持强制性 TLS 1.2要求的版本上。

Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。

虽然您可以手动安装连接器软件更新更新，但我们建议您遵循设置自动升级中的步骤，让应用程序自动管理升级。

1	单击Windows任务栏中的通知，或右击Windows任务栏中的Directory Connector图标，开始升级过程。
2	按说明完成升级操作。
3	重新启动连接器并使用管理员凭据登录。
4	在帮助 > 关于下验证软件的版本号。

下一步

要重新安装Directory Connector，您可以下载zip文件，然后按照本指南中的安装步骤操作。

配置 Directory Connector 的常规设置

使用此程序配置常规设置，例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中，其中还包含正在运行的任何其他连接器。

1	从Directory Connector转至配置，然后单击常规。
2	在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。
3	从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括：信息（默认）—显示信息消息，突出显示高层次应用程序的进度。要在所有完整同步后接收报告，请使用此设置。警告—显示潜在的有害情况。调试-显示对调试应用程序最有用的详细信息事件。如果您看见任何问题，请设置此日志级别，并在提交支持申请时将事件日志发送给支持人员。错误-显示可能仍允许应用程序继续运行的错误事件。选择此选项时，仅在报告错误时发送同步报告。这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误，则仅在同步报告中报告错误；如果不存在错误，则不会发送同步报告。将设置更改为Info，然后在完全同步后收到同步报告。（请记住，对于增量同步，没有报告错误时不会发送报告。）
4	选择首选域控制器以设置域控制器同步身份的顺序。将按照从上到下的顺序访问域控制器。如果顶级控制器不可用，则选择列表中的第二个控制器。如果列表中没有控制器，您可以访问主控制器。
5	如果要进行自动升级，请检查自动升级到新的Cisco Directory Connector版本。将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置，允许在软件可用时安静地安装自动升级到软件。
6	检查通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。如果您未通过 SSL检查LDAP，则Directory Connector将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。

配置连接器策略

您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。

例如，将 1 设置为删除阈值触发值。在执行完全或增量同步时，如果您要删除的用户数大于该设置，Directory Connector 会显示警告。如果您单击忽略阈值，可以成功开始完全或增量同步，但是在您下次运行该策略时将再次看到此忽略提示。

1	从Directory Connector，单击配置，然后选择策略。
2	如需添加阈值触发器，请勾选“启用删除阈值触发器”复选框。选择该选项后，删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时，同步失败。
3	输入您要设置的最大删除次数。缺省值为 20。我们建议您不要增大该缺省值。
4	单击应用。

设置连接器的安排

在Active Directory中设置同步定时。为了实现高可用性 (HA)，使用了故障转移。如果有一个连接器宕机，我们会在预定义的间隔过后，切换到另一个待机连接器。

1	从Directory Connector，单击配置，然后选择计划。
2	以分钟为单位指定增量同步间隔。缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。
3	如果您希望更改发送报告的频率，请更改发送报告间隔时间值。
4	勾选启用完全同步计划以指定想要执行完全同步的日期和时间。
5	以分钟为单位指定故障转移间隔。
6	单击应用。

多域情境

多个域基于域优先级。对于在不同域具有相同键值的对象，在同步后，来自高优先级域的数据将覆盖来自低优先级域的数据。

具有相同键值的对象会链接到数据库中的同一条记录。

多域情境

“用户”的键值是电子邮件地址；“组”的键值是组名。

多域使用示例

此示例假设某组织有两个域 - example1.com 和 example2.com，前者优先级高于后者。

添加 user1（电子邮件：user@example1.com）到 example1.com 的 Active Directory。
添加 group1（组名：Test）到 example1.com 的 Active Directory。
添加 user2（电子邮件：user@example2.com）到 example2.com 的 Active Directory。
添加 group2（组名：Test）到 example2.com 的 Active Directory。

在 example1.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

如果您为 example1.com 执行全面或增量同步，user1 和 group1 会同步。而且，user2 和 group2 会被 user1 和 group1 的信息覆盖。

User1 作为数据库中的相同记录链接到 user2；group1 作为数据库中的相同记录链接到 group2。

在 example1.com 和 example2.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

请考虑这些步骤：

在 example1.com 的 Active Directory 上删除 user1 和 group1。
为 example1.com 执行全面或增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1，而 group2 没有链接到 group1。
为 example2.com 执行增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。
为 example2.com 执行全面同步。
结果：user2 和 group2 的信息在 https://admin.webex.com 中列出。

同步新的域并保留现有域

如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后，该连接器会与新的域绑定，而域 (A) 下的用户信息不受影响。

每个域必须自带有效的连接器。请考虑采用以下设置的两个域：带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA)；带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中，一个连接器处于活动状态，另一个处于待机状态 (HA)。该设计可保持域同步，因为有一个连接器始终处于活动状态。也就是说，cb1 是域 B 处于活动状态的连接器，因为域 A 已有处于活动状态的连接器（ca1 或 ca2）。

设置域优先级

使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域，等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织，此设置会很有帮助。

如果在 Directory Connector 中只列出了一个域，则不要使用此过程。如果您尝试进行此配置，连接器会显示一条消息，说明不需要域优先级。

开始之前

要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击设置域优先级。
3	高亮显示列表中的一个域，单击向上或向下更改此域的优先级，然后单击保存保存更改。各个域会按优先级自上而下排序。

切换域

使用此程序将Cisco目录连接器重新绑定到另一个域。

开始之前

在切换域之前，确保没有同步任务在运行。
要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击切换域。
3	阅读警告后，如果您理解此更改对部署的影响，而且您仍然确定要更改，请单击是。如果您切换域，则您将从当前Cisco目录连接器中注销，连接器中的其他域未注册，并且删除该计算机上的连接器信息。
4	重新登录Cisco目录连接器并重新绑定域。

关闭目录同步

如果您需要停止从Directory Connector进行同步，可以从Control Hub暂时将其关闭。

1

从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，然后选择一个：

单击更多，然后单击要关闭的连接器实例旁边的关闭。
单击关闭所有目录同步可停止所有连接器实例的同步。

2

阅读提示之后，单击关闭。

同步停止，直到从Directory Connector重新启用它。

删除用户属性映射

使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后，属性值将从云中删除，不再与Webex同步。然后可以手动编辑这些值。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 删除用户属性映射。
3	选择映射以从属性名称列表中删除。
4	在受影响的用户范围下，选择以下其中一项：仅使用目录连接器同步用户：映射将仅从先前同步的Directory Connector的用户中删除。所有用户：映射将从所有Active Directory用户中删除。
5	单击应用。

管理档案照片

使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 管理配置文件图片。
3	在操作下，选择以下其中一项：删除空头头像源的个人资料图片：如果Active Directory个人资料图片为空，此选项可确保用户个人资料图片从云中删除，即使用户之前已在Webex中上传了自己的图片。从同步源重新上传以覆盖缓存的图片：目录连接器使用与之前相同的Active Directory来更新所有用户的配置文件图片。这可以确保Active Directory中的个人资料图片与云之间没有不匹配。
4	单击 Apply（应用）。

卸载并停用目录连接器

卸载 Directory Connector 实例后，必须取消注册它。如果面临以下任何情况，都应该彻底删除 Directory Connector：

您不想再使用目录同步。
您不想使用多个 Directory Connector（高可用性）中的某一个。
您想要更改域并安装其他连接器。

开始之前

您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例，请禁用同步。
卸载Directory Connector之前，保存并关闭任何重要工作。

1	在您的 Windows 计算机上，转至“控制面板”，然后单击程序和功能。
2	从程序列表中，单击目录连接器，选择卸载，然后按照提示操作。您可能需要重启系统来完成卸载。
3	从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，单击更多，然后单击要卸载的目录连接器实例旁边的停用。
4	阅读提示之后，单击停用。用户帐户将不会再同步，除非在高可用性 (HA) 部署中还有其他 Directory Connector。

运行诊断工具

您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。

如果同步工作不正确，您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接，因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误，您可以发送详细的日志结果以支持。

要为Active Directory域服务运行测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-DS 选项卡，输入您的域，然后单击加载域控制器。
2. 从列表中选择一个域控制器。
  
  以后不要更改条目，因为增量搜索必须始终在同一域控制器上运行。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户和组对象和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行Active Directory轻量级目录服务的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-LDS 选项卡，输入主机和端口，然后单击加载分区。
2. 从列表中选择分区，然后单击连接。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户、用户代理和用户代理完整和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行轻量级目录访问协议(LDAP)的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击LDAP RAW 选项卡，输入根路径，过滤，从属性中选择一个条目，然后单击加载分区。
2. 根据需要检查以下选项：
  - ObjectSecurity—如果存在此选项，呼叫方不需要任何权利，只能看到呼叫方可访问的对象和属性。如果此选项不存在，呼叫者有权复制更改。
  - 家长至上—确保所有孩子的家长都先到孩子面前。
3. 选择 ExtendedDN 的值。
  
  此值用于扩展的LDAP搜索，以请求对象突出名称的扩展形式。
4. 选择ReferralChasing值。
  
  当域控制器从查询中返回转介时，将启动转介追踪——例如，对于可能位于命名空间之外的查询结果的详细信息（例如其他域或森林中的群组成员）。
5. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
6. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。

解决Ciso Directory Connector中的问题

目录连接器的故障排除和修复

您可能在Directory Connector中遇到错误消息或其他问题。此外，在Directory Connector同步用户信息后，该连接器可能会向您发送一封电子邮件报告，列出同步存在的任何问题。在联系支持人员之前，请参考以下章节，了解可能出现的问题、可能的原因和建议解决方案。

安装

Directory Connector 停止运行

您收到警告电子邮件，通知您您的Directory Connector无法工作。

目录连接器可能未正确安装。
目录连接器可能未运行。
网络可能不可用。

请尝试以下操作：

打开控制面板 > 程序和功能。找到 Directory Connector。如果没有，请从Control Hub下载最新版本并安装。
打开服务并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止，请单击右键并选择“启动”以重启该服务。
确保安装Directory Connector的服务器能够访问Internet。

重新安装错误

问题—如果您在卸载旧连接器后立即安装新连接器，可能会看到错误消息。

可能原因—在Windows Server 2012中，卸载客户端需要时间从服务列表中删除服务帐户。

解决方案—经过一段时间后，请再次尝试安装。

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

请执行以下步骤以在用户级别更改策略：

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

在运行 gpupdate /force、重新启动机器（用于机器更改）或再次输入用户符号（用于用户更改）后，更改将生效。

无法注册Cisco DirSync服务连接器

问题

登录失败，并显示此消息：“无法注册Cisco DirSync服务连接器。”

解决方案

安装Directory Connector的Windows系统必须是Active Directory的成员。

未显示登录页面

问题

您打开目录连接器，登录页未显示。

故障排除: 未显示登录页面

解决方案

请尝试以下步骤：

在Internet Explorer中，转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器（如Chrome和Firefox）中尝试该链接。
如果Internet Explorer无法访问该链接，但其他浏览器可以，请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。（使用启用Internet Explorer中的TLS 程序。）

显示登录提示

问题

出现提示提示您输入用户名和密码以通过身份验证。

可能原因

Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败，会弹出对话框以请求身份验证用户名和密码。

解决方案

当您看到登录弹出窗口时，您需要提供具有正确身份验证的有效帐户，以保证传递安全。

无法连接远程服务器

问题

在正常操作期间，出现错误消息：“无法连接到远程服务器”。

可能原因

您可能有需要解决的代理问题。

解决方案

有关更多故障排除信息，请参阅故障排除服务帐户登录问题。

无法注册连接器

问题

您将看到错误消息“无法注册连接器。发生了一般例外。”

可能原因

在大多数情况下，问题在于Directory Connector没有连接到LDAP根上下文的特权。

解决方案

请尝试以下操作：

运行命令提示符(cmd)，然后输入 ldp.exe。
单击连接 > 绑定，选择绑定为当前登录用户，然后单击确定。
单击查看 > 树，输入DC=arbonneintl，DC=ad 作为BaseDN，然后单击确定。
如果问题继续，打开支持案例。

同步

头像未同步

问题

Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。

可能原因

如果您重复使用现有的头像服务器，并且用户头像已经同步，则本地缓存将捕获它们，并避免再次重订以保存带宽。

解决方案

按照以下步骤删除本地缓存：

转至C：\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
删除DirSyncPluginAvatar.dll-cache.bin。
从Cisco目录连接器重新启动头像同步。

用户电子邮件帐户冲突

问题

同步结果可能会显示有冲突的用户电子邮件帐户。

如果用户尝试了Webex应用程序的免费版本，他们的电子邮件地址将位于免费消费者组织中。
如果用户电子邮件在另一个组织中已同步。
如果用户电子邮件存在于属于组织的多个域中。

解决方案

请尝试以下操作：

如果您要向用户索要权，请按照以下步骤操作：
1. 确保您已在 Control Hub中验证该域。
2. 暂时禁用Cisco目录连接器。
3. 使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关更多信息，请参阅向您的组织索要用户（转换用户）。
4. 在Cisco Directory Connector中运行干燥，然后重新启用目录同步
对于最后一个案例，请复选您的Active Directory源中的用户数据。

已转换用户标记为非活动

问题

在您的目录同步环境中，您将免费（消费者组织）用户转换为企业组织，但转换用户无法登录Webex应用程序。

可能原因

当自由用户转换为企业组织时，该用户将被标记为非活动状态为30天，作为安全合规措施。在此期间内，用户无法登录Webex应用程序，并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。

解决方案

如果您不想删除该用户帐户，必须采取行动。要解决此问题，请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后，从Cisco Directory连接器执行同步。然后，用户可以再次登录Webex应用程序，帐户不会被删除。

增量同步失败

问题

增量同步失败。

在以下条件下可能会在Windows Server 2008 R2上出现此问题：

您支持增量值更新。
您使用的筛选器引用链接值属性。
该属性的结果值自上次进行完全同步以来已更新。

解决方案

Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。

属性的值无效

问题

对于 [user dn (distinguished name)]，属性 [attribute name] 有以下无效值 [attribute value]。

可能原因

对于CN=b，OU=Employees，OU=C Users，DC=c，DC=com，属性[电话号码]具有以下无效值：+。此属性必须包含至少一个数字。

解决方案

此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。

要删除匹配的用户

问题

匹配的用户将被标记为要删除。

当执行干运行同步以检查Active Directory和云之间的数据时，您可能会在两者中看到相同的电子邮件地址。但是，用户被标记为要删除的对象。

解决方案

选择适当的修复：

如果可以在之后删除用户并重新执行许可证，您可以使用Directory Connector进行修复。执行同步以删除用户，然后执行其他同步以将用户从本地AD同步到云。
如果您无法删除并重新创建用户帐户，请在支持下打开案例。

缺少属性

问题

添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值，否则不会在Control Hub中创建该条目。

可能原因

必需属性的 email address 缺失。添加内部条目时[CN=Sales User，OU=Engineers，OU=K，DC=k，DC=local]，除非所有必需属性都具有值，否则不会在Control Hub中创建条目。

解决方案

用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。

嵌套组无法同步

问题

嵌套的Active Directory组中的用户未正确与云同步。

可能原因

使用不受支持的子组和父组的筛选器。例如：(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)

解决方案

必须重新配置同步组的过滤器。例如：|(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)(memberof=CN=testSubGroup，CN=Users，DC=rktest2008，DC=org)

用户命名冲突

问题

对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言，[用户电子邮件地址]，以及用户类型[user_type]。

可能原因

已在Control Hub中存在该电子邮件地址的用户。

解决方案

在Active Directory中创建用户，其电子邮件地址与您通过Control Hub注册的帐户相同。

Control Hub

Control Hub中缺少用户列表

问题

如果您拥有超过1000名同步用户的Webex组织，则可能无法在Control Hub中看到用户列表。

解决方案

您可以使用搜索功能查找用户帐户。在Control Hub中，转至用户，单击搜索 “搜索”按钮，然后输入搜索条件以查找特定用户。

组不会同步到Control Hub

问题

目录组中的用户无法正确同步到Control Hub。

可能原因

在Active Directory中，该组未标记为 isCriticalSystemObject 。

解决方案

确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。

启用 Directory Connector 故障诊断

您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息，并将其保存至文件。

以下日志文件： \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	运行 `services.msc` 文件，将Directory Connector服务的正在运行的帐户从本地系统更改为有权访问AD DS或AD LDS的域帐户。
2	重启服务。请参阅如何启动服务获取指导。
3	在目录连接器中，单击仪表板。
4	转至操作，然后单击实用程序 > 故障排除。
5	启用故障诊断后，重复执行导致错误的操作，这样将捕获流量数据，以便进行检查。
6	检查日志文件：如果文件空白，请确保帐户有权访问 AD DS 或 AD LDS。日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。
7	如有必要，向支持人员发送日志文件以获取协助。
8	诊断完成后，请禁用故障诊断功能。

相关信息

启动事件查看器

若要查看完全或增量同步期间发生的事件，请启动“事件查看器”。它显示管理事件和错误日志的摘要。

1	从Directory Connector转至仪表板，然后单击操作 > 启动事件查看器。 “事件属性”对话将显示同步事件详细信息与错误详细信息。
2	从事件查看器，转至应用程序和服务日志 > Cisco Directory Connector。
3	在操作下，单击保存所有事件为将所有日志导出为单个事件文件(*。evtx)或其他格式（如xml或csv）。

下一步

如果您需要打开案例，请联系支持人员，描述连接器的问题，然后将“事件”文件附加到案例中。

事件日志会捕捉用户操作。如需管理网络流量的帮助，请在连接器上启用故障排除。

在Internet Explorer中启用TLS

如果您切换了单点登录(SSO)提供商，您可能会看到来自Cisco目录连接器的以下错误消息：

登录到服务时出错
此页脚本中出现错误

如果您看到这些错误，必须在浏览器中启用TLS设置。

1	打开Internet Explorer，然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器，然后再次打开它
2	单击互联网选项，转至高级，滚动至安全。
3	检查使用TLS 1.1 和使用TLS 1.2 复选框，然后单击确定。
4	重新启动系统以便更改生效。

服务帐户登录问题故障诊断

如果您无法登录Cisco目录连接器或无法运行同步，请在联系支持人员之前尝试解决该问题。

1

尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。

2

根据结果选择一项：

如果您无法从浏览器访问该链接，请检查您的网络设置。如果您的环境使用代理，请检查代理设置。
如果您可以通过浏览器访问链接，但无法打开Cisco目录连接器（无法打开连接器并弹出带有407的错误消息），单击此处以获取最新版本的Cisco目录连接器。
如果您可以从浏览器访问链接，但无法从Cisco目录连接器运行同步，请将服务登录帐户更改为域管理员。

检查您用于登录Windows系统的帐户是否与您在“Cisco DirSync服务”中设置的帐户相同。如果他们是2个不同的帐户，请确保两个帐户都可以访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。如果您的环境使用代理，请确保两个帐户在Internet Explorer中配置为代理，并且可以成功访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL 。

3

至少，确保Cisco DirSync服务（可在Windows服务中找到）配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下，该服务利用Windows登录帐户凭据和身份验证。

相关信息

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

Cisco Directory连接器概述

目录连接器概述

Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件，并将其安装到本地计算机上。

使用Directory Connector，您可以在Active Directory中维护您的用户帐户和数据，因此Active Directory成为唯一的真相来源。当您在内部进行更改时，它会复制到云。

请参阅表中所有的功能、描述和优势：

功能	描述和优势
简单易用的控制板	该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。
在同步到云之前进行干燥	在云中实施这些更改之前，先对目录进行干燥。之后，运行报告以查看要执行的变更是否与预期一致。
完全同步和增量同步	同步整个目录。或者，仅同步增量变更，从而提高处理能力并缩短同步时间。
同步多个域（单森林或多森林）	Directory Connector支持单个森林或多个森林下的多个域（无需使用AD LDS）。对于拥有多个Active Directory域的企业，您可以为每个域安装Directory Connector，将每个域绑定到您的组织，然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态，允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。
按计划同步	按天、小时和分钟设置同步安排。
轻量级目录访问协议 (LDAP) 过滤器	定义 LDAP 搜索条件并实现高效的导入。
活动目录属性映射	将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性，并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据，例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据（职务、部门、经理等）。
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录	如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务，或者您拥有内部Room设备，此功能可让用户从Cisco Webex Calling（云PSTN）电话或Room资源搜索企业联系人目录。会议室资源同步协作室信息之后，具有已配置、已映射 SIP 地址的本地协作室设备将作为可搜索条目显示在云注册协作室设备（例如 Cisco Webex Room 设备或 Cisco Webex Board）中。当用户在Cisco Webex Room设备或Cisco Webex板上进行搜索时，您将看到使用SIP地址配置的同步房间条目。当他们将从Webex设备拨打到该条目上时，将将呼叫放置到为房间配置的SIP地址。正在呼叫除了Webex App联系人之外，用户还可以呼叫企业联系人。通过Directory Connector，企业用户及其电话号码会被添加到您的Webex组织。他们不需要为Webex服务获得许可才能使用此功能。未为Webex授权的用户将出现在从Cisco Webex呼叫用户电话执行的目录搜索中，只要通过Directory Connector与Webex同步的URI或电话号码即可。对于这两种用户，呼叫功能的表现是相同的。此功能部件还为只有电话号码的联系人提供了编辑拨号功能。在联系人搜索结果中：如果联系人具有可调用URI（Webex SIP地址）和电话号码，将显示与联系人关联的URI。如果联系人没有可拨号的 URI，但却有电话号码，则显示电话号码。还会显示一个编辑拨号软键。如果这两者联系人都没有，则该联系人不会显示在目录中。
事件查看器	使用事件查看器可确定是否存在同步问题。
诊断工具和故障排除	您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确，您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接，以便在联系支持人员之前自行诊断错误。在Directory Connector中启用故障排除后，将编写日志，可发送给技术支持。
自动升级	安装 Directory Connector 后，您会在软件有新版本时收到通知。您可以设置自动升级，以便在发布新版本时始终使用最新版本的软件。
高可用性	配置多个连接器，以便在主连接器或机器主机出现宕机情况时提供备用。

Directory Connector 分为以下三个部分：

Control Hub 是一个单一界面，可让您管理Webex组织的所有方面：如果您希望用户通过企业身份提供商进行身份验证，并且不想为Webex应用程序发送电子邮件邀请，则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域，您可以为要同步的每个域安装一个软件实例。使用该软件，您可以运行同步以将Active Directory用户帐户带入Webex，查看和监控同步状态，并配置Directory Connector服务。
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。

请参考此图了解Directory Connector架构：

为Directory Connector准备您的环境

目录连接器的要求

Windows和Active Directory要求

您可以在这些受支持的Windows服务器上安装Directory Connector：

Windows Server 2022
Windows Server 2019
Windows Server 2016

要解决Cookie问题，我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。

以下的Active Directory服务支持Directory Connector：

2016年活动目录

（在Windows Server 2019上使用最新版本的Active Directory时，支持目录连接器）
活动目录2012
活动目录2008 R2
活动目录2008

请注意以下附加要求：

目录连接器需要TLS1.2。您必须安装以下内容：
- .NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题，请使用使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
- .NET Framework v.4.5（TLS1.2必需）
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。（请参阅什么是 Active Directory 功能级别？获取更多信息。）

硬件要求

您必须在符合以下最低硬件要求的计算机上安装Directory Connector：

8 GB RAM
50 GB 存储
CPU 没有最低要求

网络要求

如果您的网络是防火墙的幕后，请确保您的系统有HTTPS（端口443）访问互联网。

Webex组织要求

要从Control Hub访问Directory Connector软件，您需要试用Webex组织或任何付费订阅。
（可选）如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态，我们建议您执行以下操作：
- 添加、验证并选择声称包含要同步到云的用户电子邮件地址的域。
- 将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成。
- 抑制自动电子邮件邀请，这样新用户就不会收到自动电子邮件邀请，您可以进行自己的电子邮件活动。（此功能需要SSO集成。）

有关详细信息，请参阅控制中心中的用户状态和操作。

安装要求

对于多个域环境（单森林或多森林），必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保您有受支持的独立 Windows Server 来安装 Directory Connector，以进行域 (B) 同步。
要登录连接器，我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。

此本地用户必须拥有该Windows计算机上的权限，才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。（此信息也适用于虚拟机登录。）
登录连接器时，登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下，连接器使用本地系统帐户访问Active Directory。但是，您可以使用Windows服务配置其他帐户以访问Active Directory。（此信息也适用于虚拟机登录。）
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用：在Windows注册表中检查SafeDllSearchMode。
如果您在单个森林上使用多个AD LDS域，我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。

多个域要求

在 Cisco目录连接器部署任务流中跟踪任务之前，如果您要将多个域的Active Directory信息同步到云中，请记住以下要求和建议：

每个域需要单独的Directory Connector实例。
Directory Connector软件必须运行在其将同步的同一域上的主机。
我们建议您在Control Hub中验证或声明您的域。（参见添加、验证和申请域。）
如果要同步超过50个域，您必须打开标签才能让您的组织移动到大型组织列表。
如果需要，您可以与用户帐户同步房间资源信息。（请参阅将内部会议室信息同步到Webex云。）

自动许可证分配活动目录组建议

Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。

Active Directory中有两种类型的组：

分发组—用于创建电子邮件分发列表。
安全组-用于分配共享资源的权限。

活动目录组类型

在Active Directory中创建组时，请考虑以下指导原则：

为每个角色、部门或服务创建全球组（例如销售、营销、经理、会计师、Webex授权等）。
在整个组织中使用标准命名规范，以便轻松识别有关组的重要信息。组名称可以包含组的详细信息，例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如，组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
以易于理解的方式组织群组，例如按地域或管理层次。使用组描述来完整描述组的目的。
在将用户添加到新配置的组之前，请为这些组在Control Hub中定义自动许可证组模板。有关详细信息，请参阅设置自动许可证分配模板。

调整尺寸信息

Directory Connector是本地Active Directory和Webex云之间的桥梁。因此，连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定，而不是连接器本身。

一些因素会影响同步的速度：

Active Directory对象的总数。（5,000个用户同步工作所需的时间不超过50,000。）
网络速度和带宽。
系统工作负载和规格。

如果您正在同步超过50,000个用户，我们强烈建议您使用第二个连接器进行故障转移和冗余。

由于同步涉及多个因素，并且每个部署取决于上述因素，因此我们无法提供对象同步所需时间的特定时间值。

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

WebEx 代理集成

如果您的环境中已启用 Web 代理验证，则您仍然可用使用 Directory Connector。

如果您的组织使用透明Web代理，则不支持身份验证。连接器已成功连接和同步用户。

您可以选择下列方法之一：

通过Internet Explorer显式Web代理（连接器继承了Web代理设置）
通过。pac文件显式网络代理（连接器继承企业特定的代理设置）
与连接器配合的透明代理，无需任何更改

通过浏览器使用 Web 代理

您可以通过Internet Explorer设置Directory Connector以使用Web代理。

如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行，那么您还需要用此帐户登录并配置 Web 代理。

1	在 Internet Explorer 中，转至 Internet 选项，单击连接，然后选择局域网 (LAN) 设置。
2	指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。
3	如果环境使用代理验证，请将这些 URL 添加到允许列表： cloudconnector.webex.com 用于同步。 idbroker.webex.com 进行身份验证。 idbroker-static.webex.com 用于提供静态资源，如font、js组件等。您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。
4	如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表： .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org 有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

通过 PAC 文件配置 Web 代理

您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。

1

要使连接器成功连接并同步用户信息到Webex云，请确保安装连接器的主机。pac文件配置中已禁用 cloudconnector.webex.com 的代理身份验证。

2

如果环境使用代理验证，请将这些 URL 添加到允许列表：

cloudconnector.webex.com 用于同步。
idbroker.webex.com 进行身份验证。
idbroker-static.webex.com 用于提供静态资源，如font、js组件等。

您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。

如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。

3

如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表：

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

NTLM代理

Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证，并确保其安全。

NTLM设计

在大多数情况下，用户希望通过客户端PC访问其他工作站资源，这很难以安全的方式进行。

一般来说，NTLM的技术设计基于挑战和响应机制：

用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同，密码的哈希值在本地存储。当用户通过密码登录客户端时，Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同，则验证将通过。

当用户想要访问其他服务器中的任何资源时，客户端会向服务器发送一个请求，帐户名称为纯文本。
当服务器收到请求时，服务器会生成16位随机密钥。关键称为Challenge（或Nonce）。在服务器返回客户端之前，挑战将存储在服务器中。然后，服务器将挑战以纯文本形式发送给客户端。
客户端收到服务器发送的挑战后，客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后，该值将返回到服务器。
当服务器从客户端收到加密值时，服务器将其发送到域控制器进行验证。请求包括：帐户名称、客户端发送的加密挑战，以及原始的简单挑战。
域控制器可以根据帐户名称检索密码的哈希值。然后，域控制器可以对原始挑战进行加密。然后，域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同，验证将成功。

Windows在操作系统中内置了安全验证，使应用程序更容易支持安全验证。因此，您无需完成进一步的配置。

配置透明代理

在这种情境下，浏览器不会知道透明 Web 代理正在拦截 http 请求（端口 80/端口 443），因此不需要客户端配置。

1	部署透明代理，以便连接器可以连接和同步用户。
2	确认代理已成功—启动连接器时，您会看到预期的浏览器身份验证弹出窗口。

设置代理身份验证

通过创建访问控制列表，将URL cloudconnector.webex.com 添加到允许列表中。

在企业防火墙服务器上：

1	如果尚未启用 DNS 查找，请启用。
2	确定此连接的估计带宽（连接器约为2 mb/s或以下）。这不是必须执行的步骤。
3	创建访问控制列表以应用于连接器主机，并指定 `cloudconnector.webex.com` 作为要添加到允许列表的终端。例如： `access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https`
4	将此ACL应用于相应的防火墙接口，该接口仅适用于此单个连接器主持人。
5	通过配置相应的隐式拒绝声明，确保企业中的其他主机仍需使用 Web 代理。

部署目录连接器

Cisco目录连接器部署任务流程

准备工作

1	安装 Directory Connector Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。要重新安装Directory Connector，请始终转至Control Hub (https：//admin.webex.com)获取软件的最新版本，以便您使用最新的功能和故障修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
2	登录 Directory Connector 使用您的Webex管理员凭据登录，并执行初始设置。
3	设置自动升级将Directory Connector软件更新到最新版本始终非常重要。我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。
4	选择要同步的Active Directory对象默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
5	映射用户属性您可以将本地 Active Directory 的属性映射到云端的对应属性。唯一的必填字段是“*uid”。
6	使用以下程序之一同步目录头像：将Active Directory属性中的目录头像同步到云将目录头像从资源服务器同步到云您可以将用户的头像同步到云端，这样每个用户在登录应用程序时都可以看到其头像。您可以从Active Directory属性或资源服务器同步化头像。
7	将内部会议室信息同步到Webex云使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备（例如Webex Room设备或Cisco Webex Board）上的可搜索条目
8	要从Active Directory向Control Hub提供用户，请执行以下步骤：在您的Active Directory用户上执行干线同步将Active Directory用户完全同步到云向Control Hub中的Directory同步用户分配Webex服务按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

安装 Directory Connector

Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。

您必须为要同步的每个Active Directory域安装一个连接器。单个目录连接器实例只能服务单个域。请参阅下图了解多个域同步的流程：

准备工作

如果您通过代理服务器进行身份验证，请确保您拥有代理凭据：

对于代理基本身份验证，安装连接器的实例后，您将输入用户名和密码。基本身份验证也需要Internet Explorer代理配置；请参阅通过浏览器使用Web代理
对于代理NTLM，第一次打开连接器时可能会看到错误。请参阅通过浏览器使用Web代理。

1	在控制中心中，转至用户 > 管理用户 > 启用目录同步，然后选择下一步。
2	单击下载和安装链接，将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。您可以直接从此链接获取。zip文件，但必须对Control Hub组织的完整管理访问权限才能使用此软件。对于新安装，请获取软件的最新版本，以便使用最新的功能和bug修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
3	在VMware或Windows服务器上，解压缩并在设置文件夹中运行。msi文件，以启动设置向导。
4	单击下一步，勾选框以接受许可协议，然后单击下一步，直到您看到帐户类型屏幕。
5	选择您要使用的服务帐户类型，然后使用管理帐户执行安装：本地系统 - 缺省选项。如果您已经通过 Internet Explorer 配置了代理，可以使用此选项。域帐户 - 如果计算机是域的一部分，请使用此选项。 Directory Connector 必须与网络服务交互才能访问域资源。您可以输入帐户信息，然后单击确定。输入用户名时，请使用格式 `{domain}\{user_name}` 对于与 AD 集成的代理（NTLMv2 或 Kerberos），必须使用域帐户选项。用于运行 Directory Connector 服务的帐户必须有足以通过代理和访问 AD 的权限。要避免错误，请确保具有以下权限：服务器是域的一部分域帐户可以访问内部AD数据和头像数据。该帐户还必须有本地管理员角色，因为它必须访问 `C:\Program Files` 中的文件。对于虚拟机登录，管理员帐户权限至少必须能够读取域信息。
6	单击安装。网络测试运行后，如果出现提示，输入您的代理基本凭证，单击确定，然后单击完成。

下一步

我们建议您在安装后重新启动服务器。当数据未发布时，干运行报告无法显示正确结果。重启计算机时，所有数据都会刷新以在报告中显示准确结果。

登录 Directory Connector

准备工作

确保您拥有代理凭据。

对于Proxy basic-auth，第一次打开连接器后将输入用户名和密码。
对于代理NTLM，打开Internet Explorer，单击齿轮图标，转至 Internet选项>连接> LAN设置，确保已添加代理服务器信息，然后单击确定。请参阅通过浏览器使用Web代理。

1	打开连接器，如果看到提示，则将 `https：//idbroker.webex.com` 添加到您的受信任站点列表。
2	如果出现提示，请使用代理身份验证凭据登录，然后使用您的管理员帐户登录Webex，然后单击下一步。
3	确认组织和域。如果您选择 AD DS，请检查 SSL上的LDAP 以使用安全LDAP (LDAPS)作为连接协议，选择要同步的域，然后单击确认。如果您未通过 SSL检查LDAP，DirSync将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。 LDAPS通信经过加密且安全。如果您选择 AD LDS，请输入主机、域和端口，然后单击刷新按钮以加载所有应用程序分区。然后从下拉列表中选择分区并单击“确认”。请参阅 AD LDS 部分了解更多信息。在 CloudConnectorCommon.dll 配置文件中，请确保将 ADAuthLevel 设置添加到 appSetting 节点。值可以是1、2或3。请参阅来自Microsoft的这篇文章，了解有关AuthenticationTypes的更多信息。以下是值为1的设置示例： `<appSettings> <add key=”ConnectorServiceURI” value="https：//cloudconnector.webex.com/SynchronizationService-v1.0/？orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	在确认组织屏幕出现后，单击确认。如果您此前已绑定 AD DS/AD LDS，将出现确认组织屏幕。
5	单击“确认”。
6	根据您要绑定到 Directory Connector 的 Active Directory 域数量选择一项：如果您只有一个 AD LDS 域，则绑定到现有 AD LDS 源，然后单击确认。如果您只有一个 AD DS 域，则绑定到现有域或新域。如果您选择绑定到新域，单击下一步。因为现有的源类型是 AD DS，所以不能为新的绑定选择 AD LDS。如果您有多个域，请从列表中选择一个现有域，或选择绑定到新域，然后单击下一步。因为您有多个域，所以现有源类型必须是 AD DS。如果您选择绑定到新域并单击下一步，则不能为新的绑定选择 AD LDS。

下一步

登录后，系统提示您执行干运行同步。

Directory Connector 控制板

首次登录 Directory Connector 时，将显示控制板。您可以在此处查看所有同步活动的摘要及云统计信息、执行测试同步、开始完全或增量同步并启动事件视图以查看错误信息。

如果会话超时，请重新登录。

您可以从操作工具栏或操作菜单中轻松运行这些任务。

表 1. 控制板组件
组件	描述
当前同步	显示与当前进行的同步有关的状态信息。无正在运行的同步时，状态显示为“空闲”。
下次同步	显示安排的下次完全和增量同步。如果未设置安排，则显示“未安排”。
上次同步	显示上两次执行的同步的状态。
当前同步状态	显示同步的整体状态。
连接器	显示云当前可用的内建连接器。
云统计信息	显示同步的整体状态。
同步安排	显示增量与完全同步的同步安排。
配置摘要	列示您在配置中已更改的设置。例如，该摘要可能包含以下内容：将同步所有对象将同步所有用户已禁用被删除的阈值。

表 2. 操作工具栏
操作	描述
开始增量同步	手动启动增量同步暂停或禁用同步时，如果未完成完全同步或同步正在进行中，则此操作将禁用。
同步测试	执行测试同步。
启动事件查看器	启动 Microsoft 事件查看器。
刷新	刷新Cisco目录连接器仪表板

表3。操作菜单栏
操作	描述
立即同步	立即开始完全同步。
同步模式	选择增量或完全同步模式。
重设连接器保密信息	在Cisco目录连接器和连接器服务之间建立对话。选择此操作将重设云中的保密信息，然后在本地保存该保密信息。
排练	执行同步过程测试。在进行完全同步之前必须执行测试。
疑难解答	打开/关闭故障诊断。
刷新	刷新Cisco目录连接器主屏幕。
退出	退出Cisco目录连接器。

表 4. 组合键
组合键	操作
Alt + A	显示“操作”菜单
`Alt +A + S`	立即同步
`Alt +A + R`	重设连接器保密信息
`Alt +A + D`	测试
`Alt +A + S + I`	增量同步
`Alt +A + S + F`	完全同步
`Alt + H`	显示“帮助”菜单
`Alt + H + H`	帮助
`Alt + H + A`	关于
`Alt + H + F`	常见问题解答

设置自动升级

1	从Directory Connector，转至配置 > 通用，然后检查自动升级到新的Cisco Directory Connector版本。
2	单击应用以保存您所做的更改。

新版本的连接器可用时将自动安装。

您可以手动管理升级（如果您愿意）。有关更多信息，请参阅升级至最新软件版本。

选择要同步的Active Directory对象

默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。

自动许可证分配组

Control Hub允许您按组管理许可证分配。您可以创建许可证模板，并将其映射到同步到云的Active Directory组。在用户创建时，Webex检查该新用户的用户会员身份和自动许可证模板映射。

我们建议您使用LDAP过滤器仅将相关组同步到云。例如，您可以将过滤器设置为：

(&（cn=示例）（objectclass=组）)*

此过滤器将以Example开头的基础DN中的所有组同步。未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。

目录连接器中的对象选择屏幕

混合数据安全部署组

在Directory Connector中，如果您使用混合数据安全为试点用户配置试用组，则必须检查组。请参阅混合数据安全部署指南获得指导。此目录连接器设置不会影响云中的其他用户同步。

准备工作

1	在 Directory Connector 中，转至配置，然后单击对象选择。
2	在对象类型部分中，检查用户，并考虑限制用户可搜索容器的数量。例如，如果您想仅同步特定组中的用户，必须在用户LDAP过滤器字段中输入LDAP过滤器。如果要同步示例管理器组中的用户，请使用以下过滤器： `(&(sAMAccountName=*)(memberOf=cn=Example-manager，ou=Example，ou=Security Group，dc=COMPANY))`
3	检查识别房间以将房间数据与用户数据分开。要设置其他属性，将用户数据识别为房间数据，请单击自定义。如果要将内部会议室信息从Active Directory同步到Webex云时，请使用此设置。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。有关详细信息，请参阅将内部会议室信息同步到Webex云。
4	要将Active Directory用户组同步到云，请检查组。不要向“组”字段添加用户同步LDAP筛选器。您仅应使用“组”字段将组数据本身同步到云。默认情况下，组不会为新客户同步。必须启用组同步。还必须同步安全组。
5	如果要将用户的联系信息同步到云，请检查联系人。目录连接器仅管理由连接器同步的联系人。如果Control Hub中已经有联系人，则同步不会删除联系人。如果从同步范围中删除联系人，则在Control Hub中也会删除用户的联系信息。
6	配置 LDAP 过滤器。您可以通过提供有效的 LDAP 过滤器来添加扩展的过滤器。有关配置LDAP过滤器的更多信息，请参阅本文。
7	单击选择以查看Active Directory树结构，指定要同步的On Premises Base DN。您可以在此选择或取消选择要搜索的容器。
8	勾选您要在此次配置中添加的对象，然后单击“选择”。您可以选择单个容器或父容器以用于同步。选择父容器时会自动选中其所有子容器。如果选择子容器，父容器会显示灰色复选标记，说明其下勾选了子容器。然后，您可以单击“选择”以接受勾选的 Active Directory 容器。如果贵组织将所有的用户和组都放在“用户”容器中，则不需要搜索其他容器。如果贵组织划分为多个组织单元，务必选择 OU。
9	单击 Apply（应用）。选择一个选项：应用配置更改排练取消有关干运行的信息，请参阅在Active Directory用户上执行干运行同步。对于组同步，您必须执行完整同步：将Active Directory用户完全同步到云中。

映射用户属性

您可以将本地 Active Directory 的属性映射到云端的对应属性。唯一的必填字段是*uid，这是云身份服务中每个用户帐户的唯一标识符。

您可以选择要映射到云的Active Directory属性—例如，您可以映射到Active Directory中的 firstName lastName，或将自定义属性表达式映射到云中的 displayName。

Active Directory 中的帐户必须具有电子邮件地址；缺省情况下，uid 会映射到邮件的 ad 字段（非 sAMAccountName）。

如果您选择使用首选语言来自Active Directory，则Active Directory是唯一的真理来源：用户将无法在Webex设置中更改其语言设置，管理员也无法在Control Hub中更改设置。

1	在 Directory Connector 中，单击配置，然后选择用户属性映射。此页显示Active Directory（左侧）和Webex云（右侧）的属性名称。所有必需属性都标有红色星号。
2	向下滚动到 Active Directory属性名称的底部，然后选择其中一个Active Directory属性以映射到云属性uid：邮件—大多数部署用于电子邮件格式。 userPrincipalName—如果您的邮件属性在Active Directory中用于其他用途，则可选择此选项。此属性必须为电子邮件格式。您可以将其他Active Directory属性映射到uid，但我们建议您使用上述指南中的邮件或userPrincipalName。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。要查看Active Directory中的哪些属性与云中的对应关系，请参阅在Directory Connector中映射Active Directory属性。要使同步工作，您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口，以提醒您，如果您没有选择推荐的属性。
3	如果预定义的Active Directory属性不适用于部署，请单击属性下拉菜单，滚动到底部，然后选择自定义属性以打开一个窗口来定义属性表达式。单击帮助以获取有关表达式的更多信息，并查看表达式如何工作的示例。您还可以查看自定义属性的表达式以了解更多信息。在此示例中，我们将将Active Directory属性 `givenName` 和 `Sn` 映射到云属性 `displayName`：将属性表达式定义为givenName + "" + Sn（引号为额外空间），然后提供现有的用户电子邮件以进行验证。单击验证，查看结果是否符合您的期望。成功结果如下：如果结果符合您的预期，请单击确定保存新的自定义属性。稍后，如果您要更改 displayName，可以输入新的属性表达式 Directory Connector验证身份服务中的uid的属性值，并在当前用户过滤选项下检索3个可用用户。如果所有3个用户都具有有效的电子邮件格式，则Cisco Directory Connector将显示以下消息：如果无法验证属性，您将看到以下警告，并可以返回到Active Directory以检查和修复用户数据：
4	（可选）如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中，选择手机和电话号码的映射。当用户将鼠标悬停在另一个用户的档案照片上时，电话号码数据会显示在Webex应用程序中。有关从用户联系人卡呼叫的更多信息，请参阅在Webex (Unified CM)部署指南（管理员）。
5	选择其他映射以显示在联系人卡中的更多数据： `departmentNumber` `displayName` `Manager` `标题` 映射属性后，当用户将鼠标悬停在另一个用户的档案图片上时，会显示信息：有关联系卡的更多信息，请参阅验证您的联系人。将这些属性同步到每个用户帐户后，您还可以在Control Hub中打开People Insights。此功能允许Webex App用户在配置文件中共享更多信息，并相互了解。有关该功能以及如何启用该功能的更多信息，请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events（新建）People Insights Profiles
6	选定后单击应用。

Active Directory 中包含的任何用户数据都会覆盖对应于该用户的云端数据。例如，如果您在Control Hub中手动创建用户，则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。在Active Directory中没有相应电子邮件地址的用户将被删除。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

活动目录和云属性

您可以使用“用户属性映射”标签页将本地 Active Directory 的属性映射到云端的对应属性。

此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。这些值和映射是Directory Connector中的默认设置。您可以在Active Directory下拉菜单中选择不同的属性，并确定哪些内部属性与哪个云属性同步。

将下拉菜单属性视为预设。作为Active Directory行中的值的替代，您还可以在Active Directory中指定自定义属性（具有多个属性的表达式）以映射到相应行中的单个云属性。这样，您可以灵活地确定用户的显示名称，例如，您可以添加一个表达式，根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。

您还可以指定任何Active Directory属性，以映射到云中的uid。但是，您必须确保内部属性遵循有效的电子邮件格式。

您还可以使用其他电子邮件地址，例如，如果您想使用userPrincipalName进行登录，但用户的电子邮件地址用于管理他们的日历。在这种情况下，将其他电子邮件地址映射到电子邮件；类型-工作属性。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。

活动目录属性名称	Webex云属性名称	笔记
—	buildingName	—
C	C	此属性指定用户的国家缩写。
departmentNumber	departmentNumber	此属性用于联系人卡和人员见解中显示的用户的部门号码。
displayName	displayName	此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。
userAccountControl	ds-pwp-account-disabled	此属性用于用户同步。确保 userAccountControl 属性映射到 ds-pwp-account-disabled，或者用户未正确同步。
employeeNumber	employeeNumber	—
facsimileTelephoneNumber	facsimileTelephoneNumber	—
—	jabberID	此云属性与Jabber使用的IM地址（XMPP类型）有关。此值与sipAddresses不同。
l	l	此属性指定用户的城市。
—	locale	—
Manager	Manager	此属性用于联系人卡和人员见解中的用户经理名称。
移动设备	移动设备	此属性被用作显示从联系人卡呼叫用户的移动号码。
o	o	此属性指定公司或组织的名称，并显示在联系人卡中。
ou	ou	此属性指定组织单位的名称。
physicalDeliveryOfficeName	physicalDeliveryOfficeName	此属性指定用户的办公位置。
postalCode	postalCode	此属性指定了用于实际邮件交付的用户的邮政或邮政编码。
preferredLanguage	preferredLanguage	此属性设置用户的首选语言，支持以下格式： xx_YY 或 xx-YY。这里是一些示例： en_US、en_GB、fr-CA。如果您使用不受支持的语言或无效的格式，用户的首选语言将更改至为组织设置的语言。
MSRTCSIP-主要用户地址 ipPhone	SipAddresses；type=enterprise	此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。
sn	sn	此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。
st	st	此属性指定用户的状态或省。
streetAddress	street	此属性指定用于实际邮件递送的用户的街道地址。
telephoneNumber	telephoneNumber	此属性指定用于从联系人卡呼叫用户的主要（工作）电话号码。
—	timezone	此云属性指定用户的时区。
标题	标题	此属性指定联系人卡和人员见解中出现的用户标题。
type	enterprise	—
mail 用户主要名称	uid	强制性的属性映射。对于每个用户帐户，Active Directory值映射到云中的唯一的UID。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。然后用户可以使用这两个电子邮件地址之一登录，只要正确的 SAML属性映射就行了。请参阅下面的示例属性映射，了解如何映射替代电子邮件地址。
用户主要名称 mail <自定义属性>	电子邮件；类型工作	此映射是可选的，如果您想使用其他电子邮件地址，请使用此映射。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。
<Azure用户对象Id的新属性>	externalId	创建新的Active Directory属性以保留Azure用户对象ID，使其不会与现有的ID冲突。此属性随后映射到externalId属性，确保Webex用户在Microsoft 365中创建群组时，会自动在Webex中创建群组。

替代电子邮件地址映射

自定义属性的表达式

表 5. 自定义属性的表达式
接线员	描述和示例
%	如果匹配，将字符串开头的所有字符删除到字符或字符串参数的位置。示例表达式 `"abc@example.com" % "@"` 结果 `example.com`
-	从指定字符串的末端剥离输入字符串的背部。示例表达式 `"abc@example.com" - "@"` 结果 `abc`
+	连接输入字符串或表达式。示例表达式 `"abc" +" + "def"` 结果 `abc def`
\|	根据空字符串评估分隔表达式，并选择第一个非空结果。示例表达式 `“” \| “abc”` 结果 `abc`

将Active Directory属性中的目录头像同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序同步来自Active Directory属性的原始头像数据。

1	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2	对于从获取头像，选择AD属性，然后选择头像属性，其中包含要同步到云的原始头像数据。
3	要验证头像是否正确访问，请输入用户的电子邮件地址，然后单击获取用户头像。头像出现在右侧。
4	验证头像显示正确后，单击应用保存更改。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将目录头像从资源服务器同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序从资源服务器同步化头像。

准备工作

此过程中的 URI 模式和变量值都是示例。您必须使用目录头像所在位置的实际 URL。
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。连接器需要http或https访问图像，但图像不需要在互联网上公开访问。
头像数据同步与Active Directory用户配置文件分开。如果您运行代理，必须确保NTLM身份验证或基本身份验证可以访问头像数据。

1	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2	对于从获取头像，选择资源服务器，然后输入头像URI模式—例如，*`http：//www.example.com/dir/photo/zoom/{mail： .?(?=@.)}.jpg`* 让我们来看看阿凡达URI模式的每个部分及其含义： http：//www.example.com/dir/photo/zoom/—将同步的所有照片所在的路径。它必须是服务器上的Directory Connector服务必须能够访问的URL。邮件：—告诉Directory Connector从Active Directory获取邮件属性的值 .?(?=@.)—执行以下功能的regex语法： *`。—任何字符，重复零或多次重复。` `？—告诉前一个变量以匹配尽可能少的字符。` `(?= ... )—匹配主表达式之后的组，但结果中不包含该组。目录连接器查找匹配并且不包含在输出中。` `@。—在at符号，然后是任意字符，重复零或多次重复。`* `.jpg—用户头像的文件扩展名。查看本文档中支持的文件类型，并相应更改扩展名。`
3	（可选）如果您的资源服务器需要凭证，请检查为头像设置用户凭证，然后选择使用当前服务登录用户或使用此用户并输入密码。
4	输入变量值 - 例如： `abcd@example.com。`
5	单击测试以确保头像URI模式正常工作。在此示例中，如果一个AD条目的邮件值为 `abcd@example.com`，并且jpg图像正在同步，则最终阿凡达URI 为 `http：//www.example.com/dir/photo/zoom/abcd.jpg`
6	验证了URI信息并看起来正确后，单击应用。有关如何使用正则表达式的详细信息，请参阅《Microsoft 正则表达式语言快速参考》。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将内部会议室信息同步到Webex云

使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的Webex设备（房间、桌面和板）上的可搜索条目。

1	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择对象选择。
2	检查将房间信息同步到云，在同步过程中将房间数据与用户数据分开。禁用此设置时，将以与用户同步数据相同的方式处理会议室数据。
3	转至属性映射，然后更改云属性的属性映射sipAddresses；type=enterprise。要使用值验证，SIP地址的值应为Pattern.compile("^([^@])(.)@(.)$") 如果可用，选择 MSRTCSIP-PrimaryUserAddress。如果您在Active Directory模式中没有上述属性，请使用其他字段，例如 ipPhone。
4	在Exchange中创建会议室资源邮箱。这将添加连接器用于识别房间的 msExchResourceMetaData；ResourceType：Room 属性。
5	从Active Directory用户和计算机，导航到并编辑会议室的属性。使用sip的前缀添加完全合格SIP URI：
6	在连接器中执行干运行同步，然后执行完整运行同步。新会议室对象列出已添加对象，匹配的会议室对象将显示在已匹配对象中。任何标记要删除的房间对象都位于已删除的房间下。干运行结果显示所有匹配的房间资源。此设置将Active Directory房间数据（包括房间属性）与用户数据分离。同步完成后，连接器仪表板上的云统计数据将显示与云同步的房间数据。

下一步

现在您已完成这些步骤，当您在Webex云注册设备上搜索时，您将看到使用SIP地址配置的同步房间条目。当您将Webex设备拨入该条目时，将呼叫放置到为房间配置的SIP地址。

从Control Hub，您可以自动从目录导入会议室并创建工作空间。

端点无法将呼叫回传回至Webex应用程序。对于测试拨号设备，这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。如果您正在搜索的Active Directory会议室系统已注册到Webex，并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上，则搜索结果不会显示重复条目。在Webex应用程序中直接拨打Room、Desk或Board设备，不会进行SIP呼叫。

在目录同步结果上发送电子邮件报告

默认情况下，组织联系人或管理员始终都会收到电子邮件通知。使用此设置，您可以自定义谁应该接收总结目录同步报告的电子邮件通知。

1	从Directory Connector，单击配置，然后选择通知。
2	从Directory Connector中，单击设置，然后单击电子邮件接收器旁边的切换启用报告同步。
3	如果要覆盖默认通知行为并添加一个或多个电子邮件收件人，请选择启用通知。
4	单击添加，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
5	单击添加电子邮件，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
6	如果您需要编辑您输入的任何电子邮件地址，请双击左侧列中的电子邮件条目，然后进行所需的任何更改。
7	添加所有有效电子邮件地址后，单击应用。
8	添加所有有效电子邮件地址后，单击保存。

下一步

如果您决定删除电子邮件地址，您可以单击电子邮件以突出显示该条目，然后单击删除。

如果您决定删除电子邮件地址，可以单击特定电子邮件地址条目旁边的删除。

从Active Directory向Control Hub提供用户

按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。在安装每个域的Directory Connector后，您可以从多个域Active Directory部署（包含单个森林或多个森林）提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

1	在您的Active Directory用户上执行干线同步执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
2	将Active Directory用户完全同步到云在您运行完全同步时，连接器服务将所有已过滤对象从 Active Directory (AD) 发送至云。然后，连接器服务将您的 AD 条目更新到身份存储库中。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。
3	向Control Hub中的Directory同步用户分配Webex服务完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用各种方法分配Webex服务许可证。我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。您还可以在此初始步骤后进行个人更改。

在您的Active Directory用户上执行干线同步

执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。

在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。使用Directory Connector，目标是在Active Directory和Webex云之间实现精确匹配。

如果您在单个森林或多个森林中拥有多个域，则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。

准备工作

在使用Directory Connector之前，您可能已经在Control Hub中拥有一些Webex应用程序用户。在云中的用户中，有些用户可能会与本地Active Directory对象匹配，并为服务分配许可证。但有些测试用户可能是在进行同步时要删除。您必须在Active Directory和Control Hub之间创建完全匹配。

1	选择一种：首次登录后，单击提示符上的是以执行干运行。如果您错过了执行干运行的提醒，请随时从Directory Connector单击仪表板，选择同步干运行，然后单击确定以开始干运行同步。当干运行完成时，您将看到以下结果之一： *在目录连接器中检测到不匹配的对象* *Dry Run报告结果和目录连接器中的不匹配对象摘要* 摘要包含有关对象匹配的信息：匹配对象 -在Webex Common Identity中并且还存在在Active Directory域中的用户，如someuser@cisco.com与Webex同步并显示在Control Hub中，并且同一用户(someuser@cisco.com)在Active Directory中存在。这意味着用户已匹配。不匹配对象 -在Webex中使用的用户，无论该用户是如何在Common Identity中添加的，但在Active Directory中不存在该用户。它被称为“不匹配对象”。例如，如果someuser@cisco.com在Webex中同步并显示在Control Hub中，但同一用户(someuser@cisco.com)未由Active Directory管理，则报告显示该用户不匹配。干运行通过比较与域用户来识别用户。如果用户属于当前域，应用程序可以识别用户。在下一步，您必须决定是删除对象还是保留它们。不匹配的对象已在Webex云中存在，但在内部Active Directory中不存在。
2	查看干运行结果，然后根据您使用单个域还是多个域选择一个选项：单一域—确定是否要保留不匹配的用户。如果要保留它们，请选择否，请选择是，删除对象。在您执行这些步骤并手动运行完整同步后，以便本地和云之间精确匹配，Directory Connector将自动启用已安排的自动同步任务。多个域—对于具有域A和域B的组织，首先对域A进行干燥。如果您想保留不匹配用户，请选择否，保留对象。（这些不匹配的用户可能是域B的成员。）如果要删除，请选择是，删除对象。如果您保留用户，请先为Domain A运行完整同步，然后为Domain B运行干燥。如果仍然有不匹配的用户，请在Active Directory中添加这些用户，然后为Domain B进行完整同步。当内部与云之间存在完全匹配时，Directory Connector将自动启用已安排的自动同步任务。
3	在确认干运行提示符中，单击是重执行干运行同步并查看仪表板以查看结果。在干运行中成功同步的所有帐户都出现在匹配对象下。如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户，则该条目在已删除用户下列出。为了避免此删除标记，您可以在 Active Directory 中添加使用相同电子邮件地址的用户。若要查看已同步项目的详细信息，请单击特定项目的相应标签页或已匹配对象。若要保存摘要信息，请单击“将结果保存至文件”。
4	如果预期结果，请转至操作 > 同步模式 > 启用同步，然后单击立即启用进行手动同步，并在此处设置手动模式。在多个域部署中的最后一个Active Directory域进行同步后，必须为Directory Connector启用自动模式。只有当对象在Webex云和所有内部活动目录之间完全匹配时，您才可以启用自动模式。

下一步

对于您保留的任何不匹配的用户对象，您必须将其添加到Active Directory，以便在内部和云之间实现完全匹配。
选择同步类型：
- 首次将新用户同步到云时，将Active Directory用户完全同步到云中。您通过操作 > 立即同步 > 完整进行操作，然后将同步当前域中的用户。
- 设置连接器计划并在运行完整同步后运行增量同步，如果要在初始同步后检索更改。建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
  
  默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。
如果您有多个域，请在已安装的任何其他目录连接器上重复这些步骤。

注意事项

启用完全同步之前或更改同步参数时执行干运行。如果测试是由配置更改而引起的，可以在测试完成后保存设置。如果您已手动添加用户，执行Active Directory同步可能会导致以前添加的用户被删除。您可以在完全同步到云之前检查Directory Connector Dry Run报告，以验证所有预期用户都存在。

如果匹配的用户被标记为要删除，并且您不确定如何继续，请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

将Active Directory用户完全同步到云

在您运行完全同步时，连接器服务将所有已过滤对象从 Active Directory (AD) 发送至云。然后，连接器服务将您的 AD 条目更新到身份存储库中。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。

如果您有多个域，则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。

目录连接器同步用户帐户状态—在Active Directory中，任何被标记为禁用的用户在云中也会显示为非活动。

准备工作

如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态，则必须执行以下步骤以绕过电子邮件验证：
- 将单点登录与Webex组织集成。请参阅使用Cisco Webex Services和您的组织的身份提供商进行单点登录以了解更多信息。
- 使用Control Hub验证并选择声称电子邮件地址中包含的域。请参阅添加、验证和声明域。
- 抑制自动电子邮件邀请，这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。（您可以进行自己的电子邮件活动。）
  
  尚未登录的已激活用户在Control Hub中显示已验证状态。登录后，他们将显示为“活动”状态。有关用户状态的详细信息，请参阅 Cisco Webex Control Hub 中的用户状态和操作。
启用同步时，Directory Connector要求您先执行干运行。我们建议您在完全同步之前进行干运行，以发现任何潜在的错误。
在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。

如果您不使用自动分配许可证模板，新同步的用户会自动获得免费许可证。他们将能够使用与免费帐户的相同的免费功能。

1	选择一种：首次登录后，如果干运行已完成并且所有域看起来正确，请单击立即启用以允许自动同步发生。从Directory Connector，转至仪表板，单击操作，选择同步模式>启用同步，然后单击立即同步>完整开始同步。
2	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择完全同步。
3	确认同步的开始。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序会在您执行同步后72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，最后同步和云统计部分将使用新信息更新。用户数据同步到云。如果同步期间发生错误，状态指示球将变为红色。
4	要更新同步状态，请单击刷新。（同步项目出现在云统计下。）
5	有关错误的信息，请从操作工具栏选择启动事件查看器以查看错误日志。
6	要设置持续增量同步到云的同步计划，请参阅设置连接器计划和运行增量同步。

完成完全同步后，在Control Hub的设置页面上，目录同步状态将从禁用更新至操作。
当所有数据在内部和云之间匹配时，Directory Connector将从手动模式更改为自动同步模式。
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件，否则Webex应用程序用户帐户将保持未验证状态，直到用户首次登录Webex应用程序以确认其帐户。请参阅“开始之前”部分，了解如何将帐户同步为活动用户的指导。
如果您有多个域，请在已安装的任何其他目录连接器上执行此步骤。同步后，您添加的所有域上的用户都会在Control Hub中列出。
如果您将单点登录与Webex集成，并且已删除的电子邮件通知，则电子邮件邀请不会发送给新同步的用户。
启用目录连接器后，您无法在Control Hub中手动添加用户。启用后，从Cisco目录连接器执行用户管理，而Active Directory是唯一的真理源。
您同步的任何组都出现在Control Hub中，并且您可以分配许可证模板，以便该组中的用户获得许可证。

下一步

当您从Active Directory中删除用户时，该用户将在下次同步后被软删除。用户处于非活动状态，但云身份档案将保留七天（以便从意外删除中恢复）。

如果您在Active Directory中检查帐户已禁用，则下次同步后该用户将变为非活动。云身份档案七天后不会删除，以防要再次启用用户。
注意增量同步的这些异常（请按照上面的完整同步步骤操作）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。

向Control Hub中的Directory同步用户分配Webex服务

完成从Cisco目录连接器到Control Hub的完整用户同步后，您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证，或者如果您已经配置了自动分配的许可证模板，则向新用户添加其他许可证。您可以在此初始步骤后更改个人用户帐户。

完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证（如果您已经配置了自动分配许可证模板）。您可以在此初始步骤后更改个人用户帐户。

当您向Webex应用程序用户分配许可证时，该用户默认会收到一封确认分配的电子邮件。该电子邮件由Control Hub中的通知服务发送。如果您将单点登录(SSO)与Webex组织集成，则如果您更愿意直接联系用户，您也可以删除这些自动电子邮件通知。

准备工作

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
在Active Directory用户上执行干运行同步。
确认干运行结果后，在Active Directory用户上进行完全同步。

在完全同步时，用户在云中创建，不添加服务分配，也不发送激活电子邮件。如果电子邮件未被抑制，新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。

1

从 https：//admin.webex.com 中的客户视图，转至管理 > 用户，单击管理用户，选择修改所有同步用户，然后单击下一步。

2

选择一个选项：

下一步

如果电子邮件没有被抑制，将向每个用户发送电子邮件，并邀请其加入和下载Webex。
如果您为所有用户选择了相同的Webex服务，那么您可以单独或批量更改分配的许可证。

相关信息

目录连接器的已知问题

2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。此问题已在 2012 R2 和 2016版本中得到解决。
对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。

您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间，此时呼叫将无限响起。

管理Webex应用程序用户

运行增量同步

增量同步会查询 Active Directory，查找自上次同步以来发生的更改。然后，此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。

此同步不会给服务器带来那么多的负载，也不需要像完全同步那样多的时间。完成初始完整同步后，我们建议为后续同步使用增量选项。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
注意不支持增量同步的以下异常（请遵循将Active Directory用户完全同步到云中）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 对于属性映射、基本DN、过滤器和头像设置的新配置更改，增量同步无法工作，需要完全同步。

1	从 Directory Connector 中，单击控制板。启用同步时，Directory Connector 将要求您首先执行测试。
2	从操作中，如果尚未启用，单击同步模式>启用同步。默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。当新的增量时间间隔出现时，程序会根据最后一个时间标识检查更改。
3	从操作中，单击立即同步 > 增量。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存：Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，最后同步和云统计部分将使用新信息更新。如果同步期间发生错误，状态指示球将变为红色。
4	有关错误的信息，单击操作工具栏中的启动事件查看器可查看错误日志。

下一步

如果您有多个域，请在已安装的其他目录连接器实例上执行此步骤。

恢复意外删除的用户

Directory Connector具有制衡功能，以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器，这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复，并在Control Hub中重新建立用户帐户。

默认情况下，此功能对所有组织都启用。例如，在云中删除用户时，由于从Directory Connector同步后出现不匹配的对象问题，用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除，如果您快速采取行动，您可能能够恢复它们。

当在Active Directory中删除相应帐户时，用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间，您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。

在Active Directory中禁用的用户在Control Hub中标记为Inactive，但用户帐户在7天后不会删除。

1	登录到 Control Hub。
2	转至用户并确认特定用户帐户是否处于非活动状态或未列出。有关详细信息，请参阅控制中心中的用户状态和操作。
3	如果在Control Hub中删除用户，或者您注意到用户处于非活动状态，请转至Active Directory，添加缺失的用户帐户，然后在Directory Connector中执行干运行同步。使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。
4	执行完全同步，将暂时删除的用户帐户重新同步至Control Hub。用户被恢复并转至原始状态，包括其帐户状态和服务分配。

下一步

返回Control Hub，转至管理 > 用户，并确认先前删除的用户帐户出现在用户列表中。

在软删除后永久删除用户

执行干运行后，您可以选择永久删除下次同步时被软删除的用户。

1	干运行完成后，选择软删除对象。
2	选中要删除的用户旁边的复选框。
3	选择完成。

下一步

下次同步时，已检查的用户将被永久删除。

更改Webex应用程序电子邮件地址

如果您想更改用户电子邮件地址，并且您的组织使用Directory Connector，请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。

如果您只想更改一个用户的电子邮件或某个值，请勿从Active Directory中删除该用户，然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户，用户空间和云中的其他数据将丢失。

要在不更改域的情况下更改用户电子邮件地址：
1. 在Active Directory中打开用户帐户（例如，user1@example.com）并更改电子邮件地址（例如，user2@example.com）。
2. 在目录连接器上恢复同步。
  
  下次同步后，更改会显示在Control Hub中的用户列表中，以及缓存更新后Webex应用程序中的用户。
  
  采用此方法不会造成数据或空间丢失。第一次同步后在云中设置用户的唯一标识符。所有后续同步均基于此标识符。
在使用Directory Connector的多个域部署中，要在更改域时更改用户电子邮件地址（考虑旧域为example1.com，新域为example2.com）：
1. 对于旧用户帐户(user1@example1.com)，请注意映射到 uid 云属性的Active Directory属性。您需要为新帐户使用相同的Active Directory值。对于此示例，我们将使用 user1@example1.com 作为在云中映射到 uid 的本地属性。
2. 在example1.com和example2.com域的Directory Connector上暂停同步。
3. 在example2.com中创建新用户帐户，并使用上面的相同属性。（例如，user1@example1.com）。
4. 在Directory Connector上，例如2.com恢复同步
  
  在继续之前，请验证user1@example2.com帐户是否同步到Control Hub。我们建议您指示用户在Webex应用程序中验证电子邮件更改，并保留所有数据（空间、消息、会议、文件等）。
  
  使用此方法不会丢失数据或空间，但在新用户帐户中，您必须确保从旧用户帐户中保留映射到云uid属性的Active Directory属性。如果您更改了Active Directory值，新帐户不会保留旧帐户中的数据。
5. 验证电子邮件地址更改且数据完好后，删除example1.com上的旧用户帐户，然后使用Directory Connector恢复为example1.com的同步功能。
  
  此时，您可以安全地更新新的Active Directory域中的user1@example2.com电子邮件地址。

目录连接器不限制电子邮件域更改。但是，当用户重新同步到云时，用户状态取决于您的组织中是否验证新域。如果组织中未验证域，则在完全同步后，用户的状态将更改为“待定”。有关更多信息，请参阅管理您的域。

如果您的组织不使用Directory Connector，您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址，了解用户可以遵循的步骤来更改电子邮件。

更改 Active Directory 域

您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。

1	设置新的 Active Directory (AD) 域。
2	禁用所有连接器上的同步。
3	卸载所有连接器。
4	打开案例以更改域名。在案例提交中，请确保请求删除组织中的域配置和所有同步属性。在打开案例以更改域之前，请确保未运行同步功能。在案例解决之前，不要更改Active Directory中的任何用户电子邮件地址。
5	解决案例后：在具有新Active Directory域的同一服务器上安装Directory Connector。配置Directory Connector，使其指向新的Active Directory域。如果Control Hub ( https://admin.webex.com)中有现有用户，请确保具有匹配电子邮件地址的用户也出现在Active Directory中。如果您的组织已禁用DirSync中的 `softDelete` 切换，则在Control Hub中但不在Active Directory中的用户电子邮件地址将面临删除风险。在进行实际同步之前，使用Directory Connector执行测试运行。

域声明

如果您为某个组织申请电子邮件域名，从而在付费客户组织中创建任何旁边的帐户，而不是免费消费者组织中，则会出现域索偿。您只能通过支持案例进行域申索（有关更多信息，请参阅下面的链接）。

如果Directory Connector处于活动状态并且该域已声明，则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户，受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。

相关信息

在目录同步组织中转换免费的Webex应用程序用户

您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序，则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户，请在打开Directory Connector之前将其迁移（转换）到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。

如果您未在激活前转换帐户，请关闭 Directory Connector 以对帐户进行转换。

如果启用目录同步时尝试转换用户，将显示错误消息无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。

一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中，而不是不匹配对象。如果要将这些用户迁移到您的组织，则需要将这些用户添加到您的AD列表。

如果您未添加这些用户，它们将在您旁边同步到云时全部删除。

1	从 Directory Connector 中禁用目录同步功能。
2	按照在Control Hub中转换无许可用户程序将用户从免费消费组织转换为企业组织。此步骤将用户添加到您的组织，帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源，目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前，确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。
3	在Directory Connector上，执行干运行同步。测试完成后，查看“添加对象”标签页。验证是否未删除您已转换的任何用户。您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中，则Directory Connector将区分大小写，并删除其检测到电子邮件地址不匹配的转换用户（例如，user1@example.com和User1@example.com）。如果已删除任何转换的用户，他们将失去所有Webex应用程序空间。
4	如果您确定下一次同步将不会删除任何帐户，请从 Directory Connector 重新启用目录同步。

如果您没有验证域，转换的用户帐户不会自动激活。例如，如果您打开自动分配许可证模板，然后在没有域验证的情况下打开Directory Connector，转换后的用户将在云后端处于非活动状态，直到他们确认其电子邮件地址。

侧边的Webex应用程序用户帐户

当您邀请其他用户到Webex应用程序中的空间时，如果受邀用户没有Webex应用程序帐户，则为他们创建帐户（“侧面”）。缺省情况下，以此方式创建的帐户将添加至自由消费者组织中。

如果要使用Directory Connector管理侧栏帐户，则必须转换帐户。

目录同步后更改Webex应用程序用户名格式

默认情况下，Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。

执行目录同步后，您可能会发现该用户名以格式显示。

如果Active Directory中的 displayName 属性以这种方式配置，此用户名可能会出现。当属性映射到云中的 displayName 时，名称会在Control Hub中以格式显示。

若要更改格式，请在 Directory Connector 属性映射屏幕中进行如下操作：将Active Directory属性 givenName sn （或 sn givenName）映射到Cisco云属性名称中的 displayName 。

更改Cisco云属性名称格式

或者，将属性 sn givenName 映射到 displayName：

更改Cisco云属性名称格式

如果您想将自己的自定义属性表达式映射到 displayName，也可以使用“自定义属性”选项。

自定义Cisco云属性名称格式

例如，输入givenName + "" + sn （名字、空间、姓氏）作为表达式。将Active Directory中的两个属性映射到云中displayName 。

本地活动目录中的映射属性

允许用户在Webex Meetings中更改显示名称

如果您想允许用户编辑首选的显示名称，您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称，而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。

1	从Directory Connector，单击配置，然后选择用户属性映射。
2	在 Cisco云属性名称下选择显示名称。
3	选择不同步此属性。

下一步

用户现在可以从Webex站点编辑显示名称。

Directory Connector 故障诊断

升级到最新软件版本

要保持部署合规并获取最新功能、功能、错误修复和安全增强功能，您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本，则可能会遇到问题，例如Directory Connector不再正常同步，或者处于不支持强制性 TLS 1.2要求的版本上。

Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。

虽然您可以手动安装连接器软件更新更新，但我们建议您遵循设置自动升级中的步骤，让应用程序自动管理升级。

1	单击Windows任务栏中的通知，或右击Windows任务栏中的Directory Connector图标，开始升级过程。
2	按说明完成升级操作。
3	重新启动连接器并使用管理员凭据登录。
4	在帮助 > 关于下验证软件的版本号。

下一步

要重新安装Directory Connector，您可以下载zip文件，然后按照本指南中的安装步骤操作。

配置 Directory Connector 的常规设置

使用此程序配置常规设置，例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中，其中还包含正在运行的任何其他连接器。

1	从Directory Connector转至配置，然后单击常规。
2	在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。
3	从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括：信息（默认）—显示信息消息，突出显示高层次应用程序的进度。要在所有完整同步后接收报告，请使用此设置。警告—显示潜在的有害情况。调试-显示对调试应用程序最有用的详细信息事件。如果您看见任何问题，请设置此日志级别，并在提交支持申请时将事件日志发送给支持人员。错误-显示可能仍允许应用程序继续运行的错误事件。选择此选项时，仅在报告错误时发送同步报告。这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误，则仅在同步报告中报告错误；如果不存在错误，则不会发送同步报告。将设置更改为Info，然后在完全同步后收到同步报告。（请记住，对于增量同步，没有报告错误时不会发送报告。）
4	选择首选域控制器以设置域控制器同步身份的顺序。将按照从上到下的顺序访问域控制器。如果顶级控制器不可用，则选择列表中的第二个控制器。如果列表中没有控制器，您可以访问主控制器。
5	如果要进行自动升级，请检查自动升级到新的Cisco Directory Connector版本。将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置，允许在软件可用时安静地安装自动升级到软件。
6	检查通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。如果您未通过 SSL检查LDAP，则Directory Connector将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。

配置连接器策略

您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。

例如，将 1 设置为删除阈值触发值。在执行完全或增量同步时，如果您要删除的用户数大于该设置，Directory Connector 会显示警告。如果您单击忽略阈值，可以成功开始完全或增量同步，但是在您下次运行该策略时将再次看到此忽略提示。

1	从Directory Connector，单击配置，然后选择策略。
2	如需添加阈值触发器，请勾选“启用删除阈值触发器”复选框。选择该选项后，删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时，同步失败。
3	输入您要设置的最大删除次数。缺省值为 20。我们建议您不要增大该缺省值。
4	单击应用。

设置连接器的安排

在Active Directory中设置同步定时。为了实现高可用性 (HA)，使用了故障转移。如果有一个连接器宕机，我们会在预定义的间隔过后，切换到另一个待机连接器。

1	从Directory Connector，单击配置，然后选择计划。
2	以分钟为单位指定增量同步间隔。缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。
3	如果您希望更改发送报告的频率，请更改发送报告间隔时间值。
4	勾选启用完全同步计划以指定想要执行完全同步的日期和时间。
5	以分钟为单位指定故障转移间隔。
6	单击应用。

多域情境

多个域基于域优先级。对于在不同域具有相同键值的对象，在同步后，来自高优先级域的数据将覆盖来自低优先级域的数据。

具有相同键值的对象会链接到数据库中的同一条记录。

多域情境

“用户”的键值是电子邮件地址；“组”的键值是组名。

多域使用示例

此示例假设某组织有两个域 - example1.com 和 example2.com，前者优先级高于后者。

添加 user1（电子邮件：user@example1.com）到 example1.com 的 Active Directory。
添加 group1（组名：Test）到 example1.com 的 Active Directory。
添加 user2（电子邮件：user@example2.com）到 example2.com 的 Active Directory。
添加 group2（组名：Test）到 example2.com 的 Active Directory。

在 example1.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

如果您为 example1.com 执行全面或增量同步，user1 和 group1 会同步。而且，user2 和 group2 会被 user1 和 group1 的信息覆盖。

User1 作为数据库中的相同记录链接到 user2；group1 作为数据库中的相同记录链接到 group2。

在 example1.com 和 example2.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

请考虑这些步骤：

在 example1.com 的 Active Directory 上删除 user1 和 group1。
为 example1.com 执行全面或增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1，而 group2 没有链接到 group1。
为 example2.com 执行增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。
为 example2.com 执行全面同步。
结果：user2 和 group2 的信息在 https://admin.webex.com 中列出。

同步新的域并保留现有域

如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后，该连接器会与新的域绑定，而域 (A) 下的用户信息不受影响。

每个域必须自带有效的连接器。请考虑采用以下设置的两个域：带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA)；带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中，一个连接器处于活动状态，另一个处于待机状态 (HA)。该设计可保持域同步，因为有一个连接器始终处于活动状态。也就是说，cb1 是域 B 处于活动状态的连接器，因为域 A 已有处于活动状态的连接器（ca1 或 ca2）。

设置域优先级

使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域，等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织，此设置会很有帮助。

如果在 Directory Connector 中只列出了一个域，则不要使用此过程。如果您尝试进行此配置，连接器会显示一条消息，说明不需要域优先级。

开始之前

要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击设置域优先级。
3	高亮显示列表中的一个域，单击向上或向下更改此域的优先级，然后单击保存保存更改。各个域会按优先级自上而下排序。

切换域

使用此程序将Cisco目录连接器重新绑定到另一个域。

开始之前

在切换域之前，确保没有同步任务在运行。
要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击切换域。
3	阅读警告后，如果您理解此更改对部署的影响，而且您仍然确定要更改，请单击是。如果您切换域，则您将从当前Cisco目录连接器中注销，连接器中的其他域未注册，并且删除该计算机上的连接器信息。
4	重新登录Cisco目录连接器并重新绑定域。

关闭目录同步

如果您需要停止从Directory Connector进行同步，可以从Control Hub暂时将其关闭。

1

从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，然后选择一个：

单击更多，然后单击要关闭的连接器实例旁边的关闭。
单击关闭所有目录同步可停止所有连接器实例的同步。

2

阅读提示之后，单击关闭。

同步停止，直到从Directory Connector重新启用它。

删除用户属性映射

使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后，属性值将从云中删除，不再与Webex同步。然后可以手动编辑这些值。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 删除用户属性映射。
3	选择映射以从属性名称列表中删除。
4	在受影响的用户范围下，选择以下其中一项：仅使用目录连接器同步用户：映射将仅从先前同步的Directory Connector的用户中删除。所有用户：映射将从所有Active Directory用户中删除。
5	单击应用。

管理档案照片

使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 管理配置文件图片。
3	在操作下，选择以下其中一项：删除空头头像源的个人资料图片：如果Active Directory个人资料图片为空，此选项可确保用户个人资料图片从云中删除，即使用户之前已在Webex中上传了自己的图片。从同步源重新上传以覆盖缓存的图片：目录连接器使用与之前相同的Active Directory来更新所有用户的配置文件图片。这可以确保Active Directory中的个人资料图片与云之间没有不匹配。
4	单击 Apply（应用）。

卸载并停用目录连接器

卸载 Directory Connector 实例后，必须取消注册它。如果面临以下任何情况，都应该彻底删除 Directory Connector：

您不想再使用目录同步。
您不想使用多个 Directory Connector（高可用性）中的某一个。
您想要更改域并安装其他连接器。

开始之前

您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例，请禁用同步。
卸载Directory Connector之前，保存并关闭任何重要工作。

1	在您的 Windows 计算机上，转至“控制面板”，然后单击程序和功能。
2	从程序列表中，单击目录连接器，选择卸载，然后按照提示操作。您可能需要重启系统来完成卸载。
3	从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，单击更多，然后单击要卸载的目录连接器实例旁边的停用。
4	阅读提示之后，单击停用。用户帐户将不会再同步，除非在高可用性 (HA) 部署中还有其他 Directory Connector。

运行诊断工具

您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。

如果同步工作不正确，您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接，因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误，您可以发送详细的日志结果以支持。

要为Active Directory域服务运行测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-DS 选项卡，输入您的域，然后单击加载域控制器。
2. 从列表中选择一个域控制器。
  
  以后不要更改条目，因为增量搜索必须始终在同一域控制器上运行。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户和组对象和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行Active Directory轻量级目录服务的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-LDS 选项卡，输入主机和端口，然后单击加载分区。
2. 从列表中选择分区，然后单击连接。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户、用户代理和用户代理完整和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行轻量级目录访问协议(LDAP)的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击LDAP RAW 选项卡，输入根路径，过滤，从属性中选择一个条目，然后单击加载分区。
2. 根据需要检查以下选项：
  - ObjectSecurity—如果存在此选项，呼叫方不需要任何权利，只能看到呼叫方可访问的对象和属性。如果此选项不存在，呼叫者有权复制更改。
  - 家长至上—确保所有孩子的家长都先到孩子面前。
3. 选择 ExtendedDN 的值。
  
  此值用于扩展的LDAP搜索，以请求对象突出名称的扩展形式。
4. 选择ReferralChasing值。
  
  当域控制器从查询中返回转介时，将启动转介追踪——例如，对于可能位于命名空间之外的查询结果的详细信息（例如其他域或森林中的群组成员）。
5. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
6. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。

解决Ciso Directory Connector中的问题

目录连接器的故障排除和修复

您可能在Directory Connector中遇到错误消息或其他问题。此外，在Directory Connector同步用户信息后，该连接器可能会向您发送一封电子邮件报告，列出同步存在的任何问题。在联系支持人员之前，请参考以下章节，了解可能出现的问题、可能的原因和建议解决方案。

安装

Directory Connector 停止运行

您收到警告电子邮件，通知您您的Directory Connector无法工作。

目录连接器可能未正确安装。
目录连接器可能未运行。
网络可能不可用。

请尝试以下操作：

打开控制面板 > 程序和功能。找到 Directory Connector。如果没有，请从Control Hub下载最新版本并安装。
打开服务并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止，请单击右键并选择“启动”以重启该服务。
确保安装Directory Connector的服务器能够访问Internet。

重新安装错误

问题—如果您在卸载旧连接器后立即安装新连接器，可能会看到错误消息。

可能原因—在Windows Server 2012中，卸载客户端需要时间从服务列表中删除服务帐户。

解决方案—经过一段时间后，请再次尝试安装。

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

请执行以下步骤以在用户级别更改策略：

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

在运行 gpupdate /force、重新启动机器（用于机器更改）或再次输入用户符号（用于用户更改）后，更改将生效。

无法注册Cisco DirSync服务连接器

问题

登录失败，并显示此消息：“无法注册Cisco DirSync服务连接器。”

解决方案

安装Directory Connector的Windows系统必须是Active Directory的成员。

未显示登录页面

问题

您打开目录连接器，登录页未显示。

故障排除: 未显示登录页面

解决方案

请尝试以下步骤：

在Internet Explorer中，转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器（如Chrome和Firefox）中尝试该链接。
如果Internet Explorer无法访问该链接，但其他浏览器可以，请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。（使用启用Internet Explorer中的TLS 程序。）

显示登录提示

问题

出现提示提示您输入用户名和密码以通过身份验证。

可能原因

Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败，会弹出对话框以请求身份验证用户名和密码。

解决方案

当您看到登录弹出窗口时，您需要提供具有正确身份验证的有效帐户，以保证传递安全。

无法连接远程服务器

问题

在正常操作期间，出现错误消息：“无法连接到远程服务器”。

可能原因

您可能有需要解决的代理问题。

解决方案

有关更多故障排除信息，请参阅故障排除服务帐户登录问题。

无法注册连接器

问题

您将看到错误消息“无法注册连接器。发生了一般例外。”

可能原因

在大多数情况下，问题在于Directory Connector没有连接到LDAP根上下文的特权。

解决方案

请尝试以下操作：

运行命令提示符(cmd)，然后输入 ldp.exe。
单击连接 > 绑定，选择绑定为当前登录用户，然后单击确定。
单击查看 > 树，输入DC=arbonneintl，DC=ad 作为BaseDN，然后单击确定。
如果问题继续，打开支持案例。

同步

头像未同步

问题

Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。

可能原因

如果您重复使用现有的头像服务器，并且用户头像已经同步，则本地缓存将捕获它们，并避免再次重订以保存带宽。

解决方案

按照以下步骤删除本地缓存：

转至C：\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
删除DirSyncPluginAvatar.dll-cache.bin。
从Cisco目录连接器重新启动头像同步。

用户电子邮件帐户冲突

问题

同步结果可能会显示有冲突的用户电子邮件帐户。

如果用户尝试了Webex应用程序的免费版本，他们的电子邮件地址将位于免费消费者组织中。
如果用户电子邮件在另一个组织中已同步。
如果用户电子邮件存在于属于组织的多个域中。

解决方案

请尝试以下操作：

如果您要向用户索要权，请按照以下步骤操作：
1. 确保您已在 Control Hub中验证该域。
2. 暂时禁用Cisco目录连接器。
3. 使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关更多信息，请参阅向您的组织索要用户（转换用户）。
4. 在Cisco Directory Connector中运行干燥，然后重新启用目录同步
对于最后一个案例，请复选您的Active Directory源中的用户数据。

已转换用户标记为非活动

问题

在您的目录同步环境中，您将免费（消费者组织）用户转换为企业组织，但转换用户无法登录Webex应用程序。

可能原因

当自由用户转换为企业组织时，该用户将被标记为非活动状态为30天，作为安全合规措施。在此期间内，用户无法登录Webex应用程序，并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。

解决方案

如果您不想删除该用户帐户，必须采取行动。要解决此问题，请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后，从Cisco Directory连接器执行同步。然后，用户可以再次登录Webex应用程序，帐户不会被删除。

增量同步失败

问题

增量同步失败。

在以下条件下可能会在Windows Server 2008 R2上出现此问题：

您支持增量值更新。
您使用的筛选器引用链接值属性。
该属性的结果值自上次进行完全同步以来已更新。

解决方案

Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。

属性的值无效

问题

对于 [user dn (distinguished name)]，属性 [attribute name] 有以下无效值 [attribute value]。

可能原因

对于CN=b，OU=Employees，OU=C Users，DC=c，DC=com，属性[电话号码]具有以下无效值：+。此属性必须包含至少一个数字。

解决方案

此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。

要删除匹配的用户

问题

匹配的用户将被标记为要删除。

当执行干运行同步以检查Active Directory和云之间的数据时，您可能会在两者中看到相同的电子邮件地址。但是，用户被标记为要删除的对象。

解决方案

选择适当的修复：

如果可以在之后删除用户并重新执行许可证，您可以使用Directory Connector进行修复。执行同步以删除用户，然后执行其他同步以将用户从本地AD同步到云。
如果您无法删除并重新创建用户帐户，请在支持下打开案例。

缺少属性

问题

添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值，否则不会在Control Hub中创建该条目。

可能原因

必需属性的 email address 缺失。添加内部条目时[CN=Sales User，OU=Engineers，OU=K，DC=k，DC=local]，除非所有必需属性都具有值，否则不会在Control Hub中创建条目。

解决方案

用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。

嵌套组无法同步

问题

嵌套的Active Directory组中的用户未正确与云同步。

可能原因

使用不受支持的子组和父组的筛选器。例如：(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)

解决方案

必须重新配置同步组的过滤器。例如：|(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)(memberof=CN=testSubGroup，CN=Users，DC=rktest2008，DC=org)

用户命名冲突

问题

对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言，[用户电子邮件地址]，以及用户类型[user_type]。

可能原因

已在Control Hub中存在该电子邮件地址的用户。

解决方案

在Active Directory中创建用户，其电子邮件地址与您通过Control Hub注册的帐户相同。

Control Hub

Control Hub中缺少用户列表

问题

如果您拥有超过1000名同步用户的Webex组织，则可能无法在Control Hub中看到用户列表。

解决方案

您可以使用搜索功能查找用户帐户。在Control Hub中，转至用户，单击搜索 “搜索”按钮，然后输入搜索条件以查找特定用户。

组不会同步到Control Hub

问题

目录组中的用户无法正确同步到Control Hub。

可能原因

在Active Directory中，该组未标记为 isCriticalSystemObject 。

解决方案

确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。

启用 Directory Connector 故障诊断

您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息，并将其保存至文件。

以下日志文件： \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	运行 `services.msc` 文件，将Directory Connector服务的正在运行的帐户从本地系统更改为有权访问AD DS或AD LDS的域帐户。
2	重启服务。请参阅如何启动服务获取指导。
3	在目录连接器中，单击仪表板。
4	转至操作，然后单击实用程序 > 故障排除。
5	启用故障诊断后，重复执行导致错误的操作，这样将捕获流量数据，以便进行检查。
6	检查日志文件：如果文件空白，请确保帐户有权访问 AD DS 或 AD LDS。日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。
7	如有必要，向支持人员发送日志文件以获取协助。
8	诊断完成后，请禁用故障诊断功能。

相关信息

启动事件查看器

若要查看完全或增量同步期间发生的事件，请启动“事件查看器”。它显示管理事件和错误日志的摘要。

1	从Directory Connector转至仪表板，然后单击操作 > 启动事件查看器。 “事件属性”对话将显示同步事件详细信息与错误详细信息。
2	从事件查看器，转至应用程序和服务日志 > Cisco Directory Connector。
3	在操作下，单击保存所有事件为将所有日志导出为单个事件文件(*。evtx)或其他格式（如xml或csv）。

下一步

如果您需要打开案例，请联系支持人员，描述连接器的问题，然后将“事件”文件附加到案例中。

事件日志会捕捉用户操作。如需管理网络流量的帮助，请在连接器上启用故障排除。

在Internet Explorer中启用TLS

如果您切换了单点登录(SSO)提供商，您可能会看到来自Cisco目录连接器的以下错误消息：

登录到服务时出错
此页脚本中出现错误

如果您看到这些错误，必须在浏览器中启用TLS设置。

1	打开Internet Explorer，然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器，然后再次打开它
2	单击互联网选项，转至高级，滚动至安全。
3	检查使用TLS 1.1 和使用TLS 1.2 复选框，然后单击确定。
4	重新启动系统以便更改生效。

服务帐户登录问题故障诊断

如果您无法登录Cisco目录连接器或无法运行同步，请在联系支持人员之前尝试解决该问题。

1

尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。

2

根据结果选择一项：

如果您无法从浏览器访问该链接，请检查您的网络设置。如果您的环境使用代理，请检查代理设置。
如果您可以通过浏览器访问链接，但无法打开Cisco目录连接器（无法打开连接器并弹出带有407的错误消息），单击此处以获取最新版本的Cisco目录连接器。
如果您可以从浏览器访问链接，但无法从Cisco目录连接器运行同步，请将服务登录帐户更改为域管理员。

检查您用于登录Windows系统的帐户是否与您在“Cisco DirSync服务”中设置的帐户相同。如果他们是2个不同的帐户，请确保两个帐户都可以访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。如果您的环境使用代理，请确保两个帐户在Internet Explorer中配置为代理，并且可以成功访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL 。

3

至少，确保Cisco DirSync服务（可在Windows服务中找到）配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下，该服务利用Windows登录帐户凭据和身份验证。

相关信息

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

Cisco Directory连接器概述

目录连接器概述

Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件，并将其安装到本地计算机上。

使用Directory Connector，您可以在Active Directory中维护您的用户帐户和数据，因此Active Directory成为唯一的真相来源。当您在内部进行更改时，它会复制到云。

请参阅表中所有的功能、描述和优势：

功能	描述和优势
简单易用的控制板	该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。
在同步到云之前进行干燥	在云中实施这些更改之前，先对目录进行干燥。之后，运行报告以查看要执行的变更是否与预期一致。
完全同步和增量同步	同步整个目录。或者，仅同步增量变更，从而提高处理能力并缩短同步时间。
同步多个域（单森林或多森林）	Directory Connector支持单个森林或多个森林下的多个域（无需使用AD LDS）。对于拥有多个Active Directory域的企业，您可以为每个域安装Directory Connector，将每个域绑定到您的组织，然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态，允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。
按计划同步	按天、小时和分钟设置同步安排。
轻量级目录访问协议 (LDAP) 过滤器	定义 LDAP 搜索条件并实现高效的导入。
活动目录属性映射	将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性，并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据，例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据（职务、部门、经理等）。
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录	如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务，或者您拥有内部Room设备，此功能可让用户从Cisco Webex Calling（云PSTN）电话或Room资源搜索企业联系人目录。会议室资源同步协作室信息之后，具有已配置、已映射 SIP 地址的本地协作室设备将作为可搜索条目显示在云注册协作室设备（例如 Cisco Webex Room 设备或 Cisco Webex Board）中。当用户在Cisco Webex Room设备或Cisco Webex板上进行搜索时，您将看到使用SIP地址配置的同步房间条目。当他们将从Webex设备拨打到该条目上时，将将呼叫放置到为房间配置的SIP地址。正在呼叫除了Webex App联系人之外，用户还可以呼叫企业联系人。通过Directory Connector，企业用户及其电话号码会被添加到您的Webex组织。他们不需要为Webex服务获得许可才能使用此功能。未为Webex授权的用户将出现在从Cisco Webex呼叫用户电话执行的目录搜索中，只要通过Directory Connector与Webex同步的URI或电话号码即可。对于这两种用户，呼叫功能的表现是相同的。此功能部件还为只有电话号码的联系人提供了编辑拨号功能。在联系人搜索结果中：如果联系人具有可调用URI（Webex SIP地址）和电话号码，将显示与联系人关联的URI。如果联系人没有可拨号的 URI，但却有电话号码，则显示电话号码。还会显示一个编辑拨号软键。如果这两者联系人都没有，则该联系人不会显示在目录中。
事件查看器	使用事件查看器可确定是否存在同步问题。
诊断工具和故障排除	您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确，您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接，以便在联系支持人员之前自行诊断错误。在Directory Connector中启用故障排除后，将编写日志，可发送给技术支持。
自动升级	安装 Directory Connector 后，您会在软件有新版本时收到通知。您可以设置自动升级，以便在发布新版本时始终使用最新版本的软件。
高可用性	配置多个连接器，以便在主连接器或机器主机出现宕机情况时提供备用。

Directory Connector 分为以下三个部分：

Control Hub 是一个单一界面，可让您管理Webex组织的所有方面：如果您希望用户通过企业身份提供商进行身份验证，并且不想为Webex应用程序发送电子邮件邀请，则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域，您可以为要同步的每个域安装一个软件实例。使用该软件，您可以运行同步以将Active Directory用户帐户带入Webex，查看和监控同步状态，并配置Directory Connector服务。
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。

请参考此图了解Directory Connector架构：

为Directory Connector准备您的环境

目录连接器的要求

Windows和Active Directory要求

您可以在这些受支持的Windows服务器上安装Directory Connector：

Windows Server 2022
Windows Server 2019
Windows Server 2016

要解决Cookie问题，我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。

以下的Active Directory服务支持Directory Connector：

2016年活动目录

（在Windows Server 2019上使用最新版本的Active Directory时，支持目录连接器）
活动目录2012
活动目录2008 R2
活动目录2008

请注意以下附加要求：

目录连接器需要TLS1.2。您必须安装以下内容：
- .NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题，请使用使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
- .NET Framework v.4.5（TLS1.2必需）
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。（请参阅什么是 Active Directory 功能级别？获取更多信息。）

硬件要求

您必须在符合以下最低硬件要求的计算机上安装Directory Connector：

8 GB RAM
50 GB 存储
CPU 没有最低要求

网络要求

如果您的网络是防火墙的幕后，请确保您的系统有HTTPS（端口443）访问互联网。

Webex组织要求

要从Control Hub访问Directory Connector软件，您需要试用Webex组织或任何付费订阅。
（可选）如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态，我们建议您执行以下操作：
- 添加、验证并选择声称包含要同步到云的用户电子邮件地址的域。
- 将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成。
- 抑制自动电子邮件邀请，这样新用户就不会收到自动电子邮件邀请，您可以进行自己的电子邮件活动。（此功能需要SSO集成。）

有关详细信息，请参阅控制中心中的用户状态和操作。

安装要求

对于多个域环境（单森林或多森林），必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保您有受支持的独立 Windows Server 来安装 Directory Connector，以进行域 (B) 同步。
要登录连接器，我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。

此本地用户必须拥有该Windows计算机上的权限，才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。（此信息也适用于虚拟机登录。）
登录连接器时，登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下，连接器使用本地系统帐户访问Active Directory。但是，您可以使用Windows服务配置其他帐户以访问Active Directory。（此信息也适用于虚拟机登录。）
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用：在Windows注册表中检查SafeDllSearchMode。
如果您在单个森林上使用多个AD LDS域，我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。

多个域要求

在 Cisco目录连接器部署任务流中跟踪任务之前，如果您要将多个域的Active Directory信息同步到云中，请记住以下要求和建议：

每个域需要单独的Directory Connector实例。
Directory Connector软件必须运行在其将同步的同一域上的主机。
我们建议您在Control Hub中验证或声明您的域。（参见添加、验证和申请域。）
如果要同步超过50个域，您必须打开标签才能让您的组织移动到大型组织列表。
如果需要，您可以与用户帐户同步房间资源信息。（请参阅将内部会议室信息同步到Webex云。）

自动许可证分配活动目录组建议

Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。

Active Directory中有两种类型的组：

分发组—用于创建电子邮件分发列表。
安全组-用于分配共享资源的权限。

活动目录组类型

在Active Directory中创建组时，请考虑以下指导原则：

为每个角色、部门或服务创建全球组（例如销售、营销、经理、会计师、Webex授权等）。
在整个组织中使用标准命名规范，以便轻松识别有关组的重要信息。组名称可以包含组的详细信息，例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如，组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
以易于理解的方式组织群组，例如按地域或管理层次。使用组描述来完整描述组的目的。
在将用户添加到新配置的组之前，请为这些组在Control Hub中定义自动许可证组模板。有关详细信息，请参阅设置自动许可证分配模板。

调整尺寸信息

Directory Connector是本地Active Directory和Webex云之间的桥梁。因此，连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定，而不是连接器本身。

一些因素会影响同步的速度：

Active Directory对象的总数。（5,000个用户同步工作所需的时间不超过50,000。）
网络速度和带宽。
系统工作负载和规格。

如果您正在同步超过50,000个用户，我们强烈建议您使用第二个连接器进行故障转移和冗余。

由于同步涉及多个因素，并且每个部署取决于上述因素，因此我们无法提供对象同步所需时间的特定时间值。

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

WebEx 代理集成

如果您的环境中已启用 Web 代理验证，则您仍然可用使用 Directory Connector。

如果您的组织使用透明Web代理，则不支持身份验证。连接器已成功连接和同步用户。

您可以选择下列方法之一：

通过Internet Explorer显式Web代理（连接器继承了Web代理设置）
通过。pac文件显式网络代理（连接器继承企业特定的代理设置）
与连接器配合的透明代理，无需任何更改

通过浏览器使用 Web 代理

您可以通过Internet Explorer设置Directory Connector以使用Web代理。

如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行，那么您还需要用此帐户登录并配置 Web 代理。

1	在 Internet Explorer 中，转至 Internet 选项，单击连接，然后选择局域网 (LAN) 设置。
2	指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。
3	如果环境使用代理验证，请将这些 URL 添加到允许列表： cloudconnector.webex.com 用于同步。 idbroker.webex.com 进行身份验证。 idbroker-static.webex.com 用于提供静态资源，如font、js组件等。您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。
4	如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表： .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org 有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

通过 PAC 文件配置 Web 代理

您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。

1

要使连接器成功连接并同步用户信息到Webex云，请确保安装连接器的主机。pac文件配置中已禁用 cloudconnector.webex.com 的代理身份验证。

2

如果环境使用代理验证，请将这些 URL 添加到允许列表：

cloudconnector.webex.com 用于同步。
idbroker.webex.com 进行身份验证。
idbroker-static.webex.com 用于提供静态资源，如font、js组件等。

您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。

如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。

3

如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表：

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

NTLM代理

Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证，并确保其安全。

NTLM设计

在大多数情况下，用户希望通过客户端PC访问其他工作站资源，这很难以安全的方式进行。

一般来说，NTLM的技术设计基于挑战和响应机制：

用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同，密码的哈希值在本地存储。当用户通过密码登录客户端时，Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同，则验证将通过。

当用户想要访问其他服务器中的任何资源时，客户端会向服务器发送一个请求，帐户名称为纯文本。
当服务器收到请求时，服务器会生成16位随机密钥。关键称为Challenge（或Nonce）。在服务器返回客户端之前，挑战将存储在服务器中。然后，服务器将挑战以纯文本形式发送给客户端。
客户端收到服务器发送的挑战后，客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后，该值将返回到服务器。
当服务器从客户端收到加密值时，服务器将其发送到域控制器进行验证。请求包括：帐户名称、客户端发送的加密挑战，以及原始的简单挑战。
域控制器可以根据帐户名称检索密码的哈希值。然后，域控制器可以对原始挑战进行加密。然后，域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同，验证将成功。

Windows在操作系统中内置了安全验证，使应用程序更容易支持安全验证。因此，您无需完成进一步的配置。

配置透明代理

在这种情境下，浏览器不会知道透明 Web 代理正在拦截 http 请求（端口 80/端口 443），因此不需要客户端配置。

1	部署透明代理，以便连接器可以连接和同步用户。
2	确认代理已成功—启动连接器时，您会看到预期的浏览器身份验证弹出窗口。

设置代理身份验证

通过创建访问控制列表，将URL cloudconnector.webex.com 添加到允许列表中。

在企业防火墙服务器上：

1	如果尚未启用 DNS 查找，请启用。
2	确定此连接的估计带宽（连接器约为2 mb/s或以下）。这不是必须执行的步骤。
3	创建访问控制列表以应用于连接器主机，并指定 `cloudconnector.webex.com` 作为要添加到允许列表的终端。例如： `access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https`
4	将此ACL应用于相应的防火墙接口，该接口仅适用于此单个连接器主持人。
5	通过配置相应的隐式拒绝声明，确保企业中的其他主机仍需使用 Web 代理。

部署目录连接器

Cisco目录连接器部署任务流程

准备工作

1	安装 Directory Connector Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。要重新安装Directory Connector，请始终转至Control Hub (https：//admin.webex.com)获取软件的最新版本，以便您使用最新的功能和故障修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
2	登录 Directory Connector 使用您的Webex管理员凭据登录，并执行初始设置。
3	设置自动升级将Directory Connector软件更新到最新版本始终非常重要。我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。
4	选择要同步的Active Directory对象默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
5	映射用户属性您可以将本地 Active Directory 的属性映射到云端的对应属性。唯一的必填字段是“*uid”。
6	使用以下程序之一同步目录头像：将Active Directory属性中的目录头像同步到云将目录头像从资源服务器同步到云您可以将用户的头像同步到云端，这样每个用户在登录应用程序时都可以看到其头像。您可以从Active Directory属性或资源服务器同步化头像。
7	将内部会议室信息同步到Webex云使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备（例如Webex Room设备或Cisco Webex Board）上的可搜索条目
8	要从Active Directory向Control Hub提供用户，请执行以下步骤：在您的Active Directory用户上执行干线同步将Active Directory用户完全同步到云向Control Hub中的Directory同步用户分配Webex服务按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

安装 Directory Connector

Control Hub最初将目录同步显示为禁用状态。要为组织打开目录同步，必须安装和配置Directory Connector，然后成功执行完整同步。

您必须为要同步的每个Active Directory域安装一个连接器。单个目录连接器实例只能服务单个域。请参阅下图了解多个域同步的流程：

准备工作

如果您通过代理服务器进行身份验证，请确保您拥有代理凭据：

对于代理基本身份验证，安装连接器的实例后，您将输入用户名和密码。基本身份验证也需要Internet Explorer代理配置；请参阅通过浏览器使用Web代理
对于代理NTLM，第一次打开连接器时可能会看到错误。请参阅通过浏览器使用Web代理。

1	在控制中心中，转至用户 > 管理用户 > 启用目录同步，然后选择下一步。
2	单击下载和安装链接，将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。您可以直接从此链接获取。zip文件，但必须对Control Hub组织的完整管理访问权限才能使用此软件。对于新安装，请获取软件的最新版本，以便使用最新的功能和bug修复。安装软件后，将通过软件报告升级，并在可用时自动安装。
3	在VMware或Windows服务器上，解压缩并在设置文件夹中运行。msi文件，以启动设置向导。
4	单击下一步，勾选框以接受许可协议，然后单击下一步，直到您看到帐户类型屏幕。
5	选择您要使用的服务帐户类型，然后使用管理帐户执行安装：本地系统 - 缺省选项。如果您已经通过 Internet Explorer 配置了代理，可以使用此选项。域帐户 - 如果计算机是域的一部分，请使用此选项。 Directory Connector 必须与网络服务交互才能访问域资源。您可以输入帐户信息，然后单击确定。输入用户名时，请使用格式 `{domain}\{user_name}` 对于与 AD 集成的代理（NTLMv2 或 Kerberos），必须使用域帐户选项。用于运行 Directory Connector 服务的帐户必须有足以通过代理和访问 AD 的权限。要避免错误，请确保具有以下权限：服务器是域的一部分域帐户可以访问内部AD数据和头像数据。该帐户还必须有本地管理员角色，因为它必须访问 `C:\Program Files` 中的文件。对于虚拟机登录，管理员帐户权限至少必须能够读取域信息。
6	单击安装。网络测试运行后，如果出现提示，输入您的代理基本凭证，单击确定，然后单击完成。

下一步

我们建议您在安装后重新启动服务器。当数据未发布时，干运行报告无法显示正确结果。重启计算机时，所有数据都会刷新以在报告中显示准确结果。

登录 Directory Connector

准备工作

确保您拥有代理凭据。

对于Proxy basic-auth，第一次打开连接器后将输入用户名和密码。
对于代理NTLM，打开Internet Explorer，单击齿轮图标，转至 Internet选项>连接> LAN设置，确保已添加代理服务器信息，然后单击确定。请参阅通过浏览器使用Web代理。

1	打开连接器，如果看到提示，则将 `https：//idbroker.webex.com` 添加到您的受信任站点列表。
2	如果出现提示，请使用代理身份验证凭据登录，然后使用您的管理员帐户登录Webex，然后单击下一步。
3	确认组织和域。如果您选择 AD DS，请检查 SSL上的LDAP 以使用安全LDAP (LDAPS)作为连接协议，选择要同步的域，然后单击确认。如果您未通过 SSL检查LDAP，DirSync将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。 LDAPS通信经过加密且安全。如果您选择 AD LDS，请输入主机、域和端口，然后单击刷新按钮以加载所有应用程序分区。然后从下拉列表中选择分区并单击“确认”。请参阅 AD LDS 部分了解更多信息。在 CloudConnectorCommon.dll 配置文件中，请确保将 ADAuthLevel 设置添加到 appSetting 节点。值可以是1、2或3。请参阅来自Microsoft的这篇文章，了解有关AuthenticationTypes的更多信息。以下是值为1的设置示例： `<appSettings> <add key=”ConnectorServiceURI” value="https：//cloudconnector.webex.com/SynchronizationService-v1.0/？orgId=GLOBAL" /> <add key="ADAuthLevel" value="1" /> </appSettings>`
4	在确认组织屏幕出现后，单击确认。如果您此前已绑定 AD DS/AD LDS，将出现确认组织屏幕。
5	单击“确认”。
6	根据您要绑定到 Directory Connector 的 Active Directory 域数量选择一项：如果您只有一个 AD LDS 域，则绑定到现有 AD LDS 源，然后单击确认。如果您只有一个 AD DS 域，则绑定到现有域或新域。如果您选择绑定到新域，单击下一步。因为现有的源类型是 AD DS，所以不能为新的绑定选择 AD LDS。如果您有多个域，请从列表中选择一个现有域，或选择绑定到新域，然后单击下一步。因为您有多个域，所以现有源类型必须是 AD DS。如果您选择绑定到新域并单击下一步，则不能为新的绑定选择 AD LDS。

下一步

登录后，系统提示您执行干运行同步。

Directory Connector 控制板

首次登录 Directory Connector 时，将显示控制板。您可以在此处查看所有同步活动的摘要及云统计信息、执行测试同步、开始完全或增量同步并启动事件视图以查看错误信息。

如果会话超时，请重新登录。

您可以从操作工具栏或操作菜单中轻松运行这些任务。

表 1. 控制板组件
组件	描述
当前同步	显示与当前进行的同步有关的状态信息。无正在运行的同步时，状态显示为“空闲”。
下次同步	显示安排的下次完全和增量同步。如果未设置安排，则显示“未安排”。
上次同步	显示上两次执行的同步的状态。
当前同步状态	显示同步的整体状态。
连接器	显示云当前可用的内建连接器。
云统计信息	显示同步的整体状态。
同步安排	显示增量与完全同步的同步安排。
配置摘要	列示您在配置中已更改的设置。例如，该摘要可能包含以下内容：将同步所有对象将同步所有用户已禁用被删除的阈值。

表 2. 操作工具栏
操作	描述
开始增量同步	手动启动增量同步暂停或禁用同步时，如果未完成完全同步或同步正在进行中，则此操作将禁用。
同步测试	执行测试同步。
启动事件查看器	启动 Microsoft 事件查看器。
刷新	刷新Cisco目录连接器仪表板

表3。操作菜单栏
操作	描述
立即同步	立即开始完全同步。
同步模式	选择增量或完全同步模式。
重设连接器保密信息	在Cisco目录连接器和连接器服务之间建立对话。选择此操作将重设云中的保密信息，然后在本地保存该保密信息。
排练	执行同步过程测试。在进行完全同步之前必须执行测试。
疑难解答	打开/关闭故障诊断。
刷新	刷新Cisco目录连接器主屏幕。
退出	退出Cisco目录连接器。

表 4. 组合键
组合键	操作
Alt + A	显示“操作”菜单
`Alt +A + S`	立即同步
`Alt +A + R`	重设连接器保密信息
`Alt +A + D`	测试
`Alt +A + S + I`	增量同步
`Alt +A + S + F`	完全同步
`Alt + H`	显示“帮助”菜单
`Alt + H + H`	帮助
`Alt + H + A`	关于
`Alt + H + F`	常见问题解答

设置自动升级

1	从Directory Connector，转至配置 > 通用，然后检查自动升级到新的Cisco Directory Connector版本。
2	单击应用以保存您所做的更改。

新版本的连接器可用时将自动安装。

您可以手动管理升级（如果您愿意）。有关更多信息，请参阅升级至最新软件版本。

选择要同步的Active Directory对象

默认情况下，Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。要对哪些对象进行同步的更多控制，您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。

自动许可证分配组

Control Hub允许您按组管理许可证分配。您可以创建许可证模板，并将其映射到同步到云的Active Directory组。在用户创建时，Webex检查该新用户的用户会员身份和自动许可证模板映射。

我们建议您使用LDAP过滤器仅将相关组同步到云。例如，您可以将过滤器设置为：

(&（cn=示例）（objectclass=组）)*

此过滤器将以Example开头的基础DN中的所有组同步。未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。

目录连接器中的对象选择屏幕

混合数据安全部署组

在Directory Connector中，如果您使用混合数据安全为试点用户配置试用组，则必须检查组。请参阅混合数据安全部署指南获得指导。此目录连接器设置不会影响云中的其他用户同步。

准备工作

1	在 Directory Connector 中，转至配置，然后单击对象选择。
2	在对象类型部分中，检查用户，并考虑限制用户可搜索容器的数量。例如，如果您想仅同步特定组中的用户，必须在用户LDAP过滤器字段中输入LDAP过滤器。如果要同步示例管理器组中的用户，请使用以下过滤器： `(&(sAMAccountName=*)(memberOf=cn=Example-manager，ou=Example，ou=Security Group，dc=COMPANY))`
3	检查识别房间以将房间数据与用户数据分开。要设置其他属性，将用户数据识别为房间数据，请单击自定义。如果要将内部会议室信息从Active Directory同步到Webex云时，请使用此设置。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。有关详细信息，请参阅将内部会议室信息同步到Webex云。
4	要将Active Directory用户组同步到云，请检查组。不要向“组”字段添加用户同步LDAP筛选器。您仅应使用“组”字段将组数据本身同步到云。默认情况下，组不会为新客户同步。必须启用组同步。还必须同步安全组。
5	如果要将用户的联系信息同步到云，请检查联系人。目录连接器仅管理由连接器同步的联系人。如果Control Hub中已经有联系人，则同步不会删除联系人。如果从同步范围中删除联系人，则在Control Hub中也会删除用户的联系信息。
6	配置 LDAP 过滤器。您可以通过提供有效的 LDAP 过滤器来添加扩展的过滤器。有关配置LDAP过滤器的更多信息，请参阅本文。
7	单击选择以查看Active Directory树结构，指定要同步的On Premises Base DN。您可以在此选择或取消选择要搜索的容器。
8	勾选您要在此次配置中添加的对象，然后单击“选择”。您可以选择单个容器或父容器以用于同步。选择父容器时会自动选中其所有子容器。如果选择子容器，父容器会显示灰色复选标记，说明其下勾选了子容器。然后，您可以单击“选择”以接受勾选的 Active Directory 容器。如果贵组织将所有的用户和组都放在“用户”容器中，则不需要搜索其他容器。如果贵组织划分为多个组织单元，务必选择 OU。
9	单击 Apply（应用）。选择一个选项：应用配置更改排练取消有关干运行的信息，请参阅在Active Directory用户上执行干运行同步。对于组同步，您必须执行完整同步：将Active Directory用户完全同步到云中。

映射用户属性

您可以将本地 Active Directory 的属性映射到云端的对应属性。唯一的必填字段是*uid，这是云身份服务中每个用户帐户的唯一标识符。

您可以选择要映射到云的Active Directory属性—例如，您可以映射到Active Directory中的 firstName lastName，或将自定义属性表达式映射到云中的 displayName。

Active Directory 中的帐户必须具有电子邮件地址；缺省情况下，uid 会映射到邮件的 ad 字段（非 sAMAccountName）。

如果您选择使用首选语言来自Active Directory，则Active Directory是唯一的真理来源：用户将无法在Webex设置中更改其语言设置，管理员也无法在Control Hub中更改设置。

1	在 Directory Connector 中，单击配置，然后选择用户属性映射。此页显示Active Directory（左侧）和Webex云（右侧）的属性名称。所有必需属性都标有红色星号。
2	向下滚动到 Active Directory属性名称的底部，然后选择其中一个Active Directory属性以映射到云属性uid：邮件—大多数部署用于电子邮件格式。 userPrincipalName—如果您的邮件属性在Active Directory中用于其他用途，则可选择此选项。此属性必须为电子邮件格式。您可以将其他Active Directory属性映射到uid，但我们建议您使用上述指南中的邮件或userPrincipalName。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。要查看Active Directory中的哪些属性与云中的对应关系，请参阅在Directory Connector中映射Active Directory属性。要使同步工作，您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口，以提醒您，如果您没有选择推荐的属性。
3	如果预定义的Active Directory属性不适用于部署，请单击属性下拉菜单，滚动到底部，然后选择自定义属性以打开一个窗口来定义属性表达式。单击帮助以获取有关表达式的更多信息，并查看表达式如何工作的示例。您还可以查看自定义属性的表达式以了解更多信息。在此示例中，我们将将Active Directory属性 `givenName` 和 `Sn` 映射到云属性 `displayName`：将属性表达式定义为givenName + "" + Sn（引号为额外空间），然后提供现有的用户电子邮件以进行验证。单击验证，查看结果是否符合您的期望。成功结果如下：如果结果符合您的预期，请单击确定保存新的自定义属性。稍后，如果您要更改 displayName，可以输入新的属性表达式 Directory Connector验证身份服务中的uid的属性值，并在当前用户过滤选项下检索3个可用用户。如果所有3个用户都具有有效的电子邮件格式，则Cisco Directory Connector将显示以下消息：如果无法验证属性，您将看到以下警告，并可以返回到Active Directory以检查和修复用户数据：
4	（可选）如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中，选择手机和电话号码的映射。当用户将鼠标悬停在另一个用户的档案照片上时，电话号码数据会显示在Webex应用程序中。有关从用户联系人卡呼叫的更多信息，请参阅在Webex (Unified CM)部署指南（管理员）。
5	选择其他映射以显示在联系人卡中的更多数据： `departmentNumber` `displayName` `Manager` `标题` 映射属性后，当用户将鼠标悬停在另一个用户的档案图片上时，会显示信息：有关联系卡的更多信息，请参阅验证您的联系人。将这些属性同步到每个用户帐户后，您还可以在Control Hub中打开People Insights。此功能允许Webex App用户在配置文件中共享更多信息，并相互了解。有关该功能以及如何启用该功能的更多信息，请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events（新建）People Insights Profiles
6	选定后单击应用。

Active Directory 中包含的任何用户数据都会覆盖对应于该用户的云端数据。例如，如果您在Control Hub中手动创建用户，则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。在Active Directory中没有相应电子邮件地址的用户将被删除。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

活动目录和云属性

您可以使用“用户属性映射”标签页将本地 Active Directory 的属性映射到云端的对应属性。

此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。这些值和映射是Directory Connector中的默认设置。您可以在Active Directory下拉菜单中选择不同的属性，并确定哪些内部属性与哪个云属性同步。

将下拉菜单属性视为预设。作为Active Directory行中的值的替代，您还可以在Active Directory中指定自定义属性（具有多个属性的表达式）以映射到相应行中的单个云属性。这样，您可以灵活地确定用户的显示名称，例如，您可以添加一个表达式，根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。

您还可以指定任何Active Directory属性，以映射到云中的uid。但是，您必须确保内部属性遵循有效的电子邮件格式。

您还可以使用其他电子邮件地址，例如，如果您想使用userPrincipalName进行登录，但用户的电子邮件地址用于管理他们的日历。在这种情况下，将其他电子邮件地址映射到电子邮件；类型-工作属性。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。

活动目录属性名称	Webex云属性名称	笔记
—	buildingName	—
C	C	此属性指定用户的国家缩写。
departmentNumber	departmentNumber	此属性用于联系人卡和人员见解中显示的用户的部门号码。
displayName	displayName	此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。
userAccountControl	ds-pwp-account-disabled	此属性用于用户同步。确保 userAccountControl 属性映射到 ds-pwp-account-disabled，或者用户未正确同步。
employeeNumber	employeeNumber	—
facsimileTelephoneNumber	facsimileTelephoneNumber	—
—	jabberID	此云属性与Jabber使用的IM地址（XMPP类型）有关。此值与sipAddresses不同。
l	l	此属性指定用户的城市。
—	locale	—
Manager	Manager	此属性用于联系人卡和人员见解中的用户经理名称。
移动设备	移动设备	此属性被用作显示从联系人卡呼叫用户的移动号码。
o	o	此属性指定公司或组织的名称，并显示在联系人卡中。
ou	ou	此属性指定组织单位的名称。
physicalDeliveryOfficeName	physicalDeliveryOfficeName	此属性指定用户的办公位置。
postalCode	postalCode	此属性指定了用于实际邮件交付的用户的邮政或邮政编码。
preferredLanguage	preferredLanguage	此属性设置用户的首选语言，支持以下格式： xx_YY 或 xx-YY。这里是一些示例： en_US、en_GB、fr-CA。如果您使用不受支持的语言或无效的格式，用户的首选语言将更改至为组织设置的语言。
MSRTCSIP-主要用户地址 ipPhone	SipAddresses；type=enterprise	此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。
sn	sn	此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。
st	st	此属性指定用户的状态或省。
streetAddress	street	此属性指定用于实际邮件递送的用户的街道地址。
telephoneNumber	telephoneNumber	此属性指定用于从联系人卡呼叫用户的主要（工作）电话号码。
—	timezone	此云属性指定用户的时区。
标题	标题	此属性指定联系人卡和人员见解中出现的用户标题。
type	enterprise	—
mail 用户主要名称	uid	强制性的属性映射。对于每个用户帐户，Active Directory值映射到云中的唯一的UID。在某些情况下，使用userPrincipalName来登录，但使用用户的电子邮件地址来管理他们的日历。您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。将userPrincipalName作为备用电子邮件地址添加。然后用户可以使用这两个电子邮件地址之一登录，只要正确的 SAML属性映射就行了。请参阅下面的示例属性映射，了解如何映射替代电子邮件地址。
用户主要名称 mail <自定义属性>	电子邮件；类型工作	此映射是可选的，如果您想使用其他电子邮件地址，请使用此映射。这是用于身份验证的电子邮件；它不用于管理您的日历。您从AD映射的电子邮件地址必须来自您组织内的验证域，并且必须是唯一并且不会分配给其他用户。
<Azure用户对象Id的新属性>	externalId	创建新的Active Directory属性以保留Azure用户对象ID，使其不会与现有的ID冲突。此属性随后映射到externalId属性，确保Webex用户在Microsoft 365中创建群组时，会自动在Webex中创建群组。

替代电子邮件地址映射

自定义属性的表达式

表 5. 自定义属性的表达式
接线员	描述和示例
%	如果匹配，将字符串开头的所有字符删除到字符或字符串参数的位置。示例表达式 `"abc@example.com" % "@"` 结果 `example.com`
-	从指定字符串的末端剥离输入字符串的背部。示例表达式 `"abc@example.com" - "@"` 结果 `abc`
+	连接输入字符串或表达式。示例表达式 `"abc" +" + "def"` 结果 `abc def`
\|	根据空字符串评估分隔表达式，并选择第一个非空结果。示例表达式 `“” \| “abc”` 结果 `abc`

将Active Directory属性中的目录头像同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序同步来自Active Directory属性的原始头像数据。

1	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2	对于从获取头像，选择AD属性，然后选择头像属性，其中包含要同步到云的原始头像数据。
3	要验证头像是否正确访问，请输入用户的电子邮件地址，然后单击获取用户头像。头像出现在右侧。
4	验证头像显示正确后，单击应用保存更改。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将目录头像从资源服务器同步到云

您可以将用户的目录头像同步到云，以便在登录Webex应用程序时显示每个头像。使用此程序从资源服务器同步化头像。

准备工作

此过程中的 URI 模式和变量值都是示例。您必须使用目录头像所在位置的实际 URL。
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。连接器需要http或https访问图像，但图像不需要在互联网上公开访问。
头像数据同步与Active Directory用户配置文件分开。如果您运行代理，必须确保NTLM身份验证或基本身份验证可以访问头像数据。

1	从Directory Connector，转至配置，单击阿凡达，然后检查启用。
2	对于从获取头像，选择资源服务器，然后输入头像URI模式—例如，*`http：//www.example.com/dir/photo/zoom/{mail： .?(?=@.)}.jpg`* 让我们来看看阿凡达URI模式的每个部分及其含义： http：//www.example.com/dir/photo/zoom/—将同步的所有照片所在的路径。它必须是服务器上的Directory Connector服务必须能够访问的URL。邮件：—告诉Directory Connector从Active Directory获取邮件属性的值 .?(?=@.)—执行以下功能的regex语法： *`。—任何字符，重复零或多次重复。` `？—告诉前一个变量以匹配尽可能少的字符。` `(?= ... )—匹配主表达式之后的组，但结果中不包含该组。目录连接器查找匹配并且不包含在输出中。` `@。—在at符号，然后是任意字符，重复零或多次重复。`* `.jpg—用户头像的文件扩展名。查看本文档中支持的文件类型，并相应更改扩展名。`
3	（可选）如果您的资源服务器需要凭证，请检查为头像设置用户凭证，然后选择使用当前服务登录用户或使用此用户并输入密码。
4	输入变量值 - 例如： `abcd@example.com。`
5	单击测试以确保头像URI模式正常工作。在此示例中，如果一个AD条目的邮件值为 `abcd@example.com`，并且jpg图像正在同步，则最终阿凡达URI 为 `http：//www.example.com/dir/photo/zoom/abcd.jpg`
6	验证了URI信息并看起来正确后，单击应用。有关如何使用正则表达式的详细信息，请参阅《Microsoft 正则表达式语言快速参考》。

同步的图像成为Webex应用程序中用户的默认头像。在Directory Connector启用此功能后，不允许用户设置自己的头像。
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步

执行干运行同步；如果没有问题，则执行完全同步，以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。

将内部会议室信息同步到Webex云

使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。同步房间信息后，带配置的SIP地址的内部房间设备将显示为云注册的Webex设备（房间、桌面和板）上的可搜索条目。

1	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择对象选择。
2	检查将房间信息同步到云，在同步过程中将房间数据与用户数据分开。禁用此设置时，将以与用户同步数据相同的方式处理会议室数据。
3	转至属性映射，然后更改云属性的属性映射sipAddresses；type=enterprise。要使用值验证，SIP地址的值应为Pattern.compile("^([^@])(.)@(.)$") 如果可用，选择 MSRTCSIP-PrimaryUserAddress。如果您在Active Directory模式中没有上述属性，请使用其他字段，例如 ipPhone。
4	在Exchange中创建会议室资源邮箱。这将添加连接器用于识别房间的 msExchResourceMetaData；ResourceType：Room 属性。
5	从Active Directory用户和计算机，导航到并编辑会议室的属性。使用sip的前缀添加完全合格SIP URI：
6	在连接器中执行干运行同步，然后执行完整运行同步。新会议室对象列出已添加对象，匹配的会议室对象将显示在已匹配对象中。任何标记要删除的房间对象都位于已删除的房间下。干运行结果显示所有匹配的房间资源。此设置将Active Directory房间数据（包括房间属性）与用户数据分离。同步完成后，连接器仪表板上的云统计数据将显示与云同步的房间数据。

下一步

现在您已完成这些步骤，当您在Webex云注册设备上搜索时，您将看到使用SIP地址配置的同步房间条目。当您将Webex设备拨入该条目时，将呼叫放置到为房间配置的SIP地址。

从Control Hub，您可以自动从目录导入会议室并创建工作空间。

端点无法将呼叫回传回至Webex应用程序。对于测试拨号设备，这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。如果您正在搜索的Active Directory会议室系统已注册到Webex，并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上，则搜索结果不会显示重复条目。在Webex应用程序中直接拨打Room、Desk或Board设备，不会进行SIP呼叫。

在目录同步结果上发送电子邮件报告

默认情况下，组织联系人或管理员始终都会收到电子邮件通知。使用此设置，您可以自定义谁应该接收总结目录同步报告的电子邮件通知。

1	从Directory Connector，单击配置，然后选择通知。
2	从Directory Connector中，单击设置，然后单击电子邮件接收器旁边的切换启用报告同步。
3	如果要覆盖默认通知行为并添加一个或多个电子邮件收件人，请选择启用通知。
4	单击添加，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
5	单击添加电子邮件，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您纠正问题，然后才能保存并应用更改。
6	如果您需要编辑您输入的任何电子邮件地址，请双击左侧列中的电子邮件条目，然后进行所需的任何更改。
7	添加所有有效电子邮件地址后，单击应用。
8	添加所有有效电子邮件地址后，单击保存。

下一步

如果您决定删除电子邮件地址，您可以单击电子邮件以突出显示该条目，然后单击删除。

如果您决定删除电子邮件地址，可以单击特定电子邮件地址条目旁边的删除。

从Active Directory向Control Hub提供用户

按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。在安装每个域的Directory Connector后，您可以从多个域Active Directory部署（包含单个森林或多个森林）提供用户。在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。目标是在Active Directory和Webex云之间实现精确匹配。

1	在您的Active Directory用户上执行干线同步执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
2	将Active Directory用户完全同步到云在您运行完全同步时，连接器服务将所有已过滤对象从 Active Directory (AD) 发送至云。然后，连接器服务将您的 AD 条目更新到身份存储库中。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。
3	向Control Hub中的Directory同步用户分配Webex服务完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用各种方法分配Webex服务许可证。我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。您还可以在此初始步骤后进行个人更改。

在您的Active Directory用户上执行干线同步

执行干运行以比较内部Active Directory中的对象和Webex云中的对象。干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。

在将来自不同域的用户上载的过程中，您必须决定是否保留或删除可能已存在在Webex云中的用户对象，例如，测试帐户。使用Directory Connector，目标是在Active Directory和Webex云之间实现精确匹配。

如果您在单个森林或多个森林中拥有多个域，则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。

准备工作

在使用Directory Connector之前，您可能已经在Control Hub中拥有一些Webex应用程序用户。在云中的用户中，有些用户可能会与本地Active Directory对象匹配，并为服务分配许可证。但有些测试用户可能是在进行同步时要删除。您必须在Active Directory和Control Hub之间创建完全匹配。

1	选择一种：首次登录后，单击提示符上的是以执行干运行。如果您错过了执行干运行的提醒，请随时从Directory Connector单击仪表板，选择同步干运行，然后单击确定以开始干运行同步。当干运行完成时，您将看到以下结果之一： *在目录连接器中检测到不匹配的对象* *Dry Run报告结果和目录连接器中的不匹配对象摘要* 摘要包含有关对象匹配的信息：匹配对象 -在Webex Common Identity中并且还存在在Active Directory域中的用户，如someuser@cisco.com与Webex同步并显示在Control Hub中，并且同一用户(someuser@cisco.com)在Active Directory中存在。这意味着用户已匹配。不匹配对象 -在Webex中使用的用户，无论该用户是如何在Common Identity中添加的，但在Active Directory中不存在该用户。它被称为“不匹配对象”。例如，如果someuser@cisco.com在Webex中同步并显示在Control Hub中，但同一用户(someuser@cisco.com)未由Active Directory管理，则报告显示该用户不匹配。干运行通过比较与域用户来识别用户。如果用户属于当前域，应用程序可以识别用户。在下一步，您必须决定是删除对象还是保留它们。不匹配的对象已在Webex云中存在，但在内部Active Directory中不存在。
2	查看干运行结果，然后根据您使用单个域还是多个域选择一个选项：单一域—确定是否要保留不匹配的用户。如果要保留它们，请选择否，请选择是，删除对象。在您执行这些步骤并手动运行完整同步后，以便本地和云之间精确匹配，Directory Connector将自动启用已安排的自动同步任务。多个域—对于具有域A和域B的组织，首先对域A进行干燥。如果您想保留不匹配用户，请选择否，保留对象。（这些不匹配的用户可能是域B的成员。）如果要删除，请选择是，删除对象。如果您保留用户，请先为Domain A运行完整同步，然后为Domain B运行干燥。如果仍然有不匹配的用户，请在Active Directory中添加这些用户，然后为Domain B进行完整同步。当内部与云之间存在完全匹配时，Directory Connector将自动启用已安排的自动同步任务。
3	在确认干运行提示符中，单击是重执行干运行同步并查看仪表板以查看结果。在干运行中成功同步的所有帐户都出现在匹配对象下。如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户，则该条目在已删除用户下列出。为了避免此删除标记，您可以在 Active Directory 中添加使用相同电子邮件地址的用户。若要查看已同步项目的详细信息，请单击特定项目的相应标签页或已匹配对象。若要保存摘要信息，请单击“将结果保存至文件”。
4	如果预期结果，请转至操作 > 同步模式 > 启用同步，然后单击立即启用进行手动同步，并在此处设置手动模式。在多个域部署中的最后一个Active Directory域进行同步后，必须为Directory Connector启用自动模式。只有当对象在Webex云和所有内部活动目录之间完全匹配时，您才可以启用自动模式。

下一步

对于您保留的任何不匹配的用户对象，您必须将其添加到Active Directory，以便在内部和云之间实现完全匹配。
选择同步类型：
- 首次将新用户同步到云时，将Active Directory用户完全同步到云中。您通过操作 > 立即同步 > 完整进行操作，然后将同步当前域中的用户。
- 设置连接器计划并在运行完整同步后运行增量同步，如果要在初始同步后检索更改。建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
  
  默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。
如果您有多个域，请在已安装的任何其他目录连接器上重复这些步骤。

注意事项

启用完全同步之前或更改同步参数时执行干运行。如果测试是由配置更改而引起的，可以在测试完成后保存设置。如果您已手动添加用户，执行Active Directory同步可能会导致以前添加的用户被删除。您可以在完全同步到云之前检查Directory Connector Dry Run报告，以验证所有预期用户都存在。

如果匹配的用户被标记为要删除，并且您不确定如何继续，请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

将Active Directory用户完全同步到云

在您运行完全同步时，连接器服务将所有已过滤对象从 Active Directory (AD) 发送至云。然后，连接器服务将您的 AD 条目更新到身份存储库中。如果您创建了自动分配许可证模板，您可以将其分配给新同步的用户。

如果您有多个域，则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。

目录连接器同步用户帐户状态—在Active Directory中，任何被标记为禁用的用户在云中也会显示为非活动。

准备工作

如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态，则必须执行以下步骤以绕过电子邮件验证：
- 将单点登录与Webex组织集成。请参阅使用Cisco Webex Services和您的组织的身份提供商进行单点登录以了解更多信息。
- 使用Control Hub验证并选择声称电子邮件地址中包含的域。请参阅添加、验证和声明域。
- 抑制自动电子邮件邀请，这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。（您可以进行自己的电子邮件活动。）
  
  尚未登录的已激活用户在Control Hub中显示已验证状态。登录后，他们将显示为“活动”状态。有关用户状态的详细信息，请参阅 Cisco Webex Control Hub 中的用户状态和操作。
启用同步时，Directory Connector要求您先执行干运行。我们建议您在完全同步之前进行干运行，以发现任何潜在的错误。
在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。

如果您不使用自动分配许可证模板，新同步的用户会自动获得免费许可证。他们将能够使用与免费帐户的相同的免费功能。

1	选择一种：首次登录后，如果干运行已完成并且所有域看起来正确，请单击立即启用以允许自动同步发生。从Directory Connector，转至仪表板，单击操作，选择同步模式>启用同步，然后单击立即同步>完整开始同步。
2	从Directory Connector转至同步，单击同步域旁边的更多，单击配置，然后选择完全同步。
3	确认同步的开始。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序会在您执行同步后72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，最后同步和云统计部分将使用新信息更新。用户数据同步到云。如果同步期间发生错误，状态指示球将变为红色。
4	要更新同步状态，请单击刷新。（同步项目出现在云统计下。）
5	有关错误的信息，请从操作工具栏选择启动事件查看器以查看错误日志。
6	要设置持续增量同步到云的同步计划，请参阅设置连接器计划和运行增量同步。

完成完全同步后，在Control Hub的设置页面上，目录同步状态将从禁用更新至操作。
当所有数据在内部和云之间匹配时，Directory Connector将从手动模式更改为自动同步模式。
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件，否则Webex应用程序用户帐户将保持未验证状态，直到用户首次登录Webex应用程序以确认其帐户。请参阅“开始之前”部分，了解如何将帐户同步为活动用户的指导。
如果您有多个域，请在已安装的任何其他目录连接器上执行此步骤。同步后，您添加的所有域上的用户都会在Control Hub中列出。
如果您将单点登录与Webex集成，并且已删除的电子邮件通知，则电子邮件邀请不会发送给新同步的用户。
启用目录连接器后，您无法在Control Hub中手动添加用户。启用后，从Cisco目录连接器执行用户管理，而Active Directory是唯一的真理源。
您同步的任何组都出现在Control Hub中，并且您可以分配许可证模板，以便该组中的用户获得许可证。

下一步

当您从Active Directory中删除用户时，该用户将在下次同步后被软删除。用户处于非活动状态，但云身份档案将保留七天（以便从意外删除中恢复）。

如果您在Active Directory中检查帐户已禁用，则下次同步后该用户将变为非活动。云身份档案七天后不会删除，以防要再次启用用户。
注意增量同步的这些异常（请按照上面的完整同步步骤操作）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。

向Control Hub中的Directory同步用户分配Webex服务

完成从Cisco目录连接器到Control Hub的完整用户同步后，您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证，或者如果您已经配置了自动分配的许可证模板，则向新用户添加其他许可证。您可以在此初始步骤后更改个人用户帐户。

完成从Directory Connector输入到Control Hub的完整用户同步后，您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证（如果您已经配置了自动分配许可证模板）。您可以在此初始步骤后更改个人用户帐户。

当您向Webex应用程序用户分配许可证时，该用户默认会收到一封确认分配的电子邮件。该电子邮件由Control Hub中的通知服务发送。如果您将单点登录(SSO)与Webex组织集成，则如果您更愿意直接联系用户，您也可以删除这些自动电子邮件通知。

准备工作

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
在Active Directory用户上执行干运行同步。
确认干运行结果后，在Active Directory用户上进行完全同步。

在完全同步时，用户在云中创建，不添加服务分配，也不发送激活电子邮件。如果电子邮件未被抑制，新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。

1

从 https：//admin.webex.com 中的客户视图，转至管理 > 用户，单击管理用户，选择修改所有同步用户，然后单击下一步。

2

选择一个选项：

下一步

如果电子邮件没有被抑制，将向每个用户发送电子邮件，并邀请其加入和下载Webex。
如果您为所有用户选择了相同的Webex服务，那么您可以单独或批量更改分配的许可证。

相关信息

目录连接器的已知问题

2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。此问题已在 2012 R2 和 2016版本中得到解决。
对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。

您可以按照以下说明尝试清除Webex应用程序的本地缓存： Windows 或 Mac。
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间，此时呼叫将无限响起。

管理Webex应用程序用户

运行增量同步

增量同步会查询 Active Directory，查找自上次同步以来发生的更改。然后，此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。

此同步不会给服务器带来那么多的负载，也不需要像完全同步那样多的时间。完成初始完整同步后，我们建议为后续同步使用增量选项。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
注意不支持增量同步的以下异常（请遵循将Active Directory用户完全同步到云中）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 对于属性映射、基本DN、过滤器和头像设置的新配置更改，增量同步无法工作，需要完全同步。

1	从 Directory Connector 中，单击控制板。启用同步时，Directory Connector 将要求您首先执行测试。
2	从操作中，如果尚未启用，单击同步模式>启用同步。默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。当新的增量时间间隔出现时，程序会根据最后一个时间标识检查更改。
3	从操作中，单击立即同步 > 增量。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存：Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，最后同步和云统计部分将使用新信息更新。如果同步期间发生错误，状态指示球将变为红色。
4	有关错误的信息，单击操作工具栏中的启动事件查看器可查看错误日志。

下一步

如果您有多个域，请在已安装的其他目录连接器实例上执行此步骤。

恢复意外删除的用户

Directory Connector具有制衡功能，以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器，这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复，并在Control Hub中重新建立用户帐户。

默认情况下，此功能对所有组织都启用。例如，在云中删除用户时，由于从Directory Connector同步后出现不匹配的对象问题，用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除，如果您快速采取行动，您可能能够恢复它们。

当在Active Directory中删除相应帐户时，用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间，您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。

在Active Directory中禁用的用户在Control Hub中标记为Inactive，但用户帐户在7天后不会删除。

1	登录到 Control Hub。
2	转至用户并确认特定用户帐户是否处于非活动状态或未列出。有关详细信息，请参阅控制中心中的用户状态和操作。
3	如果在Control Hub中删除用户，或者您注意到用户处于非活动状态，请转至Active Directory，添加缺失的用户帐户，然后在Directory Connector中执行干运行同步。使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。
4	执行完全同步，将暂时删除的用户帐户重新同步至Control Hub。用户被恢复并转至原始状态，包括其帐户状态和服务分配。

下一步

返回Control Hub，转至管理 > 用户，并确认先前删除的用户帐户出现在用户列表中。

在软删除后永久删除用户

执行干运行后，您可以选择永久删除下次同步时被软删除的用户。

1	干运行完成后，选择软删除对象。
2	选中要删除的用户旁边的复选框。
3	选择完成。

下一步

下次同步时，已检查的用户将被永久删除。

更改Webex应用程序电子邮件地址

如果您想更改用户电子邮件地址，并且您的组织使用Directory Connector，请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。

如果您只想更改一个用户的电子邮件或某个值，请勿从Active Directory中删除该用户，然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户，用户空间和云中的其他数据将丢失。

要在不更改域的情况下更改用户电子邮件地址：
1. 在Active Directory中打开用户帐户（例如，user1@example.com）并更改电子邮件地址（例如，user2@example.com）。
2. 在目录连接器上恢复同步。
  
  下次同步后，更改会显示在Control Hub中的用户列表中，以及缓存更新后Webex应用程序中的用户。
  
  采用此方法不会造成数据或空间丢失。第一次同步后在云中设置用户的唯一标识符。所有后续同步均基于此标识符。
在使用Directory Connector的多个域部署中，要在更改域时更改用户电子邮件地址（考虑旧域为example1.com，新域为example2.com）：
1. 对于旧用户帐户(user1@example1.com)，请注意映射到 uid 云属性的Active Directory属性。您需要为新帐户使用相同的Active Directory值。对于此示例，我们将使用 user1@example1.com 作为在云中映射到 uid 的本地属性。
2. 在example1.com和example2.com域的Directory Connector上暂停同步。
3. 在example2.com中创建新用户帐户，并使用上面的相同属性。（例如，user1@example1.com）。
4. 在Directory Connector上，例如2.com恢复同步
  
  在继续之前，请验证user1@example2.com帐户是否同步到Control Hub。我们建议您指示用户在Webex应用程序中验证电子邮件更改，并保留所有数据（空间、消息、会议、文件等）。
  
  使用此方法不会丢失数据或空间，但在新用户帐户中，您必须确保从旧用户帐户中保留映射到云uid属性的Active Directory属性。如果您更改了Active Directory值，新帐户不会保留旧帐户中的数据。
5. 验证电子邮件地址更改且数据完好后，删除example1.com上的旧用户帐户，然后使用Directory Connector恢复为example1.com的同步功能。
  
  此时，您可以安全地更新新的Active Directory域中的user1@example2.com电子邮件地址。

目录连接器不限制电子邮件域更改。但是，当用户重新同步到云时，用户状态取决于您的组织中是否验证新域。如果组织中未验证域，则在完全同步后，用户的状态将更改为“待定”。有关更多信息，请参阅管理您的域。

如果您的组织不使用Directory Connector，您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址，了解用户可以遵循的步骤来更改电子邮件。

更改 Active Directory 域

您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。

1	设置新的 Active Directory (AD) 域。
2	禁用所有连接器上的同步。
3	卸载所有连接器。
4	打开案例以更改域名。在案例提交中，请确保请求删除组织中的域配置和所有同步属性。在打开案例以更改域之前，请确保未运行同步功能。在案例解决之前，不要更改Active Directory中的任何用户电子邮件地址。
5	解决案例后：在具有新Active Directory域的同一服务器上安装Directory Connector。配置Directory Connector，使其指向新的Active Directory域。如果Control Hub ( https://admin.webex.com)中有现有用户，请确保具有匹配电子邮件地址的用户也出现在Active Directory中。如果您的组织已禁用DirSync中的 `softDelete` 切换，则在Control Hub中但不在Active Directory中的用户电子邮件地址将面临删除风险。在进行实际同步之前，使用Directory Connector执行测试运行。

域声明

如果您为某个组织申请电子邮件域名，从而在付费客户组织中创建任何旁边的帐户，而不是免费消费者组织中，则会出现域索偿。您只能通过支持案例进行域申索（有关更多信息，请参阅下面的链接）。

如果Directory Connector处于活动状态并且该域已声明，则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户，受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。

相关信息

在目录同步组织中转换免费的Webex应用程序用户

您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序，则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户，请在打开Directory Connector之前将其迁移（转换）到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。

如果您未在激活前转换帐户，请关闭 Directory Connector 以对帐户进行转换。

如果启用目录同步时尝试转换用户，将显示错误消息无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。

一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中，而不是不匹配对象。如果要将这些用户迁移到您的组织，则需要将这些用户添加到您的AD列表。

如果您未添加这些用户，它们将在您旁边同步到云时全部删除。

1	从 Directory Connector 中禁用目录同步功能。
2	按照在Control Hub中转换无许可用户程序将用户从免费消费组织转换为企业组织。此步骤将用户添加到您的组织，帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源，目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前，确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。
3	在Directory Connector上，执行干运行同步。测试完成后，查看“添加对象”标签页。验证是否未删除您已转换的任何用户。您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中，则Directory Connector将区分大小写，并删除其检测到电子邮件地址不匹配的转换用户（例如，user1@example.com和User1@example.com）。如果已删除任何转换的用户，他们将失去所有Webex应用程序空间。
4	如果您确定下一次同步将不会删除任何帐户，请从 Directory Connector 重新启用目录同步。

如果您没有验证域，转换的用户帐户不会自动激活。例如，如果您打开自动分配许可证模板，然后在没有域验证的情况下打开Directory Connector，转换后的用户将在云后端处于非活动状态，直到他们确认其电子邮件地址。

侧边的Webex应用程序用户帐户

当您邀请其他用户到Webex应用程序中的空间时，如果受邀用户没有Webex应用程序帐户，则为他们创建帐户（“侧面”）。缺省情况下，以此方式创建的帐户将添加至自由消费者组织中。

如果要使用Directory Connector管理侧栏帐户，则必须转换帐户。

目录同步后更改Webex应用程序用户名格式

默认情况下，Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。

执行目录同步后，您可能会发现该用户名以格式显示。

如果Active Directory中的 displayName 属性以这种方式配置，此用户名可能会出现。当属性映射到云中的 displayName 时，名称会在Control Hub中以格式显示。

若要更改格式，请在 Directory Connector 属性映射屏幕中进行如下操作：将Active Directory属性 givenName sn （或 sn givenName）映射到Cisco云属性名称中的 displayName 。

更改Cisco云属性名称格式

或者，将属性 sn givenName 映射到 displayName：

更改Cisco云属性名称格式

如果您想将自己的自定义属性表达式映射到 displayName，也可以使用“自定义属性”选项。

自定义Cisco云属性名称格式

例如，输入givenName + "" + sn （名字、空间、姓氏）作为表达式。将Active Directory中的两个属性映射到云中displayName 。

本地活动目录中的映射属性

允许用户在Webex Meetings中更改显示名称

如果您想允许用户编辑首选的显示名称，您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称，而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。

1	从Directory Connector，单击配置，然后选择用户属性映射。
2	在 Cisco云属性名称下选择显示名称。
3	选择不同步此属性。

下一步

用户现在可以从Webex站点编辑显示名称。

Directory Connector 故障诊断

升级到最新软件版本

要保持部署合规并获取最新功能、功能、错误修复和安全增强功能，您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本，则可能会遇到问题，例如Directory Connector不再正常同步，或者处于不支持强制性 TLS 1.2要求的版本上。

Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。

虽然您可以手动安装连接器软件更新更新，但我们建议您遵循设置自动升级中的步骤，让应用程序自动管理升级。

1	单击Windows任务栏中的通知，或右击Windows任务栏中的Directory Connector图标，开始升级过程。
2	按说明完成升级操作。
3	重新启动连接器并使用管理员凭据登录。
4	在帮助 > 关于下验证软件的版本号。

下一步

要重新安装Directory Connector，您可以下载zip文件，然后按照本指南中的安装步骤操作。

配置 Directory Connector 的常规设置

使用此程序配置常规设置，例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中，其中还包含正在运行的任何其他连接器。

1	从Directory Connector转至配置，然后单击常规。
2	在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。
3	从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括：信息（默认）—显示信息消息，突出显示高层次应用程序的进度。要在所有完整同步后接收报告，请使用此设置。警告—显示潜在的有害情况。调试-显示对调试应用程序最有用的详细信息事件。如果您看见任何问题，请设置此日志级别，并在提交支持申请时将事件日志发送给支持人员。错误-显示可能仍允许应用程序继续运行的错误事件。选择此选项时，仅在报告错误时发送同步报告。这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误，则仅在同步报告中报告错误；如果不存在错误，则不会发送同步报告。将设置更改为Info，然后在完全同步后收到同步报告。（请记住，对于增量同步，没有报告错误时不会发送报告。）
4	选择首选域控制器以设置域控制器同步身份的顺序。将按照从上到下的顺序访问域控制器。如果顶级控制器不可用，则选择列表中的第二个控制器。如果列表中没有控制器，您可以访问主控制器。
5	如果要进行自动升级，请检查自动升级到新的Cisco Directory Connector版本。将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置，允许在软件可用时安静地安装自动升级到软件。
6	检查通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。如果您未通过 SSL检查LDAP，则Directory Connector将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。

配置连接器策略

您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。

例如，将 1 设置为删除阈值触发值。在执行完全或增量同步时，如果您要删除的用户数大于该设置，Directory Connector 会显示警告。如果您单击忽略阈值，可以成功开始完全或增量同步，但是在您下次运行该策略时将再次看到此忽略提示。

1	从Directory Connector，单击配置，然后选择策略。
2	如需添加阈值触发器，请勾选“启用删除阈值触发器”复选框。选择该选项后，删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时，同步失败。
3	输入您要设置的最大删除次数。缺省值为 20。我们建议您不要增大该缺省值。
4	单击应用。

设置连接器的安排

在Active Directory中设置同步定时。为了实现高可用性 (HA)，使用了故障转移。如果有一个连接器宕机，我们会在预定义的间隔过后，切换到另一个待机连接器。

1	从Directory Connector，单击配置，然后选择计划。
2	以分钟为单位指定增量同步间隔。缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。
3	如果您希望更改发送报告的频率，请更改发送报告间隔时间值。
4	勾选启用完全同步计划以指定想要执行完全同步的日期和时间。
5	以分钟为单位指定故障转移间隔。
6	单击应用。

多域情境

多个域基于域优先级。对于在不同域具有相同键值的对象，在同步后，来自高优先级域的数据将覆盖来自低优先级域的数据。

具有相同键值的对象会链接到数据库中的同一条记录。

多域情境

“用户”的键值是电子邮件地址；“组”的键值是组名。

多域使用示例

此示例假设某组织有两个域 - example1.com 和 example2.com，前者优先级高于后者。

添加 user1（电子邮件：user@example1.com）到 example1.com 的 Active Directory。
添加 group1（组名：Test）到 example1.com 的 Active Directory。
添加 user2（电子邮件：user@example2.com）到 example2.com 的 Active Directory。
添加 group2（组名：Test）到 example2.com 的 Active Directory。

在 example1.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

如果您为 example1.com 执行全面或增量同步，user1 和 group1 会同步。而且，user2 和 group2 会被 user1 和 group1 的信息覆盖。

User1 作为数据库中的相同记录链接到 user2；group1 作为数据库中的相同记录链接到 group2。

在 example1.com 和 example2.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

请考虑这些步骤：

在 example1.com 的 Active Directory 上删除 user1 和 group1。
为 example1.com 执行全面或增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1，而 group2 没有链接到 group1。
为 example2.com 执行增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。
为 example2.com 执行全面同步。
结果：user2 和 group2 的信息在 https://admin.webex.com 中列出。

同步新的域并保留现有域

如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后，该连接器会与新的域绑定，而域 (A) 下的用户信息不受影响。

每个域必须自带有效的连接器。请考虑采用以下设置的两个域：带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA)；带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中，一个连接器处于活动状态，另一个处于待机状态 (HA)。该设计可保持域同步，因为有一个连接器始终处于活动状态。也就是说，cb1 是域 B 处于活动状态的连接器，因为域 A 已有处于活动状态的连接器（ca1 或 ca2）。

设置域优先级

使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域，等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织，此设置会很有帮助。

如果在 Directory Connector 中只列出了一个域，则不要使用此过程。如果您尝试进行此配置，连接器会显示一条消息，说明不需要域优先级。

开始之前

要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击设置域优先级。
3	高亮显示列表中的一个域，单击向上或向下更改此域的优先级，然后单击保存保存更改。各个域会按优先级自上而下排序。

切换域

使用此程序将Cisco目录连接器重新绑定到另一个域。

开始之前

在切换域之前，确保没有同步任务在运行。
要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击切换域。
3	阅读警告后，如果您理解此更改对部署的影响，而且您仍然确定要更改，请单击是。如果您切换域，则您将从当前Cisco目录连接器中注销，连接器中的其他域未注册，并且删除该计算机上的连接器信息。
4	重新登录Cisco目录连接器并重新绑定域。

关闭目录同步

如果您需要停止从Directory Connector进行同步，可以从Control Hub暂时将其关闭。

1

从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，然后选择一个：

单击更多，然后单击要关闭的连接器实例旁边的关闭。
单击关闭所有目录同步可停止所有连接器实例的同步。

2

阅读提示之后，单击关闭。

同步停止，直到从Directory Connector重新启用它。

删除用户属性映射

使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后，属性值将从云中删除，不再与Webex同步。然后可以手动编辑这些值。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 删除用户属性映射。
3	选择映射以从属性名称列表中删除。
4	在受影响的用户范围下，选择以下其中一项：仅使用目录连接器同步用户：映射将仅从先前同步的Directory Connector的用户中删除。所有用户：映射将从所有Active Directory用户中删除。
5	单击应用。

管理档案照片

使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 管理配置文件图片。
3	在操作下，选择以下其中一项：删除空头头像源的个人资料图片：如果Active Directory个人资料图片为空，此选项可确保用户个人资料图片从云中删除，即使用户之前已在Webex中上传了自己的图片。从同步源重新上传以覆盖缓存的图片：目录连接器使用与之前相同的Active Directory来更新所有用户的配置文件图片。这可以确保Active Directory中的个人资料图片与云之间没有不匹配。
4	单击 Apply（应用）。

卸载并停用目录连接器

卸载 Directory Connector 实例后，必须取消注册它。如果面临以下任何情况，都应该彻底删除 Directory Connector：

您不想再使用目录同步。
您不想使用多个 Directory Connector（高可用性）中的某一个。
您想要更改域并安装其他连接器。

开始之前

您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例，请禁用同步。
卸载Directory Connector之前，保存并关闭任何重要工作。

1	在您的 Windows 计算机上，转至“控制面板”，然后单击程序和功能。
2	从程序列表中，单击目录连接器，选择卸载，然后按照提示操作。您可能需要重启系统来完成卸载。
3	从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，单击更多，然后单击要卸载的目录连接器实例旁边的停用。
4	阅读提示之后，单击停用。用户帐户将不会再同步，除非在高可用性 (HA) 部署中还有其他 Directory Connector。

运行诊断工具

您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。

如果同步工作不正确，您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接，因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误，您可以发送详细的日志结果以支持。

要为Active Directory域服务运行测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-DS 选项卡，输入您的域，然后单击加载域控制器。
2. 从列表中选择一个域控制器。
  
  以后不要更改条目，因为增量搜索必须始终在同一域控制器上运行。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户和组对象和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行Active Directory轻量级目录服务的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-LDS 选项卡，输入主机和端口，然后单击加载分区。
2. 从列表中选择分区，然后单击连接。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户、用户代理和用户代理完整和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行轻量级目录访问协议(LDAP)的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击LDAP RAW 选项卡，输入根路径，过滤，从属性中选择一个条目，然后单击加载分区。
2. 根据需要检查以下选项：
  - ObjectSecurity—如果存在此选项，呼叫方不需要任何权利，只能看到呼叫方可访问的对象和属性。如果此选项不存在，呼叫者有权复制更改。
  - 家长至上—确保所有孩子的家长都先到孩子面前。
3. 选择 ExtendedDN 的值。
  
  此值用于扩展的LDAP搜索，以请求对象突出名称的扩展形式。
4. 选择ReferralChasing值。
  
  当域控制器从查询中返回转介时，将启动转介追踪——例如，对于可能位于命名空间之外的查询结果的详细信息（例如其他域或森林中的群组成员）。
5. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
6. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。

解决Ciso Directory Connector中的问题

目录连接器的故障排除和修复

您可能在Directory Connector中遇到错误消息或其他问题。此外，在Directory Connector同步用户信息后，该连接器可能会向您发送一封电子邮件报告，列出同步存在的任何问题。在联系支持人员之前，请参考以下章节，了解可能出现的问题、可能的原因和建议解决方案。

安装

Directory Connector 停止运行

您收到警告电子邮件，通知您您的Directory Connector无法工作。

目录连接器可能未正确安装。
目录连接器可能未运行。
网络可能不可用。

请尝试以下操作：

打开控制面板 > 程序和功能。找到 Directory Connector。如果没有，请从Control Hub下载最新版本并安装。
打开服务并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止，请单击右键并选择“启动”以重启该服务。
确保安装Directory Connector的服务器能够访问Internet。

重新安装错误

问题—如果您在卸载旧连接器后立即安装新连接器，可能会看到错误消息。

可能原因—在Windows Server 2012中，卸载客户端需要时间从服务列表中删除服务帐户。

解决方案—经过一段时间后，请再次尝试安装。

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

请执行以下步骤以在用户级别更改策略：

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

在运行 gpupdate /force、重新启动机器（用于机器更改）或再次输入用户符号（用于用户更改）后，更改将生效。

无法注册Cisco DirSync服务连接器

问题

登录失败，并显示此消息：“无法注册Cisco DirSync服务连接器。”

解决方案

安装Directory Connector的Windows系统必须是Active Directory的成员。

未显示登录页面

问题

您打开目录连接器，登录页未显示。

故障排除: 未显示登录页面

解决方案

请尝试以下步骤：

在Internet Explorer中，转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器（如Chrome和Firefox）中尝试该链接。
如果Internet Explorer无法访问该链接，但其他浏览器可以，请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。（使用启用Internet Explorer中的TLS 程序。）

显示登录提示

问题

出现提示提示您输入用户名和密码以通过身份验证。

可能原因

Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败，会弹出对话框以请求身份验证用户名和密码。

解决方案

当您看到登录弹出窗口时，您需要提供具有正确身份验证的有效帐户，以保证传递安全。

无法连接远程服务器

问题

在正常操作期间，出现错误消息：“无法连接到远程服务器”。

可能原因

您可能有需要解决的代理问题。

解决方案

有关更多故障排除信息，请参阅故障排除服务帐户登录问题。

无法注册连接器

问题

您将看到错误消息“无法注册连接器。发生了一般例外。”

可能原因

在大多数情况下，问题在于Directory Connector没有连接到LDAP根上下文的特权。

解决方案

请尝试以下操作：

运行命令提示符(cmd)，然后输入 ldp.exe。
单击连接 > 绑定，选择绑定为当前登录用户，然后单击确定。
单击查看 > 树，输入DC=arbonneintl，DC=ad 作为BaseDN，然后单击确定。
如果问题继续，打开支持案例。

同步

头像未同步

问题

Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。

可能原因

如果您重复使用现有的头像服务器，并且用户头像已经同步，则本地缓存将捕获它们，并避免再次重订以保存带宽。

解决方案

按照以下步骤删除本地缓存：

转至C：\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
删除DirSyncPluginAvatar.dll-cache.bin。
从Cisco目录连接器重新启动头像同步。

用户电子邮件帐户冲突

问题

同步结果可能会显示有冲突的用户电子邮件帐户。

如果用户尝试了Webex应用程序的免费版本，他们的电子邮件地址将位于免费消费者组织中。
如果用户电子邮件在另一个组织中已同步。
如果用户电子邮件存在于属于组织的多个域中。

解决方案

请尝试以下操作：

如果您要向用户索要权，请按照以下步骤操作：
1. 确保您已在 Control Hub中验证该域。
2. 暂时禁用Cisco目录连接器。
3. 使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关更多信息，请参阅向您的组织索要用户（转换用户）。
4. 在Cisco Directory Connector中运行干燥，然后重新启用目录同步
对于最后一个案例，请复选您的Active Directory源中的用户数据。

已转换用户标记为非活动

问题

在您的目录同步环境中，您将免费（消费者组织）用户转换为企业组织，但转换用户无法登录Webex应用程序。

可能原因

当自由用户转换为企业组织时，该用户将被标记为非活动状态为30天，作为安全合规措施。在此期间内，用户无法登录Webex应用程序，并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。

解决方案

如果您不想删除该用户帐户，必须采取行动。要解决此问题，请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后，从Cisco Directory连接器执行同步。然后，用户可以再次登录Webex应用程序，帐户不会被删除。

增量同步失败

问题

增量同步失败。

在以下条件下可能会在Windows Server 2008 R2上出现此问题：

您支持增量值更新。
您使用的筛选器引用链接值属性。
该属性的结果值自上次进行完全同步以来已更新。

解决方案

Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。

属性的值无效

问题

对于 [user dn (distinguished name)]，属性 [attribute name] 有以下无效值 [attribute value]。

可能原因

对于CN=b，OU=Employees，OU=C Users，DC=c，DC=com，属性[电话号码]具有以下无效值：+。此属性必须包含至少一个数字。

解决方案

此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。

要删除匹配的用户

问题

匹配的用户将被标记为要删除。

当执行干运行同步以检查Active Directory和云之间的数据时，您可能会在两者中看到相同的电子邮件地址。但是，用户被标记为要删除的对象。

解决方案

选择适当的修复：

如果可以在之后删除用户并重新执行许可证，您可以使用Directory Connector进行修复。执行同步以删除用户，然后执行其他同步以将用户从本地AD同步到云。
如果您无法删除并重新创建用户帐户，请在支持下打开案例。

缺少属性

问题

添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值，否则不会在Control Hub中创建该条目。

可能原因

必需属性的 email address 缺失。添加内部条目时[CN=Sales User，OU=Engineers，OU=K，DC=k，DC=local]，除非所有必需属性都具有值，否则不会在Control Hub中创建条目。

解决方案

用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。

嵌套组无法同步

问题

嵌套的Active Directory组中的用户未正确与云同步。

可能原因

使用不受支持的子组和父组的筛选器。例如：(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)

解决方案

必须重新配置同步组的过滤器。例如：|(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)(memberof=CN=testSubGroup，CN=Users，DC=rktest2008，DC=org)

用户命名冲突

问题

对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言，[用户电子邮件地址]，以及用户类型[user_type]。

可能原因

已在Control Hub中存在该电子邮件地址的用户。

解决方案

在Active Directory中创建用户，其电子邮件地址与您通过Control Hub注册的帐户相同。

Control Hub

Control Hub中缺少用户列表

问题

如果您拥有超过1000名同步用户的Webex组织，则可能无法在Control Hub中看到用户列表。

解决方案

您可以使用搜索功能查找用户帐户。在Control Hub中，转至用户，单击搜索 “搜索”按钮，然后输入搜索条件以查找特定用户。

组不会同步到Control Hub

问题

目录组中的用户无法正确同步到Control Hub。

可能原因

在Active Directory中，该组未标记为 isCriticalSystemObject 。

解决方案

确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。

启用 Directory Connector 故障诊断

您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息，并将其保存至文件。

以下日志文件： \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	运行 `services.msc` 文件，将Directory Connector服务的正在运行的帐户从本地系统更改为有权访问AD DS或AD LDS的域帐户。
2	重启服务。请参阅如何启动服务获取指导。
3	在目录连接器中，单击仪表板。
4	转至操作，然后单击实用程序 > 故障排除。
5	启用故障诊断后，重复执行导致错误的操作，这样将捕获流量数据，以便进行检查。
6	检查日志文件：如果文件空白，请确保帐户有权访问 AD DS 或 AD LDS。日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。
7	如有必要，向支持人员发送日志文件以获取协助。
8	诊断完成后，请禁用故障诊断功能。

相关信息

启动事件查看器

若要查看完全或增量同步期间发生的事件，请启动“事件查看器”。它显示管理事件和错误日志的摘要。

1	从Directory Connector转至仪表板，然后单击操作 > 启动事件查看器。 “事件属性”对话将显示同步事件详细信息与错误详细信息。
2	从事件查看器，转至应用程序和服务日志 > Cisco Directory Connector。
3	在操作下，单击保存所有事件为将所有日志导出为单个事件文件(*。evtx)或其他格式（如xml或csv）。

下一步

如果您需要打开案例，请联系支持人员，描述连接器的问题，然后将“事件”文件附加到案例中。

事件日志会捕捉用户操作。如需管理网络流量的帮助，请在连接器上启用故障排除。

在Internet Explorer中启用TLS

如果您切换了单点登录(SSO)提供商，您可能会看到来自Cisco目录连接器的以下错误消息：

登录到服务时出错
此页脚本中出现错误

如果您看到这些错误，必须在浏览器中启用TLS设置。

1	打开Internet Explorer，然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器，然后再次打开它
2	单击互联网选项，转至高级，滚动至安全。
3	检查使用TLS 1.1 和使用TLS 1.2 复选框，然后单击确定。
4	重新启动系统以便更改生效。

服务帐户登录问题故障诊断

如果您无法登录Cisco目录连接器或无法运行同步，请在联系支持人员之前尝试解决该问题。

1

尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。

2

根据结果选择一项：

如果您无法从浏览器访问该链接，请检查您的网络设置。如果您的环境使用代理，请检查代理设置。
如果您可以通过浏览器访问链接，但无法打开Cisco目录连接器（无法打开连接器并弹出带有407的错误消息），单击此处以获取最新版本的Cisco目录连接器。
如果您可以从浏览器访问链接，但无法从Cisco目录连接器运行同步，请将服务登录帐户更改为域管理员。

检查您用于登录Windows系统的帐户是否与您在“Cisco DirSync服务”中设置的帐户相同。如果他们是2个不同的帐户，请确保两个帐户都可以访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。如果您的环境使用代理，请确保两个帐户在Internet Explorer中配置为代理，并且可以成功访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL 。

3

至少，确保Cisco DirSync服务（可在Windows服务中找到）配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下，该服务利用Windows登录帐户凭据和身份验证。

相关信息

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

Cisco Directory连接器概述

目录连接器概述

Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件，并将其安装到本地计算机上。

使用Directory Connector，您可以在Active Directory中维护您的用户帐户和数据，因此Active Directory成为唯一的真相来源。当您在内部进行更改时，它会复制到云。

请参阅表中所有的功能、描述和优势：

功能	描述和优势
简单易用的控制板	该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。
在同步到云之前进行干燥	在云中实施这些更改之前，先对目录进行干燥。之后，运行报告以查看要执行的变更是否与预期一致。
完全同步和增量同步	同步整个目录。或者，仅同步增量变更，从而提高处理能力并缩短同步时间。
同步多个域（单森林或多森林）	Directory Connector支持单个森林或多个森林下的多个域（无需使用AD LDS）。对于拥有多个Active Directory域的企业，您可以为每个域安装Directory Connector，将每个域绑定到您的组织，然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态，允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。
按计划同步	按天、小时和分钟设置同步安排。
轻量级目录访问协议 (LDAP) 过滤器	定义 LDAP 搜索条件并实现高效的导入。
活动目录属性映射	将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性，并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据，例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据（职务、部门、经理等）。
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录	如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务，或者您拥有内部Room设备，此功能可让用户从Cisco Webex Calling（云PSTN）电话或Room资源搜索企业联系人目录。会议室资源同步协作室信息之后，具有已配置、已映射 SIP 地址的本地协作室设备将作为可搜索条目显示在云注册协作室设备（例如 Cisco Webex Room 设备或 Cisco Webex Board）中。当用户在Cisco Webex Room设备或Cisco Webex板上进行搜索时，您将看到使用SIP地址配置的同步房间条目。当他们将从Webex设备拨打到该条目上时，将将呼叫放置到为房间配置的SIP地址。正在呼叫除了Webex App联系人之外，用户还可以呼叫企业联系人。通过Directory Connector，企业用户及其电话号码会被添加到您的Webex组织。他们不需要为Webex服务获得许可才能使用此功能。未为Webex授权的用户将出现在从Cisco Webex呼叫用户电话执行的目录搜索中，只要通过Directory Connector与Webex同步的URI或电话号码即可。对于这两种用户，呼叫功能的表现是相同的。此功能部件还为只有电话号码的联系人提供了编辑拨号功能。在联系人搜索结果中：如果联系人具有可调用URI（Webex SIP地址）和电话号码，将显示与联系人关联的URI。如果联系人没有可拨号的 URI，但却有电话号码，则显示电话号码。还会显示一个编辑拨号软键。如果这两者联系人都没有，则该联系人不会显示在目录中。
事件查看器	使用事件查看器可确定是否存在同步问题。
诊断工具和故障排除	您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确，您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接，以便在联系支持人员之前自行诊断错误。在Directory Connector中启用故障排除后，将编写日志，可发送给技术支持。
自动升级	安装 Directory Connector 后，您会在软件有新版本时收到通知。您可以设置自动升级，以便在发布新版本时始终使用最新版本的软件。
高可用性	配置多个连接器，以便在主连接器或机器主机出现宕机情况时提供备用。

Directory Connector 分为以下三个部分：

Control Hub 是一个单一界面，可让您管理Webex组织的所有方面：如果您希望用户通过企业身份提供商进行身份验证，并且不想为Webex应用程序发送电子邮件邀请，则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域，您可以为要同步的每个域安装一个软件实例。使用该软件，您可以运行同步以将Active Directory用户帐户带入Webex，查看和监控同步状态，并配置Directory Connector服务。
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。

请参考此图了解Directory Connector架构：

为Directory Connector准备您的环境

目录连接器的要求

Windows和Active Directory要求

您可以在这些受支持的Windows服务器上安装Directory Connector：

Windows Server 2022
Windows Server 2019
Windows Server 2016

要解决Cookie问题，我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。

以下的Active Directory服务支持Directory Connector：

2016年活动目录

（在Windows Server 2019上使用最新版本的Active Directory时，支持目录连接器）
活动目录2012
活动目录2008 R2
活动目录2008

请注意以下附加要求：

目录连接器需要TLS1.2。您必须安装以下内容：
- .NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题，请使用使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
- .NET Framework v.4.5（TLS1.2必需）
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。（请参阅什么是 Active Directory 功能级别？获取更多信息。）

硬件要求

您必须在符合以下最低硬件要求的计算机上安装Directory Connector：

8 GB RAM
50 GB 存储
CPU 没有最低要求

网络要求

如果您的网络是防火墙的幕后，请确保您的系统有HTTPS（端口443）访问互联网。

Webex组织要求

要从Control Hub访问Directory Connector软件，您需要试用Webex组织或任何付费订阅。
（可选）如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态，我们建议您执行以下操作：
- 添加、验证并选择声称包含要同步到云的用户电子邮件地址的域。
- 将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成。
- 抑制自动电子邮件邀请，这样新用户就不会收到自动电子邮件邀请，您可以进行自己的电子邮件活动。（此功能需要SSO集成。）

有关详细信息，请参阅控制中心中的用户状态和操作。

安装要求

对于多个域环境（单森林或多森林），必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保您有受支持的独立 Windows Server 来安装 Directory Connector，以进行域 (B) 同步。
要登录连接器，我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。

此本地用户必须拥有该Windows计算机上的权限，才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。（此信息也适用于虚拟机登录。）
登录连接器时，登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下，连接器使用本地系统帐户访问Active Directory。但是，您可以使用Windows服务配置其他帐户以访问Active Directory。（此信息也适用于虚拟机登录。）
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用：在Windows注册表中检查SafeDllSearchMode。
如果您在单个森林上使用多个AD LDS域，我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。

多个域要求

在 Cisco目录连接器部署任务流中跟踪任务之前，如果您要将多个域的Active Directory信息同步到云中，请记住以下要求和建议：

每个域需要单独的Directory Connector实例。
Directory Connector软件必须运行在其将同步的同一域上的主机。
我们建议您在Control Hub中验证或声明您的域。（参见添加、验证和申请域。）
如果要同步超过50个域，您必须打开标签才能让您的组织移动到大型组织列表。
如果需要，您可以与用户帐户同步房间资源信息。（请参阅将内部会议室信息同步到Webex云。）

自动许可证分配活动目录组建议

Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。

Active Directory中有两种类型的组：

分发组—用于创建电子邮件分发列表。
安全组-用于分配共享资源的权限。

活动目录组类型

在Active Directory中创建组时，请考虑以下指导原则：

为每个角色、部门或服务创建全球组（例如销售、营销、经理、会计师、Webex授权等）。
在整个组织中使用标准命名规范，以便轻松识别有关组的重要信息。组名称可以包含组的详细信息，例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如，组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
以易于理解的方式组织群组，例如按地域或管理层次。使用组描述来完整描述组的目的。
在将用户添加到新配置的组之前，请为这些组在Control Hub中定义自动许可证组模板。有关详细信息，请参阅设置自动许可证分配模板。

调整尺寸信息

Directory Connector是本地Active Directory和Webex云之间的桥梁。因此，连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定，而不是连接器本身。

一些因素会影响同步的速度：

Active Directory对象的总数。（5,000个用户同步工作所需的时间不超过50,000。）
网络速度和带宽。
系统工作负载和规格。

如果您正在同步超过50,000个用户，我们强烈建议您使用第二个连接器进行故障转移和冗余。

由于同步涉及多个因素，并且每个部署取决于上述因素，因此我们无法提供对象同步所需时间的特定时间值。

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

WebEx 代理集成

如果您的环境中已启用 Web 代理验证，则您仍然可用使用 Directory Connector。

如果您的组织使用透明Web代理，则不支持身份验证。连接器已成功连接和同步用户。

您可以选择下列方法之一：

通过Internet Explorer显式Web代理（连接器继承了Web代理设置）
通过。pac文件显式网络代理（连接器继承企业特定的代理设置）
与连接器配合的透明代理，无需任何更改

通过浏览器使用 Web 代理

您可以通过Internet Explorer设置Directory Connector以使用Web代理。

如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行，那么您还需要用此帐户登录并配置 Web 代理。

1	从Internet Explorer转至 Internet选项 > 连接，然后选择LAN设置。
2	将Windows实例指向在Web代理中安装连接器的位置。连接器继承这些Web代理设置。
3	如果环境使用代理验证，请将这些 URL 添加到允许列表： cloudconnector.webex.com 用于同步。欧盟客户还应添加 cloudconnector-eu.webex.com。 idbroker.webex.com 进行身份验证。欧盟客户还应添加 idbroker-eu.webex.com。 idbroker-static.webex.com 用于提供静态资源，如font、js组件等。您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。
4	如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表： .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org 有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

通过 PAC 文件配置 Web 代理

您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。

1

要使连接器成功连接并同步用户信息到Webex云，请确保安装连接器的主机。pac文件配置中已禁用 cloudconnector.webex.com 的代理身份验证。

2

如果环境使用代理验证，请将这些 URL 添加到允许列表：

cloudconnector.webex.com 用于同步。

欧盟客户还应添加 cloudconnector-eu.webex.com。
idbroker.webex.com 进行身份验证。

欧盟客户还应添加 idbroker-eu.webex.com。
idbroker-static.webex.com 用于提供静态资源，如font、js组件等。

您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。

如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。

3

如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表：

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

NTLM代理

Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证，并确保其安全。

NTLM设计

在大多数情况下，用户希望通过客户端PC访问其他工作站资源，这很难以安全的方式进行。

一般来说，NTLM的技术设计基于挑战和响应机制：

用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同，密码的哈希值在本地存储。当用户通过密码登录客户端时，Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同，则验证将通过。

当用户想要访问其他服务器中的任何资源时，客户端会向服务器发送一个请求，帐户名称为纯文本。
当服务器收到请求时，服务器会生成16位随机密钥。关键称为Challenge（或Nonce）。在服务器返回客户端之前，挑战将存储在服务器中。然后，服务器将挑战以纯文本形式发送给客户端。
客户端收到服务器发送的挑战后，客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后，该值将返回到服务器。
当服务器从客户端收到加密值时，服务器将其发送到域控制器进行验证。请求包括：帐户名称、客户端发送的加密挑战，以及原始的简单挑战。
域控制器可以根据帐户名称检索密码的哈希值。然后，域控制器可以对原始挑战进行加密。然后，域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同，验证将成功。

Windows在操作系统中内置了安全验证，使应用程序更容易支持安全验证。因此，您无需完成进一步的配置。

配置透明代理

在这种情境下，浏览器不会知道透明 Web 代理正在拦截 http 请求（端口 80/端口 443），因此不需要客户端配置。

1	部署透明代理，以便连接器可以连接和同步用户。
2	确认代理已成功—启动连接器时，您会看到预期的浏览器身份验证弹出窗口。

设置代理身份验证

通过创建访问控制列表，将URL cloudconnector.webex.com 添加到允许列表中。

在企业防火墙服务器上：

1	如果尚未启用 DNS 查找，请启用。
2	确定此连接的估计带宽（连接器约为2 mb/s或以下）。这不是必须执行的步骤。
3	创建访问控制列表以应用于连接器主机，并指定 `cloudconnector.webex.com` 作为要添加到允许列表的终端。例如： `access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https`
4	将此ACL应用于相应的防火墙接口，该接口仅适用于此单个连接器主持人。
5	通过配置相应的隐式拒绝声明，确保企业中的其他主机仍需使用 Web 代理。

管理Webex应用程序用户

运行增量同步

增量同步会查询 Active Directory，查找自上次同步以来发生的更改。然后，此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。

此同步不会给服务器带来那么多的负载，也不需要像完全同步那样多的时间。完成初始完整同步后，我们建议为后续同步使用增量选项。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
注意不支持增量同步的以下异常（请遵循将Active Directory用户完全同步到云中）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 对于属性映射、基本DN、过滤器和头像设置的新配置更改，增量同步无法工作，需要完全同步。

1	从 Directory Connector 中，单击控制板。启用同步时，Directory Connector 将要求您首先执行测试。
2	从操作中，如果尚未启用，单击同步模式>启用同步。默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。当新的增量时间间隔出现时，程序会根据最后一个时间标识检查更改。
3	从操作中，单击立即同步 > 增量。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存：Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，最后同步和云统计部分将使用新信息更新。如果同步期间发生错误，状态指示球将变为红色。
4	有关错误的信息，单击操作工具栏中的启动事件查看器可查看错误日志。

下一步

如果您有多个域，请在已安装的其他目录连接器实例上执行此步骤。

恢复意外删除的用户

Directory Connector具有制衡功能，以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器，这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复，并在Control Hub中重新建立用户帐户。

默认情况下，此功能对所有组织都启用。例如，在云中删除用户时，由于从Directory Connector同步后出现不匹配的对象问题，用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除，如果您快速采取行动，您可能能够恢复它们。

当在Active Directory中删除相应帐户时，用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间，您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。

在Active Directory中禁用的用户在Control Hub中标记为Inactive，但用户帐户在7天后不会删除。

1	登录到 Control Hub。
2	转至用户并确认特定用户帐户是否处于非活动状态或未列出。有关详细信息，请参阅控制中心中的用户状态和操作。
3	如果在Control Hub中删除用户，或者您注意到用户处于非活动状态，请转至Active Directory，添加缺失的用户帐户，然后在Directory Connector中执行干运行同步。使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。
4	执行完全同步，将暂时删除的用户帐户重新同步至Control Hub。用户被恢复并转至原始状态，包括其帐户状态和服务分配。

下一步

返回Control Hub，转至管理 > 用户，并确认先前删除的用户帐户出现在用户列表中。

在软删除后永久删除用户

执行干运行后，您可以选择永久删除下次同步时被软删除的用户。

1	干运行完成后，选择软删除对象。
2	选中要删除的用户旁边的复选框。
3	选择完成。

下一步

下次同步时，已检查的用户将被永久删除。

更改Webex应用程序电子邮件地址

如果您想更改用户电子邮件地址，并且您的组织使用Directory Connector，请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。

如果您只想更改一个用户的电子邮件或某个值，请勿从Active Directory中删除该用户，然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户，用户空间和云中的其他数据将丢失。

要在不更改域的情况下更改用户电子邮件地址：
1. 在Active Directory中打开用户帐户（例如，user1@example.com）并更改电子邮件地址（例如，user2@example.com）。
2. 在目录连接器上恢复同步。
  
  下次同步后，更改会显示在Control Hub中的用户列表中，以及缓存更新后Webex应用程序中的用户。
  
  采用此方法不会造成数据或空间丢失。第一次同步后在云中设置用户的唯一标识符。所有后续同步均基于此标识符。
在使用Directory Connector的多个域部署中，要在更改域时更改用户电子邮件地址（考虑旧域为example1.com，新域为example2.com）：
1. 对于旧用户帐户(user1@example1.com)，请注意映射到 uid 云属性的Active Directory属性。您需要为新帐户使用相同的Active Directory值。对于此示例，我们将使用 user1@example1.com 作为在云中映射到 uid 的本地属性。
2. 在example1.com和example2.com域的Directory Connector上暂停同步。
3. 在example2.com中创建新用户帐户，并使用上面的相同属性。（例如，user1@example1.com）。
4. 在Directory Connector上，例如2.com恢复同步
  
  在继续之前，请验证user1@example2.com帐户是否同步到Control Hub。我们建议您指示用户在Webex应用程序中验证电子邮件更改，并保留所有数据（空间、消息、会议、文件等）。
  
  使用此方法不会丢失数据或空间，但在新用户帐户中，您必须确保从旧用户帐户中保留映射到云uid属性的Active Directory属性。如果您更改了Active Directory值，新帐户不会保留旧帐户中的数据。
5. 验证电子邮件地址更改且数据完好后，删除example1.com上的旧用户帐户，然后使用Directory Connector恢复为example1.com的同步功能。
  
  此时，您可以安全地更新新的Active Directory域中的user1@example2.com电子邮件地址。

目录连接器不限制电子邮件域更改。但是，当用户重新同步到云时，用户状态取决于您的组织中是否验证新域。如果组织中未验证域，则在完全同步后，用户的状态将更改为“待定”。有关更多信息，请参阅管理您的域。

如果您的组织不使用Directory Connector，您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址，了解用户可以遵循的步骤来更改电子邮件。

更改 Active Directory 域

您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。

1	设置新的 Active Directory (AD) 域。
2	禁用所有连接器上的同步。
3	卸载所有连接器。
4	打开案例以更改域名。在案例提交中，请确保请求删除组织中的域配置和所有同步属性。在打开案例以更改域之前，请确保未运行同步功能。在案例解决之前，不要更改Active Directory中的任何用户电子邮件地址。
5	解决案例后：在具有新Active Directory域的同一服务器上安装Directory Connector。配置Directory Connector，使其指向新的Active Directory域。如果Control Hub ( https://admin.webex.com)中有现有用户，请确保具有匹配电子邮件地址的用户也出现在Active Directory中。如果您的组织已禁用DirSync中的 `softDelete` 切换，则在Control Hub中但不在Active Directory中的用户电子邮件地址将面临删除风险。在进行实际同步之前，使用Directory Connector执行测试运行。

域声明

如果您为某个组织申请电子邮件域名，从而在付费客户组织中创建任何旁边的帐户，而不是免费消费者组织中，则会出现域索偿。您只能通过支持案例进行域申索（有关更多信息，请参阅下面的链接）。

如果Directory Connector处于活动状态并且该域已声明，则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户，受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。

相关信息

在目录同步组织中转换免费的Webex应用程序用户

您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序，则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户，请在打开Directory Connector之前将其迁移（转换）到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。

如果您未在激活前转换帐户，请关闭 Directory Connector 以对帐户进行转换。

如果启用目录同步时尝试转换用户，将显示错误消息无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。

一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中，而不是不匹配对象。如果要将这些用户迁移到您的组织，则需要将这些用户添加到您的AD列表。

如果您未添加这些用户，它们将在您旁边同步到云时全部删除。

1	从 Directory Connector 中禁用目录同步功能。
2	按照在Control Hub中转换无许可用户程序将用户从免费消费组织转换为企业组织。此步骤将用户添加到您的组织，帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源，目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前，确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。
3	在Directory Connector上，执行干运行同步。测试完成后，查看“添加对象”标签页。验证是否未删除您已转换的任何用户。您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中，则Directory Connector将区分大小写，并删除其检测到电子邮件地址不匹配的转换用户（例如，user1@example.com和User1@example.com）。如果已删除任何转换的用户，他们将失去所有Webex应用程序空间。
4	如果您确定下一次同步将不会删除任何帐户，请从 Directory Connector 重新启用目录同步。

如果您没有验证域，转换的用户帐户不会自动激活。例如，如果您打开自动分配许可证模板，然后在没有域验证的情况下打开Directory Connector，转换后的用户将在云后端处于非活动状态，直到他们确认其电子邮件地址。

侧边的Webex应用程序用户帐户

当您邀请其他用户到Webex应用程序中的空间时，如果受邀用户没有Webex应用程序帐户，则为他们创建帐户（“侧面”）。缺省情况下，以此方式创建的帐户将添加至自由消费者组织中。

如果要使用Directory Connector管理侧栏帐户，则必须转换帐户。

目录同步后更改Webex应用程序用户名格式

默认情况下，Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。

执行目录同步后，您可能会发现该用户名以格式显示。

如果Active Directory中的 displayName 属性以这种方式配置，此用户名可能会出现。当属性映射到云中的 displayName 时，名称会在Control Hub中以格式显示。

若要更改格式，请在 Directory Connector 属性映射屏幕中进行如下操作：将Active Directory属性 givenName sn （或 sn givenName）映射到Cisco云属性名称中的 displayName 。

更改Cisco云属性名称格式

或者，将属性 sn givenName 映射到 displayName：

更改Cisco云属性名称格式

如果您想将自己的自定义属性表达式映射到 displayName，也可以使用“自定义属性”选项。

自定义Cisco云属性名称格式

例如，输入givenName + "" + sn （名字、空间、姓氏）作为表达式。将Active Directory中的两个属性映射到云中displayName 。

本地活动目录中的映射属性

允许用户在Webex Meetings中更改显示名称

如果您想允许用户编辑首选的显示名称，您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称，而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。

1	从Directory Connector，单击配置，然后选择用户属性映射。
2	在 Cisco云属性名称下选择显示名称。
3	选择不同步此属性。

下一步

用户现在可以从Webex站点编辑显示名称。

Directory Connector 故障诊断

升级到最新软件版本

要保持部署合规并获取最新功能、功能、错误修复和安全增强功能，您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本，则可能会遇到问题，例如Directory Connector不再正常同步，或者处于不支持强制性 TLS 1.2要求的版本上。

Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。

虽然您可以手动安装连接器软件更新更新，但我们建议您遵循设置自动升级中的步骤，让应用程序自动管理升级。

1	单击Windows任务栏中的通知，或右击Windows任务栏中的Directory Connector图标，开始升级过程。
2	按说明完成升级操作。
3	重新启动连接器并使用管理员凭据登录。
4	在帮助 > 关于下验证软件的版本号。

下一步

要重新安装Directory Connector，您可以下载zip文件，然后按照本指南中的安装步骤操作。

配置 Directory Connector 的常规设置

使用此程序配置常规设置，例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中，其中还包含正在运行的任何其他连接器。

1	从Directory Connector转至配置，然后单击常规。
2	在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。
3	从下拉框中选择日志级别。默认情况下，日志级别设置为信息。可用的日志级别包括：信息（默认）—显示信息消息，突出显示高层次应用程序的进度。要在所有完整同步后接收报告，请使用此设置。警告—显示潜在的有害情况。调试-显示对调试应用程序最有用的详细信息事件。如果您看见任何问题，请设置此日志级别，并在提交支持申请时将事件日志发送给支持人员。错误-显示可能仍允许应用程序继续运行的错误事件。选择此选项时，仅在报告错误时发送同步报告。这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误，则仅在同步报告中报告错误；如果不存在错误，则不会发送同步报告。将设置更改为Info，然后在完全同步后收到同步报告。（请记住，对于增量同步，没有报告错误时不会发送报告。）
4	选择首选域控制器以设置域控制器同步身份的顺序。将按照从上到下的顺序访问域控制器。如果顶级控制器不可用，则选择列表中的第二个控制器。如果列表中没有控制器，您可以访问主控制器。
5	如果要进行自动升级，请检查自动升级到新的Cisco Directory Connector版本。将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置，允许在软件可用时安静地安装自动升级到软件。
6	检查通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。如果您未通过 SSL检查LDAP，则Directory Connector将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。

配置连接器策略

您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。

例如，将 1 设置为删除阈值触发值。在执行完全或增量同步时，如果您要删除的用户数大于该设置，Directory Connector 会显示警告。如果您单击忽略阈值，可以成功开始完全或增量同步，但是在您下次运行该策略时将再次看到此忽略提示。

1	从Directory Connector，单击配置，然后选择策略。
2	如需添加阈值触发器，请勾选“启用删除阈值触发器”复选框。选择该选项后，删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时，同步失败。
3	输入您要设置的最大删除次数。缺省值为 20。我们建议您不要增大该缺省值。
4	单击应用。

设置连接器的安排

在Active Directory中设置同步定时。为了实现高可用性 (HA)，使用了故障转移。如果有一个连接器宕机，我们会在预定义的间隔过后，切换到另一个待机连接器。

1	从Directory Connector，单击配置，然后选择计划。
2	以分钟为单位指定增量同步间隔。缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。
3	如果您希望更改发送报告的频率，请更改发送报告间隔时间值。
4	勾选启用完全同步计划以指定想要执行完全同步的日期和时间。
5	以分钟为单位指定故障转移间隔。
6	单击应用。

多域情境

多个域基于域优先级。对于在不同域具有相同键值的对象，在同步后，来自高优先级域的数据将覆盖来自低优先级域的数据。

具有相同键值的对象会链接到数据库中的同一条记录。

多域情境

“用户”的键值是电子邮件地址；“组”的键值是组名。

多域使用示例

此示例假设某组织有两个域 - example1.com 和 example2.com，前者优先级高于后者。

添加 user1（电子邮件：user@example1.com）到 example1.com 的 Active Directory。
添加 group1（组名：Test）到 example1.com 的 Active Directory。
添加 user2（电子邮件：user@example2.com）到 example2.com 的 Active Directory。
添加 group2（组名：Test）到 example2.com 的 Active Directory。

在 example1.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

如果您为 example1.com 执行全面或增量同步，user1 和 group1 会同步。而且，user2 和 group2 会被 user1 和 group1 的信息覆盖。

User1 作为数据库中的相同记录链接到 user2；group1 作为数据库中的相同记录链接到 group2。

在 example1.com 和 example2.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

请考虑这些步骤：

在 example1.com 的 Active Directory 上删除 user1 和 group1。
为 example1.com 执行全面或增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1，而 group2 没有链接到 group1。
为 example2.com 执行增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。
为 example2.com 执行全面同步。
结果：user2 和 group2 的信息在 https://admin.webex.com 中列出。

同步新的域并保留现有域

如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后，该连接器会与新的域绑定，而域 (A) 下的用户信息不受影响。

每个域必须自带有效的连接器。请考虑采用以下设置的两个域：带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA)；带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中，一个连接器处于活动状态，另一个处于待机状态 (HA)。该设计可保持域同步，因为有一个连接器始终处于活动状态。也就是说，cb1 是域 B 处于活动状态的连接器，因为域 A 已有处于活动状态的连接器（ca1 或 ca2）。

设置域优先级

使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域，等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织，此设置会很有帮助。

如果在 Directory Connector 中只列出了一个域，则不要使用此过程。如果您尝试进行此配置，连接器会显示一条消息，说明不需要域优先级。

开始之前

要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击设置域优先级。
3	高亮显示列表中的一个域，单击向上或向下更改此域的优先级，然后单击保存保存更改。各个域会按优先级自上而下排序。

切换域

使用此程序将Cisco目录连接器重新绑定到另一个域。

开始之前

在切换域之前，确保没有同步任务在运行。
要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击切换域。
3	阅读警告后，如果您理解此更改对部署的影响，而且您仍然确定要更改，请单击是。如果您切换域，则您将从当前Cisco目录连接器中注销，连接器中的其他域未注册，并且删除该计算机上的连接器信息。
4	重新登录Cisco目录连接器并重新绑定域。

关闭目录同步

如果您需要停止从Directory Connector进行同步，可以从Control Hub暂时将其关闭。

1

从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，然后选择一个：

单击更多，然后单击要关闭的连接器实例旁边的关闭。
单击关闭所有目录同步可停止所有连接器实例的同步。

2

阅读提示之后，单击关闭。

同步停止，直到从Directory Connector重新启用它。

删除用户属性映射

使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后，属性值将从云中删除，不再与Webex同步。然后可以手动编辑这些值。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 删除用户属性映射。
3	选择映射以从属性名称列表中删除。
4	在受影响的用户范围下，选择以下其中一项：仅使用目录连接器同步用户：映射将仅从先前同步的Directory Connector的用户中删除。所有用户：映射将从所有Active Directory用户中删除。
5	单击应用。

管理档案照片

使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 管理配置文件图片。
3	在操作下，选择以下其中一项：删除空头头像源的个人资料图片：如果Active Directory个人资料图片为空，此选项可确保用户个人资料图片从云中删除，即使用户之前已在Webex中上传了自己的图片。从同步源重新上传以覆盖缓存的图片：目录连接器使用与之前相同的Active Directory来更新所有用户的配置文件图片。这可以确保Active Directory中的个人资料图片与云之间没有不匹配。
4	单击 Apply（应用）。

卸载并停用目录连接器

卸载 Directory Connector 实例后，必须取消注册它。如果面临以下任何情况，都应该彻底删除 Directory Connector：

您不想再使用目录同步。
您不想使用多个 Directory Connector（高可用性）中的某一个。
您想要更改域并安装其他连接器。

开始之前

您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例，请禁用同步。
卸载Directory Connector之前，保存并关闭任何重要工作。

1	在您的 Windows 计算机上，转至“控制面板”，然后单击程序和功能。
2	从程序列表中，单击目录连接器，选择卸载，然后按照提示操作。您可能需要重启系统来完成卸载。
3	从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，单击更多，然后单击要卸载的目录连接器实例旁边的停用。
4	阅读提示之后，单击停用。用户帐户将不会再同步，除非在高可用性 (HA) 部署中还有其他 Directory Connector。

运行诊断工具

您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。

如果同步工作不正确，您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接，因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误，您可以发送详细的日志结果以支持。

要为Active Directory域服务运行测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-DS 选项卡，输入您的域，然后单击加载域控制器。
2. 从列表中选择一个域控制器。
  
  以后不要更改条目，因为增量搜索必须始终在同一域控制器上运行。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户和组对象和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行Active Directory轻量级目录服务的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-LDS 选项卡，输入主机和端口，然后单击加载分区。
2. 从列表中选择分区，然后单击连接。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户、用户代理和用户代理完整和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行轻量级目录访问协议(LDAP)的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击LDAP RAW 选项卡，输入根路径，过滤，从属性中选择一个条目，然后单击加载分区。
2. 根据需要检查以下选项：
  - ObjectSecurity—如果存在此选项，呼叫方不需要任何权利，只能看到呼叫方可访问的对象和属性。如果此选项不存在，呼叫者有权复制更改。
  - 家长至上—确保所有孩子的家长都先到孩子面前。
3. 选择 ExtendedDN 的值。
  
  此值用于扩展的LDAP搜索，以请求对象突出名称的扩展形式。
4. 选择ReferralChasing值。
  
  当域控制器从查询中返回转介时，将启动转介追踪——例如，对于可能位于命名空间之外的查询结果的详细信息（例如其他域或森林中的群组成员）。
5. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
6. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。

解决Ciso Directory Connector中的问题

目录连接器的故障排除和修复

您可能在Directory Connector中遇到错误消息或其他问题。此外，在Directory Connector同步用户信息后，该连接器可能会向您发送一封电子邮件报告，列出同步存在的任何问题。在联系支持人员之前，请参考以下章节，了解可能出现的问题、可能的原因和建议解决方案。

安装

Directory Connector 停止运行

您收到警告电子邮件，通知您您的Directory Connector无法工作。

目录连接器可能未正确安装。
目录连接器可能未运行。
网络可能不可用。

请尝试以下操作：

打开控制面板 > 程序和功能。找到 Directory Connector。如果没有，请从Control Hub下载最新版本并安装。
打开服务并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止，请单击右键并选择“启动”以重启该服务。
确保安装Directory Connector的服务器能够访问Internet。

重新安装错误

问题—如果您在卸载旧连接器后立即安装新连接器，可能会看到错误消息。

可能原因—在Windows Server 2012中，卸载客户端需要时间从服务列表中删除服务帐户。

解决方案—经过一段时间后，请再次尝试安装。

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

请执行以下步骤以在用户级别更改策略：

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

在运行 gpupdate /force、重新启动机器（用于机器更改）或再次输入用户符号（用于用户更改）后，更改将生效。

无法注册Cisco DirSync服务连接器

问题

登录失败，并显示此消息：“无法注册Cisco DirSync服务连接器。”

解决方案

安装Directory Connector的Windows系统必须是Active Directory的成员。

未显示登录页面

问题

您打开目录连接器，登录页未显示。

故障排除: 未显示登录页面

解决方案

请尝试以下步骤：

在Internet Explorer中，转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器（如Chrome和Firefox）中尝试该链接。
如果Internet Explorer无法访问该链接，但其他浏览器可以，请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。（使用启用Internet Explorer中的TLS 程序。）

显示登录提示

问题

出现提示提示您输入用户名和密码以通过身份验证。

可能原因

Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败，会弹出对话框以请求身份验证用户名和密码。

解决方案

当您看到登录弹出窗口时，您需要提供具有正确身份验证的有效帐户，以保证传递安全。

无法连接远程服务器

问题

在正常操作期间，出现错误消息：“无法连接到远程服务器”。

可能原因

您可能有需要解决的代理问题。

解决方案

有关更多故障排除信息，请参阅故障排除服务帐户登录问题。

无法注册连接器

问题

您将看到错误消息“无法注册连接器。发生了一般例外。”

可能原因

在大多数情况下，问题在于Directory Connector没有连接到LDAP根上下文的特权。

解决方案

请尝试以下操作：

运行命令提示符(cmd)，然后输入 ldp.exe。
单击连接 > 绑定，选择绑定为当前登录用户，然后单击确定。
单击查看 > 树，输入DC=arbonneintl，DC=ad 作为BaseDN，然后单击确定。
如果问题继续，打开支持案例。

同步

头像未同步

问题

Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。

可能原因

如果您重复使用现有的头像服务器，并且用户头像已经同步，则本地缓存将捕获它们，并避免再次重订以保存带宽。

解决方案

按照以下步骤删除本地缓存：

转至C：\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
删除DirSyncPluginAvatar.dll-cache.bin。
从Cisco目录连接器重新启动头像同步。

用户电子邮件帐户冲突

问题

同步结果可能会显示有冲突的用户电子邮件帐户。

如果用户尝试了Webex应用程序的免费版本，他们的电子邮件地址将位于免费消费者组织中。
如果用户电子邮件在另一个组织中已同步。
如果用户电子邮件存在于属于组织的多个域中。

解决方案

请尝试以下操作：

如果您要向用户索要权，请按照以下步骤操作：
1. 确保您已在 Control Hub中验证该域。
2. 暂时禁用Cisco目录连接器。
3. 使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关更多信息，请参阅向您的组织索要用户（转换用户）。
4. 在Cisco Directory Connector中运行干燥，然后重新启用目录同步
对于最后一个案例，请复选您的Active Directory源中的用户数据。

已转换用户标记为非活动

问题

在您的目录同步环境中，您将免费（消费者组织）用户转换为企业组织，但转换用户无法登录Webex应用程序。

可能原因

当自由用户转换为企业组织时，该用户将被标记为非活动状态为30天，作为安全合规措施。在此期间内，用户无法登录Webex应用程序，并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。

解决方案

如果您不想删除该用户帐户，必须采取行动。要解决此问题，请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后，从Cisco Directory连接器执行同步。然后，用户可以再次登录Webex应用程序，帐户不会被删除。

增量同步失败

问题

增量同步失败。

在以下条件下可能会在Windows Server 2008 R2上出现此问题：

您支持增量值更新。
您使用的筛选器引用链接值属性。
该属性的结果值自上次进行完全同步以来已更新。

解决方案

Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。

属性的值无效

问题

对于 [user dn (distinguished name)]，属性 [attribute name] 有以下无效值 [attribute value]。

可能原因

对于CN=b，OU=Employees，OU=C Users，DC=c，DC=com，属性[电话号码]具有以下无效值：+。此属性必须包含至少一个数字。

解决方案

此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。

要删除匹配的用户

问题

匹配的用户将被标记为要删除。

当执行干运行同步以检查Active Directory和云之间的数据时，您可能会在两者中看到相同的电子邮件地址。但是，用户被标记为要删除的对象。

解决方案

选择适当的修复：

如果可以在之后删除用户并重新执行许可证，您可以使用Directory Connector进行修复。执行同步以删除用户，然后执行其他同步以将用户从本地AD同步到云。
如果您无法删除并重新创建用户帐户，请在支持下打开案例。

缺少属性

问题

添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值，否则不会在Control Hub中创建该条目。

可能原因

必需属性的 email address 缺失。添加内部条目时[CN=Sales User，OU=Engineers，OU=K，DC=k，DC=local]，除非所有必需属性都具有值，否则不会在Control Hub中创建条目。

解决方案

用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。

嵌套组无法同步

问题

嵌套的Active Directory组中的用户未正确与云同步。

可能原因

使用不受支持的子组和父组的筛选器。例如：(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)

解决方案

必须重新配置同步组的过滤器。例如：|(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)(memberof=CN=testSubGroup，CN=Users，DC=rktest2008，DC=org)

用户命名冲突

问题

对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言，[用户电子邮件地址]，以及用户类型[user_type]。

可能原因

已在Control Hub中存在该电子邮件地址的用户。

解决方案

在Active Directory中创建用户，其电子邮件地址与您通过Control Hub注册的帐户相同。

Control Hub

Control Hub中缺少用户列表

问题

如果您拥有超过1000名同步用户的Webex组织，则可能无法在Control Hub中看到用户列表。

解决方案

您可以使用搜索功能查找用户帐户。在Control Hub中，转至用户，单击搜索 “搜索”按钮，然后输入搜索条件以查找特定用户。

组不会同步到Control Hub

问题

目录组中的用户无法正确同步到Control Hub。

可能原因

在Active Directory中，该组未标记为 isCriticalSystemObject 。

解决方案

确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。

启用 Directory Connector 故障诊断

您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息，并将其保存至文件。

以下日志文件： \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	运行 `services.msc` 文件，将Directory Connector服务的正在运行的帐户从本地系统更改为有权访问AD DS或AD LDS的域帐户。
2	重启服务。请参阅如何启动服务获取指导。
3	在目录连接器中，单击仪表板。
4	转至操作，然后单击实用程序 > 故障排除。
5	启用故障诊断后，重复执行导致错误的操作，这样将捕获流量数据，以便进行检查。
6	检查日志文件：如果文件空白，请确保帐户有权访问 AD DS 或 AD LDS。日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。
7	如有必要，向支持人员发送日志文件以获取协助。
8	诊断完成后，请禁用故障诊断功能。

相关信息

启动事件查看器

若要查看完全或增量同步期间发生的事件，请启动“事件查看器”。它显示管理事件和错误日志的摘要。

1	从Directory Connector转至仪表板，然后单击操作 > 启动事件查看器。 “事件属性”对话将显示同步事件详细信息与错误详细信息。
2	从事件查看器，转至应用程序和服务日志 > Cisco Directory Connector。
3	在操作下，单击保存所有事件为将所有日志导出为单个事件文件(*。evtx)或其他格式（如xml或csv）。

下一步

如果您需要打开案例，请联系支持人员，描述连接器的问题，然后将“事件”文件附加到案例中。

事件日志会捕捉用户操作。如需管理网络流量的帮助，请在连接器上启用故障排除。

在Internet Explorer中启用TLS

如果您切换了单点登录(SSO)提供商，您可能会看到来自Cisco目录连接器的以下错误消息：

登录到服务时出错
此页脚本中出现错误

如果您看到这些错误，必须在浏览器中启用TLS设置。

1	打开Internet Explorer，然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器，然后再次打开它
2	单击互联网选项，转至高级，滚动至安全。
3	检查使用TLS 1.1 和使用TLS 1.2 复选框，然后单击确定。
4	重新启动系统以便更改生效。

服务帐户登录问题故障诊断

如果您无法登录Cisco目录连接器或无法运行同步，请在联系支持人员之前尝试解决该问题。

1

尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。

2

根据结果选择一项：

如果您无法从浏览器访问该链接，请检查您的网络设置。如果您的环境使用代理，请检查代理设置。
如果您可以通过浏览器访问链接，但无法打开Cisco目录连接器（无法打开连接器并弹出带有407的错误消息），单击此处以获取最新版本的Cisco目录连接器。
如果您可以从浏览器访问链接，但无法从Cisco目录连接器运行同步，请将服务登录帐户更改为域管理员。

检查您用于登录Windows系统的帐户是否与您在“Cisco DirSync服务”中设置的帐户相同。如果他们是2个不同的帐户，请确保两个帐户都可以访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。如果您的环境使用代理，请确保两个帐户在Internet Explorer中配置为代理，并且可以成功访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL 。

3

至少，确保Cisco DirSync服务（可在Windows服务中找到）配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下，该服务利用Windows登录帐户凭据和身份验证。

相关信息

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

Cisco Directory连接器概述

目录连接器概述

Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件，并将其安装到本地计算机上。

使用Directory Connector，您可以在Active Directory中维护您的用户帐户和数据，因此Active Directory成为唯一的真相来源。当您在内部进行更改时，它会复制到云。

请参阅表中所有的功能、描述和优势：

功能	描述和优势
简单易用的控制板	该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。
在同步到云之前进行干燥	在云中实施这些更改之前，先对目录进行干燥。之后，运行报告以查看要执行的变更是否与预期一致。
完全同步和增量同步	同步整个目录。或者，仅同步增量变更，从而提高处理能力并缩短同步时间。
同步多个域（单森林或多森林）	Directory Connector支持单个森林或多个森林下的多个域（无需使用AD LDS）。对于拥有多个Active Directory域的企业，您可以为每个域安装Directory Connector，将每个域绑定到您的组织，然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态，允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。
按计划同步	按天、小时和分钟设置同步安排。
轻量级目录访问协议 (LDAP) 过滤器	定义 LDAP 搜索条件并实现高效的导入。
活动目录属性映射	将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性，并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据，例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据（职务、部门、经理等）。
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录	如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务，或者您拥有内部Room设备，此功能可让用户从Cisco Webex Calling（云PSTN）电话或Room资源搜索企业联系人目录。会议室资源同步协作室信息之后，具有已配置、已映射 SIP 地址的本地协作室设备将作为可搜索条目显示在云注册协作室设备（例如 Cisco Webex Room 设备或 Cisco Webex Board）中。当用户在Cisco Webex Room设备或Cisco Webex板上进行搜索时，您将看到使用SIP地址配置的同步房间条目。当他们将从Webex设备拨打到该条目上时，将将呼叫放置到为房间配置的SIP地址。正在呼叫除了Webex App联系人之外，用户还可以呼叫企业联系人。通过Directory Connector，企业用户及其电话号码会被添加到您的Webex组织。他们不需要为Webex服务获得许可才能使用此功能。未为Webex授权的用户将出现在从Cisco Webex呼叫用户电话执行的目录搜索中，只要通过Directory Connector与Webex同步的URI或电话号码即可。对于这两种用户，呼叫功能的表现是相同的。此功能部件还为只有电话号码的联系人提供了编辑拨号功能。在联系人搜索结果中：如果联系人具有可调用URI（Webex SIP地址）和电话号码，将显示与联系人关联的URI。如果联系人没有可拨号的 URI，但却有电话号码，则显示电话号码。还会显示一个编辑拨号软键。如果这两者联系人都没有，则该联系人不会显示在目录中。
事件查看器	使用事件查看器可确定是否存在同步问题。
诊断工具和故障排除	您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确，您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接，以便在联系支持人员之前自行诊断错误。在Directory Connector中启用故障排除后，将编写日志，可发送给技术支持。
自动升级	安装 Directory Connector 后，您会在软件有新版本时收到通知。您可以设置自动升级，以便在发布新版本时始终使用最新版本的软件。
高可用性	配置多个连接器，以便在主连接器或机器主机出现宕机情况时提供备用。

Directory Connector 分为以下三个部分：

Control Hub 是一个单一界面，可让您管理Webex组织的所有方面：如果您希望用户通过企业身份提供商进行身份验证，并且不想为Webex应用程序发送电子邮件邀请，则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域，您可以为要同步的每个域安装一个软件实例。使用该软件，您可以运行同步以将Active Directory用户帐户带入Webex，查看和监控同步状态，并配置Directory Connector服务。
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。

请参考此图了解Directory Connector架构：

为Directory Connector准备您的环境

目录连接器的要求

Windows和Active Directory要求

您可以在这些受支持的Windows服务器上安装Directory Connector：

Windows Server 2022
Windows Server 2019
Windows Server 2016

要解决Cookie问题，我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。

以下的Active Directory服务支持Directory Connector：

2016年活动目录

（在Windows Server 2019上使用最新版本的Active Directory时，支持目录连接器）
活动目录2012
活动目录2008 R2
活动目录2008

请注意以下附加要求：

目录连接器需要TLS1.2。您必须安装以下内容：
- .NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题，请使用使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
- .NET Framework v.4.5（TLS1.2必需）
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。（请参阅什么是 Active Directory 功能级别？获取更多信息。）

硬件要求

您必须在符合以下最低硬件要求的计算机上安装Directory Connector：

8 GB RAM
50 GB 存储
CPU 没有最低要求

网络要求

如果您的网络是防火墙的幕后，请确保您的系统有HTTPS（端口443）访问互联网。

Webex组织要求

要从Control Hub访问Directory Connector软件，您需要试用Webex组织或任何付费订阅。
（可选）如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态，我们建议您执行以下操作：
- 添加、验证并选择声称包含要同步到云的用户电子邮件地址的域。
- 将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成。
- 抑制自动电子邮件邀请，这样新用户就不会收到自动电子邮件邀请，您可以进行自己的电子邮件活动。（此功能需要SSO集成。）

有关详细信息，请参阅控制中心中的用户状态和操作。

安装要求

对于多个域环境（单森林或多森林），必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保您有受支持的独立 Windows Server 来安装 Directory Connector，以进行域 (B) 同步。
要登录连接器，我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。

此本地用户必须拥有该Windows计算机上的权限，才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。（此信息也适用于虚拟机登录。）
登录连接器时，登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下，连接器使用本地系统帐户访问Active Directory。但是，您可以使用Windows服务配置其他帐户以访问Active Directory。（此信息也适用于虚拟机登录。）
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用：在Windows注册表中检查SafeDllSearchMode。
如果您在单个森林上使用多个AD LDS域，我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。

多个域要求

在 Cisco目录连接器部署任务流中跟踪任务之前，如果您要将多个域的Active Directory信息同步到云中，请记住以下要求和建议：

每个域需要单独的Directory Connector实例。
Directory Connector软件必须运行在其将同步的同一域上的主机。
我们建议您在Control Hub中验证或声明您的域。（参见添加、验证和申请域。）
如果要同步超过50个域，您必须打开标签才能让您的组织移动到大型组织列表。
如果需要，您可以与用户帐户同步房间资源信息。（请参阅将内部会议室信息同步到Webex云。）

自动许可证分配活动目录组建议

Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。

Active Directory中有两种类型的组：

分发组—用于创建电子邮件分发列表。
安全组-用于分配共享资源的权限。

活动目录组类型

在Active Directory中创建组时，请考虑以下指导原则：

为每个角色、部门或服务创建全球组（例如销售、营销、经理、会计师、Webex授权等）。
在整个组织中使用标准命名规范，以便轻松识别有关组的重要信息。组名称可以包含组的详细信息，例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如，组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
以易于理解的方式组织群组，例如按地域或管理层次。使用组描述来完整描述组的目的。
在将用户添加到新配置的组之前，请为这些组在Control Hub中定义自动许可证组模板。有关详细信息，请参阅设置自动许可证分配模板。

调整尺寸信息

Directory Connector是本地Active Directory和Webex云之间的桥梁。因此，连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定，而不是连接器本身。

一些因素会影响同步的速度：

Active Directory对象的总数。（5,000个用户同步工作所需的时间不超过50,000。）
网络速度和带宽。
系统工作负载和规格。

如果您正在同步超过50,000个用户，我们强烈建议您使用第二个连接器进行故障转移和冗余。

由于同步涉及多个因素，并且每个部署取决于上述因素，因此我们无法提供对象同步所需时间的特定时间值。

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

WebEx 代理集成

如果您的环境中已启用 Web 代理验证，则您仍然可用使用 Directory Connector。

如果您的组织使用透明Web代理，则不支持身份验证。连接器已成功连接和同步用户。

您可以选择下列方法之一：

通过Internet Explorer显式Web代理（连接器继承了Web代理设置）
通过。pac文件显式网络代理（连接器继承企业特定的代理设置）
与连接器配合的透明代理，无需任何更改

通过浏览器使用 Web 代理

您可以通过Internet Explorer设置Directory Connector以使用Web代理。

如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行，那么您还需要用此帐户登录并配置 Web 代理。

1	从Internet Explorer转至 Internet选项 > 连接，然后选择LAN设置。
2	将Windows实例指向在Web代理中安装连接器的位置。连接器继承这些Web代理设置。
3	如果环境使用代理验证，请将这些 URL 添加到允许列表： cloudconnector.webex.com 用于同步。欧盟客户还应添加 cloudconnector-eu.webex.com。 idbroker.webex.com 进行身份验证。欧盟客户还应添加 idbroker-eu.webex.com。 idbroker-static.webex.com 用于提供静态资源，如font、js组件等。您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。
4	如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表： .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org 有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

通过 PAC 文件配置 Web 代理

您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。

1

要使连接器成功连接并同步用户信息到Webex云，请确保安装连接器的主机。pac文件配置中已禁用 cloudconnector.webex.com 的代理身份验证。

2

如果环境使用代理验证，请将这些 URL 添加到允许列表：

cloudconnector.webex.com 用于同步。

欧盟客户还应添加 cloudconnector-eu.webex.com。
idbroker.webex.com 进行身份验证。

欧盟客户还应添加 idbroker-eu.webex.com。
idbroker-static.webex.com 用于提供静态资源，如font、js组件等。

您可以在整个站点范围内执行此操作（针对所有主持人），也可以仅针对具有连接器的主持人。

如果您将这些URL添加到允许列表以完全绕过您的WEB代理，请确保防火墙ACL表已更新，以允许连接器主持人直接访问URL。

3

如果您的环境需要从证书颁发机构请求证书撤销列表，请将这些URL添加到您的允许列表：

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

有关详细信息，请参阅本文关于Webex Services需要访问的域和URL。

NTLM代理

Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证，并确保其安全。

NTLM设计

在大多数情况下，用户希望通过客户端PC访问其他工作站资源，这很难以安全的方式进行。

一般来说，NTLM的技术设计基于挑战和响应机制：

用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同，密码的哈希值在本地存储。当用户通过密码登录客户端时，Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同，则验证将通过。

当用户想要访问其他服务器中的任何资源时，客户端会向服务器发送一个请求，帐户名称为纯文本。
当服务器收到请求时，服务器会生成16位随机密钥。关键称为Challenge（或Nonce）。在服务器返回客户端之前，挑战将存储在服务器中。然后，服务器将挑战以纯文本形式发送给客户端。
客户端收到服务器发送的挑战后，客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后，该值将返回到服务器。
当服务器从客户端收到加密值时，服务器将其发送到域控制器进行验证。请求包括：帐户名称、客户端发送的加密挑战，以及原始的简单挑战。
域控制器可以根据帐户名称检索密码的哈希值。然后，域控制器可以对原始挑战进行加密。然后，域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同，验证将成功。

Windows在操作系统中内置了安全验证，使应用程序更容易支持安全验证。因此，您无需完成进一步的配置。

配置透明代理

在这种情境下，浏览器不会知道透明 Web 代理正在拦截 http 请求（端口 80/端口 443），因此不需要客户端配置。

1	部署透明代理，以便连接器可以连接和同步用户。
2	确认代理已成功—启动连接器时，您会看到预期的浏览器身份验证弹出窗口。

设置代理身份验证

通过创建访问控制列表，将URL cloudconnector.webex.com 添加到允许列表中。

在企业防火墙服务器上：

1	如果尚未启用 DNS 查找，请启用。
2	确定此连接的估计带宽（连接器约为2 mb/s或以下）。这不是必须执行的步骤。
3	创建访问控制列表以应用于连接器主机，并指定 `cloudconnector.webex.com` 作为要添加到允许列表的终端。例如： `access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https`
4	将此ACL应用于相应的防火墙接口，该接口仅适用于此单个连接器主持人。
5	通过配置相应的隐式拒绝声明，确保企业中的其他主机仍需使用 Web 代理。

管理Webex应用程序用户

运行增量同步

增量同步会查询 Active Directory，查找自上次同步以来发生的更改。然后，此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。

此同步不会给服务器带来那么多的负载，也不需要像完全同步那样多的时间。完成初始完整同步后，我们建议为后续同步使用增量选项。

开始之前

在从Active Directory同步的新Webex应用程序用户上使用之前，必须设置自动分配许可证模板。
注意不支持增量同步的以下异常（请遵循将Active Directory用户完全同步到云中）：
- 如果更新了头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 对于属性映射、基本DN、过滤器和头像设置的新配置更改，增量同步无法工作，需要完全同步。

1	从 Directory Connector 中，单击控制板。启用同步时，Directory Connector 将要求您首先执行测试。
2	从操作中，如果尚未启用，单击同步模式>启用同步。默认情况下，增量同步设置为每30分钟（3.4及更早版本）或每4小时（3.5及更高版本）进行，但您可以更改此值。在您最初执行完全同步之前，增量同步不会发生。当新的增量时间间隔出现时，程序会根据最后一个时间标识检查更改。
3	从操作中，单击立即同步 > 增量。对于您在Active Directory中对Active Directory中的用户进行的任何更改（例如，显示名称），Control Hub会在刷新用户视图时立即反映更改，但Webex应用程序将在执行同步后的72小时内反映更改。您可以按照以下说明尝试清除Webex应用程序的本地缓存：Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，最后同步和云统计部分将使用新信息更新。如果同步期间发生错误，状态指示球将变为红色。
4	有关错误的信息，单击操作工具栏中的启动事件查看器可查看错误日志。

下一步

如果您有多个域，请在已安装的其他目录连接器实例上执行此步骤。

恢复意外删除的用户

Directory Connector具有制衡功能，以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器，这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复，并在Control Hub中重新建立用户帐户。

默认情况下，此功能对所有组织都启用。例如，在云中删除用户时，由于从Directory Connector同步后出现不匹配的对象问题，用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除，如果您快速采取行动，您可能能够恢复它们。

当在Active Directory中删除相应帐户时，用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间，您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。

在Active Directory中禁用的用户在Control Hub中标记为Inactive，但用户帐户在7天后不会删除。

1	登录到 Control Hub。
2	转至用户并确认特定用户帐户是否处于非活动状态或未列出。有关详细信息，请参阅控制中心中的用户状态和操作。
3	如果在Control Hub中删除用户，或者您注意到用户处于非活动状态，请转至Active Directory，添加缺失的用户帐户，然后在Directory Connector中执行干运行同步。使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。
4	执行完全同步，将暂时删除的用户帐户重新同步至Control Hub。用户被恢复并转至原始状态，包括其帐户状态和服务分配。

下一步

返回Control Hub，转至管理 > 用户，并确认先前删除的用户帐户出现在用户列表中。

在软删除后永久删除用户

执行干运行后，您可以选择永久删除下次同步时被软删除的用户。

1	干运行完成后，选择软删除对象。
2	选中要删除的用户旁边的复选框。
3	选择完成。

下一步

下次同步时，已检查的用户将被永久删除。

更改Webex应用程序电子邮件地址

如果您想更改用户电子邮件地址，并且您的组织使用Directory Connector，请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。

如果您只想更改一个用户的电子邮件或某个值，请勿从Active Directory中删除该用户，然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户，用户空间和云中的其他数据将丢失。

要在不更改域的情况下更改用户电子邮件地址：
1. 在Active Directory中打开用户帐户（例如，user1@example.com）并更改电子邮件地址（例如，user2@example.com）。
2. 在目录连接器上恢复同步。
  
  下次同步后，更改会显示在Control Hub中的用户列表中，以及缓存更新后Webex应用程序中的用户。
  
  采用此方法不会造成数据或空间丢失。第一次同步后在云中设置用户的唯一标识符。所有后续同步均基于此标识符。
在使用Directory Connector的多个域部署中，要在更改域时更改用户电子邮件地址（考虑旧域为example1.com，新域为example2.com）：
1. 对于旧用户帐户(user1@example1.com)，请注意映射到 uid 云属性的Active Directory属性。您需要为新帐户使用相同的Active Directory值。对于此示例，我们将使用 user1@example1.com 作为在云中映射到 uid 的本地属性。
2. 在example1.com和example2.com域的Directory Connector上暂停同步。
3. 在example2.com中创建新用户帐户，并使用上面的相同属性。（例如，user1@example1.com）。
4. 在Directory Connector上，例如2.com恢复同步
  
  在继续之前，请验证user1@example2.com帐户是否同步到Control Hub。我们建议您指示用户在Webex应用程序中验证电子邮件更改，并保留所有数据（空间、消息、会议、文件等）。
  
  使用此方法不会丢失数据或空间，但在新用户帐户中，您必须确保从旧用户帐户中保留映射到云uid属性的Active Directory属性。如果您更改了Active Directory值，新帐户不会保留旧帐户中的数据。
5. 验证电子邮件地址更改且数据完好后，删除example1.com上的旧用户帐户，然后使用Directory Connector恢复为example1.com的同步功能。
  
  此时，您可以安全地更新新的Active Directory域中的user1@example2.com电子邮件地址。

目录连接器不限制电子邮件域更改。但是，当用户重新同步到云时，用户状态取决于您的组织中是否验证新域。如果组织中未验证域，则在完全同步后，用户的状态将更改为“待定”。有关更多信息，请参阅管理您的域。

如果您的组织不使用Directory Connector，您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址，了解用户可以遵循的步骤来更改电子邮件。

更改 Active Directory 域

您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。

1	设置新的 Active Directory (AD) 域。
2	禁用所有连接器上的同步。
3	卸载所有连接器。
4	打开案例以更改域名。在案例提交中，请确保请求删除组织中的域配置和所有同步属性。在打开案例以更改域之前，请确保未运行同步功能。在案例解决之前，不要更改Active Directory中的任何用户电子邮件地址。
5	解决案例后：在具有新Active Directory域的同一服务器上安装Directory Connector。配置Directory Connector，使其指向新的Active Directory域。如果Control Hub ( https://admin.webex.com)中有现有用户，请确保具有匹配电子邮件地址的用户也出现在Active Directory中。如果您的组织已禁用DirSync中的 `softDelete` 切换，则在Control Hub中但不在Active Directory中的用户电子邮件地址将面临删除风险。在进行实际同步之前，使用Directory Connector执行测试运行。

域声明

如果您为某个组织申请电子邮件域名，从而在付费客户组织中创建任何旁边的帐户，而不是免费消费者组织中，则会出现域索偿。您只能通过支持案例进行域申索（有关更多信息，请参阅下面的链接）。

如果Directory Connector处于活动状态并且该域已声明，则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户，受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。

相关信息

在目录同步组织中转换免费的Webex应用程序用户

您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序，则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户，请在打开Directory Connector之前将其迁移（转换）到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。

如果您未在激活前转换帐户，请关闭 Directory Connector 以对帐户进行转换。

如果启用目录同步时尝试转换用户，将显示错误消息无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。

一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中，而不是不匹配对象。如果要将这些用户迁移到您的组织，则需要将这些用户添加到您的AD列表。

如果您未添加这些用户，它们将在您旁边同步到云时全部删除。

1	从 Directory Connector 中禁用目录同步功能。
2	按照在Control Hub中转换无许可用户程序将用户从免费消费组织转换为企业组织。此步骤将用户添加到您的组织，帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源，目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前，确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。
3	在Directory Connector上，执行干运行同步。测试完成后，查看“添加对象”标签页。验证是否未删除您已转换的任何用户。您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中，则Directory Connector将区分大小写，并删除其检测到电子邮件地址不匹配的转换用户（例如，user1@example.com和User1@example.com）。如果已删除任何转换的用户，他们将失去所有Webex应用程序空间。
4	如果您确定下一次同步将不会删除任何帐户，请从 Directory Connector 重新启用目录同步。

如果您没有验证域，转换的用户帐户不会自动激活。例如，如果您打开自动分配许可证模板，然后在没有域验证的情况下打开Directory Connector，转换后的用户将在云后端处于非活动状态，直到他们确认其电子邮件地址。

侧边的Webex应用程序用户帐户

当您邀请其他用户到Webex应用程序中的空间时，如果受邀用户没有Webex应用程序帐户，则为他们创建帐户（“侧面”）。缺省情况下，以此方式创建的帐户将添加至自由消费者组织中。

如果要使用Directory Connector管理侧栏帐户，则必须转换帐户。

目录同步后更改Webex应用程序用户名格式

默认情况下，Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。

执行目录同步后，您可能会发现该用户名以格式显示。

如果Active Directory中的 displayName 属性以这种方式配置，此用户名可能会出现。当属性映射到云中的 displayName 时，名称会在Control Hub中以格式显示。

若要更改格式，请在 Directory Connector 属性映射屏幕中进行如下操作：将Active Directory属性 givenName sn （或 sn givenName）映射到Cisco云属性名称中的 displayName 。

更改Cisco云属性名称格式

或者，将属性 sn givenName 映射到 displayName：

更改Cisco云属性名称格式

如果您想将自己的自定义属性表达式映射到 displayName，也可以使用“自定义属性”选项。

自定义Cisco云属性名称格式

例如，输入givenName + "" + sn （名字、空间、姓氏）作为表达式。将Active Directory中的两个属性映射到云中displayName 。

本地活动目录中的映射属性

允许用户在Webex Meetings中更改显示名称

如果您想允许用户编辑首选的显示名称，您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称，而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。

1	从Directory Connector，单击配置，然后选择用户属性映射。
2	在 Cisco云属性名称下选择显示名称。
3	选择不同步此属性。

下一步

用户现在可以从Webex站点编辑显示名称。

Directory Connector 故障诊断

升级到最新软件版本

要保持部署合规并获取最新功能、功能、错误修复和安全增强功能，您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本，则可能会遇到问题，例如Directory Connector不再正常同步，或者处于不支持强制性 TLS 1.2要求的版本上。

Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。

虽然您可以手动安装连接器软件更新更新，但我们建议您遵循设置自动升级中的步骤，让应用程序自动管理升级。

1	单击Windows任务栏中的通知，或右击Windows任务栏中的Directory Connector图标，开始升级过程。
2	按说明完成升级操作。
3	重新启动连接器并使用管理员凭据登录。
4	在帮助 > 关于下验证软件的版本号。

下一步

要重新安装Directory Connector，您可以下载zip文件，然后按照本指南中的安装步骤操作。

配置 Directory Connector 的常规设置

使用此程序配置常规设置，例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中，其中还包含正在运行的任何其他连接器。

1	从Directory Connector转至配置，然后单击常规。
2	在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。
3	从下拉框中选择日志级别。默认情况下，日志级别设置为信息。可用的日志级别包括：信息（默认）—显示信息消息，突出显示高层次应用程序的进度。要在所有完整同步后接收报告，请使用此设置。警告—显示潜在的有害情况。调试-显示对调试应用程序最有用的详细信息事件。如果您看见任何问题，请设置此日志级别，并在提交支持申请时将事件日志发送给支持人员。错误-显示可能仍允许应用程序继续运行的错误事件。选择此选项时，仅在报告错误时发送同步报告。这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误，则仅在同步报告中报告错误；如果不存在错误，则不会发送同步报告。将设置更改为Info，然后在完全同步后收到同步报告。（请记住，对于增量同步，没有报告错误时不会发送报告。）
4	选择首选域控制器以设置域控制器同步身份的顺序。将按照从上到下的顺序访问域控制器。如果顶级控制器不可用，则选择列表中的第二个控制器。如果列表中没有控制器，您可以访问主控制器。
5	如果要进行自动升级，请检查自动升级到新的Cisco Directory Connector版本。将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置，允许在软件可用时安静地安装自动升级到软件。
6	检查通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。如果您未通过 SSL检查LDAP，则Directory Connector将继续使用LDAP连接协议。 LDAP（轻量级目录应用程序协议）和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。

配置连接器策略

您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。

例如，将 1 设置为删除阈值触发值。在执行完全或增量同步时，如果您要删除的用户数大于该设置，Directory Connector 会显示警告。如果您单击忽略阈值，可以成功开始完全或增量同步，但是在您下次运行该策略时将再次看到此忽略提示。

1	从Directory Connector，单击配置，然后选择策略。
2	如需添加阈值触发器，请勾选“启用删除阈值触发器”复选框。选择该选项后，删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时，同步失败。
3	输入您要设置的最大删除次数。缺省值为 20。我们建议您不要增大该缺省值。
4	单击应用。

设置连接器的安排

在Active Directory中设置同步定时。为了实现高可用性 (HA)，使用了故障转移。如果有一个连接器宕机，我们会在预定义的间隔过后，切换到另一个待机连接器。

1	从Directory Connector，单击配置，然后选择计划。
2	以分钟为单位指定增量同步间隔。缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。
3	如果您希望更改发送报告的频率，请更改发送报告间隔时间值。
4	勾选启用完全同步计划以指定想要执行完全同步的日期和时间。
5	以分钟为单位指定故障转移间隔。
6	单击应用。

多域情境

多个域基于域优先级。对于在不同域具有相同键值的对象，在同步后，来自高优先级域的数据将覆盖来自低优先级域的数据。

具有相同键值的对象会链接到数据库中的同一条记录。

多域情境

“用户”的键值是电子邮件地址；“组”的键值是组名。

多域使用示例

此示例假设某组织有两个域 - example1.com 和 example2.com，前者优先级高于后者。

添加 user1（电子邮件：user@example1.com）到 example1.com 的 Active Directory。
添加 group1（组名：Test）到 example1.com 的 Active Directory。
添加 user2（电子邮件：user@example2.com）到 example2.com 的 Active Directory。
添加 group2（组名：Test）到 example2.com 的 Active Directory。

在 example1.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

如果您为 example1.com 执行全面或增量同步，user1 和 group1 会同步。而且，user2 和 group2 会被 user1 和 group1 的信息覆盖。

User1 作为数据库中的相同记录链接到 user2；group1 作为数据库中的相同记录链接到 group2。

在 example1.com 和 example2.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

请考虑这些步骤：

在 example1.com 的 Active Directory 上删除 user1 和 group1。
为 example1.com 执行全面或增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1，而 group2 没有链接到 group1。
为 example2.com 执行增量同步。
结果：在 https://admin.webex.com 中用户信息无变化。
为 example2.com 执行全面同步。
结果：user2 和 group2 的信息在 https://admin.webex.com 中列出。

同步新的域并保留现有域

如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后，该连接器会与新的域绑定，而域 (A) 下的用户信息不受影响。

每个域必须自带有效的连接器。请考虑采用以下设置的两个域：带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA)；带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中，一个连接器处于活动状态，另一个处于待机状态 (HA)。该设计可保持域同步，因为有一个连接器始终处于活动状态。也就是说，cb1 是域 B 处于活动状态的连接器，因为域 A 已有处于活动状态的连接器（ca1 或 ca2）。

设置域优先级

使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域，等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织，此设置会很有帮助。

如果在 Directory Connector 中只列出了一个域，则不要使用此过程。如果您尝试进行此配置，连接器会显示一条消息，说明不需要域优先级。

开始之前

要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击设置域优先级。
3	高亮显示列表中的一个域，单击向上或向下更改此域的优先级，然后单击保存保存更改。各个域会按优先级自上而下排序。

切换域

使用此程序将Cisco目录连接器重新绑定到另一个域。

开始之前

在切换域之前，确保没有同步任务在运行。
要避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。

1	从Cisco目录连接器，单击仪表板。
2	转至操作，然后单击切换域。
3	阅读警告后，如果您理解此更改对部署的影响，而且您仍然确定要更改，请单击是。如果您切换域，则您将从当前Cisco目录连接器中注销，连接器中的其他域未注册，并且删除该计算机上的连接器信息。
4	重新登录Cisco目录连接器并重新绑定域。

关闭目录同步

如果您需要停止从Directory Connector进行同步，可以从Control Hub暂时将其关闭。

1

从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，然后选择一个：

单击更多，然后单击要关闭的连接器实例旁边的关闭。
单击关闭所有目录同步可停止所有连接器实例的同步。

2

阅读提示之后，单击关闭。

同步停止，直到从Directory Connector重新启用它。

删除用户属性映射

使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后，属性值将从云中删除，不再与Webex同步。然后可以手动编辑这些值。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 删除用户属性映射。
3	选择映射以从属性名称列表中删除。
4	在受影响的用户范围下，选择以下其中一项：仅使用目录连接器同步用户：映射将仅从先前同步的Directory Connector的用户中删除。所有用户：映射将从所有Active Directory用户中删除。
5	单击应用。

管理档案照片

使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。

1	从 Directory Connector 中，单击控制板。
2	转至操作，然后单击实用程序 > 管理配置文件图片。
3	在操作下，选择以下其中一项：删除空头头像源的个人资料图片：如果Active Directory个人资料图片为空，此选项可确保用户个人资料图片从云中删除，即使用户之前已在Webex中上传了自己的图片。从同步源重新上传以覆盖缓存的图片：目录连接器使用与之前相同的Active Directory来更新所有用户的配置文件图片。这可以确保Active Directory中的个人资料图片与云之间没有不匹配。
4	单击 Apply（应用）。

卸载并停用目录连接器

卸载 Directory Connector 实例后，必须取消注册它。如果面临以下任何情况，都应该彻底删除 Directory Connector：

您不想再使用目录同步。
您不想使用多个 Directory Connector（高可用性）中的某一个。
您想要更改域并安装其他连接器。

开始之前

您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例，请禁用同步。
卸载Directory Connector之前，保存并关闭任何重要工作。

1	在您的 Windows 计算机上，转至“控制面板”，然后单击程序和功能。
2	从程序列表中，单击目录连接器，选择卸载，然后按照提示操作。您可能需要重启系统来完成卸载。
3	从https://admin.webex.com中的客户视图，转至管理 > 组织设置，滚动至目录同步，单击更多，然后单击要卸载的目录连接器实例旁边的停用。
4	阅读提示之后，单击停用。用户帐户将不会再同步，除非在高可用性 (HA) 部署中还有其他 Directory Connector。

运行诊断工具

您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。

如果同步工作不正确，您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接，因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误，您可以发送详细的日志结果以支持。

要为Active Directory域服务运行测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-DS 选项卡，输入您的域，然后单击加载域控制器。
2. 从列表中选择一个域控制器。
  
  以后不要更改条目，因为增量搜索必须始终在同一域控制器上运行。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户和组对象和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行Active Directory轻量级目录服务的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击AD-LDS 选项卡，输入主机和端口，然后单击加载分区。
2. 从列表中选择分区，然后单击连接。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试以检查该值。
4. 在活动目录查询部分配置更多过滤器，例如用户、用户代理和用户代理完整和搜索过滤器。
5. 检查自动填充Cookie 以自动生成搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。
要运行轻量级目录访问协议(LDAP)的测试：
1. 转至开始菜单，找到Cisco Directory Connector，单击Cisco Directory - Diagnostic。单击LDAP RAW 选项卡，输入根路径，过滤，从属性中选择一个条目，然后单击加载分区。
2. 根据需要检查以下选项：
  - ObjectSecurity—如果存在此选项，呼叫方不需要任何权利，只能看到呼叫方可访问的对象和属性。如果此选项不存在，呼叫者有权复制更改。
  - 家长至上—确保所有孩子的家长都先到孩子面前。
3. 选择 ExtendedDN 的值。
  
  此值用于扩展的LDAP搜索，以请求对象突出名称的扩展形式。
4. 选择ReferralChasing值。
  
  当域控制器从查询中返回转介时，将启动转介追踪——例如，对于可能位于命名空间之外的查询结果的详细信息（例如其他域或森林中的群组成员）。
5. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
6. 测试完成后，单击保存以保存日志条目，在打开标签时，您可以将其发送给支持团队进行分析。

解决Ciso Directory Connector中的问题

目录连接器的故障排除和修复

您可能在Directory Connector中遇到错误消息或其他问题。此外，在Directory Connector同步用户信息后，该连接器可能会向您发送一封电子邮件报告，列出同步存在的任何问题。在联系支持人员之前，请参考以下章节，了解可能出现的问题、可能的原因和建议解决方案。

安装

Directory Connector 停止运行

您收到警告电子邮件，通知您您的Directory Connector无法工作。

目录连接器可能未正确安装。
目录连接器可能未运行。
网络可能不可用。

请尝试以下操作：

打开控制面板 > 程序和功能。找到 Directory Connector。如果没有，请从Control Hub下载最新版本并安装。
打开服务并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止，请单击右键并选择“启动”以重启该服务。
确保安装Directory Connector的服务器能够访问Internet。

重新安装错误

问题—如果您在卸载旧连接器后立即安装新连接器，可能会看到错误消息。

可能原因—在Windows Server 2012中，卸载客户端需要时间从服务列表中删除服务帐户。

解决方案—经过一段时间后，请再次尝试安装。

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

请执行以下步骤以在用户级别更改策略：

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后选择注册表项。
对于关键路径，输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
为值 输入禁用脚本调试器，为值 数据输入否。

设置应匹配此屏幕截图：

在运行 gpupdate /force、重新启动机器（用于机器更改）或再次输入用户符号（用于用户更改）后，更改将生效。

无法注册Cisco DirSync服务连接器

问题

登录失败，并显示此消息：“无法注册Cisco DirSync服务连接器。”

解决方案

安装Directory Connector的Windows系统必须是Active Directory的成员。

未显示登录页面

问题

您打开目录连接器，登录页未显示。

故障排除: 未显示登录页面

解决方案

请尝试以下步骤：

在Internet Explorer中，转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器（如Chrome和Firefox）中尝试该链接。
如果Internet Explorer无法访问该链接，但其他浏览器可以，请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。（使用启用Internet Explorer中的TLS 程序。）

显示登录提示

问题

出现提示提示您输入用户名和密码以通过身份验证。

可能原因

Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败，会弹出对话框以请求身份验证用户名和密码。

解决方案

当您看到登录弹出窗口时，您需要提供具有正确身份验证的有效帐户，以保证传递安全。

无法连接远程服务器

问题

在正常操作期间，出现错误消息：“无法连接到远程服务器”。

可能原因

您可能有需要解决的代理问题。

解决方案

有关更多故障排除信息，请参阅故障排除服务帐户登录问题。

无法注册连接器

问题

您将看到错误消息“无法注册连接器。发生了一般例外。”

可能原因

在大多数情况下，问题在于Directory Connector没有连接到LDAP根上下文的特权。

解决方案

请尝试以下操作：

运行命令提示符(cmd)，然后输入 ldp.exe。
单击连接 > 绑定，选择绑定为当前登录用户，然后单击确定。
单击查看 > 树，输入DC=arbonneintl，DC=ad 作为BaseDN，然后单击确定。
如果问题继续，打开支持案例。

同步

头像未同步

问题

Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。

可能原因

如果您重复使用现有的头像服务器，并且用户头像已经同步，则本地缓存将捕获它们，并避免再次重订以保存带宽。

解决方案

按照以下步骤删除本地缓存：

转至C：\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
删除DirSyncPluginAvatar.dll-cache.bin。
从Cisco目录连接器重新启动头像同步。

用户电子邮件帐户冲突

问题

同步结果可能会显示有冲突的用户电子邮件帐户。

如果用户尝试了Webex应用程序的免费版本，他们的电子邮件地址将位于免费消费者组织中。
如果用户电子邮件在另一个组织中已同步。
如果用户电子邮件存在于属于组织的多个域中。

解决方案

请尝试以下操作：

如果您要向用户索要权，请按照以下步骤操作：
1. 确保您已在 Control Hub中验证该域。
2. 暂时禁用Cisco目录连接器。
3. 使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关更多信息，请参阅向您的组织索要用户（转换用户）。
4. 在Cisco Directory Connector中运行干燥，然后重新启用目录同步
对于最后一个案例，请复选您的Active Directory源中的用户数据。

已转换用户标记为非活动

问题

在您的目录同步环境中，您将免费（消费者组织）用户转换为企业组织，但转换用户无法登录Webex应用程序。

可能原因

当自由用户转换为企业组织时，该用户将被标记为非活动状态为30天，作为安全合规措施。在此期间内，用户无法登录Webex应用程序，并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。

解决方案

如果您不想删除该用户帐户，必须采取行动。要解决此问题，请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后，从Cisco Directory连接器执行同步。然后，用户可以再次登录Webex应用程序，帐户不会被删除。

增量同步失败

问题

增量同步失败。

在以下条件下可能会在Windows Server 2008 R2上出现此问题：

您支持增量值更新。
您使用的筛选器引用链接值属性。
该属性的结果值自上次进行完全同步以来已更新。

解决方案

Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。

属性的值无效

问题

对于 [user dn (distinguished name)]，属性 [attribute name] 有以下无效值 [attribute value]。

可能原因

对于CN=b，OU=Employees，OU=C Users，DC=c，DC=com，属性[电话号码]具有以下无效值：+。此属性必须包含至少一个数字。

解决方案

此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。

要删除匹配的用户

问题

匹配的用户将被标记为要删除。

当执行干运行同步以检查Active Directory和云之间的数据时，您可能会在两者中看到相同的电子邮件地址。但是，用户被标记为要删除的对象。

解决方案

选择适当的修复：

如果可以在之后删除用户并重新执行许可证，您可以使用Directory Connector进行修复。执行同步以删除用户，然后执行其他同步以将用户从本地AD同步到云。
如果您无法删除并重新创建用户帐户，请在支持下打开案例。

缺少属性

问题

添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值，否则不会在Control Hub中创建该条目。

可能原因

必需属性的 email address 缺失。添加内部条目时[CN=Sales User，OU=Engineers，OU=K，DC=k，DC=local]，除非所有必需属性都具有值，否则不会在Control Hub中创建条目。

解决方案

用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。

嵌套组无法同步

问题

嵌套的Active Directory组中的用户未正确与云同步。

可能原因

使用不受支持的子组和父组的筛选器。例如：(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)

解决方案

必须重新配置同步组的过滤器。例如：|(memberof=CN=testgroup1，CN=Users，DC=rktest2008，DC=org)(memberof=CN=testSubGroup，CN=Users，DC=rktest2008，DC=org)

用户命名冲突

问题

对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言，[用户电子邮件地址]，以及用户类型[user_type]。

可能原因

已在Control Hub中存在该电子邮件地址的用户。

解决方案

在Active Directory中创建用户，其电子邮件地址与您通过Control Hub注册的帐户相同。

Control Hub

Control Hub中缺少用户列表

问题

如果您拥有超过1000名同步用户的Webex组织，则可能无法在Control Hub中看到用户列表。

解决方案

您可以使用搜索功能查找用户帐户。在Control Hub中，转至用户，单击搜索 “搜索”按钮，然后输入搜索条件以查找特定用户。

组不会同步到Control Hub

问题

目录组中的用户无法正确同步到Control Hub。

可能原因

在Active Directory中，该组未标记为 isCriticalSystemObject 。

解决方案

确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。

启用 Directory Connector 故障诊断

您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息，并将其保存至文件。

以下日志文件： \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	运行 `services.msc` 文件，将Directory Connector服务的正在运行的帐户从本地系统更改为有权访问AD DS或AD LDS的域帐户。
2	重启服务。请参阅如何启动服务获取指导。
3	在目录连接器中，单击仪表板。
4	转至操作，然后单击实用程序 > 故障排除。
5	启用故障诊断后，重复执行导致错误的操作，这样将捕获流量数据，以便进行检查。
6	检查日志文件：如果文件空白，请确保帐户有权访问 AD DS 或 AD LDS。日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。
7	如有必要，向支持人员发送日志文件以获取协助。
8	诊断完成后，请禁用故障诊断功能。

相关信息

启动事件查看器

若要查看完全或增量同步期间发生的事件，请启动“事件查看器”。它显示管理事件和错误日志的摘要。

1	从Directory Connector转至仪表板，然后单击操作 > 启动事件查看器。 “事件属性”对话将显示同步事件详细信息与错误详细信息。
2	从事件查看器，转至应用程序和服务日志 > Cisco Directory Connector。
3	在操作下，单击保存所有事件为将所有日志导出为单个事件文件(*。evtx)或其他格式（如xml或csv）。

下一步

如果您需要打开案例，请联系支持人员，描述连接器的问题，然后将“事件”文件附加到案例中。

事件日志会捕捉用户操作。如需管理网络流量的帮助，请在连接器上启用故障排除。

在Internet Explorer中启用TLS

如果您切换了单点登录(SSO)提供商，您可能会看到来自Cisco目录连接器的以下错误消息：

登录到服务时出错
此页脚本中出现错误

如果您看到这些错误，必须在浏览器中启用TLS设置。

1	打开Internet Explorer，然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器，然后再次打开它
2	单击互联网选项，转至高级，滚动至安全。
3	检查使用TLS 1.1 和使用TLS 1.2 复选框，然后单击确定。
4	重新启动系统以便更改生效。

服务帐户登录问题故障诊断

如果您无法登录Cisco目录连接器或无法运行同步，请在联系支持人员之前尝试解决该问题。

1

尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。

2

根据结果选择一项：

如果您无法从浏览器访问该链接，请检查您的网络设置。如果您的环境使用代理，请检查代理设置。
如果您可以通过浏览器访问链接，但无法打开Cisco目录连接器（无法打开连接器并弹出带有407的错误消息），单击此处以获取最新版本的Cisco目录连接器。
如果您可以从浏览器访问链接，但无法从Cisco目录连接器运行同步，请将服务登录帐户更改为域管理员。

检查您用于登录Windows系统的帐户是否与您在“Cisco DirSync服务”中设置的帐户相同。如果他们是2个不同的帐户，请确保两个帐户都可以访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。如果您的环境使用代理，请确保两个帐户在Internet Explorer中配置为代理，并且可以成功访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL 。

3

至少，确保Cisco DirSync服务（可在Windows服务中找到）配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下，该服务利用Windows登录帐户凭据和身份验证。

相关信息

Active Directory 组自动许可证分配建议

在Windows注册表中检查SafeDllSearchMode

默认情况下，安全动态链接库(DLL)搜索模式在Windows注册表中设置，然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用，攻击者可以将恶意DLL（与位于系统文件夹中的引用的DLL文件名称相同）放置到应用程序的当前工作目录中。

通常，SafeDllSearchMode已启用，但使用此步骤来复选注册表设置。

开始之前

对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。

1

在Windows搜索或运行窗口中，键入regedit ，然后按Enter。

2

转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。

3

选择一种：

未列出SafeDllSearchMode—无需进一步操作。
列出了SafeDllSearchMode—确保将值设置为 1。

有关详细信息，请参阅动态链接库搜索顺序。

Cisco 目录连接器概述

目录连接器概述

目录连接器是一个用于将身份同步到云端的内部应用程序。您从 Control Hub 下载连接器软件并将其安装在本地机器上。

使用目录连接器，您可以在 Active Directory 中维护您的用户帐户和数据，因此 Active Directory 成为唯一的事实来源。当您在本地进行更改时，它会被复制到云端。

请参阅表中所有的功能、描述和优势：

功能	描述和优势
简单易用的控制板	该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可以随时登录查看仪表板。
同步到云端之前的试运行	在将目录更改实施到云中之前，先进行一次试运行。之后，运行报告以查看要执行的变更是否与预期一致。
完全同步和增量同步	同步整个目录。或者，仅同步增量变更，从而提高处理能力并缩短同步时间。
同步多个域（单个林或多个林）	目录连接器支持单个林或多个林下的多个域（无需 AD LDS）。对于具有多个 Active Directory 域的企业，您可以为每个域安装一个目录连接器，将每个域绑定到您的组织，然后将每个用户群同步到 Webex。Control Hub 通过显示多个目录连接器的同步状态来反映状态，允许您关闭特定域的同步，并在高可用性部署中停用目录连接器。
按计划同步	按天、小时和分钟设置同步安排。
轻量级目录访问协议 (LDAP) 过滤器	定义 LDAP 搜索条件并实现高效的导入。
Active Directory 属性映射	将 Microsoft Active Directory 属性映射到相应的 Webex 云属性。您可以映射与您的 Active Directory 配置相关的属性，还可以定义自定义属性以映射到云。来自场所的属性在云中形成各种数据，例如用户帐户信息、Webex Teams 中的企业电话号码、房间资源 SIP 地址以及其他用户联系卡数据（职位、部门、经理等）。
适用于本地会议室资源和 Cisco Webex Calling（云 PSTN）用户以及无需 Webex 许可的企业联系人的企业目录	如果您的组织的一部分使用 Cisco Webex Calling 云 PSTN 进行呼叫服务，或者您拥有本地会议室设备，则此功能允许用户从他们的 Cisco Webex Calling（云 PSTN）电话或会议室资源中搜索企业联系人目录。房间资源同步协作室信息之后，具有已配置、已映射 SIP 地址的本地协作室设备将作为可搜索条目显示在云注册协作室设备（例如 Cisco Webex Room 设备或 Cisco Webex Board）中。当用户在 Cisco Webex Room Device 或 Cisco Webex Board 上进行搜索时，您将看到配置了 SIP 地址的同步房间条目。当他们从该入口处的 Webex 设备拨打电话时，呼叫将被拨打到为该房间配置的 SIP 地址。呼叫除了 Webex App 联系人之外，用户还可以呼叫企业联系人。通过目录连接器，企业用户及其电话号码被添加到您的 Webex 组织。他们无需获得 Webex 服务的许可即可使用此功能。只要有通过目录连接器同步到 Webex 的 URI 或电话号码，未获得 Webex 许可的用户就会出现在从 Cisco Webex Calling 用户电话执行的目录搜索中。对于这两种用户，呼叫功能的表现是相同的。此功能部件还为只有电话号码的联系人提供了编辑拨号功能。在联系人搜索结果中：如果联系人有可拨打的 URI（Webex SIP 地址）和电话号码，则会显示与该联系人关联的 URI。如果联系人没有可拨号的 URI，但却有电话号码，则显示电话号码。还会显示一个编辑拨号软键。如果这两者联系人都没有，则该联系人不会显示在目录中。
事件查看器	使用事件查看器可确定是否存在同步问题。
诊断工具和故障排除	您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步无法正常工作，则可能是配置或网络错误。此工具测试您与 Active Directory 的连接，以便您在联系支持人员之前自行诊断错误。一旦您在目录连接器中启用故障排除，就会写入可发送给技术支持的日志。
自动升级	安装 Directory Connector 后，您会在软件有新版本时收到通知。您可以设置自动升级，以便在新版本发布时始终使用最新版本的软件。
高可用性	配置多个连接器，以便在主连接器或机器主机出现宕机情况时提供备用。

Directory Connector 分为以下三个部分：

Control Hub 是一个单一界面，可让您管理 Webex 组织的所有方面：查看用户、分配许可证、下载目录连接器以及配置单点登录（SSO）如果您希望用户通过其企业身份提供商进行身份验证，并且您不想为 Webex 应用程序发送电子邮件邀请。
Directory Connector 管理界面 是您从 Control Hub 下载并安装在受信任的 Windows 服务器上的软件。对于多个 Active Directory 域，您可以为要同步的每个域安装一个软件实例。使用该软件，您可以运行同步以将您的 Active Directory 用户帐户带入 Webex，查看和监控同步状态，以及配置目录连接器服务。
目录同步服务 查询您的 Active Directory 以检索用户和组，以便同步到连接器服务和目录连接器。

请参阅此图来了解目录连接器架构：

为目录连接器准备环境

目录连接器的要求

Windows 和 Active Directory 要求

您可以在以下受支持的 Windows 服务器上安装目录连接器：

Windows Server 2022
Windows Server 2019
Windows Server 2016

为了解决 Cookie 问题，我们建议您将域控制器升级到包含修复程序的版本 - Windows Server 2012 R2 或 2016。

以下 Active Directory 服务支持目录连接器：

Active Directory 2016

（在 Windows Server 2019 上使用最新版本的 Active Directory 时支持目录连接器）
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

请注意以下附加要求：

目录连接器需要 TLS1.2。您必须安装以下软件：
- .NET Framework v3.5（目录连接器应用程序所需）。如果遇到任何问题，请按照使用添加角色和功能向导启用 .NET Framework 3.5中的说明进行操作。）
- .NET Framework v.4.5（TLS1.2 必需）
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。（请参阅什么是 Active Directory 功能级别？获取更多信息。）

硬件要求

您必须在满足以下最低硬件要求的计算机上安装 Directory Connector：

8 GB RAM
50 GB 存储
CPU 没有最低要求

网络要求

如果您的网络位于防火墙后面，请确保您的系统可以通过 HTTPS（端口 443）访问互联网。

Webex 组织要求

要从 Control Hub 访问 Directory Connector 软件，您需要一个具有试用版或任何付费订阅的 Webex 组织。
（可选）如果您希望新的 Webex 应用程序用户帐户在首次登录之前处于活动状态，我们建议您执行以下操作：
- 添加、验证并选择性地声明包含您想要同步到云中的用户电子邮件地址的域。
- 将您的身份提供商 (IdP) 与您的 Webex 组织进行单点登录 (SSO) 集成。
- 抑制自动电子邮件邀请，这样新用户就不会收到自动电子邮件邀请，您可以开展自己的电子邮件活动。（此功能需要 SSO 集成。）

有关更多信息，请参阅 Control Hub 中的用户状态和操作。

安装要求

对于多域环境（单林或多林），必须为每个 Active Directory 域安装一个目录连接器。如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保您有受支持的独立 Windows Server 来安装 Directory Connector，以进行域 (B) 同步。
要登录连接器，我们不需要 Active Directory 中的管理帐户。我们需要一个本地用户帐户，该帐户与 Control Hub 中的完整管理员帐户是同一个用户。

该本地用户必须具有该 Windows 机器的权限才能连接到域控制器并读取 Active Directory 用户对象。机器登录帐户应为具有在本地机器上安装软件的权限的计算机管理员。（此信息也适用于虚拟机登录。）
登录连接器时，登录帐户必须与 Control Hub 的完整管理员帐户相同。默认情况下，连接器使用本地系统帐户访问 Active Directory。但是，您可以使用 Windows 服务配置另一个帐户来访问 Active Directory。（此信息也适用于虚拟机登录。）
确保使用以下步骤启用 Windows 安全动态链接库 (DLL) 搜索模式：检查 Windows 注册表中的 SafeDllSearchMode。
如果您在单个林中的多个域中使用 AD LDS，我们建议您安装目录连接器和 Active Directory 域 Service/Active 目录轻量级目录服务 (AD) DS/AD 您可以在不同的机器上安装不同的 .LDS 文件。

多域要求

在执行 Cisco 目录连接器部署任务流中的任务之前，如果您要将多个域中的 Active Directory 信息同步到云中，请记住以下要求和建议：

每个域都需要一个单独的目录连接器实例。
目录连接器软件必须在与其同步的同一域中的主机上运行。
我们建议您在 Control Hub 中验证或声明您的域。（请参阅添加、验证和声明域。）
如果您想要同步超过 50 个域，您必须开具一张票以将您的组织移至大型组织列表中。
如果需要，您可以将房间资源信息与用户帐户同步。（请参阅将本地会议室信息同步到 Webex 云。）

Active Directory 组自动许可证分配建议

Active Directory 组用于将用户帐户、计算机帐户和其他组收集到可管理的单元中。与群组合作而不是与单个用户合作有助于简化网络维护和管理。

Active 中有两种类型的群组 Directory:

分发组—用于创建电子邮件分发列表。
安全组—用于分配共享资源的权限。

Active Directory 组类型

在 Active Directory 中创建组时请考虑以下准则：

为每个角色、部门或服务（例如销售、营销、经理、会计、Webex 许可等）创建一个全局组。
在整个组织中使用标准命名约定，以便轻松识别有关组的重要信息。组名可以包含有关组的详细信息，例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如，组名“GSG_Webex_Licensing_EMEAR”是指 Webex Licensing EMEAR 用户的全球安全组。
以易于理解的方式组织群组，例如按地理位置或管理层次。使用群组描述来完整描述群组的目的。
在将用户添加到新配置的组之前，请在 Control Hub 中为这些组定义自动许可证组模板。有关更多信息，请参阅设置您的自动许可证分配模板。

尺码信息

目录连接器充当本地 Active Directory 和 Webex 云之间的桥梁。因此，连接器对于可以同步到云的 Active Directory 对象的数量没有上限。对本地目录对象的任何限制都与同步到云的 Active Directory 环境的特定版本和规范相关，而不是连接器本身。

一些因素会影响同步的速度：

Active Directory 对象的总数。（5000 个用户的同步作业不会像 50000 个用户的同步作业那样耗时。）
网络速度和带宽。
系统工作量和规格。

如果您要同步超过 50,000 个用户，我们强烈建议您使用第二个连接器进行故障转移和冗余。

由于同步涉及多种因素，并且每个部署都根据上述因素而有所不同，因此我们无法提供对象同步所需时间的具体时间值。

检查 Windows 注册表中的 SafeDllSearchMode

安全动态链接库 (DLL) 搜索模式在 Windows 注册表中默认设置，并将用户当前目录置于 DLL 搜索顺序的后面。如果以某种方式禁用此模式，攻击者可能会将恶意 DLL（与位于系统文件夹中的引用 DLL 文件同名）放入应用程序的当前工作目录中。

通常，SafeDllSearchMode 是启用的，但使用此过程来仔细检查注册表设置。

准备工作

更改 Windows 注册表时应格外小心。我们建议您在使用这些步骤之前备份您的注册表。

1

在 Windows 搜索或运行窗口中，键入 regedit ，然后按 Enter。

2

转到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session 经理。

3

选择一种：

SafeDllSearchMode 未列出— 无需采取进一步措施。
SafeDllSearchMode 已列出—确保该值设置为 1。

有关更多信息，请参见动态链接库搜索顺序。

WebEx 代理集成

如果您的环境中已启用 Web 代理验证，则您仍然可用使用 Directory Connector。

如果您的组织使用透明 Web 代理，则它不支持身份验证。连接器成功连接并同步用户。

您可以选择下列方法之一：

通过 Internet Explorer 显式 Web 代理（连接器继承 Web 代理设置）
通过 .pac 文件显式 Web 代理（连接器继承企业特定的代理设置）
透明代理无需任何更改即可与连接器配合使用

通过浏览器使用 Web 代理

您可以设置目录连接器以通过 Internet Explorer 使用 Web 代理。

如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行，那么您还需要用此帐户登录并配置 Web 代理。

1	从 Internet Explorer 转到 Internet 选项 > 连接，然后选择 LAN 设置。
2	将 Windows 实例指向 Web 代理上安装连接器的位置。连接器继承了这些 Web 代理设置。
3	如果环境使用代理验证，请将这些 URL 添加到允许列表： cloudconnector.webex.com 用于同步。欧盟的客户还应添加 cloudconnector-eu.webex.com。 idbroker.webex.com 用于身份验证。欧盟的客户还应添加 idbroker-eu.webex.com。 idbroker-static.webex.com 用于提供静态资源，例如字体、js 组件等。您可以在整个站点（针对所有主机）执行此操作，也可以仅针对具有连接器的主机执行此操作。如果您将这些 URL 添加到允许列表以完全绕过您的 Web 代理，请确保您的防火墙 ACL 表已更新以允许连接器主机直接访问这些 URL。
4	如果您的环境需要从证书颁发机构请求证书吊销列表，请将以下 URL 添加到您的允许列表中： .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org 有关更多信息，请参阅有关 Webex 服务需要访问的域和 URL的文章。

通过 PAC 文件配置 Web 代理

您可以配置客户端浏览器使用 .pac 文件。该文件提供 Web 代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。

1

为了使连接器成功连接并将用户信息同步到 Webex 云，请确保在安装连接器的主机的 .pac 文件配置中为 cloudconnector.webex.com 禁用代理身份验证。

2

如果环境使用代理验证，请将这些 URL 添加到允许列表：

cloudconnector.webex.com 用于同步。

欧盟的客户还应添加 cloudconnector-eu.webex.com。
idbroker.webex.com 用于身份验证。

欧盟的客户还应添加 idbroker-eu.webex.com。
idbroker-static.webex.com 用于提供静态资源，例如字体、js 组件等。

您可以在整个站点（针对所有主机）执行此操作，也可以仅针对具有连接器的主机执行此操作。

如果您将这些 URL 添加到允许列表以完全绕过您的 Web 代理，请确保您的防火墙 ACL 表已更新以允许连接器主机直接访问这些 URL。

3

如果您的环境需要从证书颁发机构请求证书吊销列表，请将以下 URL 添加到您的允许列表中：

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

有关更多信息，请参阅有关 Webex 服务需要访问的域和 URL的文章。

NTLM 代理

目录连接器支持 NT LAN 管理器 (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证，并确保其安全。

NTLM 设计

大多数情况下，用户希望通过客户端 PC 访问另一个工作站的资源，但以安全的方式进行访问可能很困难。

一般来说，NTLM 的技术设计基于挑战和响应的机制 :

用户通过 Windows 帐户和密码登录客户端电脑。密码永远不会在本地保存。密码的哈希值存储在本地，而不是纯文本密码。当用户通过密码登录客户端时，Windows 操作系统会将存储的哈希值与输入密码的哈希值进行比较。如果两者相同，则认证通过。

当用户想要访问另一台服务器上的任意资源时，客户端会以明文形式向服务器发送带有账户名的请求。
当服务器收到请求时，服务器会生成一个16位的随机密钥。该密钥称为 Challenge（或 Nonce）。在服务器返回给客户端之前，挑战信息存储在服务器中。然后服务器以纯文本形式向客户端发送挑战。
一旦客户端收到服务器发送的挑战，客户端就会使用步骤 1 中提到的哈希值对挑战进行加密。加密后，该值被发送回服务器。
当服务器从客户端收到加密值时，服务器会将其发送到域控制器进行验证。该请求包括：帐户名称、客户端发送的加密挑战以及原始的明文挑战。
域控制器可以根据账户名检索密码的哈希值。然后域控制器可以根据原始质询进行加密。然后，域控制器可以将接收到的哈希值与加密的哈希值进行比较。如果相同，则验证成功。

Windows在操作系统中内置了安全认证功能，使得应用程序能够更轻松地支持安全认证。因此，您不需要完成进一步的配置。

配置透明代理

在这种情境下，浏览器不会知道透明 Web 代理正在拦截 http 请求（端口 80/端口 443），因此不需要客户端配置。

1	部署透明代理，以便连接器可以连接和同步用户。
2	确认代理成功——启动连接器时，您会看到预期的浏览器身份验证弹出窗口。

设置代理身份验证

通过创建访问控制列表将 URL cloudconnector.webex.com 添加到您的允许列表中。

在企业防火墙服务器上：

1	如果尚未启用 DNS 查找，请启用。
2	确定此连接的估计带宽（大约 2 mb/s 或更少（对于连接器而言）。这不是必须执行的步骤。
3	创建一个访问控制列表以应用于连接器主机，并指定 `cloudconnector.webex.com` 作为要添加到允许列表的目标。例如： `access-list 2000 acl-inside extended permit TCP [IP of the connector] cloudconnector.webex.com eq https`
4	将此 ACL 应用到适当的防火墙接口，该接口仅适用于此单连接器主机。
5	通过配置相应的隐式拒绝声明，确保企业中的其他主机仍需使用 Web 代理。

部署目录连接器

Cisco 目录连接器部署任务流程

准备工作

为目录连接器准备环境

1	安装目录连接器 Control Hub 最初显示目录同步已禁用。要为您的组织启用目录同步，您必须安装并配置目录连接器，然后成功执行完全同步。对于目录连接器的新安装，请始终转到 Control Hub ( https://admin.webex.com) 以获取该软件的最新版本，以便您使用最新的功能和错误修复。安装软件后，系统会通过该软件报告升级信息，并在可用时进行自动安装。
2	登录 Directory Connector 使用您的 Webex 管理员凭证登录并执行初始设置。
3	设置自动升级始终保持目录连接器软件为最新版本非常重要。我们建议您使用此过程，以便在软件自动升级可用时以静默方式安装。
4	选择要同步的 Active Directory 对象默认情况下，目录连接器会同步所有非计算机的用户以及所有非域关键系统对象的组。为了更好地控制要同步的对象，您可以使用目录连接器中的对象选择页面选择要同步的特定用户并指定 LDAP 过滤器。
5	映射用户属性您可以将本地 Active Directory 的属性映射到云端的对应属性。唯一的必填字段是“*uid”。
6	使用以下过程之一同步目录头像：将目录头像从 Active Directory 属性同步到云端将目录头像从资源服务器同步到云端您可以将用户的头像同步到云端，这样每个用户在登录应用程序时都可以看到其头像。您可以从 Active Directory 属性或资源服务器同步头像。
7	将本地会议室信息同步到 Webex 云使用此过程将本地会议室信息从 Active Directory 同步到 Webex 云。同步会议室信息后，已配置映射 SIP 地址的本地会议室设备将显示为云注册会议室设备（例如 Webex Room Device 或 Cisco Webex Board）上的可搜索条目
8	要将用户从 Active Directory 配置到 Control Hub，请执行以下步骤：对 Active Directory 用户进行试运行同步将 Active Directory 用户完全同步到云中在 Control Hub 中将 Webex 服务分配给目录同步用户按照此顺序为 Webex 应用程序帐户预配 Active Directory 用户。您可以为 Directory Connector 3.0 及更高版本预配来自多林或多域 Active Directory 部署的用户。在从不同域中引入用户的过程中，您必须决定是否保留或删除 Webex 云中可能已经存在的用户对象 - 例如，试用版的测试帐户。目标是使您的 Active Directory 和 Webex 云完全匹配。

安装目录连接器

Control Hub 最初显示目录同步已禁用。要为您的组织启用目录同步，您必须安装并配置目录连接器，然后成功执行完全同步。

必须为要同步的每个 Active Directory 域安装一个连接器。单个目录连接器实例只能服务于单个域。请参阅以下图表，了解多域同步的流程：

准备工作

如果通过代理服务器进行验证，请确保自己有代理凭证：

对于代理基本身份验证，您将在安装连接器实例后输入用户名和密码。Internet Explorer 代理配置也是基本身份验证所必需的；请参阅通过浏览器使用 Web 代理
对于代理 NTLM，您在第一次打开连接器时可能会看到错误。请参阅通过浏览器使用 Web 代理。

1	在 Control Hub中，转到用户 > 管理用户 > 启用目录同步，然后选择下一步。
2	单击下载并安装链接将最新版本的连接器安装 .zip 文件保存到您的 VMware 或 Windows 服务器。您可以直接从此链接获取 .zip 文件，但您必须拥有 Control Hub 组织的完全管理访问权限才能使此软件正常运行。对于新安装，请获取最新版本的软件，以便使用最新的功能和错误修复。安装软件后，系统会通过该软件报告升级信息，并在可用时进行自动安装。
3	在 VMware 或 Windows 服务器上，解压缩并运行安装文件夹中的 .msi 文件以启动安装向导。
4	单击下一步，选中复选框以示接受许可证协议，然后继续单击下一步，直到您看到帐户类型屏幕。
5	选择您要使用的服务帐户类型，然后使用管理帐户执行安装：本地系统— 默认选项。如果您已经通过 Internet Explorer 配置了代理，可以使用此选项。域帐户— 如果计算机是域的一部分，请使用此选项。Directory Connector 必须与网络服务交互才能访问域资源。您可以输入帐户信息，然后单击确定。输入用户名时，使用格式 `{domain}\{user_name}` 对于与 AD 集成的代理（NTLMv2 或 Kerberos），必须使用域帐户选项。用于运行 Directory Connector 服务的帐户必须有足以通过代理和访问 AD 的权限。为避免错误，请确保已具备以下权限：该服务器是域的一部分域帐户可以访问本地 AD 数据和头像数据。该帐户还必须具有本地管理员角色，因为它必须访问 `C:\Program Files`下的访问文件。对于虚拟机登录，管理员帐户权限至少必须能够读取域信息。
6	单击安装。运行网络测试后，如果系统提示，请输入代理基本凭证，单击确定，然后单击完成。

下一步

我们建议您在安装后重新启动服务器。当数据未发布时，试运行报告无法显示正确的结果。重新启动机器时，所有数据都会刷新以在报告中显示准确的结果。

登录 Directory Connector

准备工作

确保自己有代理凭证。

对于代理基本身份验证，您将在第一次打开连接器后输入用户名和密码。
对于代理 NTLM，请打开 Internet Explorer，单击齿轮图标，转至 Internet 选项 > 连接 > LAN 设置，确保已添加代理服务器信息，然后单击确定。请参阅通过浏览器使用 Web 代理。

1	打开连接器，然后如果看到提示，则将 `https://idbroker.webex.com` 添加到受信任的站点列表中。
2	如果出现提示，请使用您的代理身份验证凭证登录，然后使用您的管理员帐户登录 Webex 并单击下一步。
3	确认组织和域。如果选择 AD DS，请勾选 LDAP over SSL 以使用安全 LDAP (LDAPS) 作为连接协议，选择要从中同步的域，然后单击确认。如果您不选中 LDAP over SSL，DirSync 将继续使用 LDAP 连接协议。 LDAP（轻量级目录应用程序协议）和安全 LDAP（LDAPS）是应用程序和基础设施内的域控制器之间使用的连接协议。LDAPS 通信是加密且安全的。如果您选择 AD LDS，请输入主机、域和端口，然后单击刷新按钮以加载所有应用程序分区。然后从下拉列表中选择分区并单击“确认”。请参阅 AD LDS 部分了解更多信息。在 `CloudConnectorCommon.dll` 配置文件中，确保将 ADAuthLevel 设置添加到 appSetting 节点。值可以是 1、2 或 3。请参阅 Microsoft 的这篇文章以了解有关 AuthenticationTypes的更多信息。以下是设置值的示例 1:
4	在确认组织屏幕出现后，单击确认。如果您此前已绑定 AD DS/AD LDS，将出现确认组织屏幕。
5	单击“确认”。
6	根据您要绑定到 Directory Connector 的 Active Directory 域数量选择一项：如果您只有一个 AD LDS 域，则绑定到现有 AD LDS 源，然后单击确认。如果您只有一个 AD DS 域，则绑定到现有域或新域。如果您选择绑定到新域，单击下一步。因为现有的源类型是 AD DS，所以不能为新的绑定选择 AD LDS。如果您有多个域，请从列表中选择一个现有域，或选择绑定到新域，然后单击下一步。因为您有多个域，所以现有源类型必须是 AD DS。如果您选择绑定到新域并单击下一步，则不能为新的绑定选择 AD LDS。

下一步

登录后，系统会提示您执行同步测试。

Directory Connector 控制板

首次登录 Directory Connector 时，将显示控制板。您可以在此处查看所有同步活动的摘要及云统计信息、执行测试同步、开始完全或增量同步并启动事件视图以查看错误信息。

如果会话超时，请重新登录。

您可以从操作工具栏或操作菜单中轻松运行这些任务。

表 1. 控制板组件
组件	说明
当前同步	显示与当前进行的同步有关的状态信息。无正在运行的同步时，状态显示为“空闲”。
下次同步	显示安排的下次完全和增量同步。如果未设置安排，则显示“未安排”。
上次同步	显示上两次执行的同步的状态。
当前同步状态	显示同步的整体状态。
连接器	显示云当前可用的内建连接器。
云统计信息	显示同步的整体状态。
同步安排	显示增量与完全同步的同步安排。
配置摘要	列示您在配置中已更改的设置。例如，该摘要可能包含以下内容：将同步所有对象将同步所有用户已禁用被删除的阈值。

表 2. 操作工具栏
操作	描述
开始增量同步	手动启动增量同步如果完全同步未完成或者同步正在进行中，则暂停或禁用同步时将禁用此操作。
同步测试	执行测试同步。
启动事件查看器	启动 Microsoft 事件查看器。
刷新	刷新 Cisco 目录连接器仪表板

表 3. 操作菜单栏
操作	描述
立即同步	立即开始完全同步。
同步模式	选择增量或完全同步模式。
重设连接器保密信息	在 Cisco 目录连接器和连接器服务之间建立对话。选择此操作将重设云中的保密信息，然后在本地保存该保密信息。
测试	执行同步过程测试。在进行完全同步之前必须执行测试。
疑难解答	打开/关闭故障诊断。
刷新	刷新 Cisco 目录连接器主屏幕。
退出	退出 Cisco 目录连接器。

表 4. 组合键
组合键	操作
Alt + A	显示“操作”菜单
`Alt +A + S`	立即同步
`Alt +A + R`	重设连接器保密信息
`Alt +A + D`	测试
`Alt +A + S + I`	增量同步
`Alt +A + S + F`	完全同步
`Alt + H`	显示“帮助”菜单
`Alt + H + H`	帮助
`Alt + H + A`	关于
`Alt + H + F`	常见问题解答

设置自动升级

1	从目录连接器转到配置 > 常规，然后选中自动升级到新的 Cisco Directory Connector 版本。
2	单击应用保存您的更改。

当新版本的连接器可用时，会自动安装。

如果您愿意，您可以手动管理升级。有关详细信息，请参阅升级到最新软件版本。

选择要同步的 Active Directory 对象

默认情况下，目录连接器会同步所有非计算机的用户以及所有非域关键系统对象的组。为了更好地控制要同步的对象，您可以使用目录连接器中的对象选择页面选择要同步的特定用户并指定 LDAP 过滤器。

自动许可证分配组

Control Hub 允许您按组管理许可证分配。您可以创建许可证模板并将其映射到同步到云的 Active Directory 组。在创建用户时，Webex 会检查该新用户的用户成员资格和自动许可证模板映射。

我们建议您使用 LDAP 过滤器仅将相关组同步到云端。例如，您可以将过滤器设置为：

(&(cn=Example)(objectclass=Group))*

此过滤器同步基本 DN 中名称以 Example 开头的所有组。未分配到组的用户将从您在 Control Hub 中配置的默认自动许可证模板中分配许可证。

目录连接器中的对象选择屏幕

混合数据安全部署组

在目录连接器中，如果您使用混合数据安全为试点用户配置试用组，则必须选中组。请参阅混合数据安全部署指南以获取指导。此目录连接器设置不会影响其他用户同步到云端。

准备工作

1	在 Directory Connector 中，转至配置，然后单击对象选择。
2	在对象类型部分中，选中用户，并考虑限制用户可搜索容器的数量。例如，如果您只想同步某个组中的用户，则必须在用户 LDAP 过滤器字段中输入 LDAP 过滤器。如果您想要同步 Example-manager 组中的用户，请使用如下过滤器： `(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))`
3	勾选识别房间将房间数据与用户数据分开。如果要设置其他属性以将用户数据标识为房间数据，请单击自定义。如果您想要将本地会议室信息从 Active Directory 同步到 Webex 云，请使用此设置。同步房间信息后，具有配置的映射 SIP 地址的本地房间设备将显示为云注册房间设备上的可搜索条目。有关更多信息，请参阅将本地会议室信息同步到 Webex 云。
4	如果要将 Active Directory 用户组同步到云端，请选中组。不要将用户同步 LDAP 过滤器添加到“组”字段。您应该只使用“组”字段将组数据本身同步到云端。默认情况下，新客户的群组不会同步。您必须启用组同步。您还必须同步安全组。
5	如需将用户的联系信息同步到云端，请勾选通讯录。目录连接器仅管理由连接器同步的联系人。如果 Control Hub 中已有联系人，则同步不会删除这些联系人。如果将联系人从同步范围中删除，则 Control Hub 中的用户的 [ 联系信息也会被删除。
6	配置 LDAP 过滤器。您可以通过提供有效的 LDAP 过滤器来添加扩展的过滤器。有关配置 LDAP 过滤器的更多信息，请参阅本文。
7	通过单击指定 [] 要同步的本地基本 DN ，选择以查看 Active Directory 的树状结构。您可以在此选择或取消选择要搜索的容器。
8	勾选您要在此次配置中添加的对象，然后单击“选择”。您可以选择单个容器或父容器以用于同步。选择父容器时会自动选中其所有子容器。如果选择子容器，父容器会显示灰色复选标记，说明其下勾选了子容器。然后，您可以单击“选择”以接受勾选的 Active Directory 容器。如果贵组织将所有的用户和组都放在“用户”容器中，则不需要搜索其他容器。如果贵组织划分为多个组织单元，务必选择 OU。
9	单击应用。选择一个选项：应用配置更改测试取消有关试运行的信息，请参阅对 Active Directory 用户进行试运行同步。对于组同步，您必须执行完全同步：将 Active Directory 用户完全同步到云端。

映射用户属性

您可以将本地 Active Directory 的属性映射到云端的对应属性。唯一必填字段是 *uid, 云身份服务中每个用户帐户的唯一标识符。

您可以选择将哪个 Active Directory 属性映射到云 - 例如，您可以将 Active Directory 中的 firstName lastName [] 映射到云中的，或者将自定义属性表达式映射到云中的 displayName 。

Active Directory 中的帐户必须有一个电子邮件地址；默认情况下，uid 映射到邮件的 ad 字段（而不是 sAMAccountName）。

如果您选择让首选语言来自您的 Active Directory，那么 Active Directory 就是唯一的事实来源：用户将无法在 Webex 设置中更改其语言设置，管理员也将无法在 Control Hub 中更改该设置。

1	从目录连接器中，单击配置，然后选择用户属性映射。此页面显示 Active Directory（左侧）和 Webex 云（右侧）的属性名称。所有必需属性都标有红色星号。
2	向下滚动到 Active Directory 属性名称的底部，然后选择其中一个 Active Directory 属性映射到云属性 uid: mail— 大多数部署使用的电子邮件格式。 userPrincipalName— 如果您的邮件属性在 Active Directory 中用于其他目的，则可以选择此为替代选择。此属性必须为电子邮件格式。您可以将任何其他 Active Directory 属性映射到 uid，但我们建议您使用 mail 或 userPrincipalName，如上面的指南中所述。在某些情况下，userPrincipalName 用于登录，但用户的电子邮件地址用于管理他们的日历。您必须确保日历管理的电子邮件地址映射到日历管理中的主电子邮件地址Webex。添加 userPrincipalName 作为备用电子邮件地址。要查看 Active Directory 中与云端相对应的属性，请参阅 Directory Connector 中的映射 Active Directory 属性。为了使同步正常工作，您必须确保所选择的 Active Directory 属性是电子邮件格式。如果您没有选择推荐的属性之一，目录连接器会显示一个弹出窗口来提醒您。
3	如果预定义的 Active Directory 属性不适用于您的部署，请单击属性下拉菜单，滚动到底部，然后选择自定义属性以打开一个窗口，让您定义属性表达式。单击帮助以获取有关表达式的更多信息并查看表达式如何工作的示例。您还可以查看自定义属性的表达式以获取更多信息。在此示例中，我们将 Active Directory 属性 `givenName` 和 `Sn` 映射到云属性 `displayName`: 将属性表达式定义为 `givenName + "" + Sn` （引号为额外空格），然后提供现有用户电子邮件进行验证。单击验证，查看结果是否与您的预期相符。成功的结果如下：如果结果符合您的预期，请单击确定保存新的自定义属性。稍后，如果要更改 `displayName`，可以输入新的属性表达式 Directory Connector 验证身份服务中 uid 的属性值，并在当前用户过滤选项下检索 3 个可用用户。如果这 3 位用户的电子邮件格式均有效，则 Cisco Directory Connector 将显示以下消息：如果无法验证该属性，您将看到以下警告，并可以返回 Active Directory 检查并修复用户数据：
4	（可选）如果您希望手机号码和工作号码出现在 Webex 应用程序的用户联系人卡片中，请选择 mobile 和 telephoneNumber 的映射。当用户将鼠标悬停在另一个用户的个人资料图片上时，电话号码数据就会出现在 Webex 应用程序中。有关从用户联系人卡片进行呼叫的更多信息，请参阅 Webex (Unified CM) 部署指南中的呼叫（管理员）。
5	选择其他映射以使更多数据显示在联系人卡片中： `departmentNumber` `displayName` `manager` `title` 属性映射后，当用户将鼠标悬停在另一个用户的个人资料图片上时，就会显示信息：有关联系人卡片的更多信息，请参阅验证您正在联系的人。将这些属性同步到每个用户帐户后，您还可以在 Control Hub 中打开 People Insights。此功能允许 Webex App 用户在其个人资料中分享更多信息，并相互了解更多。有关该功能及其启用方法的更多信息，请参阅 Control Hub 中适用于 Webex、Jabber、Webex Meetings 和 Webex Events 的 People Insights 配置文件（新）
6	选定后单击应用。

Active Directory 中包含的任何用户数据都会覆盖对应于该用户的云端数据。例如，如果您在 Control Hub 中手动创建了一个用户，则该用户的电子邮件地址必须与 Active Directory 中的电子邮件相同。在 Active Directory 中没有对应电子邮件地址的任何用户都会被删除。

已删除的用户将在云身份服务中保留 7 天，然后才会被永久删除。

Active Directory 和云属性

您可以使用“用户属性映射”标签页将本地 Active Directory 的属性映射到云端的对应属性。

此表格比较了 Active Directory 属性名称与 Cisco 云属性名称间的映射。这些值和映射是目录连接器中的默认设置。您可以在 Active Directory 下拉菜单中选择不同的属性，并确定哪个内部部署属性同步到哪个云属性。

将下拉属性视为预设。作为 Active Directory 行中的值的替代，您还可以在 Active Directory 中指定自定义属性（您自己的预设）（具有多个属性的表达式）以映射到相应行中的单个云属性。这样，您可以灵活地确定用户的显示名称 - 例如，您可以添加一个表达式，该表达式根据 Active Directory 中的员工职称、名字和姓氏创建自定义属性。

您还可以指定任何 Active Directory 属性来映射到云中的 uid。但是，您必须确保本地属性遵循有效的电子邮件格式。

您还可以使用备用电子邮件地址，例如，如果您想使用 userPrincipalName 进行登录，但用户的电子邮件地址用于管理他们的日历。在这种情况下，将另一个电子邮件地址映射到 emails;type-work 属性。这是用于身份验证的电子邮件；它不用于管理您的日历。您从 AD 映射的电子邮件地址必须来自组织内经过验证的域，并且必须是唯一的且未分配给其他用户。

Active Directory 属性名称	Webex 云属性名称	说明
—	buildingName	—
c	c	此属性指定用户的国家缩写。
departmentNumber	departmentNumber	此属性用于显示在联系人卡片和 people insights中的用户部门编号。
displayName	displayName	此属性用于 Control Hub、联系人卡片和 people insights中显示的用户帐户显示名称。
userAccountControl	ds-pwp-account-disabled	该属性用于用户同步。确保 userAccountControl 属性映射到 ds-pwp-account-disabled ，否则用户将无法正确同步。
employeeNumber	employeeNumber	—
facsimileTelephoneNumber	facsimileTelephoneNumber	—
—	jabberID	此云属性与 Jabber 使用的 IM 地址（XMPP 类型）相关。该值与 sipAddresses 不同。
l	l	此属性指定用户所在的城市。
—	locale	—
Manager	Manager	此属性用于显示在联系人卡片和 people insights中的用户经理姓名。
mobile	mobile	此属性用作从联系人卡片呼叫用户时显示的手机号码。
o	o	此属性指定公司或组织的名称，并显示在联系人卡片中。
ou	ou	此属性指定组织单位的名称。
physicalDeliveryOfficeName	physicalDeliveryOfficeName	此属性指定用户的办公地点。
postalCode	postalCode	此属性指定用户的邮政编码，以便进行实体邮件递送。
preferredLanguage	preferredLanguage	该属性设置用户的首选语言，支持以下格式：xx_YY 或 xx-YY。这里是一些示例：en_美国、 en_英国、加拿大。如果您使用不受支持的语言或无效的格式，用户的首选语言将更改至为组织设置的语言。
MSRTCSIP-主用户地址 IP电话	SipAddresses;type=enterprise	此属性用于将本地房间信息从 Active Directory 同步到 Cisco Webex 云。
sn	sn	此属性用于 Control Hub、联系人卡片和 people insights中显示的用户帐户姓氏。
st	st	此属性指定用户所在的州或省。
streetAddress	street	此属性指定用户的街道地址，以便进行实体邮件递送。
telephoneNumber	telephoneNumber	此属性指定用户的主要（工作）电话号码，用于从联系人卡片呼叫用户。
—	timezone	此云属性指定用户的时区。
职位	职位	此属性指定在联系人卡片和 people insights中显示的用户的称谓。
type	enterprise	—
mail userPrincipalName	uid	强制属性映射。对于每个用户帐户，Active Directory 值映射到云中的唯一 uid。在某些情况下，userPrincipalName 用于登录，但用户的电子邮件地址用于管理他们的日历。您必须确保日历管理的电子邮件地址映射到日历管理中的主电子邮件地址Webex。添加 userPrincipalName 作为备用电子邮件地址。只要正确的 SAML 属性映射到位，用户就可以使用其中一个电子邮件地址登录。请参阅下面的示例属性映射，了解如何映射备用电子邮件地址。
userPrincipalName mail <custom attribute>	emails;type-work	此映射是可选的，如果您想使用备用电子邮件地址，请使用它。这是用于身份验证的电子邮件；它不用于管理您的日历。您从 AD 映射的电子邮件地址必须来自组织内经过验证的域，并且必须是唯一的且未分配给其他用户。
<New attribute for Azure user objectId>	externalId	创建一个新的 Active Directory 属性来保存 Azure 用户 objectId，以便它不会与现有属性冲突。然后，此属性映射到 externalId 属性，确保当 Webex 用户在 Microsoft 365 中创建组时，他们会自动在 Webex中创建团队。

备用电子邮件地址映射

自定义属性的表达式

表 5. 自定义属性的表达式
操作员	描述和示例
%	如果匹配，则删除从字符串开头到字符或字符串参数位置的所有字符。示例表达式 `"abc@example.com" % "@"` 结果 `example.com`
-	从指定字符串的末尾剥离输入字符串的后面部分。示例表达式 `"abc@example.com" - "@"` 结果 `abc`
+	连接输入字符串或表达式。示例表达式 `"abc" + "" + "def"` 结果 `abc def`
\|	根据空字符串评估分隔的表达式，并选择第一个非空结果。示例表达式 `"" \| "abc"` 结果 `abc`

将目录头像从 Active Directory 属性同步到云端

您可以将用户的目录头像同步到云端，以便他们登录 Webex 应用程序时每个头像都会出现。使用此过程从 Active Directory 属性同步原始头像数据。

1	从 Directory Connector 中，转到 Configuration，单击 Avatar，然后选中 Enable。
2	对于 Get avatar from，选择 AD attribute，然后选择包含要同步到云的原始头像数据的 Avatar attribute 。
3	为了验证是否正确访问头像，请输入用户的电子邮件地址，然后单击获取用户头像。头像出现在右侧。
4	确认头像正确显示后，单击应用保存更改。

同步的图像将成为 Webex 应用程序中用户的默认头像。从目录连接器启用此功能后，用户不得设置自己的头像。
用户头像同步到 Webex 应用程序和 Webex 站点上的任何匹配帐户。

下一步

进行试运行同步；如果没有问题，则进行完整同步，以使您的 Active Directory 用户帐户和头像同步到云端并出现在 Control Hub 中。

将目录头像从资源服务器同步到云端

您可以将用户的目录头像同步到云端，以便他们登录 Webex 应用程序时每个头像都会出现。使用此过程从资源服务器同步头像。

准备工作

此过程中的 URI 模式和变量值都是示例。您必须使用目录头像所在位置的实际 URL。
头像 URI 模式和头像所在的服务器必须能够从目录连接器应用程序访问。连接器需要对图像进行 http 或 https 访问，但图像不需要在互联网上公开访问。
头像数据同步与 Active Directory 用户配置文件分开。如果您运行代理，必须确保头像数据可供 NTLM 验证或基本验证访问。

1	从 Directory Connector 中，转到 Configuration，单击 Avatar，然后选中 Enable。
2	对于从获取头像，选择资源服务器，然后输入头像 URI 模式—例如， *`http://www.example.com/dir/photo/zoom/{mail: .?(?=@.)}.jpg`* 让我们来看一下头像 URI 模式的各个部分及其含义： http://www.example.com/dir/photo/zoom/—所有将同步的照片所在的路径。它必须是您的服务器上的目录连接器服务能够访问的 URL。 mail:— 指示目录连接器从 Active Directory 获取邮件属性的值 *.?(?=@.)— 执行以下功能的正则表达式语法： `.`—任意字符，重复零次或多次。 `?`— 告诉前面的变量匹配尽可能少的字符。 `(?= ... )`— 匹配主表达式后的组，但不将其包括在结果中。Directory Connector 会查找一个匹配项，且输出中不包含该项。 `@.`—at 符号，后跟任意字符，重复零次或多次。 .jpg*— 用户头像的文件扩展名。请参阅本文档中支持的文件类型并相应地更改扩展名。
3	（可选）如果您的资源服务器需要凭据，请选中设置头像的用户凭据，然后选择使用当前服务登录用户或使用此用户并输入密码。
4	输入变量值 - 例如：`abcd@example.com`.
5	单击测试，确保头像 URI 模式运行正常。在此示例中，如果一个 AD 条目的邮件值为 `abcd@example.com` 并且正在同步 jpg 图像，则最终头像 URI 为 `http://www.example.com/dir/photo/zoom/abcd.jpg`
6	验证 URI 信息正确后，单击应用。有关如何使用正则表达式的详细信息，请参阅《Microsoft 正则表达式语言快速参考》。

同步的图像将成为 Webex 应用程序中用户的默认头像。从目录连接器启用此功能后，用户不得设置自己的头像。
用户头像同步到 Webex 应用程序和 Webex 站点上的任何匹配帐户。

下一步

进行试运行同步；如果没有问题，则进行完整同步，以使您的 Active Directory 用户帐户和头像同步到云端并出现在 Control Hub 中。

将本地会议室信息同步到 Webex 云

使用此过程将本地会议室信息从 Active Directory 同步到 Webex 云。同步房间信息后，已配置和映射 SIP 地址的本地房间设备将显示为云注册的 Webex 设备（Room、Desk 和 Board）上的可搜索条目。

1	从 Directory Connector 中，转到同步，单击同步域旁边的更多，单击配置，然后选择对象选择。
2	勾选【同步房间信息到云端】，同步时将房间数据与用户数据分离。当禁用此设置时，房间数据的处理方式与用户同步数据的处理方式相同。
3	转到属性映射，然后更改云属性的属性映射 sipAddresses;type=enterprise。要使用值验证，SIP 地址的值应该是 `Pattern.compile("^([^@])(.)@(.)$")` 如果可用，请选择 MSRTCSIP-PrimaryUserAddress 。如果您的 Active Directory 架构中没有上述属性，请使用其他字段，例如 ipPhone。
4	在 Exchange 中创建房间资源邮箱。这将添加 msExchResourceMetaData;ResourceType:Room 属性，连接器随后使用该属性来识别房间。
5	从 Active Directory 用户和计算机导航到房间并编辑其属性。添加带有 sip 前缀的完全限定 SIP URI：
6	在连接器中进行空运行同步，然后进行完整运行同步。新的房间对象在空运行报告中列于添加的对象中，匹配的房间对象出现在匹配的对象中。任何标记为删除的房间对象都位于 Rooms Deleted下。试运行结果显示所有匹配的房间资源。此设置将 Active Directory 房间数据（包括房间的属性）与用户数据分开。同步完成后，连接器仪表板上的云统计信息会显示已同步到云端的房间数据。

下一步

现在您已完成这些步骤，当您在 Webex 云注册设备上进行搜索时，您将看到配置了 SIP 地址的同步房间条目。当您从该条目上的 Webex 设备拨打电话时，呼叫将被拨打到为该房间配置的 SIP 地址。

从 Control Hub，您可以自动从您的目录中导入房间并创建工作区。

端点无法将呼叫回拨至 Webex 应用程序。对于测试拨号设备，这些设备必须在本地或 Webex App 以外的其他地方注册为 SIP URI。如果您正在搜索的 Active Directory 会议室系统已注册到 Webex，并且 Webex 会议室设备、桌面设备或 Webex Board for 日历服务上存在相同的电子邮件地址，则搜索结果将不会显示重复的条目。在 Webex 应用程序中直接拨打 Room、Desk 或 Board 设备，并且不会进行 SIP 呼叫。

发送目录同步结果的电子邮件报告

默认情况下，组织联系人或管理员始终都会收到电子邮件通知。通过此设置，您可以自定义谁应该接收总结目录同步报告的电子邮件通知。

1	从 Directory Connector 中，单击配置，然后选择通知。
2	从目录连接器中，单击设置，然后在电子邮件接收器旁边，切换到启用报告同步。
3	如果您想覆盖默认通知行为并添加一个或多个电子邮件收件人，请选中启用通知。
4	点击添加然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您先纠正问题，然后才能保存并应用更改。
5	点击添加电子邮件，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您先纠正问题，然后才能保存并应用更改。
6	如果您需要编辑输入的任何电子邮件地址，请双击左列中的电子邮件条目，然后进行所需的更改。
7	添加所有有效的电子邮件地址后，单击应用。
8	添加所有有效的电子邮件地址后，单击保存。

下一步

如果您决定要删除电子邮件地址，您可以单击一封电子邮件以突出显示该条目，然后单击删除。

如果您决定要删除电子邮件地址，您可以单击特定电子邮件地址条目旁边的删除。

在 Control Hub 中配置目录连接器通知

您可以使用 Control Hub 中的警报中心来传送来自目录连接器的报告。Control Hub 可以将通知发送到各种传送渠道，包括电子邮件和 Webex 空间。Control Hub 中的通知映射到现有的 Directory Connector 报告通知，包括：

信息（默认）——显示信息性消息，突出显示应用程序的进度。如果您希望在所有完全同步后接收报告，请使用此设置。
警告— 显示潜在的有害情况。
错误— 显示可能仍允许应用程序继续运行的错误事件。当您选择此选项时，仅当报告错误时才会发送同步报告。

请记住，当从警报中心启用此功能时，来自目录连接器的电子邮件通知不会改变。禁用目录连接器中的通知以避免对同一事件重复发出警报。

此外，目录连接器中的通知配置不会自动迁移到警报中心。确保在警报中心添加所需的电子邮件地址以接收通知。

1	登录 Control Hub 并点击 Alerts。
2	选择管理 > 创建规则。
3	在类型下拉列表中，选择 Cisco Directory Connector。
4	选择您喜欢的严重程度。默认情况下，严重性设置为高。对于满足或超过规则严重程度的实例，将触发警报。
5	为新警报输入标题。
6	选择您喜欢的警报传送方式。您可以通过电子邮件、在指定的 Webex 应用程序空间中或在组织级别启用 Webhooks 接收警报更新。您最多可以添加 30 个电子邮件地址来接收电子邮件提醒。您需要拥有消息传递许可证才能在指定的 Webex 空间中接收机器人更新。
7	单击保存。

将 Active Directory 中的用户调配到 Control Hub

按照以下步骤配置 Active Directory 用户并在 Control Hub 中创建相应的用户帐户。在每个域安装目录连接器后，您可以从多域 Active Directory 部署（具有单个林或多个林）中配置用户。在从不同域中引入用户的过程中，您必须决定是否保留或删除 Webex 云中可能已经存在的用户对象 — — 例如，试用版的测试帐户。目标是使您的 Active Directory 和 Webex 云完全匹配。

1	对 Active Directory 用户进行试运行同步执行试运行以比较本地 Active Directory 中的对象和 Webex 云中的对象。通过试运行，您可以在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
2	将 Active Directory 用户完全同步到云中在您运行完全同步时，连接器服务将所有已过滤对象从 Active Directory (AD) 发送至云。然后，连接器服务将您的 AD 条目更新到身份存储库中。如果您创建了自动分配许可证模板，则可以将其分配给新同步的用户。
3	在 Control Hub 中将 Webex 服务分配给目录同步用户完成从目录连接器到 Control Hub 的完整用户同步后，您可以使用多种方法分配 Webex 服务许可证。我们建议您先设置一个自动分配许可证模板，然后再将其用于从 Active Directory 同步的新 Webex 应用程序用户。您还可以在此初始步骤之后进行单独的更改。

对 Active Directory 用户进行试运行同步

执行试运行以比较本地 Active Directory 中的对象和 Webex 云中的对象。通过试运行，您可以在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。

在从不同域中引入用户的过程中，您必须决定是否保留或删除 Webex 云中可能已经存在的用户对象 — — 例如，试用版的测试帐户。使用目录连接器，目标是使您的 Active Directory 和 Webex 云完全匹配。

如果您在一个或多个林中拥有多个域，则必须在为每个 Active Directory 域安装的每个 Cisco 目录连接器实例上执行此步骤。

准备工作

在使用目录连接器之前，您可能已经在 Control Hub 中拥有一些 Webex App 用户。在云中的用户中，有些用户可能与本地 Active Directory 对象匹配并被分配服务许可证。但是，有些可能是在执行同步时需要删除的测试用户。您必须在 Active Directory 和 Control Hub 之间创建完全匹配。

1	选择一种：首次登录后，单击提示上的是进行试运行。如果您错过了执行试运行的提醒，请随时从目录连接器中单击仪表板，选择同步试运行，然后单击确定以开始试运行同步。试运行完成后，您将看到以下结果之一： *在目录连接器中检测到不匹配的对象* *目录连接器中的试运行报告结果和不匹配对象的摘要* 摘要包含有关对象匹配的信息：匹配的对象 - 位于 Webex Common Identity 中且存在于 Active Directory 域中的用户，即，如果 someuser@cisco.com 已同步到 Webex 并显示在 Control Hub 中，并且是同一个用户 (someuser@cisco.com) 存在于 Active Directory 中。表示该用户已匹配。不匹配的对象 - 无论如何在 Common Identity 中添加用户，Webex 中的用户在 Active Directory 中都不存在。这被称为不匹配的对象。例如，如果 someuser@cisco.com 已在 Webex 中同步并显示在 Control Hub 中，但同一个用户 (someuser@cisco.com) 不受 Active Directory 管理，则报告显示用户不匹配。测试会通过将这些用户与域用户进行比较来识别用户。如果这些用户属于当前域，应用程序便可予以识别。在下一步中，您必须决定是删除对象还是保留它们。不匹配的对象被识别为已存在于 Webex 云中，但不存在于本地 Active Directory 中。
2	查看试运行结果，然后根据您使用单个域还是多个域选择一个选项：单个域— 决定是否要保留不匹配的用户。如果要保留它们，请选择否，保留对象; 如果没有，请选择是，删除对象。完成这些步骤并手动运行完全同步后，本地和云之间就会完全匹配，目录连接器会自动启用计划的自动同步任务。多个域— 对于具有域 A 和域 B 的组织，首先对域 A 进行试运行。如果要保留不匹配的用户，请选择否，保留对象。（这些不匹配的用户可能是域 B 的成员。）如果要删除，请选择是，删除对象。如果您保留用户，请先对域 A 运行完全同步，然后对域 B 进行试运行。如果仍然有不匹配的用户，请在 Active Directory 中添加这些用户，然后对域 B 进行完全同步。当本地和云之间完全匹配时，目录连接器会自动启用计划的自动同步任务。
3	在确认试运行提示中，单击是重新进行试运行同步并查看仪表板以查看结果。在测试中成功同步的所有帐户都会显示在已匹配的对象下面。如果云中的用户在 Active Directory 中没有具有相同电子邮件的对应用户，则该条目将列在已删除用户下。为了避免此删除标记，您可以在 Active Directory 中添加使用相同电子邮件地址的用户。若要查看已同步项目的详细信息，请单击特定项目的相应标签页或已匹配对象。若要保存摘要信息，请单击“将结果保存至文件”。
4	如果结果符合预期，请转至操作 > 同步模式 > 启用同步，然后单击立即启用进行手动同步并处于手动模式。在多域部署中的最后一个 Active Directory 域上进行同步后，必须为目录连接器启用自动模式。仅当 Webex 云和所有本地 Active Directory 之间的对象完全匹配时，您才可以启用自动模式。

下一步

对于保留的任何不匹配的用户对象，您必须将它们添加到 Active Directory，以便本地和云之间完全匹配。
选择同步类型：
- 将 Active Directory 用户完全同步到云中用于首次将新用户同步到云时。您可以从操作执行此操作 > 立即同步 > Full，然后同步当前域中的用户。
- 在运行完整同步后，如果您想在初始同步后获取更改，请设置连接器计划和运行增量同步。建议使用这种类型的同步来捕捉对 Active Directory 用户源所做的细微更改。
  
  默认情况下，增量同步设置为每 30 分钟发生一次（在 3.4 及更早版本中）或每 4 小时发生一次（在3.5 及更高版本），但您可以更改此值。直到您最初执行完全同步时才会发生增量同步。
如果您有多个域，请在已安装的任何其他目录连接器上重复这些步骤。

注意事项

在您启用完全同步之前或更改同步参数后，请执行测试。如果测试是由配置更改而引起的，可以在测试完成后保存设置。如果您已经手动添加了用户，执行 Active Directory 同步可能会导致删除先前添加的用户。您可以检查目录连接器试运行报告，以验证在完全同步到云之前所有预期用户是否存在。
如果匹配的用户被标记为要删除，而您不确定如何继续，请参阅目录连接器的故障排除和修复中的故障排除信息以及如何联系支持人员。

已删除的用户将在云身份服务中保留 7 天，然后才会被永久删除。

将 Active Directory 用户完全同步到云中

在您运行完全同步时，连接器服务将所有已过滤对象从 Active Directory (AD) 发送至云。然后，连接器服务将您的 AD 条目更新到身份存储库中。如果您创建了自动分配许可证模板，则可以将其分配给新同步的用户。

如果您有多个域，则必须在为每个 Active Directory 域安装的每个目录连接器实例上执行此步骤。

Directory Connector 同步用户帐户状态 - 在 Active Directory 中，任何标记为已禁用的用户在云中也会显示为非活动状态。

准备工作

如果您希望 Webex 应用程序用户帐户在完全同步后且用户首次登录之前处于活动状态，则必须执行以下步骤以绕过电子邮件验证：
- 将单点登录与您的 Webex 组织集成。请参阅使用 Cisco Webex 服务和您组织的身份提供商进行单点登录以了解更多信息。
- 使用 Control Hub 验证并选择性地声明电子邮件地址中包含的域。请参阅添加、验证和申领域。
- 抑制自动电子邮件邀请，这样新用户就不会收到 Webex App 的自动电子邮件邀请。（您可以开展自己的电子邮件活动。）
  
  尚未登录的已激活用户在 Control Hub 中显示为 已验证 状态。登录后，他们将显示为活跃。有关用户状态的详细信息，请参阅 Cisco Webex Control Hub 中的用户状态和操作。
启用同步时，Directory Connector 将要求您首先执行测试。我们建议您在完全同步之前先进行测试，以便发现任何潜在错误。
您必须设置自动分配许可证模板，然后才能将其用于从 Active Directory 同步的新 Webex 应用程序用户。

如果您不使用自动分配许可证模板，新同步的用户将自动获得免费许可证。他们将能够使用与免费帐户用户相同的免费功能。

1	选择一种：首次登录后，如果试运行完成且所有域看起来都正确，请单击立即启用以允许自动同步。从目录连接器，转到仪表板，单击操作，选择同步模式 > 启用同步，然后点击立即同步 > 完整开始同步。
2	从 Directory Connector 中，转到同步，单击同步域旁边的更多，单击配置，然后选择完全同步。
3	确认同步已开始。对于您对 Active Directory 中的用户所做的任何更改（例如，显示名称），Control Hub 会在您刷新用户视图时立即反映更改，但 Webex App 会在您执行同步后最多 72 小时内反映更改。您可以尝试按照以下说明清除 Webex 应用程序的本地缓存：Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步完成后，新信息将更新到上次同步和云统计信息部分中。用户数据同步至云端。如果同步期间发生错误，状态指示球将变为红色。
4	如果要更新同步状态，请单击刷新。（同步项会显示在云统计信息下面。）
5	有关错误的信息，请从操作工具栏中选择启动事件查看器来查看错误日志。
6	要设置与云端进行持续增量同步的同步计划，请参阅设置连接器计划和运行增量同步。

完全同步完成后，Control Hub 中设置页面上的目录同步状态将从 已禁用 更新为 可操作 。
当本地和云端之间的所有数据匹配时，目录连接器将从手动模式更改为自动同步模式。
除非您集成单点登录、验证域并选择性地为已同步的电子邮件帐户声明域，以及抑制自动电子邮件，否则 Webex App 用户帐户将保持未验证状态，直到用户首次登录 Webex App 确认其帐户为止。请参阅“开始之前”部分以获取有关如何将帐户同步为活跃用户的指导。
如果您有多个域，请在您安装的任何其他目录连接器上执行此步骤。同步后，您添加的所有域上的用户都会列在 Control Hub 中。
如果您将单点登录与 Webex 集成，并且抑制了电子邮件通知，则电子邮件邀请不会发送给新同步的用户。
启用目录连接器后，您无法在 Control Hub 中手动添加用户。一旦启用，用户管理将由 Cisco 目录连接器执行，并且 Active Directory 是唯一事实来源。
您同步的任何组都会出现在 Control Hub 中，您可以分配许可证模板，以便为该组中的用户分配许可证。

下一步

从 Active Directory 中删除用户时，该用户将在下次同步后被软删除。用户变为 Inactive ，但云身份配置文件将保留七天（以便从意外删除中恢复）。

当您在 Active Directory 中选中 帐户已禁用 时，下次同步后该用户将变为 Inactive 。如果您想再次启用该用户，云身份配置文件不会在七天后被删除。
请注意增量同步的这些例外情况（请按照上面的完整同步步骤操作）：
- 如果头像更新，但其他属性没有变化，增量同步不会将用户的头像更新到云端。
- 属性映射、基本 DN、过滤器和头像设置的配置更改需要完全同步。

在 Control Hub 中将 Webex 服务分配给目录同步用户

完成从 Cisco 目录连接器到 Control Hub 的完整用户同步后，您可以使用 Control Hub 一次性将相同的 Webex 服务许可证分配给所有用户，或者如果您已配置自动分配的许可证模板，则可以向新用户添加其他许可证。您可以在完成此初始步骤后对单个用户帐户进行更改。

完成从目录连接器到 Control Hub 的完整用户同步后，您可以使用 Control Hub 中的方法将 Webex 服务许可证全局分配给所有用户、单个用户（通过批量 CSV 模板），或者自动分配给新用户（如果您已配置自动分配许可证模板）。您可以在完成此初始步骤后对单个用户帐户进行更改。

当您向 Webex App 用户分配许可证时，默认情况下，该用户会收到一封确认分配的电子邮件。该电子邮件由 Control Hub 中的通知服务发送。如果您将单点登录 (SSO) 与 Webex 组织集成，并且您希望直接联系您的用户，那么您还可以抑制这些自动电子邮件通知。

准备工作

您必须设置自动分配许可证模板，然后才能将其用于从 Active Directory 同步的新 Webex 应用程序用户。
对您的 Active Directory 用户进行试运行同步。
确认试运行结果后，对 Active Directory 用户进行完全同步。

完全同步时，在云端创建用户，不添加服务分配，也不发送激活电子邮件。如果未抑制电子邮件，则当您通过 Control Hub 中的标准用户管理方法（例如 CSV 导入、手动用户更新或成功完成自动分配）向用户分配服务时，新用户会收到激活电子邮件。

1

从 https://admin.webex.com中的客户视图，转到管理 > 用户，点击管理用户，选择修改所有同步用户，然后点击下一步。

2

选择一个选项：

在 Control Hub 中为个人用户编辑服务许可证— 手动修改用户。
使用 CSV 模板修改 Control Hub 中的用户— 批量修改用户。

下一步

如果未抑制电子邮件，则会向每个用户发送一封电子邮件，邀请他们加入并下载 Webex。
如果您为所有用户选择了相同的 Webex 服务，则之后您可以单独或批量更改分配的许可证。

相关信息

在组织中添加和管理用户的方法

目录连接器的已知问题

2012 R2 之前的 Windows Server 版本存在影响目录连接器的 cookie 问题。此问题已在版本 2012 R2 和 2016中修复。
对于您对 Active Directory 中的用户所做的任何更改（例如，显示名称），Control Hub 会在您刷新用户视图时立即反映更改，但 Webex App 会在您执行同步后 72 小时内反映更改。

您可以尝试按照以下说明清除 Webex 应用程序的本地缓存：Windows 或 Mac。
当用户使用桌面或移动设备上的 Webex 应用程序搜索并呼叫仅具有同步 SIP URI 的房间时，呼叫会无限期地响铃。

管理 Webex 应用程序用户

运行增量同步

增量同步会查询 Active Directory，查找自上次同步以来发生的更改。然后，此步骤会打包上述更改并发送至连接器服务。这些变化包括用户属性的修改以及用户添加或删除的时间。

这种同步不会给服务器带来太大的负载，也不会像完全同步那样花费太多时间。完成初始完全同步后，我们建议使用增量选项进行后续同步。

准备工作

您必须设置自动分配许可证模板，然后才能将其用于从 Active Directory 同步的新 Webex 应用程序用户。
请注意增量同步不支持以下异常（请改为按照将 Active Directory 用户完全同步到云中进行操作）：
- 如果头像更新，但其他属性没有变化，增量同步不会将用户的头像更新到云端。
- 对于属性映射、基本 DN、过滤器和头像设置的新配置更改，增量同步将不起作用，这些需要完全同步。

1	从 Directory Connector 中，单击控制板。启用同步时，Directory Connector 将要求您首先执行测试。
2	从操作中，单击同步模式 > 如果尚未启用，请启用同步。默认情况下，增量同步设置为每 30 分钟发生一次（在 3.4 及更早版本中）或每 4 小时发生一次（在 3.5 及更高版本中），但您可以更改此值。直到您最初执行完全同步时才会发生增量同步。当新的增量时间间隔结束时，程序会根据最后的时间戳检查更改。
3	从操作中，单击立即同步 > 增量。对于您对 Active Directory 中的用户所做的任何更改（例如，显示名称），Control Hub 会在您刷新用户视图时立即反映更改，但 Webex App 会在您执行同步后 72 小时内反映更改。您可以尝试按照以下说明清除 Webex 应用程序的本地缓存：Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，上次同步和云统计信息部分将使用新信息进行更新。如果同步期间发生错误，状态指示球将变为红色。
4	有关错误的信息，请单击操作工具栏中的 ]启动事件查看器以查看错误日志。

下一步

如果您有多个域，请在已安装的其他目录连接器实例上执行此步骤。

恢复意外删除的用户

目录连接器具有制衡机制，以防止无意删除用户。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器，这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复并在 Control Hub 中重新建立用户帐户。

默认情况下，所有组织均启用此功能。例如，由于目录连接器同步后出现对象不匹配的问题，导致用户在云中被删除时，可以恢复该用户。如果您看到不匹配的对象通知或注意到用户已被删除，如果您迅速采取行动，您可能能够恢复它们。

当 Active Directory 中删除相应的帐户时，用户将在 Control Hub 中被标记为非活动状态。后台云服务最多可保留用户7天。在此期间，您仍然可以使用 Cisco Directory Connector 恢复用户。我们建议您尽快恢复这些用户。

Active Directory 中禁用的用户在 Control Hub 中也会被标记为非活动状态，但用户帐户不会在 7 天后被删除。

1	登录到 Control Hub。
2	转到用户并确认特定用户帐户是否处于非活动状态或未列出。有关更多信息，请参阅 Control Hub 中的用户状态和操作。
3	如果在 Control Hub 中删除了用户，或者您注意到用户处于非活动状态，请转到 Active Directory，添加缺少的用户帐户，然后在 Directory Connector 中进行试运行同步。 Directory Connector 的目标是在 Active Directory 和云中的用户信息之间创建精确匹配。
4	进行完全同步以将暂时删除的用户帐户重新同步到 Control Hub。用户恢复并恢复原始状态，包括其帐户状态和服务分配。

下一步

返回 Control Hub，转到管理 > 用户，并确认之前删除的用户帐户是否出现在用户列表中。

软删除后永久删除用户

执行试运行后，您可以选择在下次同步时永久删除被软删除的用户。

1	试运行完成后，选择软删除对象。
2	选中要删除的用户旁边的复选框。
3	选择完成。

下一步

下次同步时，您检查的用户将被永久删除。

更改 Webex 应用程序电子邮件地址

如果您想更改用户电子邮件地址，并且您的组织使用目录连接器，您可以在 Active Directory 中更改这些电子邮件地址。此过程介绍如何更改单个域的 Webex App 电子邮件地址以及更改域的过程。

如果您只想更改一个用户的电子邮件或某些值，请不要从 Active Directory 中删除该用户，然后使用相同的电子邮件重新创建一个新用户。云端将此操作解释为新用户帐户，并且用户在云端的空间和其他数据将会丢失。

要更改用户电子邮件地址而不更改域：
1. 打开用户帐户（例如， user1@example.com) 在 Active Directory 中更改电子邮件地址（例如， user2@example.com).
2. 恢复目录连接器上的同步。
  
  下次同步后，缓存刷新后，更改将显示在 Control Hub 中的用户列表中，并显示在 Webex 应用程序中的用户列表中。
  
  采用此方法不会造成数据或空间丢失。第一次同步后，用户的唯一标识符将在云端设置。所有后续同步都基于此标识符。
在使用目录连接器的多域部署中，要在更改域的同时更改用户电子邮件地址（将 example1.com 视为旧域，将 example2.com 视为新域）：
1. 对于旧用户帐户 (user1@example1.com), 请注意映射到 uid 云属性的 Active Directory 属性。您需要对新帐户使用相同的 Active Directory 值。对于此示例，我们将使用 user1@example1.com 作为本地属性映射到云中的 uid 。
2. 暂停目录连接器上 example1.com 和 example2.com 域的同步。
3. 在 example2.com 中创建一个新的用户帐户并使用上面相同的属性。（例如， user1@example1.com）。
4. 在目录连接器上，恢复 example2.com 的同步
  
  在继续之前，请确认 user1@example2.com 帐户同步到 Control Hub。我们建议您指导用户在 Webex 应用程序中验证电子邮件更改，并保留所有数据（空间、消息、会议、文件等）。
  
  使用此方法不会丢失数据或空间，但在新用户帐户中，您必须确保从旧用户帐户中保留映射到云 uid 属性的 Active Directory 属性。如果您更改 Active Directory 值，新帐户将不会保留旧帐户的数据。
5. 验证电子邮件地址更改且数据完好无损后，删除 example1.com 上的旧用户帐户，然后使用目录连接器恢复 example1.com 的同步。
  
  此时，您可以安全地更新新 Active Directory 域中的电子邮件地址 user1@example2.com.

目录连接器不限制电子邮件域的更改。但是，当用户重新同步到云时，用户状态取决于新域是否在您的组织中经过验证。如果域未在您的组织中验证，则完全同步后用户的状态将更改为“待处理”。有关更多信息，请参阅管理您的域。

如果您的组织不使用目录连接器，您可以通过帐户设置页面更改您的 Webex 应用程序电子邮件地址。请参阅更改您帐户的电子邮件地址，了解用户可以遵循的更改电子邮件的步骤。

更改 Active Directory 域

您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。

1	设置新的 Active Directory (AD) 域。
2	禁用所有连接器上的同步。
3	卸载所有连接器。
4	打开一个案例来更改域名。在提交案例时，请务必请求删除组织中的域配置和所有同步属性。在打开更改域名的案例之前，请确保您没有运行同步。在案件解决之前，请勿更改 Active Directory 中的任何用户电子邮件地址。
5	解决案例后：在与新 Active Directory 域相同的服务器上安装目录连接器。配置目录连接器，使其指向新的 Active Directory 域。如果 Control Hub ( https://admin.webex.com) 中存在现有用户，请确保 Active Directory 中也存在具有匹配电子邮件地址的用户。如果您的组织已禁用 DirSync 中的 `softDelete` 切换，则位于 Control Hub 但不在 Active Directory 中的用户电子邮件地址可能会被删除。在进行实际同步之前，使用目录连接器执行测试运行。

域声明

如果您为某个组织声明电子邮件域，则会发生域声明，以便任何侧板帐户都是在付费客户组织中而不是免费消费者组织中创建的。您只能通过支持案例进行域名声明（有关更多信息，请参阅下面的链接）。

如果目录连接器处于活动状态并且域已被声明，则不会在客户组织或免费消费者组织中创建侧板帐户。只有目录连接器可以从 Active Directory 为组织配置帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户，受邀用户将收到错误提示。将受邀用户添加到 Webex App 空间的唯一方法是首先使用目录连接器将帐户配置到 Control Hub 中。

相关信息

Active Directory 组自动许可证分配建议

转换目录同步组织中的免费 Webex 应用程序用户

您只能在 Webex 应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册 Webex App 的免费版本，则他们的帐户存在于免费消费者组织中。要使用目录连接器管理此组织中的用户，请在打开目录连接器之前将他们迁移（转换）到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。

如果您未在激活前转换帐户，请关闭 Directory Connector 以对帐户进行转换。

如果您在启用目录同步时尝试转换用户，则会出现错误消息 <email address> could not be converting 。为避免此问题, 您可以使用这些步骤作为变通办法。

一些声称的用户在进行试运行时可能会出现 movedfrom 属性。这些用户将在 Deleted Object 列表中，而不是 MismatchedObject中。如果您想将这些用户移至您的组织，则需要将这些用户添加到您的 AD 列表中。

如果您不添加这些用户，下次同步到云端时，他们都会被删除。

1	从 Directory Connector 中禁用目录同步功能。
2	按照在 Control Hub 中转换未经许可的用户程序将用户从免费消费者组织转换为企业组织。此步骤将用户添加到您的组织，并且该帐户将显示在 Control Hub 中。Directory Connector 使 Active Directory 成为用户帐户的唯一真实来源，目标是使 Active Directory 和 Control Hub 完全匹配。在重新启用同步前，确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。
3	在目录连接器上，进行试运行同步。测试完成后，查看“添加对象”标签页。验证是否未删除您已转换的任何用户。您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步功能，并且帐户仅驻留在 Control Hub 中，则 Directory Connector 区分大小写，并会删除检测到的电子邮件地址不匹配的转换用户（例如， user1@example.com 和 User1@example.com). 如果删除任何转换后的用户，他们将失去所有 Webex 应用程序空间。
4	如果您确定下一次同步将不会删除任何帐户，请从 Directory Connector 重新启用目录同步。

如果您没有验证域，转换的用户帐户不会自动激活。例如，如果您打开自动分配许可证模板，然后打开目录连接器而不进行域验证，则转换后的用户在云后端将处于非活动状态，直到他们确认其电子邮件地址。

侧边栏 Webex 应用程序用户帐户

当您邀请其他用户加入 Webex App 中的空间时，如果受邀用户没有 Webex App 帐户，则会为他们创建一个帐户（“侧板”）。缺省情况下，以此方式创建的帐户将添加至自由消费者组织中。

如果您想使用目录连接器管理侧板帐户，则必须转换帐户。

目录同步后更改 Webex 应用程序用户名格式

默认情况下，Directory Connector 将 Active Directory 中的 displayName 属性映射到云中的 displayName 属性。

在执行目录同步之后，您可能会发现用户名以 <lastName, firstName> 格式显示。

如果 Active Directory 中的 displayName 属性以这种方式配置，则可能会出现此用户名。当属性在云中映射到 displayName 时，名称在 Control Hub 中显示为 <lastName, firstName> 格式。

若要更改格式，请在 Directory Connector 属性映射屏幕中进行如下操作：将 Active Directory 属性 givenName sn （或 sn givenName）映射到 Cisco 云属性名称中的 displayName 。

更改 Cisco 云属性名称格式

或者，将属性 sn givenName 映射到 displayName:

更改 Cisco 云属性名称格式

如果您想将自己的自定义属性表达式映射到 displayName，您还可以使用自定义属性选项。

自定义思科云属性名称格式

例如，输入 givenName + "" + sn （名字，空格，姓氏）作为表达式。这会将 Active Directory 中的两个属性映射到云中的 displayName 。

从本地 Active Directory 映射属性

允许用户在 Webex 会议中更改显示名称

如果您想允许用户编辑他们喜欢的显示名称，您可以取消映射 displayName 属性以使其与目录连接器中的云同步。用户可以输入在 Webex 会议期间显示的显示名称，而不是他们的名字和姓氏。管理员还可以在 Control Hub 中手动更改用户的显示名称。

1	从目录连接器中，单击配置，然后选择用户属性映射。
2	在 Cisco Cloud Attribute Name [] 下选择 displayName。
3	选择不同步此属性。

下一步

用户现在可以从他们的 Webex 站点 [ 编辑他们的显示名称。

Directory Connector 故障诊断

升级到最新软件版本

为了使您的部署保持合规性并获得最新的特性、功能、错误修复和安全增强功能，您必须始终升级到最新版本的 Directory Connector。如果您不升级到可用的最新版本，您可能会遇到问题，例如目录连接器不再正确同步或所使用的版本不支持强制性 TLS 1.2 要求。

Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。

虽然您可以手动安装连接器软件更新，但我们建议您按照设置自动升级中的步骤操作，让应用自动管理您的升级。

1	单击 Windows 任务栏中的通知，或右键单击 Windows 任务栏中的目录连接器图标以启动升级过程。
2	按说明完成升级操作。
3	重新启动连接器并使用您的管理员凭据登录。
4	在帮助下验证软件的版本号 > 关于。

下一步

要全新安装 Directory Connector，您可以下载 zip 文件，然后按照本指南中的安装步骤进行操作。

配置 Directory Connector 的常规设置

使用此过程配置常规设置，例如运行目录连接器的服务器的名称、日志级别、自动升级以及域控制器的首选设置。连接器的名称显示在控制板的连接器部分中，其中还包含正在运行的任何其他连接器。

1	从目录连接器中，转到配置，然后单击常规。
2	在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。
3	从下拉框中选择日志级别。默认情况下，日志级别设置为 Info。可用的日志级别包括：信息（默认）——显示信息性消息，突出显示应用程序的进度。如果您希望在所有完全同步后接收报告，请使用此设置。警告— 显示潜在的有害情况。调试— 显示对调试应用程序最有用的详细信息事件。如果您看见任何问题，请设置此日志级别，并在提交支持申请时将事件日志发送给支持人员。错误— 显示可能仍允许应用程序继续运行的错误事件。当您选择此选项时，仅当报告错误时才会发送同步报告。这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为“错误”，则同步报告中仅报告错误；如果没有错误，则不会发送同步报告。将设置更改为信息，然后您会在完全同步后收到同步报告。（请记住，对于增量同步，当没有报告错误时，不会发送任何报告。）
4	选择首选域控制器以设置域控制器同步身份的顺序。将按照从上到下的顺序访问域控制器。如果顶级控制器不可用，则选择列表中的第二个控制器。如果列表中没有控制器，您可以访问主控制器。
5	如果您希望自动升级，请选中自动升级到新的 Cisco Directory Connector 版本。始终保持 Cisco Directory Connector 软件为最新版本非常重要。我们建议您检查此设置，以允许在软件可用时以静默方式自动安装软件升级。
6	选中 LDAP over SSL 以使用安全 LDAP (LDAPS) 作为连接协议。如果您未选中 LDAP over SSL，则 Directory Connector 将继续使用 LDAP 连接协议。 LDAP（轻量级目录应用程序协议）和安全 LDAP（LDAPS）是应用程序和基础设施内的域控制器之间使用的连接协议。LDAPS 通信是加密且安全的。

配置连接器策略

您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。

例如，您将 1 设置为删除阈值触发值。在执行完全或增量同步时，如果您要删除的用户数大于该设置，Directory Connector 会显示警告。如果您单击忽略阈值，可以成功开始完全或增量同步，但是在您下次运行该策略时将再次看到此忽略提示。

1	从 Directory Connector 中，单击 Configuration，然后选择 Policy。
2	如需添加阈值触发器，请勾选“启用删除阈值触发器”复选框。选择该选项后，删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时，同步失败。
3	输入您要设置的最大删除次数。缺省值为 20。我们建议您不要增大该缺省值。
4	单击应用。

设置连接器的安排

在 Active Directory 中设置同步时间。为了实现高可用性 (HA)，使用了故障转移。如果有一个连接器宕机，我们会在预定义的间隔过后，切换到另一个待机连接器。

1	从 Directory Connector 中，单击 Configuration，然后选择 Schedule。
2	以分钟为单位指定增量同步间隔。缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。
3	如果您希望更改发送报告的频率，请更改发送报告间隔时间值。
4	勾选启用完全同步计划以指定想要执行完全同步的日期和时间。
5	以分钟为单位指定故障转移间隔。
6	单击应用。

多域情境

多个域基于域优先级。对于在不同域具有相同键值的对象，在同步后，来自高优先级域的数据将覆盖来自低优先级域的数据。

具有相同键值的对象会链接到数据库中的同一条记录。

多域情境

“用户”的键值是电子邮件地址；“组”的键值是组名。

多域使用示例

此示例假设某组织有两个域 - example1.com 和 example2.com，前者优先级高于后者。

添加 user1（电子邮件：user@example1.com）到 example1.com 的 Active Directory。
添加 group1（组名：Test）到 example1.com 的 Active Directory。
添加 user2（电子邮件：user@example2.com）到 example2.com 的 Active Directory。
添加 group2（组名：Test）到 example2.com 的 Active Directory。

在 example1.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

如果您为 example1.com 执行全面或增量同步，user1 和 group1 会同步。而且，user2 和 group2 会被 user1 和 group1 的信息覆盖。

User1 作为数据库中的相同记录链接到 user2；group1 作为数据库中的相同记录链接到 group2。

在 example1.com 和 example2.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在 https://admin.webex.com 中，而 user1 和 group1 没有。

请考虑这些步骤：

在 example1.com 的 Active Directory 上删除 user1 和 group1。
为 example1.com 执行全面或增量同步。
结果: 在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1，而 group2 没有链接到 group1。
为 example2.com 执行增量同步。
结果: 在 https://admin.webex.com 中用户信息无变化。
为 example2.com 执行全面同步。
结果: user2 和 group2 的信息在 https://admin.webex.com 中列出。

同步新的域并保留现有域

如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后，该连接器会与新的域绑定，而域 (A) 下的用户信息不受影响。

每个域必须自带有效的连接器。请考虑采用以下设置的两个域：带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA)；带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中，一个连接器处于活动状态，另一个处于待机状态 (HA)。该设计可保持域同步，因为有一个连接器始终处于活动状态。也就是说，cb1 是域 B 处于活动状态的连接器，因为域 A 已有处于活动状态的连接器（ca1 或 ca2）。

设置域优先级

使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域，等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织，此设置会很有帮助。

如果在 Directory Connector 中只列出了一个域，则不要使用此过程。如果您尝试进行此配置，连接器会显示一条消息，说明不需要域优先级。

准备工作

为避免错误，请安装或升级到最新版本的 Cisco 目录连接器。您必须从 https://admin.webex.com 下载它。

1	从 Cisco 目录连接器中，单击仪表板。
2	转至操作，然后单击设置域优先级。
3	高亮显示列表中的一个域，单击向上或向下更改此域的优先级，然后单击保存保存更改。各个域会按优先级自上而下排序。

切换域

使用此过程将 Cisco 目录连接器重新绑定到不同的域。

准备工作

在切换域之前，确保没有同步任务在运行。
为避免错误，请安装或升级到最新版本的 Cisco 目录连接器。您必须从 Control Hub下载它。

1	从 Cisco 目录连接器中，单击仪表板。
2	转至操作，然后单击切换域。
3	阅读警告后，如果您理解此更改对部署的影响，而且您仍然确定要更改，请单击是。如果您切换域，那么您将退出当前的 Cisco 目录连接器，连接器中的其他域将被取消注册，并且该计算机上的连接器信息将被删除。
4	重新登录 Cisco 目录连接器并重新绑定域。

关闭目录同步

如果您需要停止目录连接器的同步，您可以从 Control Hub 暂时将其关闭。

1

从 https://admin.webex.com中的客户视图，转到管理 > 组织设置，滚动到目录同步，然后选择一项：

单击更多，然后单击要关闭的连接器实例旁边的关闭。
单击关闭所有目录同步可停止所有连接器实例的同步。

2

阅读提示之后，单击关闭。

同步将停止，直到您从目录连接器重新启用它。

删除用户属性映射

使用目录连接器删除先前映射到云端并同步到 Webex 的 Active Directory 属性的映射。删除属性映射后，属性值将从云端删除，并且不再同步到 Webex。然后可以手动编辑这些值。

1	从 Directory Connector 中，单击控制板。
2	转到操作，然后点击实用程序 > 删除用户属性映射。
3	从属性名称列表中选择要删除的映射。
4	在受影响的用户范围下，选择以下选项之一：仅限目录连接器同步的用户: 仅从目录连接器先前同步的用户中删除映射。所有用户：将从所有 Active Directory 用户中删除映射。
5	单击应用。

管理档案照片

使用目录连接器更新用户个人资料图片或删除空白的用户个人资料图片。

1	从 Directory Connector 中，单击控制板。
2	转到操作，然后点击实用程序 > 管理个人资料图片.
3	在操作下，选择以下选项之一：删除空头像来源的个人资料图片: 如果 Active Directory 个人资料图片为空白，此选项可确保从云端删除用户个人资料图片，即使用户之前已在 Webex 中上传了自己的图片。从同步源重新上传以覆盖缓存的图片: 目录连接器使用与以前相同的 Active Directory 来更新所有用户的个人资料图片。这可确保 Active Directory 和云中的个人资料图片不会不匹配。
4	单击 Apply（应用）。

卸载并停用 Directory Connector

卸载 Directory Connector 实例后，必须取消注册它。如果面临以下任何情况，都应该彻底删除 Directory Connector：

您不想再使用目录同步。
您不想使用多个 Directory Connector（高可用性）中的某一个。
您想要更改域并安装其他连接器。

准备工作

您可能已设置多个目录连接器实例以实现高可用性 (HA) 或多域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例，请禁用同步。
在卸载 Directory Connector 之前，保存并关闭所有重要工作。

1	在您的 Windows 计算机上，转至“控制面板”，然后单击程序和功能。
2	从程序列表中，单击目录连接器，选择卸载，然后按照提示进行操作。您可能需要重启系统来完成卸载。
3	从 https://admin.webex.com中的客户视图，转到管理 > 组织设置，滚动到目录同步，单击更多，然后单击要卸载的目录连接器实例旁边的停用。
4	阅读提示之后，单击停用。用户帐户将不会再同步，除非在高可用性 (HA) 部署中还有其他 Directory Connector。

运行诊断工具

您可以使用内置诊断工具来排除目录连接器部署故障。此工具作为 Directory Connector 3.4 及更高版本的一部分进行安装。

如果同步无法正常工作，则可能是配置或网络错误。此工具能够测试您的 LDAP 连接，因此您可以在联系支持人员之前自行诊断错误。如果该工具返回任何错误，您可以将详细的日志结果发送给支持人员。

要运行 Active Directory 域服务测试：
1. 转到开始菜单，找到 Cisco Directory Connector，单击 Cisco Directory - Diagnostic。单击 AD-DS 选项卡，输入您的域然后单击加载域控制器。
2. 从列表中选择一个域控制器。
  
  以后不要更改该条目，因为增量搜索必须始终在同一个域控制器上运行。
3. 默认情况下，会搜索所有路径，但您可以选择一个属性，然后单击测试来检查该值。
4. 在 Active Directory Queries 部分配置更多过滤器，例如 Users 和 Group 对象和搜索过滤器。
5. 勾选自动填充Cookie 即可自动为搜索生成cookie。
6. 单击查询开始新的增量或完整搜索。此搜索可能需要几秒钟。
7. 测试完成后，点击保存保存一条日志条目，您可以在开具工单时将其发送给支持团队进行分析。
要运行 Active Directory 轻型目录服务测试：
1. 转到开始菜单，找到 Cisco Directory Connector，单击 Cisco Directory - Diagnostic。单击 AD-LDS 选项卡，输入您的主机和端口，然后单击加载分区。
2. 从列表中选择一个分区，然后单击连接。
3. 默认情况下，会搜索所有路径，但您可以选择一个属性，然后单击测试来检查该值。
4. 在 Active Directory Queries 部分配置更多过滤器，例如 User、 UserProxy和 UserProxyFull 和搜索过滤器。
5. 勾选自动填充Cookie 即可自动为搜索生成cookie。
6. 单击查询开始新的增量或完整搜索。此搜索可能需要几秒钟。
7. 测试完成后，点击保存保存一条日志条目，您可以在开具工单时将其发送给支持团队进行分析。
要运行轻量级目录访问协议 (LDAP) 测试：
1. 转到开始菜单，找到 Cisco Directory Connector，单击 Cisco Directory - Diagnostic。单击 LDAP RAW 选项卡，输入您的 Root Path、 Filter，然后从 Attributes 中选择一个条目，然后单击 Load Partitions。
2. 根据需要勾选以下选项：
  - ObjectSecurity— 如果存在此选项，则调用者不需要任何权限，只能看到调用者可以访问的对象和属性。如果不存在此选项，则调用者有权复制更改。
  - ParentsFirst— 确保所有孩子的父母都先于他们的孩子。
3. 为 ExtendedDN选择一个值。
  
  该值与扩展 LDAP 搜索一起使用来请求对象可分辨名称的扩展形式。
4. 为 ReferralChasing选择一个值。
  
  当域控制器从查询返回引用时，就会启动引用追踪 - 例如，对于可能在命名空间之外的查询结果的详细信息（例如另一个域或林中的组成员）。
5. 单击查询开始新的增量或完整搜索。此搜索可能需要几秒钟。
6. 测试完成后，点击保存保存一条日志条目，您可以在开具工单时将其发送给支持团队进行分析。

排除 Ciso Directory Connector 中的问题

目录连接器的故障排除和修复

您可能会在目录连接器中遇到错误消息或其他问题。此外，目录连接器同步用户信息后，连接器可能会向您发送一封电子邮件报告，列出同步过程中出现的任何问题。在联系支持人员之前，请参阅以下部分，了解可能出现的问题、可能的原因以及可以尝试的建议解决方案。

安装

Directory Connector 停止运行

您收到了警报电子邮件，通知您目录连接器无法正常工作。

目录连接器可能未正确安装。
目录连接器可能未运行。
网络可能不可用。

请尝试以下操作：

打开控制面板 > 程序和功能。找到 Directory Connector。如果没有，请从 Control Hub 下载最新版本并安装。
打开服务并找到Cisco DirSync服务。确保其显示的状态为 Started。如果该服务已停止，请单击右键并选择“启动”以重启该服务。
确保安装了目录连接器的服务器可以访问 Internet。

重新安装错误

问题—如果在卸载旧连接器后立即安装新连接器，您可能会看到一条错误消息。

可能的原因— 在 Windows Server 2012 中，卸载客户端需要时间从服务列表中删除服务帐户。

解决方案— 过一段时间后，再次尝试安装。

转到计算机配置 > 偏好设置 > Windows 设置，右键单击注册表，选择新建，然后选择注册表项。
对于 Key Path，输入或导航至 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main。
在 Disable Script Debugger值中输入 [ no ，在值数据中输入 [] 。

设置应与此屏幕截图相符：

执行以下步骤来在用户级别更改策略：

转到计算机配置 > 偏好设置 > Windows 设置，右键单击注册表，选择新建，然后选择注册表项。
对于 Key Path，输入或导航至 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main。
在 Disable Script Debugger值中输入 [ no ，在值数据中输入 [] 。

设置应与此屏幕截图相符：

运行 gpupdate /force、重新启动计算机（对于机器更改）或用户再次登录（对于用户更改）后，更改才会生效。

Cisco DirSync 服务连接器无法注册

问题

登录失败并显示此消息：“无法注册 Cisco DirSync 服务连接器。”

解决方案

安装目录连接器的 Windows 系统必须是 Active Directory 的成员。

未出现登录页面

问题

您打开了目录连接器，但登录页面并未出现。

故障排除: 未出现登录页面

解决方案

请尝试以下步骤：

在 Internet Explorer 中，转到 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器（例如 Chrome 和 Firefox）中尝试该链接。
如果 Internet Explorer 无法访问该链接但其他浏览器可以访问，请检查 Internet Explorer 设置并选中 TLS 1.1 和 1.2 复选框。（使用在 Internet Explorer 中启用 TLS 程序。）

出现登录提示

问题

出现提示，要求您输入用户名和密码以通过身份验证。

可能原因

目录连接器使用登录帐户静默完成 NTLM 安全认证。如果身份验证失败，则会弹出一个对话框，要求输入身份验证用户名和密码。

解决方案

当您看到登录弹出窗口时，您需要提供一个有效的帐户并进行正确的身份验证以通过安全检查。

无法连接到远程服务器

问题

正常运行时，出现错误信息：“无法连接到远程服务器”。

可能原因

您可能有需要解决的代理问题。

解决方案

有关更多故障排除信息，请参阅解决服务帐户登录问题。

无法注册连接器

问题

您会看到错误消息“无法注册连接器。发生了一般异常。”

可能原因

大多数情况下，问题是由于目录连接器没有连接到 LDAP 根上下文的权限。

解决方案

请尝试以下操作：

运行命令提示符 (cmd)，然后输入 ldp.exe。
点击连接 > 绑定，选择绑定为当前登录用户，然后单击确定。
点击查看 > 树，输入 DC=arbonneintl,DC=ad 作为 BaseDN，然后单击确定。
如果问题仍然存在，请向支持提交案例。

同步

头像不同步

问题

Cisco 目录连接器将用户 AD 数据同步到 Webex 云。但头像数据未同步成功。

可能原因

如果您重新使用现有的头像服务器并且用户头像已经同步，那么本地缓存会捕获它们并避免再次重新发送以节省带宽。

解决方案

按照以下步骤删除本地缓存：

前往 C:\Program 文件 (x86)\Cisco Systems\Cisco 目录 Connector\Plugins\
删除 DirSyncPluginAvatar.dll-cache.bin。
从 Cisco 目录连接器重新运行头像同步。

冲突的用户电子邮件帐户

问题

同步结果可能会显示有冲突的用户电子邮件帐户。

如果用户尝试了 Webex App 的免费版本，他们的电子邮件地址将驻留在免费消费者组织中。
如果用户电子邮件曾经在另一个组织中同步。
如果用户电子邮件存在于属于该组织的多个域中。

解决方案

请尝试以下操作：

如果您尝试认领用户，请按照以下步骤操作：
1. 确保您已验证 Control Hub 中的域。
2. 暂时禁用 Cisco 目录连接器。
3. 使用 Control Hub 中的“声明用户”选项来声明免费消费者组织中可能存在的任何帐户。有关详细信息，请参阅将用户声明到您的组织（转换用户）。
4. 在 Cisco Directory Connector 中进行试运行，然后重新启用目录同步
对于最后一种情况，请仔细检查 Active Directory 源中的用户数据。

转换后的用户被标记为非活动状态

问题

在您的目录同步环境中，您将免费（消费者组织）用户转换为企业组织，但转换后的用户无法登录 Webex 应用程序。

可能原因

当免费用户转换为企业组织时，作为安全合规措施，该用户将被标记为 30 天的非活动状态。在此期间，用户无法登录 Webex 应用程序，并且会在 30 天期限结束时被标记为删除。出现这种情况是因为免费用户信息不驻留在 Active Directory 中。

解决方案

如果您不想删除用户帐户，则必须采取行动。要解决此问题，请在本地 Active Directory 中创建与转换后的免费用户帐户相对应的用户帐户。然后，从 Cisco Directory Connector 执行同步。然后，用户可以再次登录 Webex 应用程序，并且该帐户不会被删除。

增量同步失败

问题

增量同步失败。

在以下情况下，Windows Server 2008 R2 上可能会出现此问题：

您支持增量值更新。
您使用的过滤器引用了链接值属性。
自上次执行完全同步以来，该属性的结果值已更新。

解决方案

Windows Server 2008 R2 有一个与此问题相关的错误。该错误已在 2012 R2 及更高版本中修复。我们建议您将 Windows Server 至少升级到 2012 R2。

属性值无效

问题

对于 [user dn (distinguished name)]，属性 [attribute name] 有以下无效值 [attribute value]。

可能原因

为了 CN=b,OU=Employees,OU=C Users,DC=c,DC=com, 属性 [telephone number] 具有以下无效值： +. 此属性必须包含至少一个数字。

解决方案

此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。

匹配的待删除用户

问题

匹配的用户被标记为要删除。

执行试运行同步以检查 Active Directory 和云之间的数据时，您可能会在两者中看到相同的电子邮件地址。但该用户被标记为要删除的对象。

解决方案

选择适当的修复：

如果可以删除用户并重新进行许可证，则可以使用目录连接器进行修复。执行同步以删除用户，然后执行另一次同步以将用户从本地 AD 同步到云端。
如果您无法删除并重新创建用户帐户，请向支持人员提交案例。

缺少属性

问题

必需属性 [attribute_name] 添加本地条目时 [user dn（杰出 name)]. 直到所有必需属性都有值时，才会在 Control Hub 中创建条目。

可能原因

必需属性的 email address 缺失。添加本地入口时 [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local], 直到所有必需属性都有值时，才会在 Control Hub 中创建条目。

解决方案

用户缺少一个必需属性 [user_email_address]. 请为该用户提供必需值。

嵌套组不会同步

问题

嵌套 Active Directory 组中的用户未正确同步到云。

可能原因

使用了包含子组和父组的过滤器，这是不受支持的。例如： (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)

解决方案

您必须重新配置同步组的过滤器。例如： |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)

用户命名冲突

问题

对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言，[user 电子邮件 address], 和用户类型 [user_type].

可能原因

Control Hub 中已存在具有该电子邮件地址的用户。

解决方案

在您的 Active Directory 中创建一个用户，其电子邮件地址与您通过 Control Hub 注册的帐户相同。

Control Hub

Control Hub 中缺少用户列表

问题

如果您的 Webex 组织有超过 1000 个同步用户，您可能无法在 Control Hub 中看到用户列表。

解决方案

您可以使用搜索功能来查找用户帐户。在 Control Hub 中，转到用户，单击搜索 “搜索”按钮，然后输入搜索条件以找到特定用户。

群组不会同步到 Control Hub

问题

目录组中的用户无法正确同步到 Control Hub。

可能原因

该组在 Active Directory 中未标记为 isCriticalSystemObject 。

解决方案

确保在 Active Directory 中将属性 isCriticalSystemObject 设置为 TRUE 。

启用 Directory Connector 故障诊断

您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息，并将其保存至文件。

日志文件 : \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

1	运行 `services.msc` 文件将目录连接器服务的运行帐户从本地系统更改为具有访问 AD DS 或 AD LDS 权限的域帐户。
2	重启服务。请参阅如何启动服务获取指导。
3	在目录连接器中，单击仪表板。
4	转到操作，然后点击实用程序 > 故障排除。
5	启用故障诊断后，重复执行导致错误的操作，这样将捕获流量数据，以便进行检查。
6	检查日志文件：如果文件空白，请确保帐户有权访问 AD DS 或 AD LDS。日志文件夹仅保存最近 3 天的文件。日志文件中的内容与输出到系统的事件日志一致。
7	如有必要，向支持人员发送日志文件以获取协助。
8	诊断完成后，请禁用故障诊断功能。

相关信息

请联系支持人员

启动事件查看器

若要查看完全或增量同步期间发生的事件，请启动“事件查看器”。它显示管理事件和错误日志的摘要。

1	从 Directory Connector 转到仪表板，然后单击操作 > 启动事件查看器。 “事件属性”对话将显示同步事件详细信息与错误详细信息。
2	从事件查看器中，转到应用程序和服务日志 > Cisco 目录连接器。
3	在操作下，单击将所有事件另存为将所有日志导出为单个事件文件 (*.evtx) 或其他格式，如 xml 或 csv。

下一步

如果您需要开立案例，联系支持，描述连接器的问题，然后将事件文件附加到您的案例。

事件日志会捕捉用户操作。要获得管理网络流量的帮助，请在连接器上启用故障排除。

在 Internet Explorer 中启用 TLS

如果您切换了单点登录 (SSO) 提供商，您可能会看到来自 Cisco 目录连接器的以下错误消息：

登录服务时发生错误
此页面上的脚本发生错误

如果您看到这些错误，则必须在浏览器中启用 TLS 设置。

1	打开 Internet Explorer，然后选择工具。现在勾选 TLS/SSL 您想要启用的版本点击“确定”关闭浏览器并再次打开
2	单击 Internet 选项，转到高级，滚动到安全。
3	选中使用 TLS 1.1 和使用 TLS 1.2 复选框，然后单击确定。
4	重新启动系统以使更改生效。

服务帐户登录问题故障诊断

如果您无法登录 Cisco 目录连接器或无法运行同步，请在联系支持人员之前按照以下步骤尝试解决问题。

1

尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。

2

根据结果选择一项：

如果您无法从浏览器访问该链接，请检查您的网络设置。如果您的环境使用代理，请检查代理设置。
如果您可以从浏览器访问链接，但无法打开 Cisco 目录连接器（无法打开连接器并弹出 407 错误消息），单击此处获取最新版本的 Cisco 目录连接器。
如果您可以从浏览器访问链接，但无法从 Cisco 目录连接器运行同步，请将服务登录帐户更改为 domain admin。

检查您登录Windows系统的帐户是否与您在‘Cisco DirSync服务’中设置的帐户相同。如果是两个不同的账户，请确保两个账户都可以访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。如果您的环境使用代理，请确保两个帐户都在 Internet Explorer 中配置了代理，并且可以成功访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL 。

3

至少，确保为 Cisco DirSync 服务（可在 Windows 服务中找到）配置的帐户具有允许其访问头像数据和 AD 数据的权限级别。默认情况下，该服务利用 Windows 登录帐户凭据和身份验证。

相关信息

如果您有其他问题，

检查 Windows 注册表中的 SafeDllSearchMode

安全动态链接库 (DLL) 搜索模式在 Windows 注册表中默认设置，并将用户当前目录置于 DLL 搜索顺序的后面。如果以某种方式禁用此模式，攻击者可能会将恶意 DLL（与位于系统文件夹中的引用 DLL 文件同名）放入应用程序的当前工作目录中。

通常，SafeDllSearchMode 是启用的，但使用此过程来仔细检查注册表设置。

准备工作

更改 Windows 注册表时应格外小心。我们建议您在使用这些步骤之前备份您的注册表。

1

在 Windows 搜索或运行窗口中，键入 regedit ，然后按 Enter。

2

转到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session 经理。

3

选择一种：

SafeDllSearchMode 未列出— 无需采取进一步措施。
SafeDllSearchMode 已列出—确保该值设置为 1。

有关更多信息，请参见动态链接库搜索顺序。

Cisco 目录连接器概述

目录连接器概述

目录连接器是一个用于将身份同步到云端的内部应用程序。您从 Control Hub 下载连接器软件并将其安装在本地机器上。

使用目录连接器，您可以在 Active Directory 中维护您的用户帐户和数据，因此 Active Directory 成为唯一的事实来源。当您在本地进行更改时，它会被复制到云端。

请参阅表中所有的功能、描述和优势：

功能	描述和优势
简单易用的控制板	该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可以随时登录查看仪表板。
同步到云端之前的试运行	在将目录更改实施到云中之前，先进行一次试运行。之后，运行报告以查看要执行的变更是否与预期一致。
完全同步和增量同步	同步整个目录。或者，仅同步增量变更，从而提高处理能力并缩短同步时间。
同步多个域（单个林或多个林）	目录连接器支持单个林或多个林下的多个域（无需 AD LDS）。对于具有多个 Active Directory 域的企业，您可以为每个域安装一个目录连接器，将每个域绑定到您的组织，然后将每个用户群同步到 Webex。Control Hub 通过显示多个目录连接器的同步状态来反映状态，允许您关闭特定域的同步，并在高可用性部署中停用目录连接器。
按计划同步	按天、小时和分钟设置同步安排。
轻量级目录访问协议 (LDAP) 过滤器	定义 LDAP 搜索条件并实现高效的导入。
Active Directory 属性映射	将 Microsoft Active Directory 属性映射到相应的 Webex 云属性。您可以映射与您的 Active Directory 配置相关的属性，还可以定义自定义属性以映射到云。来自场所的属性在云中形成各种数据，例如用户帐户信息、Webex Teams 中的企业电话号码、房间资源 SIP 地址以及其他用户联系卡数据（职位、部门、经理等）。
适用于本地会议室资源和 Cisco Webex Calling（云 PSTN）用户以及无需 Webex 许可的企业联系人的企业目录	如果您的组织的一部分使用 Cisco Webex Calling 云 PSTN 进行呼叫服务，或者您拥有本地会议室设备，则此功能允许用户从他们的 Cisco Webex Calling（云 PSTN）电话或会议室资源中搜索企业联系人目录。房间资源同步协作室信息之后，具有已配置、已映射 SIP 地址的本地协作室设备将作为可搜索条目显示在云注册协作室设备（例如 Cisco Webex Room 设备或 Cisco Webex Board）中。当用户在 Cisco Webex Room Device 或 Cisco Webex Board 上进行搜索时，您将看到配置了 SIP 地址的同步房间条目。当他们从该入口处的 Webex 设备拨打电话时，呼叫将被拨打到为该房间配置的 SIP 地址。呼叫除了 Webex App 联系人之外，用户还可以呼叫企业联系人。通过目录连接器，企业用户及其电话号码被添加到您的 Webex 组织。他们无需获得 Webex 服务的许可即可使用此功能。只要有通过目录连接器同步到 Webex 的 URI 或电话号码，未获得 Webex 许可的用户就会出现在从 Cisco Webex Calling 用户电话执行的目录搜索中。对于这两种用户，呼叫功能的表现是相同的。此功能部件还为只有电话号码的联系人提供了编辑拨号功能。在联系人搜索结果中：如果联系人有可拨打的 URI（Webex SIP 地址）和电话号码，则会显示与该联系人关联的 URI。如果联系人没有可拨号的 URI，但却有电话号码，则显示电话号码。还会显示一个编辑拨号软键。如果这两者联系人都没有，则该联系人不会显示在目录中。
事件查看器	使用事件查看器可确定是否存在同步问题。
诊断工具和故障排除	您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步无法正常工作，则可能是配置或网络错误。此工具测试您与 Active Directory 的连接，以便您在联系支持人员之前自行诊断错误。一旦您在目录连接器中启用故障排除，就会写入可发送给技术支持的日志。
自动升级	安装 Directory Connector 后，您会在软件有新版本时收到通知。您可以设置自动升级，以便在新版本发布时始终使用最新版本的软件。
高可用性	配置多个连接器，以便在主连接器或机器主机出现宕机情况时提供备用。

Directory Connector 分为以下三个部分：

Control Hub 是一个单一界面，可让您管理 Webex 组织的所有方面：查看用户、分配许可证、下载目录连接器以及配置单点登录（SSO）如果您希望用户通过其企业身份提供商进行身份验证，并且您不想为 Webex 应用程序发送电子邮件邀请。
Directory Connector 管理界面 是您从 Control Hub 下载并安装在受信任的 Windows 服务器上的软件。对于多个 Active Directory 域，您可以为要同步的每个域安装一个软件实例。使用该软件，您可以运行同步以将您的 Active Directory 用户帐户带入 Webex，查看和监控同步状态，以及配置目录连接器服务。
目录同步服务 查询您的 Active Directory 以检索用户和组，以便同步到连接器服务和目录连接器。

请参阅此图来了解目录连接器架构：

为目录连接器准备环境

目录连接器的要求

Windows 和 Active Directory 要求

您可以在以下受支持的 Windows 服务器上安装目录连接器：

Windows Server 2022
Windows Server 2019
Windows Server 2016

为了解决 Cookie 问题，我们建议您将域控制器升级到包含修复程序的版本 - Windows Server 2012 R2 或 2016。

以下 Active Directory 服务支持目录连接器：

Active Directory 2016

（在 Windows Server 2019 上使用最新版本的 Active Directory 时支持目录连接器）
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

请注意以下附加要求：

目录连接器需要 TLS1.2。您必须安装以下软件：
- .NET Framework v3.5（目录连接器应用程序所需）。如果遇到任何问题，请按照使用添加角色和功能向导启用 .NET Framework 3.5中的说明进行操作。）
- .NET Framework v.4.5（TLS1.2 必需）
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。（请参阅什么是 Active Directory 功能级别？获取更多信息。）

硬件要求

您必须在满足以下最低硬件要求的计算机上安装 Directory Connector：

8 GB RAM
50 GB 存储
CPU 没有最低要求

网络要求

如果您的网络位于防火墙后面，请确保您的系统可以通过 HTTPS（端口 443）访问互联网。

Webex 组织要求

要从 Control Hub 访问 Directory Connector 软件，您需要一个具有试用版或任何付费订阅的 Webex 组织。
（可选）如果您希望新的 Webex 应用程序用户帐户在首次登录之前处于活动状态，我们建议您执行以下操作：
- 添加、验证并选择性地声明包含您想要同步到云中的用户电子邮件地址的域。
- 将您的身份提供商 (IdP) 与您的 Webex 组织进行单点登录 (SSO) 集成。
- 抑制自动电子邮件邀请，这样新用户就不会收到自动电子邮件邀请，您可以开展自己的电子邮件活动。（此功能需要 SSO 集成。）

有关更多信息，请参阅 Control Hub 中的用户状态和操作。

安装要求

对于多域环境（单林或多林），必须为每个 Active Directory 域安装一个目录连接器。如果要同步新的域 (B)，同时还要保留其他现有域 (A) 上的已同步用户数据，请确保您有受支持的独立 Windows Server 来安装 Directory Connector，以进行域 (B) 同步。
要登录连接器，我们不需要 Active Directory 中的管理帐户。我们需要一个本地用户帐户，该帐户与 Control Hub 中的完整管理员帐户是同一个用户。

该本地用户必须具有该 Windows 机器的权限才能连接到域控制器并读取 Active Directory 用户对象。机器登录帐户应为具有在本地机器上安装软件的权限的计算机管理员。（此信息也适用于虚拟机登录。）
登录连接器时，登录帐户必须与 Control Hub 的完整管理员帐户相同。默认情况下，连接器使用本地系统帐户访问 Active Directory。但是，您可以使用 Windows 服务配置另一个帐户来访问 Active Directory。（此信息也适用于虚拟机登录。）
确保使用以下步骤启用 Windows 安全动态链接库 (DLL) 搜索模式：检查 Windows 注册表中的 SafeDllSearchMode。
如果您在单个林中的多个域中使用 AD LDS，我们建议您安装目录连接器和 Active Directory 域 Service/Active 目录轻量级目录服务 (AD) DS/AD 您可以在不同的机器上安装不同的 .LDS 文件。

多域要求

在执行 Cisco 目录连接器部署任务流中的任务之前，如果您要将多个域中的 Active Directory 信息同步到云中，请记住以下要求和建议：

每个域都需要一个单独的目录连接器实例。
目录连接器软件必须在与其同步的同一域中的主机上运行。
我们建议您在 Control Hub 中验证或声明您的域。（请参阅添加、验证和声明域。）
如果您想要同步超过 50 个域，您必须开具一张票以将您的组织移至大型组织列表中。
如果需要，您可以将房间资源信息与用户帐户同步。（请参阅将本地会议室信息同步到 Webex 云。）

Active Directory 组自动许可证分配建议

Active Directory 组用于将用户帐户、计算机帐户和其他组收集到可管理的单元中。与群组合作而不是与单个用户合作有助于简化网络维护和管理。

Active 中有两种类型的群组 Directory:

分发组—用于创建电子邮件分发列表。
安全组—用于分配共享资源的权限。

Active Directory 组类型

在 Active Directory 中创建组时请考虑以下准则：

为每个角色、部门或服务（例如销售、营销、经理、会计、Webex 许可等）创建一个全局组。
在整个组织中使用标准命名约定，以便轻松识别有关组的重要信息。组名可以包含有关组的详细信息，例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如，组名“GSG_Webex_Licensing_EMEAR”是指 Webex Licensing EMEAR 用户的全球安全组。
以易于理解的方式组织群组，例如按地理位置或管理层次。使用群组描述来完整描述群组的目的。
在将用户添加到新配置的组之前，请在 Control Hub 中为这些组定义自动许可证组模板。有关更多信息，请参阅设置您的自动许可证分配模板。

尺码信息

目录连接器充当本地 Active Directory 和 Webex 云之间的桥梁。因此，连接器对于可以同步到云的 Active Directory 对象的数量没有上限。对本地目录对象的任何限制都与同步到云的 Active Directory 环境的特定版本和规范相关，而不是连接器本身。

一些因素会影响同步的速度：

Active Directory 对象的总数。（5000 个用户的同步作业不会像 50000 个用户的同步作业那样耗时。）
网络速度和带宽。
系统工作量和规格。

如果您要同步超过 50,000 个用户，我们强烈建议您使用第二个连接器进行故障转移和冗余。

由于同步涉及多种因素，并且每个部署都根据上述因素而有所不同，因此我们无法提供对象同步所需时间的具体时间值。

检查 Windows 注册表中的 SafeDllSearchMode

安全动态链接库 (DLL) 搜索模式在 Windows 注册表中默认设置，并将用户当前目录置于 DLL 搜索顺序的后面。如果以某种方式禁用此模式，攻击者可能会将恶意 DLL（与位于系统文件夹中的引用 DLL 文件同名）放入应用程序的当前工作目录中。

通常，SafeDllSearchMode 是启用的，但使用此过程来仔细检查注册表设置。

准备工作

更改 Windows 注册表时应格外小心。我们建议您在使用这些步骤之前备份您的注册表。

1

在 Windows 搜索或运行窗口中，键入 regedit ，然后按 Enter。

2

转到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session 经理。

3

选择一种：

SafeDllSearchMode 未列出— 无需采取进一步措施。
SafeDllSearchMode 已列出—确保该值设置为 1。

有关更多信息，请参见动态链接库搜索顺序。

WebEx 代理集成

如果您的环境中已启用 Web 代理验证，则您仍然可用使用 Directory Connector。

如果您的组织使用透明 Web 代理，则它不支持身份验证。连接器成功连接并同步用户。

您可以选择下列方法之一：

通过 Internet Explorer 显式 Web 代理（连接器继承 Web 代理设置）
通过 .pac 文件显式 Web 代理（连接器继承企业特定的代理设置）
透明代理无需任何更改即可与连接器配合使用

通过浏览器使用 Web 代理

您可以设置目录连接器以通过 Internet Explorer 使用 Web 代理。

如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行，那么您还需要用此帐户登录并配置 Web 代理。

1	从 Internet Explorer 转到 Internet 选项 > 连接，然后选择 LAN 设置。
2	将 Windows 实例指向 Web 代理上安装连接器的位置。连接器继承了这些 Web 代理设置。
3	如果环境使用代理验证，请将这些 URL 添加到允许列表： cloudconnector.webex.com 用于同步。欧盟的客户还应添加 cloudconnector-eu.webex.com。 idbroker.webex.com 用于身份验证。欧盟的客户还应添加 idbroker-eu.webex.com。 idbroker-static.webex.com 用于提供静态资源，例如字体、js 组件等。您可以在整个站点（针对所有主机）执行此操作，也可以仅针对具有连接器的主机执行此操作。如果您将这些 URL 添加到允许列表以完全绕过您的 Web 代理，请确保您的防火墙 ACL 表已更新以允许连接器主机直接访问这些 URL。
4	如果您的环境需要从证书颁发机构请求证书吊销列表，请将以下 URL 添加到您的允许列表中： .quovadisglobal.com .digicert.com .godaddy.com .identrust.com *.lencr.org 有关更多信息，请参阅有关 Webex 服务需要访问的域和 URL的文章。

通过 PAC 文件配置 Web 代理

您可以配置客户端浏览器使用 .pac 文件。该文件提供 Web 代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。

1

为了使连接器成功连接并将用户信息同步到 Webex 云，请确保在安装连接器的主机的 .pac 文件配置中为 cloudconnector.webex.com 禁用代理身份验证。

2

如果环境使用代理验证，请将这些 URL 添加到允许列表：

cloudconnector.webex.com 用于同步。

欧盟的客户还应添加 cloudconnector-eu.webex.com。
idbroker.webex.com 用于身份验证。

欧盟的客户还应添加 idbroker-eu.webex.com。
idbroker-static.webex.com 用于提供静态资源，例如字体、js 组件等。

您可以在整个站点（针对所有主机）执行此操作，也可以仅针对具有连接器的主机执行此操作。

如果您将这些 URL 添加到允许列表以完全绕过您的 Web 代理，请确保您的防火墙 ACL 表已更新以允许连接器主机直接访问这些 URL。

3

如果您的环境需要从证书颁发机构请求证书吊销列表，请将以下 URL 添加到您的允许列表中：

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

有关更多信息，请参阅有关 Webex 服务需要访问的域和 URL的文章。

NTLM 代理

目录连接器支持 NT LAN 管理器 (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证，并确保其安全。

NTLM 设计

大多数情况下，用户希望通过客户端 PC 访问另一个工作站的资源，但以安全的方式进行访问可能很困难。

一般来说，NTLM 的技术设计基于挑战和响应的机制 :

用户通过 Windows 帐户和密码登录客户端电脑。密码永远不会在本地保存。密码的哈希值存储在本地，而不是纯文本密码。当用户通过密码登录客户端时，Windows 操作系统会将存储的哈希值与输入密码的哈希值进行比较。如果两者相同，则认证通过。

当用户想要访问另一台服务器上的任意资源时，客户端会以明文形式向服务器发送带有账户名的请求。
当服务器收到请求时，服务器会生成一个16位的随机密钥。该密钥称为 Challenge（或 Nonce）。在服务器返回给客户端之前，挑战信息存储在服务器中。然后服务器以纯文本形式向客户端发送挑战。
一旦客户端收到服务器发送的挑战，客户端就会使用步骤 1 中提到的哈希值对挑战进行加密。加密后，该值被发送回服务器。
当服务器从客户端收到加密值时，服务器会将其发送到域控制器进行验证。该请求包括：帐户名称、客户端发送的加密挑战以及原始的明文挑战。
域控制器可以根据账户名检索密码的哈希值。然后域控制器可以根据原始质询进行加密。然后，域控制器可以将接收到的哈希值与加密的哈希值进行比较。如果相同，则验证成功。

Windows在操作系统中内置了安全认证功能，使得应用程序能够更轻松地支持安全认证。因此，您不需要完成进一步的配置。

配置透明代理

在这种情境下，浏览器不会知道透明 Web 代理正在拦截 http 请求（端口 80/端口 443），因此不需要客户端配置。

1	部署透明代理，以便连接器可以连接和同步用户。
2	确认代理成功——启动连接器时，您会看到预期的浏览器身份验证弹出窗口。

设置代理身份验证

通过创建访问控制列表将 URL cloudconnector.webex.com 添加到您的允许列表中。

在企业防火墙服务器上：

1	如果尚未启用 DNS 查找，请启用。
2	确定此连接的估计带宽（大约 2 mb/s 或更少（对于连接器而言）。这不是必须执行的步骤。
3	创建一个访问控制列表以应用于连接器主机，并指定 `cloudconnector.webex.com` 作为要添加到允许列表的目标。例如： `access-list 2000 acl-inside extended permit TCP [IP of the connector] cloudconnector.webex.com eq https`
4	将此 ACL 应用到适当的防火墙接口，该接口仅适用于此单连接器主机。
5	通过配置相应的隐式拒绝声明，确保企业中的其他主机仍需使用 Web 代理。

部署目录连接器

Cisco 目录连接器部署任务流程

准备工作

为目录连接器准备环境

1	安装目录连接器 Control Hub 最初显示目录同步已禁用。要为您的组织启用目录同步，您必须安装并配置目录连接器，然后成功执行完全同步。对于目录连接器的新安装，请始终转到 Control Hub ( https://admin.webex.com) 以获取该软件的最新版本，以便您使用最新的功能和错误修复。安装软件后，系统会通过该软件报告升级信息，并在可用时进行自动安装。
2	登录 Directory Connector 使用您的 Webex 管理员凭证登录并执行初始设置。
3	设置自动升级始终保持目录连接器软件为最新版本非常重要。我们建议您使用此过程，以便在软件自动升级可用时以静默方式安装。
4	选择要同步的 Active Directory 对象默认情况下，目录连接器会同步所有非计算机的用户以及所有非域关键系统对象的组。为了更好地控制要同步的对象，您可以使用目录连接器中的对象选择页面选择要同步的特定用户并指定 LDAP 过滤器。
5	映射用户属性您可以将本地 Active Directory 的属性映射到云端的对应属性。唯一的必填字段是“*uid”。
6	使用以下过程之一同步目录头像：将目录头像从 Active Directory 属性同步到云端将目录头像从资源服务器同步到云端您可以将用户的头像同步到云端，这样每个用户在登录应用程序时都可以看到其头像。您可以从 Active Directory 属性或资源服务器同步头像。
7	将本地会议室信息同步到 Webex 云使用此过程将本地会议室信息从 Active Directory 同步到 Webex 云。同步会议室信息后，已配置映射 SIP 地址的本地会议室设备将显示为云注册会议室设备（例如 Webex Room Device 或 Cisco Webex Board）上的可搜索条目
8	要将用户从 Active Directory 配置到 Control Hub，请执行以下步骤：对 Active Directory 用户进行试运行同步将 Active Directory 用户完全同步到云中在 Control Hub 中将 Webex 服务分配给目录同步用户按照此顺序为 Webex 应用程序帐户预配 Active Directory 用户。您可以为 Directory Connector 3.0 及更高版本预配来自多林或多域 Active Directory 部署的用户。在从不同域中引入用户的过程中，您必须决定是否保留或删除 Webex 云中可能已经存在的用户对象 - 例如，试用版的测试帐户。目标是使您的 Active Directory 和 Webex 云完全匹配。

安装目录连接器

Control Hub 最初显示目录同步已禁用。要为您的组织启用目录同步，您必须安装并配置目录连接器，然后成功执行完全同步。

必须为要同步的每个 Active Directory 域安装一个连接器。单个目录连接器实例只能服务于单个域。请参阅以下图表，了解多域同步的流程：

准备工作

如果通过代理服务器进行验证，请确保自己有代理凭证：

对于代理基本身份验证，您将在安装连接器实例后输入用户名和密码。Internet Explorer 代理配置也是基本身份验证所必需的；请参阅通过浏览器使用 Web 代理
对于代理 NTLM，您在第一次打开连接器时可能会看到错误。请参阅通过浏览器使用 Web 代理。

1	在 Control Hub中，转到用户 > 管理用户 > 启用目录同步，然后选择下一步。
2	单击下载并安装链接将最新版本的连接器安装 .zip 文件保存到您的 VMware 或 Windows 服务器。您可以直接从此链接获取 .zip 文件，但您必须拥有 Control Hub 组织的完全管理访问权限才能使此软件正常运行。对于新安装，请获取最新版本的软件，以便使用最新的功能和错误修复。安装软件后，系统会通过该软件报告升级信息，并在可用时进行自动安装。
3	在 VMware 或 Windows 服务器上，解压缩并运行安装文件夹中的 .msi 文件以启动安装向导。
4	单击下一步，选中复选框以示接受许可证协议，然后继续单击下一步，直到您看到帐户类型屏幕。
5	选择您要使用的服务帐户类型，然后使用管理帐户执行安装：本地系统— 默认选项。如果您已经通过 Internet Explorer 配置了代理，可以使用此选项。域帐户— 如果计算机是域的一部分，请使用此选项。Directory Connector 必须与网络服务交互才能访问域资源。您可以输入帐户信息，然后单击确定。输入用户名时，使用格式 `{domain}\{user_name}` 对于与 AD 集成的代理（NTLMv2 或 Kerberos），必须使用域帐户选项。用于运行 Directory Connector 服务的帐户必须有足以通过代理和访问 AD 的权限。为避免错误，请确保已具备以下权限：该服务器是域的一部分域帐户可以访问本地 AD 数据和头像数据。该帐户还必须具有本地管理员角色，因为它必须访问 `C:\Program Files`下的访问文件。对于虚拟机登录，管理员帐户权限至少必须能够读取域信息。
6	单击安装。运行网络测试后，如果系统提示，请输入代理基本凭证，单击确定，然后单击完成。

下一步

我们建议您在安装后重新启动服务器。当数据未发布时，试运行报告无法显示正确的结果。重新启动机器时，所有数据都会刷新以在报告中显示准确的结果。

登录 Directory Connector

准备工作

确保自己有代理凭证。

对于代理基本身份验证，您将在第一次打开连接器后输入用户名和密码。
对于代理 NTLM，请打开 Internet Explorer，单击齿轮图标，转至 Internet 选项 > 连接 > LAN 设置，确保已添加代理服务器信息，然后单击确定。请参阅通过浏览器使用 Web 代理。

1	打开连接器，然后如果看到提示，则将 `https://idbroker.webex.com` 添加到受信任的站点列表中。
2	如果出现提示，请使用您的代理身份验证凭证登录，然后使用您的管理员帐户登录 Webex 并单击下一步。
3	确认组织和域。如果选择 AD DS，请勾选 LDAP over SSL 以使用安全 LDAP (LDAPS) 作为连接协议，选择要从中同步的域，然后单击确认。如果您不选中 LDAP over SSL，DirSync 将继续使用 LDAP 连接协议。 LDAP（轻量级目录应用程序协议）和安全 LDAP（LDAPS）是应用程序和基础设施内的域控制器之间使用的连接协议。LDAPS 通信是加密且安全的。如果您选择 AD LDS，请输入主机、域和端口，然后单击刷新按钮以加载所有应用程序分区。然后从下拉列表中选择分区并单击“确认”。请参阅 AD LDS 部分了解更多信息。在 `CloudConnectorCommon.dll` 配置文件中，确保将 ADAuthLevel 设置添加到 appSetting 节点。值可以是 1、2 或 3。请参阅 Microsoft 的这篇文章以了解有关 AuthenticationTypes的更多信息。以下是设置值的示例 1:
4	在确认组织屏幕出现后，单击确认。如果您此前已绑定 AD DS/AD LDS，将出现确认组织屏幕。
5	单击“确认”。
6	根据您要绑定到 Directory Connector 的 Active Directory 域数量选择一项：如果您只有一个 AD LDS 域，则绑定到现有 AD LDS 源，然后单击确认。如果您只有一个 AD DS 域，则绑定到现有域或新域。如果您选择绑定到新域，单击下一步。因为现有的源类型是 AD DS，所以不能为新的绑定选择 AD LDS。如果您有多个域，请从列表中选择一个现有域，或选择绑定到新域，然后单击下一步。因为您有多个域，所以现有源类型必须是 AD DS。如果您选择绑定到新域并单击下一步，则不能为新的绑定选择 AD LDS。

下一步

登录后，系统会提示您执行同步测试。

Directory Connector 控制板

首次登录 Directory Connector 时，将显示控制板。您可以在此处查看所有同步活动的摘要及云统计信息、执行测试同步、开始完全或增量同步并启动事件视图以查看错误信息。

如果会话超时，请重新登录。

您可以从操作工具栏或操作菜单中轻松运行这些任务。

表 1. 控制板组件
组件	说明
当前同步	显示与当前进行的同步有关的状态信息。无正在运行的同步时，状态显示为“空闲”。
下次同步	显示安排的下次完全和增量同步。如果未设置安排，则显示“未安排”。
上次同步	显示上两次执行的同步的状态。
当前同步状态	显示同步的整体状态。
连接器	显示云当前可用的内建连接器。
云统计信息	显示同步的整体状态。
同步安排	显示增量与完全同步的同步安排。
配置摘要	列示您在配置中已更改的设置。例如，该摘要可能包含以下内容：将同步所有对象将同步所有用户已禁用被删除的阈值。

表 2. 操作工具栏
操作	描述
开始增量同步	手动启动增量同步如果完全同步未完成或者同步正在进行中，则暂停或禁用同步时将禁用此操作。
同步测试	执行测试同步。
启动事件查看器	启动 Microsoft 事件查看器。
刷新	刷新 Cisco 目录连接器仪表板

表 3. 操作菜单栏
操作	描述
立即同步	立即开始完全同步。
同步模式	选择增量或完全同步模式。
重设连接器保密信息	在 Cisco 目录连接器和连接器服务之间建立对话。选择此操作将重设云中的保密信息，然后在本地保存该保密信息。
测试	执行同步过程测试。在进行完全同步之前必须执行测试。
疑难解答	打开/关闭故障诊断。
刷新	刷新 Cisco 目录连接器主屏幕。
退出	退出 Cisco 目录连接器。

表 4. 组合键
组合键	操作
Alt + A	显示“操作”菜单
`Alt +A + S`	立即同步
`Alt +A + R`	重设连接器保密信息
`Alt +A + D`	测试
`Alt +A + S + I`	增量同步
`Alt +A + S + F`	完全同步
`Alt + H`	显示“帮助”菜单
`Alt + H + H`	帮助
`Alt + H + A`	关于
`Alt + H + F`	常见问题解答

设置自动升级

1	从目录连接器转到配置 > 常规，然后选中自动升级到新的 Cisco Directory Connector 版本。
2	单击应用保存您的更改。

当新版本的连接器可用时，会自动安装。

如果您愿意，您可以手动管理升级。有关详细信息，请参阅升级到最新软件版本。

选择要同步的 Active Directory 对象

默认情况下，目录连接器会同步所有非计算机的用户以及所有非域关键系统对象的组。为了更好地控制要同步的对象，您可以使用目录连接器中的对象选择页面选择要同步的特定用户并指定 LDAP 过滤器。

自动许可证分配组

Control Hub 允许您按组管理许可证分配。您可以创建许可证模板并将其映射到同步到云的 Active Directory 组。在创建用户时，Webex 会检查该新用户的用户成员资格和自动许可证模板映射。

我们建议您使用 LDAP 过滤器仅将相关组同步到云端。例如，您可以将过滤器设置为：

(&(cn=Example)(objectclass=Group))*

此过滤器同步基本 DN 中名称以 Example 开头的所有组。未分配到组的用户将从您在 Control Hub 中配置的默认自动许可证模板中分配许可证。

目录连接器中的对象选择屏幕

混合数据安全部署组

在目录连接器中，如果您使用混合数据安全为试点用户配置试用组，则必须选中组。请参阅混合数据安全部署指南以获取指导。此目录连接器设置不会影响其他用户同步到云端。

准备工作

1	在 Directory Connector 中，转至配置，然后单击对象选择。
2	在对象类型部分中，选中用户，并考虑限制用户可搜索容器的数量。例如，如果您只想同步某个组中的用户，则必须在用户 LDAP 过滤器字段中输入 LDAP 过滤器。如果您想要同步 Example-manager 组中的用户，请使用如下过滤器： `(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))`
3	勾选识别房间将房间数据与用户数据分开。如果要设置其他属性以将用户数据标识为房间数据，请单击自定义。如果您想要将本地会议室信息从 Active Directory 同步到 Webex 云，请使用此设置。同步房间信息后，具有配置的映射 SIP 地址的本地房间设备将显示为云注册房间设备上的可搜索条目。有关更多信息，请参阅将本地会议室信息同步到 Webex 云。
4	如果要将 Active Directory 用户组同步到云端，请选中组。不要将用户同步 LDAP 过滤器添加到“组”字段。您应该只使用“组”字段将组数据本身同步到云端。默认情况下，新客户的群组不会同步。您必须启用组同步。您还必须同步安全组。
5	如需将用户的联系信息同步到云端，请勾选通讯录。目录连接器仅管理由连接器同步的联系人。如果 Control Hub 中已有联系人，则同步不会删除这些联系人。如果将联系人从同步范围中删除，则 Control Hub 中的用户的 [ 联系信息也会被删除。
6	配置 LDAP 过滤器。您可以通过提供有效的 LDAP 过滤器来添加扩展的过滤器。有关配置 LDAP 过滤器的更多信息，请参阅本文。
7	通过单击指定 [] 要同步的本地基本 DN ，选择以查看 Active Directory 的树状结构。您可以在此选择或取消选择要搜索的容器。
8	勾选您要在此次配置中添加的对象，然后单击“选择”。您可以选择单个容器或父容器以用于同步。选择父容器时会自动选中其所有子容器。如果选择子容器，父容器会显示灰色复选标记，说明其下勾选了子容器。然后，您可以单击“选择”以接受勾选的 Active Directory 容器。如果贵组织将所有的用户和组都放在“用户”容器中，则不需要搜索其他容器。如果贵组织划分为多个组织单元，务必选择 OU。
9	单击应用。选择一个选项：应用配置更改测试取消有关试运行的信息，请参阅对 Active Directory 用户进行试运行同步。对于组同步，您必须执行完全同步：将 Active Directory 用户完全同步到云端。

映射用户属性

您可以将本地 Active Directory 的属性映射到云端的对应属性。唯一必填字段是 *uid, 云身份服务中每个用户帐户的唯一标识符。

您可以选择将哪个 Active Directory 属性映射到云 - 例如，您可以将 Active Directory 中的 firstName lastName [] 映射到云中的，或者将自定义属性表达式映射到云中的 displayName 。

Active Directory 中的帐户必须有一个电子邮件地址；默认情况下，uid 映射到邮件的 ad 字段（而不是 sAMAccountName）。

如果您选择让首选语言来自您的 Active Directory，那么 Active Directory 就是唯一的事实来源：用户将无法在 Webex 设置中更改其语言设置，管理员也将无法在 Control Hub 中更改该设置。

1	从目录连接器中，单击配置，然后选择用户属性映射。此页面显示 Active Directory（左侧）和 Webex 云（右侧）的属性名称。所有必需属性都标有红色星号。
2	向下滚动到 Active Directory 属性名称的底部，然后选择其中一个 Active Directory 属性映射到云属性 uid: mail— 大多数部署使用的电子邮件格式。 userPrincipalName— 如果您的邮件属性在 Active Directory 中用于其他目的，则可以选择此为替代选择。此属性必须为电子邮件格式。您可以将任何其他 Active Directory 属性映射到 uid，但我们建议您使用 mail 或 userPrincipalName，如上面的指南中所述。在某些情况下，userPrincipalName 用于登录，但用户的电子邮件地址用于管理他们的日历。您必须确保日历管理的电子邮件地址映射到日历管理中的主电子邮件地址Webex。添加 userPrincipalName 作为备用电子邮件地址。要查看 Active Directory 中与云端相对应的属性，请参阅 Directory Connector 中的映射 Active Directory 属性。为了使同步正常工作，您必须确保所选择的 Active Directory 属性是电子邮件格式。如果您没有选择推荐的属性之一，目录连接器会显示一个弹出窗口来提醒您。
3	如果预定义的 Active Directory 属性不适用于您的部署，请单击属性下拉菜单，滚动到底部，然后选择自定义属性以打开一个窗口，让您定义属性表达式。单击帮助以获取有关表达式的更多信息并查看表达式如何工作的示例。您还可以查看自定义属性的表达式以获取更多信息。在此示例中，我们将 Active Directory 属性 `givenName` 和 `Sn` 映射到云属性 `displayName`: 将属性表达式定义为 `givenName + "" + Sn` （引号为额外空格），然后提供现有用户电子邮件进行验证。单击验证，查看结果是否与您的预期相符。成功的结果如下：如果结果符合您的预期，请单击确定保存新的自定义属性。稍后，如果要更改 `displayName`，可以输入新的属性表达式 Directory Connector 验证身份服务中 uid 的属性值，并在当前用户过滤选项下检索 3 个可用用户。如果这 3 位用户的电子邮件格式均有效，则 Cisco Directory Connector 将显示以下消息：如果无法验证该属性，您将看到以下警告，并可以返回 Active Directory 检查并修复用户数据：
4	（可选）如果您希望手机号码和工作号码出现在 Webex 应用程序的用户联系人卡片中，请选择 mobile 和 telephoneNumber 的映射。当用户将鼠标悬停在另一个用户的个人资料图片上时，电话号码数据就会出现在 Webex 应用程序中。有关从用户联系人卡片进行呼叫的更多信息，请参阅 Webex (Unified CM) 部署指南中的呼叫（管理员）。
5	选择其他映射以使更多数据显示在联系人卡片中： `departmentNumber` `displayName` `manager` `title` 属性映射后，当用户将鼠标悬停在另一个用户的个人资料图片上时，就会显示信息：有关联系人卡片的更多信息，请参阅验证您正在联系的人。将这些属性同步到每个用户帐户后，您还可以在 Control Hub 中打开 People Insights。此功能允许 Webex App 用户在其个人资料中分享更多信息，并相互了解更多。有关该功能及其启用方法的更多信息，请参阅 Control Hub 中适用于 Webex、Jabber、Webex Meetings 和 Webex Events 的 People Insights 配置文件（新）
6	选定后单击应用。

Active Directory 中包含的任何用户数据都会覆盖对应于该用户的云端数据。例如，如果您在 Control Hub 中手动创建了一个用户，则该用户的电子邮件地址必须与 Active Directory 中的电子邮件相同。在 Active Directory 中没有对应电子邮件地址的任何用户都会被删除。

已删除的用户将在云身份服务中保留 7 天，然后才会被永久删除。

Active Directory 和云属性

您可以使用“用户属性映射”标签页将本地 Active Directory 的属性映射到云端的对应属性。

此表格比较了 Active Directory 属性名称与 Cisco 云属性名称间的映射。这些值和映射是目录连接器中的默认设置。您可以在 Active Directory 下拉菜单中选择不同的属性，并确定哪个内部部署属性同步到哪个云属性。

将下拉属性视为预设。作为 Active Directory 行中的值的替代，您还可以在 Active Directory 中指定自定义属性（您自己的预设）（具有多个属性的表达式）以映射到相应行中的单个云属性。这样，您可以灵活地确定用户的显示名称 - 例如，您可以添加一个表达式，该表达式根据 Active Directory 中的员工职称、名字和姓氏创建自定义属性。

您还可以指定任何 Active Directory 属性来映射到云中的 uid。但是，您必须确保本地属性遵循有效的电子邮件格式。

您还可以使用备用电子邮件地址，例如，如果您想使用 userPrincipalName 进行登录，但用户的电子邮件地址用于管理他们的日历。在这种情况下，将另一个电子邮件地址映射到 emails;type-work 属性。这是用于身份验证的电子邮件；它不用于管理您的日历。您从 AD 映射的电子邮件地址必须来自组织内经过验证的域，并且必须是唯一的且未分配给其他用户。

Active Directory 属性名称	Webex 云属性名称	说明
—	buildingName	—
c	c	此属性指定用户的国家缩写。
departmentNumber	departmentNumber	此属性用于显示在联系人卡片和 people insights中的用户部门编号。
displayName	displayName	此属性用于 Control Hub、联系人卡片和 people insights中显示的用户帐户显示名称。
userAccountControl	ds-pwp-account-disabled	该属性用于用户同步。确保 userAccountControl 属性映射到 ds-pwp-account-disabled ，否则用户将无法正确同步。
employeeNumber	employeeNumber	—
facsimileTelephoneNumber	facsimileTelephoneNumber	—
—	jabberID	此云属性与 Jabber 使用的 IM 地址（XMPP 类型）相关。该值与 sipAddresses 不同。
l	l	此属性指定用户所在的城市。
—	locale	—
Manager	Manager	此属性用于显示在联系人卡片和 people insights中的用户经理姓名。
mobile	mobile	此属性用作从联系人卡片呼叫用户时显示的手机号码。
o	o	此属性指定公司或组织的名称，并显示在联系人卡片中。
ou	ou	此属性指定组织单位的名称。
physicalDeliveryOfficeName	physicalDeliveryOfficeName	此属性指定用户的办公地点。
postalCode	postalCode	此属性指定用户的邮政编码，以便进行实体邮件递送。
preferredLanguage	preferredLanguage	该属性设置用户的首选语言，支持以下格式：xx_YY 或 xx-YY。这里是一些示例：en_美国、 en_英国、加拿大。如果您使用不受支持的语言或无效的格式，用户的首选语言将更改至为组织设置的语言。
MSRTCSIP-主用户地址 IP电话	SipAddresses;type=enterprise	此属性用于将本地房间信息从 Active Directory 同步到 Cisco Webex 云。
sn	sn	此属性用于 Control Hub、联系人卡片和 people insights中显示的用户帐户姓氏。
st	st	此属性指定用户所在的州或省。
streetAddress	street	此属性指定用户的街道地址，以便进行实体邮件递送。
telephoneNumber	telephoneNumber	此属性指定用户的主要（工作）电话号码，用于从联系人卡片呼叫用户。
—	timezone	此云属性指定用户的时区。
职位	职位	此属性指定在联系人卡片和 people insights中显示的用户的称谓。
type	enterprise	—
mail userPrincipalName	uid	强制属性映射。对于每个用户帐户，Active Directory 值映射到云中的唯一 uid。在某些情况下，userPrincipalName 用于登录，但用户的电子邮件地址用于管理他们的日历。您必须确保日历管理的电子邮件地址映射到日历管理中的主电子邮件地址Webex。添加 userPrincipalName 作为备用电子邮件地址。只要正确的 SAML 属性映射到位，用户就可以使用其中一个电子邮件地址登录。请参阅下面的示例属性映射，了解如何映射备用电子邮件地址。
userPrincipalName mail <custom attribute>	emails;type-work	此映射是可选的，如果您想使用备用电子邮件地址，请使用它。这是用于身份验证的电子邮件；它不用于管理您的日历。您从 AD 映射的电子邮件地址必须来自组织内经过验证的域，并且必须是唯一的且未分配给其他用户。
<New attribute for Azure user objectId>	externalId	创建一个新的 Active Directory 属性来保存 Azure 用户 objectId，以便它不会与现有属性冲突。然后，此属性映射到 externalId 属性，确保当 Webex 用户在 Microsoft 365 中创建组时，他们会自动在 Webex中创建团队。

备用电子邮件地址映射

自定义属性的表达式

表 5. 自定义属性的表达式
操作员	描述和示例
%	如果匹配，则删除从字符串开头到字符或字符串参数位置的所有字符。示例表达式 `"abc@example.com" % "@"` 结果 `example.com`
-	从指定字符串的末尾剥离输入字符串的后面部分。示例表达式 `"abc@example.com" - "@"` 结果 `abc`
+	连接输入字符串或表达式。示例表达式 `"abc" + "" + "def"` 结果 `abc def`
\|	根据空字符串评估分隔的表达式，并选择第一个非空结果。示例表达式 `"" \| "abc"` 结果 `abc`

将目录头像从 Active Directory 属性同步到云端

您可以将用户的目录头像同步到云端，以便他们登录 Webex 应用程序时每个头像都会出现。使用此过程从 Active Directory 属性同步原始头像数据。

1	从 Directory Connector 中，转到 Configuration，单击 Avatar，然后选中 Enable。
2	对于 Get avatar from，选择 AD attribute，然后选择包含要同步到云的原始头像数据的 Avatar attribute 。
3	为了验证是否正确访问头像，请输入用户的电子邮件地址，然后单击获取用户头像。头像出现在右侧。
4	确认头像正确显示后，单击应用保存更改。

同步的图像将成为 Webex 应用程序中用户的默认头像。从目录连接器启用此功能后，用户不得设置自己的头像。
用户头像同步到 Webex 应用程序和 Webex 站点上的任何匹配帐户。

下一步

进行试运行同步；如果没有问题，则进行完整同步，以使您的 Active Directory 用户帐户和头像同步到云端并出现在 Control Hub 中。

将目录头像从资源服务器同步到云端

您可以将用户的目录头像同步到云端，以便他们登录 Webex 应用程序时每个头像都会出现。使用此过程从资源服务器同步头像。

准备工作

此过程中的 URI 模式和变量值都是示例。您必须使用目录头像所在位置的实际 URL。
头像 URI 模式和头像所在的服务器必须能够从目录连接器应用程序访问。连接器需要对图像进行 http 或 https 访问，但图像不需要在互联网上公开访问。
头像数据同步与 Active Directory 用户配置文件分开。如果您运行代理，必须确保头像数据可供 NTLM 验证或基本验证访问。

1	从 Directory Connector 中，转到 Configuration，单击 Avatar，然后选中 Enable。
2	对于从获取头像，选择资源服务器，然后输入头像 URI 模式—例如， *`http://www.example.com/dir/photo/zoom/{mail: .?(?=@.)}.jpg`* 让我们来看一下头像 URI 模式的各个部分及其含义： http://www.example.com/dir/photo/zoom/—所有将同步的照片所在的路径。它必须是您的服务器上的目录连接器服务能够访问的 URL。 mail:— 指示目录连接器从 Active Directory 获取邮件属性的值 *.?(?=@.)— 执行以下功能的正则表达式语法： `.`—任意字符，重复零次或多次。 `?`— 告诉前面的变量匹配尽可能少的字符。 `(?= ... )`— 匹配主表达式后的组，但不将其包括在结果中。Directory Connector 会查找一个匹配项，且输出中不包含该项。 `@.`—at 符号，后跟任意字符，重复零次或多次。 .jpg*— 用户头像的文件扩展名。请参阅本文档中支持的文件类型并相应地更改扩展名。
3	（可选）如果您的资源服务器需要凭据，请选中设置头像的用户凭据，然后选择使用当前服务登录用户或使用此用户并输入密码。
4	输入变量值 - 例如：`abcd@example.com`.
5	单击测试，确保头像 URI 模式运行正常。在此示例中，如果一个 AD 条目的邮件值为 `abcd@example.com` 并且正在同步 jpg 图像，则最终头像 URI 为 `http://www.example.com/dir/photo/zoom/abcd.jpg`
6	验证 URI 信息正确后，单击应用。有关如何使用正则表达式的详细信息，请参阅《Microsoft 正则表达式语言快速参考》。

同步的图像将成为 Webex 应用程序中用户的默认头像。从目录连接器启用此功能后，用户不得设置自己的头像。
用户头像同步到 Webex 应用程序和 Webex 站点上的任何匹配帐户。

下一步

进行试运行同步；如果没有问题，则进行完整同步，以使您的 Active Directory 用户帐户和头像同步到云端并出现在 Control Hub 中。

将本地会议室信息同步到 Webex 云

使用此过程将本地会议室信息从 Active Directory 同步到 Webex 云。同步房间信息后，已配置和映射 SIP 地址的本地房间设备将显示为云注册的 Webex 设备（Room、Desk 和 Board）上的可搜索条目。

1	从 Directory Connector 中，转到同步，单击同步域旁边的更多，单击配置，然后选择对象选择。
2	勾选【同步房间信息到云端】，同步时将房间数据与用户数据分离。当禁用此设置时，房间数据的处理方式与用户同步数据的处理方式相同。
3	转到属性映射，然后更改云属性的属性映射 sipAddresses;type=enterprise。要使用值验证，SIP 地址的值应该是 `Pattern.compile("^([^@])(.)@(.)$")` 如果可用，请选择 MSRTCSIP-PrimaryUserAddress 。如果您的 Active Directory 架构中没有上述属性，请使用其他字段，例如 ipPhone。
4	在 Exchange 中创建房间资源邮箱。这将添加 msExchResourceMetaData;ResourceType:Room 属性，连接器随后使用该属性来识别房间。
5	从 Active Directory 用户和计算机导航到房间并编辑其属性。添加带有 sip 前缀的完全限定 SIP URI：
6	在连接器中进行空运行同步，然后进行完整运行同步。新的房间对象在空运行报告中列于添加的对象中，匹配的房间对象出现在匹配的对象中。任何标记为删除的房间对象都位于 Rooms Deleted下。试运行结果显示所有匹配的房间资源。此设置将 Active Directory 房间数据（包括房间的属性）与用户数据分开。同步完成后，连接器仪表板上的云统计信息会显示已同步到云端的房间数据。

下一步

现在您已完成这些步骤，当您在 Webex 云注册设备上进行搜索时，您将看到配置了 SIP 地址的同步房间条目。当您从该条目上的 Webex 设备拨打电话时，呼叫将被拨打到为该房间配置的 SIP 地址。

从 Control Hub，您可以自动从您的目录中导入房间并创建工作区。

端点无法将呼叫回拨至 Webex 应用程序。对于测试拨号设备，这些设备必须在本地或 Webex App 以外的其他地方注册为 SIP URI。如果您正在搜索的 Active Directory 会议室系统已注册到 Webex，并且 Webex 会议室设备、桌面设备或 Webex Board for 日历服务上存在相同的电子邮件地址，则搜索结果将不会显示重复的条目。在 Webex 应用程序中直接拨打 Room、Desk 或 Board 设备，并且不会进行 SIP 呼叫。

发送目录同步结果的电子邮件报告

默认情况下，组织联系人或管理员始终都会收到电子邮件通知。通过此设置，您可以自定义谁应该接收总结目录同步报告的电子邮件通知。

1	从 Directory Connector 中，单击配置，然后选择通知。
2	从目录连接器中，单击设置，然后在电子邮件接收器旁边，切换到启用报告同步。
3	如果您想覆盖默认通知行为并添加一个或多个电子邮件收件人，请选中启用通知。
4	点击添加然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您先纠正问题，然后才能保存并应用更改。
5	点击添加电子邮件，然后输入电子邮件地址。如果您输入的电子邮件地址格式无效，则会弹出一条消息，告诉您先纠正问题，然后才能保存并应用更改。
6	如果您需要编辑输入的任何电子邮件地址，请双击左列中的电子邮件条目，然后进行所需的更改。
7	添加所有有效的电子邮件地址后，单击应用。
8	添加所有有效的电子邮件地址后，单击保存。

下一步

如果您决定要删除电子邮件地址，您可以单击一封电子邮件以突出显示该条目，然后单击删除。

如果您决定要删除电子邮件地址，您可以单击特定电子邮件地址条目旁边的删除。

在 Control Hub 中配置目录连接器通知

您可以使用 Control Hub 中的警报中心来传送来自目录连接器的报告。Control Hub 可以将通知发送到各种传送渠道，包括电子邮件和 Webex 空间。Control Hub 中的通知映射到现有的 Directory Connector 报告通知，包括：

信息（默认）——显示信息性消息，突出显示应用程序的进度。如果您希望在所有完全同步后接收报告，请使用此设置。
警告— 显示潜在的有害情况。
错误— 显示可能仍允许应用程序继续运行的错误事件。当您选择此选项时，仅当报告错误时才会发送同步报告。

请记住，当从警报中心启用此功能时，来自目录连接器的电子邮件通知不会改变。禁用目录连接器中的通知以避免对同一事件重复发出警报。

此外，目录连接器中的通知配置不会自动迁移到警报中心。确保在警报中心添加所需的电子邮件地址以接收通知。

1	登录 Control Hub 并点击 Alerts。
2	选择管理 > 创建规则。
3	在类型下拉列表中，选择 Cisco Directory Connector。
4	选择您喜欢的严重程度。默认情况下，严重性设置为高。对于满足或超过规则严重程度的实例，将触发警报。
5	为新警报输入标题。
6	选择您喜欢的警报传送方式。您可以通过电子邮件、在指定的 Webex 应用程序空间中或在组织级别启用 Webhooks 接收警报更新。您最多可以添加 30 个电子邮件地址来接收电子邮件提醒。您需要拥有消息传递许可证才能在指定的 Webex 空间中接收机器人更新。
7	单击保存。

将 Active Directory 中的用户调配到 Control Hub

按照以下步骤配置 Active Directory 用户并在 Control Hub 中创建相应的用户帐户。在每个域安装目录连接器后，您可以从多域 Active Directory 部署（具有单个林或多个林）中配置用户。在从不同域中引入用户的过程中，您必须决定是否保留或删除 Webex 云中可能已经存在的用户对象 — — 例如，试用版的测试帐户。目标是使您的 Active Directory 和 Webex 云完全匹配。

1	对 Active Directory 用户进行试运行同步执行试运行以比较本地 Active Directory 中的对象和 Webex 云中的对象。通过试运行，您可以在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
2	将 Active Directory 用户完全同步到云中在您运行完全同步时，连接器服务将所有已过滤对象从 Active Directory (AD) 发送至云。然后，连接器服务将您的 AD 条目更新到身份存储库中。如果您创建了自动分配许可证模板，则可以将其分配给新同步的用户。
3	在 Control Hub 中将 Webex 服务分配给目录同步用户完成从目录连接器到 Control Hub 的完整用户同步后，您可以使用多种方法分配 Webex 服务许可证。我们建议您先设置一个自动分配许可证模板，然后再将其用于从 Active Directory 同步的新 Webex 应用程序用户。您还可以在此初始步骤之后进行单独的更改。

对 Active Directory 用户进行试运行同步

执行试运行以比较本地 Active Directory 中的对象和 Webex 云中的对象。通过试运行，您可以在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。

在从不同域中引入用户的过程中，您必须决定是否保留或删除 Webex 云中可能已经存在的用户对象 — — 例如，试用版的测试帐户。使用目录连接器，目标是使您的 Active Directory 和 Webex 云完全匹配。

如果您在一个或多个林中拥有多个域，则必须在为每个 Active Directory 域安装的每个 Cisco 目录连接器实例上执行此步骤。

准备工作

在使用目录连接器之前，您可能已经在 Control Hub 中拥有一些 Webex App 用户。在云中的用户中，有些用户可能与本地 Active Directory 对象匹配并被分配服务许可证。但是，有些可能是在执行同步时需要删除的测试用户。您必须在 Active Directory 和 Control Hub 之间创建完全匹配。

1	选择一种：首次登录后，单击提示上的是进行试运行。如果您错过了执行试运行的提醒，请随时从目录连接器中单击仪表板，选择同步试运行，然后单击确定以开始试运行同步。试运行完成后，您将看到以下结果之一： *在目录连接器中检测到不匹配的对象* *目录连接器中的试运行报告结果和不匹配对象的摘要* 摘要包含有关对象匹配的信息：匹配的对象 - 位于 Webex Common Identity 中且存在于 Active Directory 域中的用户，即，如果 someuser@cisco.com 已同步到 Webex 并显示在 Control Hub 中，并且是同一个用户 (someuser@cisco.com) 存在于 Active Directory 中。表示该用户已匹配。不匹配的对象 - 无论如何在 Common Identity 中添加用户，Webex 中的用户在 Active Directory 中都不存在。这被称为不匹配的对象。例如，如果 someuser@cisco.com 已在 Webex 中同步并显示在 Control Hub 中，但同一个用户 (someuser@cisco.com) 不受 Active Directory 管理，则报告显示用户不匹配。测试会通过将这些用户与域用户进行比较来识别用户。如果这些用户属于当前域，应用程序便可予以识别。在下一步中，您必须决定是删除对象还是保留它们。不匹配的对象被识别为已存在于 Webex 云中，但不存在于本地 Active Directory 中。
2	查看试运行结果，然后根据您使用单个域还是多个域选择一个选项：单个域— 决定是否要保留不匹配的用户。如果要保留它们，请选择否，保留对象; 如果没有，请选择是，删除对象。完成这些步骤并手动运行完全同步后，本地和云之间就会完全匹配，目录连接器会自动启用计划的自动同步任务。多个域— 对于具有域 A 和域 B 的组织，首先对域 A 进行试运行。如果要保留不匹配的用户，请选择否，保留对象。（这些不匹配的用户可能是域 B 的成员。）如果要删除，请选择是，删除对象。如果您保留用户，请先对域 A 运行完全同步，然后对域 B 进行试运行。如果仍然有不匹配的用户，请在 Active Directory 中添加这些用户，然后对域 B 进行完全同步。当本地和云之间完全匹配时，目录连接器会自动启用计划的自动同步任务。
3	在确认试运行提示中，单击是重新进行试运行同步并查看仪表板以查看结果。在测试中成功同步的所有帐户都会显示在已匹配的对象下面。如果云中的用户在 Active Directory 中没有具有相同电子邮件的对应用户，则该条目将列在已删除用户下。为了避免此删除标记，您可以在 Active Directory 中添加使用相同电子邮件地址的用户。若要查看已同步项目的详细信息，请单击特定项目的相应标签页或已匹配对象。若要保存摘要信息，请单击“将结果保存至文件”。
4	如果结果符合预期，请转至操作 > 同步模式 > 启用同步，然后单击立即启用进行手动同步并处于手动模式。在多域部署中的最后一个 Active Directory 域上进行同步后，必须为目录连接器启用自动模式。仅当 Webex 云和所有本地 Active Directory 之间的对象完全匹配时，您才可以启用自动模式。

下一步

对于保留的任何不匹配的用户对象，您必须将它们添加到 Active Directory，以便本地和云之间完全匹配。
选择同步类型：
- 将 Active Directory 用户完全同步到云中用于首次将新用户同步到云时。您可以从操作执行此操作 > 立即同步 > Full，然后同步当前域中的用户。
- 在运行完整同步后，如果您想在初始同步后获取更改，请设置连接器计划和运行增量同步。建议使用这种类型的同步来捕捉对 Active Directory 用户源所做的细微更改。
  
  默认情况下，增量同步设置为每 30 分钟发生一次（在 3.4 及更早版本中）或每 4 小时发生一次（在3.5 及更高版本），但您可以更改此值。直到您最初执行完全同步时才会发生增量同步。
如果您有多个域，请在已安装的任何其他目录连接器上重复这些步骤。

注意事项

在您启用完全同步之前或更改同步参数后，请执行测试。如果测试是由配置更改而引起的，可以在测试完成后保存设置。如果您已经手动添加了用户，执行 Active Directory 同步可能会导致删除先前添加的用户。您可以检查目录连接器试运行报告，以验证在完全同步到云之前所有预期用户是否存在。
如果匹配的用户被标记为要删除，而您不确定如何继续，请参阅目录连接器的故障排除和修复中的故障排除信息以及如何联系支持人员。

已删除的用户将在云身份服务中保留 7 天，然后才会被永久删除。

将 Active Directory 用户完全同步到云中

在您运行完全同步时，连接器服务将所有已过滤对象从 Active Directory (AD) 发送至云。然后，连接器服务将您的 AD 条目更新到身份存储库中。如果您创建了自动分配许可证模板，则可以将其分配给新同步的用户。

如果您有多个域，则必须在为每个 Active Directory 域安装的每个目录连接器实例上执行此步骤。

Directory Connector 同步用户帐户状态 - 在 Active Directory 中，任何标记为已禁用的用户在云中也会显示为非活动状态。

准备工作

如果您希望 Webex 应用程序用户帐户在完全同步后且用户首次登录之前处于活动状态，则必须执行以下步骤以绕过电子邮件验证：
- 将单点登录与您的 Webex 组织集成。请参阅使用 Cisco Webex 服务和您组织的身份提供商进行单点登录以了解更多信息。
- 使用 Control Hub 验证并选择性地声明电子邮件地址中包含的域。请参阅添加、验证和申领域。
- 抑制自动电子邮件邀请，这样新用户就不会收到 Webex App 的自动电子邮件邀请。（您可以开展自己的电子邮件活动。）
  
  尚未登录的已激活用户在 Control Hub 中显示为 已验证 状态。登录后，他们将显示为活跃。有关用户状态的详细信息，请参阅 Cisco Webex Control Hub 中的用户状态和操作。
启用同步时，Directory Connector 将要求您首先执行测试。我们建议您在完全同步之前先进行测试，以便发现任何潜在错误。
您必须设置自动分配许可证模板，然后才能将其用于从 Active Directory 同步的新 Webex 应用程序用户。

如果您不使用自动分配许可证模板，新同步的用户将自动获得免费许可证。他们将能够使用与免费帐户用户相同的免费功能。

1	选择一种：首次登录后，如果试运行完成且所有域看起来都正确，请单击立即启用以允许自动同步。从目录连接器，转到仪表板，单击操作，选择同步模式 > 启用同步，然后点击立即同步 > 完整开始同步。
2	从 Directory Connector 中，转到同步，单击同步域旁边的更多，单击配置，然后选择完全同步。
3	确认同步已开始。对于您对 Active Directory 中的用户所做的任何更改（例如，显示名称），Control Hub 会在您刷新用户视图时立即反映更改，但 Webex App 会在您执行同步后最多 72 小时内反映更改。您可以尝试按照以下说明清除 Webex 应用程序的本地缓存：Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步完成后，新信息将更新到上次同步和云统计信息部分中。用户数据同步至云端。如果同步期间发生错误，状态指示球将变为红色。
4	如果要更新同步状态，请单击刷新。（同步项会显示在云统计信息下面。）
5	有关错误的信息，请从操作工具栏中选择启动事件查看器来查看错误日志。
6	要设置与云端进行持续增量同步的同步计划，请参阅设置连接器计划和运行增量同步。

完全同步完成后，Control Hub 中设置页面上的目录同步状态将从 已禁用 更新为 可操作 。
当本地和云端之间的所有数据匹配时，目录连接器将从手动模式更改为自动同步模式。
除非您集成单点登录、验证域并选择性地为已同步的电子邮件帐户声明域，以及抑制自动电子邮件，否则 Webex App 用户帐户将保持未验证状态，直到用户首次登录 Webex App 确认其帐户为止。请参阅“开始之前”部分以获取有关如何将帐户同步为活跃用户的指导。
如果您有多个域，请在您安装的任何其他目录连接器上执行此步骤。同步后，您添加的所有域上的用户都会列在 Control Hub 中。
如果您将单点登录与 Webex 集成，并且抑制了电子邮件通知，则电子邮件邀请不会发送给新同步的用户。
启用目录连接器后，您无法在 Control Hub 中手动添加用户。一旦启用，用户管理将由 Cisco 目录连接器执行，并且 Active Directory 是唯一事实来源。
您同步的任何组都会出现在 Control Hub 中，您可以分配许可证模板，以便为该组中的用户分配许可证。

下一步

从 Active Directory 中删除用户时，该用户将在下次同步后被软删除。用户变为 Inactive ，但云身份配置文件将保留七天（以便从意外删除中恢复）。

当您在 Active Directory 中选中 帐户已禁用 时，下次同步后该用户将变为 Inactive 。如果您想再次启用该用户，云身份配置文件不会在七天后被删除。
请注意增量同步的这些例外情况（请按照上面的完整同步步骤操作）：
- 如果头像更新，但其他属性没有变化，增量同步不会将用户的头像更新到云端。
- 属性映射、基本 DN、过滤器和头像设置的配置更改需要完全同步。

在 Control Hub 中将 Webex 服务分配给目录同步用户

完成从 Cisco 目录连接器到 Control Hub 的完整用户同步后，您可以使用 Control Hub 一次性将相同的 Webex 服务许可证分配给所有用户，或者如果您已配置自动分配的许可证模板，则可以向新用户添加其他许可证。您可以在完成此初始步骤后对单个用户帐户进行更改。

完成从目录连接器到 Control Hub 的完整用户同步后，您可以使用 Control Hub 中的方法将 Webex 服务许可证全局分配给所有用户、单个用户（通过批量 CSV 模板），或者自动分配给新用户（如果您已配置自动分配许可证模板）。您可以在完成此初始步骤后对单个用户帐户进行更改。

当您向 Webex App 用户分配许可证时，默认情况下，该用户会收到一封确认分配的电子邮件。该电子邮件由 Control Hub 中的通知服务发送。如果您将单点登录 (SSO) 与 Webex 组织集成，并且您希望直接联系您的用户，那么您还可以抑制这些自动电子邮件通知。

准备工作

您必须设置自动分配许可证模板，然后才能将其用于从 Active Directory 同步的新 Webex 应用程序用户。
对您的 Active Directory 用户进行试运行同步。
确认试运行结果后，对 Active Directory 用户进行完全同步。

完全同步时，在云端创建用户，不添加服务分配，也不发送激活电子邮件。如果未抑制电子邮件，则当您通过 Control Hub 中的标准用户管理方法（例如 CSV 导入、手动用户更新或成功完成自动分配）向用户分配服务时，新用户会收到激活电子邮件。

1

从 https://admin.webex.com中的客户视图，转到管理 > 用户，点击管理用户，选择修改所有同步用户，然后点击下一步。

2

选择一个选项：

在 Control Hub 中为个人用户编辑服务许可证— 手动修改用户。
使用 CSV 模板修改 Control Hub 中的用户— 批量修改用户。

下一步

如果未抑制电子邮件，则会向每个用户发送一封电子邮件，邀请他们加入并下载 Webex。
如果您为所有用户选择了相同的 Webex 服务，则之后您可以单独或批量更改分配的许可证。

相关信息

在组织中添加和管理用户的方法

目录连接器的已知问题

2012 R2 之前的 Windows Server 版本存在影响目录连接器的 cookie 问题。此问题已在版本 2012 R2 和 2016中修复。
对于您对 Active Directory 中的用户所做的任何更改（例如，显示名称），Control Hub 会在您刷新用户视图时立即反映更改，但 Webex App 会在您执行同步后 72 小时内反映更改。

您可以尝试按照以下说明清除 Webex 应用程序的本地缓存：Windows 或 Mac。
当用户使用桌面或移动设备上的 Webex 应用程序搜索并呼叫仅具有同步 SIP URI 的房间时，呼叫会无限期地响铃。

管理 Webex 应用程序用户

运行增量同步

增量同步会查询 Active Directory，查找自上次同步以来发生的更改。然后，此步骤会打包上述更改并发送至连接器服务。这些变化包括用户属性的修改以及用户添加或删除的时间。

这种同步不会给服务器带来太大的负载，也不会像完全同步那样花费太多时间。完成初始完全同步后，我们建议使用增量选项进行后续同步。

准备工作

您必须设置自动分配许可证模板，然后才能将其用于从 Active Directory 同步的新 Webex 应用程序用户。
请注意增量同步不支持以下异常（请改为按照将 Active Directory 用户完全同步到云中进行操作）：
- 如果头像更新，但其他属性没有变化，增量同步不会将用户的头像更新到云端。
- 对于属性映射、基本 DN、过滤器和头像设置的新配置更改，增量同步将不起作用，这些需要完全同步。

1	从 Directory Connector 中，单击控制板。启用同步时，Directory Connector 将要求您首先执行测试。
2	从操作中，单击同步模式 > 如果尚未启用，请启用同步。默认情况下，增量同步设置为每 30 分钟发生一次（在 3.4 及更早版本中）或每 4 小时发生一次（在 3.5 及更高版本中），但您可以更改此值。直到您最初执行完全同步时才会发生增量同步。当新的增量时间间隔结束时，程序会根据最后的时间戳检查更改。
3	从操作中，单击立即同步 > 增量。对于您对 Active Directory 中的用户所做的任何更改（例如，显示名称），Control Hub 会在您刷新用户视图时立即反映更改，但 Webex App 会在您执行同步后 72 小时内反映更改。您可以尝试按照以下说明清除 Webex 应用程序的本地缓存：Windows 或 Mac。同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。同步后，上次同步和云统计信息部分将使用新信息进行更新。如果同步期间发生错误，状态指示球将变为红色。
4	有关错误的信息，请单击操作工具栏中的 ]启动事件查看器以查看错误日志。

下一步

如果您有多个域，请在已安装的其他目录连接器实例上执行此步骤。

恢复意外删除的用户

目录连接器具有制衡机制，以防止无意删除用户。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器，这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复并在 Control Hub 中重新建立用户帐户。

默认情况下，所有组织均启用此功能。例如，由于目录连接器同步后出现对象不匹配的问题，导致用户在云中被删除时，可以恢复该用户。如果您看到不匹配的对象通知或注意到用户已被删除，如果您迅速采取行动，您可能能够恢复它们。

当 Active Directory 中删除相应的帐户时，用户将在 Control Hub 中被标记为非活动状态。后台云服务最多可保留用户7天。在此期间，您仍然可以使用 Cisco Directory Connector 恢复用户。我们建议您尽快恢复这些用户。

Active Directory 中禁用的用户在 Control Hub 中也会被标记为非活动状态，但用户帐户不会在 7 天后被删除。

1	登录到 Control Hub。
2	转到用户并确认特定用户帐户是否处于非活动状态或未列出。有关更多信息，请参阅 Control Hub 中的用户状态和操作。
3	如果在 Control Hub 中删除了用户，或者您注意到用户处于非活动状态，请转到 Active Directory，添加缺少的用户帐户，然后在 Directory Connector 中进行试运行同步。 Directory Connector 的目标是在 Active Directory 和云中的用户信息之间创建精确匹配。
4	进行完全同步以将暂时删除的用户帐户重新同步到 Control Hub。用户恢复并恢复原始状态，包括其帐户状态和服务分配。

下一步

返回 Control Hub，转到管理 > 用户，并确认之前删除的用户帐户是否出现在用户列表中。

软删除后永久删除用户

执行试运行后，您可以选择在下次同步时永久删除被软删除的用户。

1	试运行完成后，选择软删除对象。
2	选中要删除的用户旁边的复选框。
3	选择完成。

下一步

下次同步时，您检查的用户将被永久删除。

更改 Webex 应用程序电子邮件地址

如果您想更改用户电子邮件地址，并且您的组织使用目录连接器，您可以在 Active Directory 中更改这些电子邮件地址。此过程介绍如何更改单个域的 Webex App 电子邮件地址以及更改域的过程。

如果您只想更改一个用户的电子邮件或某些值，请不要从 Active Directory 中删除该用户，然后使用相同的电子邮件重新创建一个新用户。云端将此操作解释为新用户帐户，并且用户在云端的空间和其他数据将会丢失。

要更改用户电子邮件地址而不更改域：
1. 打开用户帐户（例如， user1@example.com) 在 Active Directory 中更改电子邮件地址（例如， user2@example.com).
2. 恢复目录连接器上的同步。
  
  下次同步后，缓存刷新后，更改将显示在 Control Hub 中的用户列表中，并显示在 Webex 应用程序中的用户列表中。
  
  采用此方法不会造成数据或空间丢失。第一次同步后，用户的唯一标识符将在云端设置。所有后续同步都基于此标识符。
在使用目录连接器的多域部署中，要在更改域的同时更改用户电子邮件地址（将 example1.com 视为旧域，将 example2.com 视为新域）：
1. 对于旧用户帐户 (user1@example1.com), 请注意映射到 uid 云属性的 Active Directory 属性。您需要对新帐户使用相同的 Active Directory 值。对于此示例，我们将使用 user1@example1.com 作为本地属性映射到云中的 uid 。
2. 暂停目录连接器上 example1.com 和 example2.com 域的同步。
3. 在 example2.com 中创建一个新的用户帐户并使用上面相同的属性。（例如， user1@example1.com）。
4. 在目录连接器上，恢复 example2.com 的同步
  
  在继续之前，请确认 user1@example2.com 帐户同步到 Control Hub。我们建议您指导用户在 Webex 应用程序中验证电子邮件更改，并保留所有数据（空间、消息、会议、文件等）。
  
  使用此方法不会丢失数据或空间，但在新用户帐户中，您必须确保从旧用户帐户中保留映射到云 uid 属性的 Active Directory 属性。如果您更改 Active Directory 值，新帐户将不会保留旧帐户的数据。
5. 验证电子邮件地址更改且数据完好无损后，删除 example1.com 上的旧用户帐户，然后使用目录连接器恢复 example1.com 的同步。
  
  此时，您可以安全地更新新 Active Directory 域中的电子邮件地址 user1@example2.com.

目录连接器不限制电子邮件域的更改。但是，当用户重新同步到云时，用户状态取决于新域是否在您的组织中经过验证。如果域未在您的组织中验证，则完全同步后用户的状态将更改为“待处理”。有关更多信息，请参阅管理您的域。

如果您的组织不使用目录连接器，您可以通过帐户设置页面更改您的 Webex 应用程序电子邮件地址。请参阅更改您帐户的电子邮件地址，了解用户可以遵循的更改电子邮件的步骤。

更改 Active Directory 域

您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。

1	设置新的 Active Directory (AD) 域。
2	禁用所有连接器上的同步。
3	卸载所有连接器。
4	打开一个案例来更改域名。在提交案例时，请务必请求删除组织中的域配置和所有同步属性。在打开更改域名的案例之前，请确保您没有运行同步。在案件解决之前，请勿更改 Active Directory 中的任何用户电子邮件地址。
5	解决案例后：在与新 Active Directory 域相同的服务器上安装目录连接器。配置目录连接器，使其指向新的 Active Directory 域。如果 Control Hub ( https://admin.webex.com) 中存在现有用户，请确保 Active Directory 中也存在具有匹配电子邮件地址的用户。如果您的组织已禁用 DirSync 中的 `softDelete` 切换，则位于 Control Hub 但不在 Active Directory 中的用户电子邮件地址可能会被删除。在进行实际同步之前，使用目录连接器执行测试运行。

域声明

如果您为某个组织声明电子邮件域，则会发生域声明，以便任何侧板帐户都是在付费客户组织中而不是免费消费者组织中创建的。您只能通过支持案例进行域名声明（有关更多信息，请参阅下面的链接）。

如果目录连接器处于活动状态并且域已被声明，则不会在客户组织或免费消费者组织中创建侧板帐户。只有目录连接器可以从 Active Directory 为组织配置帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户，受邀用户将收到错误提示。将受邀用户添加到 Webex App 空间的唯一方法是首先使用目录连接器将帐户配置到 Control Hub 中。

相关信息