- 主页
- /
- 文章
感谢您的反馈。
目录连接器的部署指南
在此文章中
反馈?Directory Connector概述
Directory Connector是用于在云中同步身份的本地应用程序。 您可以从Control Hub下载连接器软件并将其安装到本地计算机上。
借助Directory Connector,您可以在Active Directory中维护您的用户帐户和数据,从而使Active Directory成为唯一的真实来源。 当您在本地进行更改时,将其复制到云端。
请参阅表格中的所有功能、说明和优点:
| 功能 | 说明和优点 |
|---|---|
| 易于使用的控制板 | 控制板提供同步计划、摘要、同步状态以及目录连接器的状态。 您可以随时登录查看仪表板。 |
| 同步到云端之前进行演习 | 在云中实施目录更改之前,先对其进行测试。 然后运行报告,查看您希望进行的更改是否符合预期。 |
| 完全和增量同步 | 同步整个目录。 或者只是同步这些增量更改,以节省处理能力并缩短同步时间。 |
同步多个域(单林或多林) |
Directory Connector支持单林或多林下的多个域(无需AD LDS)。 对于具有多个Active Directory域的企业,您可以为每个域安装目录连接器,将每个域绑定到组织,然后将每个用户群同步到Webex。 Control Hub通过显示多个目录连接器的同步状态来反映该状态,允许您关闭特定域的同步,并在高可用性部署中停用目录连接器。 |
| 计划的同步 | 设置按天、小时和分钟的同步计划。 |
| 轻量级目录访问协议(LDAP)过滤器 | 定义LDAP搜索条件并提供有效的导入。 |
| Active Directory属性映射 | 将Microsoft Active Directory属性映射到相应的Webex云属性。 您可以映射与Active Directory配置相关的属性,还可以定义自定义属性以映射到云。 来自本地的属性在云中形成各种数据,例如用户帐户信息、Webex Teams中的企业电话号码、协作室资源SIP地址以及其他用户联系人卡片数据(职位、部门、经理等)。 |
无需Webex许可的本地会议室资源和Cisco Webex Calling(云PSTN)用户和企业联系人的公司目录 |
如果您组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务,或者您有本地部署的协作室设备,则此功能允许用户从其Cisco Webex Calling(云PSTN)电话或协作室资源搜索企业联系人的目录。
|
| 活动查看器 | 使用事件查看器确定同步是否存在问题。 |
| 诊断工具和故障排除 | 您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。 如同步无法正常工作,可能发生配置或网络错误。 此工具会测试您与Active Directory的连接,以便您可以在联系支持人员之前自行诊断错误。 在Directory Connector中启用故障诊断后,会编写可发送给技术支持的日志。 |
| 自动升级 | 在安装Directory Connector后,每当有新版本的软件可用时,您都会收到通知。 您可以设置自动升级,以便在发布新版本时始终使用软件的最新版本。 |
| 高可用性 | 配置多个连接器,以便有备份,以防主连接器或托管连接器的机器出现故障。 |
Directory Connector 分为以下三个部分:
Control Hub 是一个单一界面,可让您管理Webex组织的所有方面: 如果您希望用户通过其企业身份提供程序进行身份验证,并且不想发送Webex应用程序的电子邮件邀请,则查看用户、分配许可证、下载Directory Connector以及 单点登录(SSO)。
Directory Connector管理界面 是从Control Hub下载并安装在受信任的Windows服务器上的软件。 对于多个Active Directory域,您可以为要同步的每个域安装即时软件。 使用该软件,您可以运行同步以将Active Directory用户帐户转入Webex、查看和监控同步状态以及配置Directory Connector服务。
目录同步服务,用于查询 Active Directory 以检索用户和组,从而同步至连接器服务和 Directory Connector。
请参阅此图了解Directory Connector架构:
Directory Connector的要求
Windows和Active Directory要求
您可以在这些受支持的Windows服务器上安装Directory Connector:
Windows Server 2012
Windows Server 2019
Windows Server 2016
 | 要解决Cookie问题,我们建议您将域控制器升级到包含修复的版本- Windows Server 2012 R2 或 2016。 |
以下Active Directory服务支持Directory Connector:
Active Directory 2016
(在Windows Server 2019上使用最新版本的Active Directory时支持Directory Connector)
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008
请注意以下附加要求:
目录连接器需要TLS1.2。 您必须安装以下内容:
.NET Framework v3.5(Directory Connector应用程序必需)。 如果您遇到任何问题,请使用“添加角色和功能向导”按照 “启用。NET Framework 3.5”中的说明。)
.NET Framework v.4.5(TLS1.2需要)
需要Active Directory森林功能级别2(Windows Server 2003)或更高版本。 (有关更多信息,请参阅什么是Active Directory功能级别?。)
硬件要求
您必须在计算机上安装Directory Connector,并满足以下最低硬件要求:
8 GB RAM
50 GB 存储
CPU 没有最低要求
网络要求
如果启用了网络防火墙,请确保系统可通过 HTTPS(端口 443)访问互联网。
Webex组织要求
要从Control Hub访问Directory Connector软件,您需要具有试用或任何付费订阅的Webex组织。
(可选)如果您希望新的Webex应用程序用户帐户在首次登录前处于活动状态,我们建议您执行以下操作:
阻止自动电子邮件邀请,这样新用户就不会收到自动电子邮件邀请,您可以自己进行电子邮件活动。 (此功能需要SSO集成。)
| 有关更多信息,请参阅Control Hub中的用户状态和操作。 |
安装要求
对于多域环境(单林或多林),您必须为每个Active Directory域安装一个目录连接器。 如果要同步新的域(B),同时在另一个现有域(A)上保持已同步的用户数据,请确保有单独的受支持的Windows服务器来安装Directory ConnecTOR以实现域(B)同步。
对于登录连接器,我们不需要Active Directory中的管理帐户。 我们需要本地用户帐户与Control Hub中的完全管理员帐户相同。
此本地用户必须拥有Windows计算机上的权限才能连接到域控制器并读取Active Directory用户对象。 计算机登录帐户应该是计算机管理员,有权在本地计算机上安装软件。 (此信息也适用于虚拟机登录。)
登录连接器时,登录帐户必须与Control Hub的完全管理员帐户相同。 默认情况下,连接器使用本地系统帐户访问Active Directory。 但是,您可以使用Windows服务配置其他帐户以访问Active Directory。 (此信息也适用于虚拟机登录。)
请按照以下步骤确保已启用Windows Safe动态链接库(DLL)搜索模式: 在Windows注册表中检查SafeDllSearchMode。
如果您将AD LDS用于单个林中的多个域,我们建议您在单独的计算机上安装目录连接器和Active Directory域服务/Active Directory轻型目录服务(AD DS/AD LDS)。
多个域要求
在执行 Cisco Directory Connector部署任务流程中的任务之前,如果要将Active Directory信息从多个域同步到云端,请牢记以下要求和建议:
每个域都需要单独的目录连接器实例。
Directory Connector软件必须在其将同步的同一域上的主机上运行。
我们建议您在Control Hub中验证或申领您的域。(请参阅添加、验证和申领域。)
如果要同步50多个域,必须打开申请单才能将您的组织移至大型组织列表。
如果需要,您可以将协作室资源信息与用户帐户同步。 (请参阅 本地会议室信息同步到Webex云。)
自动许可证分配的Active Directory组建议
Active Directory组用于将用户帐户、计算机帐户和其他组收集为可管理的单位。 与小组合作,而不是与个人用户合作,有助于简化网络维护和管理。
Active Directory中有两种类型的组:
通讯组—用于创建电子邮件通讯组列表。
安全组—用于为共享资源分配权限。
在Active Directory中创建组时,请考虑以下准则:
为每个角色、部门或服务(例如销售、市场营销、经理、会计、Webex许可等)创建一个全局组。
使用整个组织中的标准命名规则,以便轻松识别有关组的重要信息。 组名称可以包含有关组的详细信息,例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如,组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
以易于理解的方式组织团队,如地域或管理层次。 使用组描述完全描述组的目的。
在将用户添加到新预配置的组之前,请在Control Hub中为这些组定义自动许可组模板。 有关更多信息,请参阅设置您的自动许可证分配模板。
估算信息
Directory Connector充当本地Active Directory和Webex云之间的桥梁。 因此,连接器对可以同步到云的Active Directory对象的数量没有上限。 本地目录对象的任何限制都与同步到云的Active Directory环境的特定版本和规范相关联,而不是连接器本身。
以下几个因素可能会影响同步速度:
Active Directory对象总数。 (5000个用户的同步作业不需要长达50000的时间。)
网络速度和带宽。
系统工作负载和规格。
 | 如果您同步的用户超过50000个,我们强烈建议您使用第二个连接器进行故障转移和冗余。 |
| 由于同步涉及多种因素,且每个部署因上述因素而异,因此无法提供对象同步所需时间的特定时间值。 |
在Windows注册表中检查SafeDllSearchMode
默认情况下,Windows注册表中设置了安全动态链接库(DLL)搜索模式,并将用户的当前目录置于后续的DLL搜索顺序中。 如果该模式被禁用,攻击者可能会将恶意DLL(名称与系统文件夹中的引用DLL文件相同)放入应用程序的当前工作目录中。
通常情况下,SafeDllSearchMode已启用,但可使用此程序再次检查注册表设置。
准备工作
 | 对Windows注册表进行更改时应非常谨慎。 我们建议您在使用这些步骤之前备份注册表。 |
| 1 | 在Windows搜索或运行窗口中,输入 ,然后按 Enter。 |
| 2 | 转至 HKEY_本地机_\System\CurrentControlSet\Control\Session Manager。 |
| 3 | 选择一种:
|
有关详细信息,请参阅 链接库搜索顺序。
WebEx 代理集成
WebEx 代理集成
如果您的环境中已启用 Web 代理验证,则您仍然可用使用 Directory Connector。
如果您的组织使用透明Web代理,则不支持身份验证。 该连接器成功连接并同步用户。
您可以选择下列方法之一:
通过Internet Explorer的显式Web代理(连接器继承Web代理设置)
通过。pac文件的显式Web代理(连接器继承企业特定代理设置)
可与连接器一起使用的透明代理,无需任何更改
通过浏览器使用 Web 代理
您可以设置Directory Connector以通过Internet Explorer使用Web代理。
如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行,那么您还需要用此帐户登录并配置 Web 代理。
| 1 | 在 Internet Explorer 中,转至 Internet 选项,单击连接,然后选择局域网 (LAN) 设置。 | ||
| 2 | 将连接器安装在Web代理处的Windows实例指向。 连接器继承这些Web代理设置。 | ||
| 3 | 如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在站点范围内(针对所有主机)执行此操作,也可以仅针对具有连接器的主机执行此操作。
| ||
| 4 | 如果您的环境需要从证书颁发机构请求证书吊销列表,请将以下URL添加到允许列表中:
有关更多信息,请参阅有关Webex服务需要访问的 和URL的文章。 |
通过 PAC 文件配置 Web 代理
您可以配置客户端浏览器使用 .pac 文件。 该文件提供Web代理地址和端口信息。 Directory Connector 直接继承企业特定的 Web 代理配置。
| 1 | 要使连接器成功将用户信息连接并同步到Webex云,请确保已为以下对象禁用代理身份验证 | ||
| 2 | 如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在站点范围内(针对所有主机)执行此操作,也可以仅针对具有连接器的主机执行此操作。
| ||
| 3 | 如果您的环境需要从证书颁发机构请求证书吊销列表,请将以下URL添加到允许列表中:
有关更多信息,请参阅有关Webex服务需要访问的 和URL的文章。 |
NTLM代理
目录连接器支持 <UNK> LAN Manager (NTLM)。 NTLM 方法支持在域设备之间进行 Windows 验证,并确保其安全。
NTLM设计
在大多数情况下,用户希望通过客户端PC访问其他工作站资源,这可能很难安全地实现。
一般来说,NTLM的技术设计基于挑战
和响应
机制:
用户通过Windows帐户和密码登录到客户端PC。 密码不会在本地保存。 密码的哈希值存储在本地,而不是纯文本密码。 当用户通过密码登录到客户端时,Windows操作系统会比较输入密码中存储的哈希值和哈希值。 如果两者相同,验证将通过。
当用户想要访问另一服务器中的任何资源时,客户端将使用纯文本的帐户名称向服务器发送请求。
服务器收到请求后,生成16位随机密钥。 该键名为“挑战”(或Nonce)。 在服务器发送回客户端之前,该挑战将存储在服务器中。 然后服务器以纯文本形式向客户端发送挑战。
一旦客户端收到来自服务器的质询,客户端将使用步骤1中提到的哈希值加密质询。 加密后,该值将发回服务器。
服务器从客户端收到加密值后,将其发送到域控制器进行验证。 请求包括: 帐户名称、客户端发送的加密质询以及原始纯质询。
域控制器可根据帐户名检索密码的哈希值。 然后域控制器可以对原始挑战进行加密处理。 然后,Doman控制器可以与收到的哈希值和加密的哈希值进行比较。 如果它们相同,则验证成功。
| Windows的操作系统内置安全验证功能,使应用程序更容易支持安全验证。 因此,您无需进一步完成配置。 |
配置透明代理
在这种情境下,浏览器不会知道透明 Web 代理正在拦截 http 请求(端口 80/端口 443),因此不需要客户端配置。
| 1 | 部署透明代理,以便连接器可以连接和同步用户。 |
| 2 | 确认代理成功-启动连接器时,您会看到预期的浏览器验证弹出窗口。 |
设置代理验证
添加URL cloudconnector.webex.com 通过创建访问控制列表(Access Control List)来设置您的允许列表。
在企业防火墙服务器上:
| 1 | 如果尚未启用 DNS 查找,请启用。 |
| 2 | 确定该连接的预计带宽(连接器的带宽约为2 mb/s或更小)。 这不是必须执行的步骤。 |
| 3 | 创建要应用于连接器主机的访问控制列表,并指定 例如: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
| 4 | 将此ACL应用于相应的防火墙接口,该接口仅适用于单个连接器主机。 |
| 5 | 通过配置相应的隐式拒绝声明,确保企业中的其他主机仍需使用 Web 代理。 |
Cisco目录连接器部署任务流程
| 1 |
Control Hub最初将目录同步显示为禁用。 要为组织开启目录同步,您必须安装和配置目录连接器,然后成功执行完全同步。 对于Directory Connector的新安装,请始终转至Control Hub (https://admin.webex.com)获取最新版本的软件,以便使用最新的功能和漏洞修复。 安装软件后,系统会通过软件报告升级,并在可用时自动安装。 |
| 2 |
使用Webex管理员凭证登录并执行初始设置。 |
| 3 |
让目录连接器软件保持最新版本始终是重要的。 我们建议您使用此程序允许在软件可用时以无提示方式安装自动升级。 |
| 4 |
默认情况下,Directory Connector会同步非计算机的所有用户以及非域关键系统对象的所有组。 要更好地控制同步的对象,可以使用Directory Connector中的Object 页面选择特定用户以同步并指定LDAP过滤器。 |
| 5 |
您可以将本地 Active Directory 的属性映射到云端的对应属性。 唯一的必填字段是“*uid”。 |
| 6 | 使用以下程序之一同步目录头像: 您可以将用户的头像同步到云端,这样每个用户在登录应用程序时都可以看到其头像。 您可以从Active Directory属性或资源服务器同步头像。 |
| 7 |
使用此过程将本地会议室信息从Active Directory同步到Webex云。 同步协作室信息后,具有已配置、已映射SIP地址的本地协作室设备在云注册协作室设备(例如Webex Room设备或Cisco Webex Board)上显示为可搜索条目 |
| 8 | 要将用户从Active Directory预配置到Control Hub中,请执行以下步骤: 按照此序列为Webex应用程序帐户预配置Active Directory用户。您可以从多林或多域Active Directory部署中预配置Directory Connector 3.0及更高版本的用户。 在加入不同域用户的过程中,您必须决定是否保留或删除Webex云中可能已存在的用户对象,例如,来自试用的测试帐户。 目标是在Active Direc 和Webex云之间实现精确匹配。 |
安装 Directory Connector
Control Hub最初将目录同步显示为禁用。 要为组织开启目录同步,您必须安装和配置目录连接器,然后成功执行完全同步。
您必须为要同步的每个Active Directory域安装一个连接器。 一个目录连接器实例只能服务一个域。 请参阅下图了解多域同步的流程:
准备工作
如果您通过代理服务器进行身份验证,请确保您拥有代理凭证:
对于代理基本身份验证,您将在安装连接器实例后输入用户名和密码。 基本验证还需要Internet Explorer代理配置;请参阅 浏览器使用Web代理
对于代理NTLM,第一次打开连接器时可能会看到错误。 请参阅 浏览器使用Web代理。
| 1 | 在 Control Hub 中,转至 ,然后选择 一步。 | ||
| 2 | 单击下载并安装链接,将最新版本的连接器安装。zip文件保存到您的VMware或Windows服务器。 您可以直接从此链接获取。zip文件,但必须拥有对Control Hub组织的完全管理访问权限,才能使用此软件。
| ||
| 3 | 在VMware或Windows服务器上,解压缩并运行设置文件夹中的。msi文件以启动设置向导。 | ||
| 4 | 单击下一步,选中复选框以接受许可协议,然后单击下一步,直到您看到帐户类型屏幕。 | ||
| 5 | 选择您要使用的服务帐户类型,然后使用管理帐户执行安装:
要避免错误,请确保具备以下权限:
| ||
| 6 | 单击安装。 网络测试运行后,如果出现提示,输入您的代理基本凭证,单击确定,然后单击完成。 |
下一步
我们建议您在安装后重新启动服务器。 未发布数据时,测试报告无法显示正确结果。 重启计算机时,所有数据都会刷新,以在报表中显示确切的结果。
登录 Directory Connector
准备工作
确保您拥有代理凭证。
对于代理basic-auth,您将在第一次打开连接器后输入用户名和密码。
对于代理NTLM,打开Internet Explorer,单击齿轮图标,转至 Internet选项> Connections > LAN设置,确保添加代理服务器信息,然后单击 确定。 请参阅 浏览器使用Web代理。
| 1 | 打开连接器,然后添加 | ||||
| 2 | 如果出现提示,请使用代理验证凭证登录,然后使用管理员帐户登录Webex,然后单击下一步。 | ||||
| 3 | 确认组织和域。
| ||||
| 4 | 在确认组织屏幕出现后,单击确认。 如果您此前已绑定 AD DS/AD LDS,将出现确认组织屏幕。 | ||||
| 5 | 单击“确认”。 | ||||
| 6 | 根据您要绑定到 Directory Connector 的 Active Directory 域数量选择一项:
|
下一步
登录后,系统会提示您执行测试同步。
Directory Connector 控制板
首次登录 Directory Connector 时,将显示控制板。 您可以在此处查看所有同步活动的摘要及云统计信息、执行测试同步、开始完全或增量同步并启动事件视图以查看错误信息。
| 如果会话超时,请重新登录。 |
您可以从操作工具栏或操作菜单中轻松运行这些任务。
组件 | 描述 |
|---|---|
当前同步 |
显示与当前进行的同步有关的状态信息。 无正在运行的同步时,状态显示为“空闲”。 |
下次同步 |
显示安排的下次完全和增量同步。 如果未设置安排,则显示“未安排”。 |
上次同步 |
显示上两次执行的同步的状态。 |
当前同步状态 |
显示同步的整体状态。 |
连接器 |
显示云当前可用的内建连接器。 |
云统计信息 |
显示同步的整体状态。 |
同步安排 |
显示增量与完全同步的同步安排。 |
配置摘要 |
列示您在配置中已更改的设置。 例如,该摘要可能包含以下内容:
|
| 操作 | 描述 | ||
|---|---|---|---|
| 开始增量同步 | 手动开始增量同步
|
||
同步测试 |
执行测试同步。 |
||
启动事件查看器 |
启动 Microsoft 事件查看器。 |
||
刷新 |
刷新Cisco Directory Connector控制板 |
操作 | 描述 |
|---|---|
| 立即同步 | 立即开始完全同步。 |
同步模式 |
选择增量或完全同步模式。 |
重设连接器保密信息 |
在Cisco目录连接器和连接器服务之间建立对话。 选择此操作将重设云中的保密信息,然后在本地保存该保密信息。 |
排练 |
执行同步过程测试。 在进行完全同步之前必须执行测试。 |
疑难解答 |
打开/关闭故障诊断。 |
刷新 |
刷新Cisco Directory Connector主屏幕。 |
退出 |
退出Cisco目录连接器。 |
组合键 | 操作 |
|---|---|
Alt + A |
显示“操作”菜单 |
|
立即同步 |
|
重设连接器保密信息 |
|
测试 |
|
增量同步 |
|
完全同步 |
|
显示“帮助”菜单 |
|
帮助 |
|
关于 |
|
常见问题解答 |
设置自动升级
| 1 | 从Directory Connector转至 ,然后选中 升级到新的Cisco目录连接器版本。 |
| 2 | 单击应用以保存您所做的更改。 |
新版本的连接器将在可用时自动安装。
| 如果您愿意,可以手动管理升级。 有关更多信息,请参阅升级到最新软件版本。 |
选择要同步的Active Directory对象
默认情况下,Directory Connector会同步非计算机的所有用户以及非域关键系统对象的所有组。 要更好地控制同步的对象,可以使用Directory Connector中的Object 页面选择特定用户以同步并指定LDAP过滤器。
自动许可证分配组
Control Hub允许您按组管理许可证分配。 您可以创建许可证模板,并将其映射到同步到云端的Active Directory组。 在创建用户时,Webex会检查该新用户的用户成员资格和自动许可证模板映射。
我们建议您使用LDAP过滤器仅将相关组同步到云。 例如,您可以将过滤器设置为:
(&(cn=Example)(objectclass=Group))*
此过滤器同步名称以 开头的基本DN中的所有组。 未分配到组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。
混合数据安全部署组
在Directory Connector中,如果您使用混合数据安全为试点用户配置试用组,则必须选中组。 请参阅《混合数据安全部署指南》以获取指导。 此Directory Connector设置不会影响云中的其他用户同步。
| 1 | 在 Directory Connector 中,转至配置,然后单击对象选择。 | ||
| 2 | 在对象类型部分,选中用户,并考虑限制用户的可搜索容器数量。 例如,如果您只想同步某一组中的用户,则必须在 LDAP过滤器字段中输入LDAP过滤器。 如果要同步Example-manager组中的用户,请使用类似以下过滤器:
| ||
| 3 | 选中“识别聊天室”以将聊天室数据与用户数据分开。 如果要设置其他属性将用户数据标识为协作室数据,请单击自定义。 如果要将本地会议室信息从Active Directory同步到Webex云,请使用此设置。 同步协作室信息后,具有已配置的映射SIP地址的本地协作室设备会在云注册协作室设备上显示为可搜索条目。 有关更多信息,请参阅 本地会议室信息同步到Webex云。 | ||
| 4 | 如果要将Active Directory用户组同步到云端,请选中组。 不要将用户同步LDAP过滤器添加到“组”字段。 您应该仅使用组字段将组数据本身同步到云。
| ||
| 5 | 如果要将用户的联系信息同步到云,请检查联系人。
| ||
| 6 | 配置 LDAP 过滤器。 您可以通过提供有效的 LDAP 过滤器来添加扩展的过滤器。 请参阅本文,了解有关配置LDAP过滤器的更多信息。 | ||
| 7 | 单击选择以查看Active Directory的树形结构,指定要同步的本地基本DN。 您可以在此选择或取消选择要搜索的容器。 | ||
| 8 | 勾选您要在此次配置中添加的对象,然后单击“选择”。 您可以选择单个容器或父容器以用于同步。 选择父容器时会自动选中其所有子容器。 如果选择子容器,父容器会显示灰色复选标记,说明其下勾选了子容器。 然后,您可以单击“选择”以接受勾选的 Active Directory 容器。 如果贵组织将所有的用户和组都放在“用户”容器中,则不需要搜索其他容器。 如果贵组织划分为多个组织单元,务必选择 OU。 | ||
| 9 | 单击 Apply(应用)。 选择一个选项:
有关测试的信息,请参阅对您的Active Directory用户进行测试同步。 对于组同步,您必须执行完全同步: 将Active Directory用户完全同步到云。 |
映射用户属性
您可以将本地 Active Directory 的属性映射到云端的对应属性。 唯一的必填字段是*uid,这是云标识服务中每个用户帐户的唯一标识符。
您可以选择要映射到云的Active Directory属性-例如,您可以映射 firstName lastName 在Active Directory或自定义属性表达式中 displayName 在云中。
| Active Directory 中的帐户必须具有电子邮件地址,因为缺省情况下,uid 会映射到 |
如果您选择使用Active Directory中的首选语言,则Active Directory是唯一的真实来源: 用户将无法更改Webex设置中的语言设置,管理员将无法更改Control Hub中的设置。
| 1 | 在 Directory Connector 中,单击配置,然后选择用户属性映射。 此页面显示Active Directory(左侧)和Webex云(右侧)的属性名称。 所有必需属性都标有红色星号。 | ||||
| 2 | 向下滚动至 Active Directory属性名称的底部,然后选择其中一个Active Directory属性以映射到云属性 uid:
您可以将任何其他Active Directory属性映射到uid,但我们建议您使用mail或userPrincipalName,如上述指导原则所述。 在某些情况下,userPrincipalName用于登录,但用户的电子邮件地址用于管理其日历。 您必须确保日历管理的电子邮件地址映射到Webex中的主电子邮件地址字段。 添加userPrincipalName作为备用电子邮件地址。 要查看Active Directory中的哪些属性在云端对应,请参阅在Directory Connector中映射Active Directory属性。
| ||||
| 3 | 如果预定义的Active Directory属性不适用于您的部署,请单击属性下拉列表,滚动至底部,然后选择自定义属性以打开一个允许您定义属性表达式的窗口。
在此示例中,我们将Active Directory属性映射
| ||||
| 4 | (可选)如果您希望移动电话号码和工作号码显示在Webex应用程序中的用户名片中,请选择移动和phoneNumber的映射。 当用户将鼠标悬停在另一用户的档案照片上时,电话号码数据将显示在Webex应用程序中。 有关通过用户名片进行呼叫的更多信息,请参阅 bex中的呼叫(Unified CM)部署指南(管理员)。 | ||||
| 5 | 选择其他映射以显示在联系人卡片中的更多数据:
在对属性进行映射后,当用户将鼠标悬停在另一用户的档案照片上时,将显示该信息:
有关名片的更多信息,请参阅验证您所联系的人员。 将这些属性同步到每个用户帐户后,您还可以在Control Hub中打开People Insights。 此功能允许Webex应用程序用户在其档案中共享更多信息,并相互了解更多信息。 有关该功能及其启用方式的更多信息,请参阅Control Hub中适用于Webex、Jabber、Webex Meetings和Webex Events(新版)的 Insights档案 | ||||
| 6 | 选定后单击应用。 |
Active Directory 中包含的任何用户数据都会覆盖对应于该用户的云端数据。 例如,如果您在Control Hub中手动创建用户,则该用户的电子邮件地址必须与Active Directory中的电子邮件地址相同。 Active Directory中没有相应电子邮件地址的任何用户都会被删除。
| 已删除的用户将在云身份服务中保留7天,然后被永久删除。 |
Active Directory和云属性
您可以使用“用户属性映射”标签页将本地 Active Directory 的属性映射到云端的对应属性。
此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。 这些值和映射是目录连接器中的默认设置。 您可以在Active Directory下拉列表中选择不同的属性,并确定哪个本地部署属性与哪个云属性同步。
将下拉属性视为预设。 作为Active Directory中的值的替代,您还可以在Active Directory中指定自定义属性(具有多个属性的表达式),以映射到相应行中的单个云属性。 通过这种方式,您可以灵活地确定用户的显示名称-例如,您可以添加一个表达式,该表达式根据Active Directory中的员工职务、给定的姓名和姓氏创建自定义属性。
您还可以指定要映射到云中的uid的任何Active Directory属性。 但是,您必须确保内建属性遵循有效的电子邮件格式。
| 您还可以使用备用电子邮件地址,例如,如果您想使用userPrincipalName登录,但用户的电子邮件地址用于管理其日历。 在这种情况下,将另一个电子邮件地址映射到 ;type-work 属性。 这是用于身份验证的电子邮件,而不是用于管理您的日历。 从AD映射的电子邮件地址必须来自组织内已验证的域,并且必须是唯一的,且不能分配给其他用户。 |
Active Directory属性名称 | Webex云属性名称 | 笔记 |
|---|---|---|
— |
buildingName |
— |
C |
C |
此属性指定用户的国家/地区缩写。 |
departmentNumber |
departmentNumber |
此属性用于显示联系人名片和people insights中的用户部门号码。 |
displayName |
displayName |
此属性用于显示在Control Hub、联系人名片和people insights中的用户帐户显示名称。 |
userAccountControl |
ds-pwp-account-disabled |
此属性用于用户同步。 确保 userAccountControl 属性映射到 ds-pwp-account-disabled,否则将不会正确同步用户。 |
employeeNumber |
employeeNumber |
— |
facsimileTelephoneNumber |
facsimileTelephoneNumber |
— |
— |
jabberID |
此云属性与Jabber使用的IM地址(XMPP类型)相关。 此值与sip 不同。 |
l |
l |
此属性指定用户所在的城市。 |
— |
locale |
— |
Manager |
Manager |
此属性用于显示联系人名片和people insights中的用户经理姓名。 |
移动设备 |
移动设备 |
此属性用于显示从联系人卡片呼叫用户的手机号码。 |
o |
o |
此属性指定公司或组织的名称并显示在联系人名片中。 |
ou |
ou |
此属性指定组织单位的名称。 |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
此属性指定用户的办公室位置。 |
postalCode |
postalCode |
此属性指定用户用于实际邮件递送的邮政编码。 |
preferredLanguage |
preferredLanguage |
此属性设置用户的首选语言,支持以下格式: xx_YY或xx-YY。 这里是一些示例: en_美国,en_ <UNK> ,fr-CA。 如果您使用不受支持的语言或无效的格式,用户的首选语言将更改至为组织设置的语言。 |
MSRTCSIP-PrimaryUserAddress ip电话 |
SipAddresses;type=企业 |
此属性用于将本地会议室信息从Active Directory同步到Cisco Webex云。 |
sn |
sn |
此属性用于显示在Control Hub、联系人名片和people insights中的用户帐户姓氏。 |
st |
st |
该属性指定用户的省/自治区。 |
streetAddress |
street |
此属性指定用户用于物理邮件传递的街道地址。 |
telephoneNumber |
telephoneNumber |
此属性指定用户的主要(工作)电话号码,用于从联系人卡片呼叫用户。 |
— |
timezone |
此云属性指定用户的时区。 |
标题 |
标题 |
此属性指定在联系人名片和people insights中显示的用户标题。 |
type |
enterprise |
— |
*userPrincipalName |
uid |
强制属性映射。 对于每个用户帐户,Active Directory值映射到云中的唯一uid。 在某些情况下,userPrincipalName用于登录,但用户的电子邮件地址用于管理其日历。 您必须确保日历管理的电子邮件地址映射到Webex中的主电子邮件地址字段。 添加userPrincipalName作为备用电子邮件地址。 然后,只要有正确的 SAML属性映射,用户就可以使用这些电子邮件地址之一登录。 请参阅下面的示例属性映射,了解如何映射备用电子邮件地址。 |
*userPrincipalName <custom attribute=""> |
电子邮件;类型工作 |
此映射是可选的,如果您想使用备用电子邮件地址,请使用它。 这是用于身份验证的电子邮件,而不是用于管理您的日历。 从AD映射的电子邮件地址必须来自组织内已验证的域,并且必须是唯一的,且不能分配给其他用户。 |
<New attribute="" for="" Azure="" user="" objectId=""> |
externalId |
创建一个新的Active Directory属性以保留Azure用户对象Id,这样它就不会与现有用户对象Id冲突。 此属性随后映射到externalId属性,确保当Webex用户在Microsoft 365中 组时,他们会自动在Webex中创建团队。 |
备用电子邮件地址映射
自定义属性的表达式
接线员 | 描述和示例 |
|---|---|
% | 将字符串开头的所有字符移至字符或字符串参数的位置(如匹配)。
|
- | 将输入字符串背面从指定字符串末尾剥离。
|
+ | 连接输入字符串或表达式。
|
| | 根据空字符串计算分隔的表达式,并选择第一个非空结果。
|
将目录头像从Active Directory属性同步到云
您可以将用户的目录头像同步到云,以便在用户登录Webex应用程序时显示每个头像。 使用此程序从Active Directory属性同步原始头像数据。
| 1 | 在Directory Connector中,转至 Configuration(配置),单击Avatar,然后选中Enable(启用)。 |
| 2 | 对于获取头像从,选择 AD属性,然后选择包含您要同步到云的原始头像数据的头像属性。 |
| 3 | 要验证是否正确访问了头像,请输入用户的电子邮件地址,然后单击获取用户的头像。 头像显示在右侧。 |
| 4 | 确认头像显示正确后,单击应用以保存更改。 |
同步的图像将成为Webex应用程序中用户的缺省头像。 从目录连接器启用此功能后,不允许用户设置自己的头像。
用户头像会同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步
执行试运行同步;如果没有问题,则执行完全同步以使您的Active Directory用户帐户和头像同步到云端并显示在Control Hub中。
将目录头像从资源服务器同步到云
您可以将用户的目录头像同步到云,以便在用户登录Webex应用程序时显示每个头像。 此程序用于从资源服务器同步头像。
准备工作
此过程中的 URI 模式和变量值都是示例。 您必须使用目录头像所在位置的实际 URL。
头像URI模式和头像所在的服务器必须可以从Directory Connector应用程序访问。 连接器需要http或https访问图像,但图像不需要在互联网上公开访问。
头像数据同步与Active Directory用户配置文件分开。 如果您运行代理,必须确保头像数据可以通过NTLM验证或基本验证访问。
| 1 | 在Directory Connector中,转至 Configuration(配置),单击Avatar,然后选中Enable(启用)。 |
| 2 | 对于从获取头像,选择资源服务器,然后输入头像URI模式—例如, 让我们来看一下头像URI模式的每个部分及其含义:
|
| 3 | (可选)如果您的资源服务器需要凭证,请选中为头像设置用户凭证,然后选择使用当前服务登录用户或使用此用户并输入密码。 |
| 4 | 输入变量值 - 例如: |
| 5 | 单击测试以确保头像URI模式正常工作。 在该示例中,如果某个 AD 条目的 mail 值为 |
| 6 | 在验证URI信息并显示正确后,单击应用(Apply)。 有关如何使用正则表达式的详细信息,请参阅《Microsoft 正则表达式语言快速参考》。 |
同步的图像将成为Webex应用程序中用户的缺省头像。 从目录连接器启用此功能后,不允许用户设置自己的头像。
用户头像会同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步
执行试运行同步;如果没有问题,则执行完全同步以使您的Active Directory用户帐户和头像同步到云端并显示在Control Hub中。
将本地会议室信息同步到Webex云
使用此过程将本地会议室信息从Active Directory同步到Webex云。 同步协作室信息后,具有已配置、映射的SIP地址的本地协作室设备会在云注册的Webex设备(协作室、桌面和Board)上显示为可搜索条目。
| 1 | 从Directory Connector,转至 Synchronization(同步),单击更多 | ||
| 2 | 检查 协作室信息到云 以在同步期间将协作室数据与用户数据分开。 禁用此设置时,协作室数据的处理方式与用户同步数据相同。 | ||
| 3 | 转至 属性映射,然后更改云属性的 sipAddresses;type=enterprise的属性映射。
| ||
| 4 | 在Exchange中创建协作室资源邮箱。 这将添加msExchResourceMetaData;ResourceType :协作室属性,连接器随后使用该属性来标识协作室。
| ||
| 5 | 从Active Directory用户和计算机,导航到并编辑协作室的属性。 添加带有sip前缀的完全限定SIP URI:
| ||
| 6 | 执行测试同步,然后在连接器中执行完整运行同步。 新的协作室对象将列出已添加对象,匹配的协作室对象将显示在测试报告的已匹配对象中。 标记要删除的任何聊天室对象都位于“已删除聊天室”下。
测试结果显示匹配的所有协作室资源。
此设置将Active Directory协作室数据(包括协作室的属性)与用户数据分开。 同步完成后,连接器仪表板上的云统计信息会显示同步到云的协作室数据。
|
下一步
完成这些步骤后,当您在Webex云注册设备上进行搜索时,您将看到使用SIP地址配置的同步协作室条目。 当您从该条目上的Webex设备发起呼叫时,系统会向为协作室配置的SIP地址发起呼叫。
在Control Hub中,您可以 从您的目录 导入聊天室并创建工作空间。
| 终端无法将回呼循环到Webex应用程序。 对于测试拨号设备,这些设备必须注册为本地SIP URI或Webex应用程序以外的其他位置。 如果您搜索的Active Directory协作室系统已注册到Webex,并且Webex Room设备、桌面设备或用于日历服务的Webex Board上的电子邮件地址相同,则搜索结果不会显示重复的条目。 在Webex应用程序中直接拨打Room、Desk或Board设备,不会发起SIP呼叫。 |
发送有关目录同步结果的电子邮件报告
默认情况下,组织联系人或管理员始终都会收到电子邮件通知。 通过此设置,您可以自定义哪些人应接收汇总目录同步报告的电子邮件通知。
| 1 | 在Directory Connector中,单击 Configuration(配置),然后选择Notification(通知)。 |
| 2 | 在Directory Connector中,单击 Settings(设置),然后在 Email Receiver(电子邮件接收器)旁边,打开 Enable synchronization(启用报告同步)。 |
| 3 | 如果要覆盖默认通知行为并添加一个或多个电子邮件收件人,请选中启用通知。 |
| 4 | 单击 添加,然后输入电子邮件地址。 如果输入的电子邮件地址格式无效,将弹出一条消息,告诉您先更正问题,然后才能保存和应用更改。 |
| 5 | 单击添加电子邮件,然后输入电子邮件地址。 如果输入的电子邮件地址格式无效,将弹出一条消息,告诉您先更正问题,然后才能保存和应用更改。 |
| 6 | 如果您需要编辑输入的任何电子邮件地址,请双击左列中的电子邮件条目,然后进行所需的更改。 |
| 7 | 添加所有有效的电子邮件地址后,单击应用。 |
| 8 | 添加所有有效的电子邮件地址后,单击保存。 |
下一步
如果您决定要删除电子邮件地址,可以单击电子邮件以突出显示该条目,然后单击删除。
如果您决定要删除电子邮件地址,可以单击特定电子邮件地址条目旁边的删除。
将用户从Active Directory部署到Control Hub
按照以下步骤预配置Active Directory用户并在Control Hub中创建相应的用户帐户。 在每个域安装Directory Connector后,您可以从多域Active Directory部署(使用单林或多林)预配置用户。 在加入不同域用户的过程中,您必须决定是否保留或删除Webex云中可能已存在的用户对象,例如,来自试用的测试帐户。 目标是在Active Direc 和Webex云之间实现精确匹配。
| 1 |
执行测试以比较本地Active Directory中的对象和Webex云中的对象。 测试允许您在运行完全或增量同步并将更改提交到云之前,查看将添加、修改或删除哪些对象。 |
| 2 |
在您运行完全同步时,连接器服务将所有已过滤对象从 Active Directory (AD) 发送至云。 然后,连接器服务将您的 AD 条目更新到身份存储库中。 如果您创建了自动分配许可证模板,可以将其分配给新同步的用户。 |
| 3 | 在Control Hub中将Webex服务分配给目录同步用户 在完成从Directory Connector到Control Hub的完全用户同步后,您可以使用各种方法分配Webex服务许可证。 我们建议您设置自动分配许可证模板,然后再将其用于从Active Directory同步的新Webex应用程序用户。 在此初始步骤后,您还可以单独进行更改。 |
对您的Active Directory用户执行测试同步
执行测试以比较本地Active Directory中的对象和Webex云中的对象。 测试允许您在运行完全或增量同步并将更改提交到云之前,查看将添加、修改或删除哪些对象。
在加入不同域用户的过程中,您必须决定是否保留或删除Webex云中可能已存在的用户对象,例如,来自试用的测试帐户。 通过目录连接器,目标是在Active Directory和Webex云之间实现精确匹配。
如果您在一个或多个林中有多个域,则必须对为每个Active Directory域安装的每个Cisco目录连接器实例执行此步骤。
准备工作
在使用目录连接器之前,Control Hub中可能已经有一些Webex应用程序用户。 在云中的用户中,有些可能与本地Active Directory对象匹配,并为服务分配许可证。 但有些可能是测试用户,您希望在执行同步时删除。 您必须在Active Directory和Control Hub之间创建完全匹配。
| 1 | 选择一种:
测试完成后,您将看到以下结果之一:
摘要包含有关对象匹配的信息:
测试通过将用户与域用户进行比较来识别用户。 如果用户属于当前域,应用程序可以识别他们。 在下一步中,必须决定是删除还是保留对象。 不匹配的对象被识别为Webex云中已存在,但不存在于本地Active Directory中。 | ||
| 2 | 查看测试结果,然后根据您使用的是单个域还是多个域选择选项:
| ||
| 3 | 在确认测试提示中,单击是以重新进行测试同步并查看仪表板以查看结果。 在测试中成功同步的所有帐户将显示在 Objects (已匹配对象)下。 如果云中的用户在Active Directory中没有使用相同电子邮件的相应用户,则该条目将列在 Users (已删除用户)下。 为了避免此删除标记,您可以在 Active Directory 中添加使用相同电子邮件地址的用户。 若要查看已同步项目的详细信息,请单击特定项目的相应标签页或已匹配对象。 若要保存摘要信息,请单击“将结果保存至文件”。 | ||
| 4 | 如果结果符合预期,请转至 ,然后单击 启用 进行手动同步并在此时进入手动模式。
|
下一步
对于您保留的任何不匹配的用户对象,您必须将其添加到Active Directory,以便在本地部署和云之间实现精确匹配。
选择同步类型:
首次将新用户同步到云端时,将Active Directory用户完全同步 到云端。 您从 ,然后同步当前域中的用户。
在运行完全同步后设置连接器计划 并 增量同步 ,如果要在初始同步后拾取更改。 建议使用此类型的同步来接收对Active Directory用户源所做的小更改。
默认情况下,增量同步设置为每30分钟(3.4版及更低版本)或每4小时(3.5版及更高版本)进行一次,但您可以更改此值。 在初次执行完全同步后,增量同步才会发生。
如果您有多个域,请在您安装的任何其他目录连接器上重复这些步骤。
注意事项
启用完全同步之前或更改同步参数时,请执行测试。 如果测试是由配置更改而引起的,可以在测试完成后保存设置。 如果您已手动添加用户,执行Active Directory同步可能会导致删除之前添加的用户。 您可以检查Directory Connector测试报告,以验证所有预期用户是否存在,然后再完全同步到云。
如果匹配的用户被标记为删除,并且您不确定如何继续,请参阅目录连接器的故障排除和修复中的故障排除信息以及如何联系支持人员。
已删除的用户将在云身份服务中保留7天,然后被永久删除。
将Active Directory用户完全同步到云端。
在您运行完全同步时,连接器服务将所有已过滤对象从 Active Directory (AD) 发送至云。 然后,连接器服务将您的 AD 条目更新到身份存储库中。 如果您创建了自动分配许可证模板,可以将其分配给新同步的用户。
如果您有多个域,则必须对为每个Active Directory域安装的每个Directory Connector实例执行此步骤。
Directory Connector会同步用户帐户状态-在Active Directory中,任何被标记为禁用的用户也会在云中显示为非活动状态。
准备工作
如果您希望Webex应用程序用户帐户在完全同步后和用户首次登录之前处于活动状态,则必须执行以下步骤以绕过电子邮件验证:
将单点登录与您的Webex组织集成。 请参阅
isco Webex服务和您组织的身份提供程序的单点登录
获取更多信息。使用Control Hub验证并可选择申领电子邮件地址中包含的域。 请参阅
、验证和声明域
。阻止自动电子邮件邀请,这样新用户就不会收到自动发送的Webex应用程序电子邮件邀请。(您可以执行自己的电子邮件活动。)
尚未登录的已激活用户在Control Hub中显示为已验证状态。 登录后,他们将显示为“活动”状态。 有关用户状态的详细信息,请参阅 Cisco Webex Control Hub 中的用户状态和操作。
启用同步时,Directory Connector 将要求您首先执行测试。 我们建议您在完全同步之前进行测试,以捕获任何潜在的错误。
您必须 自动分配许可证模板,然后才能将其用于从Active Directory同步的新Webex应用程序用户。
如果不使用自动分配许可证模板,新同步的用户将自动获得免费许可证。 他们将能够使用与具有免费帐户的用户相同的免费功能。
| 1 | 选择一种:
| ||
| 2 | 从Directory Connector,转至 Synchronization(同步),单击更多 | ||
| 3 | 确认开始同步。 对于您对Active Directory中的用户所做的任何更改(例如,显示名称),Control Hub会在您刷新用户视图时立即反映更改,但Webex应用程序会在您执行同步后最长72小时内反映更改。
| ||
| 4 | 如果要更新同步状态,请单击刷新。 (同步项目显示在云统计信息下。) | ||
| 5 | 有关错误的信息,请从操作工具栏中选择启动事件查看器以查看错误日志。 | ||
| 6 |
在完全同步完成后,Control Hub的设置页面上将目录同步状态从禁用更新为运行。
当所有数据都在本地和云之间匹配时,Directory Connector将从手动模式变为自动同步模式。
除非您集成单点登录、验证域,并可选择为您同步的电子邮件帐户申领域,并阻止自动电子邮件,否则Webex应用程序用户帐户将保持在“未验证”状态,直到用户首次登录Webex应用程序以确认其帐户。 有关如何将帐户同步为活动用户的指导,请参阅“开始之前”部分。
如果您有多个域,请在您安装的任何其他目录连接器上执行此步骤。 同步后,您添加的所有域上的用户将在Control Hub中列出。
如果您将单点登录与Webex集成并 电子邮件通知,电子邮件邀请不会发送给新同步的用户。
启用目录连接器后,您无法在Control Hub中手动添加用户。 启用后,用户管理从Cisco目录连接器执行,Active Directory是唯一的真实来源。
您同步的任何组都会显示在Control Hub中,您可以分配许可证模板,以便为该组中的用户分配许可证。
下一步
当您从Active Directory中删除用户时,在下次同步后会软删除该用户。 用户成为
Inactive但云身份配置文件保留7天(以便从意外删除中恢复)。当您在Active Directory中检查 帐户被禁用时,用户将
Inactive下次同步之后。 云身份配置文件不会在7天后删除,如果您想再次启用该用户。请注意增量同步中的以下例外情况(请按照上面的完整同步步骤操作):
如果是更新的头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
属性映射、基本DN、过滤器和头像设置上的配置更改需要完全同步。
在Control Hub中将Webex服务分配给目录同步用户
在完成从Cisco Directory Connector到Control Hub的完全用户同步后,您可以使用Control Hub一次向所有用户分配相同的Webex服务许可证,或者在已配置自动分配许可证模板的情况下向新用户添加更多许可证。 在此初始步骤后,您可以更改个别用户帐户。
在完成从Directory Connector输入到Control Hub的完全用户同步后,您可以使用Control Hub中的方法,通过批量CSV模板将Webex服务许可证全局分配给所有用户、单个用户,或者在已配置自动分配许可证模板的情况下自动分配给新用户。 在此初始步骤后,您可以更改个别用户帐户。
当您将许可证分配给Webex应用程序用户时,该用户默认会收到确认分配的电子邮件。 电子邮件由Control Hub中的通知服务发送。 如果您将单点登录(SSO)与Webex组织集成,如果您希望直接联系用户,还可以 这些自动电子邮件通知。
准备工作
您必须 自动分配许可证模板,然后才能将其用于从Active Directory同步的新Webex应用程序用户。
对您的Active Directory用户执行测试同步。
确认测试结果后,对您的Active Directory用户执行完全同步。
| 完全同步时,将在云端创建用户,不会添加服务分配,也不会发送激活电子邮件。 如果未阻止电子邮件,当您通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或通过成功的自动分配完成)向用户分配服务时,新用户会收到激活电子邮件。 |
| 1 | 从 https://admin.webex.com 中的客户视图,转至 ,单击 用户,选择 所有同步用户,然后单击 一步。 |
| 2 | 选择一个选项:
|
下一步
如果未阻止电子邮件,系统会向每个用户发送电子邮件,邀请他们加入和下载Webex。
如果您为所有用户选择了相同的Webex服务,之后您可以单独或批量更改分配的许可证。
运行增量同步
增量同步会查询 Active Directory,查找自上次同步以来发生的更改。 然后,此步骤会打包上述更改并发送至连接器服务。 更改包括用户属性修改以及添加或删除用户的时间。
此同步不会给服务器带来那么多负载,也不会像完全同步那样花费那么多时间。 完成初始完全同步后,我们建议将增量选项用于后续同步。
准备工作
您必须 自动分配许可证模板,然后才能将其用于从Active Directory同步的新Webex应用程序用户。
请注意增量同步不支持的以下例外情况(请遵循 将Active Directory用户完全同步到云端):
如果是更新的头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
对于属性映射、基本DN、过滤器和头像设置的新配置更改,增量同步将不起作用,这些都需要完全同步。
| 1 | 从 Directory Connector 中,单击控制板。
| ||
| 2 | 从 操作中,单击同步模式>启用同步 (如果尚未启用)。 默认情况下,增量同步设置为每30分钟(3.4版及更低版本)或每4小时(3.5版及更高版本)进行一次,但您可以更改此值。 在初次执行完全同步后,增量同步才会发生。 当新的增量时间间隔到达时,程序会根据上一个时间标识检查更改。 | ||
| 3 | 从操作中,单击立即同步 > 增量。 对于您对Active Directory中的用户所做的任何更改(例如,显示名称),Control Hub会在您刷新用户视图时立即反映更改,但Webex应用程序会在您执行同步后的72小时内反映更改。
| ||
| 4 | 有关错误的信息,请从操作工具栏中单击启动事件查看器以查看错误日志。 |
下一步
如果您有多个域,请对安装的其他目录连接器实例执行此步骤。
恢复意外删除的用户
Directory Connector具有制衡机制,以防止意外删除用户。 令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器,这会在同步到云端时删除一些用户。 软删除功能可以帮助您从这些事故中恢复,并在Control Hub中重新建立用户帐户。
默认情况下,该功能对所有组织启用。 例如,当用户在云中删除时,由于从目录连接器同步后出现不匹配的对象问题,可以恢复用户。 如果您看到不匹配的对象通知或注意到用户被删除,您可以在快速操作的情况下恢复这些对象。
| 在Active Directory中删除相应的帐户时,用户会在Control Hub中标记为“非活动”。 后台云服务最多可保留用户7天。 在此期间,您仍然可以使用Cisco目录连接器来恢复用户。 我们建议您尽快恢复这些用户。 在Active Directory中禁用的用户也会在Control Hub中标记为“非活动”,但用户帐户在7天后不会被删除。 |
| 1 | |
| 2 | 转至 用户(Users)并确认特定用户帐户是否处于非活动状态或非公开状态。 有关更多信息,请参阅Control Hub中的用户状态和操作。 |
| 3 | 如果用户在Control Hub中被删除,或者您注意到用户处于非活动状态,请转至Active Directory,添加缺失的用户帐户,然后在Directory Connector中执行测试同步。 Directory Connector的目标是在Active Directory和云端的用户信息之间创建精确匹配。 |
| 4 | 执行完全同步以将暂时删除的用户帐户重新同步到Control Hub。 用户将被恢复并转至原始状态,包括其帐户状态和服务分配。 |
下一步
返回Control Hub,转至 ,并确认之前删除的用户帐户显示在用户列表中。
在软删除后永久删除用户
执行测试后,您可以选择永久删除在下次同步时被软删除的用户。
| 1 | 测试完成后,选择软删除对象。 |
| 2 | 选中要删除的用户旁的复选框。 |
| 3 | 选择完成。 |
下一步
在下次同步时,您选中的用户将被永久删除。
更改Webex应用程序电子邮件地址
如果您要更改用户电子邮件地址并且您的组织使用Directory Connector,您可以在Active Directory中更改这些电子邮件地址。 此过程介绍了如何更改单个域的Webex应用程序电子邮件地址以及更改域的过程。
| 如果您只想更改某个用户的电子邮件或某些值,请勿从Active Directory中删除该用户,然后使用相同的电子邮件重新创建新用户。 云会将此操作解释为新用户帐户,用户的空间和云中的其他数据将丢失。 |
要在不更改域的情况下更改用户电子邮件地址:
恢复目录连接器上的同步。
下次同步后,更改将显示在Control Hub的用户列表中,以及缓存刷新后Webex应用程序中的用户。
采用此方法不会造成数据或空间丢失。 第一次同步后,用户的唯一标识符会在云中设置。 所有后续同步均基于该标识符。
在使用目录连接器的多域部署中,要在更改域的同时更改用户电子邮件地址(请考虑example1.com旧域和example2.com新域):
在Directory Connector上,恢复example2.com的同步
在继续操作前,请验证user1@example2.com帐户是否同步到Control Hub。 我们建议您指示用户验证Webex应用程序中的电子邮件更改,并保留所有数据(空间、消息、会议、文件等)。
使用此方法不会丢失数据或空间,但在新用户帐户中,您必须确保从旧用户帐户保留映射到云uid属性的Active Directory属性。 如果您更改Active Directory值,新帐户不会保留来自旧帐户的数据。
验证电子邮件地址更改且数据完好无损后,删除example1.com上的旧用户帐户,然后使用Directory Connector恢复example1.com的同步。
此时,您可以安全地更新user1@example2.com的新Active Directory域中的电子邮件地址。
Directory Connector不限制电子邮件域更改。 但是,当用户重新同步到云时,用户状态取决于是否在您的组织中验证了新域。 如果您的组织中未验证域,用户的状态会在完全同步后更改为“待批准”。 有关更多信息,请参阅管理您的域。
如果您的组织不使用目录连接器,您可以通过帐户设置页面更改您的Webex应用程序电子邮件地址。 请参阅更改帐户的电子邮件地址,了解用户可遵循的更改电子邮件的步骤。
更改 Active Directory 域
您可以使用此过程创建新的域和电子邮件地址。 它们与云中的身份服务同步。
| 1 | 设置新的 Active Directory (AD) 域。 | ||
| 2 | 禁用所有连接器的同步。 | ||
| 3 | 卸载所有连接器。 | ||
| 4 |
在提交案例时,请确保请求删除域配置和组织中的所有同步属性。
| ||
| 5 | 解决案例后: 在进行实际同步之前,请使用目录连接器执行测试运行。 |
域声明
如果您为组织申领电子邮件域,从而在付费客户组织而不是自由消费者组织中创建任何侧向加载的帐户,则会发生域申领。 您只能通过支持案例进行域声明(请参阅以下链接了解更多信息)。
如果目录连接器处于活动状态并且域已声明,则不会在客户组织或自由消费者组织中创建侧向加载的帐户。 只有Directory Connector可以从Active Directory为组织预配置帐户。 存储在 Active Directory 上的信息是原始源。 如果您尝试侧向加载帐户,受邀用户将收到错误提示。 将受邀用户添加到Webex应用程序空间的唯一方法是先使用目录连接器将帐户预配置到Control Hub。
在目录同步组织中转换免费的Webex应用程序用户
您只能使用Webex应用程序目录中的唯一电子邮件地址。 如果您的用户已注册免费版Webex应用程序,其帐户将存在于免费消费者组织中。 若要通过 Directory Connector 管理此组织内的用户,请在开启 Directory Connector 之前将他们迁移(转换)至“客户”组织。 然后使用确切的电子邮件地址将用户添加到Active Directory,然后同步到云端。
如果您未在激活前转换帐户,请关闭 Directory Connector 以对帐户进行转换。
如果您在启用目录同步的情况下尝试转换用户,将显示无法转换的错误消息<email address="">
。 为避免该问题,可使用以下步骤作为变通方法。
| 某些已声明的用户可能会显示 如果您不添加这些用户,它们将在您同步到云后被删除。 |
| 1 | 从 Directory Connector 中禁用目录同步功能。 | ||
| 2 | 按照 Hub中的转换未授权用户 程序将用户从免费消费者组织转换为企业组织。 此步骤将用户添加到您的组织,帐户将显示在Control Hub中。 Directory Connector使Active Directory成为用户帐户的单一真实来源,目标是在Active Directory和Control Hub之间实现精确匹配。 在重新启用同步前,确保所有最近转换的用户在 Active Directory 中有匹配的用户。 可以使用测试同步以确保没有剩余的不匹配用户。 | ||
| 3 | 在Directory Connector上执行测试同步。 测试完成后,查看“添加对象”标签页。 验证是否未删除您已转换的任何用户。
| ||
| 4 | 如果您确定下一次同步将不会删除任何帐户,请从 Directory Connector 重新启用目录同步。 |
如果您没有验证域,转换的用户帐户不会自动激活。 例如,如果打开自动分配许可证模板,然后打开目录连接器而不进行域验证,则转换后的用户在确认其电子邮件地址之前将在云后端处于非活动状态。
侧向加载的Webex应用程序用户帐户
当您邀请其他用户加入Webex应用程序中的空间时,如果受邀用户没有Webex应用程序帐户,将为其创建帐户(“侧向加载”)。 缺省情况下,以此方式创建的帐户将添加至自由消费者组织中。
如果要使用Directory Connector管理侧向加载的帐户,则必须转换帐户。
在目录同步后更改Webex应用程序用户名格式
默认情况下,Directory Connector会将Active Directory中的displayName属性映射到云中的displayName属性。
在执行目录同步之后,您可能会发现用户名以 <lastName, firstName=""> 格式显示。
此用户名可能会出现在 displayName Active Directory中的属性就是这样配置的。 当属性映射到 displayName 在云中,名称以格式<lastName, firstName=""> 显示在Control Hub中。
若要更改格式,请在 Directory Connector 属性映射屏幕中进行如下操作: 映射Active Directory属性 givenName sn(或 sn givenName)至 displayName 在Cisco云属性名称中。
或者,映射属性 sn givenName 到 displayName:
如果要将自己的自定义属性表达式映射到 displayName 。
例如,输入 givenName + "" + sn (名字、空格、姓氏)作为表达式。 这会将Active Directory中的两个属性映射到 displayName 在云中。
允许用户在Webex Meetings中更改显示名称
您可以取消映射 displayName 属性,从目录连接器中同步到云,如果您希望允许用户编辑其首选的显示名称。 用户可以输入要在Webex会议期间显示的显示名称,而不是姓名。 管理员还可以在Control Hub中手动更改用户的显示名称。
| 1 | 在 Directory Connector 中,单击配置,然后选择用户属性映射。 |
| 2 | 在 Cisco云属性名称下选择 displayName。 |
| 3 | 选择 同步该属性。 |
下一步
用户现在可以从Webex站点 显示名称。
升级至最新软件版本
为了使您的部署保持合规性并获得最新的功能、功能、缺陷修复和安全性增强,您必须始终升级到最新版本的Directory Connector。 如果您不升级到可用的最新版本,可能会遇到问题,例如目录连接器无法再正确同步,或使用的版本不支持强制 TLS 1.2要求。
Directory Connector 在有可用的新版本时会自动通知您。 务必升级到最新的版本来避免问题。 在 Windows 任务栏中您也会看到通知。
| 虽然您可以手动安装连接器软件更新,但我们建议您按照设置自动升级中的步骤操作,让应用程序自动管理升级。 |
| 1 | 单击Windows任务栏中的通知,或右键单击Windows任务栏中的Directory Connector图标以开始升级过程。 |
| 2 | 按说明完成升级操作。 |
| 3 | 重新启动连接器并使用管理员凭证登录。 |
| 4 | 验证软件的版本号 。 |
下一步
对于Directory Connector的全新安装,您可以 下载zip文件 ,然后按照本指南中的安装步骤进行操作。
配置 Directory Connector 的常规设置
此程序用于配置常规设置,例如运行Directory Connector的服务器的名称、日志级别、自动升级以及域控制器的首选设置。 连接器的名称显示在控制板的连接器部分中,其中还包含正在运行的任何其他连接器。
| 1 | 在 Directory Connector 中,转至配置,然后单击常规。 | ||
| 2 | 在连接器名称字段中输入连接器名称。 此字段只显示当前运行连接器的计算机的名称。 | ||
| 3 | 从下拉框中选择日志级别。 日志级别的缺省设置为“参考”。 可用的日志级别包括:
| ||
| 4 | 选择首选域控制器以设置域控制器同步身份的顺序。 将按照从上到下的顺序访问域控制器。 如果顶级控制器不可用,则选择列表中的第二个控制器。 如果列表中没有控制器,您可以访问主控制器。 | ||
| 5 | 如果您希望自动升级,请选中 升级到新的Cisco Directory Connector版本 。 使Cisco目录连接器软件保持最新版本始终是重要的。 我们建议您选中此设置,以便在软件可用时以无提示方式安装自动升级软件。 | ||
| 6 | 检查基于SSL的LDAP 以使用安全的LDAP (LDAPS)作为连接协议。
LDAP(轻量级目录应用程序协议)和安全LDAP (LDAPS)是基础结构中应用程序与域控制器之间使用的连接协议。 LDAPS通信已加密且安全。 |
配置连接器策略
您可以设置同步期间允许的最大删除次数。 运行同步不会删除本地部署 Active Directory 中的对象。 所有对象都只会从云端删除。
例如,您设置 1 作为删除阈值触发值。 在执行完全或增量同步时,如果您要删除的用户数大于该设置,Directory Connector 会显示警告。 如果您单击 忽略阈值,可以成功开始完全或增量同步,但是在您下次运行该策略时将再次看到此忽略提示。
| 1 | 在 Directory Connector 中,单击配置,然后选择策略。 | ||
| 2 | 如需添加阈值触发器,请勾选“启用删除阈值触发器”复选框。 选择该选项后,删除次数超过该阈值时会触发警报。 当删除计数超过您定义的值时,同步失败。
| ||
| 3 | 输入您要设置的最大删除次数。 缺省值为 20。
| ||
| 4 | 单击 Apply(应用)。 |
设置连接器的安排
在Active Directory中设置同步定时。 为了实现高可用性 (HA),使用了故障转移。 如果有一个连接器宕机,我们会在预定义的间隔过后,切换到另一个待机连接器。
| 1 | 在Directory Connector中,单击 Configuration,然后选择Schedule。 |
| 2 | 以分钟为单位指定增量同步间隔。 默认情况下,增量同步设置为每30分钟执行一次。 完全增量同步要在首次执行完全同步后才会发生。 |
| 3 | 如果您希望更改发送报告的频率,请更改发送报告间隔时间值。 |
| 4 | 勾选启用完全同步计划以指定想要执行完全同步的日期和时间。 |
| 5 | 以分钟为单位指定故障转移间隔。 |
| 6 | 单击 Apply(应用)。 |
多个域场景
多个域基于域优先级。 对于在不同域具有相同键值的对象,在同步后,来自高优先级域的数据将覆盖来自低优先级域的数据。
具有相同键值的对象会链接到数据库中的同一条记录。
“用户”的键值是电子邮件地址;“组”的键值是组名。
多域使用示例
此示例假设某组织有两个域 - example1.com 和 example2.com,前者优先级高于后者。
添加 user1(电子邮件: user@example1.com)到 example1.com 的 Active Directory。
添加 group1(组名: Test)到 example1.com 的 Active Directory。
添加 user2(电子邮件: user@example2.com)到 example2.com 的 Active Directory。
添加 group2(组名: Test)到 example2.com 的 Active Directory。
- 在 example1.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 中,而 user1 和 group1 没有。https://admin.webex.com
如果您为 example1.com 执行全面或增量同步,user1 和 group1 会同步。 而且,user2 和 group2 会被 user1 和 group1 的信息覆盖。
User1 作为数据库中的相同记录链接到 user2;group1 作为数据库中的相同记录链接到 group2。
- 在 example1.com 和 example2.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 中,而 user1 和 group1 没有。https://admin.webex.com
请考虑这些步骤:
- 在 example1.com 的 Active Directory 上删除 user1 和 group1。
- 为 example1.com 执行全面或增量同步。
结果: 在 中用户信息无变化。https://admin.webex.com User2 没有链接到 user1,而 group2 没有链接到 group1。
- 为 example2.com 执行增量同步。
结果: 在 中用户信息无变化。https://admin.webex.com
- 为 example2.com 执行全面同步。
结果: user2 和 group2 的信息在 中列出。https://admin.webex.com
同步新域并保留现有域
如果要同步新的域(B),同时在另一个现有域(A)上保持已同步的用户数据,请确保在受支持的Windows服务器上安装用于域(B)同步的目录连接器。 初始设置后,连接器绑定到新域,域(A)下的用户信息不受影响。
每个域都必须有自己的活动连接器。 使用以下设置考虑两个域: 域A具有连接器(ca1)和(ca2)(本地高可用性(HA);域B具有连接器(cb1)。(ca1)和(ca2)服务域A。在这种情况下,一个连接器处于活动状态,另一个处于待机状态(HA)。 该设计使域保持同步,因为一个连接器始终处于活动状态。 因此,cb1是域B的活动连接器,因为域A已经有一个活动连接器(ca1或ca2)。
设置域优先级
使用此过程来更改 Active Directory 域的优先级。 域优先级让您可以确定主域、备用域,等等。 如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织,此设置会很有帮助。
如果在 Directory Connector 中只列出了一个域,则不要使用此过程。 如果您尝试进行此配置,连接器会显示一条消息,说明不需要域优先级。
准备工作
为避免错误,请安装或升级到最新版本的Cisco目录连接器。 您必须从 下载它。https://admin.webex.com
| 1 | 在Cisco目录连接器中,单击控制板。 | ||
| 2 | 转至操作,然后单击设置域优先级。 | ||
| 3 | 高亮显示列表中的一个域,单击向上或向下更改此域的优先级,然后单击保存保存更改。
|
切换域
使用此程序将Cisco目录连接器重新绑定到不同的域。
准备工作
在切换域之前,确保没有同步任务在运行。
为避免错误,请安装或升级到最新版本的Cisco目录连接器。 您必须从 Control Hub 下载。
| 1 | 在Cisco目录连接器中,单击控制板。 |
| 2 | 转至操作,然后单击切换域。 |
| 3 | 阅读警告后,如果您理解此更改对部署的影响,而且您仍然确定要更改,请单击是。 如果切换域,您将从当前的Cisco目录连接器注销,连接器中的其他域将取消注册,并且该计算机上的连接器信息将被删除。 |
| 4 | 重新登录到Cisco目录连接器并重新绑定该域。 |
关闭目录同步
如果您需要从目录连接器停止同步,可以从Control Hub暂时将其关闭。
| 1 | 从 https://admin.webex.com 中的客户视图,转至 ,滚动至 同步,然后选择一项:
|
| 2 | 阅读提示后,单击关闭(Turn Off )。 同步停止,直到您从Directory Connector重新启用它。 |
删除用户属性映射
使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。 删除属性映射后,属性值将从云中删除,不再与Webex同步。 然后可以手动编辑这些值。
| 1 | 从 Directory Connector 中,单击控制板。 |
| 2 | 转至 “操作”,然后单击 。 |
| 3 | 选择要从 名称 列表中删除的映射。 |
| 4 | 在 受影响的用户范围下,选择以下选项之一:
|
| 5 | 单击 Apply(应用)。 |
管理档案照片
使用Directory Connector更新用户档案照片或删除空白的用户档案照片。
| 1 | 从 Directory Connector 中,单击控制板。 |
| 2 | 转至 “操作”,然后单击 。 |
| 3 | 在 Actions(操作)下,选择以下选项之一:
|
| 4 | 单击 Apply(应用)。 |
卸载并停用Directory Connector
卸载 Directory Connector 实例后,必须取消注册它。 如果面临以下任何情况,都应该彻底删除 Directory Connector:
您不想再使用目录同步。
您不想使用多个 Directory Connector(高可用性)中的某一个。
您想要更改域并安装其他连接器。
准备工作
您可能设置了多个目录连接器实例来实现高可用性(HA)或多域同步。 如果您要卸载唯一的或最后剩下的 Directory Connector 实例,请禁用同步。
在卸载Directory Connector之前,请保存并关闭所有重要工作。
| 1 | 在您的 Windows 计算机上,转至“控制面板”,然后单击程序和功能。 |
| 2 | 从程序列表中,单击 Directory Connector,选择Uninstall,然后按照提示操作。 您可能需要重启系统来完成卸载。 |
| 3 | 从 https://admin.webex.com 中的客户视图,转至 ,滚动到 同步,单击 |
| 4 | 阅读提示后,单击停用。 用户帐户将不会再同步,除非在高可用性 (HA) 部署中还有其他 Directory Connector。 |
运行诊断工具
您可以使用内置诊断工具对目录连接器部署进行故障诊断。 此工具作为目录连接器3.4及更高版本的一部分安装。
如同步无法正常工作,可能发生配置或网络错误。 此工具能够测试您的 LDAP 连接,因此您可以在联系支持人员之前自行诊断错误。 如果工具返回任何错误,您可以将详细的日志结果发送给支持人员。
要运行Active Directory域服务的测试:
要运行Active Directory轻量级目录服务的测试:
要运行轻量级目录访问协议(LDAP)的测试:
Directory Connector的故障诊断和修复
您可能会在Directory Connector中遇到错误消息或其他问题。 此外,在Directory Connector同步用户信息后,该连接器可能会向您发送一封电子邮件报告,其中会列出同步中的任何问题。 请参考以下章节,了解可能出现的问题、可能的原因以及您可以在联系支持人员之前尝试的建议解决方案。
安装
Directory Connector 停止运行
您收到警告电子邮件,通知您Directory Connector未正常工作。
Directory Connector可能未正确安装。
Directory Connector可能未运行。
网络可能不可用。
请尝试以下操作:
打开 。 找到 Directory Connector。 如果没有,请从Control Hub下载并安装最新版本。
打开“服务”,找到 Cisco DirSync Service。 确保其状态显示为“已启动”。 如果该服务已停止,请单击右键并选择“启动”以重启该服务。
确保安装Directory Connector的服务器可以访问Internet。
重新安装错误
问题—如果您在卸载旧连接器后立即安装新连接器,可能会看到错误消息。
可能原因—在Windows Server 2012中,卸载客户端需要时间才能从服务列表中删除服务帐户。
解决方案—一段时间后,请重试安装。
登录
SSO登录期间Directory Connector崩溃
问题
从SSO登录页面输入电子邮件地址后,Directory Connector可能会崩溃。
解决方案
请尝试以下操作:
执行以下步骤以配置新的组策略:
转至域控制器并打开组策略管理(gpedit。msc)。
右键单击特定的OU或域,然后选择在此域中创建GPO,然后在此处链接
为策略命名,然后右键单击并选择编辑。
执行以下步骤以在机器级别更改策略:
转至 ,右键单击注册表,选择新建,然后注册表项。
对于 密钥路径,输入或导航至 HKEY_local_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main。
输入
Disable Script Debugger输入“ 值”,然后输入no用于 值数据。设置应与此屏幕截图匹配:
执行以下步骤以在用户级别更改策略:
转至 ,右键单击注册表,选择新建,然后注册表项。
对于 Key Path,输入或导航至 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main。
输入
Disable Script Debugger输入“ 值”,然后输入no用于 值数据。设置应与此屏幕截图匹配:
| 更改在您运行后生效 |
Cisco DirSync服务连接器无法注册
问题
登录失败,将显示以下消息: “无法注册Cisco DirSync Service Connector。”
解决方案
安装Directory Connector的Windows系统必须是Active Directory的成员。
没有出现登录页面
问题
您已打开Directory Connector,但未显示登录页面。
解决方案
请尝试以下步骤:
在Internet Explorer中,转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。 在Chrome和Firefox等其他浏览器中尝试链接。
如果Internet Explorer无法访问该链接,但其他浏览器可以访问,请选中Internet Explorer设置并选中TLS 1.1和1.2复选框。 (使用在Internet Explorer中启用TLS 程序。)
出现登录提示
问题
出现提示,要求您输入用户名和密码以通过身份验证。
可能原因
Directory Connector使用登录帐户以无提示方式完成NTLM安全验证。 如果身份验证失败,将弹出对话框,询问身份验证用户名和密码。
解决方案
当您看到登录弹出窗口时,您需要提供具有正确身份验证的有效帐户才能通过安全性设置。
无法连接远程服务器
无法注册连接器
问题
您会看到错误消息“无法注册连接器”。 出现一般异常。 ”
可能原因
在大多数情况下,问题是因为目录连接器没有连接到LDAP根上下文的权限。
解决方案
请尝试以下操作:
运行命令提示符(cmd),然后输入 dp.exe。
单击 ,选择 当前登录用户的绑定,然后单击 。
单击 ,输入 <UNK> =arbonneintl,DC=ad 作为BaseDN,然后单击。
如果问题仍然存在,请提供支持以提交案例。
同步
头像未同步
问题
Cisco目录连接器将用户AD数据同步到Webex云。 但没有成功同步头像数据。
可能原因
如果您重用了现有的头像服务器并且用户头像已同步,则本地缓存会捕获这些头像,并避免再次重新发送以节省带宽。
解决方案
按照以下步骤删除本地缓存:
转至C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
删除DirSyncPluginAvatar.dll-cache.bin。
从Cisco目录连接器重新运行头像同步。
用户电子邮件帐户冲突
问题
同步结果可能显示用户电子邮件帐户冲突。
如果用户试用免费版本的Webex应用程序,他们的电子邮件地址将驻留在免费消费者组织中。
如果用户电子邮件曾在其他组织中同步。
如果用户电子邮件存在于属于组织的多个域中。
解决方案
请尝试以下操作:
如果您尝试申领用户,请执行以下步骤:
确保您已在Control Hub中 验域。
临时禁用Cisco目录连接器。
使用Control Hub中的“声明用户”选项声明自由消费者组织中可能存在的任何帐户。 有关更多信息,请参阅将用户声明到您的组织(转换用户)。
在Cisco目录连接器中进行测试,然后重新启用目录同步
对于最后一种情况,请仔细检查Active Directory源中的用户数据。
已转换用户标记为“非活动”
问题
在目录同步环境中,您将免费(消费者组织)用户转换为企业组织,但转换后的用户无法登录到Webex应用程序。
可能原因
当自由用户转换为企业组织时,作为安全合规措施,该用户将在30天内标记为非活动状态。 在此期间,用户无法登录Webex应用程序,并在30天期限结束时标记为删除。 出现这种情况的原因是免费用户信息不在Active Directory中。
解决方案
如果您不希望删除用户帐户,则必须执行操作。 要解决此问题,请在本地Active Directory中创建与转换后的免费用户帐户对应的用户帐户。 然后,从Cisco目录连接器执行同步。 然后,用户可以再次登录Webex应用程序,帐户不会被删除。
增量同步失败
问题
增量同步失败。
在以下情况下,Windows Server 2008 R2上可能会出现该问题:
您支持增量值更新。
您使用引用链接值属性的过滤器。
该属性的结果值在上次执行完全同步后进行更新。
解决方案
Windows Server 2008 R2存在一个与该问题相关的错误。 该错误已在2012 R2及之后的版本中修复。 我们建议您将Windows Server升级到至少2012 R2。
属性的值无效
问题
对于 [user dn (distinguished name)],属性 [attribute name] 有以下无效值 [attribute value]。
可能原因
对于 CN=b,OU=Employees,OU=C Users,DC=c,DC=com,属性 [telephone number] 有以下无效值: +。 此属性必须包含至少一个数字。
解决方案
此用户的某个属性的值无效。 根据警告消息中的描述更正其值。 然后再运行一次同步。
要删除的匹配用户
问题
匹配的用户将被标记为删除。
当执行测试同步以检查Active Directory和云之间的数据时,您可能会在两者中看到相同的电子邮件地址。 但是,用户被标记为要删除的对象。
解决方案
选择适当的修复方法:
如果可以删除用户并在之后重做许可证,您可以使用Directory Connector进行修复。 执行同步以删除用户,然后执行另一次同步以将用户从本地AD同步到云。
如果您无法删除并重新创建用户帐户,请向支持人员提交案例。
缺少属性
问题
添加内部条目[user dn (distinguished name)]时所需的属性[attribute_name]。 在所有必需属性都有值之前,该条目不会在Control Hub中创建。
可能原因
必需属性的 email address 缺失。 添加内部条目[CN=Sales User,OU= ,OU=K,DC=k,DC=local]时,除非所有必需属性都具有值,否则不会在Control Hub中创建该条目。
解决方案
用户[user_email_address]缺少一个必需属性。 请为该用户提供必需值。
嵌套组不会同步
问题
嵌套Active Directory组中的用户无法正确同步到云。
可能原因
将使用包含子组和父组的过滤器,不支持该过滤器。 例如: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
解决方案
您必须重新配置同步组的过滤器。 例如: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
用户命名冲突
问题
对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言, [用户电子邮件地址]和用户类型[user_type]。
可能原因
Control Hub中已存在使用该电子邮件地址的用户。
解决方案
使用与通过Control Hub注册的帐户相同的电子邮件地址在Active Directory中创建用户。
Control Hub
Control Hub中缺少用户列表
问题
如果您的Webex组织有超过1000个同步用户,您可能无法在Control Hub中看到用户列表。
解决方案
您可以使用搜索功能查找用户帐户。 在Control Hub中,转至 用户(Users),单击搜索 
,然后输入搜索条件以查找特定用户。
组不会同步到Control Hub
问题
目录组中的用户无法正确同步到Control Hub。
可能原因
该组未标记为 isCriticalSystemObject 在Active Directory中。
解决方案
确保该属性 isCriticalSystemObject 设置为 TRUE 在Active Directory中。
启用 Directory Connector 故障诊断
您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。 故障诊断让您能够捕捉网络流量信息,并将其保存至文件。
以下日志文件: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 | 运行 | ||
| 2 | 重启服务。 请参阅如何启动服务获取指导。 | ||
| 3 | 在Directory Connector中,单击仪表板。 | ||
| 4 | 转至 “操作”,然后单击 。 | ||
| 5 | 启用故障诊断后,重复执行导致错误的操作,这样将捕获流量数据,以便进行检查。 | ||
| 6 | 检查日志文件: 如果文件空白,请确保帐户有权访问 AD DS 或 AD LDS。
| ||
| 7 | 如有必要,向支持人员发送日志文件以获取协助。 | ||
| 8 | 诊断完成后,请禁用故障诊断功能。 |
启动事件查看器
若要查看完全或增量同步期间发生的事件,请启动“事件查看器”。 它显示管理事件和错误日志的摘要。
| 1 | 从Directory Connector转至 Dashboard,然后单击 。 “事件属性”对话将显示同步事件详细信息与错误详细信息。 |
| 2 | 从活动查看器转至 。
|
| 3 | 在 操作下,单击 将所有事件另存为以单个事件文件(*。evtx)或xml或csv等其他格式导出所有日志。 |
下一步
如果您需要提交案例,请联系支持人员,描述连接器的问题,然后将活动文件附加到您的案例中。
| 事件日志会捕捉用户操作。 要获取有关管理网络流量的帮助,请在连接器上启用故障诊断。 |
在Internet Explorer中启用TLS
如果您切换了单点登录(SSO)提供商,您可能会看到来自Cisco目录连接器的以下错误消息:
登录服务时发生错误
此页面上的脚本发生错误
如果您看到这些错误,必须在浏览器中启用TLS设置。
| 1 | 打开Internet Explorer,然后选择工具。 现在选中要启用的TLS/SSL版本的复选框,单击确定关闭浏览器,然后再次打开它。 |
| 2 | 单击 选项 ,转至,滚动至。 |
| 3 | 选中使用TLS 1.1 和 使用TLS 1.2复选框,然后单击 确定。
|
| 4 | 重启系统以使更改生效。 |
服务帐户登录问题故障诊断
如果您无法登录到Cisco目录连接器或无法运行同步,请在联系支持人员之前使用以下步骤尝试解决问题。
| 1 | 尝试在 Web 浏览器中访问 。https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL | ||
| 2 | 根据结果选择一项:
| ||
| 3 | 至少,确保为Cisco DirSync服务(可以在Windows服务中找到)配置的帐户具有允许其访问头像数据和AD数据的权限级别。 默认情况下,该服务利用Windows登录帐户凭证和身份验证。 |
在Windows注册表中检查SafeDllSearchMode
默认情况下,Windows注册表中设置了安全动态链接库(DLL)搜索模式,并将用户的当前目录置于后续的DLL搜索顺序中。 如果该模式被禁用,攻击者可能会将恶意DLL(名称与系统文件夹中的引用DLL文件相同)放入应用程序的当前工作目录中。
通常情况下,SafeDllSearchMode已启用,但可使用此程序再次检查注册表设置。
准备工作
| 对Windows注册表进行更改时应非常谨慎。 我们建议您在使用这些步骤之前备份注册表。 |
| 1 | 在Windows搜索或运行窗口中,输入 ,然后按 Enter。 |
| 2 | 转至 HKEY_本地机_\System\CurrentControlSet\Control\Session Manager。 |
| 3 | 选择一种:
|
有关详细信息,请参阅 链接库搜索顺序。
Cisco Directory连接器概述
目录连接器概述
Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件,并将其安装到本地计算机上。
使用Directory Connector,您可以在Active Directory中维护您的用户帐户和数据,因此Active Directory成为唯一的真相来源。当您在内部进行更改时,它会复制到云。
请参阅表中所有的功能、描述和优势:
| 功能 | 描述和优势 |
|---|---|
| 简单易用的控制板 | 该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。 |
| 在同步到云之前进行干燥 | 在云中实施这些更改之前,先对目录进行干燥。之后,运行报告以查看要执行的变更是否与预期一致。 |
| 完全同步和增量同步 | 同步整个目录。或者,仅同步增量变更,从而提高处理能力并缩短同步时间。 |
|
同步多个域(单森林或多森林) |
Directory Connector支持单个森林或多个森林下的多个域(无需使用AD LDS)。对于拥有多个Active Directory域的企业,您可以为每个域安装Directory Connector,将每个域绑定到您的组织,然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态,允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。 |
| 按计划同步 | 按天、小时和分钟设置同步安排。 |
| 轻量级目录访问协议 (LDAP) 过滤器 | 定义 LDAP 搜索条件并实现高效的导入。 |
| 活动目录属性映射 | 将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性,并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据,例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据(职务、部门、经理等)。 |
|
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录 |
如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务,或者您拥有内部Room设备,此功能可让用户从Cisco Webex Calling(云PSTN)电话或Room资源搜索企业联系人目录。
|
| 事件查看器 | 使用事件查看器可确定是否存在同步问题。 |
| 诊断工具和故障排除 | 您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确,您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接,以便在联系支持人员之前自行诊断错误。 在Directory Connector中启用故障排除后,将编写日志,可发送给技术支持。 |
| 自动升级 | 安装 Directory Connector 后,您会在软件有新版本时收到通知。您可以设置自动升级,以便在发布新版本时始终使用最新版本的软件。 |
| 高可用性 | 配置多个连接器,以便在主连接器或机器主机出现宕机情况时提供备用。 |
Directory Connector 分为以下三个部分:
-
Control Hub 是一个单一界面,可让您管理Webex组织的所有方面:如果您希望用户通过企业身份提供商进行身份验证,并且不想为Webex应用程序发送电子邮件邀请,则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
-
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域,您可以为要同步的每个域安装一个软件实例。使用该软件,您可以运行同步以将Active Directory用户帐户带入Webex,查看和监控同步状态,并配置Directory Connector服务。
-
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。
请参考此图了解Directory Connector架构:
为Directory Connector准备您的环境
目录连接器的要求
Windows和Active Directory要求
您可以在这些受支持的Windows服务器上安装Directory Connector:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
要解决Cookie问题,我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。
以下的Active Directory服务支持Directory Connector:
-
2016年活动目录
(在Windows Server 2019上使用最新版本的Active Directory时,支持目录连接器)
-
活动目录2012
-
活动目录2008 R2
-
活动目录2008
请注意以下附加要求:
-
目录连接器需要TLS1.2。您必须安装以下内容:
-
.NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题,请使用 使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
-
.NET Framework v.4.5(TLS1.2必需)
-
-
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。(请参阅什么是 Active Directory 功能级别?获取更多信息。)
硬件要求
您必须在符合以下最低硬件要求的计算机上安装Directory Connector:
-
8 GB RAM
-
50 GB 存储
-
CPU 没有最低要求
网络要求
如果您的网络是防火墙的幕后,请确保您的系统有HTTPS(端口443)访问互联网。
Webex组织要求
-
要从Control Hub访问Directory Connector软件,您需要试用Webex组织或任何付费订阅。
-
(可选)如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态,我们建议您执行以下操作:
-
将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成 。
-
抑制自动电子邮件邀请,这样新用户就不会收到自动电子邮件邀请,您可以进行自己的电子邮件活动。(此功能需要SSO集成。)
有关详细信息,请参阅控制中心中的用户状态和操作。
安装要求
-
对于多个域环境(单森林或多森林),必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B),同时还要保留其他现有域 (A) 上的已同步用户数据,请确保您有受支持的独立 Windows Server 来安装 Directory Connector,以进行域 (B) 同步。
-
要登录连接器,我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。
此本地用户必须拥有该Windows计算机上的权限,才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。(此信息也适用于虚拟机登录。)
-
登录连接器时,登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下,连接器使用本地系统帐户访问Active Directory。但是,您可以使用Windows服务配置其他帐户以访问Active Directory。(此信息也适用于虚拟机登录。)
-
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用:在Windows注册表中检查SafeDllSearchMode。
-
如果您在单个森林上使用多个AD LDS域,我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。
多个域要求
在 Cisco目录连接器部署任务流中跟踪任务之前,如果您要将多个域的Active Directory信息同步到云中,请记住以下要求和建议:
-
每个域需要单独的Directory Connector实例。
-
Directory Connector软件必须运行在其将同步的同一域上的主机。
-
我们建议您在Control Hub中验证或声明您的域。(参见添加、验证和申请域。)
-
如果要同步超过50个域,您必须打开标签 才能让您的组织移动到大型组织列表。
-
如果需要,您可以与用户帐户同步房间资源信息。(请参阅将内部会议室信息同步到Webex云。)
自动许可证分配活动目录组建议
Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。
Active Directory中有两种类型的组:
-
分发组—用于创建电子邮件分发列表。
-
安全组-用于分配共享资源的权限。
在Active Directory中创建组时,请考虑以下指导原则:
-
为每个角色、部门或服务创建全球组(例如销售、营销、经理、会计师、Webex授权等)。
-
在整个组织中使用标准命名规范,以便轻松识别有关组的重要信息。组名称可以包含组的详细信息,例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如,组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
-
以易于理解的方式组织群组,例如按地域或管理层次。使用组描述来完整描述组的目的。
-
在将用户添加到新配置的组之前,请为这些组在Control Hub中定义自动许可证组模板。有关详细信息,请参阅设置自动许可证分配模板 。
调整尺寸信息
Directory Connector是本地Active Directory和Webex云之间的桥梁。因此,连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定,而不是连接器本身。
一些因素会影响同步的速度:
-
Active Directory对象的总数。(5,000个用户同步工作所需的时间不超过50,000。)
-
网络速度和带宽。
-
系统工作负载和规格。
如果您正在同步超过50,000个用户,我们强烈建议您使用第二个连接器进行故障转移和冗余。
由于同步涉及多个因素,并且每个部署取决于上述因素,因此我们无法提供对象同步所需时间的特定时间值。
在Windows注册表中检查SafeDllSearchMode
默认情况下,安全动态链接库(DLL)搜索模式在Windows注册表中设置,然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用,攻击者可以将恶意DLL(与位于系统文件夹中的引用的DLL文件名称相同)放置到应用程序的当前工作目录中。
通常,SafeDllSearchMode已启用,但使用此步骤来复选注册表设置。
开始之前
对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。
| 1 |
在Windows搜索或运行窗口中,键入regedit ,然后按Enter。 |
| 2 |
转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。 |
| 3 |
选择一种:
|
有关详细信息,请参阅动态链接库搜索顺序。
WebEx 代理集成
WebEx 代理集成
如果您的环境中已启用 Web 代理验证,则您仍然可用使用 Directory Connector。
如果您的组织使用透明Web代理,则不支持身份验证。连接器已成功连接和同步用户。
您可以选择下列方法之一:
-
通过Internet Explorer显式Web代理(连接器继承了Web代理设置)
-
通过。pac文件显式网络代理(连接器继承企业特定的代理设置)
-
与连接器配合的透明代理,无需任何更改
通过浏览器使用 Web 代理
您可以通过Internet Explorer设置Directory Connector以使用Web代理。
如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行,那么您还需要用此帐户登录并配置 Web 代理。
| 1 |
在 Internet Explorer 中,转至 Internet 选项,单击连接,然后选择局域网 (LAN) 设置。 |
| 2 |
指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。 |
| 3 |
如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在整个站点范围内执行此操作(针对所有主持人),也可以仅针对具有连接器的主持人。 如果您将这些URL添加到允许列表以完全绕过您的WEB代理,请确保防火墙ACL表已更新,以允许连接器主持人直接访问URL。 |
| 4 |
如果您的环境需要从证书颁发机构请求证书撤销列表,请将这些URL添加到您的允许列表:
有关详细信息,请参阅本文关于Webex Services需要访问的域和URL。 |
通过 PAC 文件配置 Web 代理
您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。
| 1 |
要使连接器成功连接并同步用户信息到Webex云,请确保安装连接器的主机。pac文件配置中已禁用 |
| 2 |
如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在整个站点范围内执行此操作(针对所有主持人),也可以仅针对具有连接器的主持人。 如果您将这些URL添加到允许列表以完全绕过您的WEB代理,请确保防火墙ACL表已更新,以允许连接器主持人直接访问URL。 |
| 3 |
如果您的环境需要从证书颁发机构请求证书撤销列表,请将这些URL添加到您的允许列表:
有关详细信息,请参阅本文关于Webex Services需要访问的域和URL。 |
NTLM代理
Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证,并确保其安全。
NTLM设计
在大多数情况下,用户希望通过客户端PC访问其他工作站资源,这很难以安全的方式进行。
一般来说,NTLM的技术设计基于挑战
和响应
机制:
-
用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同,密码的哈希值在本地存储。当用户通过密码登录客户端时,Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同,则验证将通过。
当用户想要访问其他服务器中的任何资源时,客户端会向服务器发送一个请求,帐户名称为纯文本。
-
当服务器收到请求时,服务器会生成16位随机密钥。关键称为Challenge(或Nonce)。在服务器返回客户端之前,挑战将存储在服务器中。然后,服务器将挑战以纯文本形式发送给客户端。
-
客户端收到服务器发送的挑战后,客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后,该值将返回到服务器。
-
当服务器从客户端收到加密值时,服务器将其发送到域控制器进行验证。请求包括:帐户名称、客户端发送的加密挑战,以及原始的简单挑战。
-
域控制器可以根据帐户名称检索密码的哈希值。然后,域控制器可以对原始挑战进行加密。然后,域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同,验证将成功。
Windows在操作系统中内置了安全验证,使应用程序更容易支持安全验证。因此,您无需完成进一步的配置。
配置透明代理
在这种情境下,浏览器不会知道透明 Web 代理正在拦截 http 请求(端口 80/端口 443),因此不需要客户端配置。
| 1 |
部署透明代理,以便连接器可以连接和同步用户。 |
| 2 |
确认代理已成功—启动连接器时,您会看到预期的浏览器身份验证弹出窗口。 |
设置代理身份验证
通过创建访问控制列表,将URL cloudconnector.webex.com 添加到允许列表中。
在企业防火墙服务器上:
| 1 |
如果尚未启用 DNS 查找,请启用。 |
| 2 |
确定此连接的估计带宽(连接器约为2 mb/s或以下)。这不是必须执行的步骤。 |
| 3 |
创建访问控制列表以应用于连接器主机,并指定 例如: access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https |
| 4 |
将此ACL应用于相应的防火墙接口,该接口仅适用于此单个连接器主持人。 |
| 5 |
通过配置相应的隐式拒绝声明,确保企业中的其他主机仍需使用 Web 代理。 |
部署目录连接器
Cisco目录连接器部署任务流程
| 1个 |
Control Hub最初将目录同步显示为禁用状态。 要为组织打开目录同步,必须安装和配置Directory Connector,然后成功执行完整同步。 要重新安装Directory Connector,请始终转至Control Hub (https://admin.webex.com)获取软件的最新版本,以便您使用最新的功能和故障修复。 安装软件后,将通过软件报告升级,并在可用时自动安装。 |
| 2个 |
使用您的Webex管理员凭据登录,并执行初始设置。 |
| 3个 |
将Directory Connector软件更新到最新版本始终非常重要。 我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。 |
| 4个 |
默认情况下,Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。 要对哪些对象进行同步的更多控制,您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。 |
| 5个 |
您可以将本地Active Directory中的属性映射到云中的相应属性。 唯一必填字段是*uid。 |
| 6个 |
使用以下程序之一同步目录头像: 您可以将用户的头像同步到云,以便每个用户登录应用程序时显示他们的头像。 您可以从Active Directory属性或资源服务器同步化头像。 |
| 7 |
使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的房间设备(例如Webex Room设备或Cisco Webex Board)上的可搜索条目 |
| 8个 |
要从Active Directory向Control Hub提供用户,请执行以下步骤: 按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。 在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 目标是在Active Directory和Webex云之间实现精确匹配。 |
安装目录连接器
Control Hub最初将目录同步显示为禁用状态。 要为组织打开目录同步,必须安装和配置Directory Connector,然后成功执行完整同步。
您必须为要同步的每个Active Directory域安装一个连接器。 单个目录连接器实例只能服务单个域。 请参阅下图了解多个域同步的流程:
开始之前
如果您通过代理服务器进行身份验证,请确保您拥有代理凭据:
-
对于代理基本身份验证,安装连接器的实例后,您将输入用户名和密码。 基本身份验证也需要Internet Explorer代理配置;请参阅通过浏览器使用Web代理
-
对于代理NTLM,第一次打开连接器时可能会看到错误。 请参阅通过浏览器使用Web代理。
| 1个 |
在控制中心中,转至,然后选择下一步。 |
| 2个 |
单击下载和安装链接,将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。 您可以直接从此链接获取。zip文件,但必须对Control Hub组织的完整管理访问权限才能使用此软件。 对于新安装,请获取软件的最新版本,以便使用最新的功能和bug修复。 安装软件后,将通过软件报告升级,并在可用时自动安装。 |
| 3个 |
在VMware或Windows服务器上,解压缩并在设置文件夹中运行。msi文件,以启动设置向导。 |
| 4个 |
单击下一步,勾选框以接受许可协议,然后单击下一步,直到您看到帐户类型屏幕。 |
| 5个 |
选择要使用的服务帐户类型,并使用管理员帐户执行安装:
要避免错误,请确保具有以下权限:
|
| 6个 |
单击安装。 网络测试运行后,如果出现提示,输入您的代理基本凭证,单击确定,然后单击完成。 |
下一步该做什么
我们建议您在安装后重新启动服务器。 当数据未发布时,干运行报告无法显示正确结果。 重启计算机时,所有数据都会刷新以在报告中显示准确结果。
登录到目录连接器
开始之前
确保您拥有代理凭据。
-
对于Proxy basic-auth,第一次打开连接器后将输入用户名和密码。
-
对于代理NTLM,打开Internet Explorer,单击齿轮图标,转至 Internet选项>连接> LAN设置,确保已添加代理服务器信息,然后单击确定。 请参阅通过浏览器使用Web代理。
| 1个 |
打开连接器,如果看到提示,则将 |
| 2个 |
如果出现提示,请使用代理身份验证凭据登录,然后使用您的管理员帐户登录Webex,然后单击下一步。 |
| 3个 |
确认您的组织和域。
|
| 4个 |
出现确认组织屏幕后,单击确认。 如果您已绑定AD DS/AD LDS,将显示确认组织屏幕。 |
| 5个 |
单击确认。 |
| 6个 |
根据要绑定到Directory Connector的Active Directory域数,选择一个:
|
下一步该做什么
登录后,系统提示您执行干运行同步。
目录连接器仪表板
当您首次登录Directory Connector时,会显示仪表板。 在这里,您可以查看所有同步活动的摘要、查看云统计、执行干运行同步、启动完整或增量同步并启动事件视图以查看错误信息。
您可以从“操作”工具栏或“操作”菜单轻松运行这些任务。
|
组件 |
描述 |
|---|---|
|
当前同步 |
显示当前正在进行的同步的状态信息。 当未运行同步时,状态显示处于空闲状态。 |
|
下一次同步 |
显示下一个已安排的完整和增量同步。 如果未设置计划,将显示未计划。 |
|
上次同步 |
显示最近两次已执行同步的状态。 |
|
当前同步状态 |
显示同步的总体状态。 |
|
连接器 |
显示可用于云的当前本地连接器。 |
|
云统计 |
显示同步的总体状态。 |
|
同步计划 |
显示增量同步和完全同步的同步计划。 |
|
配置摘要 |
列出配置中更改的设置。 例如,摘要可能包括以下内容:
|
| 行动 | 描述 |
|---|---|
| 开始增量同步 |
手动启动增量同步 暂停或禁用同步时,如果未完成完全同步或同步正在进行中,则此操作将禁用。 |
|
同步干运行 |
执行干运行同步。 |
|
启动活动查看器 |
启动Microsoft Event Viewer。 |
|
刷新 |
刷新Cisco目录连接器仪表板 |
|
行动 |
描述 |
|---|---|
| 立即同步 |
立即开始完全同步。 |
|
同步模式 |
选择增量或完全同步模式。 |
|
重置连接器秘密 |
在Cisco目录连接器和连接器服务之间建立对话。 选择此操作将重置云中的秘密,然后在本地保存秘密。 |
|
干运行 |
对同步过程执行测试。 在进行完全同步之前,必须先进行干运行。 |
|
故障排除 |
打开/关闭故障排除。 |
|
刷新 |
刷新Cisco目录连接器主屏幕。 |
|
退出 |
退出Cisco目录连接器。 |
|
关键组合 |
行动 |
|---|---|
|
Alt +A |
显示操作菜单 |
|
|
现在同步 |
|
|
重置连接器秘密 |
|
|
干运行 |
|
|
增量同步 |
|
|
完全同步 |
|
|
显示帮助菜单 |
|
|
帮助 |
|
|
关于 |
|
|
常见问题 |
设置自动升级
| 1个 |
从Directory Connector,转至,然后检查自动升级到新的Cisco Directory Connector版本。 |
| 2个 |
单击应用保存更改。 |
新版本的连接器可用时将自动安装。
您可以手动管理升级(如果您愿意)。 有关更多信息,请参阅升级至最新软件版本。
选择要同步的Active Directory对象
默认情况下,Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。 要对哪些对象进行同步的更多控制,您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
自动许可证分配组
Control Hub允许您按组管理许可证分配。 您可以创建许可证模板,并将其映射到同步到云的Active Directory组。 在用户创建时,Webex检查该新用户的用户会员身份和自动许可证模板映射。
我们建议您使用LDAP过滤器仅将相关组同步到云。 例如,您可以将过滤器设置为:
(&(cn=示例)(objectclass=组))*
此过滤器将以Example开头的基础DN中的所有组同步。 未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。
混合数据安全部署组
在Directory Connector中,如果您使用混合数据安全为试点用户配置试用组,则必须检查组。 请参阅混合数据安全部署指南获得指导。 此目录连接器设置不会影响云中的其他用户同步。
开始之前
| 1个 |
从目录连接器转至配置,然后单击对象选择。 |
| 2个 |
在对象类型部分中,检查用户,并考虑限制用户可搜索容器的数量。 例如,如果您想仅同步特定组中的用户,必须在用户LDAP过滤器字段中输入LDAP过滤器。 如果要同步示例管理器组中的用户,请使用以下过滤器:
|
| 3个 |
检查识别房间以将房间数据与用户数据分开。 要设置其他属性,将用户数据识别为房间数据,请单击自定义。 如果要将内部会议室信息从Active Directory同步到Webex云时,请使用此设置。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。 有关详细信息,请参阅将内部会议室信息同步到Webex云。 |
| 4个 |
要将Active Directory用户组同步到云,请检查组。 不要向“组”字段添加用户同步LDAP筛选器。 您仅应使用“组”字段将组数据本身同步到云。 默认情况下,组不会为新客户同步。 必须启用组同步。 还必须同步安全组。 |
| 5个 |
如果要将用户的联系信息同步到云,请检查联系人。 目录连接器仅管理由连接器同步的联系人。 如果Control Hub中已经有联系人,则同步不会删除联系人。 如果从同步范围中删除联系人,则在Control Hub中也会删除用户的联系信息。 |
| 6个 |
配置 LDAP 过滤器。 您可以通过提供有效的LDAP过滤器来添加扩展过滤器。 有关配置LDAP过滤器的更多信息,请参阅本文。 |
| 7 |
单击选择以查看Active Directory树结构,指定要同步的On Premises Base DN。 您可以在此处选择或取消选择要搜索的容器。 |
| 8个 |
检查要为此配置添加的对象,然后单击选择。 您可以选择要用于同步的单个容器或母容器。 选择父容器,以启用所有子容器。 如果您选择子容器,母容器会显示灰色复选标记,表示孩子已检查。 然后,您可以单击选择以接受选中的Active Directory容器。 如果您的组织将所有用户和组放置在“用户”容器中,则无需搜索其他容器。 如果您的组织被分为组织单位,请确保选择OU。 |
| 9 |
单击应用。 选择一个选项:
有关干运行的信息,请参阅在Active Directory用户上执行干运行同步。 对于组同步,您必须执行完整同步: 将Active Directory用户完全同步到云中。 |
映射用户属性
您可以将本地Active Directory中的属性映射到云中的相应属性。 唯一的必填字段是*uid,这是云身份服务中每个用户帐户的唯一标识符。
您可以选择要映射到云的Active Directory属性—例如,您可以映射到Active Directory中的 firstName lastName,或将自定义属性表达式映射到云中的 displayName。
Active Directory中的帐户必须有一个电子邮件地址;uid映射默认为邮件的广告字段(不是 sAMAccountName)。
如果您选择使用首选语言来自Active Directory,则Active Directory是唯一的真理来源: 用户将无法在Webex设置中更改其语言设置,管理员也无法在Control Hub中更改设置。
| 1个 |
从Directory Connector,单击配置,然后选择用户属性映射。 此页显示Active Directory(左侧)和Webex云(右侧)的属性名称。 所有必需属性都标有红色星号。 |
| 2个 |
向下滚动到 Active Directory属性名称的底部,然后选择其中一个Active Directory属性以映射到云属性uid:
您可以将其他Active Directory属性映射到uid,但我们建议您使用上述指南中的邮件或userPrincipalName。 在某些情况下,使用userPrincipalName来登录,但使用用户的电子邮件地址来管理他们的日历。 您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。 将userPrincipalName作为备用电子邮件地址添加。 要查看Active Directory中的哪些属性与云中的对应关系,请参阅在Directory Connector中映射Active Directory属性。 要使同步工作,您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口,以提醒您,如果您没有选择推荐的属性。 |
| 3个 |
如果预定义的Active Directory属性不适用于部署,请单击属性下拉菜单,滚动到底部,然后选择自定义属性以打开一个窗口来定义属性表达式。 单击帮助以获取有关表达式的更多信息,并查看表达式如何工作的示例。 您还可以查看自定义属性的表达式以了解更多信息。 在此示例中,我们将将Active Directory属性
Directory Connector验证身份服务中的uid的属性值,并在当前用户过滤选项下检索3个可用用户。 如果所有3个用户都具有有效的电子邮件格式,则Cisco Directory Connector将显示以下消息:
如果无法验证属性,您将看到以下警告,并可以返回到Active Directory以检查和修复用户数据:
|
| 4个 |
(可选)如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中,选择手机和电话号码的映射。 当用户将鼠标悬停在另一个用户的档案照片上时,电话号码数据会显示在Webex应用程序中。 有关从用户联系人卡呼叫的更多信息,请参阅在Webex (Unified CM)部署指南(管理员)。 |
| 5个 |
选择其他映射以显示在联系人卡中的更多数据:
映射属性后,当用户将鼠标悬停在另一个用户的档案图片上时,会显示信息:
有关联系卡的更多信息,请参阅验证您的联系人。 将这些属性同步到每个用户帐户后,您还可以在Control Hub中打开People Insights。 此功能允许Webex App用户在配置文件中共享更多信息,并相互了解。 有关该功能以及如何启用该功能的更多信息,请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events(新建)People Insights Profiles |
| 6个 |
做出选择后,单击应用。 |
Active Directory中包含的任何用户数据都会覆盖与该用户对应的云中的数据。 例如,如果您在Control Hub中手动创建用户,则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。 在Active Directory中没有相应电子邮件地址的用户将被删除。
已删除的用户将在云身份服务中保留7天,然后被永久删除。
活动目录和云属性
您可以使用用户属性映射选项卡将本地Active Directory中的属性映射到云中的相应属性。
此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。 这些值和映射是Directory Connector中的默认设置。 您可以在Active Directory下拉菜单中选择不同的属性,并确定哪些内部属性与哪个云属性同步。
将下拉菜单属性视为预设。 作为Active Directory行中的值的替代,您还可以在Active Directory中指定自定义属性(具有多个属性的表达式)以映射到相应行中的单个云属性。 这样,您可以灵活地确定用户的显示名称,例如,您可以添加一个表达式,根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。
您还可以指定任何Active Directory属性,以映射到云中的uid。 但是,您必须确保内部属性遵循有效的电子邮件格式。
您还可以使用其他电子邮件地址,例如,如果您想使用userPrincipalName进行登录,但用户的电子邮件地址用于管理他们的日历。 在这种情况下,将其他电子邮件地址映射到电子邮件;类型-工作属性。 这是用于身份验证的电子邮件;它不用于管理您的日历。 您从AD映射的电子邮件地址必须来自您组织内的验证域,并且必须是唯一并且不会分配给其他用户。
|
活动目录属性名称 |
Webex云属性名称 |
注释 |
|---|---|---|
|
— |
建筑名称 |
— |
|
c |
c |
此属性指定用户的国家缩写。 |
|
部门号码 |
部门号码 |
|
|
显示名称 |
显示名称 |
此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。 |
|
用户帐户控制 |
ds-pwp-account-disabled |
此属性用于用户同步。 确保 userAccountControl 属性映射到 ds-pwp-account-disabled,或者用户未正确同步。 |
|
员工号码 |
员工号码 |
— |
|
传真电话号码 |
传真电话号码 |
— |
|
— |
jabberID |
此云属性与Jabber使用的IM地址(XMPP类型)有关。 此值与sipAddresses不同。 |
|
L的 |
L的 |
此属性指定用户的城市。 |
|
— |
Category:本地 |
— |
|
经理 |
经理 |
|
|
移动设备 |
移动设备 |
此属性被用作显示从联系人卡呼叫用户的移动号码。 |
|
或 |
或 |
此属性指定公司或组织的名称,并显示在联系人卡中。 |
|
或 |
或 |
此属性指定组织单位的名称。 |
|
physicalDeliveryOffice名称 |
physicalDeliveryOffice名称 |
此属性指定用户的办公位置。 |
|
邮政编码 |
邮政编码 |
此属性指定了用于实际邮件交付的用户的邮政或邮政编码。 |
|
首选语言 |
首选语言 |
此属性设置用户的首选语言,支持以下格式: xx_YY或xx-YY。 下面是一些示例: en_US,en_GB,fr-CA。 如果您使用不受支持的语言或无效的格式,用户的首选语言将更改为组织的语言集。 |
|
MSRTCSIP-主要用户地址 ipPhone |
SipAddresses;type=enterprise |
此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。 |
|
sn |
sn |
此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。 |
|
圣 |
圣 |
此属性指定用户的状态或省。 |
|
街道地址 |
街道 |
此属性指定用于实际邮件递送的用户的街道地址。 |
|
电话号码 |
电话号码 |
此属性指定用于从联系人卡呼叫用户的主要(工作)电话号码。 |
|
— |
时区 |
此云属性指定用户的时区。 |
|
标题 |
标题 |
|
|
类型 |
企业 |
— |
|
*邮件 *用户主要名称 |
uid |
强制性的属性映射。 对于每个用户帐户,Active Directory值映射到云中的唯一的UID。 在某些情况下,使用userPrincipalName来登录,但使用用户的电子邮件地址来管理他们的日历。 您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。 将userPrincipalName作为备用电子邮件地址添加。 然后用户可以使用这两个电子邮件地址之一登录,只要正确的 SAML属性映射就行了。 请参阅下面的示例属性映射,了解如何映射替代电子邮件地址。 |
|
*用户主要名称 *邮件 <自定义属性> |
电子邮件;类型工作 |
此映射是可选的,如果您想使用其他电子邮件地址,请使用此映射。 这是用于身份验证的电子邮件;它不用于管理您的日历。 您从AD映射的电子邮件地址必须来自您组织内的验证域,并且必须是唯一并且不会分配给其他用户。 |
|
<Azure用户对象Id的新属性> |
外部ID |
创建新的Active Directory属性以保留Azure用户对象ID,使其不会与现有的ID冲突。 此属性随后映射到externalId属性,确保Webex用户在Microsoft 365中创建群组时,会自动在Webex中创建群组。 |
替代电子邮件地址映射
自定义属性的表达式
|
操作员 |
描述和示例 |
|---|---|
|
% |
如果匹配,将字符串开头的所有字符删除到字符或字符串参数的位置。
|
|
- |
从指定字符串的末端剥离输入字符串的背部。
|
|
+ |
连接输入字符串或表达式。
|
|
| |
根据空字符串评估分隔表达式,并选择第一个非空结果。
|
将Active Directory属性中的目录头像同步到云
您可以将用户的目录头像同步到云,以便在登录Webex应用程序时显示每个头像。 使用此程序同步来自Active Directory属性的原始头像数据。
| 1个 |
从Directory Connector,转至配置,单击阿凡达,然后检查启用。 |
| 2个 |
对于从获取头像,选择AD属性,然后选择头像属性,其中包含要同步到云的原始头像数据。 |
| 3个 |
要验证头像是否正确访问,请输入用户的电子邮件地址,然后单击获取用户头像。 头像出现在右侧。 |
| 4个 |
验证头像显示正确后,单击应用保存更改。 |
-
同步的图像成为Webex应用程序中用户的默认头像。 在Directory Connector启用此功能后,不允许用户设置自己的头像。
-
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步该做什么
执行干运行同步;如果没有问题,则执行完全同步,以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。
将目录头像从资源服务器同步到云
您可以将用户的目录头像同步到云,以便在登录Webex应用程序时显示每个头像。 使用此程序从资源服务器同步化头像。
开始之前
-
此过程中的URI模式和变量值是示例。 您必须使用目录头像所在位置的实际URL。
-
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。 连接器需要http或https访问图像,但图像不需要在互联网上公开访问。
-
头像数据同步与Active Directory用户配置文件分开。 如果您运行代理,必须确保NTLM身份验证或基本身份验证可以访问头像数据。
| 1个 |
从Directory Connector,转至配置,单击阿凡达,然后检查启用。 |
| 2个 |
对于从获取头像,选择资源服务器,然后输入头像URI模式—例如, 让我们来看看阿凡达URI模式的每个部分及其含义:
|
| 3个 |
(可选)如果您的资源服务器需要凭证,请检查为头像设置用户凭证,然后选择使用当前服务登录用户或使用此用户并输入密码。 |
| 4个 |
输入变量值—例如: |
| 5个 |
单击测试以确保头像URI模式正常工作。 在此示例中,如果一个AD条目的邮件值为 |
| 6个 |
验证了URI信息并看起来正确后,单击应用。 有关使用正则表达式的详细信息,请参阅 Microsoft正则表达式语言快速参考。 |
-
同步的图像成为Webex应用程序中用户的默认头像。 在Directory Connector启用此功能后,不允许用户设置自己的头像。
-
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步该做什么
执行干运行同步;如果没有问题,则执行完全同步,以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。
将内部会议室信息同步到Webex云
使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的Webex设备(房间、桌面和板)上的可搜索条目。
| 1个 |
从Directory Connector转至同步,单击同步域旁边的 |
| 2个 |
检查将房间信息同步到云,在同步过程中将房间数据与用户数据分开。 禁用此设置时,将以与用户同步数据相同的方式处理会议室数据。 |
| 3个 |
转至属性映射,然后更改云属性的属性映射sipAddresses;type=enterprise。 要使用值验证,SIP地址的值应为Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4个 |
在Exchange中创建会议室资源邮箱。 这将添加连接器用于识别房间的 msExchResourceMetaData;ResourceType:Room 属性。
|
| 5个 |
从Active Directory用户和计算机,导航到并编辑会议室的属性。 使用sip的前缀添加完全合格SIP URI:
|
| 6个 |
在连接器中执行干运行同步,然后执行完整运行同步。 新会议室对象列出已添加对象,匹配的会议室对象将出现在匹配对象中干运行报告中中。 任何标记要删除的房间对象都位于已删除的房间下。
干运行结果显示所有匹配的房间资源。
此设置将Active Directory房间数据(包括房间属性)与用户数据分离。 同步完成后,连接器仪表板上的云统计数据将显示与云同步的房间数据。
|
下一步该做什么
现在您已完成这些步骤,当您在Webex云注册设备上搜索时,您将看到使用SIP地址配置的同步房间条目。 当您将Webex设备拨入该条目时,将呼叫放置到为房间配置的SIP地址。
从Control Hub,您可以自动从目录导入会议室并创建工作空间。
端点无法将呼叫回传回至Webex应用程序。 对于测试拨号设备,这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。 如果您正在搜索的Active Directory会议室系统已注册到Webex,并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上,则搜索结果不会显示重复条目。 在Webex应用程序中直接拨打Room、Desk或Board设备,不会进行SIP呼叫。
在目录同步结果上发送电子邮件报告
默认情况下,组织联系人或管理员总是会收到电子邮件通知。 使用此设置,您可以自定义谁应该接收总结目录同步报告的电子邮件通知。
| 1个 |
从Directory Connector,单击配置,然后选择通知。 |
| 2个 |
从Directory Connector中,单击设置,然后在电子邮件接收器旁边切换启用报告同步。 |
| 3个 |
如果要覆盖默认通知行为并添加一个或多个电子邮件收件人,请选择启用通知。 |
| 4个 |
单击添加,然后输入电子邮件地址。 如果您输入的电子邮件地址格式无效,则会弹出一条消息,告诉您纠正问题,然后才能保存并应用更改。 |
| 5个 |
单击添加电子邮件,然后输入电子邮件地址。 如果您输入的电子邮件地址格式无效,则会弹出一条消息,告诉您纠正问题,然后才能保存并应用更改。 |
| 6个 |
如果您需要编辑您输入的任何电子邮件地址,请双击左侧列中的电子邮件条目,然后进行所需的任何更改。 |
| 7 |
添加所有有效电子邮件地址后,单击应用。 |
| 8个 |
添加所有有效电子邮件地址后,单击保存。 |
下一步该做什么
如果您决定删除电子邮件地址,您可以单击电子邮件以突出显示该条目,然后单击删除。
如果您决定删除电子邮件地址,可以单击特定电子邮件地址条目旁边的删除。
从Active Directory向Control Hub提供用户
按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。 在安装每个域的Directory Connector后,您可以从多个域Active Directory部署(包含单个森林或多个森林)提供用户。 在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 目标是在Active Directory和Webex云之间实现精确匹配。
| 1个 |
执行干运行以比较内部Active Directory中的对象和Webex云中的对象。 干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。 |
| 2个 |
当您运行完全同步时,连接器服务将从Active Directory (AD)的所有过滤对象发送到云。 连接器服务然后用您的AD条目更新身份存储。 如果您创建了自动分配许可证模板,您可以将其分配给新同步的用户。 |
| 3个 |
向Control Hub中的Directory同步用户分配Webex服务 完成从Directory Connector输入到Control Hub的完整用户同步后,您可以使用各种方法分配Webex服务许可证。 我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。 您还可以在此初始步骤后进行个人更改。 |
在您的Active Directory用户上执行干线同步
执行干运行以比较内部Active Directory中的对象和Webex云中的对象。 干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 使用Directory Connector,目标是在Active Directory和Webex云之间实现精确匹配。
如果您在单个森林或多个森林中拥有多个域,则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。
开始之前
在使用Directory Connector之前,您可能已经在Control Hub中拥有一些Webex应用程序用户。 在云中的用户中,有些用户可能会与本地Active Directory对象匹配,并为服务分配许可证。 但有些测试用户可能是在进行同步时要删除。 您必须在Active Directory和Control Hub之间创建完全匹配。
| 1个 |
选择一项:
当干运行完成时,您将看到以下结果之一:
摘要包含有关对象匹配的信息:
干运行通过比较与域用户来识别用户。 如果用户属于当前域,应用程序可以识别用户。 在下一步,您必须决定是删除对象还是保留它们。 不匹配的对象已在Webex云中存在,但在内部Active Directory中不存在。 |
| 2个 |
查看干运行结果,然后根据您使用单个域还是多个域选择一个选项:
|
| 3个 |
在确认干运行提示符中,单击是重执行干运行同步并查看仪表板以查看结果。 在干运行中成功同步的所有帐户都出现在匹配对象下。 如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户,则该条目在已删除用户下列出。 要避免此删除标记,您可以在具有相同电子邮件地址的Active Directory中添加用户。 要查看已同步项目的详细信息,请单击特定项目或匹配对象的相应选项卡。 要保存摘要信息,请单击保存结果至文件。 |
| 4个 |
如果预期结果,请转至,然后单击立即启用进行手动同步,并在此处设置手动模式。 在多个域部署中的最后一个Active Directory域进行同步后,必须为Directory Connector启用自动模式。 只有当对象在Webex云和所有内部活动目录之间完全匹配时,您才可以启用自动模式。 |
下一步该做什么
-
对于您保留的任何不匹配的用户对象,您必须将其添加到Active Directory,以便在内部和云之间实现完全匹配。
-
选择同步类型:
-
首次将新用户同步到云时,将Active Directory用户完全同步到云中。 您可以从进行操作,然后从当前域的用户将同步。
-
设置连接器计划并在运行完整同步后运行增量同步,如果要在初始同步后拾取更改。 建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
默认情况下,增量同步设置为每30分钟(3.4及更早版本)或每4小时(3.5及更高版本)进行,但您可以更改此值。 在您最初执行完全同步之前,增量同步不会发生。
-
-
如果您有多个域,请在已安装的任何其他目录连接器上重复这些步骤。
需要记住的事情
-
启用完全同步之前或更改同步参数时执行干运行。 如果干运行由配置更改启动,您可以在干运行完成后保存设置。 如果您已手动添加用户,执行Active Directory同步可能会导致以前添加的用户被删除。 您可以在完全同步到云之前检查Directory Connector Dry Run报告,以验证所有预期用户都存在。
-
如果匹配的用户被标记为要删除,并且您不确定如何继续,请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。
已删除的用户将在云身份服务中保留7天,然后被永久删除。
将Active Directory用户完全同步到云
当您运行完全同步时,连接器服务将从Active Directory (AD)的所有过滤对象发送到云。 连接器服务然后用您的AD条目更新身份存储。 如果您创建了自动分配许可证模板,您可以将其分配给新同步的用户。
如果您有多个域,则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。
目录连接器同步用户帐户状态—在Active Directory中,任何被标记为禁用的用户在云中也会显示为非活动。
开始之前
-
如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态,则必须执行以下步骤以绕过电子邮件验证:
-
将单点登录与Webex组织集成。 查看
使用Cisco Webex Services和您的组织的身份提供商进行单点登录
有关更多信息。 -
使用Control Hub验证并选择声称电子邮件地址中包含的域。 查看
添加、验证和请求域
. -
抑制自动电子邮件邀请,这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。(您可以进行自己的电子邮件活动。)
尚未登录的已激活用户在Control Hub中显示已验证状态。 登录后,它们将显示为活动状态。 有关用户状态的更多信息,请参阅 Cisco Webex Control Hub中的用户状态和操作。
-
-
启用同步时,Directory Connector要求您先执行干运行。 我们建议您在完全同步之前进行干运行,以发现任何潜在的错误。
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板。
如果您不使用自动分配许可证模板,新同步的用户会自动获得免费许可证。 他们将能够使用与免费帐户的相同的免费功能。
| 1个 |
选择一项:
|
| 2个 |
从Directory Connector转至同步,单击同步域旁边的 |
| 3个 |
确认同步的开始。 对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序会在您执行同步后72小时内反映更改。 您可以按照以下说明尝试清除Webex应用程序的本地缓存: Windows 或 Mac。
|
| 4个 |
要更新同步状态,请单击刷新。 (同步项目出现在云统计下。) |
| 5个 |
有关错误的信息,请从操作工具栏选择启动事件查看器以查看错误日志。 |
| 6个 |
要设置持续增量同步到云的同步计划,请参阅设置连接器计划和运行增量同步。 |
-
完成完全同步后,在Control Hub的设置页面上,目录同步状态将从禁用更新至操作。
-
当所有数据在内部和云之间匹配时,Directory Connector将从手动模式更改为自动同步模式。
-
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件,否则Webex应用程序用户帐户将保持未验证状态,直到用户首次登录Webex应用程序以确认其帐户。 请参阅“开始之前”部分,了解如何将帐户同步为活动用户的指导。
-
如果您有多个域,请在已安装的任何其他目录连接器上执行此步骤。 同步后,您添加的所有域上的用户都会在Control Hub中列出。
-
如果您将单点登录与Webex集成,并且已删除的电子邮件通知,则电子邮件邀请不会发送给新同步的用户。
-
启用目录连接器后,您无法在Control Hub中手动添加用户。 启用后,从Cisco目录连接器执行用户管理,而Active Directory是唯一的真理源。
-
您同步的任何组都出现在Control Hub中,并且您可以分配许可证模板,以便该组中的用户获得许可证。
下一步该做什么
-
当您从Active Directory中删除用户时,该用户将在下次同步后被软删除。 用户处于非活动状态,但云身份档案将保留七天(以便从意外删除中恢复)。
如果您在Active Directory中检查帐户已禁用,则下次同步后该用户将变为非活动。 云身份档案七天后不会删除,以防要再次启用用户。
-
注意增量同步的这些异常(请按照上面的完整同步步骤操作):
-
如果更新了头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
-
属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。
-
向Control Hub中的Directory同步用户分配Webex服务
完成从Cisco目录连接器到Control Hub的完整用户同步后,您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证,或者如果您已经配置了自动分配的许可证模板,则向新用户添加其他许可证。 您可以在此初始步骤后更改个人用户帐户。
完成从Directory Connector输入到Control Hub的完整用户同步后,您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证(如果您已经配置了自动分配许可证模板)。 您可以在此初始步骤后更改个人用户帐户。
当您向Webex应用程序用户分配许可证时,该用户默认会收到一封确认分配的电子邮件。 该电子邮件由Control Hub中的通知服务发送。 如果您将单点登录(SSO)与Webex组织集成,则如果您更愿意直接联系用户,您也可以删除这些自动电子邮件通知。
开始之前
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板。
-
在Active Directory用户上执行干运行同步。
-
确认干运行结果后,在Active Directory用户上进行完全同步。
在完全同步时,用户在云中创建,不添加服务分配,也不发送激活电子邮件。 如果电子邮件未被抑制,新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。
| 1个 |
从 https://admin.webex.com 中的客户视图,转至,单击管理用户,选择修改所有同步用户,然后单击下一步。 |
| 2个 |
选择一个选项: |
下一步该做什么
-
如果电子邮件没有被抑制,将向每个用户发送电子邮件,并邀请其加入和下载Webex。
-
如果您为所有用户选择了相同的Webex服务,那么您可以单独或批量更改分配的许可证。
目录连接器的已知问题
-
2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。 此问题已在 2012 R2 和 2016版本中得到解决。
-
对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序将在执行同步后的72小时内反映更改。
您可以按照以下说明尝试清除Webex应用程序的本地缓存: Windows 或 Mac。
-
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间,此时呼叫将无限响起。
管理Webex应用程序用户
运行增量同步
增量同步会查询 Active Directory,查找自上次同步以来发生的更改。然后,此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。
此同步不会给服务器带来那么多的负载,也不需要像完全同步那样多的时间。完成初始完整同步后,我们建议为后续同步使用增量选项。
开始之前
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板 。
-
注意不支持增量同步的以下异常(请遵循将Active Directory用户完全同步到云中 ):
-
如果更新了头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
-
对于属性映射、基本DN、过滤器和头像设置的新配置更改,增量同步无法工作,需要完全同步。
-
| 1 |
从 Directory Connector 中,单击控制板。 启用同步时,Directory Connector 将要求您首先执行测试。 |
| 2 |
从操作中,如果尚未启用,单击同步模式>启用同步 。 默认情况下,增量同步设置为每30分钟(3.4及更早版本)或每4小时(3.5及更高版本)进行,但您可以更改此值。在您最初执行完全同步之前,增量同步不会发生。当新的增量时间间隔出现时,程序会根据最后一个时间标识检查更改。 |
| 3 |
从操作中,单击立即同步 > 增量。 对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序将在执行同步后的72小时内反映更改。
|
| 4 |
有关错误的信息,单击操作 工具栏中的启动事件查看器 可查看错误日志。 |
下一步
如果您有多个域,请在已安装的其他目录连接器实例上执行此步骤。
恢复意外删除的用户
Directory Connector具有制衡功能,以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器,这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复,并在Control Hub中重新建立用户帐户。
默认情况下,此功能对所有组织都启用。例如,在云中删除用户时,由于从Directory Connector同步后出现不匹配的对象问题,用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除,如果您快速采取行动,您可能能够恢复它们。
当在Active Directory中删除相应帐户时,用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间,您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。
在Active Directory中禁用的用户在Control Hub中标记为Inactive,但用户帐户在7天后不会删除。
| 1 | |
| 2 |
转至用户 并确认特定用户帐户是否处于非活动状态或未列出。 有关详细信息,请参阅控制中心中的用户状态和操作。 |
| 3 |
如果在Control Hub中删除用户,或者您注意到用户处于非活动状态,请转至Active Directory,添加缺失的用户帐户,然后在Directory Connector中执行干运行同步。 使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。 |
| 4 |
执行完全同步,将暂时删除的用户帐户重新同步至Control Hub。 用户被恢复并转至原始状态,包括其帐户状态和服务分配。 |
下一步
返回Control Hub,转至,并确认先前删除的用户帐户出现在用户列表中。
在软删除后永久删除用户
执行干运行后,您可以选择永久删除下次同步时被软删除的用户。
| 1 |
干运行完成后,选择软删除对象。 |
| 2 |
选中要删除的用户旁边的复选框。 |
| 3 |
选择完成。 |
下一步
下次同步时,已检查的用户将被永久删除。
更改Webex应用程序电子邮件地址
如果您想更改用户电子邮件地址,并且您的组织使用Directory Connector,请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。
如果您只想更改一个用户的电子邮件或某个值,请勿从Active Directory中删除该用户,然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户,用户空间和云中的其他数据将丢失。
目录连接器不限制电子邮件域更改。但是,当用户重新同步到云时,用户状态取决于您的组织中是否验证新域。如果组织中未验证域,则在完全同步后,用户的状态将更改为“待定”。有关更多信息,请参阅管理您的域。
如果您的组织不使用Directory Connector,您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址 ,了解用户可以遵循的步骤来更改电子邮件。
更改 Active Directory 域
您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。
| 1 |
设置新的 Active Directory (AD) 域。 |
| 2 |
禁用所有连接器上的同步。 |
| 3 |
卸载所有连接器。 |
| 4 |
在案例提交中,请确保请求删除组织中的域配置和所有同步属性。 在打开案例以更改域之前,请确保未运行同步功能。在案例解决之前,不要更改Active Directory中的任何用户电子邮件地址。 |
| 5 |
解决案例后: 在进行实际同步之前,使用Directory Connector执行测试运行。 |
域声明
如果您为某个组织申请电子邮件域名,从而在付费客户组织中创建任何旁边的帐户,而不是免费消费者组织中,则会出现域索偿。您只能通过支持案例进行域申索(有关更多信息,请参阅下面的链接)。
如果Directory Connector处于活动状态并且该域已声明,则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户,受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。
在目录同步组织中转换免费的Webex应用程序用户
您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序,则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户,请在打开Directory Connector之前将其迁移(转换)到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。
如果您未在激活前转换帐户,请关闭 Directory Connector 以对帐户进行转换。
如果启用目录同步时尝试转换用户,将显示错误消息 无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。
一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中,而不是不匹配对象。如果要将这些用户迁移到您的组织,则需要将这些用户添加到您的AD列表。
如果您未添加这些用户,它们将在您旁边同步到云时全部删除。
| 1 |
从 Directory Connector 中禁用目录同步功能。 |
| 2 |
按照在Control Hub中转换无许可用户 程序将用户从免费消费组织转换为企业组织。 此步骤将用户添加到您的组织,帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源,目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前,确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。 |
| 3 |
在Directory Connector上,执行干运行同步。测试完成后,查看“添加对象”标签页。验证是否未删除您已转换的任何用户。 您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中,则Directory Connector将区分大小写,并删除其检测到电子邮件地址不匹配的转换用户(例如,user1@example.com和User1@example.com)。 如果已删除任何转换的用户,他们将失去所有Webex应用程序空间。 |
| 4 |
如果您确定下一次同步将不会删除任何帐户,请从 Directory Connector 重新启用目录同步。 |
如果您没有验证域,转换的用户帐户不会自动激活。例如,如果您打开自动分配许可证模板,然后在没有域验证的情况下打开Directory Connector,转换后的用户将在云后端处于非活动状态,直到他们确认其电子邮件地址。
侧边的Webex应用程序用户帐户
当您邀请其他用户到Webex应用程序中的空间时,如果受邀用户没有Webex应用程序帐户,则为他们创建帐户(“侧面”)。缺省情况下,以此方式创建的帐户将添加至自由消费者组织中。
如果要使用Directory Connector管理侧栏帐户,则必须转换帐户。
目录同步后更改Webex应用程序用户名格式
默认情况下,Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。
执行目录同步后,您可能会发现该用户名以格式显示。
如果Active Directory中的 displayName 属性以这种方式配置,此用户名可能会出现。当属性映射到云中的 displayName 时,名称会在Control Hub中以格式显示。
若要更改格式,请在 Directory Connector 属性映射屏幕中进行如下操作:将Active Directory属性 givenName sn (或 sn givenName)映射到Cisco云属性名称中的 displayName 。
或者,将属性 sn givenName 映射到 displayName:
如果您想将自己的自定义属性表达式映射到 displayName,也可以使用“自定义属性”选项。
例如,输入givenName + "" + sn (名字、空间、姓氏)作为表达式。将Active Directory中的两个属性映射到云中displayName 。
允许用户在Webex Meetings中更改显示名称
如果您想允许用户编辑首选的显示名称,您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称,而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。
| 1 |
从Directory Connector,单击配置,然后选择用户属性映射。 |
| 2 |
在 Cisco云属性名称 下选择显示名称。 |
| 3 |
选择不同步此属性。 |
下一步
用户现在可以从Webex站点编辑显示名称。
Directory Connector 故障诊断
升级到最新软件版本
要保持部署合规并获取最新功能、功能、错误修复和安全增强功能,您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本,则可能会遇到问题,例如Directory Connector不再正常同步,或者处于不支持强制性 TLS 1.2要求的版本上。
Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。
虽然您可以手动安装连接器软件更新更新,但我们建议您遵循设置自动升级 中的步骤,让应用程序自动管理升级。
| 1 |
单击Windows任务栏中的通知,或右击Windows任务栏中的Directory Connector图标,开始升级过程。 |
| 2 |
按说明完成升级操作。 |
| 3 |
重新启动连接器并使用管理员凭据登录。 |
| 4 |
在下验证软件的版本号。 |
下一步
要重新安装Directory Connector,您可以 下载zip文件 ,然后按照本指南中的安装步骤操作。
配置 Directory Connector 的常规设置
使用此程序配置常规设置,例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中,其中还包含正在运行的任何其他连接器。
| 1 |
从Directory Connector转至配置,然后单击常规。 |
| 2 |
在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。 |
| 3 |
从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括:
这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误,则仅在同步报告中报告错误;如果不存在错误,则不会发送同步报告。将设置更改为Info,然后在完全同步后收到同步报告。(请记住,对于增量同步,没有报告错误时不会发送报告。) |
| 4 |
选择首选域控制器以设置域控制器同步身份的顺序。 将按照从上到下的顺序访问域控制器。如果顶级控制器不可用,则选择列表中的第二个控制器。如果列表中没有控制器,您可以访问主控制器。 |
| 5 |
如果要进行自动升级,请检查自动升级到新的Cisco Directory Connector版本 。 将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置,允许在软件可用时安静地安装自动升级到软件。 |
| 6 |
检查 通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。 如果您未通过 SSL检查LDAP,则Directory Connector将继续使用LDAP连接协议。 LDAP(轻量级目录应用程序协议)和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。 |
配置连接器策略
您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。
例如,将 1 设置为删除阈值触发值。在执行完全或增量同步时,如果您要删除的用户数大于该设置,Directory Connector 会显示警告。如果您单击忽略阈值,可以成功开始完全或增量同步,但是在您下次运行该策略时将再次看到此忽略提示。
| 1 |
从Directory Connector,单击配置,然后选择策略。 |
| 2 |
如需添加阈值触发器,请勾选“启用删除阈值触发器”复选框。 选择该选项后,删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时,同步失败。
|
| 3 |
输入您要设置的最大删除次数。缺省值为 20。 我们建议您不要增大该缺省值。 |
| 4 |
单击应用。 |
设置连接器的安排
在Active Directory中设置同步定时。为了实现高可用性 (HA),使用了故障转移。如果有一个连接器宕机,我们会在预定义的间隔过后,切换到另一个待机连接器。
| 1 |
从Directory Connector,单击配置,然后选择计划。 |
| 2 |
以分钟为单位指定增量同步间隔。 缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。 |
| 3 |
如果您希望更改发送报告的频率,请更改发送报告间隔时间值。 |
| 4 |
勾选启用完全同步计划以指定想要执行完全同步的日期和时间。 |
| 5 |
以分钟为单位指定故障转移间隔。 |
| 6 |
单击应用。 |
多域情境
多个域基于域优先级。对于在不同域具有相同键值的对象,在同步后,来自高优先级域的数据将覆盖来自低优先级域的数据。
具有相同键值的对象会链接到数据库中的同一条记录。
“用户”的键值是电子邮件地址;“组”的键值是组名。
多域使用示例
此示例假设某组织有两个域 - example1.com 和 example2.com,前者优先级高于后者。
-
添加 user1(电子邮件:user@example1.com)到 example1.com 的 Active Directory。
-
添加 group1(组名:Test)到 example1.com 的 Active Directory。
-
添加 user2(电子邮件:user@example2.com)到 example2.com 的 Active Directory。
-
添加 group2(组名:Test)到 example2.com 的 Active Directory。
- 在 example1.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 https://admin.webex.com 中,而 user1 和 group1 没有。
如果您为 example1.com 执行全面或增量同步,user1 和 group1 会同步。而且,user2 和 group2 会被 user1 和 group1 的信息覆盖。
User1 作为数据库中的相同记录链接到 user2;group1 作为数据库中的相同记录链接到 group2。
- 在 example1.com 和 example2.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 https://admin.webex.com 中,而 user1 和 group1 没有。
请考虑这些步骤:
- 在 example1.com 的 Active Directory 上删除 user1 和 group1。
- 为 example1.com 执行全面或增量同步。
结果:在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1,而 group2 没有链接到 group1。
- 为 example2.com 执行增量同步。
结果:在 https://admin.webex.com 中用户信息无变化。
- 为 example2.com 执行全面同步。
结果:user2 和 group2 的信息在 https://admin.webex.com 中列出。
同步新的域并保留现有域
如果要同步新的域 (B),同时还要保留其他现有域 (A) 上的已同步用户数据,请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后,该连接器会与新的域绑定,而域 (A) 下的用户信息不受影响。
每个域必须自带有效的连接器。请考虑采用以下设置的两个域:带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA);带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中,一个连接器处于活动状态,另一个处于待机状态 (HA)。该设计可保持域同步,因为有一个连接器始终处于活动状态。也就是说,cb1 是域 B 处于活动状态的连接器,因为域 A 已有处于活动状态的连接器(ca1 或 ca2)。
设置域优先级
使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域,等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织,此设置会很有帮助。
如果在 Directory Connector 中只列出了一个域,则不要使用此过程。如果您尝试进行此配置,连接器会显示一条消息,说明不需要域优先级。
开始之前
要避免错误,请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。
| 1 |
从Cisco目录连接器,单击仪表板。 |
| 2 |
转至操作,然后单击设置域优先级。 |
| 3 |
高亮显示列表中的一个域,单击向上或向下更改此域的优先级,然后单击保存保存更改。 各个域会按优先级自上而下排序。 |
切换域
使用此程序将Cisco目录连接器重新绑定到另一个域。
开始之前
-
在切换域之前,确保没有同步任务在运行。
-
要避免错误,请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。
| 1 |
从Cisco目录连接器,单击仪表板。 |
| 2 |
转至操作,然后单击切换域。 |
| 3 |
阅读警告后,如果您理解此更改对部署的影响,而且您仍然确定要更改,请单击是。 如果您切换域,则您将从当前Cisco目录连接器中注销,连接器中的其他域未注册,并且删除该计算机上的连接器信息。 |
| 4 |
重新登录Cisco目录连接器并重新绑定域。 |
关闭目录同步
如果您需要停止从Directory Connector进行同步,可以从Control Hub暂时将其关闭。
| 1 |
从https://admin.webex.com中的客户视图,转至,滚动至目录同步,然后选择一个:
|
| 2 |
阅读提示之后,单击关闭。 同步停止,直到从Directory Connector重新启用它。 |
删除用户属性映射
使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后,属性值将从云中删除,不再与Webex同步。然后可以手动编辑这些值。
| 1 |
从 Directory Connector 中,单击控制板。 |
| 2 |
转至操作,然后单击。 |
| 3 |
选择映射以从属性名称 列表中删除。 |
| 4 |
在受影响的用户范围下,选择以下其中一项:
|
| 5 |
单击应用。 |
管理档案照片
使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。
| 1 |
从 Directory Connector 中,单击控制板。 |
| 2 |
转至操作,然后单击。 |
| 3 |
在操作下,选择以下其中一项:
|
| 4 |
单击 Apply(应用)。 |
卸载并停用目录连接器
卸载 Directory Connector 实例后,必须取消注册它。如果面临以下任何情况,都应该彻底删除 Directory Connector:
-
您不想再使用目录同步。
-
您不想使用多个 Directory Connector(高可用性)中的某一个。
-
您想要更改域并安装其他连接器。
开始之前
-
您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例,请禁用同步。
-
卸载Directory Connector之前,保存并关闭任何重要工作。
| 1 |
在您的 Windows 计算机上,转至“控制面板”,然后单击程序和功能。 |
| 2 |
从程序列表中,单击目录连接器,选择卸载,然后按照提示操作。 您可能需要重启系统来完成卸载。 |
| 3 |
从https://admin.webex.com中的客户视图,转至,滚动至目录同步,单击更多 |
| 4 |
阅读提示之后,单击停用。 用户帐户将不会再同步,除非在高可用性 (HA) 部署中还有其他 Directory Connector。 |
运行诊断工具
您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。
如果同步工作不正确,您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接,因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误,您可以发送详细的日志结果以支持。
-
要为Active Directory域服务运行测试:
-
要运行Active Directory轻量级目录服务的测试:
-
要运行轻量级目录访问协议(LDAP)的测试:
解决Ciso Directory Connector中的问题
目录连接器的故障排除和修复
您可能在Directory Connector中遇到错误消息或其他问题。此外,在Directory Connector同步用户信息后,该连接器可能会向您发送一封电子邮件报告,列出同步存在的任何问题。在联系支持人员之前,请参考以下章节,了解可能出现的问题、可能的原因和建议解决方案。
安装
Directory Connector 停止运行
您收到警告电子邮件,通知您您的Directory Connector无法工作。
-
目录连接器可能未正确安装。
-
目录连接器可能未运行。
-
网络可能不可用。
请尝试以下操作:
-
打开。找到 Directory Connector。如果没有,请从Control Hub下载最新版本并安装。
-
打开服务 并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止,请单击右键并选择“启动”以重启该服务。
-
确保安装Directory Connector的服务器能够访问Internet。
重新安装错误
问题—如果您在卸载旧连接器后立即安装新连接器,可能会看到错误消息。
可能原因—在Windows Server 2012中,卸载客户端需要时间从服务列表中删除服务帐户。
解决方案—经过一段时间后,请再次尝试安装。
登录
SSO登录期间目录连接器崩溃
问题
从SSO登录页输入电子邮件地址后,目录连接器可能会崩溃。
解决方案
请尝试以下操作:
执行以下步骤以配置新的组策略:
-
转至域控制器并打开组策略管理(gpedit.msc)。
-
右键单击特定的OU或域,然后选择在此域中创建GPO,并在此处链接它……
-
给该策略命名,然后右键单击并选择编辑。
执行以下步骤以更改机器级别的策略:
-
转至,右键单击注册表,选择新建,然后选择注册表项。
-
对于关键路径,输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
-
为
值输入禁用脚本调试器,为值数据输入否。设置应匹配此屏幕截图:
请执行以下步骤以在用户级别更改策略:
-
转至,右键单击注册表,选择新建,然后选择注册表项。
-
对于关键路径,输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
-
为
值输入禁用脚本调试器,为值数据输入否。设置应匹配此屏幕截图:
在运行 gpupdate /force、重新启动机器(用于机器更改)或再次输入用户符号(用于用户更改)后,更改将生效。
无法注册Cisco DirSync服务连接器
问题
登录失败,并显示此消息:“无法注册Cisco DirSync服务连接器。”
解决方案
安装Directory Connector的Windows系统必须是Active Directory的成员。
未显示登录页面
问题
您打开目录连接器,登录页未显示。
解决方案
请尝试以下步骤:
-
在Internet Explorer中,转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器(如Chrome和Firefox)中尝试该链接。
-
如果Internet Explorer无法访问该链接,但其他浏览器可以,请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。(使用启用Internet Explorer中的TLS 程序。)
显示登录提示
问题
出现提示提示您输入用户名和密码以通过身份验证。
可能原因
Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败,会弹出对话框以请求身份验证用户名和密码。
解决方案
当您看到登录弹出窗口时,您需要提供具有正确身份验证的有效帐户,以保证传递安全。
无法连接远程服务器
无法注册连接器
问题
您将看到错误消息“无法注册连接器。发生了一般例外。”
可能原因
在大多数情况下,问题在于Directory Connector没有连接到LDAP根上下文的特权。
解决方案
请尝试以下操作:
-
运行命令提示符(cmd),然后输入 ldp.exe。
-
单击,选择绑定为当前登录用户,然后单击确定。
-
单击,输入DC=arbonneintl,DC=ad 作为BaseDN,然后单击确定。
-
如果问题继续,打开支持案例。
同步
头像未同步
问题
Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。
可能原因
如果您重复使用现有的头像服务器,并且用户头像已经同步,则本地缓存将捕获它们,并避免再次重订以保存带宽。
解决方案
按照以下步骤删除本地缓存:
-
转至C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
删除DirSyncPluginAvatar.dll-cache.bin。
-
从Cisco目录连接器重新启动头像同步。
用户电子邮件帐户冲突
问题
同步结果可能会显示有冲突的用户电子邮件帐户。
-
如果用户尝试了Webex应用程序的免费版本,他们的电子邮件地址将位于免费消费者组织中。
-
如果用户电子邮件在另一个组织中已同步。
-
如果用户电子邮件存在于属于组织的多个域中。
解决方案
请尝试以下操作:
-
如果您要向用户索要权,请按照以下步骤操作:
-
确保您已在 Control Hub中验证该域。
-
暂时禁用Cisco目录连接器。
-
使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关详细信息,请参阅向您的组织索要用户(转换用户) 。
-
在Cisco Directory Connector中运行干燥,然后重新启用目录同步
-
-
对于最后一个案例,请复选您的Active Directory源中的用户数据。
已转换用户标记为非活动
问题
在您的目录同步环境中,您将免费(消费者组织)用户转换为企业组织,但转换用户无法登录Webex应用程序。
可能原因
当自由用户转换为企业组织时,该用户将被标记为非活动状态为30天,作为安全合规措施。在此期间内,用户无法登录Webex应用程序,并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。
解决方案
如果您不想删除该用户帐户,必须采取行动。要解决此问题,请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后,从Cisco Directory连接器执行同步。然后,用户可以再次登录Webex应用程序,帐户不会被删除。
增量同步失败
问题
增量同步失败。
在以下条件下可能会在Windows Server 2008 R2上出现此问题:
-
您支持增量值更新。
-
您使用的筛选器引用链接值属性。
-
该属性的结果值自上次进行完全同步以来已更新。
解决方案
Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。
属性的值无效
问题
对于 [user dn (distinguished name)],属性 [attribute name] 有以下无效值 [attribute value]。
可能原因
对于CN=b,OU=Employees,OU=C Users,DC=c,DC=com,属性[电话号码]具有以下无效值:+。此属性必须包含至少一个数字。
解决方案
此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。
要删除匹配的用户
问题
匹配的用户将被标记为要删除。
当执行干运行同步以检查Active Directory和云之间的数据时,您可能会在两者中看到相同的电子邮件地址。但是,用户被标记为要删除的对象。
解决方案
选择适当的修复:
-
如果可以在之后删除用户并重新执行许可证,您可以使用Directory Connector进行修复。执行同步以删除用户,然后执行其他同步以将用户从本地AD同步到云。
-
如果您无法删除并重新创建用户帐户,请在支持下打开案例。
缺少属性
问题
添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值,否则不会在Control Hub中创建该条目。
可能原因
必需属性的 email address 缺失。添加内部条目时[CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local],除非所有必需属性都具有值,否则不会在Control Hub中创建条目。
解决方案
用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。
嵌套组无法同步
问题
嵌套的Active Directory组中的用户未正确与云同步。
可能原因
使用不受支持的子组和父组的筛选器。例如:(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
解决方案
必须重新配置同步组的过滤器。例如:|(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
用户命名冲突
问题
对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言,[用户电子邮件地址],以及用户类型[user_type]。
可能原因
已在Control Hub中存在该电子邮件地址的用户。
解决方案
在Active Directory中创建用户,其电子邮件地址与您通过Control Hub注册的帐户相同。
Control Hub
Control Hub中缺少用户列表
问题
如果您拥有超过1000名同步用户的Webex组织,则可能无法在Control Hub中看到用户列表。
解决方案
您可以使用搜索功能查找用户帐户。在Control Hub中,转至用户,单击搜索,然后输入搜索条件以查找特定用户。
组不会同步到Control Hub
问题
目录组中的用户无法正确同步到Control Hub。
可能原因
在Active Directory中,该组未标记为 isCriticalSystemObject 。
解决方案
确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。
启用 Directory Connector 故障诊断
您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息,并将其保存至文件。
以下日志文件: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
运行 |
| 2 |
重启服务。 请参阅如何启动服务获取指导。 |
| 3 |
在目录连接器中,单击仪表板。 |
| 4 |
转至操作,然后单击。 |
| 5 |
启用故障诊断后,重复执行导致错误的操作,这样将捕获流量数据,以便进行检查。 |
| 6 |
检查日志文件:如果文件空白,请确保帐户有权访问 AD DS 或 AD LDS。 日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。 |
| 7 |
如有必要,向支持人员发送日志文件以获取协助。 |
| 8 |
诊断完成后,请禁用故障诊断功能。 |
启动事件查看器
若要查看完全或增量同步期间发生的事件,请启动“事件查看器”。它显示管理事件和错误日志的摘要。
| 1 |
从Directory Connector转至仪表板,然后单击。 “事件属性”对话将显示同步事件详细信息与错误详细信息。 |
| 2 |
从事件查看器,转至。
|
| 3 |
在操作下,单击保存所有事件为 将所有日志导出为单个事件文件(*。evtx)或其他格式(如xml或csv)。 |
下一步
如果您需要打开案例,请联系支持人员,描述连接器的问题,然后将“事件”文件附加到案例中。
事件日志会捕捉用户操作。如需管理网络流量的帮助,请在连接器上启用故障排除。
在Internet Explorer中启用TLS
如果您切换了单点登录(SSO)提供商,您可能会看到来自Cisco目录连接器的以下错误消息:
-
登录到服务时出错
-
此页脚本中出现错误
如果您看到这些错误,必须在浏览器中启用TLS设置。
| 1 |
打开Internet Explorer,然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器,然后再次打开它 |
| 2 |
单击互联网选项 ,转至高级 ,滚动至安全。 |
| 3 |
检查使用TLS 1.1 和使用TLS 1.2 复选框,然后单击确定。
|
| 4 |
重新启动系统以便更改生效。 |
服务帐户登录问题故障诊断
如果您无法登录Cisco目录连接器或无法运行同步,请在联系支持人员之前尝试解决该问题。
| 1 |
尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。 |
| 2 |
根据结果选择一项:
|
| 3 |
至少,确保Cisco DirSync服务(可在Windows服务中找到)配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下,该服务利用Windows登录帐户凭据和身份验证。 |
在Windows注册表中检查SafeDllSearchMode
默认情况下,安全动态链接库(DLL)搜索模式在Windows注册表中设置,然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用,攻击者可以将恶意DLL(与位于系统文件夹中的引用的DLL文件名称相同)放置到应用程序的当前工作目录中。
通常,SafeDllSearchMode已启用,但使用此步骤来复选注册表设置。
开始之前
对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。
| 1 |
在Windows搜索或运行窗口中,键入regedit ,然后按Enter。 |
| 2 |
转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。 |
| 3 |
选择一种:
|
有关详细信息,请参阅动态链接库搜索顺序。
Cisco Directory连接器概述
目录连接器概述
Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件,并将其安装到本地计算机上。
使用Directory Connector,您可以在Active Directory中维护您的用户帐户和数据,因此Active Directory成为唯一的真相来源。当您在内部进行更改时,它会复制到云。
请参阅表中所有的功能、描述和优势:
| 功能 | 描述和优势 |
|---|---|
| 简单易用的控制板 | 该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。 |
| 在同步到云之前进行干燥 | 在云中实施这些更改之前,先对目录进行干燥。之后,运行报告以查看要执行的变更是否与预期一致。 |
| 完全同步和增量同步 | 同步整个目录。或者,仅同步增量变更,从而提高处理能力并缩短同步时间。 |
|
同步多个域(单森林或多森林) |
Directory Connector支持单个森林或多个森林下的多个域(无需使用AD LDS)。对于拥有多个Active Directory域的企业,您可以为每个域安装Directory Connector,将每个域绑定到您的组织,然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态,允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。 |
| 按计划同步 | 按天、小时和分钟设置同步安排。 |
| 轻量级目录访问协议 (LDAP) 过滤器 | 定义 LDAP 搜索条件并实现高效的导入。 |
| 活动目录属性映射 | 将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性,并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据,例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据(职务、部门、经理等)。 |
|
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录 |
如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务,或者您拥有内部Room设备,此功能可让用户从Cisco Webex Calling(云PSTN)电话或Room资源搜索企业联系人目录。
|
| 事件查看器 | 使用事件查看器可确定是否存在同步问题。 |
| 诊断工具和故障排除 | 您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确,您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接,以便在联系支持人员之前自行诊断错误。 在Directory Connector中启用故障排除后,将编写日志,可发送给技术支持。 |
| 自动升级 | 安装 Directory Connector 后,您会在软件有新版本时收到通知。您可以设置自动升级,以便在发布新版本时始终使用最新版本的软件。 |
| 高可用性 | 配置多个连接器,以便在主连接器或机器主机出现宕机情况时提供备用。 |
Directory Connector 分为以下三个部分:
-
Control Hub 是一个单一界面,可让您管理Webex组织的所有方面:如果您希望用户通过企业身份提供商进行身份验证,并且不想为Webex应用程序发送电子邮件邀请,则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
-
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域,您可以为要同步的每个域安装一个软件实例。使用该软件,您可以运行同步以将Active Directory用户帐户带入Webex,查看和监控同步状态,并配置Directory Connector服务。
-
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。
请参考此图了解Directory Connector架构:
为Directory Connector准备您的环境
目录连接器的要求
Windows和Active Directory要求
您可以在这些受支持的Windows服务器上安装Directory Connector:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
要解决Cookie问题,我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。
以下的Active Directory服务支持Directory Connector:
-
2016年活动目录
(在Windows Server 2019上使用最新版本的Active Directory时,支持目录连接器)
-
活动目录2012
-
活动目录2008 R2
-
活动目录2008
请注意以下附加要求:
-
目录连接器需要TLS1.2。您必须安装以下内容:
-
.NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题,请使用 使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
-
.NET Framework v.4.5(TLS1.2必需)
-
-
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。(请参阅什么是 Active Directory 功能级别?获取更多信息。)
硬件要求
您必须在符合以下最低硬件要求的计算机上安装Directory Connector:
-
8 GB RAM
-
50 GB 存储
-
CPU 没有最低要求
网络要求
如果您的网络是防火墙的幕后,请确保您的系统有HTTPS(端口443)访问互联网。
Webex组织要求
-
要从Control Hub访问Directory Connector软件,您需要试用Webex组织或任何付费订阅。
-
(可选)如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态,我们建议您执行以下操作:
-
将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成 。
-
抑制自动电子邮件邀请,这样新用户就不会收到自动电子邮件邀请,您可以进行自己的电子邮件活动。(此功能需要SSO集成。)
有关详细信息,请参阅控制中心中的用户状态和操作。
安装要求
-
对于多个域环境(单森林或多森林),必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B),同时还要保留其他现有域 (A) 上的已同步用户数据,请确保您有受支持的独立 Windows Server 来安装 Directory Connector,以进行域 (B) 同步。
-
要登录连接器,我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。
此本地用户必须拥有该Windows计算机上的权限,才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。(此信息也适用于虚拟机登录。)
-
登录连接器时,登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下,连接器使用本地系统帐户访问Active Directory。但是,您可以使用Windows服务配置其他帐户以访问Active Directory。(此信息也适用于虚拟机登录。)
-
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用:在Windows注册表中检查SafeDllSearchMode。
-
如果您在单个森林上使用多个AD LDS域,我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。
多个域要求
在 Cisco目录连接器部署任务流中跟踪任务之前,如果您要将多个域的Active Directory信息同步到云中,请记住以下要求和建议:
-
每个域需要单独的Directory Connector实例。
-
Directory Connector软件必须运行在其将同步的同一域上的主机。
-
我们建议您在Control Hub中验证或声明您的域。(参见添加、验证和申请域。)
-
如果要同步超过50个域,您必须打开标签 才能让您的组织移动到大型组织列表。
-
如果需要,您可以与用户帐户同步房间资源信息。(请参阅将内部会议室信息同步到Webex云。)
自动许可证分配活动目录组建议
Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。
Active Directory中有两种类型的组:
-
分发组—用于创建电子邮件分发列表。
-
安全组-用于分配共享资源的权限。
在Active Directory中创建组时,请考虑以下指导原则:
-
为每个角色、部门或服务创建全球组(例如销售、营销、经理、会计师、Webex授权等)。
-
在整个组织中使用标准命名规范,以便轻松识别有关组的重要信息。组名称可以包含组的详细信息,例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如,组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
-
以易于理解的方式组织群组,例如按地域或管理层次。使用组描述来完整描述组的目的。
-
在将用户添加到新配置的组之前,请为这些组在Control Hub中定义自动许可证组模板。有关详细信息,请参阅设置自动许可证分配模板 。
调整尺寸信息
Directory Connector是本地Active Directory和Webex云之间的桥梁。因此,连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定,而不是连接器本身。
一些因素会影响同步的速度:
-
Active Directory对象的总数。(5,000个用户同步工作所需的时间不超过50,000。)
-
网络速度和带宽。
-
系统工作负载和规格。
如果您正在同步超过50,000个用户,我们强烈建议您使用第二个连接器进行故障转移和冗余。
由于同步涉及多个因素,并且每个部署取决于上述因素,因此我们无法提供对象同步所需时间的特定时间值。
在Windows注册表中检查SafeDllSearchMode
默认情况下,安全动态链接库(DLL)搜索模式在Windows注册表中设置,然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用,攻击者可以将恶意DLL(与位于系统文件夹中的引用的DLL文件名称相同)放置到应用程序的当前工作目录中。
通常,SafeDllSearchMode已启用,但使用此步骤来复选注册表设置。
开始之前
对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。
| 1 |
在Windows搜索或运行窗口中,键入regedit ,然后按Enter。 |
| 2 |
转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。 |
| 3 |
选择一种:
|
有关详细信息,请参阅动态链接库搜索顺序。
WebEx 代理集成
WebEx 代理集成
如果您的环境中已启用 Web 代理验证,则您仍然可用使用 Directory Connector。
如果您的组织使用透明Web代理,则不支持身份验证。连接器已成功连接和同步用户。
您可以选择下列方法之一:
-
通过Internet Explorer显式Web代理(连接器继承了Web代理设置)
-
通过。pac文件显式网络代理(连接器继承企业特定的代理设置)
-
与连接器配合的透明代理,无需任何更改
通过浏览器使用 Web 代理
您可以通过Internet Explorer设置Directory Connector以使用Web代理。
如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行,那么您还需要用此帐户登录并配置 Web 代理。
| 1 |
在 Internet Explorer 中,转至 Internet 选项,单击连接,然后选择局域网 (LAN) 设置。 |
| 2 |
指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。 |
| 3 |
如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在整个站点范围内执行此操作(针对所有主持人),也可以仅针对具有连接器的主持人。 如果您将这些URL添加到允许列表以完全绕过您的WEB代理,请确保防火墙ACL表已更新,以允许连接器主持人直接访问URL。 |
| 4 |
如果您的环境需要从证书颁发机构请求证书撤销列表,请将这些URL添加到您的允许列表:
有关详细信息,请参阅本文关于Webex Services需要访问的域和URL。 |
通过 PAC 文件配置 Web 代理
您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。
| 1 |
要使连接器成功连接并同步用户信息到Webex云,请确保安装连接器的主机。pac文件配置中已禁用 |
| 2 |
如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在整个站点范围内执行此操作(针对所有主持人),也可以仅针对具有连接器的主持人。 如果您将这些URL添加到允许列表以完全绕过您的WEB代理,请确保防火墙ACL表已更新,以允许连接器主持人直接访问URL。 |
| 3 |
如果您的环境需要从证书颁发机构请求证书撤销列表,请将这些URL添加到您的允许列表:
有关详细信息,请参阅本文关于Webex Services需要访问的域和URL。 |
NTLM代理
Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证,并确保其安全。
NTLM设计
在大多数情况下,用户希望通过客户端PC访问其他工作站资源,这很难以安全的方式进行。
一般来说,NTLM的技术设计基于挑战
和响应
机制:
-
用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同,密码的哈希值在本地存储。当用户通过密码登录客户端时,Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同,则验证将通过。
当用户想要访问其他服务器中的任何资源时,客户端会向服务器发送一个请求,帐户名称为纯文本。
-
当服务器收到请求时,服务器会生成16位随机密钥。关键称为Challenge(或Nonce)。在服务器返回客户端之前,挑战将存储在服务器中。然后,服务器将挑战以纯文本形式发送给客户端。
-
客户端收到服务器发送的挑战后,客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后,该值将返回到服务器。
-
当服务器从客户端收到加密值时,服务器将其发送到域控制器进行验证。请求包括:帐户名称、客户端发送的加密挑战,以及原始的简单挑战。
-
域控制器可以根据帐户名称检索密码的哈希值。然后,域控制器可以对原始挑战进行加密。然后,域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同,验证将成功。
Windows在操作系统中内置了安全验证,使应用程序更容易支持安全验证。因此,您无需完成进一步的配置。
配置透明代理
在这种情境下,浏览器不会知道透明 Web 代理正在拦截 http 请求(端口 80/端口 443),因此不需要客户端配置。
| 1 |
部署透明代理,以便连接器可以连接和同步用户。 |
| 2 |
确认代理已成功—启动连接器时,您会看到预期的浏览器身份验证弹出窗口。 |
设置代理身份验证
通过创建访问控制列表,将URL cloudconnector.webex.com 添加到允许列表中。
在企业防火墙服务器上:
| 1 |
如果尚未启用 DNS 查找,请启用。 |
| 2 |
确定此连接的估计带宽(连接器约为2 mb/s或以下)。这不是必须执行的步骤。 |
| 3 |
创建访问控制列表以应用于连接器主机,并指定 例如: access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https |
| 4 |
将此ACL应用于相应的防火墙接口,该接口仅适用于此单个连接器主持人。 |
| 5 |
通过配置相应的隐式拒绝声明,确保企业中的其他主机仍需使用 Web 代理。 |
部署目录连接器
Cisco目录连接器部署任务流程
| 1个 |
Control Hub最初将目录同步显示为禁用状态。 要为组织打开目录同步,必须安装和配置Directory Connector,然后成功执行完整同步。 要重新安装Directory Connector,请始终转至Control Hub (https://admin.webex.com)获取软件的最新版本,以便您使用最新的功能和故障修复。 安装软件后,将通过软件报告升级,并在可用时自动安装。 |
| 2个 |
使用您的Webex管理员凭据登录,并执行初始设置。 |
| 3个 |
将Directory Connector软件更新到最新版本始终非常重要。 我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。 |
| 4个 |
默认情况下,Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。 要对哪些对象进行同步的更多控制,您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。 |
| 5个 |
您可以将本地Active Directory中的属性映射到云中的相应属性。 唯一必填字段是*uid。 |
| 6个 |
使用以下程序之一同步目录头像: 您可以将用户的头像同步到云,以便每个用户登录应用程序时显示他们的头像。 您可以从Active Directory属性或资源服务器同步化头像。 |
| 7 |
使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的房间设备(例如Webex Room设备或Cisco Webex Board)上的可搜索条目 |
| 8个 |
要从Active Directory向Control Hub提供用户,请执行以下步骤: 按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。 在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 目标是在Active Directory和Webex云之间实现精确匹配。 |
安装目录连接器
Control Hub最初将目录同步显示为禁用状态。 要为组织打开目录同步,必须安装和配置Directory Connector,然后成功执行完整同步。
您必须为要同步的每个Active Directory域安装一个连接器。 单个目录连接器实例只能服务单个域。 请参阅下图了解多个域同步的流程:
开始之前
如果您通过代理服务器进行身份验证,请确保您拥有代理凭据:
-
对于代理基本身份验证,安装连接器的实例后,您将输入用户名和密码。 基本身份验证也需要Internet Explorer代理配置;请参阅通过浏览器使用Web代理
-
对于代理NTLM,第一次打开连接器时可能会看到错误。 请参阅通过浏览器使用Web代理。
| 1个 |
在控制中心中,转至,然后选择下一步。 |
| 2个 |
单击下载和安装链接,将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。 您可以直接从此链接获取。zip文件,但必须对Control Hub组织的完整管理访问权限才能使用此软件。 对于新安装,请获取软件的最新版本,以便使用最新的功能和bug修复。 安装软件后,将通过软件报告升级,并在可用时自动安装。 |
| 3个 |
在VMware或Windows服务器上,解压缩并在设置文件夹中运行。msi文件,以启动设置向导。 |
| 4个 |
单击下一步,勾选框以接受许可协议,然后单击下一步,直到您看到帐户类型屏幕。 |
| 5个 |
选择要使用的服务帐户类型,并使用管理员帐户执行安装:
要避免错误,请确保具有以下权限:
|
| 6个 |
单击安装。 网络测试运行后,如果出现提示,输入您的代理基本凭证,单击确定,然后单击完成。 |
下一步该做什么
我们建议您在安装后重新启动服务器。 当数据未发布时,干运行报告无法显示正确结果。 重启计算机时,所有数据都会刷新以在报告中显示准确结果。
登录到目录连接器
开始之前
确保您拥有代理凭据。
-
对于Proxy basic-auth,第一次打开连接器后将输入用户名和密码。
-
对于代理NTLM,打开Internet Explorer,单击齿轮图标,转至 Internet选项>连接> LAN设置,确保已添加代理服务器信息,然后单击确定。 请参阅通过浏览器使用Web代理。
| 1个 |
打开连接器,如果看到提示,则将 |
| 2个 |
如果出现提示,请使用代理身份验证凭据登录,然后使用您的管理员帐户登录Webex,然后单击下一步。 |
| 3个 |
确认您的组织和域。
|
| 4个 |
出现确认组织屏幕后,单击确认。 如果您已绑定AD DS/AD LDS,将显示确认组织屏幕。 |
| 5个 |
单击确认。 |
| 6个 |
根据要绑定到Directory Connector的Active Directory域数,选择一个:
|
下一步该做什么
登录后,系统提示您执行干运行同步。
目录连接器仪表板
当您首次登录Directory Connector时,会显示仪表板。 在这里,您可以查看所有同步活动的摘要、查看云统计、执行干运行同步、启动完整或增量同步并启动事件视图以查看错误信息。
您可以从“操作”工具栏或“操作”菜单轻松运行这些任务。
|
组件 |
描述 |
|---|---|
|
当前同步 |
显示当前正在进行的同步的状态信息。 当未运行同步时,状态显示处于空闲状态。 |
|
下一次同步 |
显示下一个已安排的完整和增量同步。 如果未设置计划,将显示未计划。 |
|
上次同步 |
显示最近两次已执行同步的状态。 |
|
当前同步状态 |
显示同步的总体状态。 |
|
连接器 |
显示可用于云的当前本地连接器。 |
|
云统计 |
显示同步的总体状态。 |
|
同步计划 |
显示增量同步和完全同步的同步计划。 |
|
配置摘要 |
列出配置中更改的设置。 例如,摘要可能包括以下内容:
|
| 行动 | 描述 |
|---|---|
| 开始增量同步 |
手动启动增量同步 暂停或禁用同步时,如果未完成完全同步或同步正在进行中,则此操作将禁用。 |
|
同步干运行 |
执行干运行同步。 |
|
启动活动查看器 |
启动Microsoft Event Viewer。 |
|
刷新 |
刷新Cisco目录连接器仪表板 |
|
行动 |
描述 |
|---|---|
| 立即同步 |
立即开始完全同步。 |
|
同步模式 |
选择增量或完全同步模式。 |
|
重置连接器秘密 |
在Cisco目录连接器和连接器服务之间建立对话。 选择此操作将重置云中的秘密,然后在本地保存秘密。 |
|
干运行 |
对同步过程执行测试。 在进行完全同步之前,必须先进行干运行。 |
|
故障排除 |
打开/关闭故障排除。 |
|
刷新 |
刷新Cisco目录连接器主屏幕。 |
|
退出 |
退出Cisco目录连接器。 |
|
关键组合 |
行动 |
|---|---|
|
Alt +A |
显示操作菜单 |
|
|
现在同步 |
|
|
重置连接器秘密 |
|
|
干运行 |
|
|
增量同步 |
|
|
完全同步 |
|
|
显示帮助菜单 |
|
|
帮助 |
|
|
关于 |
|
|
常见问题 |
设置自动升级
| 1个 |
从Directory Connector,转至,然后检查自动升级到新的Cisco Directory Connector版本。 |
| 2个 |
单击应用保存更改。 |
新版本的连接器可用时将自动安装。
您可以手动管理升级(如果您愿意)。 有关更多信息,请参阅升级至最新软件版本。
选择要同步的Active Directory对象
默认情况下,Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。 要对哪些对象进行同步的更多控制,您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
自动许可证分配组
Control Hub允许您按组管理许可证分配。 您可以创建许可证模板,并将其映射到同步到云的Active Directory组。 在用户创建时,Webex检查该新用户的用户会员身份和自动许可证模板映射。
我们建议您使用LDAP过滤器仅将相关组同步到云。 例如,您可以将过滤器设置为:
(&(cn=示例)(objectclass=组))*
此过滤器将以Example开头的基础DN中的所有组同步。 未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。
混合数据安全部署组
在Directory Connector中,如果您使用混合数据安全为试点用户配置试用组,则必须检查组。 请参阅混合数据安全部署指南获得指导。 此目录连接器设置不会影响云中的其他用户同步。
开始之前
| 1个 |
从目录连接器转至配置,然后单击对象选择。 |
| 2个 |
在对象类型部分中,检查用户,并考虑限制用户可搜索容器的数量。 例如,如果您想仅同步特定组中的用户,必须在用户LDAP过滤器字段中输入LDAP过滤器。 如果要同步示例管理器组中的用户,请使用以下过滤器:
|
| 3个 |
检查识别房间以将房间数据与用户数据分开。 要设置其他属性,将用户数据识别为房间数据,请单击自定义。 如果要将内部会议室信息从Active Directory同步到Webex云时,请使用此设置。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。 有关详细信息,请参阅将内部会议室信息同步到Webex云。 |
| 4个 |
要将Active Directory用户组同步到云,请检查组。 不要向“组”字段添加用户同步LDAP筛选器。 您仅应使用“组”字段将组数据本身同步到云。 默认情况下,组不会为新客户同步。 必须启用组同步。 还必须同步安全组。 |
| 5个 |
如果要将用户的联系信息同步到云,请检查联系人。 目录连接器仅管理由连接器同步的联系人。 如果Control Hub中已经有联系人,则同步不会删除联系人。 如果从同步范围中删除联系人,则在Control Hub中也会删除用户的联系信息。 |
| 6个 |
配置 LDAP 过滤器。 您可以通过提供有效的LDAP过滤器来添加扩展过滤器。 有关配置LDAP过滤器的更多信息,请参阅本文。 |
| 7 |
单击选择以查看Active Directory树结构,指定要同步的On Premises Base DN。 您可以在此处选择或取消选择要搜索的容器。 |
| 8个 |
检查要为此配置添加的对象,然后单击选择。 您可以选择要用于同步的单个容器或母容器。 选择父容器,以启用所有子容器。 如果您选择子容器,母容器会显示灰色复选标记,表示孩子已检查。 然后,您可以单击选择以接受选中的Active Directory容器。 如果您的组织将所有用户和组放置在“用户”容器中,则无需搜索其他容器。 如果您的组织被分为组织单位,请确保选择OU。 |
| 9 |
单击应用。 选择一个选项:
有关干运行的信息,请参阅在Active Directory用户上执行干运行同步。 对于组同步,您必须执行完整同步: 将Active Directory用户完全同步到云中。 |
映射用户属性
您可以将本地Active Directory中的属性映射到云中的相应属性。 唯一的必填字段是*uid,这是云身份服务中每个用户帐户的唯一标识符。
您可以选择要映射到云的Active Directory属性—例如,您可以映射到Active Directory中的 firstName lastName,或将自定义属性表达式映射到云中的 displayName。
Active Directory中的帐户必须有一个电子邮件地址;uid映射默认为邮件的广告字段(不是 sAMAccountName)。
如果您选择使用首选语言来自Active Directory,则Active Directory是唯一的真理来源: 用户将无法在Webex设置中更改其语言设置,管理员也无法在Control Hub中更改设置。
| 1个 |
从Directory Connector,单击配置,然后选择用户属性映射。 此页显示Active Directory(左侧)和Webex云(右侧)的属性名称。 所有必需属性都标有红色星号。 |
| 2个 |
向下滚动到 Active Directory属性名称的底部,然后选择其中一个Active Directory属性以映射到云属性uid:
您可以将其他Active Directory属性映射到uid,但我们建议您使用上述指南中的邮件或userPrincipalName。 在某些情况下,使用userPrincipalName来登录,但使用用户的电子邮件地址来管理他们的日历。 您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。 将userPrincipalName作为备用电子邮件地址添加。 要查看Active Directory中的哪些属性与云中的对应关系,请参阅在Directory Connector中映射Active Directory属性。 要使同步工作,您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口,以提醒您,如果您没有选择推荐的属性。 |
| 3个 |
如果预定义的Active Directory属性不适用于部署,请单击属性下拉菜单,滚动到底部,然后选择自定义属性以打开一个窗口来定义属性表达式。 单击帮助以获取有关表达式的更多信息,并查看表达式如何工作的示例。 您还可以查看自定义属性的表达式以了解更多信息。 在此示例中,我们将将Active Directory属性
Directory Connector验证身份服务中的uid的属性值,并在当前用户过滤选项下检索3个可用用户。 如果所有3个用户都具有有效的电子邮件格式,则Cisco Directory Connector将显示以下消息:
如果无法验证属性,您将看到以下警告,并可以返回到Active Directory以检查和修复用户数据:
|
| 4个 |
(可选)如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中,选择手机和电话号码的映射。 当用户将鼠标悬停在另一个用户的档案照片上时,电话号码数据会显示在Webex应用程序中。 有关从用户联系人卡呼叫的更多信息,请参阅在Webex (Unified CM)部署指南(管理员)。 |
| 5个 |
选择其他映射以显示在联系人卡中的更多数据:
映射属性后,当用户将鼠标悬停在另一个用户的档案图片上时,会显示信息:
有关联系卡的更多信息,请参阅验证您的联系人。 将这些属性同步到每个用户帐户后,您还可以在Control Hub中打开People Insights。 此功能允许Webex App用户在配置文件中共享更多信息,并相互了解。 有关该功能以及如何启用该功能的更多信息,请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events(新建)People Insights Profiles |
| 6个 |
做出选择后,单击应用。 |
Active Directory中包含的任何用户数据都会覆盖与该用户对应的云中的数据。 例如,如果您在Control Hub中手动创建用户,则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。 在Active Directory中没有相应电子邮件地址的用户将被删除。
已删除的用户将在云身份服务中保留7天,然后被永久删除。
活动目录和云属性
您可以使用用户属性映射选项卡将本地Active Directory中的属性映射到云中的相应属性。
此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。 这些值和映射是Directory Connector中的默认设置。 您可以在Active Directory下拉菜单中选择不同的属性,并确定哪些内部属性与哪个云属性同步。
将下拉菜单属性视为预设。 作为Active Directory行中的值的替代,您还可以在Active Directory中指定自定义属性(具有多个属性的表达式)以映射到相应行中的单个云属性。 这样,您可以灵活地确定用户的显示名称,例如,您可以添加一个表达式,根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。
您还可以指定任何Active Directory属性,以映射到云中的uid。 但是,您必须确保内部属性遵循有效的电子邮件格式。
您还可以使用其他电子邮件地址,例如,如果您想使用userPrincipalName进行登录,但用户的电子邮件地址用于管理他们的日历。 在这种情况下,将其他电子邮件地址映射到电子邮件;类型-工作属性。 这是用于身份验证的电子邮件;它不用于管理您的日历。 您从AD映射的电子邮件地址必须来自您组织内的验证域,并且必须是唯一并且不会分配给其他用户。
|
活动目录属性名称 |
Webex云属性名称 |
注释 |
|---|---|---|
|
— |
建筑名称 |
— |
|
c |
c |
此属性指定用户的国家缩写。 |
|
部门号码 |
部门号码 |
|
|
显示名称 |
显示名称 |
此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。 |
|
用户帐户控制 |
ds-pwp-account-disabled |
此属性用于用户同步。 确保 userAccountControl 属性映射到 ds-pwp-account-disabled,或者用户未正确同步。 |
|
员工号码 |
员工号码 |
— |
|
传真电话号码 |
传真电话号码 |
— |
|
— |
jabberID |
此云属性与Jabber使用的IM地址(XMPP类型)有关。 此值与sipAddresses不同。 |
|
L的 |
L的 |
此属性指定用户的城市。 |
|
— |
Category:本地 |
— |
|
经理 |
经理 |
|
|
移动设备 |
移动设备 |
此属性被用作显示从联系人卡呼叫用户的移动号码。 |
|
或 |
或 |
此属性指定公司或组织的名称,并显示在联系人卡中。 |
|
或 |
或 |
此属性指定组织单位的名称。 |
|
physicalDeliveryOffice名称 |
physicalDeliveryOffice名称 |
此属性指定用户的办公位置。 |
|
邮政编码 |
邮政编码 |
此属性指定了用于实际邮件交付的用户的邮政或邮政编码。 |
|
首选语言 |
首选语言 |
此属性设置用户的首选语言,支持以下格式: xx_YY或xx-YY。 下面是一些示例: en_US,en_GB,fr-CA。 如果您使用不受支持的语言或无效的格式,用户的首选语言将更改为组织的语言集。 |
|
MSRTCSIP-主要用户地址 ipPhone |
SipAddresses;type=enterprise |
此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。 |
|
sn |
sn |
此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。 |
|
圣 |
圣 |
此属性指定用户的状态或省。 |
|
街道地址 |
街道 |
此属性指定用于实际邮件递送的用户的街道地址。 |
|
电话号码 |
电话号码 |
此属性指定用于从联系人卡呼叫用户的主要(工作)电话号码。 |
|
— |
时区 |
此云属性指定用户的时区。 |
|
标题 |
标题 |
|
|
类型 |
企业 |
— |
|
*邮件 *用户主要名称 |
uid |
强制性的属性映射。 对于每个用户帐户,Active Directory值映射到云中的唯一的UID。 在某些情况下,使用userPrincipalName来登录,但使用用户的电子邮件地址来管理他们的日历。 您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。 将userPrincipalName作为备用电子邮件地址添加。 然后用户可以使用这两个电子邮件地址之一登录,只要正确的 SAML属性映射就行了。 请参阅下面的示例属性映射,了解如何映射替代电子邮件地址。 |
|
*用户主要名称 *邮件 <自定义属性> |
电子邮件;类型工作 |
此映射是可选的,如果您想使用其他电子邮件地址,请使用此映射。 这是用于身份验证的电子邮件;它不用于管理您的日历。 您从AD映射的电子邮件地址必须来自您组织内的验证域,并且必须是唯一并且不会分配给其他用户。 |
|
<Azure用户对象Id的新属性> |
外部ID |
创建新的Active Directory属性以保留Azure用户对象ID,使其不会与现有的ID冲突。 此属性随后映射到externalId属性,确保Webex用户在Microsoft 365中创建群组时,会自动在Webex中创建群组。 |
替代电子邮件地址映射
自定义属性的表达式
|
操作员 |
描述和示例 |
|---|---|
|
% |
如果匹配,将字符串开头的所有字符删除到字符或字符串参数的位置。
|
|
- |
从指定字符串的末端剥离输入字符串的背部。
|
|
+ |
连接输入字符串或表达式。
|
|
| |
根据空字符串评估分隔表达式,并选择第一个非空结果。
|
将Active Directory属性中的目录头像同步到云
您可以将用户的目录头像同步到云,以便在登录Webex应用程序时显示每个头像。 使用此程序同步来自Active Directory属性的原始头像数据。
| 1个 |
从Directory Connector,转至配置,单击阿凡达,然后检查启用。 |
| 2个 |
对于从获取头像,选择AD属性,然后选择头像属性,其中包含要同步到云的原始头像数据。 |
| 3个 |
要验证头像是否正确访问,请输入用户的电子邮件地址,然后单击获取用户头像。 头像出现在右侧。 |
| 4个 |
验证头像显示正确后,单击应用保存更改。 |
-
同步的图像成为Webex应用程序中用户的默认头像。 在Directory Connector启用此功能后,不允许用户设置自己的头像。
-
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步该做什么
执行干运行同步;如果没有问题,则执行完全同步,以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。
将目录头像从资源服务器同步到云
您可以将用户的目录头像同步到云,以便在登录Webex应用程序时显示每个头像。 使用此程序从资源服务器同步化头像。
开始之前
-
此过程中的URI模式和变量值是示例。 您必须使用目录头像所在位置的实际URL。
-
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。 连接器需要http或https访问图像,但图像不需要在互联网上公开访问。
-
头像数据同步与Active Directory用户配置文件分开。 如果您运行代理,必须确保NTLM身份验证或基本身份验证可以访问头像数据。
| 1个 |
从Directory Connector,转至配置,单击阿凡达,然后检查启用。 |
| 2个 |
对于从获取头像,选择资源服务器,然后输入头像URI模式—例如, 让我们来看看阿凡达URI模式的每个部分及其含义:
|
| 3个 |
(可选)如果您的资源服务器需要凭证,请检查为头像设置用户凭证,然后选择使用当前服务登录用户或使用此用户并输入密码。 |
| 4个 |
输入变量值—例如: |
| 5个 |
单击测试以确保头像URI模式正常工作。 在此示例中,如果一个AD条目的邮件值为 |
| 6个 |
验证了URI信息并看起来正确后,单击应用。 有关使用正则表达式的详细信息,请参阅 Microsoft正则表达式语言快速参考。 |
-
同步的图像成为Webex应用程序中用户的默认头像。 在Directory Connector启用此功能后,不允许用户设置自己的头像。
-
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步该做什么
执行干运行同步;如果没有问题,则执行完全同步,以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。
将内部会议室信息同步到Webex云
使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的Webex设备(房间、桌面和板)上的可搜索条目。
| 1个 |
从Directory Connector转至同步,单击同步域旁边的 |
| 2个 |
检查将房间信息同步到云,在同步过程中将房间数据与用户数据分开。 禁用此设置时,将以与用户同步数据相同的方式处理会议室数据。 |
| 3个 |
转至属性映射,然后更改云属性的属性映射sipAddresses;type=enterprise。 要使用值验证,SIP地址的值应为Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4个 |
在Exchange中创建会议室资源邮箱。 这将添加连接器用于识别房间的 msExchResourceMetaData;ResourceType:Room 属性。
|
| 5个 |
从Active Directory用户和计算机,导航到并编辑会议室的属性。 使用sip的前缀添加完全合格SIP URI:
|
| 6个 |
在连接器中执行干运行同步,然后执行完整运行同步。 新会议室对象列出已添加对象,匹配的会议室对象将出现在匹配对象中干运行报告中中。 任何标记要删除的房间对象都位于已删除的房间下。
干运行结果显示所有匹配的房间资源。
此设置将Active Directory房间数据(包括房间属性)与用户数据分离。 同步完成后,连接器仪表板上的云统计数据将显示与云同步的房间数据。
|
下一步该做什么
现在您已完成这些步骤,当您在Webex云注册设备上搜索时,您将看到使用SIP地址配置的同步房间条目。 当您将Webex设备拨入该条目时,将呼叫放置到为房间配置的SIP地址。
从Control Hub,您可以自动从目录导入会议室并创建工作空间。
端点无法将呼叫回传回至Webex应用程序。 对于测试拨号设备,这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。 如果您正在搜索的Active Directory会议室系统已注册到Webex,并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上,则搜索结果不会显示重复条目。 在Webex应用程序中直接拨打Room、Desk或Board设备,不会进行SIP呼叫。
在目录同步结果上发送电子邮件报告
默认情况下,组织联系人或管理员总是会收到电子邮件通知。 使用此设置,您可以自定义谁应该接收总结目录同步报告的电子邮件通知。
| 1个 |
从Directory Connector,单击配置,然后选择通知。 |
| 2个 |
从Directory Connector中,单击设置,然后在电子邮件接收器旁边切换启用报告同步。 |
| 3个 |
如果要覆盖默认通知行为并添加一个或多个电子邮件收件人,请选择启用通知。 |
| 4个 |
单击添加,然后输入电子邮件地址。 如果您输入的电子邮件地址格式无效,则会弹出一条消息,告诉您纠正问题,然后才能保存并应用更改。 |
| 5个 |
单击添加电子邮件,然后输入电子邮件地址。 如果您输入的电子邮件地址格式无效,则会弹出一条消息,告诉您纠正问题,然后才能保存并应用更改。 |
| 6个 |
如果您需要编辑您输入的任何电子邮件地址,请双击左侧列中的电子邮件条目,然后进行所需的任何更改。 |
| 7 |
添加所有有效电子邮件地址后,单击应用。 |
| 8个 |
添加所有有效电子邮件地址后,单击保存。 |
下一步该做什么
如果您决定删除电子邮件地址,您可以单击电子邮件以突出显示该条目,然后单击删除。
如果您决定删除电子邮件地址,可以单击特定电子邮件地址条目旁边的删除。
从Active Directory向Control Hub提供用户
按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。 在安装每个域的Directory Connector后,您可以从多个域Active Directory部署(包含单个森林或多个森林)提供用户。 在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 目标是在Active Directory和Webex云之间实现精确匹配。
| 1个 |
执行干运行以比较内部Active Directory中的对象和Webex云中的对象。 干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。 |
| 2个 |
当您运行完全同步时,连接器服务将从Active Directory (AD)的所有过滤对象发送到云。 连接器服务然后用您的AD条目更新身份存储。 如果您创建了自动分配许可证模板,您可以将其分配给新同步的用户。 |
| 3个 |
向Control Hub中的Directory同步用户分配Webex服务 完成从Directory Connector输入到Control Hub的完整用户同步后,您可以使用各种方法分配Webex服务许可证。 我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。 您还可以在此初始步骤后进行个人更改。 |
在您的Active Directory用户上执行干线同步
执行干运行以比较内部Active Directory中的对象和Webex云中的对象。 干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 使用Directory Connector,目标是在Active Directory和Webex云之间实现精确匹配。
如果您在单个森林或多个森林中拥有多个域,则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。
开始之前
在使用Directory Connector之前,您可能已经在Control Hub中拥有一些Webex应用程序用户。 在云中的用户中,有些用户可能会与本地Active Directory对象匹配,并为服务分配许可证。 但有些测试用户可能是在进行同步时要删除。 您必须在Active Directory和Control Hub之间创建完全匹配。
| 1个 |
选择一项:
当干运行完成时,您将看到以下结果之一:
摘要包含有关对象匹配的信息:
干运行通过比较与域用户来识别用户。 如果用户属于当前域,应用程序可以识别用户。 在下一步,您必须决定是删除对象还是保留它们。 不匹配的对象已在Webex云中存在,但在内部Active Directory中不存在。 |
| 2个 |
查看干运行结果,然后根据您使用单个域还是多个域选择一个选项:
|
| 3个 |
在确认干运行提示符中,单击是重执行干运行同步并查看仪表板以查看结果。 在干运行中成功同步的所有帐户都出现在匹配对象下。 如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户,则该条目在已删除用户下列出。 要避免此删除标记,您可以在具有相同电子邮件地址的Active Directory中添加用户。 要查看已同步项目的详细信息,请单击特定项目或匹配对象的相应选项卡。 要保存摘要信息,请单击保存结果至文件。 |
| 4个 |
如果预期结果,请转至,然后单击立即启用进行手动同步,并在此处设置手动模式。 在多个域部署中的最后一个Active Directory域进行同步后,必须为Directory Connector启用自动模式。 只有当对象在Webex云和所有内部活动目录之间完全匹配时,您才可以启用自动模式。 |
下一步该做什么
-
对于您保留的任何不匹配的用户对象,您必须将其添加到Active Directory,以便在内部和云之间实现完全匹配。
-
选择同步类型:
-
首次将新用户同步到云时,将Active Directory用户完全同步到云中。 您可以从进行操作,然后从当前域的用户将同步。
-
设置连接器计划并在运行完整同步后运行增量同步,如果要在初始同步后拾取更改。 建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
默认情况下,增量同步设置为每30分钟(3.4及更早版本)或每4小时(3.5及更高版本)进行,但您可以更改此值。 在您最初执行完全同步之前,增量同步不会发生。
-
-
如果您有多个域,请在已安装的任何其他目录连接器上重复这些步骤。
需要记住的事情
-
启用完全同步之前或更改同步参数时执行干运行。 如果干运行由配置更改启动,您可以在干运行完成后保存设置。 如果您已手动添加用户,执行Active Directory同步可能会导致以前添加的用户被删除。 您可以在完全同步到云之前检查Directory Connector Dry Run报告,以验证所有预期用户都存在。
-
如果匹配的用户被标记为要删除,并且您不确定如何继续,请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。
已删除的用户将在云身份服务中保留7天,然后被永久删除。
将Active Directory用户完全同步到云
当您运行完全同步时,连接器服务将从Active Directory (AD)的所有过滤对象发送到云。 连接器服务然后用您的AD条目更新身份存储。 如果您创建了自动分配许可证模板,您可以将其分配给新同步的用户。
如果您有多个域,则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。
目录连接器同步用户帐户状态—在Active Directory中,任何被标记为禁用的用户在云中也会显示为非活动。
开始之前
-
如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态,则必须执行以下步骤以绕过电子邮件验证:
-
将单点登录与Webex组织集成。 查看
使用Cisco Webex Services和您的组织的身份提供商进行单点登录
有关更多信息。 -
使用Control Hub验证并选择声称电子邮件地址中包含的域。 查看
添加、验证和请求域
. -
抑制自动电子邮件邀请,这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。(您可以进行自己的电子邮件活动。)
尚未登录的已激活用户在Control Hub中显示已验证状态。 登录后,它们将显示为活动状态。 有关用户状态的更多信息,请参阅 Cisco Webex Control Hub中的用户状态和操作。
-
-
启用同步时,Directory Connector要求您先执行干运行。 我们建议您在完全同步之前进行干运行,以发现任何潜在的错误。
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板。
如果您不使用自动分配许可证模板,新同步的用户会自动获得免费许可证。 他们将能够使用与免费帐户的相同的免费功能。
| 1个 |
选择一项:
|
| 2个 |
从Directory Connector转至同步,单击同步域旁边的 |
| 3个 |
确认同步的开始。 对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序会在您执行同步后72小时内反映更改。 您可以按照以下说明尝试清除Webex应用程序的本地缓存: Windows 或 Mac。
|
| 4个 |
要更新同步状态,请单击刷新。 (同步项目出现在云统计下。) |
| 5个 |
有关错误的信息,请从操作工具栏选择启动事件查看器以查看错误日志。 |
| 6个 |
要设置持续增量同步到云的同步计划,请参阅设置连接器计划和运行增量同步。 |
-
完成完全同步后,在Control Hub的设置页面上,目录同步状态将从禁用更新至操作。
-
当所有数据在内部和云之间匹配时,Directory Connector将从手动模式更改为自动同步模式。
-
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件,否则Webex应用程序用户帐户将保持未验证状态,直到用户首次登录Webex应用程序以确认其帐户。 请参阅“开始之前”部分,了解如何将帐户同步为活动用户的指导。
-
如果您有多个域,请在已安装的任何其他目录连接器上执行此步骤。 同步后,您添加的所有域上的用户都会在Control Hub中列出。
-
如果您将单点登录与Webex集成,并且已删除的电子邮件通知,则电子邮件邀请不会发送给新同步的用户。
-
启用目录连接器后,您无法在Control Hub中手动添加用户。 启用后,从Cisco目录连接器执行用户管理,而Active Directory是唯一的真理源。
-
您同步的任何组都出现在Control Hub中,并且您可以分配许可证模板,以便该组中的用户获得许可证。
下一步该做什么
-
当您从Active Directory中删除用户时,该用户将在下次同步后被软删除。 用户处于非活动状态,但云身份档案将保留七天(以便从意外删除中恢复)。
如果您在Active Directory中检查帐户已禁用,则下次同步后该用户将变为非活动。 云身份档案七天后不会删除,以防要再次启用用户。
-
注意增量同步的这些异常(请按照上面的完整同步步骤操作):
-
如果更新了头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
-
属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。
-
向Control Hub中的Directory同步用户分配Webex服务
完成从Cisco目录连接器到Control Hub的完整用户同步后,您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证,或者如果您已经配置了自动分配的许可证模板,则向新用户添加其他许可证。 您可以在此初始步骤后更改个人用户帐户。
完成从Directory Connector输入到Control Hub的完整用户同步后,您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证(如果您已经配置了自动分配许可证模板)。 您可以在此初始步骤后更改个人用户帐户。
当您向Webex应用程序用户分配许可证时,该用户默认会收到一封确认分配的电子邮件。 该电子邮件由Control Hub中的通知服务发送。 如果您将单点登录(SSO)与Webex组织集成,则如果您更愿意直接联系用户,您也可以删除这些自动电子邮件通知。
开始之前
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板。
-
在Active Directory用户上执行干运行同步。
-
确认干运行结果后,在Active Directory用户上进行完全同步。
在完全同步时,用户在云中创建,不添加服务分配,也不发送激活电子邮件。 如果电子邮件未被抑制,新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。
| 1个 |
从 https://admin.webex.com 中的客户视图,转至,单击管理用户,选择修改所有同步用户,然后单击下一步。 |
| 2个 |
选择一个选项: |
下一步该做什么
-
如果电子邮件没有被抑制,将向每个用户发送电子邮件,并邀请其加入和下载Webex。
-
如果您为所有用户选择了相同的Webex服务,那么您可以单独或批量更改分配的许可证。
目录连接器的已知问题
-
2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。 此问题已在 2012 R2 和 2016版本中得到解决。
-
对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序将在执行同步后的72小时内反映更改。
您可以按照以下说明尝试清除Webex应用程序的本地缓存: Windows 或 Mac。
-
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间,此时呼叫将无限响起。
管理Webex应用程序用户
运行增量同步
增量同步会查询 Active Directory,查找自上次同步以来发生的更改。然后,此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。
此同步不会给服务器带来那么多的负载,也不需要像完全同步那样多的时间。完成初始完整同步后,我们建议为后续同步使用增量选项。
开始之前
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板 。
-
注意不支持增量同步的以下异常(请遵循将Active Directory用户完全同步到云中 ):
-
如果更新了头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
-
对于属性映射、基本DN、过滤器和头像设置的新配置更改,增量同步无法工作,需要完全同步。
-
| 1 |
从 Directory Connector 中,单击控制板。 启用同步时,Directory Connector 将要求您首先执行测试。 |
| 2 |
从操作中,如果尚未启用,单击同步模式>启用同步 。 默认情况下,增量同步设置为每30分钟(3.4及更早版本)或每4小时(3.5及更高版本)进行,但您可以更改此值。在您最初执行完全同步之前,增量同步不会发生。当新的增量时间间隔出现时,程序会根据最后一个时间标识检查更改。 |
| 3 |
从操作中,单击立即同步 > 增量。 对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序将在执行同步后的72小时内反映更改。
|
| 4 |
有关错误的信息,单击操作 工具栏中的启动事件查看器 可查看错误日志。 |
下一步
如果您有多个域,请在已安装的其他目录连接器实例上执行此步骤。
恢复意外删除的用户
Directory Connector具有制衡功能,以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器,这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复,并在Control Hub中重新建立用户帐户。
默认情况下,此功能对所有组织都启用。例如,在云中删除用户时,由于从Directory Connector同步后出现不匹配的对象问题,用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除,如果您快速采取行动,您可能能够恢复它们。
当在Active Directory中删除相应帐户时,用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间,您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。
在Active Directory中禁用的用户在Control Hub中标记为Inactive,但用户帐户在7天后不会删除。
| 1 | |
| 2 |
转至用户 并确认特定用户帐户是否处于非活动状态或未列出。 有关详细信息,请参阅控制中心中的用户状态和操作。 |
| 3 |
如果在Control Hub中删除用户,或者您注意到用户处于非活动状态,请转至Active Directory,添加缺失的用户帐户,然后在Directory Connector中执行干运行同步。 使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。 |
| 4 |
执行完全同步,将暂时删除的用户帐户重新同步至Control Hub。 用户被恢复并转至原始状态,包括其帐户状态和服务分配。 |
下一步
返回Control Hub,转至,并确认先前删除的用户帐户出现在用户列表中。
在软删除后永久删除用户
执行干运行后,您可以选择永久删除下次同步时被软删除的用户。
| 1 |
干运行完成后,选择软删除对象。 |
| 2 |
选中要删除的用户旁边的复选框。 |
| 3 |
选择完成。 |
下一步
下次同步时,已检查的用户将被永久删除。
更改Webex应用程序电子邮件地址
如果您想更改用户电子邮件地址,并且您的组织使用Directory Connector,请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。
如果您只想更改一个用户的电子邮件或某个值,请勿从Active Directory中删除该用户,然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户,用户空间和云中的其他数据将丢失。
目录连接器不限制电子邮件域更改。但是,当用户重新同步到云时,用户状态取决于您的组织中是否验证新域。如果组织中未验证域,则在完全同步后,用户的状态将更改为“待定”。有关更多信息,请参阅管理您的域。
如果您的组织不使用Directory Connector,您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址 ,了解用户可以遵循的步骤来更改电子邮件。
更改 Active Directory 域
您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。
| 1 |
设置新的 Active Directory (AD) 域。 |
| 2 |
禁用所有连接器上的同步。 |
| 3 |
卸载所有连接器。 |
| 4 |
在案例提交中,请确保请求删除组织中的域配置和所有同步属性。 在打开案例以更改域之前,请确保未运行同步功能。在案例解决之前,不要更改Active Directory中的任何用户电子邮件地址。 |
| 5 |
解决案例后: 在进行实际同步之前,使用Directory Connector执行测试运行。 |
域声明
如果您为某个组织申请电子邮件域名,从而在付费客户组织中创建任何旁边的帐户,而不是免费消费者组织中,则会出现域索偿。您只能通过支持案例进行域申索(有关更多信息,请参阅下面的链接)。
如果Directory Connector处于活动状态并且该域已声明,则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户,受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。
在目录同步组织中转换免费的Webex应用程序用户
您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序,则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户,请在打开Directory Connector之前将其迁移(转换)到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。
如果您未在激活前转换帐户,请关闭 Directory Connector 以对帐户进行转换。
如果启用目录同步时尝试转换用户,将显示错误消息 无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。
一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中,而不是不匹配对象。如果要将这些用户迁移到您的组织,则需要将这些用户添加到您的AD列表。
如果您未添加这些用户,它们将在您旁边同步到云时全部删除。
| 1 |
从 Directory Connector 中禁用目录同步功能。 |
| 2 |
按照在Control Hub中转换无许可用户 程序将用户从免费消费组织转换为企业组织。 此步骤将用户添加到您的组织,帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源,目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前,确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。 |
| 3 |
在Directory Connector上,执行干运行同步。测试完成后,查看“添加对象”标签页。验证是否未删除您已转换的任何用户。 您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中,则Directory Connector将区分大小写,并删除其检测到电子邮件地址不匹配的转换用户(例如,user1@example.com和User1@example.com)。 如果已删除任何转换的用户,他们将失去所有Webex应用程序空间。 |
| 4 |
如果您确定下一次同步将不会删除任何帐户,请从 Directory Connector 重新启用目录同步。 |
如果您没有验证域,转换的用户帐户不会自动激活。例如,如果您打开自动分配许可证模板,然后在没有域验证的情况下打开Directory Connector,转换后的用户将在云后端处于非活动状态,直到他们确认其电子邮件地址。
侧边的Webex应用程序用户帐户
当您邀请其他用户到Webex应用程序中的空间时,如果受邀用户没有Webex应用程序帐户,则为他们创建帐户(“侧面”)。缺省情况下,以此方式创建的帐户将添加至自由消费者组织中。
如果要使用Directory Connector管理侧栏帐户,则必须转换帐户。
目录同步后更改Webex应用程序用户名格式
默认情况下,Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。
执行目录同步后,您可能会发现该用户名以格式显示。
如果Active Directory中的 displayName 属性以这种方式配置,此用户名可能会出现。当属性映射到云中的 displayName 时,名称会在Control Hub中以格式显示。
若要更改格式,请在 Directory Connector 属性映射屏幕中进行如下操作:将Active Directory属性 givenName sn (或 sn givenName)映射到Cisco云属性名称中的 displayName 。
或者,将属性 sn givenName 映射到 displayName:
如果您想将自己的自定义属性表达式映射到 displayName,也可以使用“自定义属性”选项。
例如,输入givenName + "" + sn (名字、空间、姓氏)作为表达式。将Active Directory中的两个属性映射到云中displayName 。
允许用户在Webex Meetings中更改显示名称
如果您想允许用户编辑首选的显示名称,您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称,而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。
| 1 |
从Directory Connector,单击配置,然后选择用户属性映射。 |
| 2 |
在 Cisco云属性名称 下选择显示名称。 |
| 3 |
选择不同步此属性。 |
下一步
用户现在可以从Webex站点编辑显示名称。
Directory Connector 故障诊断
升级到最新软件版本
要保持部署合规并获取最新功能、功能、错误修复和安全增强功能,您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本,则可能会遇到问题,例如Directory Connector不再正常同步,或者处于不支持强制性 TLS 1.2要求的版本上。
Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。
虽然您可以手动安装连接器软件更新更新,但我们建议您遵循设置自动升级 中的步骤,让应用程序自动管理升级。
| 1 |
单击Windows任务栏中的通知,或右击Windows任务栏中的Directory Connector图标,开始升级过程。 |
| 2 |
按说明完成升级操作。 |
| 3 |
重新启动连接器并使用管理员凭据登录。 |
| 4 |
在下验证软件的版本号。 |
下一步
要重新安装Directory Connector,您可以 下载zip文件 ,然后按照本指南中的安装步骤操作。
配置 Directory Connector 的常规设置
使用此程序配置常规设置,例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中,其中还包含正在运行的任何其他连接器。
| 1 |
从Directory Connector转至配置,然后单击常规。 |
| 2 |
在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。 |
| 3 |
从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括:
这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误,则仅在同步报告中报告错误;如果不存在错误,则不会发送同步报告。将设置更改为Info,然后在完全同步后收到同步报告。(请记住,对于增量同步,没有报告错误时不会发送报告。) |
| 4 |
选择首选域控制器以设置域控制器同步身份的顺序。 将按照从上到下的顺序访问域控制器。如果顶级控制器不可用,则选择列表中的第二个控制器。如果列表中没有控制器,您可以访问主控制器。 |
| 5 |
如果要进行自动升级,请检查自动升级到新的Cisco Directory Connector版本 。 将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置,允许在软件可用时安静地安装自动升级到软件。 |
| 6 |
检查 通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。 如果您未通过 SSL检查LDAP,则Directory Connector将继续使用LDAP连接协议。 LDAP(轻量级目录应用程序协议)和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。 |
配置连接器策略
您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。
例如,将 1 设置为删除阈值触发值。在执行完全或增量同步时,如果您要删除的用户数大于该设置,Directory Connector 会显示警告。如果您单击忽略阈值,可以成功开始完全或增量同步,但是在您下次运行该策略时将再次看到此忽略提示。
| 1 |
从Directory Connector,单击配置,然后选择策略。 |
| 2 |
如需添加阈值触发器,请勾选“启用删除阈值触发器”复选框。 选择该选项后,删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时,同步失败。
|
| 3 |
输入您要设置的最大删除次数。缺省值为 20。 我们建议您不要增大该缺省值。 |
| 4 |
单击应用。 |
设置连接器的安排
在Active Directory中设置同步定时。为了实现高可用性 (HA),使用了故障转移。如果有一个连接器宕机,我们会在预定义的间隔过后,切换到另一个待机连接器。
| 1 |
从Directory Connector,单击配置,然后选择计划。 |
| 2 |
以分钟为单位指定增量同步间隔。 缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。 |
| 3 |
如果您希望更改发送报告的频率,请更改发送报告间隔时间值。 |
| 4 |
勾选启用完全同步计划以指定想要执行完全同步的日期和时间。 |
| 5 |
以分钟为单位指定故障转移间隔。 |
| 6 |
单击应用。 |
多域情境
多个域基于域优先级。对于在不同域具有相同键值的对象,在同步后,来自高优先级域的数据将覆盖来自低优先级域的数据。
具有相同键值的对象会链接到数据库中的同一条记录。
“用户”的键值是电子邮件地址;“组”的键值是组名。
多域使用示例
此示例假设某组织有两个域 - example1.com 和 example2.com,前者优先级高于后者。
-
添加 user1(电子邮件:user@example1.com)到 example1.com 的 Active Directory。
-
添加 group1(组名:Test)到 example1.com 的 Active Directory。
-
添加 user2(电子邮件:user@example2.com)到 example2.com 的 Active Directory。
-
添加 group2(组名:Test)到 example2.com 的 Active Directory。
- 在 example1.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 https://admin.webex.com 中,而 user1 和 group1 没有。
如果您为 example1.com 执行全面或增量同步,user1 和 group1 会同步。而且,user2 和 group2 会被 user1 和 group1 的信息覆盖。
User1 作为数据库中的相同记录链接到 user2;group1 作为数据库中的相同记录链接到 group2。
- 在 example1.com 和 example2.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 https://admin.webex.com 中,而 user1 和 group1 没有。
请考虑这些步骤:
- 在 example1.com 的 Active Directory 上删除 user1 和 group1。
- 为 example1.com 执行全面或增量同步。
结果:在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1,而 group2 没有链接到 group1。
- 为 example2.com 执行增量同步。
结果:在 https://admin.webex.com 中用户信息无变化。
- 为 example2.com 执行全面同步。
结果:user2 和 group2 的信息在 https://admin.webex.com 中列出。
同步新的域并保留现有域
如果要同步新的域 (B),同时还要保留其他现有域 (A) 上的已同步用户数据,请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后,该连接器会与新的域绑定,而域 (A) 下的用户信息不受影响。
每个域必须自带有效的连接器。请考虑采用以下设置的两个域:带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA);带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中,一个连接器处于活动状态,另一个处于待机状态 (HA)。该设计可保持域同步,因为有一个连接器始终处于活动状态。也就是说,cb1 是域 B 处于活动状态的连接器,因为域 A 已有处于活动状态的连接器(ca1 或 ca2)。
设置域优先级
使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域,等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织,此设置会很有帮助。
如果在 Directory Connector 中只列出了一个域,则不要使用此过程。如果您尝试进行此配置,连接器会显示一条消息,说明不需要域优先级。
开始之前
要避免错误,请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。
| 1 |
从Cisco目录连接器,单击仪表板。 |
| 2 |
转至操作,然后单击设置域优先级。 |
| 3 |
高亮显示列表中的一个域,单击向上或向下更改此域的优先级,然后单击保存保存更改。 各个域会按优先级自上而下排序。 |
切换域
使用此程序将Cisco目录连接器重新绑定到另一个域。
开始之前
-
在切换域之前,确保没有同步任务在运行。
-
要避免错误,请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。
| 1 |
从Cisco目录连接器,单击仪表板。 |
| 2 |
转至操作,然后单击切换域。 |
| 3 |
阅读警告后,如果您理解此更改对部署的影响,而且您仍然确定要更改,请单击是。 如果您切换域,则您将从当前Cisco目录连接器中注销,连接器中的其他域未注册,并且删除该计算机上的连接器信息。 |
| 4 |
重新登录Cisco目录连接器并重新绑定域。 |
关闭目录同步
如果您需要停止从Directory Connector进行同步,可以从Control Hub暂时将其关闭。
| 1 |
从https://admin.webex.com中的客户视图,转至,滚动至目录同步,然后选择一个:
|
| 2 |
阅读提示之后,单击关闭。 同步停止,直到从Directory Connector重新启用它。 |
删除用户属性映射
使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后,属性值将从云中删除,不再与Webex同步。然后可以手动编辑这些值。
| 1 |
从 Directory Connector 中,单击控制板。 |
| 2 |
转至操作,然后单击。 |
| 3 |
选择映射以从属性名称 列表中删除。 |
| 4 |
在受影响的用户范围下,选择以下其中一项:
|
| 5 |
单击应用。 |
管理档案照片
使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。
| 1 |
从 Directory Connector 中,单击控制板。 |
| 2 |
转至操作,然后单击。 |
| 3 |
在操作下,选择以下其中一项:
|
| 4 |
单击 Apply(应用)。 |
卸载并停用目录连接器
卸载 Directory Connector 实例后,必须取消注册它。如果面临以下任何情况,都应该彻底删除 Directory Connector:
-
您不想再使用目录同步。
-
您不想使用多个 Directory Connector(高可用性)中的某一个。
-
您想要更改域并安装其他连接器。
开始之前
-
您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例,请禁用同步。
-
卸载Directory Connector之前,保存并关闭任何重要工作。
| 1 |
在您的 Windows 计算机上,转至“控制面板”,然后单击程序和功能。 |
| 2 |
从程序列表中,单击目录连接器,选择卸载,然后按照提示操作。 您可能需要重启系统来完成卸载。 |
| 3 |
从https://admin.webex.com中的客户视图,转至,滚动至目录同步,单击更多 |
| 4 |
阅读提示之后,单击停用。 用户帐户将不会再同步,除非在高可用性 (HA) 部署中还有其他 Directory Connector。 |
运行诊断工具
您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。
如果同步工作不正确,您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接,因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误,您可以发送详细的日志结果以支持。
-
要为Active Directory域服务运行测试:
-
要运行Active Directory轻量级目录服务的测试:
-
要运行轻量级目录访问协议(LDAP)的测试:
解决Ciso Directory Connector中的问题
目录连接器的故障排除和修复
您可能在Directory Connector中遇到错误消息或其他问题。此外,在Directory Connector同步用户信息后,该连接器可能会向您发送一封电子邮件报告,列出同步存在的任何问题。在联系支持人员之前,请参考以下章节,了解可能出现的问题、可能的原因和建议解决方案。
安装
Directory Connector 停止运行
您收到警告电子邮件,通知您您的Directory Connector无法工作。
-
目录连接器可能未正确安装。
-
目录连接器可能未运行。
-
网络可能不可用。
请尝试以下操作:
-
打开。找到 Directory Connector。如果没有,请从Control Hub下载最新版本并安装。
-
打开服务 并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止,请单击右键并选择“启动”以重启该服务。
-
确保安装Directory Connector的服务器能够访问Internet。
重新安装错误
问题—如果您在卸载旧连接器后立即安装新连接器,可能会看到错误消息。
可能原因—在Windows Server 2012中,卸载客户端需要时间从服务列表中删除服务帐户。
解决方案—经过一段时间后,请再次尝试安装。
登录
SSO登录期间目录连接器崩溃
问题
从SSO登录页输入电子邮件地址后,目录连接器可能会崩溃。
解决方案
请尝试以下操作:
执行以下步骤以配置新的组策略:
-
转至域控制器并打开组策略管理(gpedit.msc)。
-
右键单击特定的OU或域,然后选择在此域中创建GPO,并在此处链接它……
-
给该策略命名,然后右键单击并选择编辑。
执行以下步骤以更改机器级别的策略:
-
转至,右键单击注册表,选择新建,然后选择注册表项。
-
对于关键路径,输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
-
为
值输入禁用脚本调试器,为值数据输入否。设置应匹配此屏幕截图:
请执行以下步骤以在用户级别更改策略:
-
转至,右键单击注册表,选择新建,然后选择注册表项。
-
对于关键路径,输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
-
为
值输入禁用脚本调试器,为值数据输入否。设置应匹配此屏幕截图:
在运行 gpupdate /force、重新启动机器(用于机器更改)或再次输入用户符号(用于用户更改)后,更改将生效。
无法注册Cisco DirSync服务连接器
问题
登录失败,并显示此消息:“无法注册Cisco DirSync服务连接器。”
解决方案
安装Directory Connector的Windows系统必须是Active Directory的成员。
未显示登录页面
问题
您打开目录连接器,登录页未显示。
解决方案
请尝试以下步骤:
-
在Internet Explorer中,转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器(如Chrome和Firefox)中尝试该链接。
-
如果Internet Explorer无法访问该链接,但其他浏览器可以,请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。(使用启用Internet Explorer中的TLS 程序。)
显示登录提示
问题
出现提示提示您输入用户名和密码以通过身份验证。
可能原因
Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败,会弹出对话框以请求身份验证用户名和密码。
解决方案
当您看到登录弹出窗口时,您需要提供具有正确身份验证的有效帐户,以保证传递安全。
无法连接远程服务器
无法注册连接器
问题
您将看到错误消息“无法注册连接器。发生了一般例外。”
可能原因
在大多数情况下,问题在于Directory Connector没有连接到LDAP根上下文的特权。
解决方案
请尝试以下操作:
-
运行命令提示符(cmd),然后输入 ldp.exe。
-
单击,选择绑定为当前登录用户,然后单击确定。
-
单击,输入DC=arbonneintl,DC=ad 作为BaseDN,然后单击确定。
-
如果问题继续,打开支持案例。
同步
头像未同步
问题
Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。
可能原因
如果您重复使用现有的头像服务器,并且用户头像已经同步,则本地缓存将捕获它们,并避免再次重订以保存带宽。
解决方案
按照以下步骤删除本地缓存:
-
转至C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
删除DirSyncPluginAvatar.dll-cache.bin。
-
从Cisco目录连接器重新启动头像同步。
用户电子邮件帐户冲突
问题
同步结果可能会显示有冲突的用户电子邮件帐户。
-
如果用户尝试了Webex应用程序的免费版本,他们的电子邮件地址将位于免费消费者组织中。
-
如果用户电子邮件在另一个组织中已同步。
-
如果用户电子邮件存在于属于组织的多个域中。
解决方案
请尝试以下操作:
-
如果您要向用户索要权,请按照以下步骤操作:
-
确保您已在 Control Hub中验证该域。
-
暂时禁用Cisco目录连接器。
-
使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关详细信息,请参阅向您的组织索要用户(转换用户) 。
-
在Cisco Directory Connector中运行干燥,然后重新启用目录同步
-
-
对于最后一个案例,请复选您的Active Directory源中的用户数据。
已转换用户标记为非活动
问题
在您的目录同步环境中,您将免费(消费者组织)用户转换为企业组织,但转换用户无法登录Webex应用程序。
可能原因
当自由用户转换为企业组织时,该用户将被标记为非活动状态为30天,作为安全合规措施。在此期间内,用户无法登录Webex应用程序,并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。
解决方案
如果您不想删除该用户帐户,必须采取行动。要解决此问题,请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后,从Cisco Directory连接器执行同步。然后,用户可以再次登录Webex应用程序,帐户不会被删除。
增量同步失败
问题
增量同步失败。
在以下条件下可能会在Windows Server 2008 R2上出现此问题:
-
您支持增量值更新。
-
您使用的筛选器引用链接值属性。
-
该属性的结果值自上次进行完全同步以来已更新。
解决方案
Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。
属性的值无效
问题
对于 [user dn (distinguished name)],属性 [attribute name] 有以下无效值 [attribute value]。
可能原因
对于CN=b,OU=Employees,OU=C Users,DC=c,DC=com,属性[电话号码]具有以下无效值:+。此属性必须包含至少一个数字。
解决方案
此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。
要删除匹配的用户
问题
匹配的用户将被标记为要删除。
当执行干运行同步以检查Active Directory和云之间的数据时,您可能会在两者中看到相同的电子邮件地址。但是,用户被标记为要删除的对象。
解决方案
选择适当的修复:
-
如果可以在之后删除用户并重新执行许可证,您可以使用Directory Connector进行修复。执行同步以删除用户,然后执行其他同步以将用户从本地AD同步到云。
-
如果您无法删除并重新创建用户帐户,请在支持下打开案例。
缺少属性
问题
添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值,否则不会在Control Hub中创建该条目。
可能原因
必需属性的 email address 缺失。添加内部条目时[CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local],除非所有必需属性都具有值,否则不会在Control Hub中创建条目。
解决方案
用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。
嵌套组无法同步
问题
嵌套的Active Directory组中的用户未正确与云同步。
可能原因
使用不受支持的子组和父组的筛选器。例如:(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
解决方案
必须重新配置同步组的过滤器。例如:|(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
用户命名冲突
问题
对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言,[用户电子邮件地址],以及用户类型[user_type]。
可能原因
已在Control Hub中存在该电子邮件地址的用户。
解决方案
在Active Directory中创建用户,其电子邮件地址与您通过Control Hub注册的帐户相同。
Control Hub
Control Hub中缺少用户列表
问题
如果您拥有超过1000名同步用户的Webex组织,则可能无法在Control Hub中看到用户列表。
解决方案
您可以使用搜索功能查找用户帐户。在Control Hub中,转至用户,单击搜索,然后输入搜索条件以查找特定用户。
组不会同步到Control Hub
问题
目录组中的用户无法正确同步到Control Hub。
可能原因
在Active Directory中,该组未标记为 isCriticalSystemObject 。
解决方案
确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。
启用 Directory Connector 故障诊断
您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息,并将其保存至文件。
以下日志文件: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
运行 |
| 2 |
重启服务。 请参阅如何启动服务获取指导。 |
| 3 |
在目录连接器中,单击仪表板。 |
| 4 |
转至操作,然后单击。 |
| 5 |
启用故障诊断后,重复执行导致错误的操作,这样将捕获流量数据,以便进行检查。 |
| 6 |
检查日志文件:如果文件空白,请确保帐户有权访问 AD DS 或 AD LDS。 日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。 |
| 7 |
如有必要,向支持人员发送日志文件以获取协助。 |
| 8 |
诊断完成后,请禁用故障诊断功能。 |
启动事件查看器
若要查看完全或增量同步期间发生的事件,请启动“事件查看器”。它显示管理事件和错误日志的摘要。
| 1 |
从Directory Connector转至仪表板,然后单击。 “事件属性”对话将显示同步事件详细信息与错误详细信息。 |
| 2 |
从事件查看器,转至。
|
| 3 |
在操作下,单击保存所有事件为 将所有日志导出为单个事件文件(*。evtx)或其他格式(如xml或csv)。 |
下一步
如果您需要打开案例,请联系支持人员,描述连接器的问题,然后将“事件”文件附加到案例中。
事件日志会捕捉用户操作。如需管理网络流量的帮助,请在连接器上启用故障排除。
在Internet Explorer中启用TLS
如果您切换了单点登录(SSO)提供商,您可能会看到来自Cisco目录连接器的以下错误消息:
-
登录到服务时出错
-
此页脚本中出现错误
如果您看到这些错误,必须在浏览器中启用TLS设置。
| 1 |
打开Internet Explorer,然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器,然后再次打开它 |
| 2 |
单击互联网选项 ,转至高级 ,滚动至安全。 |
| 3 |
检查使用TLS 1.1 和使用TLS 1.2 复选框,然后单击确定。
|
| 4 |
重新启动系统以便更改生效。 |
服务帐户登录问题故障诊断
如果您无法登录Cisco目录连接器或无法运行同步,请在联系支持人员之前尝试解决该问题。
| 1 |
尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。 |
| 2 |
根据结果选择一项:
|
| 3 |
至少,确保Cisco DirSync服务(可在Windows服务中找到)配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下,该服务利用Windows登录帐户凭据和身份验证。 |
在Windows注册表中检查SafeDllSearchMode
默认情况下,安全动态链接库(DLL)搜索模式在Windows注册表中设置,然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用,攻击者可以将恶意DLL(与位于系统文件夹中的引用的DLL文件名称相同)放置到应用程序的当前工作目录中。
通常,SafeDllSearchMode已启用,但使用此步骤来复选注册表设置。
开始之前
对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。
| 1 |
在Windows搜索或运行窗口中,键入regedit ,然后按Enter。 |
| 2 |
转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。 |
| 3 |
选择一种:
|
有关详细信息,请参阅动态链接库搜索顺序。
Cisco Directory连接器概述
目录连接器概述
Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件,并将其安装到本地计算机上。
使用Directory Connector,您可以在Active Directory中维护您的用户帐户和数据,因此Active Directory成为唯一的真相来源。当您在内部进行更改时,它会复制到云。
请参阅表中所有的功能、描述和优势:
| 功能 | 描述和优势 |
|---|---|
| 简单易用的控制板 | 该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。 |
| 在同步到云之前进行干燥 | 在云中实施这些更改之前,先对目录进行干燥。之后,运行报告以查看要执行的变更是否与预期一致。 |
| 完全同步和增量同步 | 同步整个目录。或者,仅同步增量变更,从而提高处理能力并缩短同步时间。 |
|
同步多个域(单森林或多森林) |
Directory Connector支持单个森林或多个森林下的多个域(无需使用AD LDS)。对于拥有多个Active Directory域的企业,您可以为每个域安装Directory Connector,将每个域绑定到您的组织,然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态,允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。 |
| 按计划同步 | 按天、小时和分钟设置同步安排。 |
| 轻量级目录访问协议 (LDAP) 过滤器 | 定义 LDAP 搜索条件并实现高效的导入。 |
| 活动目录属性映射 | 将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性,并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据,例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据(职务、部门、经理等)。 |
|
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录 |
如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务,或者您拥有内部Room设备,此功能可让用户从Cisco Webex Calling(云PSTN)电话或Room资源搜索企业联系人目录。
|
| 事件查看器 | 使用事件查看器可确定是否存在同步问题。 |
| 诊断工具和故障排除 | 您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确,您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接,以便在联系支持人员之前自行诊断错误。 在Directory Connector中启用故障排除后,将编写日志,可发送给技术支持。 |
| 自动升级 | 安装 Directory Connector 后,您会在软件有新版本时收到通知。您可以设置自动升级,以便在发布新版本时始终使用最新版本的软件。 |
| 高可用性 | 配置多个连接器,以便在主连接器或机器主机出现宕机情况时提供备用。 |
Directory Connector 分为以下三个部分:
-
Control Hub 是一个单一界面,可让您管理Webex组织的所有方面:如果您希望用户通过企业身份提供商进行身份验证,并且不想为Webex应用程序发送电子邮件邀请,则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
-
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域,您可以为要同步的每个域安装一个软件实例。使用该软件,您可以运行同步以将Active Directory用户帐户带入Webex,查看和监控同步状态,并配置Directory Connector服务。
-
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。
请参考此图了解Directory Connector架构:
为Directory Connector准备您的环境
目录连接器的要求
Windows和Active Directory要求
您可以在这些受支持的Windows服务器上安装Directory Connector:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
要解决Cookie问题,我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。
以下的Active Directory服务支持Directory Connector:
-
2016年活动目录
(在Windows Server 2019上使用最新版本的Active Directory时,支持目录连接器)
-
活动目录2012
-
活动目录2008 R2
-
活动目录2008
请注意以下附加要求:
-
目录连接器需要TLS1.2。您必须安装以下内容:
-
.NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题,请使用 使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
-
.NET Framework v.4.5(TLS1.2必需)
-
-
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。(请参阅什么是 Active Directory 功能级别?获取更多信息。)
硬件要求
您必须在符合以下最低硬件要求的计算机上安装Directory Connector:
-
8 GB RAM
-
50 GB 存储
-
CPU 没有最低要求
网络要求
如果您的网络是防火墙的幕后,请确保您的系统有HTTPS(端口443)访问互联网。
Webex组织要求
-
要从Control Hub访问Directory Connector软件,您需要试用Webex组织或任何付费订阅。
-
(可选)如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态,我们建议您执行以下操作:
-
将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成 。
-
抑制自动电子邮件邀请,这样新用户就不会收到自动电子邮件邀请,您可以进行自己的电子邮件活动。(此功能需要SSO集成。)
有关详细信息,请参阅控制中心中的用户状态和操作。
安装要求
-
对于多个域环境(单森林或多森林),必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B),同时还要保留其他现有域 (A) 上的已同步用户数据,请确保您有受支持的独立 Windows Server 来安装 Directory Connector,以进行域 (B) 同步。
-
要登录连接器,我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。
此本地用户必须拥有该Windows计算机上的权限,才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。(此信息也适用于虚拟机登录。)
-
登录连接器时,登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下,连接器使用本地系统帐户访问Active Directory。但是,您可以使用Windows服务配置其他帐户以访问Active Directory。(此信息也适用于虚拟机登录。)
-
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用:在Windows注册表中检查SafeDllSearchMode。
-
如果您在单个森林上使用多个AD LDS域,我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。
多个域要求
在 Cisco目录连接器部署任务流中跟踪任务之前,如果您要将多个域的Active Directory信息同步到云中,请记住以下要求和建议:
-
每个域需要单独的Directory Connector实例。
-
Directory Connector软件必须运行在其将同步的同一域上的主机。
-
我们建议您在Control Hub中验证或声明您的域。(参见添加、验证和申请域。)
-
如果要同步超过50个域,您必须打开标签 才能让您的组织移动到大型组织列表。
-
如果需要,您可以与用户帐户同步房间资源信息。(请参阅将内部会议室信息同步到Webex云。)
自动许可证分配活动目录组建议
Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。
Active Directory中有两种类型的组:
-
分发组—用于创建电子邮件分发列表。
-
安全组-用于分配共享资源的权限。
在Active Directory中创建组时,请考虑以下指导原则:
-
为每个角色、部门或服务创建全球组(例如销售、营销、经理、会计师、Webex授权等)。
-
在整个组织中使用标准命名规范,以便轻松识别有关组的重要信息。组名称可以包含组的详细信息,例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如,组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
-
以易于理解的方式组织群组,例如按地域或管理层次。使用组描述来完整描述组的目的。
-
在将用户添加到新配置的组之前,请为这些组在Control Hub中定义自动许可证组模板。有关详细信息,请参阅设置自动许可证分配模板 。
调整尺寸信息
Directory Connector是本地Active Directory和Webex云之间的桥梁。因此,连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定,而不是连接器本身。
一些因素会影响同步的速度:
-
Active Directory对象的总数。(5,000个用户同步工作所需的时间不超过50,000。)
-
网络速度和带宽。
-
系统工作负载和规格。
如果您正在同步超过50,000个用户,我们强烈建议您使用第二个连接器进行故障转移和冗余。
由于同步涉及多个因素,并且每个部署取决于上述因素,因此我们无法提供对象同步所需时间的特定时间值。
在Windows注册表中检查SafeDllSearchMode
默认情况下,安全动态链接库(DLL)搜索模式在Windows注册表中设置,然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用,攻击者可以将恶意DLL(与位于系统文件夹中的引用的DLL文件名称相同)放置到应用程序的当前工作目录中。
通常,SafeDllSearchMode已启用,但使用此步骤来复选注册表设置。
开始之前
对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。
| 1 |
在Windows搜索或运行窗口中,键入regedit ,然后按Enter。 |
| 2 |
转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。 |
| 3 |
选择一种:
|
有关详细信息,请参阅动态链接库搜索顺序。
WebEx 代理集成
WebEx 代理集成
如果您的环境中已启用 Web 代理验证,则您仍然可用使用 Directory Connector。
如果您的组织使用透明Web代理,则不支持身份验证。连接器已成功连接和同步用户。
您可以选择下列方法之一:
-
通过Internet Explorer显式Web代理(连接器继承了Web代理设置)
-
通过。pac文件显式网络代理(连接器继承企业特定的代理设置)
-
与连接器配合的透明代理,无需任何更改
通过浏览器使用 Web 代理
您可以通过Internet Explorer设置Directory Connector以使用Web代理。
如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行,那么您还需要用此帐户登录并配置 Web 代理。
| 1 |
在 Internet Explorer 中,转至 Internet 选项,单击连接,然后选择局域网 (LAN) 设置。 |
| 2 |
指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。 |
| 3 |
如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在整个站点范围内执行此操作(针对所有主持人),也可以仅针对具有连接器的主持人。 如果您将这些URL添加到允许列表以完全绕过您的WEB代理,请确保防火墙ACL表已更新,以允许连接器主持人直接访问URL。 |
| 4 |
如果您的环境需要从证书颁发机构请求证书撤销列表,请将这些URL添加到您的允许列表:
有关详细信息,请参阅本文关于Webex Services需要访问的域和URL。 |
通过 PAC 文件配置 Web 代理
您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。
| 1 |
要使连接器成功连接并同步用户信息到Webex云,请确保安装连接器的主机。pac文件配置中已禁用 |
| 2 |
如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在整个站点范围内执行此操作(针对所有主持人),也可以仅针对具有连接器的主持人。 如果您将这些URL添加到允许列表以完全绕过您的WEB代理,请确保防火墙ACL表已更新,以允许连接器主持人直接访问URL。 |
| 3 |
如果您的环境需要从证书颁发机构请求证书撤销列表,请将这些URL添加到您的允许列表:
有关详细信息,请参阅本文关于Webex Services需要访问的域和URL。 |
NTLM代理
Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证,并确保其安全。
NTLM设计
在大多数情况下,用户希望通过客户端PC访问其他工作站资源,这很难以安全的方式进行。
一般来说,NTLM的技术设计基于挑战
和响应
机制:
-
用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同,密码的哈希值在本地存储。当用户通过密码登录客户端时,Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同,则验证将通过。
当用户想要访问其他服务器中的任何资源时,客户端会向服务器发送一个请求,帐户名称为纯文本。
-
当服务器收到请求时,服务器会生成16位随机密钥。关键称为Challenge(或Nonce)。在服务器返回客户端之前,挑战将存储在服务器中。然后,服务器将挑战以纯文本形式发送给客户端。
-
客户端收到服务器发送的挑战后,客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后,该值将返回到服务器。
-
当服务器从客户端收到加密值时,服务器将其发送到域控制器进行验证。请求包括:帐户名称、客户端发送的加密挑战,以及原始的简单挑战。
-
域控制器可以根据帐户名称检索密码的哈希值。然后,域控制器可以对原始挑战进行加密。然后,域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同,验证将成功。
Windows在操作系统中内置了安全验证,使应用程序更容易支持安全验证。因此,您无需完成进一步的配置。
配置透明代理
在这种情境下,浏览器不会知道透明 Web 代理正在拦截 http 请求(端口 80/端口 443),因此不需要客户端配置。
| 1 |
部署透明代理,以便连接器可以连接和同步用户。 |
| 2 |
确认代理已成功—启动连接器时,您会看到预期的浏览器身份验证弹出窗口。 |
设置代理身份验证
通过创建访问控制列表,将URL cloudconnector.webex.com 添加到允许列表中。
在企业防火墙服务器上:
| 1 |
如果尚未启用 DNS 查找,请启用。 |
| 2 |
确定此连接的估计带宽(连接器约为2 mb/s或以下)。这不是必须执行的步骤。 |
| 3 |
创建访问控制列表以应用于连接器主机,并指定 例如: access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https |
| 4 |
将此ACL应用于相应的防火墙接口,该接口仅适用于此单个连接器主持人。 |
| 5 |
通过配置相应的隐式拒绝声明,确保企业中的其他主机仍需使用 Web 代理。 |
部署目录连接器
Cisco目录连接器部署任务流程
| 1个 |
Control Hub最初将目录同步显示为禁用状态。 要为组织打开目录同步,必须安装和配置Directory Connector,然后成功执行完整同步。 要重新安装Directory Connector,请始终转至Control Hub (https://admin.webex.com)获取软件的最新版本,以便您使用最新的功能和故障修复。 安装软件后,将通过软件报告升级,并在可用时自动安装。 |
| 2个 |
使用您的Webex管理员凭据登录,并执行初始设置。 |
| 3个 |
将Directory Connector软件更新到最新版本始终非常重要。 我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。 |
| 4个 |
默认情况下,Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。 要对哪些对象进行同步的更多控制,您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。 |
| 5个 |
您可以将本地Active Directory中的属性映射到云中的相应属性。 唯一必填字段是*uid。 |
| 6个 |
使用以下程序之一同步目录头像: 您可以将用户的头像同步到云,以便每个用户登录应用程序时显示他们的头像。 您可以从Active Directory属性或资源服务器同步化头像。 |
| 7 |
使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的房间设备(例如Webex Room设备或Cisco Webex Board)上的可搜索条目 |
| 8个 |
要从Active Directory向Control Hub提供用户,请执行以下步骤: 按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。 在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 目标是在Active Directory和Webex云之间实现精确匹配。 |
安装目录连接器
Control Hub最初将目录同步显示为禁用状态。 要为组织打开目录同步,必须安装和配置Directory Connector,然后成功执行完整同步。
您必须为要同步的每个Active Directory域安装一个连接器。 单个目录连接器实例只能服务单个域。 请参阅下图了解多个域同步的流程:
开始之前
如果您通过代理服务器进行身份验证,请确保您拥有代理凭据:
-
对于代理基本身份验证,安装连接器的实例后,您将输入用户名和密码。 基本身份验证也需要Internet Explorer代理配置;请参阅通过浏览器使用Web代理
-
对于代理NTLM,第一次打开连接器时可能会看到错误。 请参阅通过浏览器使用Web代理。
| 1个 |
在控制中心中,转至,然后选择下一步。 |
| 2个 |
单击下载和安装链接,将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。 您可以直接从此链接获取。zip文件,但必须对Control Hub组织的完整管理访问权限才能使用此软件。 对于新安装,请获取软件的最新版本,以便使用最新的功能和bug修复。 安装软件后,将通过软件报告升级,并在可用时自动安装。 |
| 3个 |
在VMware或Windows服务器上,解压缩并在设置文件夹中运行。msi文件,以启动设置向导。 |
| 4个 |
单击下一步,勾选框以接受许可协议,然后单击下一步,直到您看到帐户类型屏幕。 |
| 5个 |
选择要使用的服务帐户类型,并使用管理员帐户执行安装:
要避免错误,请确保具有以下权限:
|
| 6个 |
单击安装。 网络测试运行后,如果出现提示,输入您的代理基本凭证,单击确定,然后单击完成。 |
下一步该做什么
我们建议您在安装后重新启动服务器。 当数据未发布时,干运行报告无法显示正确结果。 重启计算机时,所有数据都会刷新以在报告中显示准确结果。
登录到目录连接器
开始之前
确保您拥有代理凭据。
-
对于Proxy basic-auth,第一次打开连接器后将输入用户名和密码。
-
对于代理NTLM,打开Internet Explorer,单击齿轮图标,转至 Internet选项>连接> LAN设置,确保已添加代理服务器信息,然后单击确定。 请参阅通过浏览器使用Web代理。
| 1个 |
打开连接器,如果看到提示,则将 |
| 2个 |
如果出现提示,请使用代理身份验证凭据登录,然后使用您的管理员帐户登录Webex,然后单击下一步。 |
| 3个 |
确认您的组织和域。
|
| 4个 |
出现确认组织屏幕后,单击确认。 如果您已绑定AD DS/AD LDS,将显示确认组织屏幕。 |
| 5个 |
单击确认。 |
| 6个 |
根据要绑定到Directory Connector的Active Directory域数,选择一个:
|
下一步该做什么
登录后,系统提示您执行干运行同步。
目录连接器仪表板
当您首次登录Directory Connector时,会显示仪表板。 在这里,您可以查看所有同步活动的摘要、查看云统计、执行干运行同步、启动完整或增量同步并启动事件视图以查看错误信息。
您可以从“操作”工具栏或“操作”菜单轻松运行这些任务。
|
组件 |
描述 |
|---|---|
|
当前同步 |
显示当前正在进行的同步的状态信息。 当未运行同步时,状态显示处于空闲状态。 |
|
下一次同步 |
显示下一个已安排的完整和增量同步。 如果未设置计划,将显示未计划。 |
|
上次同步 |
显示最近两次已执行同步的状态。 |
|
当前同步状态 |
显示同步的总体状态。 |
|
连接器 |
显示可用于云的当前本地连接器。 |
|
云统计 |
显示同步的总体状态。 |
|
同步计划 |
显示增量同步和完全同步的同步计划。 |
|
配置摘要 |
列出配置中更改的设置。 例如,摘要可能包括以下内容:
|
| 行动 | 描述 |
|---|---|
| 开始增量同步 |
手动启动增量同步 暂停或禁用同步时,如果未完成完全同步或同步正在进行中,则此操作将禁用。 |
|
同步干运行 |
执行干运行同步。 |
|
启动活动查看器 |
启动Microsoft Event Viewer。 |
|
刷新 |
刷新Cisco目录连接器仪表板 |
|
行动 |
描述 |
|---|---|
| 立即同步 |
立即开始完全同步。 |
|
同步模式 |
选择增量或完全同步模式。 |
|
重置连接器秘密 |
在Cisco目录连接器和连接器服务之间建立对话。 选择此操作将重置云中的秘密,然后在本地保存秘密。 |
|
干运行 |
对同步过程执行测试。 在进行完全同步之前,必须先进行干运行。 |
|
故障排除 |
打开/关闭故障排除。 |
|
刷新 |
刷新Cisco目录连接器主屏幕。 |
|
退出 |
退出Cisco目录连接器。 |
|
关键组合 |
行动 |
|---|---|
|
Alt +A |
显示操作菜单 |
|
|
现在同步 |
|
|
重置连接器秘密 |
|
|
干运行 |
|
|
增量同步 |
|
|
完全同步 |
|
|
显示帮助菜单 |
|
|
帮助 |
|
|
关于 |
|
|
常见问题 |
设置自动升级
| 1个 |
从Directory Connector,转至,然后检查自动升级到新的Cisco Directory Connector版本。 |
| 2个 |
单击应用保存更改。 |
新版本的连接器可用时将自动安装。
您可以手动管理升级(如果您愿意)。 有关更多信息,请参阅升级至最新软件版本。
选择要同步的Active Directory对象
默认情况下,Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。 要对哪些对象进行同步的更多控制,您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
自动许可证分配组
Control Hub允许您按组管理许可证分配。 您可以创建许可证模板,并将其映射到同步到云的Active Directory组。 在用户创建时,Webex检查该新用户的用户会员身份和自动许可证模板映射。
我们建议您使用LDAP过滤器仅将相关组同步到云。 例如,您可以将过滤器设置为:
(&(cn=示例)(objectclass=组))*
此过滤器将以Example开头的基础DN中的所有组同步。 未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。
混合数据安全部署组
在Directory Connector中,如果您使用混合数据安全为试点用户配置试用组,则必须检查组。 请参阅混合数据安全部署指南获得指导。 此目录连接器设置不会影响云中的其他用户同步。
开始之前
| 1个 |
从目录连接器转至配置,然后单击对象选择。 |
| 2个 |
在对象类型部分中,检查用户,并考虑限制用户可搜索容器的数量。 例如,如果您想仅同步特定组中的用户,必须在用户LDAP过滤器字段中输入LDAP过滤器。 如果要同步示例管理器组中的用户,请使用以下过滤器:
|
| 3个 |
检查识别房间以将房间数据与用户数据分开。 要设置其他属性,将用户数据识别为房间数据,请单击自定义。 如果要将内部会议室信息从Active Directory同步到Webex云时,请使用此设置。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。 有关详细信息,请参阅将内部会议室信息同步到Webex云。 |
| 4个 |
要将Active Directory用户组同步到云,请检查组。 不要向“组”字段添加用户同步LDAP筛选器。 您仅应使用“组”字段将组数据本身同步到云。 默认情况下,组不会为新客户同步。 必须启用组同步。 还必须同步安全组。 |
| 5个 |
如果要将用户的联系信息同步到云,请检查联系人。 目录连接器仅管理由连接器同步的联系人。 如果Control Hub中已经有联系人,则同步不会删除联系人。 如果从同步范围中删除联系人,则在Control Hub中也会删除用户的联系信息。 |
| 6个 |
配置 LDAP 过滤器。 您可以通过提供有效的LDAP过滤器来添加扩展过滤器。 有关配置LDAP过滤器的更多信息,请参阅本文。 |
| 7 |
单击选择以查看Active Directory树结构,指定要同步的On Premises Base DN。 您可以在此处选择或取消选择要搜索的容器。 |
| 8个 |
检查要为此配置添加的对象,然后单击选择。 您可以选择要用于同步的单个容器或母容器。 选择父容器,以启用所有子容器。 如果您选择子容器,母容器会显示灰色复选标记,表示孩子已检查。 然后,您可以单击选择以接受选中的Active Directory容器。 如果您的组织将所有用户和组放置在“用户”容器中,则无需搜索其他容器。 如果您的组织被分为组织单位,请确保选择OU。 |
| 9 |
单击应用。 选择一个选项:
有关干运行的信息,请参阅在Active Directory用户上执行干运行同步。 对于组同步,您必须执行完整同步: 将Active Directory用户完全同步到云中。 |
映射用户属性
您可以将本地Active Directory中的属性映射到云中的相应属性。 唯一的必填字段是*uid,这是云身份服务中每个用户帐户的唯一标识符。
您可以选择要映射到云的Active Directory属性—例如,您可以映射到Active Directory中的 firstName lastName,或将自定义属性表达式映射到云中的 displayName。
Active Directory中的帐户必须有一个电子邮件地址;uid映射默认为邮件的广告字段(不是 sAMAccountName)。
如果您选择使用首选语言来自Active Directory,则Active Directory是唯一的真理来源: 用户将无法在Webex设置中更改其语言设置,管理员也无法在Control Hub中更改设置。
| 1个 |
从Directory Connector,单击配置,然后选择用户属性映射。 此页显示Active Directory(左侧)和Webex云(右侧)的属性名称。 所有必需属性都标有红色星号。 |
| 2个 |
向下滚动到 Active Directory属性名称的底部,然后选择其中一个Active Directory属性以映射到云属性uid:
您可以将其他Active Directory属性映射到uid,但我们建议您使用上述指南中的邮件或userPrincipalName。 在某些情况下,使用userPrincipalName来登录,但使用用户的电子邮件地址来管理他们的日历。 您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。 将userPrincipalName作为备用电子邮件地址添加。 要查看Active Directory中的哪些属性与云中的对应关系,请参阅在Directory Connector中映射Active Directory属性。 要使同步工作,您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口,以提醒您,如果您没有选择推荐的属性。 |
| 3个 |
如果预定义的Active Directory属性不适用于部署,请单击属性下拉菜单,滚动到底部,然后选择自定义属性以打开一个窗口来定义属性表达式。 单击帮助以获取有关表达式的更多信息,并查看表达式如何工作的示例。 您还可以查看自定义属性的表达式以了解更多信息。 在此示例中,我们将将Active Directory属性
Directory Connector验证身份服务中的uid的属性值,并在当前用户过滤选项下检索3个可用用户。 如果所有3个用户都具有有效的电子邮件格式,则Cisco Directory Connector将显示以下消息:
如果无法验证属性,您将看到以下警告,并可以返回到Active Directory以检查和修复用户数据:
|
| 4个 |
(可选)如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中,选择手机和电话号码的映射。 当用户将鼠标悬停在另一个用户的档案照片上时,电话号码数据会显示在Webex应用程序中。 有关从用户联系人卡呼叫的更多信息,请参阅在Webex (Unified CM)部署指南(管理员)。 |
| 5个 |
选择其他映射以显示在联系人卡中的更多数据:
映射属性后,当用户将鼠标悬停在另一个用户的档案图片上时,会显示信息:
有关联系卡的更多信息,请参阅验证您的联系人。 将这些属性同步到每个用户帐户后,您还可以在Control Hub中打开People Insights。 此功能允许Webex App用户在配置文件中共享更多信息,并相互了解。 有关该功能以及如何启用该功能的更多信息,请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events(新建)People Insights Profiles |
| 6个 |
做出选择后,单击应用。 |
Active Directory中包含的任何用户数据都会覆盖与该用户对应的云中的数据。 例如,如果您在Control Hub中手动创建用户,则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。 在Active Directory中没有相应电子邮件地址的用户将被删除。
已删除的用户将在云身份服务中保留7天,然后被永久删除。
活动目录和云属性
您可以使用用户属性映射选项卡将本地Active Directory中的属性映射到云中的相应属性。
此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。 这些值和映射是Directory Connector中的默认设置。 您可以在Active Directory下拉菜单中选择不同的属性,并确定哪些内部属性与哪个云属性同步。
将下拉菜单属性视为预设。 作为Active Directory行中的值的替代,您还可以在Active Directory中指定自定义属性(具有多个属性的表达式)以映射到相应行中的单个云属性。 这样,您可以灵活地确定用户的显示名称,例如,您可以添加一个表达式,根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。
您还可以指定任何Active Directory属性,以映射到云中的uid。 但是,您必须确保内部属性遵循有效的电子邮件格式。
您还可以使用其他电子邮件地址,例如,如果您想使用userPrincipalName进行登录,但用户的电子邮件地址用于管理他们的日历。 在这种情况下,将其他电子邮件地址映射到电子邮件;类型-工作属性。 这是用于身份验证的电子邮件;它不用于管理您的日历。 您从AD映射的电子邮件地址必须来自您组织内的验证域,并且必须是唯一并且不会分配给其他用户。
|
活动目录属性名称 |
Webex云属性名称 |
注释 |
|---|---|---|
|
— |
建筑名称 |
— |
|
c |
c |
此属性指定用户的国家缩写。 |
|
部门号码 |
部门号码 |
|
|
显示名称 |
显示名称 |
此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。 |
|
用户帐户控制 |
ds-pwp-account-disabled |
此属性用于用户同步。 确保 userAccountControl 属性映射到 ds-pwp-account-disabled,或者用户未正确同步。 |
|
员工号码 |
员工号码 |
— |
|
传真电话号码 |
传真电话号码 |
— |
|
— |
jabberID |
此云属性与Jabber使用的IM地址(XMPP类型)有关。 此值与sipAddresses不同。 |
|
L的 |
L的 |
此属性指定用户的城市。 |
|
— |
Category:本地 |
— |
|
经理 |
经理 |
|
|
移动设备 |
移动设备 |
此属性被用作显示从联系人卡呼叫用户的移动号码。 |
|
或 |
或 |
此属性指定公司或组织的名称,并显示在联系人卡中。 |
|
或 |
或 |
此属性指定组织单位的名称。 |
|
physicalDeliveryOffice名称 |
physicalDeliveryOffice名称 |
此属性指定用户的办公位置。 |
|
邮政编码 |
邮政编码 |
此属性指定了用于实际邮件交付的用户的邮政或邮政编码。 |
|
首选语言 |
首选语言 |
此属性设置用户的首选语言,支持以下格式: xx_YY或xx-YY。 下面是一些示例: en_US,en_GB,fr-CA。 如果您使用不受支持的语言或无效的格式,用户的首选语言将更改为组织的语言集。 |
|
MSRTCSIP-主要用户地址 ipPhone |
SipAddresses;type=enterprise |
此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。 |
|
sn |
sn |
此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。 |
|
圣 |
圣 |
此属性指定用户的状态或省。 |
|
街道地址 |
街道 |
此属性指定用于实际邮件递送的用户的街道地址。 |
|
电话号码 |
电话号码 |
此属性指定用于从联系人卡呼叫用户的主要(工作)电话号码。 |
|
— |
时区 |
此云属性指定用户的时区。 |
|
标题 |
标题 |
|
|
类型 |
企业 |
— |
|
*邮件 *用户主要名称 |
uid |
强制性的属性映射。 对于每个用户帐户,Active Directory值映射到云中的唯一的UID。 在某些情况下,使用userPrincipalName来登录,但使用用户的电子邮件地址来管理他们的日历。 您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。 将userPrincipalName作为备用电子邮件地址添加。 然后用户可以使用这两个电子邮件地址之一登录,只要正确的 SAML属性映射就行了。 请参阅下面的示例属性映射,了解如何映射替代电子邮件地址。 |
|
*用户主要名称 *邮件 <自定义属性> |
电子邮件;类型工作 |
此映射是可选的,如果您想使用其他电子邮件地址,请使用此映射。 这是用于身份验证的电子邮件;它不用于管理您的日历。 您从AD映射的电子邮件地址必须来自您组织内的验证域,并且必须是唯一并且不会分配给其他用户。 |
|
<Azure用户对象Id的新属性> |
外部ID |
创建新的Active Directory属性以保留Azure用户对象ID,使其不会与现有的ID冲突。 此属性随后映射到externalId属性,确保Webex用户在Microsoft 365中创建群组时,会自动在Webex中创建群组。 |
替代电子邮件地址映射
自定义属性的表达式
|
操作员 |
描述和示例 |
|---|---|
|
% |
如果匹配,将字符串开头的所有字符删除到字符或字符串参数的位置。
|
|
- |
从指定字符串的末端剥离输入字符串的背部。
|
|
+ |
连接输入字符串或表达式。
|
|
| |
根据空字符串评估分隔表达式,并选择第一个非空结果。
|
将Active Directory属性中的目录头像同步到云
您可以将用户的目录头像同步到云,以便在登录Webex应用程序时显示每个头像。 使用此程序同步来自Active Directory属性的原始头像数据。
| 1个 |
从Directory Connector,转至配置,单击阿凡达,然后检查启用。 |
| 2个 |
对于从获取头像,选择AD属性,然后选择头像属性,其中包含要同步到云的原始头像数据。 |
| 3个 |
要验证头像是否正确访问,请输入用户的电子邮件地址,然后单击获取用户头像。 头像出现在右侧。 |
| 4个 |
验证头像显示正确后,单击应用保存更改。 |
-
同步的图像成为Webex应用程序中用户的默认头像。 在Directory Connector启用此功能后,不允许用户设置自己的头像。
-
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步该做什么
执行干运行同步;如果没有问题,则执行完全同步,以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。
将目录头像从资源服务器同步到云
您可以将用户的目录头像同步到云,以便在登录Webex应用程序时显示每个头像。 使用此程序从资源服务器同步化头像。
开始之前
-
此过程中的URI模式和变量值是示例。 您必须使用目录头像所在位置的实际URL。
-
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。 连接器需要http或https访问图像,但图像不需要在互联网上公开访问。
-
头像数据同步与Active Directory用户配置文件分开。 如果您运行代理,必须确保NTLM身份验证或基本身份验证可以访问头像数据。
| 1个 |
从Directory Connector,转至配置,单击阿凡达,然后检查启用。 |
| 2个 |
对于从获取头像,选择资源服务器,然后输入头像URI模式—例如, 让我们来看看阿凡达URI模式的每个部分及其含义:
|
| 3个 |
(可选)如果您的资源服务器需要凭证,请检查为头像设置用户凭证,然后选择使用当前服务登录用户或使用此用户并输入密码。 |
| 4个 |
输入变量值—例如: |
| 5个 |
单击测试以确保头像URI模式正常工作。 在此示例中,如果一个AD条目的邮件值为 |
| 6个 |
验证了URI信息并看起来正确后,单击应用。 有关使用正则表达式的详细信息,请参阅 Microsoft正则表达式语言快速参考。 |
-
同步的图像成为Webex应用程序中用户的默认头像。 在Directory Connector启用此功能后,不允许用户设置自己的头像。
-
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步该做什么
执行干运行同步;如果没有问题,则执行完全同步,以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。
将内部会议室信息同步到Webex云
使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的Webex设备(房间、桌面和板)上的可搜索条目。
| 1个 |
从Directory Connector转至同步,单击同步域旁边的 |
| 2个 |
检查将房间信息同步到云,在同步过程中将房间数据与用户数据分开。 禁用此设置时,将以与用户同步数据相同的方式处理会议室数据。 |
| 3个 |
转至属性映射,然后更改云属性的属性映射sipAddresses;type=enterprise。 要使用值验证,SIP地址的值应为Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4个 |
在Exchange中创建会议室资源邮箱。 这将添加连接器用于识别房间的 msExchResourceMetaData;ResourceType:Room 属性。
|
| 5个 |
从Active Directory用户和计算机,导航到并编辑会议室的属性。 使用sip的前缀添加完全合格SIP URI:
|
| 6个 |
在连接器中执行干运行同步,然后执行完整运行同步。 新会议室对象列出已添加对象,匹配的会议室对象将出现在匹配对象中干运行报告中中。 任何标记要删除的房间对象都位于已删除的房间下。
干运行结果显示所有匹配的房间资源。
此设置将Active Directory房间数据(包括房间属性)与用户数据分离。 同步完成后,连接器仪表板上的云统计数据将显示与云同步的房间数据。
|
下一步该做什么
现在您已完成这些步骤,当您在Webex云注册设备上搜索时,您将看到使用SIP地址配置的同步房间条目。 当您将Webex设备拨入该条目时,将呼叫放置到为房间配置的SIP地址。
从Control Hub,您可以自动从目录导入会议室并创建工作空间。
端点无法将呼叫回传回至Webex应用程序。 对于测试拨号设备,这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。 如果您正在搜索的Active Directory会议室系统已注册到Webex,并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上,则搜索结果不会显示重复条目。 在Webex应用程序中直接拨打Room、Desk或Board设备,不会进行SIP呼叫。
在目录同步结果上发送电子邮件报告
默认情况下,组织联系人或管理员总是会收到电子邮件通知。 使用此设置,您可以自定义谁应该接收总结目录同步报告的电子邮件通知。
| 1个 |
从Directory Connector,单击配置,然后选择通知。 |
| 2个 |
从Directory Connector中,单击设置,然后在电子邮件接收器旁边切换启用报告同步。 |
| 3个 |
如果要覆盖默认通知行为并添加一个或多个电子邮件收件人,请选择启用通知。 |
| 4个 |
单击添加,然后输入电子邮件地址。 如果您输入的电子邮件地址格式无效,则会弹出一条消息,告诉您纠正问题,然后才能保存并应用更改。 |
| 5个 |
单击添加电子邮件,然后输入电子邮件地址。 如果您输入的电子邮件地址格式无效,则会弹出一条消息,告诉您纠正问题,然后才能保存并应用更改。 |
| 6个 |
如果您需要编辑您输入的任何电子邮件地址,请双击左侧列中的电子邮件条目,然后进行所需的任何更改。 |
| 7 |
添加所有有效电子邮件地址后,单击应用。 |
| 8个 |
添加所有有效电子邮件地址后,单击保存。 |
下一步该做什么
如果您决定删除电子邮件地址,您可以单击电子邮件以突出显示该条目,然后单击删除。
如果您决定删除电子邮件地址,可以单击特定电子邮件地址条目旁边的删除。
从Active Directory向Control Hub提供用户
按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。 在安装每个域的Directory Connector后,您可以从多个域Active Directory部署(包含单个森林或多个森林)提供用户。 在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 目标是在Active Directory和Webex云之间实现精确匹配。
| 1个 |
执行干运行以比较内部Active Directory中的对象和Webex云中的对象。 干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。 |
| 2个 |
当您运行完全同步时,连接器服务将从Active Directory (AD)的所有过滤对象发送到云。 连接器服务然后用您的AD条目更新身份存储。 如果您创建了自动分配许可证模板,您可以将其分配给新同步的用户。 |
| 3个 |
向Control Hub中的Directory同步用户分配Webex服务 完成从Directory Connector输入到Control Hub的完整用户同步后,您可以使用各种方法分配Webex服务许可证。 我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。 您还可以在此初始步骤后进行个人更改。 |
在您的Active Directory用户上执行干线同步
执行干运行以比较内部Active Directory中的对象和Webex云中的对象。 干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 使用Directory Connector,目标是在Active Directory和Webex云之间实现精确匹配。
如果您在单个森林或多个森林中拥有多个域,则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。
开始之前
在使用Directory Connector之前,您可能已经在Control Hub中拥有一些Webex应用程序用户。 在云中的用户中,有些用户可能会与本地Active Directory对象匹配,并为服务分配许可证。 但有些测试用户可能是在进行同步时要删除。 您必须在Active Directory和Control Hub之间创建完全匹配。
| 1个 |
选择一项:
当干运行完成时,您将看到以下结果之一:
摘要包含有关对象匹配的信息:
干运行通过比较与域用户来识别用户。 如果用户属于当前域,应用程序可以识别用户。 在下一步,您必须决定是删除对象还是保留它们。 不匹配的对象已在Webex云中存在,但在内部Active Directory中不存在。 |
| 2个 |
查看干运行结果,然后根据您使用单个域还是多个域选择一个选项:
|
| 3个 |
在确认干运行提示符中,单击是重执行干运行同步并查看仪表板以查看结果。 在干运行中成功同步的所有帐户都出现在匹配对象下。 如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户,则该条目在已删除用户下列出。 要避免此删除标记,您可以在具有相同电子邮件地址的Active Directory中添加用户。 要查看已同步项目的详细信息,请单击特定项目或匹配对象的相应选项卡。 要保存摘要信息,请单击保存结果至文件。 |
| 4个 |
如果预期结果,请转至,然后单击立即启用进行手动同步,并在此处设置手动模式。 在多个域部署中的最后一个Active Directory域进行同步后,必须为Directory Connector启用自动模式。 只有当对象在Webex云和所有内部活动目录之间完全匹配时,您才可以启用自动模式。 |
下一步该做什么
-
对于您保留的任何不匹配的用户对象,您必须将其添加到Active Directory,以便在内部和云之间实现完全匹配。
-
选择同步类型:
-
首次将新用户同步到云时,将Active Directory用户完全同步到云中。 您可以从进行操作,然后从当前域的用户将同步。
-
设置连接器计划并在运行完整同步后运行增量同步,如果要在初始同步后拾取更改。 建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
默认情况下,增量同步设置为每30分钟(3.4及更早版本)或每4小时(3.5及更高版本)进行,但您可以更改此值。 在您最初执行完全同步之前,增量同步不会发生。
-
-
如果您有多个域,请在已安装的任何其他目录连接器上重复这些步骤。
需要记住的事情
-
启用完全同步之前或更改同步参数时执行干运行。 如果干运行由配置更改启动,您可以在干运行完成后保存设置。 如果您已手动添加用户,执行Active Directory同步可能会导致以前添加的用户被删除。 您可以在完全同步到云之前检查Directory Connector Dry Run报告,以验证所有预期用户都存在。
-
如果匹配的用户被标记为要删除,并且您不确定如何继续,请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。
已删除的用户将在云身份服务中保留7天,然后被永久删除。
将Active Directory用户完全同步到云
当您运行完全同步时,连接器服务将从Active Directory (AD)的所有过滤对象发送到云。 连接器服务然后用您的AD条目更新身份存储。 如果您创建了自动分配许可证模板,您可以将其分配给新同步的用户。
如果您有多个域,则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。
目录连接器同步用户帐户状态—在Active Directory中,任何被标记为禁用的用户在云中也会显示为非活动。
开始之前
-
如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态,则必须执行以下步骤以绕过电子邮件验证:
-
将单点登录与Webex组织集成。 查看
使用Cisco Webex Services和您的组织的身份提供商进行单点登录
有关更多信息。 -
使用Control Hub验证并选择声称电子邮件地址中包含的域。 查看
添加、验证和请求域
. -
抑制自动电子邮件邀请,这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。(您可以进行自己的电子邮件活动。)
尚未登录的已激活用户在Control Hub中显示已验证状态。 登录后,它们将显示为活动状态。 有关用户状态的更多信息,请参阅 Cisco Webex Control Hub中的用户状态和操作。
-
-
启用同步时,Directory Connector要求您先执行干运行。 我们建议您在完全同步之前进行干运行,以发现任何潜在的错误。
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板。
如果您不使用自动分配许可证模板,新同步的用户会自动获得免费许可证。 他们将能够使用与免费帐户的相同的免费功能。
| 1个 |
选择一项:
|
| 2个 |
从Directory Connector转至同步,单击同步域旁边的 |
| 3个 |
确认同步的开始。 对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序会在您执行同步后72小时内反映更改。 您可以按照以下说明尝试清除Webex应用程序的本地缓存: Windows 或 Mac。
|
| 4个 |
要更新同步状态,请单击刷新。 (同步项目出现在云统计下。) |
| 5个 |
有关错误的信息,请从操作工具栏选择启动事件查看器以查看错误日志。 |
| 6个 |
要设置持续增量同步到云的同步计划,请参阅设置连接器计划和运行增量同步。 |
-
完成完全同步后,在Control Hub的设置页面上,目录同步状态将从禁用更新至操作。
-
当所有数据在内部和云之间匹配时,Directory Connector将从手动模式更改为自动同步模式。
-
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件,否则Webex应用程序用户帐户将保持未验证状态,直到用户首次登录Webex应用程序以确认其帐户。 请参阅“开始之前”部分,了解如何将帐户同步为活动用户的指导。
-
如果您有多个域,请在已安装的任何其他目录连接器上执行此步骤。 同步后,您添加的所有域上的用户都会在Control Hub中列出。
-
如果您将单点登录与Webex集成,并且已删除的电子邮件通知,则电子邮件邀请不会发送给新同步的用户。
-
启用目录连接器后,您无法在Control Hub中手动添加用户。 启用后,从Cisco目录连接器执行用户管理,而Active Directory是唯一的真理源。
-
您同步的任何组都出现在Control Hub中,并且您可以分配许可证模板,以便该组中的用户获得许可证。
下一步该做什么
-
当您从Active Directory中删除用户时,该用户将在下次同步后被软删除。 用户处于非活动状态,但云身份档案将保留七天(以便从意外删除中恢复)。
如果您在Active Directory中检查帐户已禁用,则下次同步后该用户将变为非活动。 云身份档案七天后不会删除,以防要再次启用用户。
-
注意增量同步的这些异常(请按照上面的完整同步步骤操作):
-
如果更新了头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
-
属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。
-
向Control Hub中的Directory同步用户分配Webex服务
完成从Cisco目录连接器到Control Hub的完整用户同步后,您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证,或者如果您已经配置了自动分配的许可证模板,则向新用户添加其他许可证。 您可以在此初始步骤后更改个人用户帐户。
完成从Directory Connector输入到Control Hub的完整用户同步后,您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证(如果您已经配置了自动分配许可证模板)。 您可以在此初始步骤后更改个人用户帐户。
当您向Webex应用程序用户分配许可证时,该用户默认会收到一封确认分配的电子邮件。 该电子邮件由Control Hub中的通知服务发送。 如果您将单点登录(SSO)与Webex组织集成,则如果您更愿意直接联系用户,您也可以删除这些自动电子邮件通知。
开始之前
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板。
-
在Active Directory用户上执行干运行同步。
-
确认干运行结果后,在Active Directory用户上进行完全同步。
在完全同步时,用户在云中创建,不添加服务分配,也不发送激活电子邮件。 如果电子邮件未被抑制,新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。
| 1个 |
从 https://admin.webex.com 中的客户视图,转至,单击管理用户,选择修改所有同步用户,然后单击下一步。 |
| 2个 |
选择一个选项: |
下一步该做什么
-
如果电子邮件没有被抑制,将向每个用户发送电子邮件,并邀请其加入和下载Webex。
-
如果您为所有用户选择了相同的Webex服务,那么您可以单独或批量更改分配的许可证。
目录连接器的已知问题
-
2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。 此问题已在 2012 R2 和 2016版本中得到解决。
-
对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序将在执行同步后的72小时内反映更改。
您可以按照以下说明尝试清除Webex应用程序的本地缓存: Windows 或 Mac。
-
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间,此时呼叫将无限响起。
管理Webex应用程序用户
运行增量同步
增量同步会查询 Active Directory,查找自上次同步以来发生的更改。然后,此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。
此同步不会给服务器带来那么多的负载,也不需要像完全同步那样多的时间。完成初始完整同步后,我们建议为后续同步使用增量选项。
开始之前
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板 。
-
注意不支持增量同步的以下异常(请遵循将Active Directory用户完全同步到云中 ):
-
如果更新了头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
-
对于属性映射、基本DN、过滤器和头像设置的新配置更改,增量同步无法工作,需要完全同步。
-
| 1 |
从 Directory Connector 中,单击控制板。 启用同步时,Directory Connector 将要求您首先执行测试。 |
| 2 |
从操作中,如果尚未启用,单击同步模式>启用同步 。 默认情况下,增量同步设置为每30分钟(3.4及更早版本)或每4小时(3.5及更高版本)进行,但您可以更改此值。在您最初执行完全同步之前,增量同步不会发生。当新的增量时间间隔出现时,程序会根据最后一个时间标识检查更改。 |
| 3 |
从操作中,单击立即同步 > 增量。 对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序将在执行同步后的72小时内反映更改。
|
| 4 |
有关错误的信息,单击操作 工具栏中的启动事件查看器 可查看错误日志。 |
下一步
如果您有多个域,请在已安装的其他目录连接器实例上执行此步骤。
恢复意外删除的用户
Directory Connector具有制衡功能,以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器,这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复,并在Control Hub中重新建立用户帐户。
默认情况下,此功能对所有组织都启用。例如,在云中删除用户时,由于从Directory Connector同步后出现不匹配的对象问题,用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除,如果您快速采取行动,您可能能够恢复它们。
当在Active Directory中删除相应帐户时,用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间,您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。
在Active Directory中禁用的用户在Control Hub中标记为Inactive,但用户帐户在7天后不会删除。
| 1 | |
| 2 |
转至用户 并确认特定用户帐户是否处于非活动状态或未列出。 有关详细信息,请参阅控制中心中的用户状态和操作。 |
| 3 |
如果在Control Hub中删除用户,或者您注意到用户处于非活动状态,请转至Active Directory,添加缺失的用户帐户,然后在Directory Connector中执行干运行同步。 使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。 |
| 4 |
执行完全同步,将暂时删除的用户帐户重新同步至Control Hub。 用户被恢复并转至原始状态,包括其帐户状态和服务分配。 |
下一步
返回Control Hub,转至,并确认先前删除的用户帐户出现在用户列表中。
在软删除后永久删除用户
执行干运行后,您可以选择永久删除下次同步时被软删除的用户。
| 1 |
干运行完成后,选择软删除对象。 |
| 2 |
选中要删除的用户旁边的复选框。 |
| 3 |
选择完成。 |
下一步
下次同步时,已检查的用户将被永久删除。
更改Webex应用程序电子邮件地址
如果您想更改用户电子邮件地址,并且您的组织使用Directory Connector,请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。
如果您只想更改一个用户的电子邮件或某个值,请勿从Active Directory中删除该用户,然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户,用户空间和云中的其他数据将丢失。
目录连接器不限制电子邮件域更改。但是,当用户重新同步到云时,用户状态取决于您的组织中是否验证新域。如果组织中未验证域,则在完全同步后,用户的状态将更改为“待定”。有关更多信息,请参阅管理您的域。
如果您的组织不使用Directory Connector,您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址 ,了解用户可以遵循的步骤来更改电子邮件。
更改 Active Directory 域
您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。
| 1 |
设置新的 Active Directory (AD) 域。 |
| 2 |
禁用所有连接器上的同步。 |
| 3 |
卸载所有连接器。 |
| 4 |
在案例提交中,请确保请求删除组织中的域配置和所有同步属性。 在打开案例以更改域之前,请确保未运行同步功能。在案例解决之前,不要更改Active Directory中的任何用户电子邮件地址。 |
| 5 |
解决案例后: 在进行实际同步之前,使用Directory Connector执行测试运行。 |
域声明
如果您为某个组织申请电子邮件域名,从而在付费客户组织中创建任何旁边的帐户,而不是免费消费者组织中,则会出现域索偿。您只能通过支持案例进行域申索(有关更多信息,请参阅下面的链接)。
如果Directory Connector处于活动状态并且该域已声明,则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户,受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。
在目录同步组织中转换免费的Webex应用程序用户
您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序,则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户,请在打开Directory Connector之前将其迁移(转换)到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。
如果您未在激活前转换帐户,请关闭 Directory Connector 以对帐户进行转换。
如果启用目录同步时尝试转换用户,将显示错误消息 无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。
一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中,而不是不匹配对象。如果要将这些用户迁移到您的组织,则需要将这些用户添加到您的AD列表。
如果您未添加这些用户,它们将在您旁边同步到云时全部删除。
| 1 |
从 Directory Connector 中禁用目录同步功能。 |
| 2 |
按照在Control Hub中转换无许可用户 程序将用户从免费消费组织转换为企业组织。 此步骤将用户添加到您的组织,帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源,目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前,确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。 |
| 3 |
在Directory Connector上,执行干运行同步。测试完成后,查看“添加对象”标签页。验证是否未删除您已转换的任何用户。 您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中,则Directory Connector将区分大小写,并删除其检测到电子邮件地址不匹配的转换用户(例如,user1@example.com和User1@example.com)。 如果已删除任何转换的用户,他们将失去所有Webex应用程序空间。 |
| 4 |
如果您确定下一次同步将不会删除任何帐户,请从 Directory Connector 重新启用目录同步。 |
如果您没有验证域,转换的用户帐户不会自动激活。例如,如果您打开自动分配许可证模板,然后在没有域验证的情况下打开Directory Connector,转换后的用户将在云后端处于非活动状态,直到他们确认其电子邮件地址。
侧边的Webex应用程序用户帐户
当您邀请其他用户到Webex应用程序中的空间时,如果受邀用户没有Webex应用程序帐户,则为他们创建帐户(“侧面”)。缺省情况下,以此方式创建的帐户将添加至自由消费者组织中。
如果要使用Directory Connector管理侧栏帐户,则必须转换帐户。
目录同步后更改Webex应用程序用户名格式
默认情况下,Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。
执行目录同步后,您可能会发现该用户名以格式显示。
如果Active Directory中的 displayName 属性以这种方式配置,此用户名可能会出现。当属性映射到云中的 displayName 时,名称会在Control Hub中以格式显示。
若要更改格式,请在 Directory Connector 属性映射屏幕中进行如下操作:将Active Directory属性 givenName sn (或 sn givenName)映射到Cisco云属性名称中的 displayName 。
或者,将属性 sn givenName 映射到 displayName:
如果您想将自己的自定义属性表达式映射到 displayName,也可以使用“自定义属性”选项。
例如,输入givenName + "" + sn (名字、空间、姓氏)作为表达式。将Active Directory中的两个属性映射到云中displayName 。
允许用户在Webex Meetings中更改显示名称
如果您想允许用户编辑首选的显示名称,您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称,而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。
| 1 |
从Directory Connector,单击配置,然后选择用户属性映射。 |
| 2 |
在 Cisco云属性名称 下选择显示名称。 |
| 3 |
选择不同步此属性。 |
下一步
用户现在可以从Webex站点编辑显示名称。
Directory Connector 故障诊断
升级到最新软件版本
要保持部署合规并获取最新功能、功能、错误修复和安全增强功能,您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本,则可能会遇到问题,例如Directory Connector不再正常同步,或者处于不支持强制性 TLS 1.2要求的版本上。
Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。
虽然您可以手动安装连接器软件更新更新,但我们建议您遵循设置自动升级 中的步骤,让应用程序自动管理升级。
| 1 |
单击Windows任务栏中的通知,或右击Windows任务栏中的Directory Connector图标,开始升级过程。 |
| 2 |
按说明完成升级操作。 |
| 3 |
重新启动连接器并使用管理员凭据登录。 |
| 4 |
在下验证软件的版本号。 |
下一步
要重新安装Directory Connector,您可以 下载zip文件 ,然后按照本指南中的安装步骤操作。
配置 Directory Connector 的常规设置
使用此程序配置常规设置,例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中,其中还包含正在运行的任何其他连接器。
| 1 |
从Directory Connector转至配置,然后单击常规。 |
| 2 |
在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。 |
| 3 |
从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括:
这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误,则仅在同步报告中报告错误;如果不存在错误,则不会发送同步报告。将设置更改为Info,然后在完全同步后收到同步报告。(请记住,对于增量同步,没有报告错误时不会发送报告。) |
| 4 |
选择首选域控制器以设置域控制器同步身份的顺序。 将按照从上到下的顺序访问域控制器。如果顶级控制器不可用,则选择列表中的第二个控制器。如果列表中没有控制器,您可以访问主控制器。 |
| 5 |
如果要进行自动升级,请检查自动升级到新的Cisco Directory Connector版本 。 将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置,允许在软件可用时安静地安装自动升级到软件。 |
| 6 |
检查 通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。 如果您未通过 SSL检查LDAP,则Directory Connector将继续使用LDAP连接协议。 LDAP(轻量级目录应用程序协议)和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。 |
配置连接器策略
您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。
例如,将 1 设置为删除阈值触发值。在执行完全或增量同步时,如果您要删除的用户数大于该设置,Directory Connector 会显示警告。如果您单击忽略阈值,可以成功开始完全或增量同步,但是在您下次运行该策略时将再次看到此忽略提示。
| 1 |
从Directory Connector,单击配置,然后选择策略。 |
| 2 |
如需添加阈值触发器,请勾选“启用删除阈值触发器”复选框。 选择该选项后,删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时,同步失败。
|
| 3 |
输入您要设置的最大删除次数。缺省值为 20。 我们建议您不要增大该缺省值。 |
| 4 |
单击应用。 |
设置连接器的安排
在Active Directory中设置同步定时。为了实现高可用性 (HA),使用了故障转移。如果有一个连接器宕机,我们会在预定义的间隔过后,切换到另一个待机连接器。
| 1 |
从Directory Connector,单击配置,然后选择计划。 |
| 2 |
以分钟为单位指定增量同步间隔。 缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。 |
| 3 |
如果您希望更改发送报告的频率,请更改发送报告间隔时间值。 |
| 4 |
勾选启用完全同步计划以指定想要执行完全同步的日期和时间。 |
| 5 |
以分钟为单位指定故障转移间隔。 |
| 6 |
单击应用。 |
多域情境
多个域基于域优先级。对于在不同域具有相同键值的对象,在同步后,来自高优先级域的数据将覆盖来自低优先级域的数据。
具有相同键值的对象会链接到数据库中的同一条记录。
“用户”的键值是电子邮件地址;“组”的键值是组名。
多域使用示例
此示例假设某组织有两个域 - example1.com 和 example2.com,前者优先级高于后者。
-
添加 user1(电子邮件:user@example1.com)到 example1.com 的 Active Directory。
-
添加 group1(组名:Test)到 example1.com 的 Active Directory。
-
添加 user2(电子邮件:user@example2.com)到 example2.com 的 Active Directory。
-
添加 group2(组名:Test)到 example2.com 的 Active Directory。
- 在 example1.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 https://admin.webex.com 中,而 user1 和 group1 没有。
如果您为 example1.com 执行全面或增量同步,user1 和 group1 会同步。而且,user2 和 group2 会被 user1 和 group1 的信息覆盖。
User1 作为数据库中的相同记录链接到 user2;group1 作为数据库中的相同记录链接到 group2。
- 在 example1.com 和 example2.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 https://admin.webex.com 中,而 user1 和 group1 没有。
请考虑这些步骤:
- 在 example1.com 的 Active Directory 上删除 user1 和 group1。
- 为 example1.com 执行全面或增量同步。
结果:在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1,而 group2 没有链接到 group1。
- 为 example2.com 执行增量同步。
结果:在 https://admin.webex.com 中用户信息无变化。
- 为 example2.com 执行全面同步。
结果:user2 和 group2 的信息在 https://admin.webex.com 中列出。
同步新的域并保留现有域
如果要同步新的域 (B),同时还要保留其他现有域 (A) 上的已同步用户数据,请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后,该连接器会与新的域绑定,而域 (A) 下的用户信息不受影响。
每个域必须自带有效的连接器。请考虑采用以下设置的两个域:带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA);带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中,一个连接器处于活动状态,另一个处于待机状态 (HA)。该设计可保持域同步,因为有一个连接器始终处于活动状态。也就是说,cb1 是域 B 处于活动状态的连接器,因为域 A 已有处于活动状态的连接器(ca1 或 ca2)。
设置域优先级
使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域,等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织,此设置会很有帮助。
如果在 Directory Connector 中只列出了一个域,则不要使用此过程。如果您尝试进行此配置,连接器会显示一条消息,说明不需要域优先级。
开始之前
要避免错误,请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。
| 1 |
从Cisco目录连接器,单击仪表板。 |
| 2 |
转至操作,然后单击设置域优先级。 |
| 3 |
高亮显示列表中的一个域,单击向上或向下更改此域的优先级,然后单击保存保存更改。 各个域会按优先级自上而下排序。 |
切换域
使用此程序将Cisco目录连接器重新绑定到另一个域。
开始之前
-
在切换域之前,确保没有同步任务在运行。
-
要避免错误,请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。
| 1 |
从Cisco目录连接器,单击仪表板。 |
| 2 |
转至操作,然后单击切换域。 |
| 3 |
阅读警告后,如果您理解此更改对部署的影响,而且您仍然确定要更改,请单击是。 如果您切换域,则您将从当前Cisco目录连接器中注销,连接器中的其他域未注册,并且删除该计算机上的连接器信息。 |
| 4 |
重新登录Cisco目录连接器并重新绑定域。 |
关闭目录同步
如果您需要停止从Directory Connector进行同步,可以从Control Hub暂时将其关闭。
| 1 |
从https://admin.webex.com中的客户视图,转至,滚动至目录同步,然后选择一个:
|
| 2 |
阅读提示之后,单击关闭。 同步停止,直到从Directory Connector重新启用它。 |
删除用户属性映射
使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后,属性值将从云中删除,不再与Webex同步。然后可以手动编辑这些值。
| 1 |
从 Directory Connector 中,单击控制板。 |
| 2 |
转至操作,然后单击。 |
| 3 |
选择映射以从属性名称 列表中删除。 |
| 4 |
在受影响的用户范围下,选择以下其中一项:
|
| 5 |
单击应用。 |
管理档案照片
使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。
| 1 |
从 Directory Connector 中,单击控制板。 |
| 2 |
转至操作,然后单击。 |
| 3 |
在操作下,选择以下其中一项:
|
| 4 |
单击 Apply(应用)。 |
卸载并停用目录连接器
卸载 Directory Connector 实例后,必须取消注册它。如果面临以下任何情况,都应该彻底删除 Directory Connector:
-
您不想再使用目录同步。
-
您不想使用多个 Directory Connector(高可用性)中的某一个。
-
您想要更改域并安装其他连接器。
开始之前
-
您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例,请禁用同步。
-
卸载Directory Connector之前,保存并关闭任何重要工作。
| 1 |
在您的 Windows 计算机上,转至“控制面板”,然后单击程序和功能。 |
| 2 |
从程序列表中,单击目录连接器,选择卸载,然后按照提示操作。 您可能需要重启系统来完成卸载。 |
| 3 |
从https://admin.webex.com中的客户视图,转至,滚动至目录同步,单击更多 |
| 4 |
阅读提示之后,单击停用。 用户帐户将不会再同步,除非在高可用性 (HA) 部署中还有其他 Directory Connector。 |
运行诊断工具
您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。
如果同步工作不正确,您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接,因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误,您可以发送详细的日志结果以支持。
-
要为Active Directory域服务运行测试:
-
要运行Active Directory轻量级目录服务的测试:
-
要运行轻量级目录访问协议(LDAP)的测试:
解决Ciso Directory Connector中的问题
目录连接器的故障排除和修复
您可能在Directory Connector中遇到错误消息或其他问题。此外,在Directory Connector同步用户信息后,该连接器可能会向您发送一封电子邮件报告,列出同步存在的任何问题。在联系支持人员之前,请参考以下章节,了解可能出现的问题、可能的原因和建议解决方案。
安装
Directory Connector 停止运行
您收到警告电子邮件,通知您您的Directory Connector无法工作。
-
目录连接器可能未正确安装。
-
目录连接器可能未运行。
-
网络可能不可用。
请尝试以下操作:
-
打开。找到 Directory Connector。如果没有,请从Control Hub下载最新版本并安装。
-
打开服务 并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止,请单击右键并选择“启动”以重启该服务。
-
确保安装Directory Connector的服务器能够访问Internet。
重新安装错误
问题—如果您在卸载旧连接器后立即安装新连接器,可能会看到错误消息。
可能原因—在Windows Server 2012中,卸载客户端需要时间从服务列表中删除服务帐户。
解决方案—经过一段时间后,请再次尝试安装。
登录
SSO登录期间目录连接器崩溃
问题
从SSO登录页输入电子邮件地址后,目录连接器可能会崩溃。
解决方案
请尝试以下操作:
执行以下步骤以配置新的组策略:
-
转至域控制器并打开组策略管理(gpedit.msc)。
-
右键单击特定的OU或域,然后选择在此域中创建GPO,并在此处链接它……
-
给该策略命名,然后右键单击并选择编辑。
执行以下步骤以更改机器级别的策略:
-
转至,右键单击注册表,选择新建,然后选择注册表项。
-
对于关键路径,输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
-
为
值输入禁用脚本调试器,为值数据输入否。设置应匹配此屏幕截图:
请执行以下步骤以在用户级别更改策略:
-
转至,右键单击注册表,选择新建,然后选择注册表项。
-
对于关键路径,输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
-
为
值输入禁用脚本调试器,为值数据输入否。设置应匹配此屏幕截图:
在运行 gpupdate /force、重新启动机器(用于机器更改)或再次输入用户符号(用于用户更改)后,更改将生效。
无法注册Cisco DirSync服务连接器
问题
登录失败,并显示此消息:“无法注册Cisco DirSync服务连接器。”
解决方案
安装Directory Connector的Windows系统必须是Active Directory的成员。
未显示登录页面
问题
您打开目录连接器,登录页未显示。
解决方案
请尝试以下步骤:
-
在Internet Explorer中,转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器(如Chrome和Firefox)中尝试该链接。
-
如果Internet Explorer无法访问该链接,但其他浏览器可以,请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。(使用启用Internet Explorer中的TLS 程序。)
显示登录提示
问题
出现提示提示您输入用户名和密码以通过身份验证。
可能原因
Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败,会弹出对话框以请求身份验证用户名和密码。
解决方案
当您看到登录弹出窗口时,您需要提供具有正确身份验证的有效帐户,以保证传递安全。
无法连接远程服务器
无法注册连接器
问题
您将看到错误消息“无法注册连接器。发生了一般例外。”
可能原因
在大多数情况下,问题在于Directory Connector没有连接到LDAP根上下文的特权。
解决方案
请尝试以下操作:
-
运行命令提示符(cmd),然后输入 ldp.exe。
-
单击,选择绑定为当前登录用户,然后单击确定。
-
单击,输入DC=arbonneintl,DC=ad 作为BaseDN,然后单击确定。
-
如果问题继续,打开支持案例。
同步
头像未同步
问题
Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。
可能原因
如果您重复使用现有的头像服务器,并且用户头像已经同步,则本地缓存将捕获它们,并避免再次重订以保存带宽。
解决方案
按照以下步骤删除本地缓存:
-
转至C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
删除DirSyncPluginAvatar.dll-cache.bin。
-
从Cisco目录连接器重新启动头像同步。
用户电子邮件帐户冲突
问题
同步结果可能会显示有冲突的用户电子邮件帐户。
-
如果用户尝试了Webex应用程序的免费版本,他们的电子邮件地址将位于免费消费者组织中。
-
如果用户电子邮件在另一个组织中已同步。
-
如果用户电子邮件存在于属于组织的多个域中。
解决方案
请尝试以下操作:
-
如果您要向用户索要权,请按照以下步骤操作:
-
确保您已在 Control Hub中验证该域。
-
暂时禁用Cisco目录连接器。
-
使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关详细信息,请参阅向您的组织索要用户(转换用户) 。
-
在Cisco Directory Connector中运行干燥,然后重新启用目录同步
-
-
对于最后一个案例,请复选您的Active Directory源中的用户数据。
已转换用户标记为非活动
问题
在您的目录同步环境中,您将免费(消费者组织)用户转换为企业组织,但转换用户无法登录Webex应用程序。
可能原因
当自由用户转换为企业组织时,该用户将被标记为非活动状态为30天,作为安全合规措施。在此期间内,用户无法登录Webex应用程序,并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。
解决方案
如果您不想删除该用户帐户,必须采取行动。要解决此问题,请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后,从Cisco Directory连接器执行同步。然后,用户可以再次登录Webex应用程序,帐户不会被删除。
增量同步失败
问题
增量同步失败。
在以下条件下可能会在Windows Server 2008 R2上出现此问题:
-
您支持增量值更新。
-
您使用的筛选器引用链接值属性。
-
该属性的结果值自上次进行完全同步以来已更新。
解决方案
Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。
属性的值无效
问题
对于 [user dn (distinguished name)],属性 [attribute name] 有以下无效值 [attribute value]。
可能原因
对于CN=b,OU=Employees,OU=C Users,DC=c,DC=com,属性[电话号码]具有以下无效值:+。此属性必须包含至少一个数字。
解决方案
此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。
要删除匹配的用户
问题
匹配的用户将被标记为要删除。
当执行干运行同步以检查Active Directory和云之间的数据时,您可能会在两者中看到相同的电子邮件地址。但是,用户被标记为要删除的对象。
解决方案
选择适当的修复:
-
如果可以在之后删除用户并重新执行许可证,您可以使用Directory Connector进行修复。执行同步以删除用户,然后执行其他同步以将用户从本地AD同步到云。
-
如果您无法删除并重新创建用户帐户,请在支持下打开案例。
缺少属性
问题
添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值,否则不会在Control Hub中创建该条目。
可能原因
必需属性的 email address 缺失。添加内部条目时[CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local],除非所有必需属性都具有值,否则不会在Control Hub中创建条目。
解决方案
用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。
嵌套组无法同步
问题
嵌套的Active Directory组中的用户未正确与云同步。
可能原因
使用不受支持的子组和父组的筛选器。例如:(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
解决方案
必须重新配置同步组的过滤器。例如:|(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
用户命名冲突
问题
对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言,[用户电子邮件地址],以及用户类型[user_type]。
可能原因
已在Control Hub中存在该电子邮件地址的用户。
解决方案
在Active Directory中创建用户,其电子邮件地址与您通过Control Hub注册的帐户相同。
Control Hub
Control Hub中缺少用户列表
问题
如果您拥有超过1000名同步用户的Webex组织,则可能无法在Control Hub中看到用户列表。
解决方案
您可以使用搜索功能查找用户帐户。在Control Hub中,转至用户,单击搜索,然后输入搜索条件以查找特定用户。
组不会同步到Control Hub
问题
目录组中的用户无法正确同步到Control Hub。
可能原因
在Active Directory中,该组未标记为 isCriticalSystemObject 。
解决方案
确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。
启用 Directory Connector 故障诊断
您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息,并将其保存至文件。
以下日志文件: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
运行 |
| 2 |
重启服务。 请参阅如何启动服务获取指导。 |
| 3 |
在目录连接器中,单击仪表板。 |
| 4 |
转至操作,然后单击。 |
| 5 |
启用故障诊断后,重复执行导致错误的操作,这样将捕获流量数据,以便进行检查。 |
| 6 |
检查日志文件:如果文件空白,请确保帐户有权访问 AD DS 或 AD LDS。 日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。 |
| 7 |
如有必要,向支持人员发送日志文件以获取协助。 |
| 8 |
诊断完成后,请禁用故障诊断功能。 |
启动事件查看器
若要查看完全或增量同步期间发生的事件,请启动“事件查看器”。它显示管理事件和错误日志的摘要。
| 1 |
从Directory Connector转至仪表板,然后单击。 “事件属性”对话将显示同步事件详细信息与错误详细信息。 |
| 2 |
从事件查看器,转至。
|
| 3 |
在操作下,单击保存所有事件为 将所有日志导出为单个事件文件(*。evtx)或其他格式(如xml或csv)。 |
下一步
如果您需要打开案例,请联系支持人员,描述连接器的问题,然后将“事件”文件附加到案例中。
事件日志会捕捉用户操作。如需管理网络流量的帮助,请在连接器上启用故障排除。
在Internet Explorer中启用TLS
如果您切换了单点登录(SSO)提供商,您可能会看到来自Cisco目录连接器的以下错误消息:
-
登录到服务时出错
-
此页脚本中出现错误
如果您看到这些错误,必须在浏览器中启用TLS设置。
| 1 |
打开Internet Explorer,然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器,然后再次打开它 |
| 2 |
单击互联网选项 ,转至高级 ,滚动至安全。 |
| 3 |
检查使用TLS 1.1 和使用TLS 1.2 复选框,然后单击确定。
|
| 4 |
重新启动系统以便更改生效。 |
服务帐户登录问题故障诊断
如果您无法登录Cisco目录连接器或无法运行同步,请在联系支持人员之前尝试解决该问题。
| 1 |
尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。 |
| 2 |
根据结果选择一项:
|
| 3 |
至少,确保Cisco DirSync服务(可在Windows服务中找到)配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下,该服务利用Windows登录帐户凭据和身份验证。 |
在Windows注册表中检查SafeDllSearchMode
默认情况下,安全动态链接库(DLL)搜索模式在Windows注册表中设置,然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用,攻击者可以将恶意DLL(与位于系统文件夹中的引用的DLL文件名称相同)放置到应用程序的当前工作目录中。
通常,SafeDllSearchMode已启用,但使用此步骤来复选注册表设置。
开始之前
对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。
| 1 |
在Windows搜索或运行窗口中,键入regedit ,然后按Enter。 |
| 2 |
转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。 |
| 3 |
选择一种:
|
有关详细信息,请参阅动态链接库搜索顺序。
Cisco Directory连接器概述
目录连接器概述
Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件,并将其安装到本地计算机上。
使用Directory Connector,您可以在Active Directory中维护您的用户帐户和数据,因此Active Directory成为唯一的真相来源。当您在内部进行更改时,它会复制到云。
请参阅表中所有的功能、描述和优势:
| 功能 | 描述和优势 |
|---|---|
| 简单易用的控制板 | 该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。 |
| 在同步到云之前进行干燥 | 在云中实施这些更改之前,先对目录进行干燥。之后,运行报告以查看要执行的变更是否与预期一致。 |
| 完全同步和增量同步 | 同步整个目录。或者,仅同步增量变更,从而提高处理能力并缩短同步时间。 |
|
同步多个域(单森林或多森林) |
Directory Connector支持单个森林或多个森林下的多个域(无需使用AD LDS)。对于拥有多个Active Directory域的企业,您可以为每个域安装Directory Connector,将每个域绑定到您的组织,然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态,允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。 |
| 按计划同步 | 按天、小时和分钟设置同步安排。 |
| 轻量级目录访问协议 (LDAP) 过滤器 | 定义 LDAP 搜索条件并实现高效的导入。 |
| 活动目录属性映射 | 将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性,并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据,例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据(职务、部门、经理等)。 |
|
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录 |
如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务,或者您拥有内部Room设备,此功能可让用户从Cisco Webex Calling(云PSTN)电话或Room资源搜索企业联系人目录。
|
| 事件查看器 | 使用事件查看器可确定是否存在同步问题。 |
| 诊断工具和故障排除 | 您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确,您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接,以便在联系支持人员之前自行诊断错误。 在Directory Connector中启用故障排除后,将编写日志,可发送给技术支持。 |
| 自动升级 | 安装 Directory Connector 后,您会在软件有新版本时收到通知。您可以设置自动升级,以便在发布新版本时始终使用最新版本的软件。 |
| 高可用性 | 配置多个连接器,以便在主连接器或机器主机出现宕机情况时提供备用。 |
Directory Connector 分为以下三个部分:
-
Control Hub 是一个单一界面,可让您管理Webex组织的所有方面:如果您希望用户通过企业身份提供商进行身份验证,并且不想为Webex应用程序发送电子邮件邀请,则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
-
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域,您可以为要同步的每个域安装一个软件实例。使用该软件,您可以运行同步以将Active Directory用户帐户带入Webex,查看和监控同步状态,并配置Directory Connector服务。
-
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。
请参考此图了解Directory Connector架构:
为Directory Connector准备您的环境
目录连接器的要求
Windows和Active Directory要求
您可以在这些受支持的Windows服务器上安装Directory Connector:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
要解决Cookie问题,我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。
以下的Active Directory服务支持Directory Connector:
-
2016年活动目录
(在Windows Server 2019上使用最新版本的Active Directory时,支持目录连接器)
-
活动目录2012
-
活动目录2008 R2
-
活动目录2008
请注意以下附加要求:
-
目录连接器需要TLS1.2。您必须安装以下内容:
-
.NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题,请使用 使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
-
.NET Framework v.4.5(TLS1.2必需)
-
-
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。(请参阅什么是 Active Directory 功能级别?获取更多信息。)
硬件要求
您必须在符合以下最低硬件要求的计算机上安装Directory Connector:
-
8 GB RAM
-
50 GB 存储
-
CPU 没有最低要求
网络要求
如果您的网络是防火墙的幕后,请确保您的系统有HTTPS(端口443)访问互联网。
Webex组织要求
-
要从Control Hub访问Directory Connector软件,您需要试用Webex组织或任何付费订阅。
-
(可选)如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态,我们建议您执行以下操作:
-
将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成 。
-
抑制自动电子邮件邀请,这样新用户就不会收到自动电子邮件邀请,您可以进行自己的电子邮件活动。(此功能需要SSO集成。)
有关详细信息,请参阅控制中心中的用户状态和操作。
安装要求
-
对于多个域环境(单森林或多森林),必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B),同时还要保留其他现有域 (A) 上的已同步用户数据,请确保您有受支持的独立 Windows Server 来安装 Directory Connector,以进行域 (B) 同步。
-
要登录连接器,我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。
此本地用户必须拥有该Windows计算机上的权限,才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。(此信息也适用于虚拟机登录。)
-
登录连接器时,登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下,连接器使用本地系统帐户访问Active Directory。但是,您可以使用Windows服务配置其他帐户以访问Active Directory。(此信息也适用于虚拟机登录。)
-
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用:在Windows注册表中检查SafeDllSearchMode。
-
如果您在单个森林上使用多个AD LDS域,我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。
多个域要求
在 Cisco目录连接器部署任务流中跟踪任务之前,如果您要将多个域的Active Directory信息同步到云中,请记住以下要求和建议:
-
每个域需要单独的Directory Connector实例。
-
Directory Connector软件必须运行在其将同步的同一域上的主机。
-
我们建议您在Control Hub中验证或声明您的域。(参见添加、验证和申请域。)
-
如果要同步超过50个域,您必须打开标签 才能让您的组织移动到大型组织列表。
-
如果需要,您可以与用户帐户同步房间资源信息。(请参阅将内部会议室信息同步到Webex云。)
自动许可证分配活动目录组建议
Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。
Active Directory中有两种类型的组:
-
分发组—用于创建电子邮件分发列表。
-
安全组-用于分配共享资源的权限。
在Active Directory中创建组时,请考虑以下指导原则:
-
为每个角色、部门或服务创建全球组(例如销售、营销、经理、会计师、Webex授权等)。
-
在整个组织中使用标准命名规范,以便轻松识别有关组的重要信息。组名称可以包含组的详细信息,例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如,组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
-
以易于理解的方式组织群组,例如按地域或管理层次。使用组描述来完整描述组的目的。
-
在将用户添加到新配置的组之前,请为这些组在Control Hub中定义自动许可证组模板。有关详细信息,请参阅设置自动许可证分配模板 。
调整尺寸信息
Directory Connector是本地Active Directory和Webex云之间的桥梁。因此,连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定,而不是连接器本身。
一些因素会影响同步的速度:
-
Active Directory对象的总数。(5,000个用户同步工作所需的时间不超过50,000。)
-
网络速度和带宽。
-
系统工作负载和规格。
如果您正在同步超过50,000个用户,我们强烈建议您使用第二个连接器进行故障转移和冗余。
由于同步涉及多个因素,并且每个部署取决于上述因素,因此我们无法提供对象同步所需时间的特定时间值。
在Windows注册表中检查SafeDllSearchMode
默认情况下,安全动态链接库(DLL)搜索模式在Windows注册表中设置,然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用,攻击者可以将恶意DLL(与位于系统文件夹中的引用的DLL文件名称相同)放置到应用程序的当前工作目录中。
通常,SafeDllSearchMode已启用,但使用此步骤来复选注册表设置。
开始之前
对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。
| 1 |
在Windows搜索或运行窗口中,键入regedit ,然后按Enter。 |
| 2 |
转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。 |
| 3 |
选择一种:
|
有关详细信息,请参阅动态链接库搜索顺序。
WebEx 代理集成
WebEx 代理集成
如果您的环境中已启用 Web 代理验证,则您仍然可用使用 Directory Connector。
如果您的组织使用透明Web代理,则不支持身份验证。连接器已成功连接和同步用户。
您可以选择下列方法之一:
-
通过Internet Explorer显式Web代理(连接器继承了Web代理设置)
-
通过。pac文件显式网络代理(连接器继承企业特定的代理设置)
-
与连接器配合的透明代理,无需任何更改
通过浏览器使用 Web 代理
您可以通过Internet Explorer设置Directory Connector以使用Web代理。
如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行,那么您还需要用此帐户登录并配置 Web 代理。
| 1 |
在 Internet Explorer 中,转至 Internet 选项,单击连接,然后选择局域网 (LAN) 设置。 |
| 2 |
指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。 |
| 3 |
如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在整个站点范围内执行此操作(针对所有主持人),也可以仅针对具有连接器的主持人。 如果您将这些URL添加到允许列表以完全绕过您的WEB代理,请确保防火墙ACL表已更新,以允许连接器主持人直接访问URL。 |
| 4 |
如果您的环境需要从证书颁发机构请求证书撤销列表,请将这些URL添加到您的允许列表:
有关详细信息,请参阅本文关于Webex Services需要访问的域和URL。 |
通过 PAC 文件配置 Web 代理
您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。
| 1 |
要使连接器成功连接并同步用户信息到Webex云,请确保安装连接器的主机。pac文件配置中已禁用 |
| 2 |
如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在整个站点范围内执行此操作(针对所有主持人),也可以仅针对具有连接器的主持人。 如果您将这些URL添加到允许列表以完全绕过您的WEB代理,请确保防火墙ACL表已更新,以允许连接器主持人直接访问URL。 |
| 3 |
如果您的环境需要从证书颁发机构请求证书撤销列表,请将这些URL添加到您的允许列表:
有关详细信息,请参阅本文关于Webex Services需要访问的域和URL。 |
NTLM代理
Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证,并确保其安全。
NTLM设计
在大多数情况下,用户希望通过客户端PC访问其他工作站资源,这很难以安全的方式进行。
一般来说,NTLM的技术设计基于挑战
和响应
机制:
-
用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同,密码的哈希值在本地存储。当用户通过密码登录客户端时,Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同,则验证将通过。
当用户想要访问其他服务器中的任何资源时,客户端会向服务器发送一个请求,帐户名称为纯文本。
-
当服务器收到请求时,服务器会生成16位随机密钥。关键称为Challenge(或Nonce)。在服务器返回客户端之前,挑战将存储在服务器中。然后,服务器将挑战以纯文本形式发送给客户端。
-
客户端收到服务器发送的挑战后,客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后,该值将返回到服务器。
-
当服务器从客户端收到加密值时,服务器将其发送到域控制器进行验证。请求包括:帐户名称、客户端发送的加密挑战,以及原始的简单挑战。
-
域控制器可以根据帐户名称检索密码的哈希值。然后,域控制器可以对原始挑战进行加密。然后,域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同,验证将成功。
Windows在操作系统中内置了安全验证,使应用程序更容易支持安全验证。因此,您无需完成进一步的配置。
配置透明代理
在这种情境下,浏览器不会知道透明 Web 代理正在拦截 http 请求(端口 80/端口 443),因此不需要客户端配置。
| 1 |
部署透明代理,以便连接器可以连接和同步用户。 |
| 2 |
确认代理已成功—启动连接器时,您会看到预期的浏览器身份验证弹出窗口。 |
设置代理身份验证
通过创建访问控制列表,将URL cloudconnector.webex.com 添加到允许列表中。
在企业防火墙服务器上:
| 1 |
如果尚未启用 DNS 查找,请启用。 |
| 2 |
确定此连接的估计带宽(连接器约为2 mb/s或以下)。这不是必须执行的步骤。 |
| 3 |
创建访问控制列表以应用于连接器主机,并指定 例如: access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https |
| 4 |
将此ACL应用于相应的防火墙接口,该接口仅适用于此单个连接器主持人。 |
| 5 |
通过配置相应的隐式拒绝声明,确保企业中的其他主机仍需使用 Web 代理。 |
部署目录连接器
Cisco目录连接器部署任务流程
| 1个 |
Control Hub最初将目录同步显示为禁用状态。 要为组织打开目录同步,必须安装和配置Directory Connector,然后成功执行完整同步。 要重新安装Directory Connector,请始终转至Control Hub (https://admin.webex.com)获取软件的最新版本,以便您使用最新的功能和故障修复。 安装软件后,将通过软件报告升级,并在可用时自动安装。 |
| 2个 |
使用您的Webex管理员凭据登录,并执行初始设置。 |
| 3个 |
将Directory Connector软件更新到最新版本始终非常重要。 我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。 |
| 4个 |
默认情况下,Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。 要对哪些对象进行同步的更多控制,您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。 |
| 5个 |
您可以将本地Active Directory中的属性映射到云中的相应属性。 唯一必填字段是*uid。 |
| 6个 |
使用以下程序之一同步目录头像: 您可以将用户的头像同步到云,以便每个用户登录应用程序时显示他们的头像。 您可以从Active Directory属性或资源服务器同步化头像。 |
| 7 |
使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的房间设备(例如Webex Room设备或Cisco Webex Board)上的可搜索条目 |
| 8个 |
要从Active Directory向Control Hub提供用户,请执行以下步骤: 按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。 在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 目标是在Active Directory和Webex云之间实现精确匹配。 |
安装目录连接器
Control Hub最初将目录同步显示为禁用状态。 要为组织打开目录同步,必须安装和配置Directory Connector,然后成功执行完整同步。
您必须为要同步的每个Active Directory域安装一个连接器。 单个目录连接器实例只能服务单个域。 请参阅下图了解多个域同步的流程:
开始之前
如果您通过代理服务器进行身份验证,请确保您拥有代理凭据:
-
对于代理基本身份验证,安装连接器的实例后,您将输入用户名和密码。 基本身份验证也需要Internet Explorer代理配置;请参阅通过浏览器使用Web代理
-
对于代理NTLM,第一次打开连接器时可能会看到错误。 请参阅通过浏览器使用Web代理。
| 1个 |
在控制中心中,转至,然后选择下一步。 |
| 2个 |
单击下载和安装链接,将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。 您可以直接从此链接获取。zip文件,但必须对Control Hub组织的完整管理访问权限才能使用此软件。 对于新安装,请获取软件的最新版本,以便使用最新的功能和bug修复。 安装软件后,将通过软件报告升级,并在可用时自动安装。 |
| 3个 |
在VMware或Windows服务器上,解压缩并在设置文件夹中运行。msi文件,以启动设置向导。 |
| 4个 |
单击下一步,勾选框以接受许可协议,然后单击下一步,直到您看到帐户类型屏幕。 |
| 5个 |
选择要使用的服务帐户类型,并使用管理员帐户执行安装:
要避免错误,请确保具有以下权限:
|
| 6个 |
单击安装。 网络测试运行后,如果出现提示,输入您的代理基本凭证,单击确定,然后单击完成。 |
下一步该做什么
我们建议您在安装后重新启动服务器。 当数据未发布时,干运行报告无法显示正确结果。 重启计算机时,所有数据都会刷新以在报告中显示准确结果。
登录到目录连接器
开始之前
确保您拥有代理凭据。
-
对于Proxy basic-auth,第一次打开连接器后将输入用户名和密码。
-
对于代理NTLM,打开Internet Explorer,单击齿轮图标,转至 Internet选项>连接> LAN设置,确保已添加代理服务器信息,然后单击确定。 请参阅通过浏览器使用Web代理。
| 1个 |
打开连接器,如果看到提示,则将 |
| 2个 |
如果出现提示,请使用代理身份验证凭据登录,然后使用您的管理员帐户登录Webex,然后单击下一步。 |
| 3个 |
确认您的组织和域。
|
| 4个 |
出现确认组织屏幕后,单击确认。 如果您已绑定AD DS/AD LDS,将显示确认组织屏幕。 |
| 5个 |
单击确认。 |
| 6个 |
根据要绑定到Directory Connector的Active Directory域数,选择一个:
|
下一步该做什么
登录后,系统提示您执行干运行同步。
目录连接器仪表板
当您首次登录Directory Connector时,会显示仪表板。 在这里,您可以查看所有同步活动的摘要、查看云统计、执行干运行同步、启动完整或增量同步并启动事件视图以查看错误信息。
您可以从“操作”工具栏或“操作”菜单轻松运行这些任务。
|
组件 |
描述 |
|---|---|
|
当前同步 |
显示当前正在进行的同步的状态信息。 当未运行同步时,状态显示处于空闲状态。 |
|
下一次同步 |
显示下一个已安排的完整和增量同步。 如果未设置计划,将显示未计划。 |
|
上次同步 |
显示最近两次已执行同步的状态。 |
|
当前同步状态 |
显示同步的总体状态。 |
|
连接器 |
显示可用于云的当前本地连接器。 |
|
云统计 |
显示同步的总体状态。 |
|
同步计划 |
显示增量同步和完全同步的同步计划。 |
|
配置摘要 |
列出配置中更改的设置。 例如,摘要可能包括以下内容:
|
| 行动 | 描述 |
|---|---|
| 开始增量同步 |
手动启动增量同步 暂停或禁用同步时,如果未完成完全同步或同步正在进行中,则此操作将禁用。 |
|
同步干运行 |
执行干运行同步。 |
|
启动活动查看器 |
启动Microsoft Event Viewer。 |
|
刷新 |
刷新Cisco目录连接器仪表板 |
|
行动 |
描述 |
|---|---|
| 立即同步 |
立即开始完全同步。 |
|
同步模式 |
选择增量或完全同步模式。 |
|
重置连接器秘密 |
在Cisco目录连接器和连接器服务之间建立对话。 选择此操作将重置云中的秘密,然后在本地保存秘密。 |
|
干运行 |
对同步过程执行测试。 在进行完全同步之前,必须先进行干运行。 |
|
故障排除 |
打开/关闭故障排除。 |
|
刷新 |
刷新Cisco目录连接器主屏幕。 |
|
退出 |
退出Cisco目录连接器。 |
|
关键组合 |
行动 |
|---|---|
|
Alt +A |
显示操作菜单 |
|
|
现在同步 |
|
|
重置连接器秘密 |
|
|
干运行 |
|
|
增量同步 |
|
|
完全同步 |
|
|
显示帮助菜单 |
|
|
帮助 |
|
|
关于 |
|
|
常见问题 |
设置自动升级
| 1个 |
从Directory Connector,转至,然后检查自动升级到新的Cisco Directory Connector版本。 |
| 2个 |
单击应用保存更改。 |
新版本的连接器可用时将自动安装。
您可以手动管理升级(如果您愿意)。 有关更多信息,请参阅升级至最新软件版本。
选择要同步的Active Directory对象
默认情况下,Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。 要对哪些对象进行同步的更多控制,您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
自动许可证分配组
Control Hub允许您按组管理许可证分配。 您可以创建许可证模板,并将其映射到同步到云的Active Directory组。 在用户创建时,Webex检查该新用户的用户会员身份和自动许可证模板映射。
我们建议您使用LDAP过滤器仅将相关组同步到云。 例如,您可以将过滤器设置为:
(&(cn=示例)(objectclass=组))*
此过滤器将以Example开头的基础DN中的所有组同步。 未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。
混合数据安全部署组
在Directory Connector中,如果您使用混合数据安全为试点用户配置试用组,则必须检查组。 请参阅混合数据安全部署指南获得指导。 此目录连接器设置不会影响云中的其他用户同步。
开始之前
| 1个 |
从目录连接器转至配置,然后单击对象选择。 |
| 2个 |
在对象类型部分中,检查用户,并考虑限制用户可搜索容器的数量。 例如,如果您想仅同步特定组中的用户,必须在用户LDAP过滤器字段中输入LDAP过滤器。 如果要同步示例管理器组中的用户,请使用以下过滤器:
|
| 3个 |
检查识别房间以将房间数据与用户数据分开。 要设置其他属性,将用户数据识别为房间数据,请单击自定义。 如果要将内部会议室信息从Active Directory同步到Webex云时,请使用此设置。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。 有关详细信息,请参阅将内部会议室信息同步到Webex云。 |
| 4个 |
要将Active Directory用户组同步到云,请检查组。 不要向“组”字段添加用户同步LDAP筛选器。 您仅应使用“组”字段将组数据本身同步到云。 默认情况下,组不会为新客户同步。 必须启用组同步。 还必须同步安全组。 |
| 5个 |
如果要将用户的联系信息同步到云,请检查联系人。 目录连接器仅管理由连接器同步的联系人。 如果Control Hub中已经有联系人,则同步不会删除联系人。 如果从同步范围中删除联系人,则在Control Hub中也会删除用户的联系信息。 |
| 6个 |
配置 LDAP 过滤器。 您可以通过提供有效的LDAP过滤器来添加扩展过滤器。 有关配置LDAP过滤器的更多信息,请参阅本文。 |
| 7 |
单击选择以查看Active Directory树结构,指定要同步的On Premises Base DN。 您可以在此处选择或取消选择要搜索的容器。 |
| 8个 |
检查要为此配置添加的对象,然后单击选择。 您可以选择要用于同步的单个容器或母容器。 选择父容器,以启用所有子容器。 如果您选择子容器,母容器会显示灰色复选标记,表示孩子已检查。 然后,您可以单击选择以接受选中的Active Directory容器。 如果您的组织将所有用户和组放置在“用户”容器中,则无需搜索其他容器。 如果您的组织被分为组织单位,请确保选择OU。 |
| 9 |
单击应用。 选择一个选项:
有关干运行的信息,请参阅在Active Directory用户上执行干运行同步。 对于组同步,您必须执行完整同步: 将Active Directory用户完全同步到云中。 |
映射用户属性
您可以将本地Active Directory中的属性映射到云中的相应属性。 唯一的必填字段是*uid,这是云身份服务中每个用户帐户的唯一标识符。
您可以选择要映射到云的Active Directory属性—例如,您可以映射到Active Directory中的 firstName lastName,或将自定义属性表达式映射到云中的 displayName。
Active Directory中的帐户必须有一个电子邮件地址;uid映射默认为邮件的广告字段(不是 sAMAccountName)。
如果您选择使用首选语言来自Active Directory,则Active Directory是唯一的真理来源: 用户将无法在Webex设置中更改其语言设置,管理员也无法在Control Hub中更改设置。
| 1个 |
从Directory Connector,单击配置,然后选择用户属性映射。 此页显示Active Directory(左侧)和Webex云(右侧)的属性名称。 所有必需属性都标有红色星号。 |
| 2个 |
向下滚动到 Active Directory属性名称的底部,然后选择其中一个Active Directory属性以映射到云属性uid:
您可以将其他Active Directory属性映射到uid,但我们建议您使用上述指南中的邮件或userPrincipalName。 在某些情况下,使用userPrincipalName来登录,但使用用户的电子邮件地址来管理他们的日历。 您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。 将userPrincipalName作为备用电子邮件地址添加。 要查看Active Directory中的哪些属性与云中的对应关系,请参阅在Directory Connector中映射Active Directory属性。 要使同步工作,您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口,以提醒您,如果您没有选择推荐的属性。 |
| 3个 |
如果预定义的Active Directory属性不适用于部署,请单击属性下拉菜单,滚动到底部,然后选择自定义属性以打开一个窗口来定义属性表达式。 单击帮助以获取有关表达式的更多信息,并查看表达式如何工作的示例。 您还可以查看自定义属性的表达式以了解更多信息。 在此示例中,我们将将Active Directory属性
Directory Connector验证身份服务中的uid的属性值,并在当前用户过滤选项下检索3个可用用户。 如果所有3个用户都具有有效的电子邮件格式,则Cisco Directory Connector将显示以下消息:
如果无法验证属性,您将看到以下警告,并可以返回到Active Directory以检查和修复用户数据:
|
| 4个 |
(可选)如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中,选择手机和电话号码的映射。 当用户将鼠标悬停在另一个用户的档案照片上时,电话号码数据会显示在Webex应用程序中。 有关从用户联系人卡呼叫的更多信息,请参阅在Webex (Unified CM)部署指南(管理员)。 |
| 5个 |
选择其他映射以显示在联系人卡中的更多数据:
映射属性后,当用户将鼠标悬停在另一个用户的档案图片上时,会显示信息:
有关联系卡的更多信息,请参阅验证您的联系人。 将这些属性同步到每个用户帐户后,您还可以在Control Hub中打开People Insights。 此功能允许Webex App用户在配置文件中共享更多信息,并相互了解。 有关该功能以及如何启用该功能的更多信息,请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events(新建)People Insights Profiles |
| 6个 |
做出选择后,单击应用。 |
Active Directory中包含的任何用户数据都会覆盖与该用户对应的云中的数据。 例如,如果您在Control Hub中手动创建用户,则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。 在Active Directory中没有相应电子邮件地址的用户将被删除。
已删除的用户将在云身份服务中保留7天,然后被永久删除。
活动目录和云属性
您可以使用用户属性映射选项卡将本地Active Directory中的属性映射到云中的相应属性。
此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。 这些值和映射是Directory Connector中的默认设置。 您可以在Active Directory下拉菜单中选择不同的属性,并确定哪些内部属性与哪个云属性同步。
将下拉菜单属性视为预设。 作为Active Directory行中的值的替代,您还可以在Active Directory中指定自定义属性(具有多个属性的表达式)以映射到相应行中的单个云属性。 这样,您可以灵活地确定用户的显示名称,例如,您可以添加一个表达式,根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。
您还可以指定任何Active Directory属性,以映射到云中的uid。 但是,您必须确保内部属性遵循有效的电子邮件格式。
您还可以使用其他电子邮件地址,例如,如果您想使用userPrincipalName进行登录,但用户的电子邮件地址用于管理他们的日历。 在这种情况下,将其他电子邮件地址映射到电子邮件;类型-工作属性。 这是用于身份验证的电子邮件;它不用于管理您的日历。 您从AD映射的电子邮件地址必须来自您组织内的验证域,并且必须是唯一并且不会分配给其他用户。
|
活动目录属性名称 |
Webex云属性名称 |
注释 |
|---|---|---|
|
— |
建筑名称 |
— |
|
c |
c |
此属性指定用户的国家缩写。 |
|
部门号码 |
部门号码 |
|
|
显示名称 |
显示名称 |
此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。 |
|
用户帐户控制 |
ds-pwp-account-disabled |
此属性用于用户同步。 确保 userAccountControl 属性映射到 ds-pwp-account-disabled,或者用户未正确同步。 |
|
员工号码 |
员工号码 |
— |
|
传真电话号码 |
传真电话号码 |
— |
|
— |
jabberID |
此云属性与Jabber使用的IM地址(XMPP类型)有关。 此值与sipAddresses不同。 |
|
L的 |
L的 |
此属性指定用户的城市。 |
|
— |
Category:本地 |
— |
|
经理 |
经理 |
|
|
移动设备 |
移动设备 |
此属性被用作显示从联系人卡呼叫用户的移动号码。 |
|
或 |
或 |
此属性指定公司或组织的名称,并显示在联系人卡中。 |
|
或 |
或 |
此属性指定组织单位的名称。 |
|
physicalDeliveryOffice名称 |
physicalDeliveryOffice名称 |
此属性指定用户的办公位置。 |
|
邮政编码 |
邮政编码 |
此属性指定了用于实际邮件交付的用户的邮政或邮政编码。 |
|
首选语言 |
首选语言 |
此属性设置用户的首选语言,支持以下格式: xx_YY或xx-YY。 下面是一些示例: en_US,en_GB,fr-CA。 如果您使用不受支持的语言或无效的格式,用户的首选语言将更改为组织的语言集。 |
|
MSRTCSIP-主要用户地址 ipPhone |
SipAddresses;type=enterprise |
此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。 |
|
sn |
sn |
此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。 |
|
圣 |
圣 |
此属性指定用户的状态或省。 |
|
街道地址 |
街道 |
此属性指定用于实际邮件递送的用户的街道地址。 |
|
电话号码 |
电话号码 |
此属性指定用于从联系人卡呼叫用户的主要(工作)电话号码。 |
|
— |
时区 |
此云属性指定用户的时区。 |
|
标题 |
标题 |
|
|
类型 |
企业 |
— |
|
*邮件 *用户主要名称 |
uid |
强制性的属性映射。 对于每个用户帐户,Active Directory值映射到云中的唯一的UID。 在某些情况下,使用userPrincipalName来登录,但使用用户的电子邮件地址来管理他们的日历。 您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。 将userPrincipalName作为备用电子邮件地址添加。 然后用户可以使用这两个电子邮件地址之一登录,只要正确的 SAML属性映射就行了。 请参阅下面的示例属性映射,了解如何映射替代电子邮件地址。 |
|
*用户主要名称 *邮件 <自定义属性> |
电子邮件;类型工作 |
此映射是可选的,如果您想使用其他电子邮件地址,请使用此映射。 这是用于身份验证的电子邮件;它不用于管理您的日历。 您从AD映射的电子邮件地址必须来自您组织内的验证域,并且必须是唯一并且不会分配给其他用户。 |
|
<Azure用户对象Id的新属性> |
外部ID |
创建新的Active Directory属性以保留Azure用户对象ID,使其不会与现有的ID冲突。 此属性随后映射到externalId属性,确保Webex用户在Microsoft 365中创建群组时,会自动在Webex中创建群组。 |
替代电子邮件地址映射
自定义属性的表达式
|
操作员 |
描述和示例 |
|---|---|
|
% |
如果匹配,将字符串开头的所有字符删除到字符或字符串参数的位置。
|
|
- |
从指定字符串的末端剥离输入字符串的背部。
|
|
+ |
连接输入字符串或表达式。
|
|
| |
根据空字符串评估分隔表达式,并选择第一个非空结果。
|
将Active Directory属性中的目录头像同步到云
您可以将用户的目录头像同步到云,以便在登录Webex应用程序时显示每个头像。 使用此程序同步来自Active Directory属性的原始头像数据。
| 1个 |
从Directory Connector,转至配置,单击阿凡达,然后检查启用。 |
| 2个 |
对于从获取头像,选择AD属性,然后选择头像属性,其中包含要同步到云的原始头像数据。 |
| 3个 |
要验证头像是否正确访问,请输入用户的电子邮件地址,然后单击获取用户头像。 头像出现在右侧。 |
| 4个 |
验证头像显示正确后,单击应用保存更改。 |
-
同步的图像成为Webex应用程序中用户的默认头像。 在Directory Connector启用此功能后,不允许用户设置自己的头像。
-
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步该做什么
执行干运行同步;如果没有问题,则执行完全同步,以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。
将目录头像从资源服务器同步到云
您可以将用户的目录头像同步到云,以便在登录Webex应用程序时显示每个头像。 使用此程序从资源服务器同步化头像。
开始之前
-
此过程中的URI模式和变量值是示例。 您必须使用目录头像所在位置的实际URL。
-
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。 连接器需要http或https访问图像,但图像不需要在互联网上公开访问。
-
头像数据同步与Active Directory用户配置文件分开。 如果您运行代理,必须确保NTLM身份验证或基本身份验证可以访问头像数据。
| 1个 |
从Directory Connector,转至配置,单击阿凡达,然后检查启用。 |
| 2个 |
对于从获取头像,选择资源服务器,然后输入头像URI模式—例如, 让我们来看看阿凡达URI模式的每个部分及其含义:
|
| 3个 |
(可选)如果您的资源服务器需要凭证,请检查为头像设置用户凭证,然后选择使用当前服务登录用户或使用此用户并输入密码。 |
| 4个 |
输入变量值—例如: |
| 5个 |
单击测试以确保头像URI模式正常工作。 在此示例中,如果一个AD条目的邮件值为 |
| 6个 |
验证了URI信息并看起来正确后,单击应用。 有关使用正则表达式的详细信息,请参阅 Microsoft正则表达式语言快速参考。 |
-
同步的图像成为Webex应用程序中用户的默认头像。 在Directory Connector启用此功能后,不允许用户设置自己的头像。
-
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步该做什么
执行干运行同步;如果没有问题,则执行完全同步,以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。
将内部会议室信息同步到Webex云
使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的Webex设备(房间、桌面和板)上的可搜索条目。
| 1个 |
从Directory Connector转至同步,单击同步域旁边的 |
| 2个 |
检查将房间信息同步到云,在同步过程中将房间数据与用户数据分开。 禁用此设置时,将以与用户同步数据相同的方式处理会议室数据。 |
| 3个 |
转至属性映射,然后更改云属性的属性映射sipAddresses;type=enterprise。 要使用值验证,SIP地址的值应为Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4个 |
在Exchange中创建会议室资源邮箱。 这将添加连接器用于识别房间的 msExchResourceMetaData;ResourceType:Room 属性。
|
| 5个 |
从Active Directory用户和计算机,导航到并编辑会议室的属性。 使用sip的前缀添加完全合格SIP URI:
|
| 6个 |
在连接器中执行干运行同步,然后执行完整运行同步。 新会议室对象列出已添加对象,匹配的会议室对象将出现在匹配对象中干运行报告中中。 任何标记要删除的房间对象都位于已删除的房间下。
干运行结果显示所有匹配的房间资源。
此设置将Active Directory房间数据(包括房间属性)与用户数据分离。 同步完成后,连接器仪表板上的云统计数据将显示与云同步的房间数据。
|
下一步该做什么
现在您已完成这些步骤,当您在Webex云注册设备上搜索时,您将看到使用SIP地址配置的同步房间条目。 当您将Webex设备拨入该条目时,将呼叫放置到为房间配置的SIP地址。
从Control Hub,您可以自动从目录导入会议室并创建工作空间。
端点无法将呼叫回传回至Webex应用程序。 对于测试拨号设备,这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。 如果您正在搜索的Active Directory会议室系统已注册到Webex,并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上,则搜索结果不会显示重复条目。 在Webex应用程序中直接拨打Room、Desk或Board设备,不会进行SIP呼叫。
在目录同步结果上发送电子邮件报告
默认情况下,组织联系人或管理员总是会收到电子邮件通知。 使用此设置,您可以自定义谁应该接收总结目录同步报告的电子邮件通知。
| 1个 |
从Directory Connector,单击配置,然后选择通知。 |
| 2个 |
从Directory Connector中,单击设置,然后在电子邮件接收器旁边切换启用报告同步。 |
| 3个 |
如果要覆盖默认通知行为并添加一个或多个电子邮件收件人,请选择启用通知。 |
| 4个 |
单击添加,然后输入电子邮件地址。 如果您输入的电子邮件地址格式无效,则会弹出一条消息,告诉您纠正问题,然后才能保存并应用更改。 |
| 5个 |
单击添加电子邮件,然后输入电子邮件地址。 如果您输入的电子邮件地址格式无效,则会弹出一条消息,告诉您纠正问题,然后才能保存并应用更改。 |
| 6个 |
如果您需要编辑您输入的任何电子邮件地址,请双击左侧列中的电子邮件条目,然后进行所需的任何更改。 |
| 7 |
添加所有有效电子邮件地址后,单击应用。 |
| 8个 |
添加所有有效电子邮件地址后,单击保存。 |
下一步该做什么
如果您决定删除电子邮件地址,您可以单击电子邮件以突出显示该条目,然后单击删除。
如果您决定删除电子邮件地址,可以单击特定电子邮件地址条目旁边的删除。
从Active Directory向Control Hub提供用户
按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。 在安装每个域的Directory Connector后,您可以从多个域Active Directory部署(包含单个森林或多个森林)提供用户。 在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 目标是在Active Directory和Webex云之间实现精确匹配。
| 1个 |
执行干运行以比较内部Active Directory中的对象和Webex云中的对象。 干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。 |
| 2个 |
当您运行完全同步时,连接器服务将从Active Directory (AD)的所有过滤对象发送到云。 连接器服务然后用您的AD条目更新身份存储。 如果您创建了自动分配许可证模板,您可以将其分配给新同步的用户。 |
| 3个 |
向Control Hub中的Directory同步用户分配Webex服务 完成从Directory Connector输入到Control Hub的完整用户同步后,您可以使用各种方法分配Webex服务许可证。 我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。 您还可以在此初始步骤后进行个人更改。 |
在您的Active Directory用户上执行干线同步
执行干运行以比较内部Active Directory中的对象和Webex云中的对象。 干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 使用Directory Connector,目标是在Active Directory和Webex云之间实现精确匹配。
如果您在单个森林或多个森林中拥有多个域,则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。
开始之前
在使用Directory Connector之前,您可能已经在Control Hub中拥有一些Webex应用程序用户。 在云中的用户中,有些用户可能会与本地Active Directory对象匹配,并为服务分配许可证。 但有些测试用户可能是在进行同步时要删除。 您必须在Active Directory和Control Hub之间创建完全匹配。
| 1个 |
选择一项:
当干运行完成时,您将看到以下结果之一:
摘要包含有关对象匹配的信息:
干运行通过比较与域用户来识别用户。 如果用户属于当前域,应用程序可以识别用户。 在下一步,您必须决定是删除对象还是保留它们。 不匹配的对象已在Webex云中存在,但在内部Active Directory中不存在。 |
| 2个 |
查看干运行结果,然后根据您使用单个域还是多个域选择一个选项:
|
| 3个 |
在确认干运行提示符中,单击是重执行干运行同步并查看仪表板以查看结果。 在干运行中成功同步的所有帐户都出现在匹配对象下。 如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户,则该条目在已删除用户下列出。 要避免此删除标记,您可以在具有相同电子邮件地址的Active Directory中添加用户。 要查看已同步项目的详细信息,请单击特定项目或匹配对象的相应选项卡。 要保存摘要信息,请单击保存结果至文件。 |
| 4个 |
如果预期结果,请转至,然后单击立即启用进行手动同步,并在此处设置手动模式。 在多个域部署中的最后一个Active Directory域进行同步后,必须为Directory Connector启用自动模式。 只有当对象在Webex云和所有内部活动目录之间完全匹配时,您才可以启用自动模式。 |
下一步该做什么
-
对于您保留的任何不匹配的用户对象,您必须将其添加到Active Directory,以便在内部和云之间实现完全匹配。
-
选择同步类型:
-
首次将新用户同步到云时,将Active Directory用户完全同步到云中。 您可以从进行操作,然后从当前域的用户将同步。
-
设置连接器计划并在运行完整同步后运行增量同步,如果要在初始同步后拾取更改。 建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
默认情况下,增量同步设置为每30分钟(3.4及更早版本)或每4小时(3.5及更高版本)进行,但您可以更改此值。 在您最初执行完全同步之前,增量同步不会发生。
-
-
如果您有多个域,请在已安装的任何其他目录连接器上重复这些步骤。
需要记住的事情
-
启用完全同步之前或更改同步参数时执行干运行。 如果干运行由配置更改启动,您可以在干运行完成后保存设置。 如果您已手动添加用户,执行Active Directory同步可能会导致以前添加的用户被删除。 您可以在完全同步到云之前检查Directory Connector Dry Run报告,以验证所有预期用户都存在。
-
如果匹配的用户被标记为要删除,并且您不确定如何继续,请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。
已删除的用户将在云身份服务中保留7天,然后被永久删除。
将Active Directory用户完全同步到云
当您运行完全同步时,连接器服务将从Active Directory (AD)的所有过滤对象发送到云。 连接器服务然后用您的AD条目更新身份存储。 如果您创建了自动分配许可证模板,您可以将其分配给新同步的用户。
如果您有多个域,则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。
目录连接器同步用户帐户状态—在Active Directory中,任何被标记为禁用的用户在云中也会显示为非活动。
开始之前
-
如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态,则必须执行以下步骤以绕过电子邮件验证:
-
将单点登录与Webex组织集成。 查看
使用Cisco Webex Services和您的组织的身份提供商进行单点登录
有关更多信息。 -
使用Control Hub验证并选择声称电子邮件地址中包含的域。 查看
添加、验证和请求域
. -
抑制自动电子邮件邀请,这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。(您可以进行自己的电子邮件活动。)
尚未登录的已激活用户在Control Hub中显示已验证状态。 登录后,它们将显示为活动状态。 有关用户状态的更多信息,请参阅 Cisco Webex Control Hub中的用户状态和操作。
-
-
启用同步时,Directory Connector要求您先执行干运行。 我们建议您在完全同步之前进行干运行,以发现任何潜在的错误。
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板。
如果您不使用自动分配许可证模板,新同步的用户会自动获得免费许可证。 他们将能够使用与免费帐户的相同的免费功能。
| 1个 |
选择一项:
|
| 2个 |
从Directory Connector转至同步,单击同步域旁边的 |
| 3个 |
确认同步的开始。 对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序会在您执行同步后72小时内反映更改。 您可以按照以下说明尝试清除Webex应用程序的本地缓存: Windows 或 Mac。
|
| 4个 |
要更新同步状态,请单击刷新。 (同步项目出现在云统计下。) |
| 5个 |
有关错误的信息,请从操作工具栏选择启动事件查看器以查看错误日志。 |
| 6个 |
要设置持续增量同步到云的同步计划,请参阅设置连接器计划和运行增量同步。 |
-
完成完全同步后,在Control Hub的设置页面上,目录同步状态将从禁用更新至操作。
-
当所有数据在内部和云之间匹配时,Directory Connector将从手动模式更改为自动同步模式。
-
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件,否则Webex应用程序用户帐户将保持未验证状态,直到用户首次登录Webex应用程序以确认其帐户。 请参阅“开始之前”部分,了解如何将帐户同步为活动用户的指导。
-
如果您有多个域,请在已安装的任何其他目录连接器上执行此步骤。 同步后,您添加的所有域上的用户都会在Control Hub中列出。
-
如果您将单点登录与Webex集成,并且已删除的电子邮件通知,则电子邮件邀请不会发送给新同步的用户。
-
启用目录连接器后,您无法在Control Hub中手动添加用户。 启用后,从Cisco目录连接器执行用户管理,而Active Directory是唯一的真理源。
-
您同步的任何组都出现在Control Hub中,并且您可以分配许可证模板,以便该组中的用户获得许可证。
下一步该做什么
-
当您从Active Directory中删除用户时,该用户将在下次同步后被软删除。 用户处于非活动状态,但云身份档案将保留七天(以便从意外删除中恢复)。
如果您在Active Directory中检查帐户已禁用,则下次同步后该用户将变为非活动。 云身份档案七天后不会删除,以防要再次启用用户。
-
注意增量同步的这些异常(请按照上面的完整同步步骤操作):
-
如果更新了头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
-
属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。
-
向Control Hub中的Directory同步用户分配Webex服务
完成从Cisco目录连接器到Control Hub的完整用户同步后,您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证,或者如果您已经配置了自动分配的许可证模板,则向新用户添加其他许可证。 您可以在此初始步骤后更改个人用户帐户。
完成从Directory Connector输入到Control Hub的完整用户同步后,您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证(如果您已经配置了自动分配许可证模板)。 您可以在此初始步骤后更改个人用户帐户。
当您向Webex应用程序用户分配许可证时,该用户默认会收到一封确认分配的电子邮件。 该电子邮件由Control Hub中的通知服务发送。 如果您将单点登录(SSO)与Webex组织集成,则如果您更愿意直接联系用户,您也可以删除这些自动电子邮件通知。
开始之前
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板。
-
在Active Directory用户上执行干运行同步。
-
确认干运行结果后,在Active Directory用户上进行完全同步。
在完全同步时,用户在云中创建,不添加服务分配,也不发送激活电子邮件。 如果电子邮件未被抑制,新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。
| 1个 |
从 https://admin.webex.com 中的客户视图,转至,单击管理用户,选择修改所有同步用户,然后单击下一步。 |
| 2个 |
选择一个选项: |
下一步该做什么
-
如果电子邮件没有被抑制,将向每个用户发送电子邮件,并邀请其加入和下载Webex。
-
如果您为所有用户选择了相同的Webex服务,那么您可以单独或批量更改分配的许可证。
目录连接器的已知问题
-
2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。 此问题已在 2012 R2 和 2016版本中得到解决。
-
对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序将在执行同步后的72小时内反映更改。
您可以按照以下说明尝试清除Webex应用程序的本地缓存: Windows 或 Mac。
-
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间,此时呼叫将无限响起。
管理Webex应用程序用户
运行增量同步
增量同步会查询 Active Directory,查找自上次同步以来发生的更改。然后,此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。
此同步不会给服务器带来那么多的负载,也不需要像完全同步那样多的时间。完成初始完整同步后,我们建议为后续同步使用增量选项。
开始之前
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板 。
-
注意不支持增量同步的以下异常(请遵循将Active Directory用户完全同步到云中 ):
-
如果更新了头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
-
对于属性映射、基本DN、过滤器和头像设置的新配置更改,增量同步无法工作,需要完全同步。
-
| 1 |
从 Directory Connector 中,单击控制板。 启用同步时,Directory Connector 将要求您首先执行测试。 |
| 2 |
从操作中,如果尚未启用,单击同步模式>启用同步 。 默认情况下,增量同步设置为每30分钟(3.4及更早版本)或每4小时(3.5及更高版本)进行,但您可以更改此值。在您最初执行完全同步之前,增量同步不会发生。当新的增量时间间隔出现时,程序会根据最后一个时间标识检查更改。 |
| 3 |
从操作中,单击立即同步 > 增量。 对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序将在执行同步后的72小时内反映更改。
|
| 4 |
有关错误的信息,单击操作 工具栏中的启动事件查看器 可查看错误日志。 |
下一步
如果您有多个域,请在已安装的其他目录连接器实例上执行此步骤。
恢复意外删除的用户
Directory Connector具有制衡功能,以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器,这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复,并在Control Hub中重新建立用户帐户。
默认情况下,此功能对所有组织都启用。例如,在云中删除用户时,由于从Directory Connector同步后出现不匹配的对象问题,用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除,如果您快速采取行动,您可能能够恢复它们。
当在Active Directory中删除相应帐户时,用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间,您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。
在Active Directory中禁用的用户在Control Hub中标记为Inactive,但用户帐户在7天后不会删除。
| 1 | |
| 2 |
转至用户 并确认特定用户帐户是否处于非活动状态或未列出。 有关详细信息,请参阅控制中心中的用户状态和操作。 |
| 3 |
如果在Control Hub中删除用户,或者您注意到用户处于非活动状态,请转至Active Directory,添加缺失的用户帐户,然后在Directory Connector中执行干运行同步。 使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。 |
| 4 |
执行完全同步,将暂时删除的用户帐户重新同步至Control Hub。 用户被恢复并转至原始状态,包括其帐户状态和服务分配。 |
下一步
返回Control Hub,转至,并确认先前删除的用户帐户出现在用户列表中。
在软删除后永久删除用户
执行干运行后,您可以选择永久删除下次同步时被软删除的用户。
| 1 |
干运行完成后,选择软删除对象。 |
| 2 |
选中要删除的用户旁边的复选框。 |
| 3 |
选择完成。 |
下一步
下次同步时,已检查的用户将被永久删除。
更改Webex应用程序电子邮件地址
如果您想更改用户电子邮件地址,并且您的组织使用Directory Connector,请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。
如果您只想更改一个用户的电子邮件或某个值,请勿从Active Directory中删除该用户,然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户,用户空间和云中的其他数据将丢失。
目录连接器不限制电子邮件域更改。但是,当用户重新同步到云时,用户状态取决于您的组织中是否验证新域。如果组织中未验证域,则在完全同步后,用户的状态将更改为“待定”。有关更多信息,请参阅管理您的域。
如果您的组织不使用Directory Connector,您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址 ,了解用户可以遵循的步骤来更改电子邮件。
更改 Active Directory 域
您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。
| 1 |
设置新的 Active Directory (AD) 域。 |
| 2 |
禁用所有连接器上的同步。 |
| 3 |
卸载所有连接器。 |
| 4 |
在案例提交中,请确保请求删除组织中的域配置和所有同步属性。 在打开案例以更改域之前,请确保未运行同步功能。在案例解决之前,不要更改Active Directory中的任何用户电子邮件地址。 |
| 5 |
解决案例后: 在进行实际同步之前,使用Directory Connector执行测试运行。 |
域声明
如果您为某个组织申请电子邮件域名,从而在付费客户组织中创建任何旁边的帐户,而不是免费消费者组织中,则会出现域索偿。您只能通过支持案例进行域申索(有关更多信息,请参阅下面的链接)。
如果Directory Connector处于活动状态并且该域已声明,则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户,受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。
在目录同步组织中转换免费的Webex应用程序用户
您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序,则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户,请在打开Directory Connector之前将其迁移(转换)到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。
如果您未在激活前转换帐户,请关闭 Directory Connector 以对帐户进行转换。
如果启用目录同步时尝试转换用户,将显示错误消息 无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。
一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中,而不是不匹配对象。如果要将这些用户迁移到您的组织,则需要将这些用户添加到您的AD列表。
如果您未添加这些用户,它们将在您旁边同步到云时全部删除。
| 1 |
从 Directory Connector 中禁用目录同步功能。 |
| 2 |
按照在Control Hub中转换无许可用户 程序将用户从免费消费组织转换为企业组织。 此步骤将用户添加到您的组织,帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源,目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前,确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。 |
| 3 |
在Directory Connector上,执行干运行同步。测试完成后,查看“添加对象”标签页。验证是否未删除您已转换的任何用户。 您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中,则Directory Connector将区分大小写,并删除其检测到电子邮件地址不匹配的转换用户(例如,user1@example.com和User1@example.com)。 如果已删除任何转换的用户,他们将失去所有Webex应用程序空间。 |
| 4 |
如果您确定下一次同步将不会删除任何帐户,请从 Directory Connector 重新启用目录同步。 |
如果您没有验证域,转换的用户帐户不会自动激活。例如,如果您打开自动分配许可证模板,然后在没有域验证的情况下打开Directory Connector,转换后的用户将在云后端处于非活动状态,直到他们确认其电子邮件地址。
侧边的Webex应用程序用户帐户
当您邀请其他用户到Webex应用程序中的空间时,如果受邀用户没有Webex应用程序帐户,则为他们创建帐户(“侧面”)。缺省情况下,以此方式创建的帐户将添加至自由消费者组织中。
如果要使用Directory Connector管理侧栏帐户,则必须转换帐户。
目录同步后更改Webex应用程序用户名格式
默认情况下,Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。
执行目录同步后,您可能会发现该用户名以格式显示。
如果Active Directory中的 displayName 属性以这种方式配置,此用户名可能会出现。当属性映射到云中的 displayName 时,名称会在Control Hub中以格式显示。
若要更改格式,请在 Directory Connector 属性映射屏幕中进行如下操作:将Active Directory属性 givenName sn (或 sn givenName)映射到Cisco云属性名称中的 displayName 。
或者,将属性 sn givenName 映射到 displayName:
如果您想将自己的自定义属性表达式映射到 displayName,也可以使用“自定义属性”选项。
例如,输入givenName + "" + sn (名字、空间、姓氏)作为表达式。将Active Directory中的两个属性映射到云中displayName 。
允许用户在Webex Meetings中更改显示名称
如果您想允许用户编辑首选的显示名称,您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称,而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。
| 1 |
从Directory Connector,单击配置,然后选择用户属性映射。 |
| 2 |
在 Cisco云属性名称 下选择显示名称。 |
| 3 |
选择不同步此属性。 |
下一步
用户现在可以从Webex站点编辑显示名称。
Directory Connector 故障诊断
升级到最新软件版本
要保持部署合规并获取最新功能、功能、错误修复和安全增强功能,您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本,则可能会遇到问题,例如Directory Connector不再正常同步,或者处于不支持强制性 TLS 1.2要求的版本上。
Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。
虽然您可以手动安装连接器软件更新更新,但我们建议您遵循设置自动升级 中的步骤,让应用程序自动管理升级。
| 1 |
单击Windows任务栏中的通知,或右击Windows任务栏中的Directory Connector图标,开始升级过程。 |
| 2 |
按说明完成升级操作。 |
| 3 |
重新启动连接器并使用管理员凭据登录。 |
| 4 |
在下验证软件的版本号。 |
下一步
要重新安装Directory Connector,您可以 下载zip文件 ,然后按照本指南中的安装步骤操作。
配置 Directory Connector 的常规设置
使用此程序配置常规设置,例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中,其中还包含正在运行的任何其他连接器。
| 1 |
从Directory Connector转至配置,然后单击常规。 |
| 2 |
在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。 |
| 3 |
从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括:
这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误,则仅在同步报告中报告错误;如果不存在错误,则不会发送同步报告。将设置更改为Info,然后在完全同步后收到同步报告。(请记住,对于增量同步,没有报告错误时不会发送报告。) |
| 4 |
选择首选域控制器以设置域控制器同步身份的顺序。 将按照从上到下的顺序访问域控制器。如果顶级控制器不可用,则选择列表中的第二个控制器。如果列表中没有控制器,您可以访问主控制器。 |
| 5 |
如果要进行自动升级,请检查自动升级到新的Cisco Directory Connector版本 。 将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置,允许在软件可用时安静地安装自动升级到软件。 |
| 6 |
检查 通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。 如果您未通过 SSL检查LDAP,则Directory Connector将继续使用LDAP连接协议。 LDAP(轻量级目录应用程序协议)和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。 |
配置连接器策略
您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。
例如,将 1 设置为删除阈值触发值。在执行完全或增量同步时,如果您要删除的用户数大于该设置,Directory Connector 会显示警告。如果您单击忽略阈值,可以成功开始完全或增量同步,但是在您下次运行该策略时将再次看到此忽略提示。
| 1 |
从Directory Connector,单击配置,然后选择策略。 |
| 2 |
如需添加阈值触发器,请勾选“启用删除阈值触发器”复选框。 选择该选项后,删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时,同步失败。
|
| 3 |
输入您要设置的最大删除次数。缺省值为 20。 我们建议您不要增大该缺省值。 |
| 4 |
单击应用。 |
设置连接器的安排
在Active Directory中设置同步定时。为了实现高可用性 (HA),使用了故障转移。如果有一个连接器宕机,我们会在预定义的间隔过后,切换到另一个待机连接器。
| 1 |
从Directory Connector,单击配置,然后选择计划。 |
| 2 |
以分钟为单位指定增量同步间隔。 缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。 |
| 3 |
如果您希望更改发送报告的频率,请更改发送报告间隔时间值。 |
| 4 |
勾选启用完全同步计划以指定想要执行完全同步的日期和时间。 |
| 5 |
以分钟为单位指定故障转移间隔。 |
| 6 |
单击应用。 |
多域情境
多个域基于域优先级。对于在不同域具有相同键值的对象,在同步后,来自高优先级域的数据将覆盖来自低优先级域的数据。
具有相同键值的对象会链接到数据库中的同一条记录。
“用户”的键值是电子邮件地址;“组”的键值是组名。
多域使用示例
此示例假设某组织有两个域 - example1.com 和 example2.com,前者优先级高于后者。
-
添加 user1(电子邮件:user@example1.com)到 example1.com 的 Active Directory。
-
添加 group1(组名:Test)到 example1.com 的 Active Directory。
-
添加 user2(电子邮件:user@example2.com)到 example2.com 的 Active Directory。
-
添加 group2(组名:Test)到 example2.com 的 Active Directory。
- 在 example1.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 https://admin.webex.com 中,而 user1 和 group1 没有。
如果您为 example1.com 执行全面或增量同步,user1 和 group1 会同步。而且,user2 和 group2 会被 user1 和 group1 的信息覆盖。
User1 作为数据库中的相同记录链接到 user2;group1 作为数据库中的相同记录链接到 group2。
- 在 example1.com 和 example2.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 https://admin.webex.com 中,而 user1 和 group1 没有。
请考虑这些步骤:
- 在 example1.com 的 Active Directory 上删除 user1 和 group1。
- 为 example1.com 执行全面或增量同步。
结果:在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1,而 group2 没有链接到 group1。
- 为 example2.com 执行增量同步。
结果:在 https://admin.webex.com 中用户信息无变化。
- 为 example2.com 执行全面同步。
结果:user2 和 group2 的信息在 https://admin.webex.com 中列出。
同步新的域并保留现有域
如果要同步新的域 (B),同时还要保留其他现有域 (A) 上的已同步用户数据,请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后,该连接器会与新的域绑定,而域 (A) 下的用户信息不受影响。
每个域必须自带有效的连接器。请考虑采用以下设置的两个域:带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA);带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中,一个连接器处于活动状态,另一个处于待机状态 (HA)。该设计可保持域同步,因为有一个连接器始终处于活动状态。也就是说,cb1 是域 B 处于活动状态的连接器,因为域 A 已有处于活动状态的连接器(ca1 或 ca2)。
设置域优先级
使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域,等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织,此设置会很有帮助。
如果在 Directory Connector 中只列出了一个域,则不要使用此过程。如果您尝试进行此配置,连接器会显示一条消息,说明不需要域优先级。
开始之前
要避免错误,请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。
| 1 |
从Cisco目录连接器,单击仪表板。 |
| 2 |
转至操作,然后单击设置域优先级。 |
| 3 |
高亮显示列表中的一个域,单击向上或向下更改此域的优先级,然后单击保存保存更改。 各个域会按优先级自上而下排序。 |
切换域
使用此程序将Cisco目录连接器重新绑定到另一个域。
开始之前
-
在切换域之前,确保没有同步任务在运行。
-
要避免错误,请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。
| 1 |
从Cisco目录连接器,单击仪表板。 |
| 2 |
转至操作,然后单击切换域。 |
| 3 |
阅读警告后,如果您理解此更改对部署的影响,而且您仍然确定要更改,请单击是。 如果您切换域,则您将从当前Cisco目录连接器中注销,连接器中的其他域未注册,并且删除该计算机上的连接器信息。 |
| 4 |
重新登录Cisco目录连接器并重新绑定域。 |
关闭目录同步
如果您需要停止从Directory Connector进行同步,可以从Control Hub暂时将其关闭。
| 1 |
从https://admin.webex.com中的客户视图,转至,滚动至目录同步,然后选择一个:
|
| 2 |
阅读提示之后,单击关闭。 同步停止,直到从Directory Connector重新启用它。 |
删除用户属性映射
使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后,属性值将从云中删除,不再与Webex同步。然后可以手动编辑这些值。
| 1 |
从 Directory Connector 中,单击控制板。 |
| 2 |
转至操作,然后单击。 |
| 3 |
选择映射以从属性名称 列表中删除。 |
| 4 |
在受影响的用户范围下,选择以下其中一项:
|
| 5 |
单击应用。 |
管理档案照片
使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。
| 1 |
从 Directory Connector 中,单击控制板。 |
| 2 |
转至操作,然后单击。 |
| 3 |
在操作下,选择以下其中一项:
|
| 4 |
单击 Apply(应用)。 |
卸载并停用目录连接器
卸载 Directory Connector 实例后,必须取消注册它。如果面临以下任何情况,都应该彻底删除 Directory Connector:
-
您不想再使用目录同步。
-
您不想使用多个 Directory Connector(高可用性)中的某一个。
-
您想要更改域并安装其他连接器。
开始之前
-
您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例,请禁用同步。
-
卸载Directory Connector之前,保存并关闭任何重要工作。
| 1 |
在您的 Windows 计算机上,转至“控制面板”,然后单击程序和功能。 |
| 2 |
从程序列表中,单击目录连接器,选择卸载,然后按照提示操作。 您可能需要重启系统来完成卸载。 |
| 3 |
从https://admin.webex.com中的客户视图,转至,滚动至目录同步,单击更多 |
| 4 |
阅读提示之后,单击停用。 用户帐户将不会再同步,除非在高可用性 (HA) 部署中还有其他 Directory Connector。 |
运行诊断工具
您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。
如果同步工作不正确,您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接,因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误,您可以发送详细的日志结果以支持。
-
要为Active Directory域服务运行测试:
-
要运行Active Directory轻量级目录服务的测试:
-
要运行轻量级目录访问协议(LDAP)的测试:
解决Ciso Directory Connector中的问题
目录连接器的故障排除和修复
您可能在Directory Connector中遇到错误消息或其他问题。此外,在Directory Connector同步用户信息后,该连接器可能会向您发送一封电子邮件报告,列出同步存在的任何问题。在联系支持人员之前,请参考以下章节,了解可能出现的问题、可能的原因和建议解决方案。
安装
Directory Connector 停止运行
您收到警告电子邮件,通知您您的Directory Connector无法工作。
-
目录连接器可能未正确安装。
-
目录连接器可能未运行。
-
网络可能不可用。
请尝试以下操作:
-
打开。找到 Directory Connector。如果没有,请从Control Hub下载最新版本并安装。
-
打开服务 并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止,请单击右键并选择“启动”以重启该服务。
-
确保安装Directory Connector的服务器能够访问Internet。
重新安装错误
问题—如果您在卸载旧连接器后立即安装新连接器,可能会看到错误消息。
可能原因—在Windows Server 2012中,卸载客户端需要时间从服务列表中删除服务帐户。
解决方案—经过一段时间后,请再次尝试安装。
登录
SSO登录期间目录连接器崩溃
问题
从SSO登录页输入电子邮件地址后,目录连接器可能会崩溃。
解决方案
请尝试以下操作:
执行以下步骤以配置新的组策略:
-
转至域控制器并打开组策略管理(gpedit.msc)。
-
右键单击特定的OU或域,然后选择在此域中创建GPO,并在此处链接它……
-
给该策略命名,然后右键单击并选择编辑。
执行以下步骤以更改机器级别的策略:
-
转至,右键单击注册表,选择新建,然后选择注册表项。
-
对于关键路径,输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
-
为
值输入禁用脚本调试器,为值数据输入否。设置应匹配此屏幕截图:
请执行以下步骤以在用户级别更改策略:
-
转至,右键单击注册表,选择新建,然后选择注册表项。
-
对于关键路径,输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
-
为
值输入禁用脚本调试器,为值数据输入否。设置应匹配此屏幕截图:
在运行 gpupdate /force、重新启动机器(用于机器更改)或再次输入用户符号(用于用户更改)后,更改将生效。
无法注册Cisco DirSync服务连接器
问题
登录失败,并显示此消息:“无法注册Cisco DirSync服务连接器。”
解决方案
安装Directory Connector的Windows系统必须是Active Directory的成员。
未显示登录页面
问题
您打开目录连接器,登录页未显示。
解决方案
请尝试以下步骤:
-
在Internet Explorer中,转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器(如Chrome和Firefox)中尝试该链接。
-
如果Internet Explorer无法访问该链接,但其他浏览器可以,请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。(使用启用Internet Explorer中的TLS 程序。)
显示登录提示
问题
出现提示提示您输入用户名和密码以通过身份验证。
可能原因
Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败,会弹出对话框以请求身份验证用户名和密码。
解决方案
当您看到登录弹出窗口时,您需要提供具有正确身份验证的有效帐户,以保证传递安全。
无法连接远程服务器
无法注册连接器
问题
您将看到错误消息“无法注册连接器。发生了一般例外。”
可能原因
在大多数情况下,问题在于Directory Connector没有连接到LDAP根上下文的特权。
解决方案
请尝试以下操作:
-
运行命令提示符(cmd),然后输入 ldp.exe。
-
单击,选择绑定为当前登录用户,然后单击确定。
-
单击,输入DC=arbonneintl,DC=ad 作为BaseDN,然后单击确定。
-
如果问题继续,打开支持案例。
同步
头像未同步
问题
Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。
可能原因
如果您重复使用现有的头像服务器,并且用户头像已经同步,则本地缓存将捕获它们,并避免再次重订以保存带宽。
解决方案
按照以下步骤删除本地缓存:
-
转至C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
删除DirSyncPluginAvatar.dll-cache.bin。
-
从Cisco目录连接器重新启动头像同步。
用户电子邮件帐户冲突
问题
同步结果可能会显示有冲突的用户电子邮件帐户。
-
如果用户尝试了Webex应用程序的免费版本,他们的电子邮件地址将位于免费消费者组织中。
-
如果用户电子邮件在另一个组织中已同步。
-
如果用户电子邮件存在于属于组织的多个域中。
解决方案
请尝试以下操作:
-
如果您要向用户索要权,请按照以下步骤操作:
-
确保您已在 Control Hub中验证该域。
-
暂时禁用Cisco目录连接器。
-
使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关详细信息,请参阅向您的组织索要用户(转换用户) 。
-
在Cisco Directory Connector中运行干燥,然后重新启用目录同步
-
-
对于最后一个案例,请复选您的Active Directory源中的用户数据。
已转换用户标记为非活动
问题
在您的目录同步环境中,您将免费(消费者组织)用户转换为企业组织,但转换用户无法登录Webex应用程序。
可能原因
当自由用户转换为企业组织时,该用户将被标记为非活动状态为30天,作为安全合规措施。在此期间内,用户无法登录Webex应用程序,并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。
解决方案
如果您不想删除该用户帐户,必须采取行动。要解决此问题,请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后,从Cisco Directory连接器执行同步。然后,用户可以再次登录Webex应用程序,帐户不会被删除。
增量同步失败
问题
增量同步失败。
在以下条件下可能会在Windows Server 2008 R2上出现此问题:
-
您支持增量值更新。
-
您使用的筛选器引用链接值属性。
-
该属性的结果值自上次进行完全同步以来已更新。
解决方案
Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。
属性的值无效
问题
对于 [user dn (distinguished name)],属性 [attribute name] 有以下无效值 [attribute value]。
可能原因
对于CN=b,OU=Employees,OU=C Users,DC=c,DC=com,属性[电话号码]具有以下无效值:+。此属性必须包含至少一个数字。
解决方案
此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。
要删除匹配的用户
问题
匹配的用户将被标记为要删除。
当执行干运行同步以检查Active Directory和云之间的数据时,您可能会在两者中看到相同的电子邮件地址。但是,用户被标记为要删除的对象。
解决方案
选择适当的修复:
-
如果可以在之后删除用户并重新执行许可证,您可以使用Directory Connector进行修复。执行同步以删除用户,然后执行其他同步以将用户从本地AD同步到云。
-
如果您无法删除并重新创建用户帐户,请在支持下打开案例。
缺少属性
问题
添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值,否则不会在Control Hub中创建该条目。
可能原因
必需属性的 email address 缺失。添加内部条目时[CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local],除非所有必需属性都具有值,否则不会在Control Hub中创建条目。
解决方案
用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。
嵌套组无法同步
问题
嵌套的Active Directory组中的用户未正确与云同步。
可能原因
使用不受支持的子组和父组的筛选器。例如:(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
解决方案
必须重新配置同步组的过滤器。例如:|(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
用户命名冲突
问题
对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言,[用户电子邮件地址],以及用户类型[user_type]。
可能原因
已在Control Hub中存在该电子邮件地址的用户。
解决方案
在Active Directory中创建用户,其电子邮件地址与您通过Control Hub注册的帐户相同。
Control Hub
Control Hub中缺少用户列表
问题
如果您拥有超过1000名同步用户的Webex组织,则可能无法在Control Hub中看到用户列表。
解决方案
您可以使用搜索功能查找用户帐户。在Control Hub中,转至用户,单击搜索,然后输入搜索条件以查找特定用户。
组不会同步到Control Hub
问题
目录组中的用户无法正确同步到Control Hub。
可能原因
在Active Directory中,该组未标记为 isCriticalSystemObject 。
解决方案
确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。
启用 Directory Connector 故障诊断
您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息,并将其保存至文件。
以下日志文件: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
运行 |
| 2 |
重启服务。 请参阅如何启动服务获取指导。 |
| 3 |
在目录连接器中,单击仪表板。 |
| 4 |
转至操作,然后单击。 |
| 5 |
启用故障诊断后,重复执行导致错误的操作,这样将捕获流量数据,以便进行检查。 |
| 6 |
检查日志文件:如果文件空白,请确保帐户有权访问 AD DS 或 AD LDS。 日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。 |
| 7 |
如有必要,向支持人员发送日志文件以获取协助。 |
| 8 |
诊断完成后,请禁用故障诊断功能。 |
启动事件查看器
若要查看完全或增量同步期间发生的事件,请启动“事件查看器”。它显示管理事件和错误日志的摘要。
| 1 |
从Directory Connector转至仪表板,然后单击。 “事件属性”对话将显示同步事件详细信息与错误详细信息。 |
| 2 |
从事件查看器,转至。
|
| 3 |
在操作下,单击保存所有事件为 将所有日志导出为单个事件文件(*。evtx)或其他格式(如xml或csv)。 |
下一步
如果您需要打开案例,请联系支持人员,描述连接器的问题,然后将“事件”文件附加到案例中。
事件日志会捕捉用户操作。如需管理网络流量的帮助,请在连接器上启用故障排除。
在Internet Explorer中启用TLS
如果您切换了单点登录(SSO)提供商,您可能会看到来自Cisco目录连接器的以下错误消息:
-
登录到服务时出错
-
此页脚本中出现错误
如果您看到这些错误,必须在浏览器中启用TLS设置。
| 1 |
打开Internet Explorer,然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器,然后再次打开它 |
| 2 |
单击互联网选项 ,转至高级 ,滚动至安全。 |
| 3 |
检查使用TLS 1.1 和使用TLS 1.2 复选框,然后单击确定。
|
| 4 |
重新启动系统以便更改生效。 |
服务帐户登录问题故障诊断
如果您无法登录Cisco目录连接器或无法运行同步,请在联系支持人员之前尝试解决该问题。
| 1 |
尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。 |
| 2 |
根据结果选择一项:
|
| 3 |
至少,确保Cisco DirSync服务(可在Windows服务中找到)配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下,该服务利用Windows登录帐户凭据和身份验证。 |
在Windows注册表中检查SafeDllSearchMode
默认情况下,安全动态链接库(DLL)搜索模式在Windows注册表中设置,然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用,攻击者可以将恶意DLL(与位于系统文件夹中的引用的DLL文件名称相同)放置到应用程序的当前工作目录中。
通常,SafeDllSearchMode已启用,但使用此步骤来复选注册表设置。
开始之前
对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。
| 1 |
在Windows搜索或运行窗口中,键入regedit ,然后按Enter。 |
| 2 |
转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。 |
| 3 |
选择一种:
|
有关详细信息,请参阅动态链接库搜索顺序。
Cisco Directory连接器概述
目录连接器概述
Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件,并将其安装到本地计算机上。
使用Directory Connector,您可以在Active Directory中维护您的用户帐户和数据,因此Active Directory成为唯一的真相来源。当您在内部进行更改时,它会复制到云。
请参阅表中所有的功能、描述和优势:
| 功能 | 描述和优势 |
|---|---|
| 简单易用的控制板 | 该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。 |
| 在同步到云之前进行干燥 | 在云中实施这些更改之前,先对目录进行干燥。之后,运行报告以查看要执行的变更是否与预期一致。 |
| 完全同步和增量同步 | 同步整个目录。或者,仅同步增量变更,从而提高处理能力并缩短同步时间。 |
|
同步多个域(单森林或多森林) |
Directory Connector支持单个森林或多个森林下的多个域(无需使用AD LDS)。对于拥有多个Active Directory域的企业,您可以为每个域安装Directory Connector,将每个域绑定到您的组织,然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态,允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。 |
| 按计划同步 | 按天、小时和分钟设置同步安排。 |
| 轻量级目录访问协议 (LDAP) 过滤器 | 定义 LDAP 搜索条件并实现高效的导入。 |
| 活动目录属性映射 | 将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性,并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据,例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据(职务、部门、经理等)。 |
|
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录 |
如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务,或者您拥有内部Room设备,此功能可让用户从Cisco Webex Calling(云PSTN)电话或Room资源搜索企业联系人目录。
|
| 事件查看器 | 使用事件查看器可确定是否存在同步问题。 |
| 诊断工具和故障排除 | 您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确,您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接,以便在联系支持人员之前自行诊断错误。 在Directory Connector中启用故障排除后,将编写日志,可发送给技术支持。 |
| 自动升级 | 安装 Directory Connector 后,您会在软件有新版本时收到通知。您可以设置自动升级,以便在发布新版本时始终使用最新版本的软件。 |
| 高可用性 | 配置多个连接器,以便在主连接器或机器主机出现宕机情况时提供备用。 |
Directory Connector 分为以下三个部分:
-
Control Hub 是一个单一界面,可让您管理Webex组织的所有方面:如果您希望用户通过企业身份提供商进行身份验证,并且不想为Webex应用程序发送电子邮件邀请,则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
-
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域,您可以为要同步的每个域安装一个软件实例。使用该软件,您可以运行同步以将Active Directory用户帐户带入Webex,查看和监控同步状态,并配置Directory Connector服务。
-
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。
请参考此图了解Directory Connector架构:
为Directory Connector准备您的环境
目录连接器的要求
Windows和Active Directory要求
您可以在这些受支持的Windows服务器上安装Directory Connector:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
要解决Cookie问题,我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。
以下的Active Directory服务支持Directory Connector:
-
2016年活动目录
(在Windows Server 2019上使用最新版本的Active Directory时,支持目录连接器)
-
活动目录2012
-
活动目录2008 R2
-
活动目录2008
请注意以下附加要求:
-
目录连接器需要TLS1.2。您必须安装以下内容:
-
.NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题,请使用 使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
-
.NET Framework v.4.5(TLS1.2必需)
-
-
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。(请参阅什么是 Active Directory 功能级别?获取更多信息。)
硬件要求
您必须在符合以下最低硬件要求的计算机上安装Directory Connector:
-
8 GB RAM
-
50 GB 存储
-
CPU 没有最低要求
网络要求
如果您的网络是防火墙的幕后,请确保您的系统有HTTPS(端口443)访问互联网。
Webex组织要求
-
要从Control Hub访问Directory Connector软件,您需要试用Webex组织或任何付费订阅。
-
(可选)如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态,我们建议您执行以下操作:
-
将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成 。
-
抑制自动电子邮件邀请,这样新用户就不会收到自动电子邮件邀请,您可以进行自己的电子邮件活动。(此功能需要SSO集成。)
有关详细信息,请参阅控制中心中的用户状态和操作。
安装要求
-
对于多个域环境(单森林或多森林),必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B),同时还要保留其他现有域 (A) 上的已同步用户数据,请确保您有受支持的独立 Windows Server 来安装 Directory Connector,以进行域 (B) 同步。
-
要登录连接器,我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。
此本地用户必须拥有该Windows计算机上的权限,才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。(此信息也适用于虚拟机登录。)
-
登录连接器时,登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下,连接器使用本地系统帐户访问Active Directory。但是,您可以使用Windows服务配置其他帐户以访问Active Directory。(此信息也适用于虚拟机登录。)
-
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用:在Windows注册表中检查SafeDllSearchMode。
-
如果您在单个森林上使用多个AD LDS域,我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。
多个域要求
在 Cisco目录连接器部署任务流中跟踪任务之前,如果您要将多个域的Active Directory信息同步到云中,请记住以下要求和建议:
-
每个域需要单独的Directory Connector实例。
-
Directory Connector软件必须运行在其将同步的同一域上的主机。
-
我们建议您在Control Hub中验证或声明您的域。(参见添加、验证和申请域。)
-
如果要同步超过50个域,您必须打开标签 才能让您的组织移动到大型组织列表。
-
如果需要,您可以与用户帐户同步房间资源信息。(请参阅将内部会议室信息同步到Webex云。)
自动许可证分配活动目录组建议
Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。
Active Directory中有两种类型的组:
-
分发组—用于创建电子邮件分发列表。
-
安全组-用于分配共享资源的权限。
在Active Directory中创建组时,请考虑以下指导原则:
-
为每个角色、部门或服务创建全球组(例如销售、营销、经理、会计师、Webex授权等)。
-
在整个组织中使用标准命名规范,以便轻松识别有关组的重要信息。组名称可以包含组的详细信息,例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如,组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
-
以易于理解的方式组织群组,例如按地域或管理层次。使用组描述来完整描述组的目的。
-
在将用户添加到新配置的组之前,请为这些组在Control Hub中定义自动许可证组模板。有关详细信息,请参阅设置自动许可证分配模板 。
调整尺寸信息
Directory Connector是本地Active Directory和Webex云之间的桥梁。因此,连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定,而不是连接器本身。
一些因素会影响同步的速度:
-
Active Directory对象的总数。(5,000个用户同步工作所需的时间不超过50,000。)
-
网络速度和带宽。
-
系统工作负载和规格。
如果您正在同步超过50,000个用户,我们强烈建议您使用第二个连接器进行故障转移和冗余。
由于同步涉及多个因素,并且每个部署取决于上述因素,因此我们无法提供对象同步所需时间的特定时间值。
在Windows注册表中检查SafeDllSearchMode
默认情况下,安全动态链接库(DLL)搜索模式在Windows注册表中设置,然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用,攻击者可以将恶意DLL(与位于系统文件夹中的引用的DLL文件名称相同)放置到应用程序的当前工作目录中。
通常,SafeDllSearchMode已启用,但使用此步骤来复选注册表设置。
开始之前
对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。
| 1 |
在Windows搜索或运行窗口中,键入regedit ,然后按Enter。 |
| 2 |
转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。 |
| 3 |
选择一种:
|
有关详细信息,请参阅动态链接库搜索顺序。
WebEx 代理集成
WebEx 代理集成
如果您的环境中已启用 Web 代理验证,则您仍然可用使用 Directory Connector。
如果您的组织使用透明Web代理,则不支持身份验证。连接器已成功连接和同步用户。
您可以选择下列方法之一:
-
通过Internet Explorer显式Web代理(连接器继承了Web代理设置)
-
通过。pac文件显式网络代理(连接器继承企业特定的代理设置)
-
与连接器配合的透明代理,无需任何更改
通过浏览器使用 Web 代理
您可以通过Internet Explorer设置Directory Connector以使用Web代理。
如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行,那么您还需要用此帐户登录并配置 Web 代理。
| 1 |
在 Internet Explorer 中,转至 Internet 选项,单击连接,然后选择局域网 (LAN) 设置。 |
| 2 |
指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。 |
| 3 |
如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在整个站点范围内执行此操作(针对所有主持人),也可以仅针对具有连接器的主持人。 如果您将这些URL添加到允许列表以完全绕过您的WEB代理,请确保防火墙ACL表已更新,以允许连接器主持人直接访问URL。 |
| 4 |
如果您的环境需要从证书颁发机构请求证书撤销列表,请将这些URL添加到您的允许列表:
有关详细信息,请参阅本文关于Webex Services需要访问的域和URL。 |
通过 PAC 文件配置 Web 代理
您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。
| 1 |
要使连接器成功连接并同步用户信息到Webex云,请确保安装连接器的主机。pac文件配置中已禁用 |
| 2 |
如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在整个站点范围内执行此操作(针对所有主持人),也可以仅针对具有连接器的主持人。 如果您将这些URL添加到允许列表以完全绕过您的WEB代理,请确保防火墙ACL表已更新,以允许连接器主持人直接访问URL。 |
| 3 |
如果您的环境需要从证书颁发机构请求证书撤销列表,请将这些URL添加到您的允许列表:
有关详细信息,请参阅本文关于Webex Services需要访问的域和URL。 |
NTLM代理
Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证,并确保其安全。
NTLM设计
在大多数情况下,用户希望通过客户端PC访问其他工作站资源,这很难以安全的方式进行。
一般来说,NTLM的技术设计基于挑战
和响应
机制:
-
用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同,密码的哈希值在本地存储。当用户通过密码登录客户端时,Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同,则验证将通过。
当用户想要访问其他服务器中的任何资源时,客户端会向服务器发送一个请求,帐户名称为纯文本。
-
当服务器收到请求时,服务器会生成16位随机密钥。关键称为Challenge(或Nonce)。在服务器返回客户端之前,挑战将存储在服务器中。然后,服务器将挑战以纯文本形式发送给客户端。
-
客户端收到服务器发送的挑战后,客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后,该值将返回到服务器。
-
当服务器从客户端收到加密值时,服务器将其发送到域控制器进行验证。请求包括:帐户名称、客户端发送的加密挑战,以及原始的简单挑战。
-
域控制器可以根据帐户名称检索密码的哈希值。然后,域控制器可以对原始挑战进行加密。然后,域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同,验证将成功。
Windows在操作系统中内置了安全验证,使应用程序更容易支持安全验证。因此,您无需完成进一步的配置。
配置透明代理
在这种情境下,浏览器不会知道透明 Web 代理正在拦截 http 请求(端口 80/端口 443),因此不需要客户端配置。
| 1 |
部署透明代理,以便连接器可以连接和同步用户。 |
| 2 |
确认代理已成功—启动连接器时,您会看到预期的浏览器身份验证弹出窗口。 |
设置代理身份验证
通过创建访问控制列表,将URL cloudconnector.webex.com 添加到允许列表中。
在企业防火墙服务器上:
| 1 |
如果尚未启用 DNS 查找,请启用。 |
| 2 |
确定此连接的估计带宽(连接器约为2 mb/s或以下)。这不是必须执行的步骤。 |
| 3 |
创建访问控制列表以应用于连接器主机,并指定 例如: access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https |
| 4 |
将此ACL应用于相应的防火墙接口,该接口仅适用于此单个连接器主持人。 |
| 5 |
通过配置相应的隐式拒绝声明,确保企业中的其他主机仍需使用 Web 代理。 |
部署目录连接器
Cisco目录连接器部署任务流程
| 1个 |
Control Hub最初将目录同步显示为禁用状态。 要为组织打开目录同步,必须安装和配置Directory Connector,然后成功执行完整同步。 要重新安装Directory Connector,请始终转至Control Hub (https://admin.webex.com)获取软件的最新版本,以便您使用最新的功能和故障修复。 安装软件后,将通过软件报告升级,并在可用时自动安装。 |
| 2个 |
使用您的Webex管理员凭据登录,并执行初始设置。 |
| 3个 |
将Directory Connector软件更新到最新版本始终非常重要。 我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。 |
| 4个 |
默认情况下,Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。 要对哪些对象进行同步的更多控制,您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。 |
| 5个 |
您可以将本地Active Directory中的属性映射到云中的相应属性。 唯一必填字段是*uid。 |
| 6个 |
使用以下程序之一同步目录头像: 您可以将用户的头像同步到云,以便每个用户登录应用程序时显示他们的头像。 您可以从Active Directory属性或资源服务器同步化头像。 |
| 7 |
使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的房间设备(例如Webex Room设备或Cisco Webex Board)上的可搜索条目 |
| 8个 |
要从Active Directory向Control Hub提供用户,请执行以下步骤: 按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。 在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 目标是在Active Directory和Webex云之间实现精确匹配。 |
安装目录连接器
Control Hub最初将目录同步显示为禁用状态。 要为组织打开目录同步,必须安装和配置Directory Connector,然后成功执行完整同步。
您必须为要同步的每个Active Directory域安装一个连接器。 单个目录连接器实例只能服务单个域。 请参阅下图了解多个域同步的流程:
开始之前
如果您通过代理服务器进行身份验证,请确保您拥有代理凭据:
-
对于代理基本身份验证,安装连接器的实例后,您将输入用户名和密码。 基本身份验证也需要Internet Explorer代理配置;请参阅通过浏览器使用Web代理
-
对于代理NTLM,第一次打开连接器时可能会看到错误。 请参阅通过浏览器使用Web代理。
| 1个 |
在控制中心中,转至,然后选择下一步。 |
| 2个 |
单击下载和安装链接,将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。 您可以直接从此链接获取。zip文件,但必须对Control Hub组织的完整管理访问权限才能使用此软件。 对于新安装,请获取软件的最新版本,以便使用最新的功能和bug修复。 安装软件后,将通过软件报告升级,并在可用时自动安装。 |
| 3个 |
在VMware或Windows服务器上,解压缩并在设置文件夹中运行。msi文件,以启动设置向导。 |
| 4个 |
单击下一步,勾选框以接受许可协议,然后单击下一步,直到您看到帐户类型屏幕。 |
| 5个 |
选择要使用的服务帐户类型,并使用管理员帐户执行安装:
要避免错误,请确保具有以下权限:
|
| 6个 |
单击安装。 网络测试运行后,如果出现提示,输入您的代理基本凭证,单击确定,然后单击完成。 |
下一步该做什么
我们建议您在安装后重新启动服务器。 当数据未发布时,干运行报告无法显示正确结果。 重启计算机时,所有数据都会刷新以在报告中显示准确结果。
登录到目录连接器
开始之前
确保您拥有代理凭据。
-
对于Proxy basic-auth,第一次打开连接器后将输入用户名和密码。
-
对于代理NTLM,打开Internet Explorer,单击齿轮图标,转至 Internet选项>连接> LAN设置,确保已添加代理服务器信息,然后单击确定。 请参阅通过浏览器使用Web代理。
| 1个 |
打开连接器,如果看到提示,则将 |
| 2个 |
如果出现提示,请使用代理身份验证凭据登录,然后使用您的管理员帐户登录Webex,然后单击下一步。 |
| 3个 |
确认您的组织和域。
|
| 4个 |
出现确认组织屏幕后,单击确认。 如果您已绑定AD DS/AD LDS,将显示确认组织屏幕。 |
| 5个 |
单击确认。 |
| 6个 |
根据要绑定到Directory Connector的Active Directory域数,选择一个:
|
下一步该做什么
登录后,系统提示您执行干运行同步。
目录连接器仪表板
当您首次登录Directory Connector时,会显示仪表板。 在这里,您可以查看所有同步活动的摘要、查看云统计、执行干运行同步、启动完整或增量同步并启动事件视图以查看错误信息。
您可以从“操作”工具栏或“操作”菜单轻松运行这些任务。
|
组件 |
描述 |
|---|---|
|
当前同步 |
显示当前正在进行的同步的状态信息。 当未运行同步时,状态显示处于空闲状态。 |
|
下一次同步 |
显示下一个已安排的完整和增量同步。 如果未设置计划,将显示未计划。 |
|
上次同步 |
显示最近两次已执行同步的状态。 |
|
当前同步状态 |
显示同步的总体状态。 |
|
连接器 |
显示可用于云的当前本地连接器。 |
|
云统计 |
显示同步的总体状态。 |
|
同步计划 |
显示增量同步和完全同步的同步计划。 |
|
配置摘要 |
列出配置中更改的设置。 例如,摘要可能包括以下内容:
|
| 行动 | 描述 |
|---|---|
| 开始增量同步 |
手动启动增量同步 暂停或禁用同步时,如果未完成完全同步或同步正在进行中,则此操作将禁用。 |
|
同步干运行 |
执行干运行同步。 |
|
启动活动查看器 |
启动Microsoft Event Viewer。 |
|
刷新 |
刷新Cisco目录连接器仪表板 |
|
行动 |
描述 |
|---|---|
| 立即同步 |
立即开始完全同步。 |
|
同步模式 |
选择增量或完全同步模式。 |
|
重置连接器秘密 |
在Cisco目录连接器和连接器服务之间建立对话。 选择此操作将重置云中的秘密,然后在本地保存秘密。 |
|
干运行 |
对同步过程执行测试。 在进行完全同步之前,必须先进行干运行。 |
|
故障排除 |
打开/关闭故障排除。 |
|
刷新 |
刷新Cisco目录连接器主屏幕。 |
|
退出 |
退出Cisco目录连接器。 |
|
关键组合 |
行动 |
|---|---|
|
Alt +A |
显示操作菜单 |
|
|
现在同步 |
|
|
重置连接器秘密 |
|
|
干运行 |
|
|
增量同步 |
|
|
完全同步 |
|
|
显示帮助菜单 |
|
|
帮助 |
|
|
关于 |
|
|
常见问题 |
设置自动升级
| 1个 |
从Directory Connector,转至,然后检查自动升级到新的Cisco Directory Connector版本。 |
| 2个 |
单击应用保存更改。 |
新版本的连接器可用时将自动安装。
您可以手动管理升级(如果您愿意)。 有关更多信息,请参阅升级至最新软件版本。
选择要同步的Active Directory对象
默认情况下,Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。 要对哪些对象进行同步的更多控制,您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
自动许可证分配组
Control Hub允许您按组管理许可证分配。 您可以创建许可证模板,并将其映射到同步到云的Active Directory组。 在用户创建时,Webex检查该新用户的用户会员身份和自动许可证模板映射。
我们建议您使用LDAP过滤器仅将相关组同步到云。 例如,您可以将过滤器设置为:
(&(cn=示例)(objectclass=组))*
此过滤器将以Example开头的基础DN中的所有组同步。 未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。
混合数据安全部署组
在Directory Connector中,如果您使用混合数据安全为试点用户配置试用组,则必须检查组。 请参阅混合数据安全部署指南获得指导。 此目录连接器设置不会影响云中的其他用户同步。
开始之前
| 1个 |
从目录连接器转至配置,然后单击对象选择。 |
| 2个 |
在对象类型部分中,检查用户,并考虑限制用户可搜索容器的数量。 例如,如果您想仅同步特定组中的用户,必须在用户LDAP过滤器字段中输入LDAP过滤器。 如果要同步示例管理器组中的用户,请使用以下过滤器:
|
| 3个 |
检查识别房间以将房间数据与用户数据分开。 要设置其他属性,将用户数据识别为房间数据,请单击自定义。 如果要将内部会议室信息从Active Directory同步到Webex云时,请使用此设置。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。 有关详细信息,请参阅将内部会议室信息同步到Webex云。 |
| 4个 |
要将Active Directory用户组同步到云,请检查组。 不要向“组”字段添加用户同步LDAP筛选器。 您仅应使用“组”字段将组数据本身同步到云。 默认情况下,组不会为新客户同步。 必须启用组同步。 还必须同步安全组。 |
| 5个 |
如果要将用户的联系信息同步到云,请检查联系人。 目录连接器仅管理由连接器同步的联系人。 如果Control Hub中已经有联系人,则同步不会删除联系人。 如果从同步范围中删除联系人,则在Control Hub中也会删除用户的联系信息。 |
| 6个 |
配置 LDAP 过滤器。 您可以通过提供有效的LDAP过滤器来添加扩展过滤器。 有关配置LDAP过滤器的更多信息,请参阅本文。 |
| 7 |
单击选择以查看Active Directory树结构,指定要同步的On Premises Base DN。 您可以在此处选择或取消选择要搜索的容器。 |
| 8个 |
检查要为此配置添加的对象,然后单击选择。 您可以选择要用于同步的单个容器或母容器。 选择父容器,以启用所有子容器。 如果您选择子容器,母容器会显示灰色复选标记,表示孩子已检查。 然后,您可以单击选择以接受选中的Active Directory容器。 如果您的组织将所有用户和组放置在“用户”容器中,则无需搜索其他容器。 如果您的组织被分为组织单位,请确保选择OU。 |
| 9 |
单击应用。 选择一个选项:
有关干运行的信息,请参阅在Active Directory用户上执行干运行同步。 对于组同步,您必须执行完整同步: 将Active Directory用户完全同步到云中。 |
映射用户属性
您可以将本地Active Directory中的属性映射到云中的相应属性。 唯一的必填字段是*uid,这是云身份服务中每个用户帐户的唯一标识符。
您可以选择要映射到云的Active Directory属性—例如,您可以映射到Active Directory中的 firstName lastName,或将自定义属性表达式映射到云中的 displayName。
Active Directory中的帐户必须有一个电子邮件地址;uid映射默认为邮件的广告字段(不是 sAMAccountName)。
如果您选择使用首选语言来自Active Directory,则Active Directory是唯一的真理来源: 用户将无法在Webex设置中更改其语言设置,管理员也无法在Control Hub中更改设置。
| 1个 |
从Directory Connector,单击配置,然后选择用户属性映射。 此页显示Active Directory(左侧)和Webex云(右侧)的属性名称。 所有必需属性都标有红色星号。 |
| 2个 |
向下滚动到 Active Directory属性名称的底部,然后选择其中一个Active Directory属性以映射到云属性uid:
您可以将其他Active Directory属性映射到uid,但我们建议您使用上述指南中的邮件或userPrincipalName。 在某些情况下,使用userPrincipalName来登录,但使用用户的电子邮件地址来管理他们的日历。 您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。 将userPrincipalName作为备用电子邮件地址添加。 要查看Active Directory中的哪些属性与云中的对应关系,请参阅在Directory Connector中映射Active Directory属性。 要使同步工作,您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口,以提醒您,如果您没有选择推荐的属性。 |
| 3个 |
如果预定义的Active Directory属性不适用于部署,请单击属性下拉菜单,滚动到底部,然后选择自定义属性以打开一个窗口来定义属性表达式。 单击帮助以获取有关表达式的更多信息,并查看表达式如何工作的示例。 您还可以查看自定义属性的表达式以了解更多信息。 在此示例中,我们将将Active Directory属性
Directory Connector验证身份服务中的uid的属性值,并在当前用户过滤选项下检索3个可用用户。 如果所有3个用户都具有有效的电子邮件格式,则Cisco Directory Connector将显示以下消息:
如果无法验证属性,您将看到以下警告,并可以返回到Active Directory以检查和修复用户数据:
|
| 4个 |
(可选)如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中,选择手机和电话号码的映射。 当用户将鼠标悬停在另一个用户的档案照片上时,电话号码数据会显示在Webex应用程序中。 有关从用户联系人卡呼叫的更多信息,请参阅在Webex (Unified CM)部署指南(管理员)。 |
| 5个 |
选择其他映射以显示在联系人卡中的更多数据:
映射属性后,当用户将鼠标悬停在另一个用户的档案图片上时,会显示信息:
有关联系卡的更多信息,请参阅验证您的联系人。 将这些属性同步到每个用户帐户后,您还可以在Control Hub中打开People Insights。 此功能允许Webex App用户在配置文件中共享更多信息,并相互了解。 有关该功能以及如何启用该功能的更多信息,请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events(新建)People Insights Profiles |
| 6个 |
做出选择后,单击应用。 |
Active Directory中包含的任何用户数据都会覆盖与该用户对应的云中的数据。 例如,如果您在Control Hub中手动创建用户,则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。 在Active Directory中没有相应电子邮件地址的用户将被删除。
已删除的用户将在云身份服务中保留7天,然后被永久删除。
活动目录和云属性
您可以使用用户属性映射选项卡将本地Active Directory中的属性映射到云中的相应属性。
此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。 这些值和映射是Directory Connector中的默认设置。 您可以在Active Directory下拉菜单中选择不同的属性,并确定哪些内部属性与哪个云属性同步。
将下拉菜单属性视为预设。 作为Active Directory行中的值的替代,您还可以在Active Directory中指定自定义属性(具有多个属性的表达式)以映射到相应行中的单个云属性。 这样,您可以灵活地确定用户的显示名称,例如,您可以添加一个表达式,根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。
您还可以指定任何Active Directory属性,以映射到云中的uid。 但是,您必须确保内部属性遵循有效的电子邮件格式。
您还可以使用其他电子邮件地址,例如,如果您想使用userPrincipalName进行登录,但用户的电子邮件地址用于管理他们的日历。 在这种情况下,将其他电子邮件地址映射到电子邮件;类型-工作属性。 这是用于身份验证的电子邮件;它不用于管理您的日历。 您从AD映射的电子邮件地址必须来自您组织内的验证域,并且必须是唯一并且不会分配给其他用户。
|
活动目录属性名称 |
Webex云属性名称 |
注释 |
|---|---|---|
|
— |
建筑名称 |
— |
|
c |
c |
此属性指定用户的国家缩写。 |
|
部门号码 |
部门号码 |
|
|
显示名称 |
显示名称 |
此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。 |
|
用户帐户控制 |
ds-pwp-account-disabled |
此属性用于用户同步。 确保 userAccountControl 属性映射到 ds-pwp-account-disabled,或者用户未正确同步。 |
|
员工号码 |
员工号码 |
— |
|
传真电话号码 |
传真电话号码 |
— |
|
— |
jabberID |
此云属性与Jabber使用的IM地址(XMPP类型)有关。 此值与sipAddresses不同。 |
|
L的 |
L的 |
此属性指定用户的城市。 |
|
— |
Category:本地 |
— |
|
经理 |
经理 |
|
|
移动设备 |
移动设备 |
此属性被用作显示从联系人卡呼叫用户的移动号码。 |
|
或 |
或 |
此属性指定公司或组织的名称,并显示在联系人卡中。 |
|
或 |
或 |
此属性指定组织单位的名称。 |
|
physicalDeliveryOffice名称 |
physicalDeliveryOffice名称 |
此属性指定用户的办公位置。 |
|
邮政编码 |
邮政编码 |
此属性指定了用于实际邮件交付的用户的邮政或邮政编码。 |
|
首选语言 |
首选语言 |
此属性设置用户的首选语言,支持以下格式: xx_YY或xx-YY。 下面是一些示例: en_US,en_GB,fr-CA。 如果您使用不受支持的语言或无效的格式,用户的首选语言将更改为组织的语言集。 |
|
MSRTCSIP-主要用户地址 ipPhone |
SipAddresses;type=enterprise |
此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。 |
|
sn |
sn |
此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。 |
|
圣 |
圣 |
此属性指定用户的状态或省。 |
|
街道地址 |
街道 |
此属性指定用于实际邮件递送的用户的街道地址。 |
|
电话号码 |
电话号码 |
此属性指定用于从联系人卡呼叫用户的主要(工作)电话号码。 |
|
— |
时区 |
此云属性指定用户的时区。 |
|
标题 |
标题 |
|
|
类型 |
企业 |
— |
|
*邮件 *用户主要名称 |
uid |
强制性的属性映射。 对于每个用户帐户,Active Directory值映射到云中的唯一的UID。 在某些情况下,使用userPrincipalName来登录,但使用用户的电子邮件地址来管理他们的日历。 您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。 将userPrincipalName作为备用电子邮件地址添加。 然后用户可以使用这两个电子邮件地址之一登录,只要正确的 SAML属性映射就行了。 请参阅下面的示例属性映射,了解如何映射替代电子邮件地址。 |
|
*用户主要名称 *邮件 <自定义属性> |
电子邮件;类型工作 |
此映射是可选的,如果您想使用其他电子邮件地址,请使用此映射。 这是用于身份验证的电子邮件;它不用于管理您的日历。 您从AD映射的电子邮件地址必须来自您组织内的验证域,并且必须是唯一并且不会分配给其他用户。 |
|
<Azure用户对象Id的新属性> |
外部ID |
创建新的Active Directory属性以保留Azure用户对象ID,使其不会与现有的ID冲突。 此属性随后映射到externalId属性,确保Webex用户在Microsoft 365中创建群组时,会自动在Webex中创建群组。 |
替代电子邮件地址映射
自定义属性的表达式
|
操作员 |
描述和示例 |
|---|---|
|
% |
如果匹配,将字符串开头的所有字符删除到字符或字符串参数的位置。
|
|
- |
从指定字符串的末端剥离输入字符串的背部。
|
|
+ |
连接输入字符串或表达式。
|
|
| |
根据空字符串评估分隔表达式,并选择第一个非空结果。
|
将Active Directory属性中的目录头像同步到云
您可以将用户的目录头像同步到云,以便在登录Webex应用程序时显示每个头像。 使用此程序同步来自Active Directory属性的原始头像数据。
| 1个 |
从Directory Connector,转至配置,单击阿凡达,然后检查启用。 |
| 2个 |
对于从获取头像,选择AD属性,然后选择头像属性,其中包含要同步到云的原始头像数据。 |
| 3个 |
要验证头像是否正确访问,请输入用户的电子邮件地址,然后单击获取用户头像。 头像出现在右侧。 |
| 4个 |
验证头像显示正确后,单击应用保存更改。 |
-
同步的图像成为Webex应用程序中用户的默认头像。 在Directory Connector启用此功能后,不允许用户设置自己的头像。
-
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步该做什么
执行干运行同步;如果没有问题,则执行完全同步,以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。
将目录头像从资源服务器同步到云
您可以将用户的目录头像同步到云,以便在登录Webex应用程序时显示每个头像。 使用此程序从资源服务器同步化头像。
开始之前
-
此过程中的URI模式和变量值是示例。 您必须使用目录头像所在位置的实际URL。
-
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。 连接器需要http或https访问图像,但图像不需要在互联网上公开访问。
-
头像数据同步与Active Directory用户配置文件分开。 如果您运行代理,必须确保NTLM身份验证或基本身份验证可以访问头像数据。
| 1个 |
从Directory Connector,转至配置,单击阿凡达,然后检查启用。 |
| 2个 |
对于从获取头像,选择资源服务器,然后输入头像URI模式—例如, 让我们来看看阿凡达URI模式的每个部分及其含义:
|
| 3个 |
(可选)如果您的资源服务器需要凭证,请检查为头像设置用户凭证,然后选择使用当前服务登录用户或使用此用户并输入密码。 |
| 4个 |
输入变量值—例如: |
| 5个 |
单击测试以确保头像URI模式正常工作。 在此示例中,如果一个AD条目的邮件值为 |
| 6个 |
验证了URI信息并看起来正确后,单击应用。 有关使用正则表达式的详细信息,请参阅 Microsoft正则表达式语言快速参考。 |
-
同步的图像成为Webex应用程序中用户的默认头像。 在Directory Connector启用此功能后,不允许用户设置自己的头像。
-
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步该做什么
执行干运行同步;如果没有问题,则执行完全同步,以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。
将内部会议室信息同步到Webex云
使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的Webex设备(房间、桌面和板)上的可搜索条目。
| 1个 |
从Directory Connector转至同步,单击同步域旁边的 |
| 2个 |
检查将房间信息同步到云,在同步过程中将房间数据与用户数据分开。 禁用此设置时,将以与用户同步数据相同的方式处理会议室数据。 |
| 3个 |
转至属性映射,然后更改云属性的属性映射sipAddresses;type=enterprise。 要使用值验证,SIP地址的值应为Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4个 |
在Exchange中创建会议室资源邮箱。 这将添加连接器用于识别房间的 msExchResourceMetaData;ResourceType:Room 属性。
|
| 5个 |
从Active Directory用户和计算机,导航到并编辑会议室的属性。 使用sip的前缀添加完全合格SIP URI:
|
| 6个 |
在连接器中执行干运行同步,然后执行完整运行同步。 新会议室对象列出已添加对象,匹配的会议室对象将出现在匹配对象中干运行报告中中。 任何标记要删除的房间对象都位于已删除的房间下。
干运行结果显示所有匹配的房间资源。
此设置将Active Directory房间数据(包括房间属性)与用户数据分离。 同步完成后,连接器仪表板上的云统计数据将显示与云同步的房间数据。
|
下一步该做什么
现在您已完成这些步骤,当您在Webex云注册设备上搜索时,您将看到使用SIP地址配置的同步房间条目。 当您将Webex设备拨入该条目时,将呼叫放置到为房间配置的SIP地址。
从Control Hub,您可以自动从目录导入会议室并创建工作空间。
端点无法将呼叫回传回至Webex应用程序。 对于测试拨号设备,这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。 如果您正在搜索的Active Directory会议室系统已注册到Webex,并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上,则搜索结果不会显示重复条目。 在Webex应用程序中直接拨打Room、Desk或Board设备,不会进行SIP呼叫。
在目录同步结果上发送电子邮件报告
默认情况下,组织联系人或管理员总是会收到电子邮件通知。 使用此设置,您可以自定义谁应该接收总结目录同步报告的电子邮件通知。
| 1个 |
从Directory Connector,单击配置,然后选择通知。 |
| 2个 |
从Directory Connector中,单击设置,然后在电子邮件接收器旁边切换启用报告同步。 |
| 3个 |
如果要覆盖默认通知行为并添加一个或多个电子邮件收件人,请选择启用通知。 |
| 4个 |
单击添加,然后输入电子邮件地址。 如果您输入的电子邮件地址格式无效,则会弹出一条消息,告诉您纠正问题,然后才能保存并应用更改。 |
| 5个 |
单击添加电子邮件,然后输入电子邮件地址。 如果您输入的电子邮件地址格式无效,则会弹出一条消息,告诉您纠正问题,然后才能保存并应用更改。 |
| 6个 |
如果您需要编辑您输入的任何电子邮件地址,请双击左侧列中的电子邮件条目,然后进行所需的任何更改。 |
| 7 |
添加所有有效电子邮件地址后,单击应用。 |
| 8个 |
添加所有有效电子邮件地址后,单击保存。 |
下一步该做什么
如果您决定删除电子邮件地址,您可以单击电子邮件以突出显示该条目,然后单击删除。
如果您决定删除电子邮件地址,可以单击特定电子邮件地址条目旁边的删除。
从Active Directory向Control Hub提供用户
按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。 在安装每个域的Directory Connector后,您可以从多个域Active Directory部署(包含单个森林或多个森林)提供用户。 在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 目标是在Active Directory和Webex云之间实现精确匹配。
| 1个 |
执行干运行以比较内部Active Directory中的对象和Webex云中的对象。 干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。 |
| 2个 |
当您运行完全同步时,连接器服务将从Active Directory (AD)的所有过滤对象发送到云。 连接器服务然后用您的AD条目更新身份存储。 如果您创建了自动分配许可证模板,您可以将其分配给新同步的用户。 |
| 3个 |
向Control Hub中的Directory同步用户分配Webex服务 完成从Directory Connector输入到Control Hub的完整用户同步后,您可以使用各种方法分配Webex服务许可证。 我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。 您还可以在此初始步骤后进行个人更改。 |
在您的Active Directory用户上执行干线同步
执行干运行以比较内部Active Directory中的对象和Webex云中的对象。 干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 使用Directory Connector,目标是在Active Directory和Webex云之间实现精确匹配。
如果您在单个森林或多个森林中拥有多个域,则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。
开始之前
在使用Directory Connector之前,您可能已经在Control Hub中拥有一些Webex应用程序用户。 在云中的用户中,有些用户可能会与本地Active Directory对象匹配,并为服务分配许可证。 但有些测试用户可能是在进行同步时要删除。 您必须在Active Directory和Control Hub之间创建完全匹配。
| 1个 |
选择一项:
当干运行完成时,您将看到以下结果之一:
摘要包含有关对象匹配的信息:
干运行通过比较与域用户来识别用户。 如果用户属于当前域,应用程序可以识别用户。 在下一步,您必须决定是删除对象还是保留它们。 不匹配的对象已在Webex云中存在,但在内部Active Directory中不存在。 |
| 2个 |
查看干运行结果,然后根据您使用单个域还是多个域选择一个选项:
|
| 3个 |
在确认干运行提示符中,单击是重执行干运行同步并查看仪表板以查看结果。 在干运行中成功同步的所有帐户都出现在匹配对象下。 如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户,则该条目在已删除用户下列出。 要避免此删除标记,您可以在具有相同电子邮件地址的Active Directory中添加用户。 要查看已同步项目的详细信息,请单击特定项目或匹配对象的相应选项卡。 要保存摘要信息,请单击保存结果至文件。 |
| 4个 |
如果预期结果,请转至,然后单击立即启用进行手动同步,并在此处设置手动模式。 在多个域部署中的最后一个Active Directory域进行同步后,必须为Directory Connector启用自动模式。 只有当对象在Webex云和所有内部活动目录之间完全匹配时,您才可以启用自动模式。 |
下一步该做什么
-
对于您保留的任何不匹配的用户对象,您必须将其添加到Active Directory,以便在内部和云之间实现完全匹配。
-
选择同步类型:
-
首次将新用户同步到云时,将Active Directory用户完全同步到云中。 您可以从进行操作,然后从当前域的用户将同步。
-
设置连接器计划并在运行完整同步后运行增量同步,如果要在初始同步后拾取更改。 建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
默认情况下,增量同步设置为每30分钟(3.4及更早版本)或每4小时(3.5及更高版本)进行,但您可以更改此值。 在您最初执行完全同步之前,增量同步不会发生。
-
-
如果您有多个域,请在已安装的任何其他目录连接器上重复这些步骤。
需要记住的事情
-
启用完全同步之前或更改同步参数时执行干运行。 如果干运行由配置更改启动,您可以在干运行完成后保存设置。 如果您已手动添加用户,执行Active Directory同步可能会导致以前添加的用户被删除。 您可以在完全同步到云之前检查Directory Connector Dry Run报告,以验证所有预期用户都存在。
-
如果匹配的用户被标记为要删除,并且您不确定如何继续,请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。
已删除的用户将在云身份服务中保留7天,然后被永久删除。
将Active Directory用户完全同步到云
当您运行完全同步时,连接器服务将从Active Directory (AD)的所有过滤对象发送到云。 连接器服务然后用您的AD条目更新身份存储。 如果您创建了自动分配许可证模板,您可以将其分配给新同步的用户。
如果您有多个域,则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。
目录连接器同步用户帐户状态—在Active Directory中,任何被标记为禁用的用户在云中也会显示为非活动。
开始之前
-
如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态,则必须执行以下步骤以绕过电子邮件验证:
-
将单点登录与Webex组织集成。 查看
使用Cisco Webex Services和您的组织的身份提供商进行单点登录
有关更多信息。 -
使用Control Hub验证并选择声称电子邮件地址中包含的域。 查看
添加、验证和请求域
. -
抑制自动电子邮件邀请,这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。(您可以进行自己的电子邮件活动。)
尚未登录的已激活用户在Control Hub中显示已验证状态。 登录后,它们将显示为活动状态。 有关用户状态的更多信息,请参阅 Cisco Webex Control Hub中的用户状态和操作。
-
-
启用同步时,Directory Connector要求您先执行干运行。 我们建议您在完全同步之前进行干运行,以发现任何潜在的错误。
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板。
如果您不使用自动分配许可证模板,新同步的用户会自动获得免费许可证。 他们将能够使用与免费帐户的相同的免费功能。
| 1个 |
选择一项:
|
| 2个 |
从Directory Connector转至同步,单击同步域旁边的 |
| 3个 |
确认同步的开始。 对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序会在您执行同步后72小时内反映更改。 您可以按照以下说明尝试清除Webex应用程序的本地缓存: Windows 或 Mac。
|
| 4个 |
要更新同步状态,请单击刷新。 (同步项目出现在云统计下。) |
| 5个 |
有关错误的信息,请从操作工具栏选择启动事件查看器以查看错误日志。 |
| 6个 |
要设置持续增量同步到云的同步计划,请参阅设置连接器计划和运行增量同步。 |
-
完成完全同步后,在Control Hub的设置页面上,目录同步状态将从禁用更新至操作。
-
当所有数据在内部和云之间匹配时,Directory Connector将从手动模式更改为自动同步模式。
-
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件,否则Webex应用程序用户帐户将保持未验证状态,直到用户首次登录Webex应用程序以确认其帐户。 请参阅“开始之前”部分,了解如何将帐户同步为活动用户的指导。
-
如果您有多个域,请在已安装的任何其他目录连接器上执行此步骤。 同步后,您添加的所有域上的用户都会在Control Hub中列出。
-
如果您将单点登录与Webex集成,并且已删除的电子邮件通知,则电子邮件邀请不会发送给新同步的用户。
-
启用目录连接器后,您无法在Control Hub中手动添加用户。 启用后,从Cisco目录连接器执行用户管理,而Active Directory是唯一的真理源。
-
您同步的任何组都出现在Control Hub中,并且您可以分配许可证模板,以便该组中的用户获得许可证。
下一步该做什么
-
当您从Active Directory中删除用户时,该用户将在下次同步后被软删除。 用户处于非活动状态,但云身份档案将保留七天(以便从意外删除中恢复)。
如果您在Active Directory中检查帐户已禁用,则下次同步后该用户将变为非活动。 云身份档案七天后不会删除,以防要再次启用用户。
-
注意增量同步的这些异常(请按照上面的完整同步步骤操作):
-
如果更新了头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
-
属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。
-
向Control Hub中的Directory同步用户分配Webex服务
完成从Cisco目录连接器到Control Hub的完整用户同步后,您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证,或者如果您已经配置了自动分配的许可证模板,则向新用户添加其他许可证。 您可以在此初始步骤后更改个人用户帐户。
完成从Directory Connector输入到Control Hub的完整用户同步后,您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证(如果您已经配置了自动分配许可证模板)。 您可以在此初始步骤后更改个人用户帐户。
当您向Webex应用程序用户分配许可证时,该用户默认会收到一封确认分配的电子邮件。 该电子邮件由Control Hub中的通知服务发送。 如果您将单点登录(SSO)与Webex组织集成,则如果您更愿意直接联系用户,您也可以删除这些自动电子邮件通知。
开始之前
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板。
-
在Active Directory用户上执行干运行同步。
-
确认干运行结果后,在Active Directory用户上进行完全同步。
在完全同步时,用户在云中创建,不添加服务分配,也不发送激活电子邮件。 如果电子邮件未被抑制,新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。
| 1个 |
从 https://admin.webex.com 中的客户视图,转至,单击管理用户,选择修改所有同步用户,然后单击下一步。 |
| 2个 |
选择一个选项: |
下一步该做什么
-
如果电子邮件没有被抑制,将向每个用户发送电子邮件,并邀请其加入和下载Webex。
-
如果您为所有用户选择了相同的Webex服务,那么您可以单独或批量更改分配的许可证。
目录连接器的已知问题
-
2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。 此问题已在 2012 R2 和 2016版本中得到解决。
-
对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序将在执行同步后的72小时内反映更改。
您可以按照以下说明尝试清除Webex应用程序的本地缓存: Windows 或 Mac。
-
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间,此时呼叫将无限响起。
管理Webex应用程序用户
运行增量同步
增量同步会查询 Active Directory,查找自上次同步以来发生的更改。然后,此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。
此同步不会给服务器带来那么多的负载,也不需要像完全同步那样多的时间。完成初始完整同步后,我们建议为后续同步使用增量选项。
开始之前
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板 。
-
注意不支持增量同步的以下异常(请遵循将Active Directory用户完全同步到云中 ):
-
如果更新了头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
-
对于属性映射、基本DN、过滤器和头像设置的新配置更改,增量同步无法工作,需要完全同步。
-
| 1 |
从 Directory Connector 中,单击控制板。 启用同步时,Directory Connector 将要求您首先执行测试。 |
| 2 |
从操作中,如果尚未启用,单击同步模式>启用同步 。 默认情况下,增量同步设置为每30分钟(3.4及更早版本)或每4小时(3.5及更高版本)进行,但您可以更改此值。在您最初执行完全同步之前,增量同步不会发生。当新的增量时间间隔出现时,程序会根据最后一个时间标识检查更改。 |
| 3 |
从操作中,单击立即同步 > 增量。 对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序将在执行同步后的72小时内反映更改。
|
| 4 |
有关错误的信息,单击操作 工具栏中的启动事件查看器 可查看错误日志。 |
下一步
如果您有多个域,请在已安装的其他目录连接器实例上执行此步骤。
恢复意外删除的用户
Directory Connector具有制衡功能,以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器,这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复,并在Control Hub中重新建立用户帐户。
默认情况下,此功能对所有组织都启用。例如,在云中删除用户时,由于从Directory Connector同步后出现不匹配的对象问题,用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除,如果您快速采取行动,您可能能够恢复它们。
当在Active Directory中删除相应帐户时,用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间,您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。
在Active Directory中禁用的用户在Control Hub中标记为Inactive,但用户帐户在7天后不会删除。
| 1 | |
| 2 |
转至用户 并确认特定用户帐户是否处于非活动状态或未列出。 有关详细信息,请参阅控制中心中的用户状态和操作。 |
| 3 |
如果在Control Hub中删除用户,或者您注意到用户处于非活动状态,请转至Active Directory,添加缺失的用户帐户,然后在Directory Connector中执行干运行同步。 使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。 |
| 4 |
执行完全同步,将暂时删除的用户帐户重新同步至Control Hub。 用户被恢复并转至原始状态,包括其帐户状态和服务分配。 |
下一步
返回Control Hub,转至,并确认先前删除的用户帐户出现在用户列表中。
在软删除后永久删除用户
执行干运行后,您可以选择永久删除下次同步时被软删除的用户。
| 1 |
干运行完成后,选择软删除对象。 |
| 2 |
选中要删除的用户旁边的复选框。 |
| 3 |
选择完成。 |
下一步
下次同步时,已检查的用户将被永久删除。
更改Webex应用程序电子邮件地址
如果您想更改用户电子邮件地址,并且您的组织使用Directory Connector,请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。
如果您只想更改一个用户的电子邮件或某个值,请勿从Active Directory中删除该用户,然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户,用户空间和云中的其他数据将丢失。
目录连接器不限制电子邮件域更改。但是,当用户重新同步到云时,用户状态取决于您的组织中是否验证新域。如果组织中未验证域,则在完全同步后,用户的状态将更改为“待定”。有关更多信息,请参阅管理您的域。
如果您的组织不使用Directory Connector,您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址 ,了解用户可以遵循的步骤来更改电子邮件。
更改 Active Directory 域
您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。
| 1 |
设置新的 Active Directory (AD) 域。 |
| 2 |
禁用所有连接器上的同步。 |
| 3 |
卸载所有连接器。 |
| 4 |
在案例提交中,请确保请求删除组织中的域配置和所有同步属性。 在打开案例以更改域之前,请确保未运行同步功能。在案例解决之前,不要更改Active Directory中的任何用户电子邮件地址。 |
| 5 |
解决案例后: 在进行实际同步之前,使用Directory Connector执行测试运行。 |
域声明
如果您为某个组织申请电子邮件域名,从而在付费客户组织中创建任何旁边的帐户,而不是免费消费者组织中,则会出现域索偿。您只能通过支持案例进行域申索(有关更多信息,请参阅下面的链接)。
如果Directory Connector处于活动状态并且该域已声明,则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户,受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。
在目录同步组织中转换免费的Webex应用程序用户
您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序,则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户,请在打开Directory Connector之前将其迁移(转换)到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。
如果您未在激活前转换帐户,请关闭 Directory Connector 以对帐户进行转换。
如果启用目录同步时尝试转换用户,将显示错误消息 无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。
一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中,而不是不匹配对象。如果要将这些用户迁移到您的组织,则需要将这些用户添加到您的AD列表。
如果您未添加这些用户,它们将在您旁边同步到云时全部删除。
| 1 |
从 Directory Connector 中禁用目录同步功能。 |
| 2 |
按照在Control Hub中转换无许可用户 程序将用户从免费消费组织转换为企业组织。 此步骤将用户添加到您的组织,帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源,目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前,确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。 |
| 3 |
在Directory Connector上,执行干运行同步。测试完成后,查看“添加对象”标签页。验证是否未删除您已转换的任何用户。 您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中,则Directory Connector将区分大小写,并删除其检测到电子邮件地址不匹配的转换用户(例如,user1@example.com和User1@example.com)。 如果已删除任何转换的用户,他们将失去所有Webex应用程序空间。 |
| 4 |
如果您确定下一次同步将不会删除任何帐户,请从 Directory Connector 重新启用目录同步。 |
如果您没有验证域,转换的用户帐户不会自动激活。例如,如果您打开自动分配许可证模板,然后在没有域验证的情况下打开Directory Connector,转换后的用户将在云后端处于非活动状态,直到他们确认其电子邮件地址。
侧边的Webex应用程序用户帐户
当您邀请其他用户到Webex应用程序中的空间时,如果受邀用户没有Webex应用程序帐户,则为他们创建帐户(“侧面”)。缺省情况下,以此方式创建的帐户将添加至自由消费者组织中。
如果要使用Directory Connector管理侧栏帐户,则必须转换帐户。
目录同步后更改Webex应用程序用户名格式
默认情况下,Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。
执行目录同步后,您可能会发现该用户名以格式显示。
如果Active Directory中的 displayName 属性以这种方式配置,此用户名可能会出现。当属性映射到云中的 displayName 时,名称会在Control Hub中以格式显示。
若要更改格式,请在 Directory Connector 属性映射屏幕中进行如下操作:将Active Directory属性 givenName sn (或 sn givenName)映射到Cisco云属性名称中的 displayName 。
或者,将属性 sn givenName 映射到 displayName:
如果您想将自己的自定义属性表达式映射到 displayName,也可以使用“自定义属性”选项。
例如,输入givenName + "" + sn (名字、空间、姓氏)作为表达式。将Active Directory中的两个属性映射到云中displayName 。
允许用户在Webex Meetings中更改显示名称
如果您想允许用户编辑首选的显示名称,您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称,而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。
| 1 |
从Directory Connector,单击配置,然后选择用户属性映射。 |
| 2 |
在 Cisco云属性名称 下选择显示名称。 |
| 3 |
选择不同步此属性。 |
下一步
用户现在可以从Webex站点编辑显示名称。
Directory Connector 故障诊断
升级到最新软件版本
要保持部署合规并获取最新功能、功能、错误修复和安全增强功能,您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本,则可能会遇到问题,例如Directory Connector不再正常同步,或者处于不支持强制性 TLS 1.2要求的版本上。
Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。
虽然您可以手动安装连接器软件更新更新,但我们建议您遵循设置自动升级 中的步骤,让应用程序自动管理升级。
| 1 |
单击Windows任务栏中的通知,或右击Windows任务栏中的Directory Connector图标,开始升级过程。 |
| 2 |
按说明完成升级操作。 |
| 3 |
重新启动连接器并使用管理员凭据登录。 |
| 4 |
在下验证软件的版本号。 |
下一步
要重新安装Directory Connector,您可以 下载zip文件 ,然后按照本指南中的安装步骤操作。
配置 Directory Connector 的常规设置
使用此程序配置常规设置,例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中,其中还包含正在运行的任何其他连接器。
| 1 |
从Directory Connector转至配置,然后单击常规。 |
| 2 |
在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。 |
| 3 |
从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括:
这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误,则仅在同步报告中报告错误;如果不存在错误,则不会发送同步报告。将设置更改为Info,然后在完全同步后收到同步报告。(请记住,对于增量同步,没有报告错误时不会发送报告。) |
| 4 |
选择首选域控制器以设置域控制器同步身份的顺序。 将按照从上到下的顺序访问域控制器。如果顶级控制器不可用,则选择列表中的第二个控制器。如果列表中没有控制器,您可以访问主控制器。 |
| 5 |
如果要进行自动升级,请检查自动升级到新的Cisco Directory Connector版本 。 将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置,允许在软件可用时安静地安装自动升级到软件。 |
| 6 |
检查 通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。 如果您未通过 SSL检查LDAP,则Directory Connector将继续使用LDAP连接协议。 LDAP(轻量级目录应用程序协议)和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。 |
配置连接器策略
您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。
例如,将 1 设置为删除阈值触发值。在执行完全或增量同步时,如果您要删除的用户数大于该设置,Directory Connector 会显示警告。如果您单击忽略阈值,可以成功开始完全或增量同步,但是在您下次运行该策略时将再次看到此忽略提示。
| 1 |
从Directory Connector,单击配置,然后选择策略。 |
| 2 |
如需添加阈值触发器,请勾选“启用删除阈值触发器”复选框。 选择该选项后,删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时,同步失败。
|
| 3 |
输入您要设置的最大删除次数。缺省值为 20。 我们建议您不要增大该缺省值。 |
| 4 |
单击应用。 |
设置连接器的安排
在Active Directory中设置同步定时。为了实现高可用性 (HA),使用了故障转移。如果有一个连接器宕机,我们会在预定义的间隔过后,切换到另一个待机连接器。
| 1 |
从Directory Connector,单击配置,然后选择计划。 |
| 2 |
以分钟为单位指定增量同步间隔。 缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。 |
| 3 |
如果您希望更改发送报告的频率,请更改发送报告间隔时间值。 |
| 4 |
勾选启用完全同步计划以指定想要执行完全同步的日期和时间。 |
| 5 |
以分钟为单位指定故障转移间隔。 |
| 6 |
单击应用。 |
多域情境
多个域基于域优先级。对于在不同域具有相同键值的对象,在同步后,来自高优先级域的数据将覆盖来自低优先级域的数据。
具有相同键值的对象会链接到数据库中的同一条记录。
“用户”的键值是电子邮件地址;“组”的键值是组名。
多域使用示例
此示例假设某组织有两个域 - example1.com 和 example2.com,前者优先级高于后者。
-
添加 user1(电子邮件:user@example1.com)到 example1.com 的 Active Directory。
-
添加 group1(组名:Test)到 example1.com 的 Active Directory。
-
添加 user2(电子邮件:user@example2.com)到 example2.com 的 Active Directory。
-
添加 group2(组名:Test)到 example2.com 的 Active Directory。
- 在 example1.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 https://admin.webex.com 中,而 user1 和 group1 没有。
如果您为 example1.com 执行全面或增量同步,user1 和 group1 会同步。而且,user2 和 group2 会被 user1 和 group1 的信息覆盖。
User1 作为数据库中的相同记录链接到 user2;group1 作为数据库中的相同记录链接到 group2。
- 在 example1.com 和 example2.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 https://admin.webex.com 中,而 user1 和 group1 没有。
请考虑这些步骤:
- 在 example1.com 的 Active Directory 上删除 user1 和 group1。
- 为 example1.com 执行全面或增量同步。
结果:在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1,而 group2 没有链接到 group1。
- 为 example2.com 执行增量同步。
结果:在 https://admin.webex.com 中用户信息无变化。
- 为 example2.com 执行全面同步。
结果:user2 和 group2 的信息在 https://admin.webex.com 中列出。
同步新的域并保留现有域
如果要同步新的域 (B),同时还要保留其他现有域 (A) 上的已同步用户数据,请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后,该连接器会与新的域绑定,而域 (A) 下的用户信息不受影响。
每个域必须自带有效的连接器。请考虑采用以下设置的两个域:带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA);带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中,一个连接器处于活动状态,另一个处于待机状态 (HA)。该设计可保持域同步,因为有一个连接器始终处于活动状态。也就是说,cb1 是域 B 处于活动状态的连接器,因为域 A 已有处于活动状态的连接器(ca1 或 ca2)。
设置域优先级
使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域,等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织,此设置会很有帮助。
如果在 Directory Connector 中只列出了一个域,则不要使用此过程。如果您尝试进行此配置,连接器会显示一条消息,说明不需要域优先级。
开始之前
要避免错误,请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。
| 1 |
从Cisco目录连接器,单击仪表板。 |
| 2 |
转至操作,然后单击设置域优先级。 |
| 3 |
高亮显示列表中的一个域,单击向上或向下更改此域的优先级,然后单击保存保存更改。 各个域会按优先级自上而下排序。 |
切换域
使用此程序将Cisco目录连接器重新绑定到另一个域。
开始之前
-
在切换域之前,确保没有同步任务在运行。
-
要避免错误,请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。
| 1 |
从Cisco目录连接器,单击仪表板。 |
| 2 |
转至操作,然后单击切换域。 |
| 3 |
阅读警告后,如果您理解此更改对部署的影响,而且您仍然确定要更改,请单击是。 如果您切换域,则您将从当前Cisco目录连接器中注销,连接器中的其他域未注册,并且删除该计算机上的连接器信息。 |
| 4 |
重新登录Cisco目录连接器并重新绑定域。 |
关闭目录同步
如果您需要停止从Directory Connector进行同步,可以从Control Hub暂时将其关闭。
| 1 |
从https://admin.webex.com中的客户视图,转至,滚动至目录同步,然后选择一个:
|
| 2 |
阅读提示之后,单击关闭。 同步停止,直到从Directory Connector重新启用它。 |
删除用户属性映射
使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后,属性值将从云中删除,不再与Webex同步。然后可以手动编辑这些值。
| 1 |
从 Directory Connector 中,单击控制板。 |
| 2 |
转至操作,然后单击。 |
| 3 |
选择映射以从属性名称 列表中删除。 |
| 4 |
在受影响的用户范围下,选择以下其中一项:
|
| 5 |
单击应用。 |
管理档案照片
使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。
| 1 |
从 Directory Connector 中,单击控制板。 |
| 2 |
转至操作,然后单击。 |
| 3 |
在操作下,选择以下其中一项:
|
| 4 |
单击 Apply(应用)。 |
卸载并停用目录连接器
卸载 Directory Connector 实例后,必须取消注册它。如果面临以下任何情况,都应该彻底删除 Directory Connector:
-
您不想再使用目录同步。
-
您不想使用多个 Directory Connector(高可用性)中的某一个。
-
您想要更改域并安装其他连接器。
开始之前
-
您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例,请禁用同步。
-
卸载Directory Connector之前,保存并关闭任何重要工作。
| 1 |
在您的 Windows 计算机上,转至“控制面板”,然后单击程序和功能。 |
| 2 |
从程序列表中,单击目录连接器,选择卸载,然后按照提示操作。 您可能需要重启系统来完成卸载。 |
| 3 |
从https://admin.webex.com中的客户视图,转至,滚动至目录同步,单击更多 |
| 4 |
阅读提示之后,单击停用。 用户帐户将不会再同步,除非在高可用性 (HA) 部署中还有其他 Directory Connector。 |
运行诊断工具
您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。
如果同步工作不正确,您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接,因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误,您可以发送详细的日志结果以支持。
-
要为Active Directory域服务运行测试:
-
要运行Active Directory轻量级目录服务的测试:
-
要运行轻量级目录访问协议(LDAP)的测试:
解决Ciso Directory Connector中的问题
目录连接器的故障排除和修复
您可能在Directory Connector中遇到错误消息或其他问题。此外,在Directory Connector同步用户信息后,该连接器可能会向您发送一封电子邮件报告,列出同步存在的任何问题。在联系支持人员之前,请参考以下章节,了解可能出现的问题、可能的原因和建议解决方案。
安装
Directory Connector 停止运行
您收到警告电子邮件,通知您您的Directory Connector无法工作。
-
目录连接器可能未正确安装。
-
目录连接器可能未运行。
-
网络可能不可用。
请尝试以下操作:
-
打开。找到 Directory Connector。如果没有,请从Control Hub下载最新版本并安装。
-
打开服务 并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止,请单击右键并选择“启动”以重启该服务。
-
确保安装Directory Connector的服务器能够访问Internet。
重新安装错误
问题—如果您在卸载旧连接器后立即安装新连接器,可能会看到错误消息。
可能原因—在Windows Server 2012中,卸载客户端需要时间从服务列表中删除服务帐户。
解决方案—经过一段时间后,请再次尝试安装。
登录
SSO登录期间目录连接器崩溃
问题
从SSO登录页输入电子邮件地址后,目录连接器可能会崩溃。
解决方案
请尝试以下操作:
执行以下步骤以配置新的组策略:
-
转至域控制器并打开组策略管理(gpedit.msc)。
-
右键单击特定的OU或域,然后选择在此域中创建GPO,并在此处链接它……
-
给该策略命名,然后右键单击并选择编辑。
执行以下步骤以更改机器级别的策略:
-
转至,右键单击注册表,选择新建,然后选择注册表项。
-
对于关键路径,输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
-
为
值输入禁用脚本调试器,为值数据输入否。设置应匹配此屏幕截图:
请执行以下步骤以在用户级别更改策略:
-
转至,右键单击注册表,选择新建,然后选择注册表项。
-
对于关键路径,输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
-
为
值输入禁用脚本调试器,为值数据输入否。设置应匹配此屏幕截图:
在运行 gpupdate /force、重新启动机器(用于机器更改)或再次输入用户符号(用于用户更改)后,更改将生效。
无法注册Cisco DirSync服务连接器
问题
登录失败,并显示此消息:“无法注册Cisco DirSync服务连接器。”
解决方案
安装Directory Connector的Windows系统必须是Active Directory的成员。
未显示登录页面
问题
您打开目录连接器,登录页未显示。
解决方案
请尝试以下步骤:
-
在Internet Explorer中,转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器(如Chrome和Firefox)中尝试该链接。
-
如果Internet Explorer无法访问该链接,但其他浏览器可以,请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。(使用启用Internet Explorer中的TLS 程序。)
显示登录提示
问题
出现提示提示您输入用户名和密码以通过身份验证。
可能原因
Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败,会弹出对话框以请求身份验证用户名和密码。
解决方案
当您看到登录弹出窗口时,您需要提供具有正确身份验证的有效帐户,以保证传递安全。
无法连接远程服务器
无法注册连接器
问题
您将看到错误消息“无法注册连接器。发生了一般例外。”
可能原因
在大多数情况下,问题在于Directory Connector没有连接到LDAP根上下文的特权。
解决方案
请尝试以下操作:
-
运行命令提示符(cmd),然后输入 ldp.exe。
-
单击,选择绑定为当前登录用户,然后单击确定。
-
单击,输入DC=arbonneintl,DC=ad 作为BaseDN,然后单击确定。
-
如果问题继续,打开支持案例。
同步
头像未同步
问题
Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。
可能原因
如果您重复使用现有的头像服务器,并且用户头像已经同步,则本地缓存将捕获它们,并避免再次重订以保存带宽。
解决方案
按照以下步骤删除本地缓存:
-
转至C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
删除DirSyncPluginAvatar.dll-cache.bin。
-
从Cisco目录连接器重新启动头像同步。
用户电子邮件帐户冲突
问题
同步结果可能会显示有冲突的用户电子邮件帐户。
-
如果用户尝试了Webex应用程序的免费版本,他们的电子邮件地址将位于免费消费者组织中。
-
如果用户电子邮件在另一个组织中已同步。
-
如果用户电子邮件存在于属于组织的多个域中。
解决方案
请尝试以下操作:
-
如果您要向用户索要权,请按照以下步骤操作:
-
确保您已在 Control Hub中验证该域。
-
暂时禁用Cisco目录连接器。
-
使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关详细信息,请参阅向您的组织索要用户(转换用户) 。
-
在Cisco Directory Connector中运行干燥,然后重新启用目录同步
-
-
对于最后一个案例,请复选您的Active Directory源中的用户数据。
已转换用户标记为非活动
问题
在您的目录同步环境中,您将免费(消费者组织)用户转换为企业组织,但转换用户无法登录Webex应用程序。
可能原因
当自由用户转换为企业组织时,该用户将被标记为非活动状态为30天,作为安全合规措施。在此期间内,用户无法登录Webex应用程序,并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。
解决方案
如果您不想删除该用户帐户,必须采取行动。要解决此问题,请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后,从Cisco Directory连接器执行同步。然后,用户可以再次登录Webex应用程序,帐户不会被删除。
增量同步失败
问题
增量同步失败。
在以下条件下可能会在Windows Server 2008 R2上出现此问题:
-
您支持增量值更新。
-
您使用的筛选器引用链接值属性。
-
该属性的结果值自上次进行完全同步以来已更新。
解决方案
Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。
属性的值无效
问题
对于 [user dn (distinguished name)],属性 [attribute name] 有以下无效值 [attribute value]。
可能原因
对于CN=b,OU=Employees,OU=C Users,DC=c,DC=com,属性[电话号码]具有以下无效值:+。此属性必须包含至少一个数字。
解决方案
此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。
要删除匹配的用户
问题
匹配的用户将被标记为要删除。
当执行干运行同步以检查Active Directory和云之间的数据时,您可能会在两者中看到相同的电子邮件地址。但是,用户被标记为要删除的对象。
解决方案
选择适当的修复:
-
如果可以在之后删除用户并重新执行许可证,您可以使用Directory Connector进行修复。执行同步以删除用户,然后执行其他同步以将用户从本地AD同步到云。
-
如果您无法删除并重新创建用户帐户,请在支持下打开案例。
缺少属性
问题
添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值,否则不会在Control Hub中创建该条目。
可能原因
必需属性的 email address 缺失。添加内部条目时[CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local],除非所有必需属性都具有值,否则不会在Control Hub中创建条目。
解决方案
用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。
嵌套组无法同步
问题
嵌套的Active Directory组中的用户未正确与云同步。
可能原因
使用不受支持的子组和父组的筛选器。例如:(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
解决方案
必须重新配置同步组的过滤器。例如:|(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
用户命名冲突
问题
对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言,[用户电子邮件地址],以及用户类型[user_type]。
可能原因
已在Control Hub中存在该电子邮件地址的用户。
解决方案
在Active Directory中创建用户,其电子邮件地址与您通过Control Hub注册的帐户相同。
Control Hub
Control Hub中缺少用户列表
问题
如果您拥有超过1000名同步用户的Webex组织,则可能无法在Control Hub中看到用户列表。
解决方案
您可以使用搜索功能查找用户帐户。在Control Hub中,转至用户,单击搜索,然后输入搜索条件以查找特定用户。
组不会同步到Control Hub
问题
目录组中的用户无法正确同步到Control Hub。
可能原因
在Active Directory中,该组未标记为 isCriticalSystemObject 。
解决方案
确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。
启用 Directory Connector 故障诊断
您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息,并将其保存至文件。
以下日志文件: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
运行 |
| 2 |
重启服务。 请参阅如何启动服务获取指导。 |
| 3 |
在目录连接器中,单击仪表板。 |
| 4 |
转至操作,然后单击。 |
| 5 |
启用故障诊断后,重复执行导致错误的操作,这样将捕获流量数据,以便进行检查。 |
| 6 |
检查日志文件:如果文件空白,请确保帐户有权访问 AD DS 或 AD LDS。 日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。 |
| 7 |
如有必要,向支持人员发送日志文件以获取协助。 |
| 8 |
诊断完成后,请禁用故障诊断功能。 |
启动事件查看器
若要查看完全或增量同步期间发生的事件,请启动“事件查看器”。它显示管理事件和错误日志的摘要。
| 1 |
从Directory Connector转至仪表板,然后单击。 “事件属性”对话将显示同步事件详细信息与错误详细信息。 |
| 2 |
从事件查看器,转至。
|
| 3 |
在操作下,单击保存所有事件为 将所有日志导出为单个事件文件(*。evtx)或其他格式(如xml或csv)。 |
下一步
如果您需要打开案例,请联系支持人员,描述连接器的问题,然后将“事件”文件附加到案例中。
事件日志会捕捉用户操作。如需管理网络流量的帮助,请在连接器上启用故障排除。
在Internet Explorer中启用TLS
如果您切换了单点登录(SSO)提供商,您可能会看到来自Cisco目录连接器的以下错误消息:
-
登录到服务时出错
-
此页脚本中出现错误
如果您看到这些错误,必须在浏览器中启用TLS设置。
| 1 |
打开Internet Explorer,然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器,然后再次打开它 |
| 2 |
单击互联网选项 ,转至高级 ,滚动至安全。 |
| 3 |
检查使用TLS 1.1 和使用TLS 1.2 复选框,然后单击确定。
|
| 4 |
重新启动系统以便更改生效。 |
服务帐户登录问题故障诊断
如果您无法登录Cisco目录连接器或无法运行同步,请在联系支持人员之前尝试解决该问题。
| 1 |
尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。 |
| 2 |
根据结果选择一项:
|
| 3 |
至少,确保Cisco DirSync服务(可在Windows服务中找到)配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下,该服务利用Windows登录帐户凭据和身份验证。 |
在Windows注册表中检查SafeDllSearchMode
默认情况下,安全动态链接库(DLL)搜索模式在Windows注册表中设置,然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用,攻击者可以将恶意DLL(与位于系统文件夹中的引用的DLL文件名称相同)放置到应用程序的当前工作目录中。
通常,SafeDllSearchMode已启用,但使用此步骤来复选注册表设置。
开始之前
对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。
| 1 |
在Windows搜索或运行窗口中,键入regedit ,然后按Enter。 |
| 2 |
转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。 |
| 3 |
选择一种:
|
有关详细信息,请参阅动态链接库搜索顺序。
Cisco Directory连接器概述
目录连接器概述
Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件,并将其安装到本地计算机上。
使用Directory Connector,您可以在Active Directory中维护您的用户帐户和数据,因此Active Directory成为唯一的真相来源。当您在内部进行更改时,它会复制到云。
请参阅表中所有的功能、描述和优势:
| 功能 | 描述和优势 |
|---|---|
| 简单易用的控制板 | 该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。 |
| 在同步到云之前进行干燥 | 在云中实施这些更改之前,先对目录进行干燥。之后,运行报告以查看要执行的变更是否与预期一致。 |
| 完全同步和增量同步 | 同步整个目录。或者,仅同步增量变更,从而提高处理能力并缩短同步时间。 |
|
同步多个域(单森林或多森林) |
Directory Connector支持单个森林或多个森林下的多个域(无需使用AD LDS)。对于拥有多个Active Directory域的企业,您可以为每个域安装Directory Connector,将每个域绑定到您的组织,然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态,允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。 |
| 按计划同步 | 按天、小时和分钟设置同步安排。 |
| 轻量级目录访问协议 (LDAP) 过滤器 | 定义 LDAP 搜索条件并实现高效的导入。 |
| 活动目录属性映射 | 将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性,并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据,例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据(职务、部门、经理等)。 |
|
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录 |
如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务,或者您拥有内部Room设备,此功能可让用户从Cisco Webex Calling(云PSTN)电话或Room资源搜索企业联系人目录。
|
| 事件查看器 | 使用事件查看器可确定是否存在同步问题。 |
| 诊断工具和故障排除 | 您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确,您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接,以便在联系支持人员之前自行诊断错误。 在Directory Connector中启用故障排除后,将编写日志,可发送给技术支持。 |
| 自动升级 | 安装 Directory Connector 后,您会在软件有新版本时收到通知。您可以设置自动升级,以便在发布新版本时始终使用最新版本的软件。 |
| 高可用性 | 配置多个连接器,以便在主连接器或机器主机出现宕机情况时提供备用。 |
Directory Connector 分为以下三个部分:
-
Control Hub 是一个单一界面,可让您管理Webex组织的所有方面:如果您希望用户通过企业身份提供商进行身份验证,并且不想为Webex应用程序发送电子邮件邀请,则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
-
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域,您可以为要同步的每个域安装一个软件实例。使用该软件,您可以运行同步以将Active Directory用户帐户带入Webex,查看和监控同步状态,并配置Directory Connector服务。
-
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。
请参考此图了解Directory Connector架构:
为Directory Connector准备您的环境
目录连接器的要求
Windows和Active Directory要求
您可以在这些受支持的Windows服务器上安装Directory Connector:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
要解决Cookie问题,我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。
以下的Active Directory服务支持Directory Connector:
-
2016年活动目录
(在Windows Server 2019上使用最新版本的Active Directory时,支持目录连接器)
-
活动目录2012
-
活动目录2008 R2
-
活动目录2008
请注意以下附加要求:
-
目录连接器需要TLS1.2。您必须安装以下内容:
-
.NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题,请使用 使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
-
.NET Framework v.4.5(TLS1.2必需)
-
-
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。(请参阅什么是 Active Directory 功能级别?获取更多信息。)
硬件要求
您必须在符合以下最低硬件要求的计算机上安装Directory Connector:
-
8 GB RAM
-
50 GB 存储
-
CPU 没有最低要求
网络要求
如果您的网络是防火墙的幕后,请确保您的系统有HTTPS(端口443)访问互联网。
Webex组织要求
-
要从Control Hub访问Directory Connector软件,您需要试用Webex组织或任何付费订阅。
-
(可选)如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态,我们建议您执行以下操作:
-
将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成 。
-
抑制自动电子邮件邀请,这样新用户就不会收到自动电子邮件邀请,您可以进行自己的电子邮件活动。(此功能需要SSO集成。)
有关详细信息,请参阅控制中心中的用户状态和操作。
安装要求
-
对于多个域环境(单森林或多森林),必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B),同时还要保留其他现有域 (A) 上的已同步用户数据,请确保您有受支持的独立 Windows Server 来安装 Directory Connector,以进行域 (B) 同步。
-
要登录连接器,我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。
此本地用户必须拥有该Windows计算机上的权限,才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。(此信息也适用于虚拟机登录。)
-
登录连接器时,登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下,连接器使用本地系统帐户访问Active Directory。但是,您可以使用Windows服务配置其他帐户以访问Active Directory。(此信息也适用于虚拟机登录。)
-
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用:在Windows注册表中检查SafeDllSearchMode。
-
如果您在单个森林上使用多个AD LDS域,我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。
多个域要求
在 Cisco目录连接器部署任务流中跟踪任务之前,如果您要将多个域的Active Directory信息同步到云中,请记住以下要求和建议:
-
每个域需要单独的Directory Connector实例。
-
Directory Connector软件必须运行在其将同步的同一域上的主机。
-
我们建议您在Control Hub中验证或声明您的域。(参见添加、验证和申请域。)
-
如果要同步超过50个域,您必须打开标签 才能让您的组织移动到大型组织列表。
-
如果需要,您可以与用户帐户同步房间资源信息。(请参阅将内部会议室信息同步到Webex云。)
自动许可证分配活动目录组建议
Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。
Active Directory中有两种类型的组:
-
分发组—用于创建电子邮件分发列表。
-
安全组-用于分配共享资源的权限。
在Active Directory中创建组时,请考虑以下指导原则:
-
为每个角色、部门或服务创建全球组(例如销售、营销、经理、会计师、Webex授权等)。
-
在整个组织中使用标准命名规范,以便轻松识别有关组的重要信息。组名称可以包含组的详细信息,例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如,组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
-
以易于理解的方式组织群组,例如按地域或管理层次。使用组描述来完整描述组的目的。
-
在将用户添加到新配置的组之前,请为这些组在Control Hub中定义自动许可证组模板。有关详细信息,请参阅设置自动许可证分配模板 。
调整尺寸信息
Directory Connector是本地Active Directory和Webex云之间的桥梁。因此,连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定,而不是连接器本身。
一些因素会影响同步的速度:
-
Active Directory对象的总数。(5,000个用户同步工作所需的时间不超过50,000。)
-
网络速度和带宽。
-
系统工作负载和规格。
如果您正在同步超过50,000个用户,我们强烈建议您使用第二个连接器进行故障转移和冗余。
由于同步涉及多个因素,并且每个部署取决于上述因素,因此我们无法提供对象同步所需时间的特定时间值。
在Windows注册表中检查SafeDllSearchMode
默认情况下,安全动态链接库(DLL)搜索模式在Windows注册表中设置,然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用,攻击者可以将恶意DLL(与位于系统文件夹中的引用的DLL文件名称相同)放置到应用程序的当前工作目录中。
通常,SafeDllSearchMode已启用,但使用此步骤来复选注册表设置。
开始之前
对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。
| 1 |
在Windows搜索或运行窗口中,键入regedit ,然后按Enter。 |
| 2 |
转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。 |
| 3 |
选择一种:
|
有关详细信息,请参阅动态链接库搜索顺序。
WebEx 代理集成
WebEx 代理集成
如果您的环境中已启用 Web 代理验证,则您仍然可用使用 Directory Connector。
如果您的组织使用透明Web代理,则不支持身份验证。连接器已成功连接和同步用户。
您可以选择下列方法之一:
-
通过Internet Explorer显式Web代理(连接器继承了Web代理设置)
-
通过。pac文件显式网络代理(连接器继承企业特定的代理设置)
-
与连接器配合的透明代理,无需任何更改
通过浏览器使用 Web 代理
您可以通过Internet Explorer设置Directory Connector以使用Web代理。
如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行,那么您还需要用此帐户登录并配置 Web 代理。
| 1 |
在 Internet Explorer 中,转至 Internet 选项,单击连接,然后选择局域网 (LAN) 设置。 |
| 2 |
指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。 |
| 3 |
如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在整个站点范围内执行此操作(针对所有主持人),也可以仅针对具有连接器的主持人。 如果您将这些URL添加到允许列表以完全绕过您的WEB代理,请确保防火墙ACL表已更新,以允许连接器主持人直接访问URL。 |
| 4 |
如果您的环境需要从证书颁发机构请求证书撤销列表,请将这些URL添加到您的允许列表:
有关详细信息,请参阅本文关于Webex Services需要访问的域和URL。 |
通过 PAC 文件配置 Web 代理
您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。
| 1 |
要使连接器成功连接并同步用户信息到Webex云,请确保安装连接器的主机。pac文件配置中已禁用 |
| 2 |
如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在整个站点范围内执行此操作(针对所有主持人),也可以仅针对具有连接器的主持人。 如果您将这些URL添加到允许列表以完全绕过您的WEB代理,请确保防火墙ACL表已更新,以允许连接器主持人直接访问URL。 |
| 3 |
如果您的环境需要从证书颁发机构请求证书撤销列表,请将这些URL添加到您的允许列表:
有关详细信息,请参阅本文关于Webex Services需要访问的域和URL。 |
NTLM代理
Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证,并确保其安全。
NTLM设计
在大多数情况下,用户希望通过客户端PC访问其他工作站资源,这很难以安全的方式进行。
一般来说,NTLM的技术设计基于挑战
和响应
机制:
-
用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同,密码的哈希值在本地存储。当用户通过密码登录客户端时,Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同,则验证将通过。
当用户想要访问其他服务器中的任何资源时,客户端会向服务器发送一个请求,帐户名称为纯文本。
-
当服务器收到请求时,服务器会生成16位随机密钥。关键称为Challenge(或Nonce)。在服务器返回客户端之前,挑战将存储在服务器中。然后,服务器将挑战以纯文本形式发送给客户端。
-
客户端收到服务器发送的挑战后,客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后,该值将返回到服务器。
-
当服务器从客户端收到加密值时,服务器将其发送到域控制器进行验证。请求包括:帐户名称、客户端发送的加密挑战,以及原始的简单挑战。
-
域控制器可以根据帐户名称检索密码的哈希值。然后,域控制器可以对原始挑战进行加密。然后,域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同,验证将成功。
Windows在操作系统中内置了安全验证,使应用程序更容易支持安全验证。因此,您无需完成进一步的配置。
配置透明代理
在这种情境下,浏览器不会知道透明 Web 代理正在拦截 http 请求(端口 80/端口 443),因此不需要客户端配置。
| 1 |
部署透明代理,以便连接器可以连接和同步用户。 |
| 2 |
确认代理已成功—启动连接器时,您会看到预期的浏览器身份验证弹出窗口。 |
设置代理身份验证
通过创建访问控制列表,将URL cloudconnector.webex.com 添加到允许列表中。
在企业防火墙服务器上:
| 1 |
如果尚未启用 DNS 查找,请启用。 |
| 2 |
确定此连接的估计带宽(连接器约为2 mb/s或以下)。这不是必须执行的步骤。 |
| 3 |
创建访问控制列表以应用于连接器主机,并指定 例如: access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https |
| 4 |
将此ACL应用于相应的防火墙接口,该接口仅适用于此单个连接器主持人。 |
| 5 |
通过配置相应的隐式拒绝声明,确保企业中的其他主机仍需使用 Web 代理。 |
部署目录连接器
Cisco目录连接器部署任务流程
| 1个 |
Control Hub最初将目录同步显示为禁用状态。 要为组织打开目录同步,必须安装和配置Directory Connector,然后成功执行完整同步。 要重新安装Directory Connector,请始终转至Control Hub (https://admin.webex.com)获取软件的最新版本,以便您使用最新的功能和故障修复。 安装软件后,将通过软件报告升级,并在可用时自动安装。 |
| 2个 |
使用您的Webex管理员凭据登录,并执行初始设置。 |
| 3个 |
将Directory Connector软件更新到最新版本始终非常重要。 我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。 |
| 4个 |
默认情况下,Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。 要对哪些对象进行同步的更多控制,您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。 |
| 5个 |
您可以将本地Active Directory中的属性映射到云中的相应属性。 唯一必填字段是*uid。 |
| 6个 |
使用以下程序之一同步目录头像: 您可以将用户的头像同步到云,以便每个用户登录应用程序时显示他们的头像。 您可以从Active Directory属性或资源服务器同步化头像。 |
| 7 |
使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的房间设备(例如Webex Room设备或Cisco Webex Board)上的可搜索条目 |
| 8个 |
要从Active Directory向Control Hub提供用户,请执行以下步骤: 按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。 在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 目标是在Active Directory和Webex云之间实现精确匹配。 |
安装目录连接器
Control Hub最初将目录同步显示为禁用状态。 要为组织打开目录同步,必须安装和配置Directory Connector,然后成功执行完整同步。
您必须为要同步的每个Active Directory域安装一个连接器。 单个目录连接器实例只能服务单个域。 请参阅下图了解多个域同步的流程:
开始之前
如果您通过代理服务器进行身份验证,请确保您拥有代理凭据:
-
对于代理基本身份验证,安装连接器的实例后,您将输入用户名和密码。 基本身份验证也需要Internet Explorer代理配置;请参阅通过浏览器使用Web代理
-
对于代理NTLM,第一次打开连接器时可能会看到错误。 请参阅通过浏览器使用Web代理。
| 1个 |
在控制中心中,转至,然后选择下一步。 |
| 2个 |
单击下载和安装链接,将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。 您可以直接从此链接获取。zip文件,但必须对Control Hub组织的完整管理访问权限才能使用此软件。 对于新安装,请获取软件的最新版本,以便使用最新的功能和bug修复。 安装软件后,将通过软件报告升级,并在可用时自动安装。 |
| 3个 |
在VMware或Windows服务器上,解压缩并在设置文件夹中运行。msi文件,以启动设置向导。 |
| 4个 |
单击下一步,勾选框以接受许可协议,然后单击下一步,直到您看到帐户类型屏幕。 |
| 5个 |
选择要使用的服务帐户类型,并使用管理员帐户执行安装:
要避免错误,请确保具有以下权限:
|
| 6个 |
单击安装。 网络测试运行后,如果出现提示,输入您的代理基本凭证,单击确定,然后单击完成。 |
下一步该做什么
我们建议您在安装后重新启动服务器。 当数据未发布时,干运行报告无法显示正确结果。 重启计算机时,所有数据都会刷新以在报告中显示准确结果。
登录到目录连接器
开始之前
确保您拥有代理凭据。
-
对于Proxy basic-auth,第一次打开连接器后将输入用户名和密码。
-
对于代理NTLM,打开Internet Explorer,单击齿轮图标,转至 Internet选项>连接> LAN设置,确保已添加代理服务器信息,然后单击确定。 请参阅通过浏览器使用Web代理。
| 1个 |
打开连接器,如果看到提示,则将 |
| 2个 |
如果出现提示,请使用代理身份验证凭据登录,然后使用您的管理员帐户登录Webex,然后单击下一步。 |
| 3个 |
确认您的组织和域。
|
| 4个 |
出现确认组织屏幕后,单击确认。 如果您已绑定AD DS/AD LDS,将显示确认组织屏幕。 |
| 5个 |
单击确认。 |
| 6个 |
根据要绑定到Directory Connector的Active Directory域数,选择一个:
|
下一步该做什么
登录后,系统提示您执行干运行同步。
目录连接器仪表板
当您首次登录Directory Connector时,会显示仪表板。 在这里,您可以查看所有同步活动的摘要、查看云统计、执行干运行同步、启动完整或增量同步并启动事件视图以查看错误信息。
您可以从“操作”工具栏或“操作”菜单轻松运行这些任务。
|
组件 |
描述 |
|---|---|
|
当前同步 |
显示当前正在进行的同步的状态信息。 当未运行同步时,状态显示处于空闲状态。 |
|
下一次同步 |
显示下一个已安排的完整和增量同步。 如果未设置计划,将显示未计划。 |
|
上次同步 |
显示最近两次已执行同步的状态。 |
|
当前同步状态 |
显示同步的总体状态。 |
|
连接器 |
显示可用于云的当前本地连接器。 |
|
云统计 |
显示同步的总体状态。 |
|
同步计划 |
显示增量同步和完全同步的同步计划。 |
|
配置摘要 |
列出配置中更改的设置。 例如,摘要可能包括以下内容:
|
| 行动 | 描述 |
|---|---|
| 开始增量同步 |
手动启动增量同步 暂停或禁用同步时,如果未完成完全同步或同步正在进行中,则此操作将禁用。 |
|
同步干运行 |
执行干运行同步。 |
|
启动活动查看器 |
启动Microsoft Event Viewer。 |
|
刷新 |
刷新Cisco目录连接器仪表板 |
|
行动 |
描述 |
|---|---|
| 立即同步 |
立即开始完全同步。 |
|
同步模式 |
选择增量或完全同步模式。 |
|
重置连接器秘密 |
在Cisco目录连接器和连接器服务之间建立对话。 选择此操作将重置云中的秘密,然后在本地保存秘密。 |
|
干运行 |
对同步过程执行测试。 在进行完全同步之前,必须先进行干运行。 |
|
故障排除 |
打开/关闭故障排除。 |
|
刷新 |
刷新Cisco目录连接器主屏幕。 |
|
退出 |
退出Cisco目录连接器。 |
|
关键组合 |
行动 |
|---|---|
|
Alt +A |
显示操作菜单 |
|
|
现在同步 |
|
|
重置连接器秘密 |
|
|
干运行 |
|
|
增量同步 |
|
|
完全同步 |
|
|
显示帮助菜单 |
|
|
帮助 |
|
|
关于 |
|
|
常见问题 |
设置自动升级
| 1个 |
从Directory Connector,转至,然后检查自动升级到新的Cisco Directory Connector版本。 |
| 2个 |
单击应用保存更改。 |
新版本的连接器可用时将自动安装。
您可以手动管理升级(如果您愿意)。 有关更多信息,请参阅升级至最新软件版本。
选择要同步的Active Directory对象
默认情况下,Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。 要对哪些对象进行同步的更多控制,您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
自动许可证分配组
Control Hub允许您按组管理许可证分配。 您可以创建许可证模板,并将其映射到同步到云的Active Directory组。 在用户创建时,Webex检查该新用户的用户会员身份和自动许可证模板映射。
我们建议您使用LDAP过滤器仅将相关组同步到云。 例如,您可以将过滤器设置为:
(&(cn=示例)(objectclass=组))*
此过滤器将以Example开头的基础DN中的所有组同步。 未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。
混合数据安全部署组
在Directory Connector中,如果您使用混合数据安全为试点用户配置试用组,则必须检查组。 请参阅混合数据安全部署指南获得指导。 此目录连接器设置不会影响云中的其他用户同步。
开始之前
| 1个 |
从目录连接器转至配置,然后单击对象选择。 |
| 2个 |
在对象类型部分中,检查用户,并考虑限制用户可搜索容器的数量。 例如,如果您想仅同步特定组中的用户,必须在用户LDAP过滤器字段中输入LDAP过滤器。 如果要同步示例管理器组中的用户,请使用以下过滤器:
|
| 3个 |
检查识别房间以将房间数据与用户数据分开。 要设置其他属性,将用户数据识别为房间数据,请单击自定义。 如果要将内部会议室信息从Active Directory同步到Webex云时,请使用此设置。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。 有关详细信息,请参阅将内部会议室信息同步到Webex云。 |
| 4个 |
要将Active Directory用户组同步到云,请检查组。 不要向“组”字段添加用户同步LDAP筛选器。 您仅应使用“组”字段将组数据本身同步到云。 默认情况下,组不会为新客户同步。 必须启用组同步。 还必须同步安全组。 |
| 5个 |
如果要将用户的联系信息同步到云,请检查联系人。 目录连接器仅管理由连接器同步的联系人。 如果Control Hub中已经有联系人,则同步不会删除联系人。 如果从同步范围中删除联系人,则在Control Hub中也会删除用户的联系信息。 |
| 6个 |
配置 LDAP 过滤器。 您可以通过提供有效的LDAP过滤器来添加扩展过滤器。 有关配置LDAP过滤器的更多信息,请参阅本文。 |
| 7 |
单击选择以查看Active Directory树结构,指定要同步的On Premises Base DN。 您可以在此处选择或取消选择要搜索的容器。 |
| 8个 |
检查要为此配置添加的对象,然后单击选择。 您可以选择要用于同步的单个容器或母容器。 选择父容器,以启用所有子容器。 如果您选择子容器,母容器会显示灰色复选标记,表示孩子已检查。 然后,您可以单击选择以接受选中的Active Directory容器。 如果您的组织将所有用户和组放置在“用户”容器中,则无需搜索其他容器。 如果您的组织被分为组织单位,请确保选择OU。 |
| 9 |
单击应用。 选择一个选项:
有关干运行的信息,请参阅在Active Directory用户上执行干运行同步。 对于组同步,您必须执行完整同步: 将Active Directory用户完全同步到云中。 |
映射用户属性
您可以将本地Active Directory中的属性映射到云中的相应属性。 唯一的必填字段是*uid,这是云身份服务中每个用户帐户的唯一标识符。
您可以选择要映射到云的Active Directory属性—例如,您可以映射到Active Directory中的 firstName lastName,或将自定义属性表达式映射到云中的 displayName。
Active Directory中的帐户必须有一个电子邮件地址;uid映射默认为邮件的广告字段(不是 sAMAccountName)。
如果您选择使用首选语言来自Active Directory,则Active Directory是唯一的真理来源: 用户将无法在Webex设置中更改其语言设置,管理员也无法在Control Hub中更改设置。
| 1个 |
从Directory Connector,单击配置,然后选择用户属性映射。 此页显示Active Directory(左侧)和Webex云(右侧)的属性名称。 所有必需属性都标有红色星号。 |
| 2个 |
向下滚动到 Active Directory属性名称的底部,然后选择其中一个Active Directory属性以映射到云属性uid:
您可以将其他Active Directory属性映射到uid,但我们建议您使用上述指南中的邮件或userPrincipalName。 在某些情况下,使用userPrincipalName来登录,但使用用户的电子邮件地址来管理他们的日历。 您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。 将userPrincipalName作为备用电子邮件地址添加。 要查看Active Directory中的哪些属性与云中的对应关系,请参阅在Directory Connector中映射Active Directory属性。 要使同步工作,您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口,以提醒您,如果您没有选择推荐的属性。 |
| 3个 |
如果预定义的Active Directory属性不适用于部署,请单击属性下拉菜单,滚动到底部,然后选择自定义属性以打开一个窗口来定义属性表达式。 单击帮助以获取有关表达式的更多信息,并查看表达式如何工作的示例。 您还可以查看自定义属性的表达式以了解更多信息。 在此示例中,我们将将Active Directory属性
Directory Connector验证身份服务中的uid的属性值,并在当前用户过滤选项下检索3个可用用户。 如果所有3个用户都具有有效的电子邮件格式,则Cisco Directory Connector将显示以下消息:
如果无法验证属性,您将看到以下警告,并可以返回到Active Directory以检查和修复用户数据:
|
| 4个 |
(可选)如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中,选择手机和电话号码的映射。 当用户将鼠标悬停在另一个用户的档案照片上时,电话号码数据会显示在Webex应用程序中。 有关从用户联系人卡呼叫的更多信息,请参阅在Webex (Unified CM)部署指南(管理员)。 |
| 5个 |
选择其他映射以显示在联系人卡中的更多数据:
映射属性后,当用户将鼠标悬停在另一个用户的档案图片上时,会显示信息:
有关联系卡的更多信息,请参阅验证您的联系人。 将这些属性同步到每个用户帐户后,您还可以在Control Hub中打开People Insights。 此功能允许Webex App用户在配置文件中共享更多信息,并相互了解。 有关该功能以及如何启用该功能的更多信息,请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events(新建)People Insights Profiles |
| 6个 |
做出选择后,单击应用。 |
Active Directory中包含的任何用户数据都会覆盖与该用户对应的云中的数据。 例如,如果您在Control Hub中手动创建用户,则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。 在Active Directory中没有相应电子邮件地址的用户将被删除。
已删除的用户将在云身份服务中保留7天,然后被永久删除。
活动目录和云属性
您可以使用用户属性映射选项卡将本地Active Directory中的属性映射到云中的相应属性。
此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。 这些值和映射是Directory Connector中的默认设置。 您可以在Active Directory下拉菜单中选择不同的属性,并确定哪些内部属性与哪个云属性同步。
将下拉菜单属性视为预设。 作为Active Directory行中的值的替代,您还可以在Active Directory中指定自定义属性(具有多个属性的表达式)以映射到相应行中的单个云属性。 这样,您可以灵活地确定用户的显示名称,例如,您可以添加一个表达式,根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。
您还可以指定任何Active Directory属性,以映射到云中的uid。 但是,您必须确保内部属性遵循有效的电子邮件格式。
您还可以使用其他电子邮件地址,例如,如果您想使用userPrincipalName进行登录,但用户的电子邮件地址用于管理他们的日历。 在这种情况下,将其他电子邮件地址映射到电子邮件;类型-工作属性。 这是用于身份验证的电子邮件;它不用于管理您的日历。 您从AD映射的电子邮件地址必须来自您组织内的验证域,并且必须是唯一并且不会分配给其他用户。
|
活动目录属性名称 |
Webex云属性名称 |
注释 |
|---|---|---|
|
— |
建筑名称 |
— |
|
c |
c |
此属性指定用户的国家缩写。 |
|
部门号码 |
部门号码 |
|
|
显示名称 |
显示名称 |
此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。 |
|
用户帐户控制 |
ds-pwp-account-disabled |
此属性用于用户同步。 确保 userAccountControl 属性映射到 ds-pwp-account-disabled,或者用户未正确同步。 |
|
员工号码 |
员工号码 |
— |
|
传真电话号码 |
传真电话号码 |
— |
|
— |
jabberID |
此云属性与Jabber使用的IM地址(XMPP类型)有关。 此值与sipAddresses不同。 |
|
L的 |
L的 |
此属性指定用户的城市。 |
|
— |
Category:本地 |
— |
|
经理 |
经理 |
|
|
移动设备 |
移动设备 |
此属性被用作显示从联系人卡呼叫用户的移动号码。 |
|
或 |
或 |
此属性指定公司或组织的名称,并显示在联系人卡中。 |
|
或 |
或 |
此属性指定组织单位的名称。 |
|
physicalDeliveryOffice名称 |
physicalDeliveryOffice名称 |
此属性指定用户的办公位置。 |
|
邮政编码 |
邮政编码 |
此属性指定了用于实际邮件交付的用户的邮政或邮政编码。 |
|
首选语言 |
首选语言 |
此属性设置用户的首选语言,支持以下格式: xx_YY或xx-YY。 下面是一些示例: en_US,en_GB,fr-CA。 如果您使用不受支持的语言或无效的格式,用户的首选语言将更改为组织的语言集。 |
|
MSRTCSIP-主要用户地址 ipPhone |
SipAddresses;type=enterprise |
此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。 |
|
sn |
sn |
此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。 |
|
圣 |
圣 |
此属性指定用户的状态或省。 |
|
街道地址 |
街道 |
此属性指定用于实际邮件递送的用户的街道地址。 |
|
电话号码 |
电话号码 |
此属性指定用于从联系人卡呼叫用户的主要(工作)电话号码。 |
|
— |
时区 |
此云属性指定用户的时区。 |
|
标题 |
标题 |
|
|
类型 |
企业 |
— |
|
*邮件 *用户主要名称 |
uid |
强制性的属性映射。 对于每个用户帐户,Active Directory值映射到云中的唯一的UID。 在某些情况下,使用userPrincipalName来登录,但使用用户的电子邮件地址来管理他们的日历。 您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。 将userPrincipalName作为备用电子邮件地址添加。 然后用户可以使用这两个电子邮件地址之一登录,只要正确的 SAML属性映射就行了。 请参阅下面的示例属性映射,了解如何映射替代电子邮件地址。 |
|
*用户主要名称 *邮件 <自定义属性> |
电子邮件;类型工作 |
此映射是可选的,如果您想使用其他电子邮件地址,请使用此映射。 这是用于身份验证的电子邮件;它不用于管理您的日历。 您从AD映射的电子邮件地址必须来自您组织内的验证域,并且必须是唯一并且不会分配给其他用户。 |
|
<Azure用户对象Id的新属性> |
外部ID |
创建新的Active Directory属性以保留Azure用户对象ID,使其不会与现有的ID冲突。 此属性随后映射到externalId属性,确保Webex用户在Microsoft 365中创建群组时,会自动在Webex中创建群组。 |
替代电子邮件地址映射
自定义属性的表达式
|
操作员 |
描述和示例 |
|---|---|
|
% |
如果匹配,将字符串开头的所有字符删除到字符或字符串参数的位置。
|
|
- |
从指定字符串的末端剥离输入字符串的背部。
|
|
+ |
连接输入字符串或表达式。
|
|
| |
根据空字符串评估分隔表达式,并选择第一个非空结果。
|
将Active Directory属性中的目录头像同步到云
您可以将用户的目录头像同步到云,以便在登录Webex应用程序时显示每个头像。 使用此程序同步来自Active Directory属性的原始头像数据。
| 1个 |
从Directory Connector,转至配置,单击阿凡达,然后检查启用。 |
| 2个 |
对于从获取头像,选择AD属性,然后选择头像属性,其中包含要同步到云的原始头像数据。 |
| 3个 |
要验证头像是否正确访问,请输入用户的电子邮件地址,然后单击获取用户头像。 头像出现在右侧。 |
| 4个 |
验证头像显示正确后,单击应用保存更改。 |
-
同步的图像成为Webex应用程序中用户的默认头像。 在Directory Connector启用此功能后,不允许用户设置自己的头像。
-
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步该做什么
执行干运行同步;如果没有问题,则执行完全同步,以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。
将目录头像从资源服务器同步到云
您可以将用户的目录头像同步到云,以便在登录Webex应用程序时显示每个头像。 使用此程序从资源服务器同步化头像。
开始之前
-
此过程中的URI模式和变量值是示例。 您必须使用目录头像所在位置的实际URL。
-
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。 连接器需要http或https访问图像,但图像不需要在互联网上公开访问。
-
头像数据同步与Active Directory用户配置文件分开。 如果您运行代理,必须确保NTLM身份验证或基本身份验证可以访问头像数据。
| 1个 |
从Directory Connector,转至配置,单击阿凡达,然后检查启用。 |
| 2个 |
对于从获取头像,选择资源服务器,然后输入头像URI模式—例如, 让我们来看看阿凡达URI模式的每个部分及其含义:
|
| 3个 |
(可选)如果您的资源服务器需要凭证,请检查为头像设置用户凭证,然后选择使用当前服务登录用户或使用此用户并输入密码。 |
| 4个 |
输入变量值—例如: |
| 5个 |
单击测试以确保头像URI模式正常工作。 在此示例中,如果一个AD条目的邮件值为 |
| 6个 |
验证了URI信息并看起来正确后,单击应用。 有关使用正则表达式的详细信息,请参阅 Microsoft正则表达式语言快速参考。 |
-
同步的图像成为Webex应用程序中用户的默认头像。 在Directory Connector启用此功能后,不允许用户设置自己的头像。
-
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步该做什么
执行干运行同步;如果没有问题,则执行完全同步,以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。
将内部会议室信息同步到Webex云
使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的Webex设备(房间、桌面和板)上的可搜索条目。
| 1个 |
从Directory Connector转至同步,单击同步域旁边的 |
| 2个 |
检查将房间信息同步到云,在同步过程中将房间数据与用户数据分开。 禁用此设置时,将以与用户同步数据相同的方式处理会议室数据。 |
| 3个 |
转至属性映射,然后更改云属性的属性映射sipAddresses;type=enterprise。 要使用值验证,SIP地址的值应为Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4个 |
在Exchange中创建会议室资源邮箱。 这将添加连接器用于识别房间的 msExchResourceMetaData;ResourceType:Room 属性。
|
| 5个 |
从Active Directory用户和计算机,导航到并编辑会议室的属性。 使用sip的前缀添加完全合格SIP URI:
|
| 6个 |
在连接器中执行干运行同步,然后执行完整运行同步。 新会议室对象列出已添加对象,匹配的会议室对象将出现在匹配对象中干运行报告中中。 任何标记要删除的房间对象都位于已删除的房间下。
干运行结果显示所有匹配的房间资源。
此设置将Active Directory房间数据(包括房间属性)与用户数据分离。 同步完成后,连接器仪表板上的云统计数据将显示与云同步的房间数据。
|
下一步该做什么
现在您已完成这些步骤,当您在Webex云注册设备上搜索时,您将看到使用SIP地址配置的同步房间条目。 当您将Webex设备拨入该条目时,将呼叫放置到为房间配置的SIP地址。
从Control Hub,您可以自动从目录导入会议室并创建工作空间。
端点无法将呼叫回传回至Webex应用程序。 对于测试拨号设备,这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。 如果您正在搜索的Active Directory会议室系统已注册到Webex,并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上,则搜索结果不会显示重复条目。 在Webex应用程序中直接拨打Room、Desk或Board设备,不会进行SIP呼叫。
在目录同步结果上发送电子邮件报告
默认情况下,组织联系人或管理员总是会收到电子邮件通知。 使用此设置,您可以自定义谁应该接收总结目录同步报告的电子邮件通知。
| 1个 |
从Directory Connector,单击配置,然后选择通知。 |
| 2个 |
从Directory Connector中,单击设置,然后在电子邮件接收器旁边切换启用报告同步。 |
| 3个 |
如果要覆盖默认通知行为并添加一个或多个电子邮件收件人,请选择启用通知。 |
| 4个 |
单击添加,然后输入电子邮件地址。 如果您输入的电子邮件地址格式无效,则会弹出一条消息,告诉您纠正问题,然后才能保存并应用更改。 |
| 5个 |
单击添加电子邮件,然后输入电子邮件地址。 如果您输入的电子邮件地址格式无效,则会弹出一条消息,告诉您纠正问题,然后才能保存并应用更改。 |
| 6个 |
如果您需要编辑您输入的任何电子邮件地址,请双击左侧列中的电子邮件条目,然后进行所需的任何更改。 |
| 7 |
添加所有有效电子邮件地址后,单击应用。 |
| 8个 |
添加所有有效电子邮件地址后,单击保存。 |
下一步该做什么
如果您决定删除电子邮件地址,您可以单击电子邮件以突出显示该条目,然后单击删除。
如果您决定删除电子邮件地址,可以单击特定电子邮件地址条目旁边的删除。
从Active Directory向Control Hub提供用户
按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。 在安装每个域的Directory Connector后,您可以从多个域Active Directory部署(包含单个森林或多个森林)提供用户。 在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 目标是在Active Directory和Webex云之间实现精确匹配。
| 1个 |
执行干运行以比较内部Active Directory中的对象和Webex云中的对象。 干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。 |
| 2个 |
当您运行完全同步时,连接器服务将从Active Directory (AD)的所有过滤对象发送到云。 连接器服务然后用您的AD条目更新身份存储。 如果您创建了自动分配许可证模板,您可以将其分配给新同步的用户。 |
| 3个 |
向Control Hub中的Directory同步用户分配Webex服务 完成从Directory Connector输入到Control Hub的完整用户同步后,您可以使用各种方法分配Webex服务许可证。 我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。 您还可以在此初始步骤后进行个人更改。 |
在您的Active Directory用户上执行干线同步
执行干运行以比较内部Active Directory中的对象和Webex云中的对象。 干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 使用Directory Connector,目标是在Active Directory和Webex云之间实现精确匹配。
如果您在单个森林或多个森林中拥有多个域,则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。
开始之前
在使用Directory Connector之前,您可能已经在Control Hub中拥有一些Webex应用程序用户。 在云中的用户中,有些用户可能会与本地Active Directory对象匹配,并为服务分配许可证。 但有些测试用户可能是在进行同步时要删除。 您必须在Active Directory和Control Hub之间创建完全匹配。
| 1个 |
选择一项:
当干运行完成时,您将看到以下结果之一:
摘要包含有关对象匹配的信息:
干运行通过比较与域用户来识别用户。 如果用户属于当前域,应用程序可以识别用户。 在下一步,您必须决定是删除对象还是保留它们。 不匹配的对象已在Webex云中存在,但在内部Active Directory中不存在。 |
| 2个 |
查看干运行结果,然后根据您使用单个域还是多个域选择一个选项:
|
| 3个 |
在确认干运行提示符中,单击是重执行干运行同步并查看仪表板以查看结果。 在干运行中成功同步的所有帐户都出现在匹配对象下。 如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户,则该条目在已删除用户下列出。 要避免此删除标记,您可以在具有相同电子邮件地址的Active Directory中添加用户。 要查看已同步项目的详细信息,请单击特定项目或匹配对象的相应选项卡。 要保存摘要信息,请单击保存结果至文件。 |
| 4个 |
如果预期结果,请转至,然后单击立即启用进行手动同步,并在此处设置手动模式。 在多个域部署中的最后一个Active Directory域进行同步后,必须为Directory Connector启用自动模式。 只有当对象在Webex云和所有内部活动目录之间完全匹配时,您才可以启用自动模式。 |
下一步该做什么
-
对于您保留的任何不匹配的用户对象,您必须将其添加到Active Directory,以便在内部和云之间实现完全匹配。
-
选择同步类型:
-
首次将新用户同步到云时,将Active Directory用户完全同步到云中。 您可以从进行操作,然后从当前域的用户将同步。
-
设置连接器计划并在运行完整同步后运行增量同步,如果要在初始同步后拾取更改。 建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
默认情况下,增量同步设置为每30分钟(3.4及更早版本)或每4小时(3.5及更高版本)进行,但您可以更改此值。 在您最初执行完全同步之前,增量同步不会发生。
-
-
如果您有多个域,请在已安装的任何其他目录连接器上重复这些步骤。
需要记住的事情
-
启用完全同步之前或更改同步参数时执行干运行。 如果干运行由配置更改启动,您可以在干运行完成后保存设置。 如果您已手动添加用户,执行Active Directory同步可能会导致以前添加的用户被删除。 您可以在完全同步到云之前检查Directory Connector Dry Run报告,以验证所有预期用户都存在。
-
如果匹配的用户被标记为要删除,并且您不确定如何继续,请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。
已删除的用户将在云身份服务中保留7天,然后被永久删除。
将Active Directory用户完全同步到云
当您运行完全同步时,连接器服务将从Active Directory (AD)的所有过滤对象发送到云。 连接器服务然后用您的AD条目更新身份存储。 如果您创建了自动分配许可证模板,您可以将其分配给新同步的用户。
如果您有多个域,则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。
目录连接器同步用户帐户状态—在Active Directory中,任何被标记为禁用的用户在云中也会显示为非活动。
开始之前
-
如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态,则必须执行以下步骤以绕过电子邮件验证:
-
将单点登录与Webex组织集成。 查看
使用Cisco Webex Services和您的组织的身份提供商进行单点登录
有关更多信息。 -
使用Control Hub验证并选择声称电子邮件地址中包含的域。 查看
添加、验证和请求域
. -
抑制自动电子邮件邀请,这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。(您可以进行自己的电子邮件活动。)
尚未登录的已激活用户在Control Hub中显示已验证状态。 登录后,它们将显示为活动状态。 有关用户状态的更多信息,请参阅 Cisco Webex Control Hub中的用户状态和操作。
-
-
启用同步时,Directory Connector要求您先执行干运行。 我们建议您在完全同步之前进行干运行,以发现任何潜在的错误。
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板。
如果您不使用自动分配许可证模板,新同步的用户会自动获得免费许可证。 他们将能够使用与免费帐户的相同的免费功能。
| 1个 |
选择一项:
|
| 2个 |
从Directory Connector转至同步,单击同步域旁边的 |
| 3个 |
确认同步的开始。 对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序会在您执行同步后72小时内反映更改。 您可以按照以下说明尝试清除Webex应用程序的本地缓存: Windows 或 Mac。
|
| 4个 |
要更新同步状态,请单击刷新。 (同步项目出现在云统计下。) |
| 5个 |
有关错误的信息,请从操作工具栏选择启动事件查看器以查看错误日志。 |
| 6个 |
要设置持续增量同步到云的同步计划,请参阅设置连接器计划和运行增量同步。 |
-
完成完全同步后,在Control Hub的设置页面上,目录同步状态将从禁用更新至操作。
-
当所有数据在内部和云之间匹配时,Directory Connector将从手动模式更改为自动同步模式。
-
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件,否则Webex应用程序用户帐户将保持未验证状态,直到用户首次登录Webex应用程序以确认其帐户。 请参阅“开始之前”部分,了解如何将帐户同步为活动用户的指导。
-
如果您有多个域,请在已安装的任何其他目录连接器上执行此步骤。 同步后,您添加的所有域上的用户都会在Control Hub中列出。
-
如果您将单点登录与Webex集成,并且已删除的电子邮件通知,则电子邮件邀请不会发送给新同步的用户。
-
启用目录连接器后,您无法在Control Hub中手动添加用户。 启用后,从Cisco目录连接器执行用户管理,而Active Directory是唯一的真理源。
-
您同步的任何组都出现在Control Hub中,并且您可以分配许可证模板,以便该组中的用户获得许可证。
下一步该做什么
-
当您从Active Directory中删除用户时,该用户将在下次同步后被软删除。 用户处于非活动状态,但云身份档案将保留七天(以便从意外删除中恢复)。
如果您在Active Directory中检查帐户已禁用,则下次同步后该用户将变为非活动。 云身份档案七天后不会删除,以防要再次启用用户。
-
注意增量同步的这些异常(请按照上面的完整同步步骤操作):
-
如果更新了头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
-
属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。
-
向Control Hub中的Directory同步用户分配Webex服务
完成从Cisco目录连接器到Control Hub的完整用户同步后,您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证,或者如果您已经配置了自动分配的许可证模板,则向新用户添加其他许可证。 您可以在此初始步骤后更改个人用户帐户。
完成从Directory Connector输入到Control Hub的完整用户同步后,您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证(如果您已经配置了自动分配许可证模板)。 您可以在此初始步骤后更改个人用户帐户。
当您向Webex应用程序用户分配许可证时,该用户默认会收到一封确认分配的电子邮件。 该电子邮件由Control Hub中的通知服务发送。 如果您将单点登录(SSO)与Webex组织集成,则如果您更愿意直接联系用户,您也可以删除这些自动电子邮件通知。
开始之前
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板。
-
在Active Directory用户上执行干运行同步。
-
确认干运行结果后,在Active Directory用户上进行完全同步。
在完全同步时,用户在云中创建,不添加服务分配,也不发送激活电子邮件。 如果电子邮件未被抑制,新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。
| 1个 |
从 https://admin.webex.com 中的客户视图,转至,单击管理用户,选择修改所有同步用户,然后单击下一步。 |
| 2个 |
选择一个选项: |
下一步该做什么
-
如果电子邮件没有被抑制,将向每个用户发送电子邮件,并邀请其加入和下载Webex。
-
如果您为所有用户选择了相同的Webex服务,那么您可以单独或批量更改分配的许可证。
目录连接器的已知问题
-
2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。 此问题已在 2012 R2 和 2016版本中得到解决。
-
对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序将在执行同步后的72小时内反映更改。
您可以按照以下说明尝试清除Webex应用程序的本地缓存: Windows 或 Mac。
-
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间,此时呼叫将无限响起。
管理Webex应用程序用户
运行增量同步
增量同步会查询 Active Directory,查找自上次同步以来发生的更改。然后,此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。
此同步不会给服务器带来那么多的负载,也不需要像完全同步那样多的时间。完成初始完整同步后,我们建议为后续同步使用增量选项。
开始之前
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板 。
-
注意不支持增量同步的以下异常(请遵循将Active Directory用户完全同步到云中 ):
-
如果更新了头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
-
对于属性映射、基本DN、过滤器和头像设置的新配置更改,增量同步无法工作,需要完全同步。
-
| 1 |
从 Directory Connector 中,单击控制板。 启用同步时,Directory Connector 将要求您首先执行测试。 |
| 2 |
从操作中,如果尚未启用,单击同步模式>启用同步 。 默认情况下,增量同步设置为每30分钟(3.4及更早版本)或每4小时(3.5及更高版本)进行,但您可以更改此值。在您最初执行完全同步之前,增量同步不会发生。当新的增量时间间隔出现时,程序会根据最后一个时间标识检查更改。 |
| 3 |
从操作中,单击立即同步 > 增量。 对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序将在执行同步后的72小时内反映更改。
|
| 4 |
有关错误的信息,单击操作 工具栏中的启动事件查看器 可查看错误日志。 |
下一步
如果您有多个域,请在已安装的其他目录连接器实例上执行此步骤。
恢复意外删除的用户
Directory Connector具有制衡功能,以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器,这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复,并在Control Hub中重新建立用户帐户。
默认情况下,此功能对所有组织都启用。例如,在云中删除用户时,由于从Directory Connector同步后出现不匹配的对象问题,用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除,如果您快速采取行动,您可能能够恢复它们。
当在Active Directory中删除相应帐户时,用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间,您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。
在Active Directory中禁用的用户在Control Hub中标记为Inactive,但用户帐户在7天后不会删除。
| 1 | |
| 2 |
转至用户 并确认特定用户帐户是否处于非活动状态或未列出。 有关详细信息,请参阅控制中心中的用户状态和操作。 |
| 3 |
如果在Control Hub中删除用户,或者您注意到用户处于非活动状态,请转至Active Directory,添加缺失的用户帐户,然后在Directory Connector中执行干运行同步。 使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。 |
| 4 |
执行完全同步,将暂时删除的用户帐户重新同步至Control Hub。 用户被恢复并转至原始状态,包括其帐户状态和服务分配。 |
下一步
返回Control Hub,转至,并确认先前删除的用户帐户出现在用户列表中。
在软删除后永久删除用户
执行干运行后,您可以选择永久删除下次同步时被软删除的用户。
| 1 |
干运行完成后,选择软删除对象。 |
| 2 |
选中要删除的用户旁边的复选框。 |
| 3 |
选择完成。 |
下一步
下次同步时,已检查的用户将被永久删除。
更改Webex应用程序电子邮件地址
如果您想更改用户电子邮件地址,并且您的组织使用Directory Connector,请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。
如果您只想更改一个用户的电子邮件或某个值,请勿从Active Directory中删除该用户,然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户,用户空间和云中的其他数据将丢失。
目录连接器不限制电子邮件域更改。但是,当用户重新同步到云时,用户状态取决于您的组织中是否验证新域。如果组织中未验证域,则在完全同步后,用户的状态将更改为“待定”。有关更多信息,请参阅管理您的域。
如果您的组织不使用Directory Connector,您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址 ,了解用户可以遵循的步骤来更改电子邮件。
更改 Active Directory 域
您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。
| 1 |
设置新的 Active Directory (AD) 域。 |
| 2 |
禁用所有连接器上的同步。 |
| 3 |
卸载所有连接器。 |
| 4 |
在案例提交中,请确保请求删除组织中的域配置和所有同步属性。 在打开案例以更改域之前,请确保未运行同步功能。在案例解决之前,不要更改Active Directory中的任何用户电子邮件地址。 |
| 5 |
解决案例后: 在进行实际同步之前,使用Directory Connector执行测试运行。 |
域声明
如果您为某个组织申请电子邮件域名,从而在付费客户组织中创建任何旁边的帐户,而不是免费消费者组织中,则会出现域索偿。您只能通过支持案例进行域申索(有关更多信息,请参阅下面的链接)。
如果Directory Connector处于活动状态并且该域已声明,则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户,受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。
在目录同步组织中转换免费的Webex应用程序用户
您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序,则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户,请在打开Directory Connector之前将其迁移(转换)到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。
如果您未在激活前转换帐户,请关闭 Directory Connector 以对帐户进行转换。
如果启用目录同步时尝试转换用户,将显示错误消息 无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。
一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中,而不是不匹配对象。如果要将这些用户迁移到您的组织,则需要将这些用户添加到您的AD列表。
如果您未添加这些用户,它们将在您旁边同步到云时全部删除。
| 1 |
从 Directory Connector 中禁用目录同步功能。 |
| 2 |
按照在Control Hub中转换无许可用户 程序将用户从免费消费组织转换为企业组织。 此步骤将用户添加到您的组织,帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源,目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前,确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。 |
| 3 |
在Directory Connector上,执行干运行同步。测试完成后,查看“添加对象”标签页。验证是否未删除您已转换的任何用户。 您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中,则Directory Connector将区分大小写,并删除其检测到电子邮件地址不匹配的转换用户(例如,user1@example.com和User1@example.com)。 如果已删除任何转换的用户,他们将失去所有Webex应用程序空间。 |
| 4 |
如果您确定下一次同步将不会删除任何帐户,请从 Directory Connector 重新启用目录同步。 |
如果您没有验证域,转换的用户帐户不会自动激活。例如,如果您打开自动分配许可证模板,然后在没有域验证的情况下打开Directory Connector,转换后的用户将在云后端处于非活动状态,直到他们确认其电子邮件地址。
侧边的Webex应用程序用户帐户
当您邀请其他用户到Webex应用程序中的空间时,如果受邀用户没有Webex应用程序帐户,则为他们创建帐户(“侧面”)。缺省情况下,以此方式创建的帐户将添加至自由消费者组织中。
如果要使用Directory Connector管理侧栏帐户,则必须转换帐户。
目录同步后更改Webex应用程序用户名格式
默认情况下,Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。
执行目录同步后,您可能会发现该用户名以格式显示。
如果Active Directory中的 displayName 属性以这种方式配置,此用户名可能会出现。当属性映射到云中的 displayName 时,名称会在Control Hub中以格式显示。
若要更改格式,请在 Directory Connector 属性映射屏幕中进行如下操作:将Active Directory属性 givenName sn (或 sn givenName)映射到Cisco云属性名称中的 displayName 。
或者,将属性 sn givenName 映射到 displayName:
如果您想将自己的自定义属性表达式映射到 displayName,也可以使用“自定义属性”选项。
例如,输入givenName + "" + sn (名字、空间、姓氏)作为表达式。将Active Directory中的两个属性映射到云中displayName 。
允许用户在Webex Meetings中更改显示名称
如果您想允许用户编辑首选的显示名称,您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称,而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。
| 1 |
从Directory Connector,单击配置,然后选择用户属性映射。 |
| 2 |
在 Cisco云属性名称 下选择显示名称。 |
| 3 |
选择不同步此属性。 |
下一步
用户现在可以从Webex站点编辑显示名称。
Directory Connector 故障诊断
升级到最新软件版本
要保持部署合规并获取最新功能、功能、错误修复和安全增强功能,您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本,则可能会遇到问题,例如Directory Connector不再正常同步,或者处于不支持强制性 TLS 1.2要求的版本上。
Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。
虽然您可以手动安装连接器软件更新更新,但我们建议您遵循设置自动升级 中的步骤,让应用程序自动管理升级。
| 1 |
单击Windows任务栏中的通知,或右击Windows任务栏中的Directory Connector图标,开始升级过程。 |
| 2 |
按说明完成升级操作。 |
| 3 |
重新启动连接器并使用管理员凭据登录。 |
| 4 |
在下验证软件的版本号。 |
下一步
要重新安装Directory Connector,您可以 下载zip文件 ,然后按照本指南中的安装步骤操作。
配置 Directory Connector 的常规设置
使用此程序配置常规设置,例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中,其中还包含正在运行的任何其他连接器。
| 1 |
从Directory Connector转至配置,然后单击常规。 |
| 2 |
在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。 |
| 3 |
从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括:
这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误,则仅在同步报告中报告错误;如果不存在错误,则不会发送同步报告。将设置更改为Info,然后在完全同步后收到同步报告。(请记住,对于增量同步,没有报告错误时不会发送报告。) |
| 4 |
选择首选域控制器以设置域控制器同步身份的顺序。 将按照从上到下的顺序访问域控制器。如果顶级控制器不可用,则选择列表中的第二个控制器。如果列表中没有控制器,您可以访问主控制器。 |
| 5 |
如果要进行自动升级,请检查自动升级到新的Cisco Directory Connector版本 。 将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置,允许在软件可用时安静地安装自动升级到软件。 |
| 6 |
检查 通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。 如果您未通过 SSL检查LDAP,则Directory Connector将继续使用LDAP连接协议。 LDAP(轻量级目录应用程序协议)和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。 |
配置连接器策略
您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。
例如,将 1 设置为删除阈值触发值。在执行完全或增量同步时,如果您要删除的用户数大于该设置,Directory Connector 会显示警告。如果您单击忽略阈值,可以成功开始完全或增量同步,但是在您下次运行该策略时将再次看到此忽略提示。
| 1 |
从Directory Connector,单击配置,然后选择策略。 |
| 2 |
如需添加阈值触发器,请勾选“启用删除阈值触发器”复选框。 选择该选项后,删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时,同步失败。
|
| 3 |
输入您要设置的最大删除次数。缺省值为 20。 我们建议您不要增大该缺省值。 |
| 4 |
单击应用。 |
设置连接器的安排
在Active Directory中设置同步定时。为了实现高可用性 (HA),使用了故障转移。如果有一个连接器宕机,我们会在预定义的间隔过后,切换到另一个待机连接器。
| 1 |
从Directory Connector,单击配置,然后选择计划。 |
| 2 |
以分钟为单位指定增量同步间隔。 缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。 |
| 3 |
如果您希望更改发送报告的频率,请更改发送报告间隔时间值。 |
| 4 |
勾选启用完全同步计划以指定想要执行完全同步的日期和时间。 |
| 5 |
以分钟为单位指定故障转移间隔。 |
| 6 |
单击应用。 |
多域情境
多个域基于域优先级。对于在不同域具有相同键值的对象,在同步后,来自高优先级域的数据将覆盖来自低优先级域的数据。
具有相同键值的对象会链接到数据库中的同一条记录。
“用户”的键值是电子邮件地址;“组”的键值是组名。
多域使用示例
此示例假设某组织有两个域 - example1.com 和 example2.com,前者优先级高于后者。
-
添加 user1(电子邮件:user@example1.com)到 example1.com 的 Active Directory。
-
添加 group1(组名:Test)到 example1.com 的 Active Directory。
-
添加 user2(电子邮件:user@example2.com)到 example2.com 的 Active Directory。
-
添加 group2(组名:Test)到 example2.com 的 Active Directory。
- 在 example1.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 https://admin.webex.com 中,而 user1 和 group1 没有。
如果您为 example1.com 执行全面或增量同步,user1 和 group1 会同步。而且,user2 和 group2 会被 user1 和 group1 的信息覆盖。
User1 作为数据库中的相同记录链接到 user2;group1 作为数据库中的相同记录链接到 group2。
- 在 example1.com 和 example2.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 https://admin.webex.com 中,而 user1 和 group1 没有。
请考虑这些步骤:
- 在 example1.com 的 Active Directory 上删除 user1 和 group1。
- 为 example1.com 执行全面或增量同步。
结果:在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1,而 group2 没有链接到 group1。
- 为 example2.com 执行增量同步。
结果:在 https://admin.webex.com 中用户信息无变化。
- 为 example2.com 执行全面同步。
结果:user2 和 group2 的信息在 https://admin.webex.com 中列出。
同步新的域并保留现有域
如果要同步新的域 (B),同时还要保留其他现有域 (A) 上的已同步用户数据,请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后,该连接器会与新的域绑定,而域 (A) 下的用户信息不受影响。
每个域必须自带有效的连接器。请考虑采用以下设置的两个域:带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA);带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中,一个连接器处于活动状态,另一个处于待机状态 (HA)。该设计可保持域同步,因为有一个连接器始终处于活动状态。也就是说,cb1 是域 B 处于活动状态的连接器,因为域 A 已有处于活动状态的连接器(ca1 或 ca2)。
设置域优先级
使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域,等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织,此设置会很有帮助。
如果在 Directory Connector 中只列出了一个域,则不要使用此过程。如果您尝试进行此配置,连接器会显示一条消息,说明不需要域优先级。
开始之前
要避免错误,请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。
| 1 |
从Cisco目录连接器,单击仪表板。 |
| 2 |
转至操作,然后单击设置域优先级。 |
| 3 |
高亮显示列表中的一个域,单击向上或向下更改此域的优先级,然后单击保存保存更改。 各个域会按优先级自上而下排序。 |
切换域
使用此程序将Cisco目录连接器重新绑定到另一个域。
开始之前
-
在切换域之前,确保没有同步任务在运行。
-
要避免错误,请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。
| 1 |
从Cisco目录连接器,单击仪表板。 |
| 2 |
转至操作,然后单击切换域。 |
| 3 |
阅读警告后,如果您理解此更改对部署的影响,而且您仍然确定要更改,请单击是。 如果您切换域,则您将从当前Cisco目录连接器中注销,连接器中的其他域未注册,并且删除该计算机上的连接器信息。 |
| 4 |
重新登录Cisco目录连接器并重新绑定域。 |
关闭目录同步
如果您需要停止从Directory Connector进行同步,可以从Control Hub暂时将其关闭。
| 1 |
从https://admin.webex.com中的客户视图,转至,滚动至目录同步,然后选择一个:
|
| 2 |
阅读提示之后,单击关闭。 同步停止,直到从Directory Connector重新启用它。 |
删除用户属性映射
使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后,属性值将从云中删除,不再与Webex同步。然后可以手动编辑这些值。
| 1 |
从 Directory Connector 中,单击控制板。 |
| 2 |
转至操作,然后单击。 |
| 3 |
选择映射以从属性名称 列表中删除。 |
| 4 |
在受影响的用户范围下,选择以下其中一项:
|
| 5 |
单击应用。 |
管理档案照片
使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。
| 1 |
从 Directory Connector 中,单击控制板。 |
| 2 |
转至操作,然后单击。 |
| 3 |
在操作下,选择以下其中一项:
|
| 4 |
单击 Apply(应用)。 |
卸载并停用目录连接器
卸载 Directory Connector 实例后,必须取消注册它。如果面临以下任何情况,都应该彻底删除 Directory Connector:
-
您不想再使用目录同步。
-
您不想使用多个 Directory Connector(高可用性)中的某一个。
-
您想要更改域并安装其他连接器。
开始之前
-
您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例,请禁用同步。
-
卸载Directory Connector之前,保存并关闭任何重要工作。
| 1 |
在您的 Windows 计算机上,转至“控制面板”,然后单击程序和功能。 |
| 2 |
从程序列表中,单击目录连接器,选择卸载,然后按照提示操作。 您可能需要重启系统来完成卸载。 |
| 3 |
从https://admin.webex.com中的客户视图,转至,滚动至目录同步,单击更多 |
| 4 |
阅读提示之后,单击停用。 用户帐户将不会再同步,除非在高可用性 (HA) 部署中还有其他 Directory Connector。 |
运行诊断工具
您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。
如果同步工作不正确,您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接,因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误,您可以发送详细的日志结果以支持。
-
要为Active Directory域服务运行测试:
-
要运行Active Directory轻量级目录服务的测试:
-
要运行轻量级目录访问协议(LDAP)的测试:
解决Ciso Directory Connector中的问题
目录连接器的故障排除和修复
您可能在Directory Connector中遇到错误消息或其他问题。此外,在Directory Connector同步用户信息后,该连接器可能会向您发送一封电子邮件报告,列出同步存在的任何问题。在联系支持人员之前,请参考以下章节,了解可能出现的问题、可能的原因和建议解决方案。
安装
Directory Connector 停止运行
您收到警告电子邮件,通知您您的Directory Connector无法工作。
-
目录连接器可能未正确安装。
-
目录连接器可能未运行。
-
网络可能不可用。
请尝试以下操作:
-
打开。找到 Directory Connector。如果没有,请从Control Hub下载最新版本并安装。
-
打开服务 并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止,请单击右键并选择“启动”以重启该服务。
-
确保安装Directory Connector的服务器能够访问Internet。
重新安装错误
问题—如果您在卸载旧连接器后立即安装新连接器,可能会看到错误消息。
可能原因—在Windows Server 2012中,卸载客户端需要时间从服务列表中删除服务帐户。
解决方案—经过一段时间后,请再次尝试安装。
登录
SSO登录期间目录连接器崩溃
问题
从SSO登录页输入电子邮件地址后,目录连接器可能会崩溃。
解决方案
请尝试以下操作:
执行以下步骤以配置新的组策略:
-
转至域控制器并打开组策略管理(gpedit.msc)。
-
右键单击特定的OU或域,然后选择在此域中创建GPO,并在此处链接它……
-
给该策略命名,然后右键单击并选择编辑。
执行以下步骤以更改机器级别的策略:
-
转至,右键单击注册表,选择新建,然后选择注册表项。
-
对于关键路径,输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
-
为
值输入禁用脚本调试器,为值数据输入否。设置应匹配此屏幕截图:
请执行以下步骤以在用户级别更改策略:
-
转至,右键单击注册表,选择新建,然后选择注册表项。
-
对于关键路径,输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
-
为
值输入禁用脚本调试器,为值数据输入否。设置应匹配此屏幕截图:
在运行 gpupdate /force、重新启动机器(用于机器更改)或再次输入用户符号(用于用户更改)后,更改将生效。
无法注册Cisco DirSync服务连接器
问题
登录失败,并显示此消息:“无法注册Cisco DirSync服务连接器。”
解决方案
安装Directory Connector的Windows系统必须是Active Directory的成员。
未显示登录页面
问题
您打开目录连接器,登录页未显示。
解决方案
请尝试以下步骤:
-
在Internet Explorer中,转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器(如Chrome和Firefox)中尝试该链接。
-
如果Internet Explorer无法访问该链接,但其他浏览器可以,请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。(使用启用Internet Explorer中的TLS 程序。)
显示登录提示
问题
出现提示提示您输入用户名和密码以通过身份验证。
可能原因
Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败,会弹出对话框以请求身份验证用户名和密码。
解决方案
当您看到登录弹出窗口时,您需要提供具有正确身份验证的有效帐户,以保证传递安全。
无法连接远程服务器
无法注册连接器
问题
您将看到错误消息“无法注册连接器。发生了一般例外。”
可能原因
在大多数情况下,问题在于Directory Connector没有连接到LDAP根上下文的特权。
解决方案
请尝试以下操作:
-
运行命令提示符(cmd),然后输入 ldp.exe。
-
单击,选择绑定为当前登录用户,然后单击确定。
-
单击,输入DC=arbonneintl,DC=ad 作为BaseDN,然后单击确定。
-
如果问题继续,打开支持案例。
同步
头像未同步
问题
Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。
可能原因
如果您重复使用现有的头像服务器,并且用户头像已经同步,则本地缓存将捕获它们,并避免再次重订以保存带宽。
解决方案
按照以下步骤删除本地缓存:
-
转至C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
删除DirSyncPluginAvatar.dll-cache.bin。
-
从Cisco目录连接器重新启动头像同步。
用户电子邮件帐户冲突
问题
同步结果可能会显示有冲突的用户电子邮件帐户。
-
如果用户尝试了Webex应用程序的免费版本,他们的电子邮件地址将位于免费消费者组织中。
-
如果用户电子邮件在另一个组织中已同步。
-
如果用户电子邮件存在于属于组织的多个域中。
解决方案
请尝试以下操作:
-
如果您要向用户索要权,请按照以下步骤操作:
-
确保您已在 Control Hub中验证该域。
-
暂时禁用Cisco目录连接器。
-
使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关详细信息,请参阅向您的组织索要用户(转换用户) 。
-
在Cisco Directory Connector中运行干燥,然后重新启用目录同步
-
-
对于最后一个案例,请复选您的Active Directory源中的用户数据。
已转换用户标记为非活动
问题
在您的目录同步环境中,您将免费(消费者组织)用户转换为企业组织,但转换用户无法登录Webex应用程序。
可能原因
当自由用户转换为企业组织时,该用户将被标记为非活动状态为30天,作为安全合规措施。在此期间内,用户无法登录Webex应用程序,并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。
解决方案
如果您不想删除该用户帐户,必须采取行动。要解决此问题,请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后,从Cisco Directory连接器执行同步。然后,用户可以再次登录Webex应用程序,帐户不会被删除。
增量同步失败
问题
增量同步失败。
在以下条件下可能会在Windows Server 2008 R2上出现此问题:
-
您支持增量值更新。
-
您使用的筛选器引用链接值属性。
-
该属性的结果值自上次进行完全同步以来已更新。
解决方案
Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。
属性的值无效
问题
对于 [user dn (distinguished name)],属性 [attribute name] 有以下无效值 [attribute value]。
可能原因
对于CN=b,OU=Employees,OU=C Users,DC=c,DC=com,属性[电话号码]具有以下无效值:+。此属性必须包含至少一个数字。
解决方案
此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。
要删除匹配的用户
问题
匹配的用户将被标记为要删除。
当执行干运行同步以检查Active Directory和云之间的数据时,您可能会在两者中看到相同的电子邮件地址。但是,用户被标记为要删除的对象。
解决方案
选择适当的修复:
-
如果可以在之后删除用户并重新执行许可证,您可以使用Directory Connector进行修复。执行同步以删除用户,然后执行其他同步以将用户从本地AD同步到云。
-
如果您无法删除并重新创建用户帐户,请在支持下打开案例。
缺少属性
问题
添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值,否则不会在Control Hub中创建该条目。
可能原因
必需属性的 email address 缺失。添加内部条目时[CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local],除非所有必需属性都具有值,否则不会在Control Hub中创建条目。
解决方案
用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。
嵌套组无法同步
问题
嵌套的Active Directory组中的用户未正确与云同步。
可能原因
使用不受支持的子组和父组的筛选器。例如:(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
解决方案
必须重新配置同步组的过滤器。例如:|(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
用户命名冲突
问题
对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言,[用户电子邮件地址],以及用户类型[user_type]。
可能原因
已在Control Hub中存在该电子邮件地址的用户。
解决方案
在Active Directory中创建用户,其电子邮件地址与您通过Control Hub注册的帐户相同。
Control Hub
Control Hub中缺少用户列表
问题
如果您拥有超过1000名同步用户的Webex组织,则可能无法在Control Hub中看到用户列表。
解决方案
您可以使用搜索功能查找用户帐户。在Control Hub中,转至用户,单击搜索,然后输入搜索条件以查找特定用户。
组不会同步到Control Hub
问题
目录组中的用户无法正确同步到Control Hub。
可能原因
在Active Directory中,该组未标记为 isCriticalSystemObject 。
解决方案
确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。
启用 Directory Connector 故障诊断
您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息,并将其保存至文件。
以下日志文件: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
运行 |
| 2 |
重启服务。 请参阅如何启动服务获取指导。 |
| 3 |
在目录连接器中,单击仪表板。 |
| 4 |
转至操作,然后单击。 |
| 5 |
启用故障诊断后,重复执行导致错误的操作,这样将捕获流量数据,以便进行检查。 |
| 6 |
检查日志文件:如果文件空白,请确保帐户有权访问 AD DS 或 AD LDS。 日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。 |
| 7 |
如有必要,向支持人员发送日志文件以获取协助。 |
| 8 |
诊断完成后,请禁用故障诊断功能。 |
启动事件查看器
若要查看完全或增量同步期间发生的事件,请启动“事件查看器”。它显示管理事件和错误日志的摘要。
| 1 |
从Directory Connector转至仪表板,然后单击。 “事件属性”对话将显示同步事件详细信息与错误详细信息。 |
| 2 |
从事件查看器,转至。
|
| 3 |
在操作下,单击保存所有事件为 将所有日志导出为单个事件文件(*。evtx)或其他格式(如xml或csv)。 |
下一步
如果您需要打开案例,请联系支持人员,描述连接器的问题,然后将“事件”文件附加到案例中。
事件日志会捕捉用户操作。如需管理网络流量的帮助,请在连接器上启用故障排除。
在Internet Explorer中启用TLS
如果您切换了单点登录(SSO)提供商,您可能会看到来自Cisco目录连接器的以下错误消息:
-
登录到服务时出错
-
此页脚本中出现错误
如果您看到这些错误,必须在浏览器中启用TLS设置。
| 1 |
打开Internet Explorer,然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器,然后再次打开它 |
| 2 |
单击互联网选项 ,转至高级 ,滚动至安全。 |
| 3 |
检查使用TLS 1.1 和使用TLS 1.2 复选框,然后单击确定。
|
| 4 |
重新启动系统以便更改生效。 |
服务帐户登录问题故障诊断
如果您无法登录Cisco目录连接器或无法运行同步,请在联系支持人员之前尝试解决该问题。
| 1 |
尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。 |
| 2 |
根据结果选择一项:
|
| 3 |
至少,确保Cisco DirSync服务(可在Windows服务中找到)配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下,该服务利用Windows登录帐户凭据和身份验证。 |
在Windows注册表中检查SafeDllSearchMode
默认情况下,安全动态链接库(DLL)搜索模式在Windows注册表中设置,然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用,攻击者可以将恶意DLL(与位于系统文件夹中的引用的DLL文件名称相同)放置到应用程序的当前工作目录中。
通常,SafeDllSearchMode已启用,但使用此步骤来复选注册表设置。
开始之前
对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。
| 1 |
在Windows搜索或运行窗口中,键入regedit ,然后按Enter。 |
| 2 |
转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。 |
| 3 |
选择一种:
|
有关详细信息,请参阅动态链接库搜索顺序。
Cisco Directory连接器概述
目录连接器概述
Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件,并将其安装到本地计算机上。
使用Directory Connector,您可以在Active Directory中维护您的用户帐户和数据,因此Active Directory成为唯一的真相来源。当您在内部进行更改时,它会复制到云。
请参阅表中所有的功能、描述和优势:
| 功能 | 描述和优势 |
|---|---|
| 简单易用的控制板 | 该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。 |
| 在同步到云之前进行干燥 | 在云中实施这些更改之前,先对目录进行干燥。之后,运行报告以查看要执行的变更是否与预期一致。 |
| 完全同步和增量同步 | 同步整个目录。或者,仅同步增量变更,从而提高处理能力并缩短同步时间。 |
|
同步多个域(单森林或多森林) |
Directory Connector支持单个森林或多个森林下的多个域(无需使用AD LDS)。对于拥有多个Active Directory域的企业,您可以为每个域安装Directory Connector,将每个域绑定到您的组织,然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态,允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。 |
| 按计划同步 | 按天、小时和分钟设置同步安排。 |
| 轻量级目录访问协议 (LDAP) 过滤器 | 定义 LDAP 搜索条件并实现高效的导入。 |
| 活动目录属性映射 | 将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性,并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据,例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据(职务、部门、经理等)。 |
|
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录 |
如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务,或者您拥有内部Room设备,此功能可让用户从Cisco Webex Calling(云PSTN)电话或Room资源搜索企业联系人目录。
|
| 事件查看器 | 使用事件查看器可确定是否存在同步问题。 |
| 诊断工具和故障排除 | 您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确,您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接,以便在联系支持人员之前自行诊断错误。 在Directory Connector中启用故障排除后,将编写日志,可发送给技术支持。 |
| 自动升级 | 安装 Directory Connector 后,您会在软件有新版本时收到通知。您可以设置自动升级,以便在发布新版本时始终使用最新版本的软件。 |
| 高可用性 | 配置多个连接器,以便在主连接器或机器主机出现宕机情况时提供备用。 |
Directory Connector 分为以下三个部分:
-
Control Hub 是一个单一界面,可让您管理Webex组织的所有方面:如果您希望用户通过企业身份提供商进行身份验证,并且不想为Webex应用程序发送电子邮件邀请,则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
-
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域,您可以为要同步的每个域安装一个软件实例。使用该软件,您可以运行同步以将Active Directory用户帐户带入Webex,查看和监控同步状态,并配置Directory Connector服务。
-
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。
请参考此图了解Directory Connector架构:
为Directory Connector准备您的环境
目录连接器的要求
Windows和Active Directory要求
您可以在这些受支持的Windows服务器上安装Directory Connector:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
要解决Cookie问题,我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。
以下的Active Directory服务支持Directory Connector:
-
2016年活动目录
(在Windows Server 2019上使用最新版本的Active Directory时,支持目录连接器)
-
活动目录2012
-
活动目录2008 R2
-
活动目录2008
请注意以下附加要求:
-
目录连接器需要TLS1.2。您必须安装以下内容:
-
.NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题,请使用 使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
-
.NET Framework v.4.5(TLS1.2必需)
-
-
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。(请参阅什么是 Active Directory 功能级别?获取更多信息。)
硬件要求
您必须在符合以下最低硬件要求的计算机上安装Directory Connector:
-
8 GB RAM
-
50 GB 存储
-
CPU 没有最低要求
网络要求
如果您的网络是防火墙的幕后,请确保您的系统有HTTPS(端口443)访问互联网。
Webex组织要求
-
要从Control Hub访问Directory Connector软件,您需要试用Webex组织或任何付费订阅。
-
(可选)如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态,我们建议您执行以下操作:
-
将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成 。
-
抑制自动电子邮件邀请,这样新用户就不会收到自动电子邮件邀请,您可以进行自己的电子邮件活动。(此功能需要SSO集成。)
有关详细信息,请参阅控制中心中的用户状态和操作。
安装要求
-
对于多个域环境(单森林或多森林),必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B),同时还要保留其他现有域 (A) 上的已同步用户数据,请确保您有受支持的独立 Windows Server 来安装 Directory Connector,以进行域 (B) 同步。
-
要登录连接器,我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。
此本地用户必须拥有该Windows计算机上的权限,才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。(此信息也适用于虚拟机登录。)
-
登录连接器时,登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下,连接器使用本地系统帐户访问Active Directory。但是,您可以使用Windows服务配置其他帐户以访问Active Directory。(此信息也适用于虚拟机登录。)
-
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用:在Windows注册表中检查SafeDllSearchMode。
-
如果您在单个森林上使用多个AD LDS域,我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。
多个域要求
在 Cisco目录连接器部署任务流中跟踪任务之前,如果您要将多个域的Active Directory信息同步到云中,请记住以下要求和建议:
-
每个域需要单独的Directory Connector实例。
-
Directory Connector软件必须运行在其将同步的同一域上的主机。
-
我们建议您在Control Hub中验证或声明您的域。(参见添加、验证和申请域。)
-
如果要同步超过50个域,您必须打开标签 才能让您的组织移动到大型组织列表。
-
如果需要,您可以与用户帐户同步房间资源信息。(请参阅将内部会议室信息同步到Webex云。)
自动许可证分配活动目录组建议
Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。
Active Directory中有两种类型的组:
-
分发组—用于创建电子邮件分发列表。
-
安全组-用于分配共享资源的权限。
在Active Directory中创建组时,请考虑以下指导原则:
-
为每个角色、部门或服务创建全球组(例如销售、营销、经理、会计师、Webex授权等)。
-
在整个组织中使用标准命名规范,以便轻松识别有关组的重要信息。组名称可以包含组的详细信息,例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如,组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
-
以易于理解的方式组织群组,例如按地域或管理层次。使用组描述来完整描述组的目的。
-
在将用户添加到新配置的组之前,请为这些组在Control Hub中定义自动许可证组模板。有关详细信息,请参阅设置自动许可证分配模板 。
调整尺寸信息
Directory Connector是本地Active Directory和Webex云之间的桥梁。因此,连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定,而不是连接器本身。
一些因素会影响同步的速度:
-
Active Directory对象的总数。(5,000个用户同步工作所需的时间不超过50,000。)
-
网络速度和带宽。
-
系统工作负载和规格。
如果您正在同步超过50,000个用户,我们强烈建议您使用第二个连接器进行故障转移和冗余。
由于同步涉及多个因素,并且每个部署取决于上述因素,因此我们无法提供对象同步所需时间的特定时间值。
在Windows注册表中检查SafeDllSearchMode
默认情况下,安全动态链接库(DLL)搜索模式在Windows注册表中设置,然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用,攻击者可以将恶意DLL(与位于系统文件夹中的引用的DLL文件名称相同)放置到应用程序的当前工作目录中。
通常,SafeDllSearchMode已启用,但使用此步骤来复选注册表设置。
开始之前
对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。
| 1 |
在Windows搜索或运行窗口中,键入regedit ,然后按Enter。 |
| 2 |
转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。 |
| 3 |
选择一种:
|
有关详细信息,请参阅动态链接库搜索顺序。
WebEx 代理集成
WebEx 代理集成
如果您的环境中已启用 Web 代理验证,则您仍然可用使用 Directory Connector。
如果您的组织使用透明Web代理,则不支持身份验证。连接器已成功连接和同步用户。
您可以选择下列方法之一:
-
通过Internet Explorer显式Web代理(连接器继承了Web代理设置)
-
通过。pac文件显式网络代理(连接器继承企业特定的代理设置)
-
与连接器配合的透明代理,无需任何更改
通过浏览器使用 Web 代理
您可以通过Internet Explorer设置Directory Connector以使用Web代理。
如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行,那么您还需要用此帐户登录并配置 Web 代理。
| 1 |
在 Internet Explorer 中,转至 Internet 选项,单击连接,然后选择局域网 (LAN) 设置。 |
| 2 |
指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。 |
| 3 |
如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在整个站点范围内执行此操作(针对所有主持人),也可以仅针对具有连接器的主持人。 如果您将这些URL添加到允许列表以完全绕过您的WEB代理,请确保防火墙ACL表已更新,以允许连接器主持人直接访问URL。 |
| 4 |
如果您的环境需要从证书颁发机构请求证书撤销列表,请将这些URL添加到您的允许列表:
有关详细信息,请参阅本文关于Webex Services需要访问的域和URL。 |
通过 PAC 文件配置 Web 代理
您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。
| 1 |
要使连接器成功连接并同步用户信息到Webex云,请确保安装连接器的主机。pac文件配置中已禁用 |
| 2 |
如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在整个站点范围内执行此操作(针对所有主持人),也可以仅针对具有连接器的主持人。 如果您将这些URL添加到允许列表以完全绕过您的WEB代理,请确保防火墙ACL表已更新,以允许连接器主持人直接访问URL。 |
| 3 |
如果您的环境需要从证书颁发机构请求证书撤销列表,请将这些URL添加到您的允许列表:
有关详细信息,请参阅本文关于Webex Services需要访问的域和URL。 |
NTLM代理
Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证,并确保其安全。
NTLM设计
在大多数情况下,用户希望通过客户端PC访问其他工作站资源,这很难以安全的方式进行。
一般来说,NTLM的技术设计基于挑战
和响应
机制:
-
用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同,密码的哈希值在本地存储。当用户通过密码登录客户端时,Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同,则验证将通过。
当用户想要访问其他服务器中的任何资源时,客户端会向服务器发送一个请求,帐户名称为纯文本。
-
当服务器收到请求时,服务器会生成16位随机密钥。关键称为Challenge(或Nonce)。在服务器返回客户端之前,挑战将存储在服务器中。然后,服务器将挑战以纯文本形式发送给客户端。
-
客户端收到服务器发送的挑战后,客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后,该值将返回到服务器。
-
当服务器从客户端收到加密值时,服务器将其发送到域控制器进行验证。请求包括:帐户名称、客户端发送的加密挑战,以及原始的简单挑战。
-
域控制器可以根据帐户名称检索密码的哈希值。然后,域控制器可以对原始挑战进行加密。然后,域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同,验证将成功。
Windows在操作系统中内置了安全验证,使应用程序更容易支持安全验证。因此,您无需完成进一步的配置。
配置透明代理
在这种情境下,浏览器不会知道透明 Web 代理正在拦截 http 请求(端口 80/端口 443),因此不需要客户端配置。
| 1 |
部署透明代理,以便连接器可以连接和同步用户。 |
| 2 |
确认代理已成功—启动连接器时,您会看到预期的浏览器身份验证弹出窗口。 |
设置代理身份验证
通过创建访问控制列表,将URL cloudconnector.webex.com 添加到允许列表中。
在企业防火墙服务器上:
| 1 |
如果尚未启用 DNS 查找,请启用。 |
| 2 |
确定此连接的估计带宽(连接器约为2 mb/s或以下)。这不是必须执行的步骤。 |
| 3 |
创建访问控制列表以应用于连接器主机,并指定 例如: access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https |
| 4 |
将此ACL应用于相应的防火墙接口,该接口仅适用于此单个连接器主持人。 |
| 5 |
通过配置相应的隐式拒绝声明,确保企业中的其他主机仍需使用 Web 代理。 |
部署目录连接器
Cisco目录连接器部署任务流程
| 1个 |
Control Hub最初将目录同步显示为禁用状态。 要为组织打开目录同步,必须安装和配置Directory Connector,然后成功执行完整同步。 要重新安装Directory Connector,请始终转至Control Hub (https://admin.webex.com)获取软件的最新版本,以便您使用最新的功能和故障修复。 安装软件后,将通过软件报告升级,并在可用时自动安装。 |
| 2个 |
使用您的Webex管理员凭据登录,并执行初始设置。 |
| 3个 |
将Directory Connector软件更新到最新版本始终非常重要。 我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。 |
| 4个 |
默认情况下,Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。 要对哪些对象进行同步的更多控制,您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。 |
| 5个 |
您可以将本地Active Directory中的属性映射到云中的相应属性。 唯一必填字段是*uid。 |
| 6个 |
使用以下程序之一同步目录头像: 您可以将用户的头像同步到云,以便每个用户登录应用程序时显示他们的头像。 您可以从Active Directory属性或资源服务器同步化头像。 |
| 7 |
使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的房间设备(例如Webex Room设备或Cisco Webex Board)上的可搜索条目 |
| 8个 |
要从Active Directory向Control Hub提供用户,请执行以下步骤: 按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。 在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 目标是在Active Directory和Webex云之间实现精确匹配。 |
安装目录连接器
Control Hub最初将目录同步显示为禁用状态。 要为组织打开目录同步,必须安装和配置Directory Connector,然后成功执行完整同步。
您必须为要同步的每个Active Directory域安装一个连接器。 单个目录连接器实例只能服务单个域。 请参阅下图了解多个域同步的流程:
开始之前
如果您通过代理服务器进行身份验证,请确保您拥有代理凭据:
-
对于代理基本身份验证,安装连接器的实例后,您将输入用户名和密码。 基本身份验证也需要Internet Explorer代理配置;请参阅通过浏览器使用Web代理
-
对于代理NTLM,第一次打开连接器时可能会看到错误。 请参阅通过浏览器使用Web代理。
| 1个 |
在控制中心中,转至,然后选择下一步。 |
| 2个 |
单击下载和安装链接,将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。 您可以直接从此链接获取。zip文件,但必须对Control Hub组织的完整管理访问权限才能使用此软件。 对于新安装,请获取软件的最新版本,以便使用最新的功能和bug修复。 安装软件后,将通过软件报告升级,并在可用时自动安装。 |
| 3个 |
在VMware或Windows服务器上,解压缩并在设置文件夹中运行。msi文件,以启动设置向导。 |
| 4个 |
单击下一步,勾选框以接受许可协议,然后单击下一步,直到您看到帐户类型屏幕。 |
| 5个 |
选择要使用的服务帐户类型,并使用管理员帐户执行安装:
要避免错误,请确保具有以下权限:
|
| 6个 |
单击安装。 网络测试运行后,如果出现提示,输入您的代理基本凭证,单击确定,然后单击完成。 |
下一步该做什么
我们建议您在安装后重新启动服务器。 当数据未发布时,干运行报告无法显示正确结果。 重启计算机时,所有数据都会刷新以在报告中显示准确结果。
登录到目录连接器
开始之前
确保您拥有代理凭据。
-
对于Proxy basic-auth,第一次打开连接器后将输入用户名和密码。
-
对于代理NTLM,打开Internet Explorer,单击齿轮图标,转至 Internet选项>连接> LAN设置,确保已添加代理服务器信息,然后单击确定。 请参阅通过浏览器使用Web代理。
| 1个 |
打开连接器,如果看到提示,则将 |
| 2个 |
如果出现提示,请使用代理身份验证凭据登录,然后使用您的管理员帐户登录Webex,然后单击下一步。 |
| 3个 |
确认您的组织和域。
|
| 4个 |
出现确认组织屏幕后,单击确认。 如果您已绑定AD DS/AD LDS,将显示确认组织屏幕。 |
| 5个 |
单击确认。 |
| 6个 |
根据要绑定到Directory Connector的Active Directory域数,选择一个:
|
下一步该做什么
登录后,系统提示您执行干运行同步。
目录连接器仪表板
当您首次登录Directory Connector时,会显示仪表板。 在这里,您可以查看所有同步活动的摘要、查看云统计、执行干运行同步、启动完整或增量同步并启动事件视图以查看错误信息。
您可以从“操作”工具栏或“操作”菜单轻松运行这些任务。
|
组件 |
描述 |
|---|---|
|
当前同步 |
显示当前正在进行的同步的状态信息。 当未运行同步时,状态显示处于空闲状态。 |
|
下一次同步 |
显示下一个已安排的完整和增量同步。 如果未设置计划,将显示未计划。 |
|
上次同步 |
显示最近两次已执行同步的状态。 |
|
当前同步状态 |
显示同步的总体状态。 |
|
连接器 |
显示可用于云的当前本地连接器。 |
|
云统计 |
显示同步的总体状态。 |
|
同步计划 |
显示增量同步和完全同步的同步计划。 |
|
配置摘要 |
列出配置中更改的设置。 例如,摘要可能包括以下内容:
|
| 行动 | 描述 |
|---|---|
| 开始增量同步 |
手动启动增量同步 暂停或禁用同步时,如果未完成完全同步或同步正在进行中,则此操作将禁用。 |
|
同步干运行 |
执行干运行同步。 |
|
启动活动查看器 |
启动Microsoft Event Viewer。 |
|
刷新 |
刷新Cisco目录连接器仪表板 |
|
行动 |
描述 |
|---|---|
| 立即同步 |
立即开始完全同步。 |
|
同步模式 |
选择增量或完全同步模式。 |
|
重置连接器秘密 |
在Cisco目录连接器和连接器服务之间建立对话。 选择此操作将重置云中的秘密,然后在本地保存秘密。 |
|
干运行 |
对同步过程执行测试。 在进行完全同步之前,必须先进行干运行。 |
|
故障排除 |
打开/关闭故障排除。 |
|
刷新 |
刷新Cisco目录连接器主屏幕。 |
|
退出 |
退出Cisco目录连接器。 |
|
关键组合 |
行动 |
|---|---|
|
Alt +A |
显示操作菜单 |
|
|
现在同步 |
|
|
重置连接器秘密 |
|
|
干运行 |
|
|
增量同步 |
|
|
完全同步 |
|
|
显示帮助菜单 |
|
|
帮助 |
|
|
关于 |
|
|
常见问题 |
设置自动升级
| 1个 |
从Directory Connector,转至,然后检查自动升级到新的Cisco Directory Connector版本。 |
| 2个 |
单击应用保存更改。 |
新版本的连接器可用时将自动安装。
您可以手动管理升级(如果您愿意)。 有关更多信息,请参阅升级至最新软件版本。
选择要同步的Active Directory对象
默认情况下,Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。 要对哪些对象进行同步的更多控制,您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
自动许可证分配组
Control Hub允许您按组管理许可证分配。 您可以创建许可证模板,并将其映射到同步到云的Active Directory组。 在用户创建时,Webex检查该新用户的用户会员身份和自动许可证模板映射。
我们建议您使用LDAP过滤器仅将相关组同步到云。 例如,您可以将过滤器设置为:
(&(cn=示例)(objectclass=组))*
此过滤器将以Example开头的基础DN中的所有组同步。 未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。
混合数据安全部署组
在Directory Connector中,如果您使用混合数据安全为试点用户配置试用组,则必须检查组。 请参阅混合数据安全部署指南获得指导。 此目录连接器设置不会影响云中的其他用户同步。
开始之前
| 1个 |
从目录连接器转至配置,然后单击对象选择。 |
| 2个 |
在对象类型部分中,检查用户,并考虑限制用户可搜索容器的数量。 例如,如果您想仅同步特定组中的用户,必须在用户LDAP过滤器字段中输入LDAP过滤器。 如果要同步示例管理器组中的用户,请使用以下过滤器:
|
| 3个 |
检查识别房间以将房间数据与用户数据分开。 要设置其他属性,将用户数据识别为房间数据,请单击自定义。 如果要将内部会议室信息从Active Directory同步到Webex云时,请使用此设置。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。 有关详细信息,请参阅将内部会议室信息同步到Webex云。 |
| 4个 |
要将Active Directory用户组同步到云,请检查组。 不要向“组”字段添加用户同步LDAP筛选器。 您仅应使用“组”字段将组数据本身同步到云。 默认情况下,组不会为新客户同步。 必须启用组同步。 还必须同步安全组。 |
| 5个 |
如果要将用户的联系信息同步到云,请检查联系人。 目录连接器仅管理由连接器同步的联系人。 如果Control Hub中已经有联系人,则同步不会删除联系人。 如果从同步范围中删除联系人,则在Control Hub中也会删除用户的联系信息。 |
| 6个 |
配置 LDAP 过滤器。 您可以通过提供有效的LDAP过滤器来添加扩展过滤器。 有关配置LDAP过滤器的更多信息,请参阅本文。 |
| 7 |
单击选择以查看Active Directory树结构,指定要同步的On Premises Base DN。 您可以在此处选择或取消选择要搜索的容器。 |
| 8个 |
检查要为此配置添加的对象,然后单击选择。 您可以选择要用于同步的单个容器或母容器。 选择父容器,以启用所有子容器。 如果您选择子容器,母容器会显示灰色复选标记,表示孩子已检查。 然后,您可以单击选择以接受选中的Active Directory容器。 如果您的组织将所有用户和组放置在“用户”容器中,则无需搜索其他容器。 如果您的组织被分为组织单位,请确保选择OU。 |
| 9 |
单击应用。 选择一个选项:
有关干运行的信息,请参阅在Active Directory用户上执行干运行同步。 对于组同步,您必须执行完整同步: 将Active Directory用户完全同步到云中。 |
映射用户属性
您可以将本地Active Directory中的属性映射到云中的相应属性。 唯一的必填字段是*uid,这是云身份服务中每个用户帐户的唯一标识符。
您可以选择要映射到云的Active Directory属性—例如,您可以映射到Active Directory中的 firstName lastName,或将自定义属性表达式映射到云中的 displayName。
Active Directory中的帐户必须有一个电子邮件地址;uid映射默认为邮件的广告字段(不是 sAMAccountName)。
如果您选择使用首选语言来自Active Directory,则Active Directory是唯一的真理来源: 用户将无法在Webex设置中更改其语言设置,管理员也无法在Control Hub中更改设置。
| 1个 |
从Directory Connector,单击配置,然后选择用户属性映射。 此页显示Active Directory(左侧)和Webex云(右侧)的属性名称。 所有必需属性都标有红色星号。 |
| 2个 |
向下滚动到 Active Directory属性名称的底部,然后选择其中一个Active Directory属性以映射到云属性uid:
您可以将其他Active Directory属性映射到uid,但我们建议您使用上述指南中的邮件或userPrincipalName。 在某些情况下,使用userPrincipalName来登录,但使用用户的电子邮件地址来管理他们的日历。 您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。 将userPrincipalName作为备用电子邮件地址添加。 要查看Active Directory中的哪些属性与云中的对应关系,请参阅在Directory Connector中映射Active Directory属性。 要使同步工作,您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口,以提醒您,如果您没有选择推荐的属性。 |
| 3个 |
如果预定义的Active Directory属性不适用于部署,请单击属性下拉菜单,滚动到底部,然后选择自定义属性以打开一个窗口来定义属性表达式。 单击帮助以获取有关表达式的更多信息,并查看表达式如何工作的示例。 您还可以查看自定义属性的表达式以了解更多信息。 在此示例中,我们将将Active Directory属性
Directory Connector验证身份服务中的uid的属性值,并在当前用户过滤选项下检索3个可用用户。 如果所有3个用户都具有有效的电子邮件格式,则Cisco Directory Connector将显示以下消息:
如果无法验证属性,您将看到以下警告,并可以返回到Active Directory以检查和修复用户数据:
|
| 4个 |
(可选)如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中,选择手机和电话号码的映射。 当用户将鼠标悬停在另一个用户的档案照片上时,电话号码数据会显示在Webex应用程序中。 有关从用户联系人卡呼叫的更多信息,请参阅在Webex (Unified CM)部署指南(管理员)。 |
| 5个 |
选择其他映射以显示在联系人卡中的更多数据:
映射属性后,当用户将鼠标悬停在另一个用户的档案图片上时,会显示信息:
有关联系卡的更多信息,请参阅验证您的联系人。 将这些属性同步到每个用户帐户后,您还可以在Control Hub中打开People Insights。 此功能允许Webex App用户在配置文件中共享更多信息,并相互了解。 有关该功能以及如何启用该功能的更多信息,请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events(新建)People Insights Profiles |
| 6个 |
做出选择后,单击应用。 |
Active Directory中包含的任何用户数据都会覆盖与该用户对应的云中的数据。 例如,如果您在Control Hub中手动创建用户,则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。 在Active Directory中没有相应电子邮件地址的用户将被删除。
已删除的用户将在云身份服务中保留7天,然后被永久删除。
活动目录和云属性
您可以使用用户属性映射选项卡将本地Active Directory中的属性映射到云中的相应属性。
此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。 这些值和映射是Directory Connector中的默认设置。 您可以在Active Directory下拉菜单中选择不同的属性,并确定哪些内部属性与哪个云属性同步。
将下拉菜单属性视为预设。 作为Active Directory行中的值的替代,您还可以在Active Directory中指定自定义属性(具有多个属性的表达式)以映射到相应行中的单个云属性。 这样,您可以灵活地确定用户的显示名称,例如,您可以添加一个表达式,根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。
您还可以指定任何Active Directory属性,以映射到云中的uid。 但是,您必须确保内部属性遵循有效的电子邮件格式。
您还可以使用其他电子邮件地址,例如,如果您想使用userPrincipalName进行登录,但用户的电子邮件地址用于管理他们的日历。 在这种情况下,将其他电子邮件地址映射到电子邮件;类型-工作属性。 这是用于身份验证的电子邮件;它不用于管理您的日历。 您从AD映射的电子邮件地址必须来自您组织内的验证域,并且必须是唯一并且不会分配给其他用户。
|
活动目录属性名称 |
Webex云属性名称 |
注释 |
|---|---|---|
|
— |
建筑名称 |
— |
|
c |
c |
此属性指定用户的国家缩写。 |
|
部门号码 |
部门号码 |
|
|
显示名称 |
显示名称 |
此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。 |
|
用户帐户控制 |
ds-pwp-account-disabled |
此属性用于用户同步。 确保 userAccountControl 属性映射到 ds-pwp-account-disabled,或者用户未正确同步。 |
|
员工号码 |
员工号码 |
— |
|
传真电话号码 |
传真电话号码 |
— |
|
— |
jabberID |
此云属性与Jabber使用的IM地址(XMPP类型)有关。 此值与sipAddresses不同。 |
|
L的 |
L的 |
此属性指定用户的城市。 |
|
— |
Category:本地 |
— |
|
经理 |
经理 |
|
|
移动设备 |
移动设备 |
此属性被用作显示从联系人卡呼叫用户的移动号码。 |
|
或 |
或 |
此属性指定公司或组织的名称,并显示在联系人卡中。 |
|
或 |
或 |
此属性指定组织单位的名称。 |
|
physicalDeliveryOffice名称 |
physicalDeliveryOffice名称 |
此属性指定用户的办公位置。 |
|
邮政编码 |
邮政编码 |
此属性指定了用于实际邮件交付的用户的邮政或邮政编码。 |
|
首选语言 |
首选语言 |
此属性设置用户的首选语言,支持以下格式: xx_YY或xx-YY。 下面是一些示例: en_US,en_GB,fr-CA。 如果您使用不受支持的语言或无效的格式,用户的首选语言将更改为组织的语言集。 |
|
MSRTCSIP-主要用户地址 ipPhone |
SipAddresses;type=enterprise |
此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。 |
|
sn |
sn |
此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。 |
|
圣 |
圣 |
此属性指定用户的状态或省。 |
|
街道地址 |
街道 |
此属性指定用于实际邮件递送的用户的街道地址。 |
|
电话号码 |
电话号码 |
此属性指定用于从联系人卡呼叫用户的主要(工作)电话号码。 |
|
— |
时区 |
此云属性指定用户的时区。 |
|
标题 |
标题 |
|
|
类型 |
企业 |
— |
|
*邮件 *用户主要名称 |
uid |
强制性的属性映射。 对于每个用户帐户,Active Directory值映射到云中的唯一的UID。 在某些情况下,使用userPrincipalName来登录,但使用用户的电子邮件地址来管理他们的日历。 您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。 将userPrincipalName作为备用电子邮件地址添加。 然后用户可以使用这两个电子邮件地址之一登录,只要正确的 SAML属性映射就行了。 请参阅下面的示例属性映射,了解如何映射替代电子邮件地址。 |
|
*用户主要名称 *邮件 <自定义属性> |
电子邮件;类型工作 |
此映射是可选的,如果您想使用其他电子邮件地址,请使用此映射。 这是用于身份验证的电子邮件;它不用于管理您的日历。 您从AD映射的电子邮件地址必须来自您组织内的验证域,并且必须是唯一并且不会分配给其他用户。 |
|
<Azure用户对象Id的新属性> |
外部ID |
创建新的Active Directory属性以保留Azure用户对象ID,使其不会与现有的ID冲突。 此属性随后映射到externalId属性,确保Webex用户在Microsoft 365中创建群组时,会自动在Webex中创建群组。 |
替代电子邮件地址映射
自定义属性的表达式
|
操作员 |
描述和示例 |
|---|---|
|
% |
如果匹配,将字符串开头的所有字符删除到字符或字符串参数的位置。
|
|
- |
从指定字符串的末端剥离输入字符串的背部。
|
|
+ |
连接输入字符串或表达式。
|
|
| |
根据空字符串评估分隔表达式,并选择第一个非空结果。
|
将Active Directory属性中的目录头像同步到云
您可以将用户的目录头像同步到云,以便在登录Webex应用程序时显示每个头像。 使用此程序同步来自Active Directory属性的原始头像数据。
| 1个 |
从Directory Connector,转至配置,单击阿凡达,然后检查启用。 |
| 2个 |
对于从获取头像,选择AD属性,然后选择头像属性,其中包含要同步到云的原始头像数据。 |
| 3个 |
要验证头像是否正确访问,请输入用户的电子邮件地址,然后单击获取用户头像。 头像出现在右侧。 |
| 4个 |
验证头像显示正确后,单击应用保存更改。 |
-
同步的图像成为Webex应用程序中用户的默认头像。 在Directory Connector启用此功能后,不允许用户设置自己的头像。
-
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步该做什么
执行干运行同步;如果没有问题,则执行完全同步,以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。
将目录头像从资源服务器同步到云
您可以将用户的目录头像同步到云,以便在登录Webex应用程序时显示每个头像。 使用此程序从资源服务器同步化头像。
开始之前
-
此过程中的URI模式和变量值是示例。 您必须使用目录头像所在位置的实际URL。
-
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。 连接器需要http或https访问图像,但图像不需要在互联网上公开访问。
-
头像数据同步与Active Directory用户配置文件分开。 如果您运行代理,必须确保NTLM身份验证或基本身份验证可以访问头像数据。
| 1个 |
从Directory Connector,转至配置,单击阿凡达,然后检查启用。 |
| 2个 |
对于从获取头像,选择资源服务器,然后输入头像URI模式—例如, 让我们来看看阿凡达URI模式的每个部分及其含义:
|
| 3个 |
(可选)如果您的资源服务器需要凭证,请检查为头像设置用户凭证,然后选择使用当前服务登录用户或使用此用户并输入密码。 |
| 4个 |
输入变量值—例如: |
| 5个 |
单击测试以确保头像URI模式正常工作。 在此示例中,如果一个AD条目的邮件值为 |
| 6个 |
验证了URI信息并看起来正确后,单击应用。 有关使用正则表达式的详细信息,请参阅 Microsoft正则表达式语言快速参考。 |
-
同步的图像成为Webex应用程序中用户的默认头像。 在Directory Connector启用此功能后,不允许用户设置自己的头像。
-
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步该做什么
执行干运行同步;如果没有问题,则执行完全同步,以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。
将内部会议室信息同步到Webex云
使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的Webex设备(房间、桌面和板)上的可搜索条目。
| 1个 |
从Directory Connector转至同步,单击同步域旁边的 |
| 2个 |
检查将房间信息同步到云,在同步过程中将房间数据与用户数据分开。 禁用此设置时,将以与用户同步数据相同的方式处理会议室数据。 |
| 3个 |
转至属性映射,然后更改云属性的属性映射sipAddresses;type=enterprise。 要使用值验证,SIP地址的值应为Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4个 |
在Exchange中创建会议室资源邮箱。 这将添加连接器用于识别房间的 msExchResourceMetaData;ResourceType:Room 属性。
|
| 5个 |
从Active Directory用户和计算机,导航到并编辑会议室的属性。 使用sip的前缀添加完全合格SIP URI:
|
| 6个 |
在连接器中执行干运行同步,然后执行完整运行同步。 新会议室对象列出已添加对象,匹配的会议室对象将出现在匹配对象中干运行报告中中。 任何标记要删除的房间对象都位于已删除的房间下。
干运行结果显示所有匹配的房间资源。
此设置将Active Directory房间数据(包括房间属性)与用户数据分离。 同步完成后,连接器仪表板上的云统计数据将显示与云同步的房间数据。
|
下一步该做什么
现在您已完成这些步骤,当您在Webex云注册设备上搜索时,您将看到使用SIP地址配置的同步房间条目。 当您将Webex设备拨入该条目时,将呼叫放置到为房间配置的SIP地址。
从Control Hub,您可以自动从目录导入会议室并创建工作空间。
端点无法将呼叫回传回至Webex应用程序。 对于测试拨号设备,这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。 如果您正在搜索的Active Directory会议室系统已注册到Webex,并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上,则搜索结果不会显示重复条目。 在Webex应用程序中直接拨打Room、Desk或Board设备,不会进行SIP呼叫。
在目录同步结果上发送电子邮件报告
默认情况下,组织联系人或管理员总是会收到电子邮件通知。 使用此设置,您可以自定义谁应该接收总结目录同步报告的电子邮件通知。
| 1个 |
从Directory Connector,单击配置,然后选择通知。 |
| 2个 |
从Directory Connector中,单击设置,然后在电子邮件接收器旁边切换启用报告同步。 |
| 3个 |
如果要覆盖默认通知行为并添加一个或多个电子邮件收件人,请选择启用通知。 |
| 4个 |
单击添加,然后输入电子邮件地址。 如果您输入的电子邮件地址格式无效,则会弹出一条消息,告诉您纠正问题,然后才能保存并应用更改。 |
| 5个 |
单击添加电子邮件,然后输入电子邮件地址。 如果您输入的电子邮件地址格式无效,则会弹出一条消息,告诉您纠正问题,然后才能保存并应用更改。 |
| 6个 |
如果您需要编辑您输入的任何电子邮件地址,请双击左侧列中的电子邮件条目,然后进行所需的任何更改。 |
| 7 |
添加所有有效电子邮件地址后,单击应用。 |
| 8个 |
添加所有有效电子邮件地址后,单击保存。 |
下一步该做什么
如果您决定删除电子邮件地址,您可以单击电子邮件以突出显示该条目,然后单击删除。
如果您决定删除电子邮件地址,可以单击特定电子邮件地址条目旁边的删除。
从Active Directory向Control Hub提供用户
按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。 在安装每个域的Directory Connector后,您可以从多个域Active Directory部署(包含单个森林或多个森林)提供用户。 在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 目标是在Active Directory和Webex云之间实现精确匹配。
| 1个 |
执行干运行以比较内部Active Directory中的对象和Webex云中的对象。 干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。 |
| 2个 |
当您运行完全同步时,连接器服务将从Active Directory (AD)的所有过滤对象发送到云。 连接器服务然后用您的AD条目更新身份存储。 如果您创建了自动分配许可证模板,您可以将其分配给新同步的用户。 |
| 3个 |
向Control Hub中的Directory同步用户分配Webex服务 完成从Directory Connector输入到Control Hub的完整用户同步后,您可以使用各种方法分配Webex服务许可证。 我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。 您还可以在此初始步骤后进行个人更改。 |
在您的Active Directory用户上执行干线同步
执行干运行以比较内部Active Directory中的对象和Webex云中的对象。 干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 使用Directory Connector,目标是在Active Directory和Webex云之间实现精确匹配。
如果您在单个森林或多个森林中拥有多个域,则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。
开始之前
在使用Directory Connector之前,您可能已经在Control Hub中拥有一些Webex应用程序用户。 在云中的用户中,有些用户可能会与本地Active Directory对象匹配,并为服务分配许可证。 但有些测试用户可能是在进行同步时要删除。 您必须在Active Directory和Control Hub之间创建完全匹配。
| 1个 |
选择一项:
当干运行完成时,您将看到以下结果之一:
摘要包含有关对象匹配的信息:
干运行通过比较与域用户来识别用户。 如果用户属于当前域,应用程序可以识别用户。 在下一步,您必须决定是删除对象还是保留它们。 不匹配的对象已在Webex云中存在,但在内部Active Directory中不存在。 |
| 2个 |
查看干运行结果,然后根据您使用单个域还是多个域选择一个选项:
|
| 3个 |
在确认干运行提示符中,单击是重执行干运行同步并查看仪表板以查看结果。 在干运行中成功同步的所有帐户都出现在匹配对象下。 如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户,则该条目在已删除用户下列出。 要避免此删除标记,您可以在具有相同电子邮件地址的Active Directory中添加用户。 要查看已同步项目的详细信息,请单击特定项目或匹配对象的相应选项卡。 要保存摘要信息,请单击保存结果至文件。 |
| 4个 |
如果预期结果,请转至,然后单击立即启用进行手动同步,并在此处设置手动模式。 在多个域部署中的最后一个Active Directory域进行同步后,必须为Directory Connector启用自动模式。 只有当对象在Webex云和所有内部活动目录之间完全匹配时,您才可以启用自动模式。 |
下一步该做什么
-
对于您保留的任何不匹配的用户对象,您必须将其添加到Active Directory,以便在内部和云之间实现完全匹配。
-
选择同步类型:
-
首次将新用户同步到云时,将Active Directory用户完全同步到云中。 您可以从进行操作,然后从当前域的用户将同步。
-
设置连接器计划并在运行完整同步后运行增量同步,如果要在初始同步后拾取更改。 建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
默认情况下,增量同步设置为每30分钟(3.4及更早版本)或每4小时(3.5及更高版本)进行,但您可以更改此值。 在您最初执行完全同步之前,增量同步不会发生。
-
-
如果您有多个域,请在已安装的任何其他目录连接器上重复这些步骤。
需要记住的事情
-
启用完全同步之前或更改同步参数时执行干运行。 如果干运行由配置更改启动,您可以在干运行完成后保存设置。 如果您已手动添加用户,执行Active Directory同步可能会导致以前添加的用户被删除。 您可以在完全同步到云之前检查Directory Connector Dry Run报告,以验证所有预期用户都存在。
-
如果匹配的用户被标记为要删除,并且您不确定如何继续,请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。
已删除的用户将在云身份服务中保留7天,然后被永久删除。
将Active Directory用户完全同步到云
当您运行完全同步时,连接器服务将从Active Directory (AD)的所有过滤对象发送到云。 连接器服务然后用您的AD条目更新身份存储。 如果您创建了自动分配许可证模板,您可以将其分配给新同步的用户。
如果您有多个域,则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。
目录连接器同步用户帐户状态—在Active Directory中,任何被标记为禁用的用户在云中也会显示为非活动。
开始之前
-
如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态,则必须执行以下步骤以绕过电子邮件验证:
-
将单点登录与Webex组织集成。 查看
使用Cisco Webex Services和您的组织的身份提供商进行单点登录
有关更多信息。 -
使用Control Hub验证并选择声称电子邮件地址中包含的域。 查看
添加、验证和请求域
. -
抑制自动电子邮件邀请,这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。(您可以进行自己的电子邮件活动。)
尚未登录的已激活用户在Control Hub中显示已验证状态。 登录后,它们将显示为活动状态。 有关用户状态的更多信息,请参阅 Cisco Webex Control Hub中的用户状态和操作。
-
-
启用同步时,Directory Connector要求您先执行干运行。 我们建议您在完全同步之前进行干运行,以发现任何潜在的错误。
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板。
如果您不使用自动分配许可证模板,新同步的用户会自动获得免费许可证。 他们将能够使用与免费帐户的相同的免费功能。
| 1个 |
选择一项:
|
| 2个 |
从Directory Connector转至同步,单击同步域旁边的 |
| 3个 |
确认同步的开始。 对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序会在您执行同步后72小时内反映更改。 您可以按照以下说明尝试清除Webex应用程序的本地缓存: Windows 或 Mac。
|
| 4个 |
要更新同步状态,请单击刷新。 (同步项目出现在云统计下。) |
| 5个 |
有关错误的信息,请从操作工具栏选择启动事件查看器以查看错误日志。 |
| 6个 |
要设置持续增量同步到云的同步计划,请参阅设置连接器计划和运行增量同步。 |
-
完成完全同步后,在Control Hub的设置页面上,目录同步状态将从禁用更新至操作。
-
当所有数据在内部和云之间匹配时,Directory Connector将从手动模式更改为自动同步模式。
-
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件,否则Webex应用程序用户帐户将保持未验证状态,直到用户首次登录Webex应用程序以确认其帐户。 请参阅“开始之前”部分,了解如何将帐户同步为活动用户的指导。
-
如果您有多个域,请在已安装的任何其他目录连接器上执行此步骤。 同步后,您添加的所有域上的用户都会在Control Hub中列出。
-
如果您将单点登录与Webex集成,并且已删除的电子邮件通知,则电子邮件邀请不会发送给新同步的用户。
-
启用目录连接器后,您无法在Control Hub中手动添加用户。 启用后,从Cisco目录连接器执行用户管理,而Active Directory是唯一的真理源。
-
您同步的任何组都出现在Control Hub中,并且您可以分配许可证模板,以便该组中的用户获得许可证。
下一步该做什么
-
当您从Active Directory中删除用户时,该用户将在下次同步后被软删除。 用户处于非活动状态,但云身份档案将保留七天(以便从意外删除中恢复)。
如果您在Active Directory中检查帐户已禁用,则下次同步后该用户将变为非活动。 云身份档案七天后不会删除,以防要再次启用用户。
-
注意增量同步的这些异常(请按照上面的完整同步步骤操作):
-
如果更新了头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
-
属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。
-
向Control Hub中的Directory同步用户分配Webex服务
完成从Cisco目录连接器到Control Hub的完整用户同步后,您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证,或者如果您已经配置了自动分配的许可证模板,则向新用户添加其他许可证。 您可以在此初始步骤后更改个人用户帐户。
完成从Directory Connector输入到Control Hub的完整用户同步后,您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证(如果您已经配置了自动分配许可证模板)。 您可以在此初始步骤后更改个人用户帐户。
当您向Webex应用程序用户分配许可证时,该用户默认会收到一封确认分配的电子邮件。 该电子邮件由Control Hub中的通知服务发送。 如果您将单点登录(SSO)与Webex组织集成,则如果您更愿意直接联系用户,您也可以删除这些自动电子邮件通知。
开始之前
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板。
-
在Active Directory用户上执行干运行同步。
-
确认干运行结果后,在Active Directory用户上进行完全同步。
在完全同步时,用户在云中创建,不添加服务分配,也不发送激活电子邮件。 如果电子邮件未被抑制,新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。
| 1个 |
从 https://admin.webex.com 中的客户视图,转至,单击管理用户,选择修改所有同步用户,然后单击下一步。 |
| 2个 |
选择一个选项: |
下一步该做什么
-
如果电子邮件没有被抑制,将向每个用户发送电子邮件,并邀请其加入和下载Webex。
-
如果您为所有用户选择了相同的Webex服务,那么您可以单独或批量更改分配的许可证。
目录连接器的已知问题
-
2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。 此问题已在 2012 R2 和 2016版本中得到解决。
-
对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序将在执行同步后的72小时内反映更改。
您可以按照以下说明尝试清除Webex应用程序的本地缓存: Windows 或 Mac。
-
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间,此时呼叫将无限响起。
管理Webex应用程序用户
运行增量同步
增量同步会查询 Active Directory,查找自上次同步以来发生的更改。然后,此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。
此同步不会给服务器带来那么多的负载,也不需要像完全同步那样多的时间。完成初始完整同步后,我们建议为后续同步使用增量选项。
开始之前
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板 。
-
注意不支持增量同步的以下异常(请遵循将Active Directory用户完全同步到云中 ):
-
如果更新了头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
-
对于属性映射、基本DN、过滤器和头像设置的新配置更改,增量同步无法工作,需要完全同步。
-
| 1 |
从 Directory Connector 中,单击控制板。 启用同步时,Directory Connector 将要求您首先执行测试。 |
| 2 |
从操作中,如果尚未启用,单击同步模式>启用同步 。 默认情况下,增量同步设置为每30分钟(3.4及更早版本)或每4小时(3.5及更高版本)进行,但您可以更改此值。在您最初执行完全同步之前,增量同步不会发生。当新的增量时间间隔出现时,程序会根据最后一个时间标识检查更改。 |
| 3 |
从操作中,单击立即同步 > 增量。 对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序将在执行同步后的72小时内反映更改。
|
| 4 |
有关错误的信息,单击操作 工具栏中的启动事件查看器 可查看错误日志。 |
下一步
如果您有多个域,请在已安装的其他目录连接器实例上执行此步骤。
恢复意外删除的用户
Directory Connector具有制衡功能,以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器,这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复,并在Control Hub中重新建立用户帐户。
默认情况下,此功能对所有组织都启用。例如,在云中删除用户时,由于从Directory Connector同步后出现不匹配的对象问题,用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除,如果您快速采取行动,您可能能够恢复它们。
当在Active Directory中删除相应帐户时,用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间,您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。
在Active Directory中禁用的用户在Control Hub中标记为Inactive,但用户帐户在7天后不会删除。
| 1 | |
| 2 |
转至用户 并确认特定用户帐户是否处于非活动状态或未列出。 有关详细信息,请参阅控制中心中的用户状态和操作。 |
| 3 |
如果在Control Hub中删除用户,或者您注意到用户处于非活动状态,请转至Active Directory,添加缺失的用户帐户,然后在Directory Connector中执行干运行同步。 使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。 |
| 4 |
执行完全同步,将暂时删除的用户帐户重新同步至Control Hub。 用户被恢复并转至原始状态,包括其帐户状态和服务分配。 |
下一步
返回Control Hub,转至,并确认先前删除的用户帐户出现在用户列表中。
在软删除后永久删除用户
执行干运行后,您可以选择永久删除下次同步时被软删除的用户。
| 1 |
干运行完成后,选择软删除对象。 |
| 2 |
选中要删除的用户旁边的复选框。 |
| 3 |
选择完成。 |
下一步
下次同步时,已检查的用户将被永久删除。
更改Webex应用程序电子邮件地址
如果您想更改用户电子邮件地址,并且您的组织使用Directory Connector,请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。
如果您只想更改一个用户的电子邮件或某个值,请勿从Active Directory中删除该用户,然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户,用户空间和云中的其他数据将丢失。
目录连接器不限制电子邮件域更改。但是,当用户重新同步到云时,用户状态取决于您的组织中是否验证新域。如果组织中未验证域,则在完全同步后,用户的状态将更改为“待定”。有关更多信息,请参阅管理您的域。
如果您的组织不使用Directory Connector,您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址 ,了解用户可以遵循的步骤来更改电子邮件。
更改 Active Directory 域
您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。
| 1 |
设置新的 Active Directory (AD) 域。 |
| 2 |
禁用所有连接器上的同步。 |
| 3 |
卸载所有连接器。 |
| 4 |
在案例提交中,请确保请求删除组织中的域配置和所有同步属性。 在打开案例以更改域之前,请确保未运行同步功能。在案例解决之前,不要更改Active Directory中的任何用户电子邮件地址。 |
| 5 |
解决案例后: 在进行实际同步之前,使用Directory Connector执行测试运行。 |
域声明
如果您为某个组织申请电子邮件域名,从而在付费客户组织中创建任何旁边的帐户,而不是免费消费者组织中,则会出现域索偿。您只能通过支持案例进行域申索(有关更多信息,请参阅下面的链接)。
如果Directory Connector处于活动状态并且该域已声明,则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户,受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。
在目录同步组织中转换免费的Webex应用程序用户
您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序,则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户,请在打开Directory Connector之前将其迁移(转换)到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。
如果您未在激活前转换帐户,请关闭 Directory Connector 以对帐户进行转换。
如果启用目录同步时尝试转换用户,将显示错误消息 无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。
一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中,而不是不匹配对象。如果要将这些用户迁移到您的组织,则需要将这些用户添加到您的AD列表。
如果您未添加这些用户,它们将在您旁边同步到云时全部删除。
| 1 |
从 Directory Connector 中禁用目录同步功能。 |
| 2 |
按照在Control Hub中转换无许可用户 程序将用户从免费消费组织转换为企业组织。 此步骤将用户添加到您的组织,帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源,目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前,确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。 |
| 3 |
在Directory Connector上,执行干运行同步。测试完成后,查看“添加对象”标签页。验证是否未删除您已转换的任何用户。 您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中,则Directory Connector将区分大小写,并删除其检测到电子邮件地址不匹配的转换用户(例如,user1@example.com和User1@example.com)。 如果已删除任何转换的用户,他们将失去所有Webex应用程序空间。 |
| 4 |
如果您确定下一次同步将不会删除任何帐户,请从 Directory Connector 重新启用目录同步。 |
如果您没有验证域,转换的用户帐户不会自动激活。例如,如果您打开自动分配许可证模板,然后在没有域验证的情况下打开Directory Connector,转换后的用户将在云后端处于非活动状态,直到他们确认其电子邮件地址。
侧边的Webex应用程序用户帐户
当您邀请其他用户到Webex应用程序中的空间时,如果受邀用户没有Webex应用程序帐户,则为他们创建帐户(“侧面”)。缺省情况下,以此方式创建的帐户将添加至自由消费者组织中。
如果要使用Directory Connector管理侧栏帐户,则必须转换帐户。
目录同步后更改Webex应用程序用户名格式
默认情况下,Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。
执行目录同步后,您可能会发现该用户名以格式显示。
如果Active Directory中的 displayName 属性以这种方式配置,此用户名可能会出现。当属性映射到云中的 displayName 时,名称会在Control Hub中以格式显示。
若要更改格式,请在 Directory Connector 属性映射屏幕中进行如下操作:将Active Directory属性 givenName sn (或 sn givenName)映射到Cisco云属性名称中的 displayName 。
或者,将属性 sn givenName 映射到 displayName:
如果您想将自己的自定义属性表达式映射到 displayName,也可以使用“自定义属性”选项。
例如,输入givenName + "" + sn (名字、空间、姓氏)作为表达式。将Active Directory中的两个属性映射到云中displayName 。
允许用户在Webex Meetings中更改显示名称
如果您想允许用户编辑首选的显示名称,您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称,而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。
| 1 |
从Directory Connector,单击配置,然后选择用户属性映射。 |
| 2 |
在 Cisco云属性名称 下选择显示名称。 |
| 3 |
选择不同步此属性。 |
下一步
用户现在可以从Webex站点编辑显示名称。
Directory Connector 故障诊断
升级到最新软件版本
要保持部署合规并获取最新功能、功能、错误修复和安全增强功能,您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本,则可能会遇到问题,例如Directory Connector不再正常同步,或者处于不支持强制性 TLS 1.2要求的版本上。
Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。
虽然您可以手动安装连接器软件更新更新,但我们建议您遵循设置自动升级 中的步骤,让应用程序自动管理升级。
| 1 |
单击Windows任务栏中的通知,或右击Windows任务栏中的Directory Connector图标,开始升级过程。 |
| 2 |
按说明完成升级操作。 |
| 3 |
重新启动连接器并使用管理员凭据登录。 |
| 4 |
在下验证软件的版本号。 |
下一步
要重新安装Directory Connector,您可以 下载zip文件 ,然后按照本指南中的安装步骤操作。
配置 Directory Connector 的常规设置
使用此程序配置常规设置,例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中,其中还包含正在运行的任何其他连接器。
| 1 |
从Directory Connector转至配置,然后单击常规。 |
| 2 |
在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。 |
| 3 |
从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括:
这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误,则仅在同步报告中报告错误;如果不存在错误,则不会发送同步报告。将设置更改为Info,然后在完全同步后收到同步报告。(请记住,对于增量同步,没有报告错误时不会发送报告。) |
| 4 |
选择首选域控制器以设置域控制器同步身份的顺序。 将按照从上到下的顺序访问域控制器。如果顶级控制器不可用,则选择列表中的第二个控制器。如果列表中没有控制器,您可以访问主控制器。 |
| 5 |
如果要进行自动升级,请检查自动升级到新的Cisco Directory Connector版本 。 将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置,允许在软件可用时安静地安装自动升级到软件。 |
| 6 |
检查 通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。 如果您未通过 SSL检查LDAP,则Directory Connector将继续使用LDAP连接协议。 LDAP(轻量级目录应用程序协议)和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。 |
配置连接器策略
您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。
例如,将 1 设置为删除阈值触发值。在执行完全或增量同步时,如果您要删除的用户数大于该设置,Directory Connector 会显示警告。如果您单击忽略阈值,可以成功开始完全或增量同步,但是在您下次运行该策略时将再次看到此忽略提示。
| 1 |
从Directory Connector,单击配置,然后选择策略。 |
| 2 |
如需添加阈值触发器,请勾选“启用删除阈值触发器”复选框。 选择该选项后,删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时,同步失败。
|
| 3 |
输入您要设置的最大删除次数。缺省值为 20。 我们建议您不要增大该缺省值。 |
| 4 |
单击应用。 |
设置连接器的安排
在Active Directory中设置同步定时。为了实现高可用性 (HA),使用了故障转移。如果有一个连接器宕机,我们会在预定义的间隔过后,切换到另一个待机连接器。
| 1 |
从Directory Connector,单击配置,然后选择计划。 |
| 2 |
以分钟为单位指定增量同步间隔。 缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。 |
| 3 |
如果您希望更改发送报告的频率,请更改发送报告间隔时间值。 |
| 4 |
勾选启用完全同步计划以指定想要执行完全同步的日期和时间。 |
| 5 |
以分钟为单位指定故障转移间隔。 |
| 6 |
单击应用。 |
多域情境
多个域基于域优先级。对于在不同域具有相同键值的对象,在同步后,来自高优先级域的数据将覆盖来自低优先级域的数据。
具有相同键值的对象会链接到数据库中的同一条记录。
“用户”的键值是电子邮件地址;“组”的键值是组名。
多域使用示例
此示例假设某组织有两个域 - example1.com 和 example2.com,前者优先级高于后者。
-
添加 user1(电子邮件:user@example1.com)到 example1.com 的 Active Directory。
-
添加 group1(组名:Test)到 example1.com 的 Active Directory。
-
添加 user2(电子邮件:user@example2.com)到 example2.com 的 Active Directory。
-
添加 group2(组名:Test)到 example2.com 的 Active Directory。
- 在 example1.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 https://admin.webex.com 中,而 user1 和 group1 没有。
如果您为 example1.com 执行全面或增量同步,user1 和 group1 会同步。而且,user2 和 group2 会被 user1 和 group1 的信息覆盖。
User1 作为数据库中的相同记录链接到 user2;group1 作为数据库中的相同记录链接到 group2。
- 在 example1.com 和 example2.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 https://admin.webex.com 中,而 user1 和 group1 没有。
请考虑这些步骤:
- 在 example1.com 的 Active Directory 上删除 user1 和 group1。
- 为 example1.com 执行全面或增量同步。
结果:在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1,而 group2 没有链接到 group1。
- 为 example2.com 执行增量同步。
结果:在 https://admin.webex.com 中用户信息无变化。
- 为 example2.com 执行全面同步。
结果:user2 和 group2 的信息在 https://admin.webex.com 中列出。
同步新的域并保留现有域
如果要同步新的域 (B),同时还要保留其他现有域 (A) 上的已同步用户数据,请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后,该连接器会与新的域绑定,而域 (A) 下的用户信息不受影响。
每个域必须自带有效的连接器。请考虑采用以下设置的两个域:带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA);带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中,一个连接器处于活动状态,另一个处于待机状态 (HA)。该设计可保持域同步,因为有一个连接器始终处于活动状态。也就是说,cb1 是域 B 处于活动状态的连接器,因为域 A 已有处于活动状态的连接器(ca1 或 ca2)。
设置域优先级
使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域,等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织,此设置会很有帮助。
如果在 Directory Connector 中只列出了一个域,则不要使用此过程。如果您尝试进行此配置,连接器会显示一条消息,说明不需要域优先级。
开始之前
要避免错误,请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。
| 1 |
从Cisco目录连接器,单击仪表板。 |
| 2 |
转至操作,然后单击设置域优先级。 |
| 3 |
高亮显示列表中的一个域,单击向上或向下更改此域的优先级,然后单击保存保存更改。 各个域会按优先级自上而下排序。 |
切换域
使用此程序将Cisco目录连接器重新绑定到另一个域。
开始之前
-
在切换域之前,确保没有同步任务在运行。
-
要避免错误,请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。
| 1 |
从Cisco目录连接器,单击仪表板。 |
| 2 |
转至操作,然后单击切换域。 |
| 3 |
阅读警告后,如果您理解此更改对部署的影响,而且您仍然确定要更改,请单击是。 如果您切换域,则您将从当前Cisco目录连接器中注销,连接器中的其他域未注册,并且删除该计算机上的连接器信息。 |
| 4 |
重新登录Cisco目录连接器并重新绑定域。 |
关闭目录同步
如果您需要停止从Directory Connector进行同步,可以从Control Hub暂时将其关闭。
| 1 |
从https://admin.webex.com中的客户视图,转至,滚动至目录同步,然后选择一个:
|
| 2 |
阅读提示之后,单击关闭。 同步停止,直到从Directory Connector重新启用它。 |
删除用户属性映射
使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后,属性值将从云中删除,不再与Webex同步。然后可以手动编辑这些值。
| 1 |
从 Directory Connector 中,单击控制板。 |
| 2 |
转至操作,然后单击。 |
| 3 |
选择映射以从属性名称 列表中删除。 |
| 4 |
在受影响的用户范围下,选择以下其中一项:
|
| 5 |
单击应用。 |
管理档案照片
使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。
| 1 |
从 Directory Connector 中,单击控制板。 |
| 2 |
转至操作,然后单击。 |
| 3 |
在操作下,选择以下其中一项:
|
| 4 |
单击 Apply(应用)。 |
卸载并停用目录连接器
卸载 Directory Connector 实例后,必须取消注册它。如果面临以下任何情况,都应该彻底删除 Directory Connector:
-
您不想再使用目录同步。
-
您不想使用多个 Directory Connector(高可用性)中的某一个。
-
您想要更改域并安装其他连接器。
开始之前
-
您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例,请禁用同步。
-
卸载Directory Connector之前,保存并关闭任何重要工作。
| 1 |
在您的 Windows 计算机上,转至“控制面板”,然后单击程序和功能。 |
| 2 |
从程序列表中,单击目录连接器,选择卸载,然后按照提示操作。 您可能需要重启系统来完成卸载。 |
| 3 |
从https://admin.webex.com中的客户视图,转至,滚动至目录同步,单击更多 |
| 4 |
阅读提示之后,单击停用。 用户帐户将不会再同步,除非在高可用性 (HA) 部署中还有其他 Directory Connector。 |
运行诊断工具
您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。
如果同步工作不正确,您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接,因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误,您可以发送详细的日志结果以支持。
-
要为Active Directory域服务运行测试:
-
要运行Active Directory轻量级目录服务的测试:
-
要运行轻量级目录访问协议(LDAP)的测试:
解决Ciso Directory Connector中的问题
目录连接器的故障排除和修复
您可能在Directory Connector中遇到错误消息或其他问题。此外,在Directory Connector同步用户信息后,该连接器可能会向您发送一封电子邮件报告,列出同步存在的任何问题。在联系支持人员之前,请参考以下章节,了解可能出现的问题、可能的原因和建议解决方案。
安装
Directory Connector 停止运行
您收到警告电子邮件,通知您您的Directory Connector无法工作。
-
目录连接器可能未正确安装。
-
目录连接器可能未运行。
-
网络可能不可用。
请尝试以下操作:
-
打开。找到 Directory Connector。如果没有,请从Control Hub下载最新版本并安装。
-
打开服务 并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止,请单击右键并选择“启动”以重启该服务。
-
确保安装Directory Connector的服务器能够访问Internet。
重新安装错误
问题—如果您在卸载旧连接器后立即安装新连接器,可能会看到错误消息。
可能原因—在Windows Server 2012中,卸载客户端需要时间从服务列表中删除服务帐户。
解决方案—经过一段时间后,请再次尝试安装。
登录
SSO登录期间目录连接器崩溃
问题
从SSO登录页输入电子邮件地址后,目录连接器可能会崩溃。
解决方案
请尝试以下操作:
执行以下步骤以配置新的组策略:
-
转至域控制器并打开组策略管理(gpedit.msc)。
-
右键单击特定的OU或域,然后选择在此域中创建GPO,并在此处链接它……
-
给该策略命名,然后右键单击并选择编辑。
执行以下步骤以更改机器级别的策略:
-
转至,右键单击注册表,选择新建,然后选择注册表项。
-
对于关键路径,输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
-
为
值输入禁用脚本调试器,为值数据输入否。设置应匹配此屏幕截图:
请执行以下步骤以在用户级别更改策略:
-
转至,右键单击注册表,选择新建,然后选择注册表项。
-
对于关键路径,输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
-
为
值输入禁用脚本调试器,为值数据输入否。设置应匹配此屏幕截图:
在运行 gpupdate /force、重新启动机器(用于机器更改)或再次输入用户符号(用于用户更改)后,更改将生效。
无法注册Cisco DirSync服务连接器
问题
登录失败,并显示此消息:“无法注册Cisco DirSync服务连接器。”
解决方案
安装Directory Connector的Windows系统必须是Active Directory的成员。
未显示登录页面
问题
您打开目录连接器,登录页未显示。
解决方案
请尝试以下步骤:
-
在Internet Explorer中,转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器(如Chrome和Firefox)中尝试该链接。
-
如果Internet Explorer无法访问该链接,但其他浏览器可以,请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。(使用启用Internet Explorer中的TLS 程序。)
显示登录提示
问题
出现提示提示您输入用户名和密码以通过身份验证。
可能原因
Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败,会弹出对话框以请求身份验证用户名和密码。
解决方案
当您看到登录弹出窗口时,您需要提供具有正确身份验证的有效帐户,以保证传递安全。
无法连接远程服务器
无法注册连接器
问题
您将看到错误消息“无法注册连接器。发生了一般例外。”
可能原因
在大多数情况下,问题在于Directory Connector没有连接到LDAP根上下文的特权。
解决方案
请尝试以下操作:
-
运行命令提示符(cmd),然后输入 ldp.exe。
-
单击,选择绑定为当前登录用户,然后单击确定。
-
单击,输入DC=arbonneintl,DC=ad 作为BaseDN,然后单击确定。
-
如果问题继续,打开支持案例。
同步
头像未同步
问题
Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。
可能原因
如果您重复使用现有的头像服务器,并且用户头像已经同步,则本地缓存将捕获它们,并避免再次重订以保存带宽。
解决方案
按照以下步骤删除本地缓存:
-
转至C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
删除DirSyncPluginAvatar.dll-cache.bin。
-
从Cisco目录连接器重新启动头像同步。
用户电子邮件帐户冲突
问题
同步结果可能会显示有冲突的用户电子邮件帐户。
-
如果用户尝试了Webex应用程序的免费版本,他们的电子邮件地址将位于免费消费者组织中。
-
如果用户电子邮件在另一个组织中已同步。
-
如果用户电子邮件存在于属于组织的多个域中。
解决方案
请尝试以下操作:
-
如果您要向用户索要权,请按照以下步骤操作:
-
确保您已在 Control Hub中验证该域。
-
暂时禁用Cisco目录连接器。
-
使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关详细信息,请参阅向您的组织索要用户(转换用户) 。
-
在Cisco Directory Connector中运行干燥,然后重新启用目录同步
-
-
对于最后一个案例,请复选您的Active Directory源中的用户数据。
已转换用户标记为非活动
问题
在您的目录同步环境中,您将免费(消费者组织)用户转换为企业组织,但转换用户无法登录Webex应用程序。
可能原因
当自由用户转换为企业组织时,该用户将被标记为非活动状态为30天,作为安全合规措施。在此期间内,用户无法登录Webex应用程序,并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。
解决方案
如果您不想删除该用户帐户,必须采取行动。要解决此问题,请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后,从Cisco Directory连接器执行同步。然后,用户可以再次登录Webex应用程序,帐户不会被删除。
增量同步失败
问题
增量同步失败。
在以下条件下可能会在Windows Server 2008 R2上出现此问题:
-
您支持增量值更新。
-
您使用的筛选器引用链接值属性。
-
该属性的结果值自上次进行完全同步以来已更新。
解决方案
Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。
属性的值无效
问题
对于 [user dn (distinguished name)],属性 [attribute name] 有以下无效值 [attribute value]。
可能原因
对于CN=b,OU=Employees,OU=C Users,DC=c,DC=com,属性[电话号码]具有以下无效值:+。此属性必须包含至少一个数字。
解决方案
此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。
要删除匹配的用户
问题
匹配的用户将被标记为要删除。
当执行干运行同步以检查Active Directory和云之间的数据时,您可能会在两者中看到相同的电子邮件地址。但是,用户被标记为要删除的对象。
解决方案
选择适当的修复:
-
如果可以在之后删除用户并重新执行许可证,您可以使用Directory Connector进行修复。执行同步以删除用户,然后执行其他同步以将用户从本地AD同步到云。
-
如果您无法删除并重新创建用户帐户,请在支持下打开案例。
缺少属性
问题
添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值,否则不会在Control Hub中创建该条目。
可能原因
必需属性的 email address 缺失。添加内部条目时[CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local],除非所有必需属性都具有值,否则不会在Control Hub中创建条目。
解决方案
用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。
嵌套组无法同步
问题
嵌套的Active Directory组中的用户未正确与云同步。
可能原因
使用不受支持的子组和父组的筛选器。例如:(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
解决方案
必须重新配置同步组的过滤器。例如:|(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
用户命名冲突
问题
对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言,[用户电子邮件地址],以及用户类型[user_type]。
可能原因
已在Control Hub中存在该电子邮件地址的用户。
解决方案
在Active Directory中创建用户,其电子邮件地址与您通过Control Hub注册的帐户相同。
Control Hub
Control Hub中缺少用户列表
问题
如果您拥有超过1000名同步用户的Webex组织,则可能无法在Control Hub中看到用户列表。
解决方案
您可以使用搜索功能查找用户帐户。在Control Hub中,转至用户,单击搜索,然后输入搜索条件以查找特定用户。
组不会同步到Control Hub
问题
目录组中的用户无法正确同步到Control Hub。
可能原因
在Active Directory中,该组未标记为 isCriticalSystemObject 。
解决方案
确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。
启用 Directory Connector 故障诊断
您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息,并将其保存至文件。
以下日志文件: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
运行 |
| 2 |
重启服务。 请参阅如何启动服务获取指导。 |
| 3 |
在目录连接器中,单击仪表板。 |
| 4 |
转至操作,然后单击。 |
| 5 |
启用故障诊断后,重复执行导致错误的操作,这样将捕获流量数据,以便进行检查。 |
| 6 |
检查日志文件:如果文件空白,请确保帐户有权访问 AD DS 或 AD LDS。 日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。 |
| 7 |
如有必要,向支持人员发送日志文件以获取协助。 |
| 8 |
诊断完成后,请禁用故障诊断功能。 |
启动事件查看器
若要查看完全或增量同步期间发生的事件,请启动“事件查看器”。它显示管理事件和错误日志的摘要。
| 1 |
从Directory Connector转至仪表板,然后单击。 “事件属性”对话将显示同步事件详细信息与错误详细信息。 |
| 2 |
从事件查看器,转至。
|
| 3 |
在操作下,单击保存所有事件为 将所有日志导出为单个事件文件(*。evtx)或其他格式(如xml或csv)。 |
下一步
如果您需要打开案例,请联系支持人员,描述连接器的问题,然后将“事件”文件附加到案例中。
事件日志会捕捉用户操作。如需管理网络流量的帮助,请在连接器上启用故障排除。
在Internet Explorer中启用TLS
如果您切换了单点登录(SSO)提供商,您可能会看到来自Cisco目录连接器的以下错误消息:
-
登录到服务时出错
-
此页脚本中出现错误
如果您看到这些错误,必须在浏览器中启用TLS设置。
| 1 |
打开Internet Explorer,然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器,然后再次打开它 |
| 2 |
单击互联网选项 ,转至高级 ,滚动至安全。 |
| 3 |
检查使用TLS 1.1 和使用TLS 1.2 复选框,然后单击确定。
|
| 4 |
重新启动系统以便更改生效。 |
服务帐户登录问题故障诊断
如果您无法登录Cisco目录连接器或无法运行同步,请在联系支持人员之前尝试解决该问题。
| 1 |
尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。 |
| 2 |
根据结果选择一项:
|
| 3 |
至少,确保Cisco DirSync服务(可在Windows服务中找到)配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下,该服务利用Windows登录帐户凭据和身份验证。 |
在Windows注册表中检查SafeDllSearchMode
默认情况下,安全动态链接库(DLL)搜索模式在Windows注册表中设置,然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用,攻击者可以将恶意DLL(与位于系统文件夹中的引用的DLL文件名称相同)放置到应用程序的当前工作目录中。
通常,SafeDllSearchMode已启用,但使用此步骤来复选注册表设置。
开始之前
对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。
| 1 |
在Windows搜索或运行窗口中,键入regedit ,然后按Enter。 |
| 2 |
转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。 |
| 3 |
选择一种:
|
有关详细信息,请参阅动态链接库搜索顺序。
Cisco Directory连接器概述
目录连接器概述
Directory Connector是用于将身份同步到云的内部应用程序。您可以从Control Hub下载连接器软件,并将其安装到本地计算机上。
使用Directory Connector,您可以在Active Directory中维护您的用户帐户和数据,因此Active Directory成为唯一的真相来源。当您在内部进行更改时,它会复制到云。
请参阅表中所有的功能、描述和优势:
| 功能 | 描述和优势 |
|---|---|
| 简单易用的控制板 | 该控制板可提供同步安排、摘要、同步状态以及 Directory Connector 的状态。您可在登录时查看仪表板。 |
| 在同步到云之前进行干燥 | 在云中实施这些更改之前,先对目录进行干燥。之后,运行报告以查看要执行的变更是否与预期一致。 |
| 完全同步和增量同步 | 同步整个目录。或者,仅同步增量变更,从而提高处理能力并缩短同步时间。 |
|
同步多个域(单森林或多森林) |
Directory Connector支持单个森林或多个森林下的多个域(无需使用AD LDS)。对于拥有多个Active Directory域的企业,您可以为每个域安装Directory Connector,将每个域绑定到您的组织,然后将每个用户群同步到Webex中。Control Hub通过显示多个Directory Connectors的同步状态来反映状态,允许您关闭特定域的同步并在高可用性部署中停用Directory Connector。 |
| 按计划同步 | 按天、小时和分钟设置同步安排。 |
| 轻量级目录访问协议 (LDAP) 过滤器 | 定义 LDAP 搜索条件并实现高效的导入。 |
| 活动目录属性映射 | 将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性,并定义自定义属性以映射到云。来自场所的属性在云中形成各种数据,例如用户帐户信息、Webex Teams中输入电话号码、Room资源SIP地址和其他用户联系人卡数据(职务、部门、经理等)。 |
|
用于内部会议室资源和Cisco Webex呼叫(Cloud PSTN)用户和没有Webex许可的企业联系人的公司目录 |
如果您的组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务,或者您拥有内部Room设备,此功能可让用户从Cisco Webex Calling(云PSTN)电话或Room资源搜索企业联系人目录。
|
| 事件查看器 | 使用事件查看器可确定是否存在同步问题。 |
| 诊断工具和故障排除 | 您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如果同步工作不正确,您可能会出现配置或网络错误。此工具会测试您与Active Directory的连接,以便在联系支持人员之前自行诊断错误。 在Directory Connector中启用故障排除后,将编写日志,可发送给技术支持。 |
| 自动升级 | 安装 Directory Connector 后,您会在软件有新版本时收到通知。您可以设置自动升级,以便在发布新版本时始终使用最新版本的软件。 |
| 高可用性 | 配置多个连接器,以便在主连接器或机器主机出现宕机情况时提供备用。 |
Directory Connector 分为以下三个部分:
-
Control Hub 是一个单一界面,可让您管理Webex组织的所有方面:如果您希望用户通过企业身份提供商进行身份验证,并且不想为Webex应用程序发送电子邮件邀请,则可查看用户、分配许可证、下载Directory Connector和配置单点登录(SSO) 。
-
目录连接器管理界面 是从Control Hub下载并在受信任的Windows服务器上安装的软件。对于多个 Active Directory 域,您可以为要同步的每个域安装一个软件实例。使用该软件,您可以运行同步以将Active Directory用户帐户带入Webex,查看和监控同步状态,并配置Directory Connector服务。
-
目录同步服务 查询Active Directory以检索用户和组以同步到连接器服务和目录连接器。
请参考此图了解Directory Connector架构:
为Directory Connector准备您的环境
目录连接器的要求
Windows和Active Directory要求
您可以在这些受支持的Windows服务器上安装Directory Connector:
-
Windows Server 2022
-
Windows Server 2019
-
Windows Server 2016
要解决Cookie问题,我们建议将域控制器升级为包含修复的版本——Windows Server 2012 R2 或 2016。
以下的Active Directory服务支持Directory Connector:
-
2016年活动目录
(在Windows Server 2019上使用最新版本的Active Directory时,支持目录连接器)
-
活动目录2012
-
活动目录2008 R2
-
活动目录2008
请注意以下附加要求:
-
目录连接器需要TLS1.2。您必须安装以下内容:
-
.NET Framework v3.5(Directory Connector应用程序需要。如果您遇到任何问题,请使用 使用添加角色和功能向导启用。NET Framework 3.5中的说明。)
-
.NET Framework v.4.5(TLS1.2必需)
-
-
这里需要 Active Directory 目录林功能级别 2 (Windows Server 2003) 或更高版本。(请参阅什么是 Active Directory 功能级别?获取更多信息。)
硬件要求
您必须在符合以下最低硬件要求的计算机上安装Directory Connector:
-
8 GB RAM
-
50 GB 存储
-
CPU 没有最低要求
网络要求
如果您的网络是防火墙的幕后,请确保您的系统有HTTPS(端口443)访问互联网。
Webex组织要求
-
要从Control Hub访问Directory Connector软件,您需要试用Webex组织或任何付费订阅。
-
(可选)如果您希望新的Webex应用程序用户帐户在首次登录之前处于活动状态,我们建议您执行以下操作:
-
将您的身份提供商(IdP)与Webex组织进行单点登录(SSO)集成 。
-
抑制自动电子邮件邀请,这样新用户就不会收到自动电子邮件邀请,您可以进行自己的电子邮件活动。(此功能需要SSO集成。)
有关详细信息,请参阅控制中心中的用户状态和操作。
安装要求
-
对于多个域环境(单森林或多森林),必须为每个Active Directory域安装一个目录连接器。如果要同步新的域 (B),同时还要保留其他现有域 (A) 上的已同步用户数据,请确保您有受支持的独立 Windows Server 来安装 Directory Connector,以进行域 (B) 同步。
-
要登录连接器,我们不需要Active Directory中的管理帐户。我们需要一个与Control Hub中的完整管理员帐户相同的本地用户帐户。
此本地用户必须拥有该Windows计算机上的权限,才能连接到域控制器并读取Active Directory用户对象。机器登录帐户应为具有在本地计算机上安装软件的权限的计算机管理员。(此信息也适用于虚拟机登录。)
-
登录连接器时,登录帐户必须与Control Hub的完整管理员帐户相同。默认情况下,连接器使用本地系统帐户访问Active Directory。但是,您可以使用Windows服务配置其他帐户以访问Active Directory。(此信息也适用于虚拟机登录。)
-
通过使用此程序确保Windows安全动态链接库(DLL)搜索模式已启用:在Windows注册表中检查SafeDllSearchMode。
-
如果您在单个森林上使用多个AD LDS域,我们建议在单独的计算机上安装Directory Connector和Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS)。
多个域要求
在 Cisco目录连接器部署任务流中跟踪任务之前,如果您要将多个域的Active Directory信息同步到云中,请记住以下要求和建议:
-
每个域需要单独的Directory Connector实例。
-
Directory Connector软件必须运行在其将同步的同一域上的主机。
-
我们建议您在Control Hub中验证或声明您的域。(参见添加、验证和申请域。)
-
如果要同步超过50个域,您必须打开标签 才能让您的组织移动到大型组织列表。
-
如果需要,您可以与用户帐户同步房间资源信息。(请参阅将内部会议室信息同步到Webex云。)
自动许可证分配活动目录组建议
Active Directory组用于将用户帐户、计算机帐户和其他组收集到可管理的单位。与群组而不是个体用户一起工作有助于简化网络维护和管理。
Active Directory中有两种类型的组:
-
分发组—用于创建电子邮件分发列表。
-
安全组-用于分配共享资源的权限。
在Active Directory中创建组时,请考虑以下指导原则:
-
为每个角色、部门或服务创建全球组(例如销售、营销、经理、会计师、Webex授权等)。
-
在整个组织中使用标准命名规范,以便轻松识别有关组的重要信息。组名称可以包含组的详细信息,例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如,组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
-
以易于理解的方式组织群组,例如按地域或管理层次。使用组描述来完整描述组的目的。
-
在将用户添加到新配置的组之前,请为这些组在Control Hub中定义自动许可证组模板。有关详细信息,请参阅设置自动许可证分配模板 。
调整尺寸信息
Directory Connector是本地Active Directory和Webex云之间的桥梁。因此,连接器对于可与云同步的Active Directory对象数量没有上限。本地目录对象的任何限制都与与云同步的Active Directory环境的特定版本和规格绑定,而不是连接器本身。
一些因素会影响同步的速度:
-
Active Directory对象的总数。(5,000个用户同步工作所需的时间不超过50,000。)
-
网络速度和带宽。
-
系统工作负载和规格。
如果您正在同步超过50,000个用户,我们强烈建议您使用第二个连接器进行故障转移和冗余。
由于同步涉及多个因素,并且每个部署取决于上述因素,因此我们无法提供对象同步所需时间的特定时间值。
在Windows注册表中检查SafeDllSearchMode
默认情况下,安全动态链接库(DLL)搜索模式在Windows注册表中设置,然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用,攻击者可以将恶意DLL(与位于系统文件夹中的引用的DLL文件名称相同)放置到应用程序的当前工作目录中。
通常,SafeDllSearchMode已启用,但使用此步骤来复选注册表设置。
开始之前
对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。
| 1 |
在Windows搜索或运行窗口中,键入regedit ,然后按Enter。 |
| 2 |
转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。 |
| 3 |
选择一种:
|
有关详细信息,请参阅动态链接库搜索顺序。
WebEx 代理集成
WebEx 代理集成
如果您的环境中已启用 Web 代理验证,则您仍然可用使用 Directory Connector。
如果您的组织使用透明Web代理,则不支持身份验证。连接器已成功连接和同步用户。
您可以选择下列方法之一:
-
通过Internet Explorer显式Web代理(连接器继承了Web代理设置)
-
通过。pac文件显式网络代理(连接器继承企业特定的代理设置)
-
与连接器配合的透明代理,无需任何更改
通过浏览器使用 Web 代理
您可以通过Internet Explorer设置Directory Connector以使用Web代理。
如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行,那么您还需要用此帐户登录并配置 Web 代理。
| 1 |
在 Internet Explorer 中,转至 Internet 选项,单击连接,然后选择局域网 (LAN) 设置。 |
| 2 |
指向Web代理安装连接器的Windows实例。连接器继承这些Web代理设置。 |
| 3 |
如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在整个站点范围内执行此操作(针对所有主持人),也可以仅针对具有连接器的主持人。 如果您将这些URL添加到允许列表以完全绕过您的WEB代理,请确保防火墙ACL表已更新,以允许连接器主持人直接访问URL。 |
| 4 |
如果您的环境需要从证书颁发机构请求证书撤销列表,请将这些URL添加到您的允许列表:
有关详细信息,请参阅本文关于Webex Services需要访问的域和URL。 |
通过 PAC 文件配置 Web 代理
您可以配置客户端浏览器使用 .pac 文件。此文件提供Web代理地址和端口信息。Directory Connector 直接继承企业特定的 Web 代理配置。
| 1 |
要使连接器成功连接并同步用户信息到Webex云,请确保安装连接器的主机。pac文件配置中已禁用 |
| 2 |
如果环境使用代理验证,请将这些 URL 添加到允许列表:
您可以在整个站点范围内执行此操作(针对所有主持人),也可以仅针对具有连接器的主持人。 如果您将这些URL添加到允许列表以完全绕过您的WEB代理,请确保防火墙ACL表已更新,以允许连接器主持人直接访问URL。 |
| 3 |
如果您的环境需要从证书颁发机构请求证书撤销列表,请将这些URL添加到您的允许列表:
有关详细信息,请参阅本文关于Webex Services需要访问的域和URL。 |
NTLM代理
Directory Connector支持 NT LAN Manager (NTLM)。NTLM 方法支持在域设备之间进行 Windows 验证,并确保其安全。
NTLM设计
在大多数情况下,用户希望通过客户端PC访问其他工作站资源,这很难以安全的方式进行。
一般来说,NTLM的技术设计基于挑战
和响应
机制:
-
用户通过Windows帐户和密码登录客户端PC。密码永远不会在本地保存。与普通文本密码不同,密码的哈希值在本地存储。当用户通过密码登录客户端时,Windows OS会比较输入密码中存储的哈希值和哈希值。如果两者都相同,则验证将通过。
当用户想要访问其他服务器中的任何资源时,客户端会向服务器发送一个请求,帐户名称为纯文本。
-
当服务器收到请求时,服务器会生成16位随机密钥。关键称为Challenge(或Nonce)。在服务器返回客户端之前,挑战将存储在服务器中。然后,服务器将挑战以纯文本形式发送给客户端。
-
客户端收到服务器发送的挑战后,客户端会按照步骤1中提到的哈希值对挑战进行加密。加密后,该值将返回到服务器。
-
当服务器从客户端收到加密值时,服务器将其发送到域控制器进行验证。请求包括:帐户名称、客户端发送的加密挑战,以及原始的简单挑战。
-
域控制器可以根据帐户名称检索密码的哈希值。然后,域控制器可以对原始挑战进行加密。然后,域控制器可以与收到的哈希值和加密哈希值进行比较。如果它们相同,验证将成功。
Windows在操作系统中内置了安全验证,使应用程序更容易支持安全验证。因此,您无需完成进一步的配置。
配置透明代理
在这种情境下,浏览器不会知道透明 Web 代理正在拦截 http 请求(端口 80/端口 443),因此不需要客户端配置。
| 1 |
部署透明代理,以便连接器可以连接和同步用户。 |
| 2 |
确认代理已成功—启动连接器时,您会看到预期的浏览器身份验证弹出窗口。 |
设置代理身份验证
通过创建访问控制列表,将URL cloudconnector.webex.com 添加到允许列表中。
在企业防火墙服务器上:
| 1 |
如果尚未启用 DNS 查找,请启用。 |
| 2 |
确定此连接的估计带宽(连接器约为2 mb/s或以下)。这不是必须执行的步骤。 |
| 3 |
创建访问控制列表以应用于连接器主机,并指定 例如: access-list 2000 acl-inside扩展许可TCP [连接器的IP] cloudconnector.webex.com eq https |
| 4 |
将此ACL应用于相应的防火墙接口,该接口仅适用于此单个连接器主持人。 |
| 5 |
通过配置相应的隐式拒绝声明,确保企业中的其他主机仍需使用 Web 代理。 |
部署目录连接器
Cisco目录连接器部署任务流程
| 1个 |
Control Hub最初将目录同步显示为禁用状态。 要为组织打开目录同步,必须安装和配置Directory Connector,然后成功执行完整同步。 要重新安装Directory Connector,请始终转至Control Hub (https://admin.webex.com)获取软件的最新版本,以便您使用最新的功能和故障修复。 安装软件后,将通过软件报告升级,并在可用时自动安装。 |
| 2个 |
使用您的Webex管理员凭据登录,并执行初始设置。 |
| 3个 |
将Directory Connector软件更新到最新版本始终非常重要。 我们建议您使用此程序允许在软件可用时安静地安装自动升级到软件。 |
| 4个 |
默认情况下,Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。 要对哪些对象进行同步的更多控制,您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。 |
| 5个 |
您可以将本地Active Directory中的属性映射到云中的相应属性。 唯一必填字段是*uid。 |
| 6个 |
使用以下程序之一同步目录头像: 您可以将用户的头像同步到云,以便每个用户登录应用程序时显示他们的头像。 您可以从Active Directory属性或资源服务器同步化头像。 |
| 7 |
使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的房间设备(例如Webex Room设备或Cisco Webex Board)上的可搜索条目 |
| 8个 |
要从Active Directory向Control Hub提供用户,请执行以下步骤: 按照此顺序为Webex应用程序帐户提供Active Directory用户。您可以为Directory Connector 3.0及更高版本的多个森林或多域Active Directory部署提供用户。 在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 目标是在Active Directory和Webex云之间实现精确匹配。 |
安装目录连接器
Control Hub最初将目录同步显示为禁用状态。 要为组织打开目录同步,必须安装和配置Directory Connector,然后成功执行完整同步。
您必须为要同步的每个Active Directory域安装一个连接器。 单个目录连接器实例只能服务单个域。 请参阅下图了解多个域同步的流程:
开始之前
如果您通过代理服务器进行身份验证,请确保您拥有代理凭据:
-
对于代理基本身份验证,安装连接器的实例后,您将输入用户名和密码。 基本身份验证也需要Internet Explorer代理配置;请参阅通过浏览器使用Web代理
-
对于代理NTLM,第一次打开连接器时可能会看到错误。 请参阅通过浏览器使用Web代理。
| 1个 |
在控制中心中,转至,然后选择下一步。 |
| 2个 |
单击下载和安装链接,将最新版本的连接器安装。zip文件保存到VMware或Windows服务器。 您可以直接从此链接获取。zip文件,但必须对Control Hub组织的完整管理访问权限才能使用此软件。 对于新安装,请获取软件的最新版本,以便使用最新的功能和bug修复。 安装软件后,将通过软件报告升级,并在可用时自动安装。 |
| 3个 |
在VMware或Windows服务器上,解压缩并在设置文件夹中运行。msi文件,以启动设置向导。 |
| 4个 |
单击下一步,勾选框以接受许可协议,然后单击下一步,直到您看到帐户类型屏幕。 |
| 5个 |
选择要使用的服务帐户类型,并使用管理员帐户执行安装:
要避免错误,请确保具有以下权限:
|
| 6个 |
单击安装。 网络测试运行后,如果出现提示,输入您的代理基本凭证,单击确定,然后单击完成。 |
下一步该做什么
我们建议您在安装后重新启动服务器。 当数据未发布时,干运行报告无法显示正确结果。 重启计算机时,所有数据都会刷新以在报告中显示准确结果。
登录到目录连接器
开始之前
确保您拥有代理凭据。
-
对于Proxy basic-auth,第一次打开连接器后将输入用户名和密码。
-
对于代理NTLM,打开Internet Explorer,单击齿轮图标,转至 Internet选项>连接> LAN设置,确保已添加代理服务器信息,然后单击确定。 请参阅通过浏览器使用Web代理。
| 1个 |
打开连接器,如果看到提示,则将 |
| 2个 |
如果出现提示,请使用代理身份验证凭据登录,然后使用您的管理员帐户登录Webex,然后单击下一步。 |
| 3个 |
确认您的组织和域。
|
| 4个 |
出现确认组织屏幕后,单击确认。 如果您已绑定AD DS/AD LDS,将显示确认组织屏幕。 |
| 5个 |
单击确认。 |
| 6个 |
根据要绑定到Directory Connector的Active Directory域数,选择一个:
|
下一步该做什么
登录后,系统提示您执行干运行同步。
目录连接器仪表板
当您首次登录Directory Connector时,会显示仪表板。 在这里,您可以查看所有同步活动的摘要、查看云统计、执行干运行同步、启动完整或增量同步并启动事件视图以查看错误信息。
您可以从“操作”工具栏或“操作”菜单轻松运行这些任务。
|
组件 |
描述 |
|---|---|
|
当前同步 |
显示当前正在进行的同步的状态信息。 当未运行同步时,状态显示处于空闲状态。 |
|
下一次同步 |
显示下一个已安排的完整和增量同步。 如果未设置计划,将显示未计划。 |
|
上次同步 |
显示最近两次已执行同步的状态。 |
|
当前同步状态 |
显示同步的总体状态。 |
|
连接器 |
显示可用于云的当前本地连接器。 |
|
云统计 |
显示同步的总体状态。 |
|
同步计划 |
显示增量同步和完全同步的同步计划。 |
|
配置摘要 |
列出配置中更改的设置。 例如,摘要可能包括以下内容:
|
| 行动 | 描述 |
|---|---|
| 开始增量同步 |
手动启动增量同步 暂停或禁用同步时,如果未完成完全同步或同步正在进行中,则此操作将禁用。 |
|
同步干运行 |
执行干运行同步。 |
|
启动活动查看器 |
启动Microsoft Event Viewer。 |
|
刷新 |
刷新Cisco目录连接器仪表板 |
|
行动 |
描述 |
|---|---|
| 立即同步 |
立即开始完全同步。 |
|
同步模式 |
选择增量或完全同步模式。 |
|
重置连接器秘密 |
在Cisco目录连接器和连接器服务之间建立对话。 选择此操作将重置云中的秘密,然后在本地保存秘密。 |
|
干运行 |
对同步过程执行测试。 在进行完全同步之前,必须先进行干运行。 |
|
故障排除 |
打开/关闭故障排除。 |
|
刷新 |
刷新Cisco目录连接器主屏幕。 |
|
退出 |
退出Cisco目录连接器。 |
|
关键组合 |
行动 |
|---|---|
|
Alt +A |
显示操作菜单 |
|
|
现在同步 |
|
|
重置连接器秘密 |
|
|
干运行 |
|
|
增量同步 |
|
|
完全同步 |
|
|
显示帮助菜单 |
|
|
帮助 |
|
|
关于 |
|
|
常见问题 |
设置自动升级
| 1个 |
从Directory Connector,转至,然后检查自动升级到新的Cisco Directory Connector版本。 |
| 2个 |
单击应用保存更改。 |
新版本的连接器可用时将自动安装。
您可以手动管理升级(如果您愿意)。 有关更多信息,请参阅升级至最新软件版本。
选择要同步的Active Directory对象
默认情况下,Directory Connector同步非计算机的所有用户以及域中非关键系统对象的所有组。 要对哪些对象进行同步的更多控制,您可以使用目录连接器中的“对象选择”页选择特定用户来同步并指定LDAP过滤器。
自动许可证分配组
Control Hub允许您按组管理许可证分配。 您可以创建许可证模板,并将其映射到同步到云的Active Directory组。 在用户创建时,Webex检查该新用户的用户会员身份和自动许可证模板映射。
我们建议您使用LDAP过滤器仅将相关组同步到云。 例如,您可以将过滤器设置为:
(&(cn=示例)(objectclass=组))*
此过滤器将以Example开头的基础DN中的所有组同步。 未分配给组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。
混合数据安全部署组
在Directory Connector中,如果您使用混合数据安全为试点用户配置试用组,则必须检查组。 请参阅混合数据安全部署指南获得指导。 此目录连接器设置不会影响云中的其他用户同步。
开始之前
| 1个 |
从目录连接器转至配置,然后单击对象选择。 |
| 2个 |
在对象类型部分中,检查用户,并考虑限制用户可搜索容器的数量。 例如,如果您想仅同步特定组中的用户,必须在用户LDAP过滤器字段中输入LDAP过滤器。 如果要同步示例管理器组中的用户,请使用以下过滤器:
|
| 3个 |
检查识别房间以将房间数据与用户数据分开。 要设置其他属性,将用户数据识别为房间数据,请单击自定义。 如果要将内部会议室信息从Active Directory同步到Webex云时,请使用此设置。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的房间设备上的可搜索条目。 有关详细信息,请参阅将内部会议室信息同步到Webex云。 |
| 4个 |
要将Active Directory用户组同步到云,请检查组。 不要向“组”字段添加用户同步LDAP筛选器。 您仅应使用“组”字段将组数据本身同步到云。 默认情况下,组不会为新客户同步。 必须启用组同步。 还必须同步安全组。 |
| 5个 |
如果要将用户的联系信息同步到云,请检查联系人。 目录连接器仅管理由连接器同步的联系人。 如果Control Hub中已经有联系人,则同步不会删除联系人。 如果从同步范围中删除联系人,则在Control Hub中也会删除用户的联系信息。 |
| 6个 |
配置 LDAP 过滤器。 您可以通过提供有效的LDAP过滤器来添加扩展过滤器。 有关配置LDAP过滤器的更多信息,请参阅本文。 |
| 7 |
单击选择以查看Active Directory树结构,指定要同步的On Premises Base DN。 您可以在此处选择或取消选择要搜索的容器。 |
| 8个 |
检查要为此配置添加的对象,然后单击选择。 您可以选择要用于同步的单个容器或母容器。 选择父容器,以启用所有子容器。 如果您选择子容器,母容器会显示灰色复选标记,表示孩子已检查。 然后,您可以单击选择以接受选中的Active Directory容器。 如果您的组织将所有用户和组放置在“用户”容器中,则无需搜索其他容器。 如果您的组织被分为组织单位,请确保选择OU。 |
| 9 |
单击应用。 选择一个选项:
有关干运行的信息,请参阅在Active Directory用户上执行干运行同步。 对于组同步,您必须执行完整同步: 将Active Directory用户完全同步到云中。 |
映射用户属性
您可以将本地Active Directory中的属性映射到云中的相应属性。 唯一的必填字段是*uid,这是云身份服务中每个用户帐户的唯一标识符。
您可以选择要映射到云的Active Directory属性—例如,您可以映射到Active Directory中的 firstName lastName,或将自定义属性表达式映射到云中的 displayName。
Active Directory中的帐户必须有一个电子邮件地址;uid映射默认为邮件的广告字段(不是 sAMAccountName)。
如果您选择使用首选语言来自Active Directory,则Active Directory是唯一的真理来源: 用户将无法在Webex设置中更改其语言设置,管理员也无法在Control Hub中更改设置。
| 1个 |
从Directory Connector,单击配置,然后选择用户属性映射。 此页显示Active Directory(左侧)和Webex云(右侧)的属性名称。 所有必需属性都标有红色星号。 |
| 2个 |
向下滚动到 Active Directory属性名称的底部,然后选择其中一个Active Directory属性以映射到云属性uid:
您可以将其他Active Directory属性映射到uid,但我们建议您使用上述指南中的邮件或userPrincipalName。 在某些情况下,使用userPrincipalName来登录,但使用用户的电子邮件地址来管理他们的日历。 您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。 将userPrincipalName作为备用电子邮件地址添加。 要查看Active Directory中的哪些属性与云中的对应关系,请参阅在Directory Connector中映射Active Directory属性。 要使同步工作,您必须确保选择的Active Directory属性为电子邮件格式。 Directory Connector会显示一个弹出窗口,以提醒您,如果您没有选择推荐的属性。 |
| 3个 |
如果预定义的Active Directory属性不适用于部署,请单击属性下拉菜单,滚动到底部,然后选择自定义属性以打开一个窗口来定义属性表达式。 单击帮助以获取有关表达式的更多信息,并查看表达式如何工作的示例。 您还可以查看自定义属性的表达式以了解更多信息。 在此示例中,我们将将Active Directory属性
Directory Connector验证身份服务中的uid的属性值,并在当前用户过滤选项下检索3个可用用户。 如果所有3个用户都具有有效的电子邮件格式,则Cisco Directory Connector将显示以下消息:
如果无法验证属性,您将看到以下警告,并可以返回到Active Directory以检查和修复用户数据:
|
| 4个 |
(可选)如果您希望手机和工作号码显示在Webex应用程序中的用户联系人卡中,选择手机和电话号码的映射。 当用户将鼠标悬停在另一个用户的档案照片上时,电话号码数据会显示在Webex应用程序中。 有关从用户联系人卡呼叫的更多信息,请参阅在Webex (Unified CM)部署指南(管理员)。 |
| 5个 |
选择其他映射以显示在联系人卡中的更多数据:
映射属性后,当用户将鼠标悬停在另一个用户的档案图片上时,会显示信息:
有关联系卡的更多信息,请参阅验证您的联系人。 将这些属性同步到每个用户帐户后,您还可以在Control Hub中打开People Insights。 此功能允许Webex App用户在配置文件中共享更多信息,并相互了解。 有关该功能以及如何启用该功能的更多信息,请参阅 Control Hub中的Webex、Jabber、Webex Meetings和Webex Events(新建)People Insights Profiles |
| 6个 |
做出选择后,单击应用。 |
Active Directory中包含的任何用户数据都会覆盖与该用户对应的云中的数据。 例如,如果您在Control Hub中手动创建用户,则该用户的电子邮件地址必须与Active Directory中的电子邮件相同。 在Active Directory中没有相应电子邮件地址的用户将被删除。
已删除的用户将在云身份服务中保留7天,然后被永久删除。
活动目录和云属性
您可以使用用户属性映射选项卡将本地Active Directory中的属性映射到云中的相应属性。
此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。 这些值和映射是Directory Connector中的默认设置。 您可以在Active Directory下拉菜单中选择不同的属性,并确定哪些内部属性与哪个云属性同步。
将下拉菜单属性视为预设。 作为Active Directory行中的值的替代,您还可以在Active Directory中指定自定义属性(具有多个属性的表达式)以映射到相应行中的单个云属性。 这样,您可以灵活地确定用户的显示名称,例如,您可以添加一个表达式,根据在Active Directory中员工头衔、姓名和姓氏创建自定义属性。
您还可以指定任何Active Directory属性,以映射到云中的uid。 但是,您必须确保内部属性遵循有效的电子邮件格式。
您还可以使用其他电子邮件地址,例如,如果您想使用userPrincipalName进行登录,但用户的电子邮件地址用于管理他们的日历。 在这种情况下,将其他电子邮件地址映射到电子邮件;类型-工作属性。 这是用于身份验证的电子邮件;它不用于管理您的日历。 您从AD映射的电子邮件地址必须来自您组织内的验证域,并且必须是唯一并且不会分配给其他用户。
|
活动目录属性名称 |
Webex云属性名称 |
注释 |
|---|---|---|
|
— |
建筑名称 |
— |
|
c |
c |
此属性指定用户的国家缩写。 |
|
部门号码 |
部门号码 |
|
|
显示名称 |
显示名称 |
此属性用于显示在Control Hub、联系人卡和人员见解中的用户帐户显示名称。 |
|
用户帐户控制 |
ds-pwp-account-disabled |
此属性用于用户同步。 确保 userAccountControl 属性映射到 ds-pwp-account-disabled,或者用户未正确同步。 |
|
员工号码 |
员工号码 |
— |
|
传真电话号码 |
传真电话号码 |
— |
|
— |
jabberID |
此云属性与Jabber使用的IM地址(XMPP类型)有关。 此值与sipAddresses不同。 |
|
L的 |
L的 |
此属性指定用户的城市。 |
|
— |
Category:本地 |
— |
|
经理 |
经理 |
|
|
移动设备 |
移动设备 |
此属性被用作显示从联系人卡呼叫用户的移动号码。 |
|
或 |
或 |
此属性指定公司或组织的名称,并显示在联系人卡中。 |
|
或 |
或 |
此属性指定组织单位的名称。 |
|
physicalDeliveryOffice名称 |
physicalDeliveryOffice名称 |
此属性指定用户的办公位置。 |
|
邮政编码 |
邮政编码 |
此属性指定了用于实际邮件交付的用户的邮政或邮政编码。 |
|
首选语言 |
首选语言 |
此属性设置用户的首选语言,支持以下格式: xx_YY或xx-YY。 下面是一些示例: en_US,en_GB,fr-CA。 如果您使用不受支持的语言或无效的格式,用户的首选语言将更改为组织的语言集。 |
|
MSRTCSIP-主要用户地址 ipPhone |
SipAddresses;type=enterprise |
此属性用于将内部房间信息从Active Directory同步到Cisco Webex云。 |
|
sn |
sn |
此属性用于显示在Control Hub中的用户帐户姓氏、联系人卡和人员见解中的用户帐户。 |
|
圣 |
圣 |
此属性指定用户的状态或省。 |
|
街道地址 |
街道 |
此属性指定用于实际邮件递送的用户的街道地址。 |
|
电话号码 |
电话号码 |
此属性指定用于从联系人卡呼叫用户的主要(工作)电话号码。 |
|
— |
时区 |
此云属性指定用户的时区。 |
|
标题 |
标题 |
|
|
类型 |
企业 |
— |
|
*邮件 *用户主要名称 |
uid |
强制性的属性映射。 对于每个用户帐户,Active Directory值映射到云中的唯一的UID。 在某些情况下,使用userPrincipalName来登录,但使用用户的电子邮件地址来管理他们的日历。 您必须确保用于日历管理的电子邮件地址映射到Webex中的主要电子邮件地址字段。 将userPrincipalName作为备用电子邮件地址添加。 然后用户可以使用这两个电子邮件地址之一登录,只要正确的 SAML属性映射就行了。 请参阅下面的示例属性映射,了解如何映射替代电子邮件地址。 |
|
*用户主要名称 *邮件 <自定义属性> |
电子邮件;类型工作 |
此映射是可选的,如果您想使用其他电子邮件地址,请使用此映射。 这是用于身份验证的电子邮件;它不用于管理您的日历。 您从AD映射的电子邮件地址必须来自您组织内的验证域,并且必须是唯一并且不会分配给其他用户。 |
|
<Azure用户对象Id的新属性> |
外部ID |
创建新的Active Directory属性以保留Azure用户对象ID,使其不会与现有的ID冲突。 此属性随后映射到externalId属性,确保Webex用户在Microsoft 365中创建群组时,会自动在Webex中创建群组。 |
替代电子邮件地址映射
自定义属性的表达式
|
操作员 |
描述和示例 |
|---|---|
|
% |
如果匹配,将字符串开头的所有字符删除到字符或字符串参数的位置。
|
|
- |
从指定字符串的末端剥离输入字符串的背部。
|
|
+ |
连接输入字符串或表达式。
|
|
| |
根据空字符串评估分隔表达式,并选择第一个非空结果。
|
将Active Directory属性中的目录头像同步到云
您可以将用户的目录头像同步到云,以便在登录Webex应用程序时显示每个头像。 使用此程序同步来自Active Directory属性的原始头像数据。
| 1个 |
从Directory Connector,转至配置,单击阿凡达,然后检查启用。 |
| 2个 |
对于从获取头像,选择AD属性,然后选择头像属性,其中包含要同步到云的原始头像数据。 |
| 3个 |
要验证头像是否正确访问,请输入用户的电子邮件地址,然后单击获取用户头像。 头像出现在右侧。 |
| 4个 |
验证头像显示正确后,单击应用保存更改。 |
-
同步的图像成为Webex应用程序中用户的默认头像。 在Directory Connector启用此功能后,不允许用户设置自己的头像。
-
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步该做什么
执行干运行同步;如果没有问题,则执行完全同步,以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。
将目录头像从资源服务器同步到云
您可以将用户的目录头像同步到云,以便在登录Webex应用程序时显示每个头像。 使用此程序从资源服务器同步化头像。
开始之前
-
此过程中的URI模式和变量值是示例。 您必须使用目录头像所在位置的实际URL。
-
必须从Directory Connector应用程序访问头像URI模式和头像驻留的服务器。 连接器需要http或https访问图像,但图像不需要在互联网上公开访问。
-
头像数据同步与Active Directory用户配置文件分开。 如果您运行代理,必须确保NTLM身份验证或基本身份验证可以访问头像数据。
| 1个 |
从Directory Connector,转至配置,单击阿凡达,然后检查启用。 |
| 2个 |
对于从获取头像,选择资源服务器,然后输入头像URI模式—例如, 让我们来看看阿凡达URI模式的每个部分及其含义:
|
| 3个 |
(可选)如果您的资源服务器需要凭证,请检查为头像设置用户凭证,然后选择使用当前服务登录用户或使用此用户并输入密码。 |
| 4个 |
输入变量值—例如: |
| 5个 |
单击测试以确保头像URI模式正常工作。 在此示例中,如果一个AD条目的邮件值为 |
| 6个 |
验证了URI信息并看起来正确后,单击应用。 有关使用正则表达式的详细信息,请参阅 Microsoft正则表达式语言快速参考。 |
-
同步的图像成为Webex应用程序中用户的默认头像。 在Directory Connector启用此功能后,不允许用户设置自己的头像。
-
用户头像同步到Webex应用程序和Webex站点上的任何匹配帐户。
下一步该做什么
执行干运行同步;如果没有问题,则执行完全同步,以使Active Directory用户帐户和头像同步到云中并出现在Control Hub中。
将内部会议室信息同步到Webex云
使用此程序将来自Active Directory的内部会议室信息同步到Webex云中。 同步房间信息后,带配置的SIP地址的内部房间设备将显示为云注册的Webex设备(房间、桌面和板)上的可搜索条目。
| 1个 |
从Directory Connector转至同步,单击同步域旁边的 |
| 2个 |
检查将房间信息同步到云,在同步过程中将房间数据与用户数据分开。 禁用此设置时,将以与用户同步数据相同的方式处理会议室数据。 |
| 3个 |
转至属性映射,然后更改云属性的属性映射sipAddresses;type=enterprise。 要使用值验证,SIP地址的值应为Pattern.compile("^([^@])(.*)@(.*)$")
|
| 4个 |
在Exchange中创建会议室资源邮箱。 这将添加连接器用于识别房间的 msExchResourceMetaData;ResourceType:Room 属性。
|
| 5个 |
从Active Directory用户和计算机,导航到并编辑会议室的属性。 使用sip的前缀添加完全合格SIP URI:
|
| 6个 |
在连接器中执行干运行同步,然后执行完整运行同步。 新会议室对象列出已添加对象,匹配的会议室对象将出现在匹配对象中干运行报告中中。 任何标记要删除的房间对象都位于已删除的房间下。
干运行结果显示所有匹配的房间资源。
此设置将Active Directory房间数据(包括房间属性)与用户数据分离。 同步完成后,连接器仪表板上的云统计数据将显示与云同步的房间数据。
|
下一步该做什么
现在您已完成这些步骤,当您在Webex云注册设备上搜索时,您将看到使用SIP地址配置的同步房间条目。 当您将Webex设备拨入该条目时,将呼叫放置到为房间配置的SIP地址。
从Control Hub,您可以自动从目录导入会议室并创建工作空间。
端点无法将呼叫回传回至Webex应用程序。 对于测试拨号设备,这些设备必须在本地或Webex应用程序以外的地方注册为SIP URI。 如果您正在搜索的Active Directory会议室系统已注册到Webex,并且相同电子邮件地址在Webex Room Device、Desk设备或Webex Board for Calendar Service上,则搜索结果不会显示重复条目。 在Webex应用程序中直接拨打Room、Desk或Board设备,不会进行SIP呼叫。
在目录同步结果上发送电子邮件报告
默认情况下,组织联系人或管理员总是会收到电子邮件通知。 使用此设置,您可以自定义谁应该接收总结目录同步报告的电子邮件通知。
| 1个 |
从Directory Connector,单击配置,然后选择通知。 |
| 2个 |
从Directory Connector中,单击设置,然后在电子邮件接收器旁边切换启用报告同步。 |
| 3个 |
如果要覆盖默认通知行为并添加一个或多个电子邮件收件人,请选择启用通知。 |
| 4个 |
单击添加,然后输入电子邮件地址。 如果您输入的电子邮件地址格式无效,则会弹出一条消息,告诉您纠正问题,然后才能保存并应用更改。 |
| 5个 |
单击添加电子邮件,然后输入电子邮件地址。 如果您输入的电子邮件地址格式无效,则会弹出一条消息,告诉您纠正问题,然后才能保存并应用更改。 |
| 6个 |
如果您需要编辑您输入的任何电子邮件地址,请双击左侧列中的电子邮件条目,然后进行所需的任何更改。 |
| 7 |
添加所有有效电子邮件地址后,单击应用。 |
| 8个 |
添加所有有效电子邮件地址后,单击保存。 |
下一步该做什么
如果您决定删除电子邮件地址,您可以单击电子邮件以突出显示该条目,然后单击删除。
如果您决定删除电子邮件地址,可以单击特定电子邮件地址条目旁边的删除。
从Active Directory向Control Hub提供用户
按照以下步骤提供Active Directory用户并在Control Hub中创建相应的用户帐户。 在安装每个域的Directory Connector后,您可以从多个域Active Directory部署(包含单个森林或多个森林)提供用户。 在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 目标是在Active Directory和Webex云之间实现精确匹配。
| 1个 |
执行干运行以比较内部Active Directory中的对象和Webex云中的对象。 干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。 |
| 2个 |
当您运行完全同步时,连接器服务将从Active Directory (AD)的所有过滤对象发送到云。 连接器服务然后用您的AD条目更新身份存储。 如果您创建了自动分配许可证模板,您可以将其分配给新同步的用户。 |
| 3个 |
向Control Hub中的Directory同步用户分配Webex服务 完成从Directory Connector输入到Control Hub的完整用户同步后,您可以使用各种方法分配Webex服务许可证。 我们建议您在从Active Directory同步的新Webex应用程序用户上使用它之前设置自动分配许可证模板。 您还可以在此初始步骤后进行个人更改。 |
在您的Active Directory用户上执行干线同步
执行干运行以比较内部Active Directory中的对象和Webex云中的对象。 干式运行允许您在运行完整或增量同步并将更改提交到云之前查看将添加、修改或删除哪些对象。
在将来自不同域的用户上载的过程中,您必须决定是否保留或删除可能已存在在Webex云中的用户对象,例如,测试帐户。 使用Directory Connector,目标是在Active Directory和Webex云之间实现精确匹配。
如果您在单个森林或多个森林中拥有多个域,则必须在为每个Active Directory域安装的每个Cisco目录连接器实例上执行此步骤。
开始之前
在使用Directory Connector之前,您可能已经在Control Hub中拥有一些Webex应用程序用户。 在云中的用户中,有些用户可能会与本地Active Directory对象匹配,并为服务分配许可证。 但有些测试用户可能是在进行同步时要删除。 您必须在Active Directory和Control Hub之间创建完全匹配。
| 1个 |
选择一项:
当干运行完成时,您将看到以下结果之一:
摘要包含有关对象匹配的信息:
干运行通过比较与域用户来识别用户。 如果用户属于当前域,应用程序可以识别用户。 在下一步,您必须决定是删除对象还是保留它们。 不匹配的对象已在Webex云中存在,但在内部Active Directory中不存在。 |
| 2个 |
查看干运行结果,然后根据您使用单个域还是多个域选择一个选项:
|
| 3个 |
在确认干运行提示符中,单击是重执行干运行同步并查看仪表板以查看结果。 在干运行中成功同步的所有帐户都出现在匹配对象下。 如果云中的用户在Active Directory中没有具有相同电子邮件的对应用户,则该条目在已删除用户下列出。 要避免此删除标记,您可以在具有相同电子邮件地址的Active Directory中添加用户。 要查看已同步项目的详细信息,请单击特定项目或匹配对象的相应选项卡。 要保存摘要信息,请单击保存结果至文件。 |
| 4个 |
如果预期结果,请转至,然后单击立即启用进行手动同步,并在此处设置手动模式。 在多个域部署中的最后一个Active Directory域进行同步后,必须为Directory Connector启用自动模式。 只有当对象在Webex云和所有内部活动目录之间完全匹配时,您才可以启用自动模式。 |
下一步该做什么
-
对于您保留的任何不匹配的用户对象,您必须将其添加到Active Directory,以便在内部和云之间实现完全匹配。
-
选择同步类型:
-
首次将新用户同步到云时,将Active Directory用户完全同步到云中。 您可以从进行操作,然后从当前域的用户将同步。
-
设置连接器计划并在运行完整同步后运行增量同步,如果要在初始同步后拾取更改。 建议使用这种类型的同步来检索对Active Directory用户源所做的小更改。
默认情况下,增量同步设置为每30分钟(3.4及更早版本)或每4小时(3.5及更高版本)进行,但您可以更改此值。 在您最初执行完全同步之前,增量同步不会发生。
-
-
如果您有多个域,请在已安装的任何其他目录连接器上重复这些步骤。
需要记住的事情
-
启用完全同步之前或更改同步参数时执行干运行。 如果干运行由配置更改启动,您可以在干运行完成后保存设置。 如果您已手动添加用户,执行Active Directory同步可能会导致以前添加的用户被删除。 您可以在完全同步到云之前检查Directory Connector Dry Run报告,以验证所有预期用户都存在。
-
如果匹配的用户被标记为要删除,并且您不确定如何继续,请参阅目录连接器的故障排除和修复中的故障排除信息和如何联系支持人员。
已删除的用户将在云身份服务中保留7天,然后被永久删除。
将Active Directory用户完全同步到云
当您运行完全同步时,连接器服务将从Active Directory (AD)的所有过滤对象发送到云。 连接器服务然后用您的AD条目更新身份存储。 如果您创建了自动分配许可证模板,您可以将其分配给新同步的用户。
如果您有多个域,则必须在您为每个Active Directory域安装的每个Directory Connector实例上执行此步骤。
目录连接器同步用户帐户状态—在Active Directory中,任何被标记为禁用的用户在云中也会显示为非活动。
开始之前
-
如果您希望Webex应用程序用户帐户在完全同步后以及用户首次登录之前处于活动状态,则必须执行以下步骤以绕过电子邮件验证:
-
将单点登录与Webex组织集成。 查看
使用Cisco Webex Services和您的组织的身份提供商进行单点登录
有关更多信息。 -
使用Control Hub验证并选择声称电子邮件地址中包含的域。 查看
添加、验证和请求域
. -
抑制自动电子邮件邀请,这样新用户就不会收到向Webex应用程序的自动电子邮件邀请。(您可以进行自己的电子邮件活动。)
尚未登录的已激活用户在Control Hub中显示已验证状态。 登录后,它们将显示为活动状态。 有关用户状态的更多信息,请参阅 Cisco Webex Control Hub中的用户状态和操作。
-
-
启用同步时,Directory Connector要求您先执行干运行。 我们建议您在完全同步之前进行干运行,以发现任何潜在的错误。
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板。
如果您不使用自动分配许可证模板,新同步的用户会自动获得免费许可证。 他们将能够使用与免费帐户的相同的免费功能。
| 1个 |
选择一项:
|
| 2个 |
从Directory Connector转至同步,单击同步域旁边的 |
| 3个 |
确认同步的开始。 对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序会在您执行同步后72小时内反映更改。 您可以按照以下说明尝试清除Webex应用程序的本地缓存: Windows 或 Mac。
|
| 4个 |
要更新同步状态,请单击刷新。 (同步项目出现在云统计下。) |
| 5个 |
有关错误的信息,请从操作工具栏选择启动事件查看器以查看错误日志。 |
| 6个 |
要设置持续增量同步到云的同步计划,请参阅设置连接器计划和运行增量同步。 |
-
完成完全同步后,在Control Hub的设置页面上,目录同步状态将从禁用更新至操作。
-
当所有数据在内部和云之间匹配时,Directory Connector将从手动模式更改为自动同步模式。
-
除非您集成单点登录、验证域并选择对已同步的电子邮件帐户申请域和抑制自动电子邮件,否则Webex应用程序用户帐户将保持未验证状态,直到用户首次登录Webex应用程序以确认其帐户。 请参阅“开始之前”部分,了解如何将帐户同步为活动用户的指导。
-
如果您有多个域,请在已安装的任何其他目录连接器上执行此步骤。 同步后,您添加的所有域上的用户都会在Control Hub中列出。
-
如果您将单点登录与Webex集成,并且已删除的电子邮件通知,则电子邮件邀请不会发送给新同步的用户。
-
启用目录连接器后,您无法在Control Hub中手动添加用户。 启用后,从Cisco目录连接器执行用户管理,而Active Directory是唯一的真理源。
-
您同步的任何组都出现在Control Hub中,并且您可以分配许可证模板,以便该组中的用户获得许可证。
下一步该做什么
-
当您从Active Directory中删除用户时,该用户将在下次同步后被软删除。 用户处于非活动状态,但云身份档案将保留七天(以便从意外删除中恢复)。
如果您在Active Directory中检查帐户已禁用,则下次同步后该用户将变为非活动。 云身份档案七天后不会删除,以防要再次启用用户。
-
注意增量同步的这些异常(请按照上面的完整同步步骤操作):
-
如果更新了头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
-
属性映射、基本DN、过滤器和头像设置的配置更改需要完全同步。
-
向Control Hub中的Directory同步用户分配Webex服务
完成从Cisco目录连接器到Control Hub的完整用户同步后,您可以使用Control Hub一次性向所有用户分配相同的Webex服务许可证,或者如果您已经配置了自动分配的许可证模板,则向新用户添加其他许可证。 您可以在此初始步骤后更改个人用户帐户。
完成从Directory Connector输入到Control Hub的完整用户同步后,您可以使用Control Hub中的方法通过批量CSV模板向所有用户、个人用户、或自动向新用户分配Webex服务许可证(如果您已经配置了自动分配许可证模板)。 您可以在此初始步骤后更改个人用户帐户。
当您向Webex应用程序用户分配许可证时,该用户默认会收到一封确认分配的电子邮件。 该电子邮件由Control Hub中的通知服务发送。 如果您将单点登录(SSO)与Webex组织集成,则如果您更愿意直接联系用户,您也可以删除这些自动电子邮件通知。
开始之前
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板。
-
在Active Directory用户上执行干运行同步。
-
确认干运行结果后,在Active Directory用户上进行完全同步。
在完全同步时,用户在云中创建,不添加服务分配,也不发送激活电子邮件。 如果电子邮件未被抑制,新用户会在通过Control Hub中的标准用户管理方法(例如CSV导入、手动用户更新或成功自动分配完成等向用户分配服务时收到激活电子邮件。
| 1个 |
从 https://admin.webex.com 中的客户视图,转至,单击管理用户,选择修改所有同步用户,然后单击下一步。 |
| 2个 |
选择一个选项: |
下一步该做什么
-
如果电子邮件没有被抑制,将向每个用户发送电子邮件,并邀请其加入和下载Webex。
-
如果您为所有用户选择了相同的Webex服务,那么您可以单独或批量更改分配的许可证。
目录连接器的已知问题
-
2012 R2之前的Windows Server版本存在影响Directory Connector的cookie问题。 此问题已在 2012 R2 和 2016版本中得到解决。
-
对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序将在执行同步后的72小时内反映更改。
您可以按照以下说明尝试清除Webex应用程序的本地缓存: Windows 或 Mac。
-
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫仅具有同步SIP URI的房间,此时呼叫将无限响起。
管理Webex应用程序用户
运行增量同步
增量同步会查询 Active Directory,查找自上次同步以来发生的更改。然后,此步骤会打包上述更改并发送至连接器服务。这些更改包括用户归属修改以及添加或删除用户的时间。
此同步不会给服务器带来那么多的负载,也不需要像完全同步那样多的时间。完成初始完整同步后,我们建议为后续同步使用增量选项。
开始之前
-
在从Active Directory同步的新Webex应用程序用户上使用之前,必须设置自动分配许可证模板 。
-
注意不支持增量同步的以下异常(请遵循将Active Directory用户完全同步到云中 ):
-
如果更新了头像,但没有其他属性更改,增量同步不会将用户的头像更新到云。
-
对于属性映射、基本DN、过滤器和头像设置的新配置更改,增量同步无法工作,需要完全同步。
-
| 1 |
从 Directory Connector 中,单击控制板。 启用同步时,Directory Connector 将要求您首先执行测试。 |
| 2 |
从操作中,如果尚未启用,单击同步模式>启用同步 。 默认情况下,增量同步设置为每30分钟(3.4及更早版本)或每4小时(3.5及更高版本)进行,但您可以更改此值。在您最初执行完全同步之前,增量同步不会发生。当新的增量时间间隔出现时,程序会根据最后一个时间标识检查更改。 |
| 3 |
从操作中,单击立即同步 > 增量。 对于您在Active Directory中对Active Directory中的用户进行的任何更改(例如,显示名称),Control Hub会在刷新用户视图时立即反映更改,但Webex应用程序将在执行同步后的72小时内反映更改。
|
| 4 |
有关错误的信息,单击操作 工具栏中的启动事件查看器 可查看错误日志。 |
下一步
如果您有多个域,请在已安装的其他目录连接器实例上执行此步骤。
恢复意外删除的用户
Directory Connector具有制衡功能,以防止用户意外删除。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器,这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复,并在Control Hub中重新建立用户帐户。
默认情况下,此功能对所有组织都启用。例如,在云中删除用户时,由于从Directory Connector同步后出现不匹配的对象问题,用户可以恢复。如果您看到不匹配的对象注意到或注意到用户已删除,如果您快速采取行动,您可能能够恢复它们。
当在Active Directory中删除相应帐户时,用户在Control Hub中标记为Inactive。后台云服务将用户保留最多7天。在此期间,您仍然可以使用Cisco Directory Connector恢复用户。我们建议您尽快恢复这些用户。
在Active Directory中禁用的用户在Control Hub中标记为Inactive,但用户帐户在7天后不会删除。
| 1 | |
| 2 |
转至用户 并确认特定用户帐户是否处于非活动状态或未列出。 有关详细信息,请参阅控制中心中的用户状态和操作。 |
| 3 |
如果在Control Hub中删除用户,或者您注意到用户处于非活动状态,请转至Active Directory,添加缺失的用户帐户,然后在Directory Connector中执行干运行同步。 使用Directory Connector的目标是在Active Directory和云中的用户信息之间建立完全匹配。 |
| 4 |
执行完全同步,将暂时删除的用户帐户重新同步至Control Hub。 用户被恢复并转至原始状态,包括其帐户状态和服务分配。 |
下一步
返回Control Hub,转至,并确认先前删除的用户帐户出现在用户列表中。
在软删除后永久删除用户
执行干运行后,您可以选择永久删除下次同步时被软删除的用户。
| 1 |
干运行完成后,选择软删除对象。 |
| 2 |
选中要删除的用户旁边的复选框。 |
| 3 |
选择完成。 |
下一步
下次同步时,已检查的用户将被永久删除。
更改Webex应用程序电子邮件地址
如果您想更改用户电子邮件地址,并且您的组织使用Directory Connector,请在Active Directory中更改这些电子邮件地址。此程序涵盖如何更改单个域的Webex应用程序电子邮件地址以及更改域的流程。
如果您只想更改一个用户的电子邮件或某个值,请勿从Active Directory中删除该用户,然后用同一电子邮件重新创建新用户。云将此操作解释为新用户帐户,用户空间和云中的其他数据将丢失。
目录连接器不限制电子邮件域更改。但是,当用户重新同步到云时,用户状态取决于您的组织中是否验证新域。如果组织中未验证域,则在完全同步后,用户的状态将更改为“待定”。有关更多信息,请参阅管理您的域。
如果您的组织不使用Directory Connector,您可以通过帐户设置页面更改您的Webex App电子邮件地址。请参阅更改帐户的电子邮件地址 ,了解用户可以遵循的步骤来更改电子邮件。
更改 Active Directory 域
您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。
| 1 |
设置新的 Active Directory (AD) 域。 |
| 2 |
禁用所有连接器上的同步。 |
| 3 |
卸载所有连接器。 |
| 4 |
在案例提交中,请确保请求删除组织中的域配置和所有同步属性。 在打开案例以更改域之前,请确保未运行同步功能。在案例解决之前,不要更改Active Directory中的任何用户电子邮件地址。 |
| 5 |
解决案例后: 在进行实际同步之前,使用Directory Connector执行测试运行。 |
域声明
如果您为某个组织申请电子邮件域名,从而在付费客户组织中创建任何旁边的帐户,而不是免费消费者组织中,则会出现域索偿。您只能通过支持案例进行域申索(有关更多信息,请参阅下面的链接)。
如果Directory Connector处于活动状态并且该域已声明,则不会在客户组织或自由消费者组织中创建侧板帐户。只有Directory Connector才能从Active Directory中为组织提供帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户,受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是首先使用Directory Connector向Control Hub提供帐户。
在目录同步组织中转换免费的Webex应用程序用户
您只能在Webex应用程序目录中使用唯一的电子邮件地址。如果您的用户已注册免费版Webex应用程序,则他们的帐户存在于免费消费者组织中。要使用Directory Connector管理此组织中的用户,请在打开Directory Connector之前将其迁移(转换)到客户组织。然后, 将用户添加到与精确的电子邮件地址 Active Directory, 然后同步到云端。
如果您未在激活前转换帐户,请关闭 Directory Connector 以对帐户进行转换。
如果启用目录同步时尝试转换用户,将显示错误消息 无法转换。为避免此问题, 您可以使用这些步骤作为变通办法。
一些声称的用户在进行干运行时可能会显示来自 属性。这些用户将位于已删除对象 列表中,而不是不匹配对象。如果要将这些用户迁移到您的组织,则需要将这些用户添加到您的AD列表。
如果您未添加这些用户,它们将在您旁边同步到云时全部删除。
| 1 |
从 Directory Connector 中禁用目录同步功能。 |
| 2 |
按照在Control Hub中转换无许可用户 程序将用户从免费消费组织转换为企业组织。 此步骤将用户添加到您的组织,帐户将显示在Control Hub中。Directory Connector使Active Directory成为用户帐户唯一的真实来源,目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前,确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。 |
| 3 |
在Directory Connector上,执行干运行同步。测试完成后,查看“添加对象”标签页。验证是否未删除您已转换的任何用户。 您必须在重新启用同步之前执行测试, 以确保任何已转换的用户帐户都显示在 Active Directory 中。如果您打开同步并且帐户仅位于Control Hub中,则Directory Connector将区分大小写,并删除其检测到电子邮件地址不匹配的转换用户(例如,user1@example.com和User1@example.com)。 如果已删除任何转换的用户,他们将失去所有Webex应用程序空间。 |
| 4 |
如果您确定下一次同步将不会删除任何帐户,请从 Directory Connector 重新启用目录同步。 |
如果您没有验证域,转换的用户帐户不会自动激活。例如,如果您打开自动分配许可证模板,然后在没有域验证的情况下打开Directory Connector,转换后的用户将在云后端处于非活动状态,直到他们确认其电子邮件地址。
侧边的Webex应用程序用户帐户
当您邀请其他用户到Webex应用程序中的空间时,如果受邀用户没有Webex应用程序帐户,则为他们创建帐户(“侧面”)。缺省情况下,以此方式创建的帐户将添加至自由消费者组织中。
如果要使用Directory Connector管理侧栏帐户,则必须转换帐户。
目录同步后更改Webex应用程序用户名格式
默认情况下,Directory Connector将Active Directory中的displayName属性映射到云中的displayName属性。
执行目录同步后,您可能会发现该用户名以格式显示。
如果Active Directory中的 displayName 属性以这种方式配置,此用户名可能会出现。当属性映射到云中的 displayName 时,名称会在Control Hub中以格式显示。
若要更改格式,请在 Directory Connector 属性映射屏幕中进行如下操作:将Active Directory属性 givenName sn (或 sn givenName)映射到Cisco云属性名称中的 displayName 。
或者,将属性 sn givenName 映射到 displayName:
如果您想将自己的自定义属性表达式映射到 displayName,也可以使用“自定义属性”选项。
例如,输入givenName + "" + sn (名字、空间、姓氏)作为表达式。将Active Directory中的两个属性映射到云中displayName 。
允许用户在Webex Meetings中更改显示名称
如果您想允许用户编辑首选的显示名称,您可以在Directory Connector中取消映射 displayName 属性以同步到云。用户可以在Webex会议期间输入显示名称,而不是他们的名字和姓氏。管理员还可以在Control Hub中手动更改用户的显示名称。
| 1 |
从Directory Connector,单击配置,然后选择用户属性映射。 |
| 2 |
在 Cisco云属性名称 下选择显示名称。 |
| 3 |
选择不同步此属性。 |
下一步
用户现在可以从Webex站点编辑显示名称。
Directory Connector 故障诊断
升级到最新软件版本
要保持部署合规并获取最新功能、功能、错误修复和安全增强功能,您必须始终升级到最新版本的Directory Connector。如果您未升级到可用的最新版本,则可能会遇到问题,例如Directory Connector不再正常同步,或者处于不支持强制性 TLS 1.2要求的版本上。
Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。
虽然您可以手动安装连接器软件更新更新,但我们建议您遵循设置自动升级 中的步骤,让应用程序自动管理升级。
| 1 |
单击Windows任务栏中的通知,或右击Windows任务栏中的Directory Connector图标,开始升级过程。 |
| 2 |
按说明完成升级操作。 |
| 3 |
重新启动连接器并使用管理员凭据登录。 |
| 4 |
在下验证软件的版本号。 |
下一步
要重新安装Directory Connector,您可以 下载zip文件 ,然后按照本指南中的安装步骤操作。
配置 Directory Connector 的常规设置
使用此程序配置常规设置,例如正在运行Directory Connector的服务器名称、日志级别、自动升级和域控制器的首选设置。连接器的名称显示在控制板的连接器部分中,其中还包含正在运行的任何其他连接器。
| 1 |
从Directory Connector转至配置,然后单击常规。 |
| 2 |
在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。 |
| 3 |
从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括:
这些设置会影响通过电子邮件发送的同步报告。如果将日志级别设置为错误,则仅在同步报告中报告错误;如果不存在错误,则不会发送同步报告。将设置更改为Info,然后在完全同步后收到同步报告。(请记住,对于增量同步,没有报告错误时不会发送报告。) |
| 4 |
选择首选域控制器以设置域控制器同步身份的顺序。 将按照从上到下的顺序访问域控制器。如果顶级控制器不可用,则选择列表中的第二个控制器。如果列表中没有控制器,您可以访问主控制器。 |
| 5 |
如果要进行自动升级,请检查自动升级到新的Cisco Directory Connector版本 。 将Cisco Directory Connector软件更新到最新版本始终非常重要。我们建议您检查此设置,允许在软件可用时安静地安装自动升级到软件。 |
| 6 |
检查 通过SSL检查LDAP 以使用安全LDAP (LDAPS)作为连接协议。 如果您未通过 SSL检查LDAP,则Directory Connector将继续使用LDAP连接协议。 LDAP(轻量级目录应用程序协议)和安全LDAP(LDAPS)是应用程序和基础设施中的域控制器之间使用的连接协议。LDAPS通信经过加密且安全。 |
配置连接器策略
您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。
例如,将 1 设置为删除阈值触发值。在执行完全或增量同步时,如果您要删除的用户数大于该设置,Directory Connector 会显示警告。如果您单击忽略阈值,可以成功开始完全或增量同步,但是在您下次运行该策略时将再次看到此忽略提示。
| 1 |
从Directory Connector,单击配置,然后选择策略。 |
| 2 |
如需添加阈值触发器,请勾选“启用删除阈值触发器”复选框。 选择该选项后,删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时,同步失败。
|
| 3 |
输入您要设置的最大删除次数。缺省值为 20。 我们建议您不要增大该缺省值。 |
| 4 |
单击应用。 |
设置连接器的安排
在Active Directory中设置同步定时。为了实现高可用性 (HA),使用了故障转移。如果有一个连接器宕机,我们会在预定义的间隔过后,切换到另一个待机连接器。
| 1 |
从Directory Connector,单击配置,然后选择计划。 |
| 2 |
以分钟为单位指定增量同步间隔。 缺省的增量同步间隔为 30 分钟。完全增量同步要在首次执行完全同步后才会发生。 |
| 3 |
如果您希望更改发送报告的频率,请更改发送报告间隔时间值。 |
| 4 |
勾选启用完全同步计划以指定想要执行完全同步的日期和时间。 |
| 5 |
以分钟为单位指定故障转移间隔。 |
| 6 |
单击应用。 |
多域情境
多个域基于域优先级。对于在不同域具有相同键值的对象,在同步后,来自高优先级域的数据将覆盖来自低优先级域的数据。
具有相同键值的对象会链接到数据库中的同一条记录。
“用户”的键值是电子邮件地址;“组”的键值是组名。
多域使用示例
此示例假设某组织有两个域 - example1.com 和 example2.com,前者优先级高于后者。
-
添加 user1(电子邮件:user@example1.com)到 example1.com 的 Active Directory。
-
添加 group1(组名:Test)到 example1.com 的 Active Directory。
-
添加 user2(电子邮件:user@example2.com)到 example2.com 的 Active Directory。
-
添加 group2(组名:Test)到 example2.com 的 Active Directory。
- 在 example1.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 https://admin.webex.com 中,而 user1 和 group1 没有。
如果您为 example1.com 执行全面或增量同步,user1 和 group1 会同步。而且,user2 和 group2 会被 user1 和 group1 的信息覆盖。
User1 作为数据库中的相同记录链接到 user2;group1 作为数据库中的相同记录链接到 group2。
- 在 example1.com 和 example2.com 上执行同步
-
作为使用案例,user2 和 group2 同步到了云并显示在 https://admin.webex.com 中,而 user1 和 group1 没有。
请考虑这些步骤:
- 在 example1.com 的 Active Directory 上删除 user1 和 group1。
- 为 example1.com 执行全面或增量同步。
结果:在 https://admin.webex.com 中用户信息无变化。User2 没有链接到 user1,而 group2 没有链接到 group1。
- 为 example2.com 执行增量同步。
结果:在 https://admin.webex.com 中用户信息无变化。
- 为 example2.com 执行全面同步。
结果:user2 和 group2 的信息在 https://admin.webex.com 中列出。
同步新的域并保留现有域
如果要同步新的域 (B),同时还要保留其他现有域 (A) 上的已同步用户数据,请确保在受支持的 Windows Server 上安装 Directory Connector 才能进行域 (B) 同步。在初始安装后,该连接器会与新的域绑定,而域 (A) 下的用户信息不受影响。
每个域必须自带有效的连接器。请考虑采用以下设置的两个域:带有连接器 (ca1) 和 (ca2) 的域 A 可实现本地高可用性 (HA);带有连接器 (cb1) 的域 B。(ca1) 和 (ca2) 为域 A 提供服务。在此情境中,一个连接器处于活动状态,另一个处于待机状态 (HA)。该设计可保持域同步,因为有一个连接器始终处于活动状态。也就是说,cb1 是域 B 处于活动状态的连接器,因为域 A 已有处于活动状态的连接器(ca1 或 ca2)。
设置域优先级
使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域,等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织,此设置会很有帮助。
如果在 Directory Connector 中只列出了一个域,则不要使用此过程。如果您尝试进行此配置,连接器会显示一条消息,说明不需要域优先级。
开始之前
要避免错误,请安装或升级到最新版本的Cisco目录连接器。您必须从 https://admin.webex.com 下载它。
| 1 |
从Cisco目录连接器,单击仪表板。 |
| 2 |
转至操作,然后单击设置域优先级。 |
| 3 |
高亮显示列表中的一个域,单击向上或向下更改此域的优先级,然后单击保存保存更改。 各个域会按优先级自上而下排序。 |
切换域
使用此程序将Cisco目录连接器重新绑定到另一个域。
开始之前
-
在切换域之前,确保没有同步任务在运行。
-
要避免错误,请安装或升级到最新版本的Cisco目录连接器。您必须从控制中心下载。
| 1 |
从Cisco目录连接器,单击仪表板。 |
| 2 |
转至操作,然后单击切换域。 |
| 3 |
阅读警告后,如果您理解此更改对部署的影响,而且您仍然确定要更改,请单击是。 如果您切换域,则您将从当前Cisco目录连接器中注销,连接器中的其他域未注册,并且删除该计算机上的连接器信息。 |
| 4 |
重新登录Cisco目录连接器并重新绑定域。 |
关闭目录同步
如果您需要停止从Directory Connector进行同步,可以从Control Hub暂时将其关闭。
| 1 |
从https://admin.webex.com中的客户视图,转至,滚动至目录同步,然后选择一个:
|
| 2 |
阅读提示之后,单击关闭。 同步停止,直到从Directory Connector重新启用它。 |
删除用户属性映射
使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后,属性值将从云中删除,不再与Webex同步。然后可以手动编辑这些值。
| 1 |
从 Directory Connector 中,单击控制板。 |
| 2 |
转至操作,然后单击。 |
| 3 |
选择映射以从属性名称 列表中删除。 |
| 4 |
在受影响的用户范围下,选择以下其中一项:
|
| 5 |
单击应用。 |
管理档案照片
使用Directory Connector更新用户配置文件图片或删除空白用户配置文件图片。
| 1 |
从 Directory Connector 中,单击控制板。 |
| 2 |
转至操作,然后单击。 |
| 3 |
在操作下,选择以下其中一项:
|
| 4 |
单击 Apply(应用)。 |
卸载并停用目录连接器
卸载 Directory Connector 实例后,必须取消注册它。如果面临以下任何情况,都应该彻底删除 Directory Connector:
-
您不想再使用目录同步。
-
您不想使用多个 Directory Connector(高可用性)中的某一个。
-
您想要更改域并安装其他连接器。
开始之前
-
您可能有多个Directory Connector实例设置为高可用性(HA)或多个域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例,请禁用同步。
-
卸载Directory Connector之前,保存并关闭任何重要工作。
| 1 |
在您的 Windows 计算机上,转至“控制面板”,然后单击程序和功能。 |
| 2 |
从程序列表中,单击目录连接器,选择卸载,然后按照提示操作。 您可能需要重启系统来完成卸载。 |
| 3 |
从https://admin.webex.com中的客户视图,转至,滚动至目录同步,单击更多 |
| 4 |
阅读提示之后,单击停用。 用户帐户将不会再同步,除非在高可用性 (HA) 部署中还有其他 Directory Connector。 |
运行诊断工具
您可以使用内置的诊断工具来故障排除Directory Connector部署。此工具已作为Directory Connector 3.4的一部分安装。
如果同步工作不正确,您可能会出现配置或网络错误。此工具能够测试您的 LDAP 连接,因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误,您可以发送详细的日志结果以支持。
-
要为Active Directory域服务运行测试:
-
要运行Active Directory轻量级目录服务的测试:
-
要运行轻量级目录访问协议(LDAP)的测试:
解决Ciso Directory Connector中的问题
目录连接器的故障排除和修复
您可能在Directory Connector中遇到错误消息或其他问题。此外,在Directory Connector同步用户信息后,该连接器可能会向您发送一封电子邮件报告,列出同步存在的任何问题。在联系支持人员之前,请参考以下章节,了解可能出现的问题、可能的原因和建议解决方案。
安装
Directory Connector 停止运行
您收到警告电子邮件,通知您您的Directory Connector无法工作。
-
目录连接器可能未正确安装。
-
目录连接器可能未运行。
-
网络可能不可用。
请尝试以下操作:
-
打开。找到 Directory Connector。如果没有,请从Control Hub下载最新版本并安装。
-
打开服务 并找到Cisco DirSync服务。确保将状态显示为开始。如果该服务已停止,请单击右键并选择“启动”以重启该服务。
-
确保安装Directory Connector的服务器能够访问Internet。
重新安装错误
问题—如果您在卸载旧连接器后立即安装新连接器,可能会看到错误消息。
可能原因—在Windows Server 2012中,卸载客户端需要时间从服务列表中删除服务帐户。
解决方案—经过一段时间后,请再次尝试安装。
登录
SSO登录期间目录连接器崩溃
问题
从SSO登录页输入电子邮件地址后,目录连接器可能会崩溃。
解决方案
请尝试以下操作:
执行以下步骤以配置新的组策略:
-
转至域控制器并打开组策略管理(gpedit.msc)。
-
右键单击特定的OU或域,然后选择在此域中创建GPO,并在此处链接它……
-
给该策略命名,然后右键单击并选择编辑。
执行以下步骤以更改机器级别的策略:
-
转至,右键单击注册表,选择新建,然后选择注册表项。
-
对于关键路径,输入或导航至HKEY_本地_机器\软件\Microsoft\Internet Explorer\Main。
-
为
值输入禁用脚本调试器,为值数据输入否。设置应匹配此屏幕截图:
请执行以下步骤以在用户级别更改策略:
-
转至,右键单击注册表,选择新建,然后选择注册表项。
-
对于关键路径,输入或导航至HKEY_当前_用户\软件\Microsoft\Internet Explorer\Main。
-
为
值输入禁用脚本调试器,为值数据输入否。设置应匹配此屏幕截图:
在运行 gpupdate /force、重新启动机器(用于机器更改)或再次输入用户符号(用于用户更改)后,更改将生效。
无法注册Cisco DirSync服务连接器
问题
登录失败,并显示此消息:“无法注册Cisco DirSync服务连接器。”
解决方案
安装Directory Connector的Windows系统必须是Active Directory的成员。
未显示登录页面
问题
您打开目录连接器,登录页未显示。
解决方案
请尝试以下步骤:
-
在Internet Explorer中,转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在其他浏览器(如Chrome和Firefox)中尝试该链接。
-
如果Internet Explorer无法访问该链接,但其他浏览器可以,请检查Internet Explorer设置并检查TLS 1.1和1.2复选框。(使用启用Internet Explorer中的TLS 程序。)
显示登录提示
问题
出现提示提示您输入用户名和密码以通过身份验证。
可能原因
Directory Connector通过登录帐户悄悄完成NTLM安全验证。如果身份验证失败,会弹出对话框以请求身份验证用户名和密码。
解决方案
当您看到登录弹出窗口时,您需要提供具有正确身份验证的有效帐户,以保证传递安全。
无法连接远程服务器
无法注册连接器
问题
您将看到错误消息“无法注册连接器。发生了一般例外。”
可能原因
在大多数情况下,问题在于Directory Connector没有连接到LDAP根上下文的特权。
解决方案
请尝试以下操作:
-
运行命令提示符(cmd),然后输入 ldp.exe。
-
单击,选择绑定为当前登录用户,然后单击确定。
-
单击,输入DC=arbonneintl,DC=ad 作为BaseDN,然后单击确定。
-
如果问题继续,打开支持案例。
同步
头像未同步
问题
Cisco目录连接器将用户AD数据同步到Webex云。但未成功同步头像数据。
可能原因
如果您重复使用现有的头像服务器,并且用户头像已经同步,则本地缓存将捕获它们,并避免再次重订以保存带宽。
解决方案
按照以下步骤删除本地缓存:
-
转至C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
-
删除DirSyncPluginAvatar.dll-cache.bin。
-
从Cisco目录连接器重新启动头像同步。
用户电子邮件帐户冲突
问题
同步结果可能会显示有冲突的用户电子邮件帐户。
-
如果用户尝试了Webex应用程序的免费版本,他们的电子邮件地址将位于免费消费者组织中。
-
如果用户电子邮件在另一个组织中已同步。
-
如果用户电子邮件存在于属于组织的多个域中。
解决方案
请尝试以下操作:
-
如果您要向用户索要权,请按照以下步骤操作:
-
确保您已在 Control Hub中验证该域。
-
暂时禁用Cisco目录连接器。
-
使用Control Hub中的Claim User选项对免费消费者组织中可能存在的任何帐户进行申索。有关详细信息,请参阅向您的组织索要用户(转换用户) 。
-
在Cisco Directory Connector中运行干燥,然后重新启用目录同步
-
-
对于最后一个案例,请复选您的Active Directory源中的用户数据。
已转换用户标记为非活动
问题
在您的目录同步环境中,您将免费(消费者组织)用户转换为企业组织,但转换用户无法登录Webex应用程序。
可能原因
当自由用户转换为企业组织时,该用户将被标记为非活动状态为30天,作为安全合规措施。在此期间内,用户无法登录Webex应用程序,并且在30天期限结束时标记要删除。出现这种情况是因为自由用户信息不在Active Directory中。
解决方案
如果您不想删除该用户帐户,必须采取行动。要解决此问题,请在内部的Active Directory中创建与转换后的免费用户帐户相对应的用户帐户。然后,从Cisco Directory连接器执行同步。然后,用户可以再次登录Webex应用程序,帐户不会被删除。
增量同步失败
问题
增量同步失败。
在以下条件下可能会在Windows Server 2008 R2上出现此问题:
-
您支持增量值更新。
-
您使用的筛选器引用链接值属性。
-
该属性的结果值自上次进行完全同步以来已更新。
解决方案
Windows Server 2008 R2有一个与此问题相关的bug。此错误在2012 R2及更高版本中得到修复。我们建议您将您的Windows Server升级到至少2012 R2。
属性的值无效
问题
对于 [user dn (distinguished name)],属性 [attribute name] 有以下无效值 [attribute value]。
可能原因
对于CN=b,OU=Employees,OU=C Users,DC=c,DC=com,属性[电话号码]具有以下无效值:+。此属性必须包含至少一个数字。
解决方案
此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。
要删除匹配的用户
问题
匹配的用户将被标记为要删除。
当执行干运行同步以检查Active Directory和云之间的数据时,您可能会在两者中看到相同的电子邮件地址。但是,用户被标记为要删除的对象。
解决方案
选择适当的修复:
-
如果可以在之后删除用户并重新执行许可证,您可以使用Directory Connector进行修复。执行同步以删除用户,然后执行其他同步以将用户从本地AD同步到云。
-
如果您无法删除并重新创建用户帐户,请在支持下打开案例。
缺少属性
问题
添加内部条目[user dn (distinguished name)]时需要属性[attribute_name]。除非所有必需属性都具有值,否则不会在Control Hub中创建该条目。
可能原因
必需属性的 email address 缺失。添加内部条目时[CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local],除非所有必需属性都具有值,否则不会在Control Hub中创建条目。
解决方案
用户[user_email_address]缺少一个必备属性。请为该用户提供必需值。
嵌套组无法同步
问题
嵌套的Active Directory组中的用户未正确与云同步。
可能原因
使用不受支持的子组和父组的筛选器。例如:(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
解决方案
必须重新配置同步组的过滤器。例如:|(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
用户命名冲突
问题
对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言,[用户电子邮件地址],以及用户类型[user_type]。
可能原因
已在Control Hub中存在该电子邮件地址的用户。
解决方案
在Active Directory中创建用户,其电子邮件地址与您通过Control Hub注册的帐户相同。
Control Hub
Control Hub中缺少用户列表
问题
如果您拥有超过1000名同步用户的Webex组织,则可能无法在Control Hub中看到用户列表。
解决方案
您可以使用搜索功能查找用户帐户。在Control Hub中,转至用户,单击搜索,然后输入搜索条件以查找特定用户。
组不会同步到Control Hub
问题
目录组中的用户无法正确同步到Control Hub。
可能原因
在Active Directory中,该组未标记为 isCriticalSystemObject 。
解决方案
确保在Active Directory中将 isCriticalSystemObject 属性设置为 TRUE 。
启用 Directory Connector 故障诊断
您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息,并将其保存至文件。
以下日志文件: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
| 1 |
运行 |
| 2 |
重启服务。 请参阅如何启动服务获取指导。 |
| 3 |
在目录连接器中,单击仪表板。 |
| 4 |
转至操作,然后单击。 |
| 5 |
启用故障诊断后,重复执行导致错误的操作,这样将捕获流量数据,以便进行检查。 |
| 6 |
检查日志文件:如果文件空白,请确保帐户有权访问 AD DS 或 AD LDS。 日志文件夹只保存最近3天的文件。日志文件中的内容与系统的事件日志输出一致。 |
| 7 |
如有必要,向支持人员发送日志文件以获取协助。 |
| 8 |
诊断完成后,请禁用故障诊断功能。 |
启动事件查看器
若要查看完全或增量同步期间发生的事件,请启动“事件查看器”。它显示管理事件和错误日志的摘要。
| 1 |
从Directory Connector转至仪表板,然后单击。 “事件属性”对话将显示同步事件详细信息与错误详细信息。 |
| 2 |
从事件查看器,转至。
|
| 3 |
在操作下,单击保存所有事件为 将所有日志导出为单个事件文件(*。evtx)或其他格式(如xml或csv)。 |
下一步
如果您需要打开案例,请联系支持人员,描述连接器的问题,然后将“事件”文件附加到案例中。
事件日志会捕捉用户操作。如需管理网络流量的帮助,请在连接器上启用故障排除。
在Internet Explorer中启用TLS
如果您切换了单点登录(SSO)提供商,您可能会看到来自Cisco目录连接器的以下错误消息:
-
登录到服务时出错
-
此页脚本中出现错误
如果您看到这些错误,必须在浏览器中启用TLS设置。
| 1 |
打开Internet Explorer,然后选择工具。现在选中要启用的TLS/SSL版本的复选框“单击确定”关闭浏览器,然后再次打开它 |
| 2 |
单击互联网选项 ,转至高级 ,滚动至安全。 |
| 3 |
检查使用TLS 1.1 和使用TLS 1.2 复选框,然后单击确定。
|
| 4 |
重新启动系统以便更改生效。 |
服务帐户登录问题故障诊断
如果您无法登录Cisco目录连接器或无法运行同步,请在联系支持人员之前尝试解决该问题。
| 1 |
尝试在 Web 浏览器中访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。 |
| 2 |
根据结果选择一项:
|
| 3 |
至少,确保Cisco DirSync服务(可在Windows服务中找到)配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下,该服务利用Windows登录帐户凭据和身份验证。 |
在Windows注册表中检查SafeDllSearchMode
默认情况下,安全动态链接库(DLL)搜索模式在Windows注册表中设置,然后将用户的当前目录放在DLL搜索顺序中。如果此模式被禁用,攻击者可以将恶意DLL(与位于系统文件夹中的引用的DLL文件名称相同)放置到应用程序的当前工作目录中。
通常,SafeDllSearchMode已启用,但使用此步骤来复选注册表设置。
开始之前
对Windows注册表的更改应极其谨慎。我们建议您在使用这些步骤之前备份注册表。
| 1 |
在Windows搜索或运行窗口中,键入regedit ,然后按Enter。 |
| 2 |
转至HKEY_本地_机器\系统\CurrentControlSet\Control\Session Manager。 |
| 3 |
选择一种:
|
有关详细信息,请参阅动态链接库搜索顺序。
