目录连接器部署指南

2024年6月28日 | 431 次查看 | 0 人认为有帮助

在此文章中

Cisco Directory Connector概述

Directory Connector概述

为Directory Connector准备环境

Directory Connector的要求

Windows和Active Directory要求

硬件要求

网络要求

Webex组织要求

安装要求

多个域要求

自动许可证分配的Active Directory组建议

估算信息

在Windows注册表中检查SafeDllSearchMode

WebEx 代理集成

通过浏览器使用Web代理

通过 PAC 文件配置 Web 代理

NTLM代理

配置透明代理

设置代理验证

部署目录连接器

Cisco目录连接器部署任务流程

安装 Directory Connector

Directory Connector 控制板

设置自动升级

选择要同步的Active Directory对象

映射用户属性

Active Directory和云属性

自定义属性的表达式

将目录头像从Active Directory属性同步到云

将目录头像从资源服务器同步到云

将本地会议室信息同步到Webex云

发送有关目录同步结果的电子邮件报告

将用户从Active Directory部署到Control Hub

对您的Active Directory用户执行测试同步

将Active Directory用户完全同步到云端。

在Control Hub中将Webex服务分配给目录同步用户

目录连接器的已知问题

管理Webex应用程序用户

运行增量同步

恢复意外删除的用户

在软删除后永久删除用户

更改Webex应用程序电子邮件地址

更改 Active Directory 域

域声明

在目录同步组织中转换免费的Webex应用程序用户

侧向加载的Webex应用程序用户帐户

在目录同步后更改Webex应用程序用户名格式

允许用户在Webex Meetings中更改显示名称

Directory Connector故障诊断

升级至最新软件版本

配置 Directory Connector 的常规设置

配置连接器策略

设置连接器的安排

多个域场景

多域使用示例

同步新域并保留现有域

设置域优先级

切换域

关闭目录同步

删除用户属性映射

管理档案照片

卸载并停用Directory Connector

运行诊断工具

对Ciso目录连接器中的问题进行故障诊断

Directory Connector的故障诊断和修复

安装

Directory Connector 停止运行

重新安装错误

SSO登录期间Directory Connector崩溃

Cisco DirSync服务连接器无法注册

没有出现登录页面

出现登录提示

无法连接远程服务器

无法注册连接器

同步

头像未同步

用户电子邮件帐户冲突

已转换用户标记为“非活动”

增量同步失败

属性的值无效

要删除的匹配用户

缺少属性

嵌套组不会同步

用户命名冲突

Control Hub

Control Hub中缺少用户列表

组不会同步到Control Hub

启用 Directory Connector 故障诊断

启动事件查看器

在Internet Explorer中启用TLS

服务帐户登录问题故障诊断

在Windows注册表中检查SafeDllSearchMode

目录连接器部署指南

在此文章中

Cisco Directory Connector概述

Directory Connector概述

Directory Connector是用于在云中同步身份的本地应用程序。您可以从Control Hub下载连接器软件并将其安装到本地计算机上。

借助Directory Connector，您可以在Active Directory中维护您的用户帐户和数据，从而使Active Directory成为唯一的真实来源。当您在本地进行更改时，将其复制到云端。

请参阅表格中的所有功能、说明和优点：

功能	说明和优点
易于使用的控制板	控制板提供同步计划、摘要、同步状态以及目录连接器的状态。您可以随时登录查看仪表板。
同步到云端之前进行演习	在云中实施目录更改之前，先对其进行测试。然后运行报告，查看您希望进行的更改是否符合预期。
完全和增量同步	同步整个目录。或者只是同步这些增量更改，以节省处理能力并缩短同步时间。
同步多个域（单林或多林）	Directory Connector支持单林或多林下的多个域（无需AD LDS）。对于具有多个Active Directory域的企业，您可以为每个域安装目录连接器，将每个域绑定到组织，然后将每个用户群同步到Webex。 Control Hub通过显示多个目录连接器的同步状态来反映该状态，允许您关闭特定域的同步，并在高可用性部署中停用目录连接器。
计划的同步	设置按天、小时和分钟的同步计划。
轻量级目录访问协议(LDAP)过滤器	定义LDAP搜索条件并提供有效的导入。
Active Directory属性映射	将Microsoft Active Directory属性映射到相应的Webex云属性。您可以映射与Active Directory配置相关的属性，还可以定义自定义属性以映射到云。来自本地的属性在云中形成各种数据，例如用户帐户信息、Webex Teams中的企业电话号码、协作室资源SIP地址以及其他用户联系人卡片数据（职位、部门、经理等）。
无需Webex许可的本地会议室资源和Cisco Webex Calling（云PSTN）用户和企业联系人的公司目录	如果您组织的一部分使用Cisco Webex Calling云PSTN进行呼叫服务，或者您有本地部署的协作室设备，则此功能允许用户从其Cisco Webex Calling（云PSTN）电话或协作室资源搜索企业联系人的目录。会议室资源同步协作室信息之后，具有已配置、已映射 SIP 地址的本地协作室设备将作为可搜索条目显示在云注册协作室设备（例如 Cisco Webex Room 设备或 Cisco Webex Board）中。当用户在Cisco Webex Room设备或Cisco Webex Board上搜索时，您将看到使用SIP地址配置的已同步协作室条目。当他们从该条目上的Webex设备发起呼叫时，将向为协作室配置的SIP地址发起呼叫。呼叫除了Webex应用程序联系人之外，用户还可以向企业联系人发起呼叫。通过目录连接器，企业用户及其电话号码将添加到您的Webex组织。 Webex服务无需获得许可即可使用该功能。如果存在通过目录连接器同步到Webex的URI或电话号码，则未获得Webex许可的用户将显示在通过Cisco Webex 用户电话执行的目录搜索中。对于这两种用户，呼叫功能的表现是相同的。此功能部件还为只有电话号码的联系人提供了编辑拨号功能。在联系人搜索结果中：如果联系人有可拨打的URI（Webex SIP地址）和电话号码，将显示与联系人关联的URI。如果联系人没有可拨打的URI，但有电话号码，则会显示电话号码。还会显示一个编辑拨号软键。如果这两者联系人都没有，则该联系人不会显示在目录中。
活动查看器	使用事件查看器确定同步是否存在问题。
诊断工具和故障排除	您可以使用内置诊断工具对 Cisco 目录连接器部署进行疑难解答。如同步无法正常工作，可能发生配置或网络错误。此工具会测试您与Active Directory的连接，以便您可以在联系支持人员之前自行诊断错误。在Directory Connector中启用故障诊断后，会编写可发送给技术支持的日志。
自动升级	在安装Directory Connector后，每当有新版本的软件可用时，您都会收到通知。您可以设置自动升级，以便在发布新版本时始终使用软件的最新版本。
高可用性	配置多个连接器，以便有备份，以防主连接器或托管连接器的机器出现故障。

Directory Connector 分为以下三个部分：

Control Hub 是一个单一界面，可让您管理Webex组织的所有方面：如果您希望用户通过其企业身份提供程序进行身份验证，并且不想发送Webex应用程序的电子邮件邀请，则查看用户、分配许可证、下载Directory Connector以及单点登录(SSO)。
Directory Connector管理界面 是从Control Hub下载并安装在受信任的Windows服务器上的软件。对于多个Active Directory域，您可以为要同步的每个域安装即时软件。使用该软件，您可以运行同步以将Active Directory用户帐户转入Webex、查看和监控同步状态以及配置Directory Connector服务。
目录同步服务，用于查询 Active Directory 以检索用户和组，从而同步至连接器服务和 Directory Connector。

请参阅此图了解Directory Connector架构：

为Directory Connector准备环境

Directory Connector的要求

Windows和Active Directory要求

您可以在这些受支持的Windows服务器上安装Directory Connector：

Windows Server 2012
Windows Server 2019
Windows Server 2016

要解决Cookie问题，我们建议您将域控制器升级到包含修复的版本- Windows Server 2012 R2 或 2016。

以下Active Directory服务支持Directory Connector：

Active Directory 2016

（在Windows Server 2019上使用最新版本的Active Directory时支持Directory Connector）
Active Directory 2012
Active Directory 2008 R2
Active Directory 2008

请注意以下附加要求：

目录连接器需要TLS1.2。您必须安装以下内容：
- .NET Framework v3.5（Directory Connector应用程序必需）。如果您遇到任何问题，请使用“添加角色和功能向导”按照 “启用。NET Framework 3.5”中的说明。)
- .NET Framework v.4.5（TLS1.2需要）
需要Active Directory森林功能级别2(Windows Server 2003)或更高版本。（有关更多信息，请参阅什么是Active Directory功能级别？。）

硬件要求

您必须在计算机上安装Directory Connector，并满足以下最低硬件要求：

8 GB RAM
50 GB 存储
CPU 没有最低要求

网络要求

如果启用了网络防火墙，请确保系统可通过 HTTPS（端口 443）访问互联网。

Webex组织要求

要从Control Hub访问Directory Connector软件，您需要具有试用或任何付费订阅的Webex组织。
（可选）如果您希望新的Webex应用程序用户帐户在首次登录前处于活动状态，我们建议您执行以下操作：
- 添加、验证并（可选）申领包含要同步到云端的用户电子邮件地址的域。
- 将身份提供程序(IdP)与您的WeBEX组织进行单点登录(SSO)集成。
- 阻止自动电子邮件邀请，这样新用户就不会收到自动电子邮件邀请，您可以自己进行电子邮件活动。（此功能需要SSO集成。）

有关更多信息，请参阅Control Hub中的用户状态和操作。

安装要求

对于多域环境（单林或多林），您必须为每个Active Directory域安装一个目录连接器。如果要同步新的域(B)，同时在另一个现有域(A)上保持已同步的用户数据，请确保有单独的受支持的Windows服务器来安装Directory ConnecTOR以实现域(B)同步。
对于登录连接器，我们不需要Active Directory中的管理帐户。我们需要本地用户帐户与Control Hub中的完全管理员帐户相同。

此本地用户必须拥有Windows计算机上的权限才能连接到域控制器并读取Active Directory用户对象。计算机登录帐户应该是计算机管理员，有权在本地计算机上安装软件。（此信息也适用于虚拟机登录。）
登录连接器时，登录帐户必须与Control Hub的完全管理员帐户相同。默认情况下，连接器使用本地系统帐户访问Active Directory。但是，您可以使用Windows服务配置其他帐户以访问Active Directory。（此信息也适用于虚拟机登录。）
请按照以下步骤确保已启用Windows Safe动态链接库(DLL)搜索模式：在Windows注册表中检查SafeDllSearchMode。
如果您将AD LDS用于单个林中的多个域，我们建议您在单独的计算机上安装目录连接器和Active Directory域服务/Active Directory轻型目录服务(AD DS/AD LDS)。

多个域要求

在执行 Cisco Directory Connector部署任务流程中的任务之前，如果要将Active Directory信息从多个域同步到云端，请牢记以下要求和建议：

每个域都需要单独的目录连接器实例。
Directory Connector软件必须在其将同步的同一域上的主机上运行。
我们建议您在Control Hub中验证或申领您的域。（请参阅添加、验证和申领域。）
如果要同步50多个域，必须打开申请单才能将您的组织移至大型组织列表。
如果需要，您可以将协作室资源信息与用户帐户同步。（请参阅本地会议室信息同步到Webex云。）

自动许可证分配的Active Directory组建议

Active Directory组用于将用户帐户、计算机帐户和其他组收集为可管理的单位。与小组合作，而不是与个人用户合作，有助于简化网络维护和管理。

Active Directory中有两种类型的组：

通讯组—用于创建电子邮件通讯组列表。
安全组—用于为共享资源分配权限。

在Active Directory中创建组时，请考虑以下准则：

为每个角色、部门或服务（例如销售、市场营销、经理、会计、Webex许可等）创建一个全局组。
使用整个组织中的标准命名规则，以便轻松识别有关组的重要信息。组名称可以包含有关组的详细信息，例如访问级别、资源类型、安全级别、组范围、邮件功能等。例如，组名称“GSG_Webex_Licensing_EMEAR”是指Webex Licensing EMEAR用户的全球安全组。
以易于理解的方式组织团队，如地域或管理层次。使用组描述完全描述组的目的。
在将用户添加到新预配置的组之前，请在Control Hub中为这些组定义自动许可组模板。有关更多信息，请参阅设置您的自动许可证分配模板。

估算信息

Directory Connector充当本地Active Directory和Webex云之间的桥梁。因此，连接器对可以同步到云的Active Directory对象的数量没有上限。本地目录对象的任何限制都与同步到云的Active Directory环境的特定版本和规范相关联，而不是连接器本身。

以下几个因素可能会影响同步速度：

Active Directory对象总数。（5000个用户的同步作业不需要长达50000的时间。）
网络速度和带宽。
系统工作负载和规格。

如果您同步的用户超过50000个，我们强烈建议您使用第二个连接器进行故障转移和冗余。

由于同步涉及多种因素，且每个部署因上述因素而异，因此无法提供对象同步所需时间的特定时间值。

在Windows注册表中检查SafeDllSearchMode

默认情况下，Windows注册表中设置了安全动态链接库(DLL)搜索模式，并将用户的当前目录置于后续的DLL搜索顺序中。如果该模式被禁用，攻击者可能会将恶意DLL（名称与系统文件夹中的引用DLL文件相同）放入应用程序的当前工作目录中。

通常情况下，SafeDllSearchMode已启用，但可使用此程序再次检查注册表设置。

准备工作

对Windows注册表进行更改时应非常谨慎。我们建议您在使用这些步骤之前备份注册表。

在Windows搜索或运行窗口中，输入，然后按 Enter。

转至 HKEY_本地机_\System\CurrentControlSet\Control\Session Manager。

选择一种：

SafeDllSearchMode未列出—无需进一步操作。
SafeDllSearchMode已列出—确保该值设置为 1。

有关详细信息，请参阅链接库搜索顺序。

WebEx 代理集成

如果您的环境中已启用 Web 代理验证，则您仍然可用使用 Directory Connector。

如果您的组织使用透明Web代理，则不支持身份验证。该连接器成功连接并同步用户。

您可以选择下列方法之一：

通过Internet Explorer的显式Web代理（连接器继承Web代理设置）
通过。pac文件的显式Web代理（连接器继承企业特定代理设置）
可与连接器一起使用的透明代理，无需任何更改

通过浏览器使用 Web 代理

您可以设置Directory Connector以通过Internet Explorer使用Web代理。

如果 Cisco DirSync Service 使用与当前登录用户不同的帐户运行，那么您还需要用此帐户登录并配置 Web 代理。

在 Internet Explorer 中，转至 Internet 选项，单击连接，然后选择局域网 (LAN) 设置。

将连接器安装在Web代理处的Windows实例指向。连接器继承这些Web代理设置。

如果环境使用代理验证，请将这些 URL 添加到允许列表：

cloudconnector.webex 。com用于同步。
idbroker.webex.com（用于验证）。
idbroker-static 。webex.com，用于提供静态资源，例如字体、js组件等

您可以在站点范围内（针对所有主机）执行此操作，也可以仅针对具有连接器的主机执行此操作。

如果您将这些URL添加到允许列表以完全绕过Web代理，请确保防火墙ACL表已更新以允许连接器主机直接访问URL。

如果您的环境需要从证书颁发机构请求证书吊销列表，请将以下URL添加到允许列表中：

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

有关更多信息，请参阅有关Webex服务需要访问的和URL的文章。

通过 PAC 文件配置 Web 代理

您可以配置客户端浏览器使用 .pac 文件。该文件提供Web代理地址和端口信息。 Directory Connector 直接继承企业特定的 Web 代理配置。

要使连接器成功将用户信息连接并同步到Webex云，请确保已为以下对象禁用代理身份验证 cloudconnector.webex.com （用于安装连接器的主机的。pac文件配置中）。

如果环境使用代理验证，请将这些 URL 添加到允许列表：

cloudconnector.webex 。com用于同步。
idbroker.webex.com（用于验证）。
idbroker-static 。webex.com，用于提供静态资源，例如字体、js组件等

您可以在站点范围内（针对所有主机）执行此操作，也可以仅针对具有连接器的主机执行此操作。

如果您将这些URL添加到允许列表以完全绕过Web代理，请确保防火墙ACL表已更新以允许连接器主机直接访问URL。

如果您的环境需要从证书颁发机构请求证书吊销列表，请将以下URL添加到允许列表中：

*.quovadisglobal.com
*.digicert.com
*.godaddy.com
*.identrust.com
*.lencr.org

有关更多信息，请参阅有关Webex服务需要访问的和URL的文章。

NTLM代理

目录连接器支持 <UNK> LAN Manager (NTLM)。 NTLM 方法支持在域设备之间进行 Windows 验证，并确保其安全。

NTLM设计

在大多数情况下，用户希望通过客户端PC访问其他工作站资源，这可能很难安全地实现。

一般来说，NTLM的技术设计基于挑战和响应机制：

用户通过Windows帐户和密码登录到客户端PC。密码不会在本地保存。密码的哈希值存储在本地，而不是纯文本密码。当用户通过密码登录到客户端时，Windows操作系统会比较输入密码中存储的哈希值和哈希值。如果两者相同，验证将通过。

当用户想要访问另一服务器中的任何资源时，客户端将使用纯文本的帐户名称向服务器发送请求。
服务器收到请求后，生成16位随机密钥。该键名为“挑战”（或Nonce）。在服务器发送回客户端之前，该挑战将存储在服务器中。然后服务器以纯文本形式向客户端发送挑战。
一旦客户端收到来自服务器的质询，客户端将使用步骤1中提到的哈希值加密质询。加密后，该值将发回服务器。
服务器从客户端收到加密值后，将其发送到域控制器进行验证。请求包括：帐户名称、客户端发送的加密质询以及原始纯质询。
域控制器可根据帐户名检索密码的哈希值。然后域控制器可以对原始挑战进行加密处理。然后，Doman控制器可以与收到的哈希值和加密的哈希值进行比较。如果它们相同，则验证成功。

Windows的操作系统内置安全验证功能，使应用程序更容易支持安全验证。因此，您无需进一步完成配置。

配置透明代理

在这种情境下，浏览器不会知道透明 Web 代理正在拦截 http 请求（端口 80/端口 443），因此不需要客户端配置。

1	部署透明代理，以便连接器可以连接和同步用户。
2	确认代理成功-启动连接器时，您会看到预期的浏览器验证弹出窗口。

设置代理验证

添加URL cloudconnector.webex.com 通过创建访问控制列表(Access Control List)来设置您的允许列表。

在企业防火墙服务器上：

1	如果尚未启用 DNS 查找，请启用。
2	确定该连接的预计带宽（连接器的带宽约为2 mb/s或更小）。这不是必须执行的步骤。
3	创建要应用于连接器主机的访问控制列表，并指定 `cloudconnector.webex.com` 作为添加到允许列表的终端。例如： `access-list 2000 acl-inside extended permit TCP [IP of the connector] cloudconnector.webex.com eq https`
4	将此ACL应用于相应的防火墙接口，该接口仅适用于单个连接器主机。
5	通过配置相应的隐式拒绝声明，确保企业中的其他主机仍需使用 Web 代理。

部署目录连接器

Cisco目录连接器部署任务流程

准备工作

为Directory Connector准备环境

1	安装 Directory Connector Control Hub最初将目录同步显示为禁用。要为组织开启目录同步，您必须安装和配置目录连接器，然后成功执行完全同步。对于Directory Connector的新安装，请始终转至Control Hub (https://admin.webex.com)获取最新版本的软件，以便使用最新的功能和漏洞修复。安装软件后，系统会通过软件报告升级，并在可用时自动安装。
2	登录 Directory Connector 使用Webex管理员凭证登录并执行初始设置。
3	设置自动升级让目录连接器软件保持最新版本始终是重要的。我们建议您使用此程序允许在软件可用时以无提示方式安装自动升级。
4	选择要同步的Active Directory对象默认情况下，Directory Connector会同步非计算机的所有用户以及非域关键系统对象的所有组。要更好地控制同步的对象，可以使用Directory Connector中的Object 页面选择特定用户以同步并指定LDAP过滤器。
5	映射用户属性您可以将本地 Active Directory 的属性映射到云端的对应属性。唯一的必填字段是“*uid”。
6	使用以下程序之一同步目录头像：将目录头像从Active Directory属性同步到云将目录头像从资源服务器同步到云您可以将用户的头像同步到云端，这样每个用户在登录应用程序时都可以看到其头像。您可以从Active Directory属性或资源服务器同步头像。
7	将本地会议室信息同步到Webex云使用此过程将本地会议室信息从Active Directory同步到Webex云。同步协作室信息后，具有已配置、已映射SIP地址的本地协作室设备在云注册协作室设备（例如Webex Room设备或Cisco Webex Board）上显示为可搜索条目
8	要将用户从Active Directory预配置到Control Hub中，请执行以下步骤：对您的Active Directory用户执行测试同步将Active Directory用户完全同步到云端。在Control Hub中将Webex服务分配给目录同步用户按照此序列为Webex应用程序帐户预配置Active Directory用户。您可以从多林或多域Active Directory部署中预配置Directory Connector 3.0及更高版本的用户。在加入不同域用户的过程中，您必须决定是否保留或删除Webex云中可能已存在的用户对象，例如，来自试用的测试帐户。目标是在Active Direc 和Webex云之间实现精确匹配。

安装 Directory Connector

Control Hub最初将目录同步显示为禁用。要为组织开启目录同步，您必须安装和配置目录连接器，然后成功执行完全同步。

您必须为要同步的每个Active Directory域安装一个连接器。一个目录连接器实例只能服务一个域。请参阅下图了解多域同步的流程：

准备工作

如果您通过代理服务器进行身份验证，请确保您拥有代理凭证：

对于代理基本身份验证，您将在安装连接器实例后输入用户名和密码。基本验证还需要Internet Explorer代理配置；请参阅浏览器使用Web代理
对于代理NTLM，第一次打开连接器时可能会看到错误。请参阅浏览器使用Web代理。

在 Control Hub 中，转至 > 用户 > 目录同步，然后选择一步。

单击下载并安装链接，将最新版本的连接器安装。zip文件保存到您的VMware或Windows服务器。

您可以直接从此链接获取。zip文件，但必须拥有对Control Hub组织的完全管理访问权限，才能使用此软件。

对于新的安装，请获取最新版本的软件，以便使用最新的功能和缺陷修复。安装软件后，系统会通过软件报告升级，并在可用时自动安装。

在VMware或Windows服务器上，解压缩并运行设置文件夹中的。msi文件以启动设置向导。

单击下一步，选中复选框以接受许可协议，然后单击下一步，直到您看到帐户类型屏幕。

选择您要使用的服务帐户类型，然后使用管理帐户执行安装：

本地系统 - 缺省选项。如果您已经通过 Internet Explorer 配置了代理，可以使用此选项。

域帐户 - 如果计算机是域的一部分，请使用此选项。 Directory Connector 必须与网络服务交互才能访问域资源。您可以输入帐户信息，然后单击确定。输入用户名时，请使用格式 {domain}\{user_name}

对于与 AD 集成的代理（NTLMv2 或 Kerberos），必须使用域帐户选项。用于运行 Directory Connector 服务的帐户必须有足以通过代理和访问 AD 的权限。

要避免错误，请确保具备以下权限：

服务器是域的一部分
域帐户可以访问本地AD数据和头像数据。帐户还必须具有本地管理员角色，因为它必须在以下位置访问访问文件 C:\Program Files 。
对于虚拟机登录，管理员帐户权限必须至少能够读取域信息。

单击安装。网络测试运行后，如果出现提示，输入您的代理基本凭证，单击确定，然后单击完成。

下一步

我们建议您在安装后重新启动服务器。未发布数据时，测试报告无法显示正确结果。重启计算机时，所有数据都会刷新，以在报表中显示确切的结果。

登录 Directory Connector

准备工作

确保您拥有代理凭证。

对于代理basic-auth，您将在第一次打开连接器后输入用户名和密码。
对于代理NTLM，打开Internet Explorer，单击齿轮图标，转至 Internet选项> Connections > LAN设置，确保添加代理服务器信息，然后单击确定。请参阅浏览器使用Web代理。

打开连接器，然后添加 https://idbroker.webex.com 查看受信任站点列表（如果您看到提示）。

如果出现提示，请使用代理验证凭证登录，然后使用管理员帐户登录Webex，然后单击下一步。

确认组织和域。

如果选择 AD DS，请检查基于SSL的LDAP 以使用安全的LDAP (LDAPS)作为连接协议，选择要同步的域，然后单击“确认”。

如果不检查基于SSL的LDAP，DirSync将继续使用LDAP连接协议。

LDAP（轻量级目录应用程序协议）和安全LDAP (LDAPS)是基础结构中应用程序与域控制器之间使用的连接协议。 LDAPS通信已加密且安全。

如果您选择 AD LDS，请输入主机、域和端口，然后单击刷新按钮以加载所有应用程序分区。然后从下拉列表中选择分区并单击“确认”。请参阅 AD LDS 部分了解更多信息。

在 CloudConnectorCommon.dll 配置文件，请确保您添加 ADAuth级设置为应用程序设置节点。值可以是1、2或3。请参阅Microsoft的这篇文章，了解有关AuthenticationTypes 的更多信息。以下是值为1的设置示例：

<appSettings>
<add key=”ConnectorServiceURI” value="https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL" />
<add key="ADAuthLevel" value="1" />
</appSettings>

在确认组织屏幕出现后，单击确认。

如果您此前已绑定 AD DS/AD LDS，将出现确认组织屏幕。

单击“确认”。

根据您要绑定到 Directory Connector 的 Active Directory 域数量选择一项：

如果您只有一个 AD LDS 域，则绑定到现有 AD LDS 源，然后单击确认。
如果您只有一个 AD DS 域，则绑定到现有域或新域。如果您选择绑定到新域，单击下一步。
因为现有的源类型是 AD DS，所以不能为新的绑定选择 AD LDS。
如果您有多个域，请从列表中选择一个现有域，或选择绑定到新域，然后单击下一步。
因为您有多个域，所以现有源类型必须是 AD DS。如果您选择绑定到新域并单击下一步，则不能为新的绑定选择 AD LDS。

下一步

登录后，系统会提示您执行测试同步。

Directory Connector 控制板

首次登录 Directory Connector 时，将显示控制板。您可以在此处查看所有同步活动的摘要及云统计信息、执行测试同步、开始完全或增量同步并启动事件视图以查看错误信息。

如果会话超时，请重新登录。

您可以从操作工具栏或操作菜单中轻松运行这些任务。

表 1. 控制板组件
组件	描述
当前同步	显示与当前进行的同步有关的状态信息。无正在运行的同步时，状态显示为“空闲”。
下次同步	显示安排的下次完全和增量同步。如果未设置安排，则显示“未安排”。
上次同步	显示上两次执行的同步的状态。
当前同步状态	显示同步的整体状态。
连接器	显示云当前可用的内建连接器。
云统计信息	显示同步的整体状态。
同步安排	显示增量与完全同步的同步安排。
配置摘要	列示您在配置中已更改的设置。例如，该摘要可能包含以下内容：将同步所有对象将同步所有用户已禁用被删除的阈值。

表 2. 操作工具栏

操作

描述

开始增量同步

手动开始增量同步

当您暂停或禁用同步、完全同步未完成或同步正在进行时，此操作将被禁用。

同步测试

执行测试同步。

启动事件查看器

启动 Microsoft 事件查看器。

刷新

刷新Cisco Directory Connector控制板

表 3. 操作菜单栏
操作	描述
立即同步	立即开始完全同步。
同步模式	选择增量或完全同步模式。
重设连接器保密信息	在Cisco目录连接器和连接器服务之间建立对话。选择此操作将重设云中的保密信息，然后在本地保存该保密信息。
排练	执行同步过程测试。在进行完全同步之前必须执行测试。
疑难解答	打开/关闭故障诊断。
刷新	刷新Cisco Directory Connector主屏幕。
退出	退出Cisco目录连接器。

表 4. 组合键
组合键	操作
Alt + A	显示“操作”菜单
`Alt +A + S`	立即同步
`Alt +A + R`	重设连接器保密信息
`Alt +A + D`	测试
`Alt +A + S + I`	增量同步
`Alt +A + S + F`	完全同步
`Alt + H`	显示“帮助”菜单
`Alt + H + H`	帮助
`Alt + H + A`	关于
`Alt + H + F`	常见问题解答

设置自动升级

1	从Directory Connector转至 > ，然后选中升级到新的Cisco目录连接器版本。
2	单击应用以保存您所做的更改。

新版本的连接器将在可用时自动安装。

如果您愿意，可以手动管理升级。有关更多信息，请参阅升级到最新软件版本。

选择要同步的Active Directory对象

默认情况下，Directory Connector会同步非计算机的所有用户以及非域关键系统对象的所有组。要更好地控制同步的对象，可以使用Directory Connector中的Object 页面选择特定用户以同步并指定LDAP过滤器。

自动许可证分配组

Control Hub允许您按组管理许可证分配。您可以创建许可证模板，并将其映射到同步到云端的Active Directory组。在创建用户时，Webex会检查该新用户的用户成员资格和自动许可证模板映射。

我们建议您使用LDAP过滤器仅将相关组同步到云。例如，您可以将过滤器设置为：

(&(cn=Example)(objectclass=Group))*

此过滤器同步名称以开头的基本DN中的所有组。未分配到组的用户将从您在Control Hub中配置的默认自动许可证模板中分配许可证。

Directory Connector中的对象选择屏幕

混合数据安全部署组

在Directory Connector中，如果您使用混合数据安全为试点用户配置试用组，则必须选中组。请参阅《混合数据安全部署指南》以获取指导。此Directory Connector设置不会影响云中的其他用户同步。

准备工作

自动许可证分配的Active Directory组建议

在 Directory Connector 中，转至配置，然后单击对象选择。

在对象类型部分，选中用户，并考虑限制用户的可搜索容器数量。

例如，如果您只想同步某一组中的用户，则必须在 LDAP过滤器字段中输入LDAP过滤器。如果要同步Example-manager组中的用户，请使用类似以下过滤器：

(&(sAMAccountName=*)(memberOf=cn=Example-manager,ou=Example,ou=Security Group,dc=COMPANY))

选中“识别聊天室”以将聊天室数据与用户数据分开。如果要设置其他属性将用户数据标识为协作室数据，请单击自定义。

如果要将本地会议室信息从Active Directory同步到Webex云，请使用此设置。同步协作室信息后，具有已配置的映射SIP地址的本地协作室设备会在云注册协作室设备上显示为可搜索条目。有关更多信息，请参阅本地会议室信息同步到Webex云。

如果要将Active Directory用户组同步到云端，请选中组。

不要将用户同步LDAP过滤器添加到“组”字段。您应该仅使用组字段将组数据本身同步到云。

缺省情况下，不会为新客户同步组。您必须启用组同步。您还必须同步安全组。

如果要将用户的联系信息同步到云，请检查联系人。

Directory Connector仅管理由该连接器同步的联系人。如果Control Hub中已经存在联系人，同步不会删除联系人。如果将联系人从同步范围中删除，Control Hub中的信息也将删除。

配置 LDAP 过滤器。您可以通过提供有效的 LDAP 过滤器来添加扩展的过滤器。请参阅本文，了解有关配置LDAP过滤器的更多信息。

单击选择以查看Active Directory的树形结构，指定要同步的本地基本DN。您可以在此选择或取消选择要搜索的容器。

勾选您要在此次配置中添加的对象，然后单击“选择”。

您可以选择单个容器或父容器以用于同步。选择父容器时会自动选中其所有子容器。如果选择子容器，父容器会显示灰色复选标记，说明其下勾选了子容器。然后，您可以单击“选择”以接受勾选的 Active Directory 容器。

如果贵组织将所有的用户和组都放在“用户”容器中，则不需要搜索其他容器。如果贵组织划分为多个组织单元，务必选择 OU。

单击 Apply（应用）。

选择一个选项：

应用配置更改
排练
取消

有关测试的信息，请参阅对您的Active Directory用户进行测试同步。

对于组同步，您必须执行完全同步：将Active Directory用户完全同步到云。

映射用户属性

您可以将本地 Active Directory 的属性映射到云端的对应属性。唯一的必填字段是*uid，这是云标识服务中每个用户帐户的唯一标识符。

您可以选择要映射到云的Active Directory属性-例如，您可以映射 firstName lastName 在Active Directory或自定义属性表达式中 displayName 在云中。

Active Directory 中的帐户必须具有电子邮件地址，因为缺省情况下，uid 会映射到 ad ad 字段（而不是 sAMAccountName）。

如果您选择使用Active Directory中的首选语言，则Active Directory是唯一的真实来源：用户将无法更改Webex设置中的语言设置，管理员将无法更改Control Hub中的设置。

在 Directory Connector 中，单击配置，然后选择用户属性映射。

此页面显示Active Directory（左侧）和Webex云（右侧）的属性名称。所有必需属性都标有红色星号。

向下滚动至 Active Directory属性名称的底部，然后选择其中一个Active Directory属性以映射到云属性 uid：

mail—大多数部署使用电子邮件格式。
userPrincipalName—如果您的邮件属性用于Active Directory中的其他目的，则可以选择。此属性必须为电子邮件格式。

您可以将任何其他Active Directory属性映射到uid，但我们建议您使用mail或userPrincipalName，如上述指导原则所述。在某些情况下，userPrincipalName用于登录，但用户的电子邮件地址用于管理其日历。您必须确保日历管理的电子邮件地址映射到Webex中的主电子邮件地址字段。添加userPrincipalName作为备用电子邮件地址。要查看Active Directory中的哪些属性在云端对应，请参阅在Directory Connector中映射Active Directory属性。

要使同步生效，您必须确保您选择的Active Directory属性为电子邮件格式。目录连接器会显示一个弹出窗口，提醒您如果不选择推荐的属性之一。

如果预定义的Active Directory属性不适用于您的部署，请单击属性下拉列表，滚动至底部，然后选择自定义属性以打开一个允许您定义属性表达式的窗口。

单击帮助获取有关表达式的更多信息，并查看表达式工作方式的示例。您还可以参阅自定义属性的表达式了解详细信息。

在此示例中，我们将Active Directory属性映射 givenName 和 Sn 到云属性 displayName:

将属性表达式定义为 givenName + "" + Sn （引号是一个额外的空间），然后提供现有的用户电子邮件进行验证。
单击验证，查看结果是否符合您的预期。

成功的结果如下：
如果结果符合您的预期，请单击确定保存新的自定义属性。

稍后，如果您要更改 displayName ，您可以输入新的属性表达式

目录连接器验证标识服务中uid的属性值，并在当前用户过滤器选项下检索3个可用的用户。如果这3个用户都使用有效的电子邮件格式，Cisco目录连接器将显示以下消息：

如果无法验证属性，您将看到以下警告，并且可以返回到Active Directory检查和修复用户数据：

（可选）如果您希望移动电话号码和工作号码显示在Webex应用程序中的用户名片中，请选择移动和phoneNumber的映射。

当用户将鼠标悬停在另一用户的档案照片上时，电话号码数据将显示在Webex应用程序中。

有关通过用户名片进行呼叫的更多信息，请参阅 bex中的呼叫(Unified CM)部署指南（管理员）。

选择其他映射以显示在联系人卡片中的更多数据：

departmentNumber
displayName
manager
title

在对属性进行映射后，当用户将鼠标悬停在另一用户的档案照片上时，将显示该信息：

查看他人的联系信息

有关名片的更多信息，请参阅验证您所联系的人员。

将这些属性同步到每个用户帐户后，您还可以在Control Hub中打开People Insights。此功能允许Webex应用程序用户在其档案中共享更多信息，并相互了解更多信息。有关该功能及其启用方式的更多信息，请参阅Control Hub中适用于Webex、Jabber、Webex Meetings和Webex Events（新版）的 Insights档案

选定后单击应用。

Active Directory 中包含的任何用户数据都会覆盖对应于该用户的云端数据。例如，如果您在Control Hub中手动创建用户，则该用户的电子邮件地址必须与Active Directory中的电子邮件地址相同。 Active Directory中没有相应电子邮件地址的任何用户都会被删除。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

Active Directory和云属性

您可以使用“用户属性映射”标签页将本地 Active Directory 的属性映射到云端的对应属性。

此表比较了Active Directory属性名称和Cisco云属性名称之间的映射。这些值和映射是目录连接器中的默认设置。您可以在Active Directory下拉列表中选择不同的属性，并确定哪个本地部署属性与哪个云属性同步。

将下拉属性视为预设。作为Active Directory中的值的替代，您还可以在Active Directory中指定自定义属性（具有多个属性的表达式），以映射到相应行中的单个云属性。通过这种方式，您可以灵活地确定用户的显示名称-例如，您可以添加一个表达式，该表达式根据Active Directory中的员工职务、给定的姓名和姓氏创建自定义属性。

您还可以指定要映射到云中的uid的任何Active Directory属性。但是，您必须确保内建属性遵循有效的电子邮件格式。

您还可以使用备用电子邮件地址，例如，如果您想使用userPrincipalName登录，但用户的电子邮件地址用于管理其日历。在这种情况下，将另一个电子邮件地址映射到；type-work 属性。这是用于身份验证的电子邮件，而不是用于管理您的日历。从AD映射的电子邮件地址必须来自组织内已验证的域，并且必须是唯一的，且不能分配给其他用户。

Active Directory属性名称	Webex云属性名称	笔记
—	buildingName	—
C	C	此属性指定用户的国家/地区缩写。
departmentNumber	departmentNumber	此属性用于显示联系人名片和people insights中的用户部门号码。
displayName	displayName	此属性用于显示在Control Hub、联系人名片和people insights中的用户帐户显示名称。
userAccountControl	ds-pwp-account-disabled	此属性用于用户同步。确保 userAccountControl 属性映射到 ds-pwp-account-disabled，否则将不会正确同步用户。
employeeNumber	employeeNumber	—
facsimileTelephoneNumber	facsimileTelephoneNumber	—
—	jabberID	此云属性与Jabber使用的IM地址（XMPP类型）相关。此值与sip 不同。
l	l	此属性指定用户所在的城市。
—	locale	—
Manager	Manager	此属性用于显示联系人名片和people insights中的用户经理姓名。
移动设备	移动设备	此属性用于显示从联系人卡片呼叫用户的手机号码。
o	o	此属性指定公司或组织的名称并显示在联系人名片中。
ou	ou	此属性指定组织单位的名称。
physicalDeliveryOfficeName	physicalDeliveryOfficeName	此属性指定用户的办公室位置。
postalCode	postalCode	此属性指定用户用于实际邮件递送的邮政编码。
preferredLanguage	preferredLanguage	此属性设置用户的首选语言，支持以下格式： xx_YY或xx-YY。这里是一些示例： en_美国，en_ <UNK> ，fr-CA。如果您使用不受支持的语言或无效的格式，用户的首选语言将更改至为组织设置的语言。
MSRTCSIP-PrimaryUserAddress ip电话	SipAddresses；type=企业	此属性用于将本地会议室信息从Active Directory同步到Cisco Webex云。
sn	sn	此属性用于显示在Control Hub、联系人名片和people insights中的用户帐户姓氏。
st	st	该属性指定用户的省/自治区。
streetAddress	street	此属性指定用户用于物理邮件传递的街道地址。
telephoneNumber	telephoneNumber	此属性指定用户的主要（工作）电话号码，用于从联系人卡片呼叫用户。
—	timezone	此云属性指定用户的时区。
标题	标题	此属性指定在联系人名片和people insights中显示的用户标题。
type	enterprise	—
mail userPrincipalName	uid	强制属性映射。对于每个用户帐户，Active Directory值映射到云中的唯一uid。在某些情况下，userPrincipalName用于登录，但用户的电子邮件地址用于管理其日历。您必须确保日历管理的电子邮件地址映射到Webex中的主电子邮件地址字段。添加userPrincipalName作为备用电子邮件地址。然后，只要有正确的 SAML属性映射，用户就可以使用这些电子邮件地址之一登录。请参阅下面的示例属性映射，了解如何映射备用电子邮件地址。
userPrincipalName mail <custom attribute="">	电子邮件；类型工作	此映射是可选的，如果您想使用备用电子邮件地址，请使用它。这是用于身份验证的电子邮件，而不是用于管理您的日历。从AD映射的电子邮件地址必须来自组织内已验证的域，并且必须是唯一的，且不能分配给其他用户。
<New attribute="" for="" Azure="" user="" objectId="">	externalId	创建一个新的Active Directory属性以保留Azure用户对象Id，这样它就不会与现有用户对象Id冲突。此属性随后映射到externalId属性，确保当Webex用户在Microsoft 365中组时，他们会自动在Webex中创建团队。

备用电子邮件地址映射

自定义属性的表达式

表 5. 自定义属性的表达式
接线员	描述和示例
%	将字符串开头的所有字符移至字符或字符串参数的位置（如匹配）。表达式示例 `"abc@example.com" % "@"` 结果 `example.com`
-	将输入字符串背面从指定字符串末尾剥离。表达式示例 `"abc@example.com" - "@"` 结果 `abc`
+	连接输入字符串或表达式。表达式示例 `"abc" + "" + "def"` 结果 `abc def`
\|	根据空字符串计算分隔的表达式，并选择第一个非空结果。表达式示例 `"" \| "abc"` 结果 `abc`

将目录头像从Active Directory属性同步到云

您可以将用户的目录头像同步到云，以便在用户登录Webex应用程序时显示每个头像。使用此程序从Active Directory属性同步原始头像数据。

1	在Directory Connector中，转至 Configuration（配置），单击Avatar，然后选中Enable（启用）。
2	对于获取头像从，选择 AD属性，然后选择包含您要同步到云的原始头像数据的头像属性。
3	要验证是否正确访问了头像，请输入用户的电子邮件地址，然后单击获取用户的头像。头像显示在右侧。
4	确认头像显示正确后，单击应用以保存更改。

同步的图像将成为Webex应用程序中用户的缺省头像。从目录连接器启用此功能后，不允许用户设置自己的头像。
用户头像会同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步

执行试运行同步；如果没有问题，则执行完全同步以使您的Active Directory用户帐户和头像同步到云端并显示在Control Hub中。

将目录头像从资源服务器同步到云

您可以将用户的目录头像同步到云，以便在用户登录Webex应用程序时显示每个头像。此程序用于从资源服务器同步头像。

准备工作

此过程中的 URI 模式和变量值都是示例。您必须使用目录头像所在位置的实际 URL。
头像URI模式和头像所在的服务器必须可以从Directory Connector应用程序访问。连接器需要http或https访问图像，但图像不需要在互联网上公开访问。
头像数据同步与Active Directory用户配置文件分开。如果您运行代理，必须确保头像数据可以通过NTLM验证或基本验证访问。

1	在Directory Connector中，转至 Configuration（配置），单击Avatar，然后选中Enable（启用）。
2	对于从获取头像，选择资源服务器，然后输入头像URI模式—例如， *`http://www.example.com/dir/photo/zoom/{mail: .?(?=@.)}.jpg`* 让我们来看一下头像URI模式的每个部分及其含义： http://www.example.com/dir/photo/zoom/—要同步的所有照片所在的路径。它必须是服务器上的目录连接器服务必须能够访问的URL。 mail：—通知Directory Connector从Active Directory获取mail属性的值 *.？(？=@。)-执行以下功能的正则表达式语法： `.`-重复零次或多次的任意字符。 `?`—使前面的变量匹配尽可能少的字符。 `(?= ... )`-匹配主表达式后的组，但不将其包含在结果中。 Directory Connector查找匹配，但不会将其包含在输出中。 `@.`-在符号后跟任意字符，重复零次或多次。 .jpg* -用户头像的文件扩展名。请参阅本文档中支持的文件类型，并相应地更改扩展名。
3	（可选）如果您的资源服务器需要凭证，请选中为头像设置用户凭证，然后选择使用当前服务登录用户或使用此用户并输入密码。
4	输入变量值 - 例如： `abcd@example.com`。
5	单击测试以确保头像URI模式正常工作。在该示例中，如果某个 AD 条目的 mail 值为 `abcd@example.com` 和jpg图像正在同步，头像URI 是 `http://www.example.com/dir/photo/zoom/abcd.jpg`
6	在验证URI信息并显示正确后，单击应用(Apply)。有关如何使用正则表达式的详细信息，请参阅《Microsoft 正则表达式语言快速参考》。

同步的图像将成为Webex应用程序中用户的缺省头像。从目录连接器启用此功能后，不允许用户设置自己的头像。
用户头像会同步到Webex应用程序和Webex站点上的任何匹配帐户。

下一步

执行试运行同步；如果没有问题，则执行完全同步以使您的Active Directory用户帐户和头像同步到云端并显示在Control Hub中。

将本地会议室信息同步到Webex云

使用此过程将本地会议室信息从Active Directory同步到Webex云。同步协作室信息后，具有已配置、映射的SIP地址的本地协作室设备会在云注册的Webex设备（协作室、桌面和Board）上显示为可搜索条目。

从Directory Connector，转至 Synchronization（同步），单击更多在同步域旁边，单击配置，然后选择对象选择。

检查协作室信息到云以在同步期间将协作室数据与用户数据分开。

禁用此设置时，协作室数据的处理方式与用户同步数据相同。

转至属性映射，然后更改云属性的 sipAddresses；type=enterprise的属性映射。

要使用值验证，SIP地址的值应为 Pattern.compile("^([^@])(.*)@(.*)$")

选择 <UNK> SRTCSIP-PrimaryUserAddress （如果可用）。
如果您在Active Directory架构中没有上述属性，请使用其他字段，例如 ipPhone。

在Exchange中创建协作室资源邮箱。这将添加msExchResourceMetaData；ResourceType ：协作室属性，连接器随后使用该属性来标识协作室。

从Active Directory用户和计算机，导航到并编辑协作室的属性。添加带有sip前缀的完全限定SIP URI：

执行测试同步，然后在连接器中执行完整运行同步。

新的协作室对象将列出已添加对象，匹配的协作室对象将显示在测试报告的已匹配对象中。标记要删除的任何聊天室对象都位于“已删除聊天室”下。

测试结果显示匹配的所有协作室资源。

Directory Connector测试结果显示匹配的对象

此设置将Active Directory协作室数据（包括协作室的属性）与用户数据分开。同步完成后，连接器仪表板上的云统计信息会显示同步到云的协作室数据。

Directory Connector控制板高亮显示云统计信息窗口。云统计信息包括用户、组、协作室和联系人。

下一步

完成这些步骤后，当您在Webex云注册设备上进行搜索时，您将看到使用SIP地址配置的同步协作室条目。当您从该条目上的Webex设备发起呼叫时，系统会向为协作室配置的SIP地址发起呼叫。

在Control Hub中，您可以从您的目录导入聊天室并创建工作空间。

终端无法将回呼循环到Webex应用程序。对于测试拨号设备，这些设备必须注册为本地SIP URI或Webex应用程序以外的其他位置。如果您搜索的Active Directory协作室系统已注册到Webex，并且Webex Room设备、桌面设备或用于日历服务的Webex Board上的电子邮件地址相同，则搜索结果不会显示重复的条目。在Webex应用程序中直接拨打Room、Desk或Board设备，不会发起SIP呼叫。

发送有关目录同步结果的电子邮件报告

默认情况下，组织联系人或管理员始终都会收到电子邮件通知。通过此设置，您可以自定义哪些人应接收汇总目录同步报告的电子邮件通知。

1	在Directory Connector中，单击 Configuration（配置），然后选择Notification（通知）。
2	在Directory Connector中，单击 Settings（设置），然后在 Email Receiver（电子邮件接收器）旁边，打开 Enable synchronization（启用报告同步）。
3	如果要覆盖默认通知行为并添加一个或多个电子邮件收件人，请选中启用通知。
4	单击添加，然后输入电子邮件地址。如果输入的电子邮件地址格式无效，将弹出一条消息，告诉您先更正问题，然后才能保存和应用更改。
5	单击添加电子邮件，然后输入电子邮件地址。如果输入的电子邮件地址格式无效，将弹出一条消息，告诉您先更正问题，然后才能保存和应用更改。
6	如果您需要编辑输入的任何电子邮件地址，请双击左列中的电子邮件条目，然后进行所需的更改。
7	添加所有有效的电子邮件地址后，单击应用。
8	添加所有有效的电子邮件地址后，单击保存。

下一步

如果您决定要删除电子邮件地址，可以单击电子邮件以突出显示该条目，然后单击删除。

如果您决定要删除电子邮件地址，可以单击特定电子邮件地址条目旁边的删除。

将用户从Active Directory部署到Control Hub

按照以下步骤预配置Active Directory用户并在Control Hub中创建相应的用户帐户。在每个域安装Directory Connector后，您可以从多域Active Directory部署（使用单林或多林）预配置用户。在加入不同域用户的过程中，您必须决定是否保留或删除Webex云中可能已存在的用户对象，例如，来自试用的测试帐户。目标是在Active Direc 和Webex云之间实现精确匹配。

1	对您的Active Directory用户执行测试同步执行测试以比较本地Active Directory中的对象和Webex云中的对象。测试允许您在运行完全或增量同步并将更改提交到云之前，查看将添加、修改或删除哪些对象。
2	将Active Directory用户完全同步到云端。在您运行完全同步时，连接器服务将所有已过滤对象从 Active Directory (AD) 发送至云。然后，连接器服务将您的 AD 条目更新到身份存储库中。如果您创建了自动分配许可证模板，可以将其分配给新同步的用户。
3	在Control Hub中将Webex服务分配给目录同步用户在完成从Directory Connector到Control Hub的完全用户同步后，您可以使用各种方法分配Webex服务许可证。我们建议您设置自动分配许可证模板，然后再将其用于从Active Directory同步的新Webex应用程序用户。在此初始步骤后，您还可以单独进行更改。

对您的Active Directory用户执行测试同步

执行测试以比较本地Active Directory中的对象和Webex云中的对象。测试允许您在运行完全或增量同步并将更改提交到云之前，查看将添加、修改或删除哪些对象。

在加入不同域用户的过程中，您必须决定是否保留或删除Webex云中可能已存在的用户对象，例如，来自试用的测试帐户。通过目录连接器，目标是在Active Directory和Webex云之间实现精确匹配。

如果您在一个或多个林中有多个域，则必须对为每个Active Directory域安装的每个Cisco目录连接器实例执行此步骤。

准备工作

在使用目录连接器之前，Control Hub中可能已经有一些Webex应用程序用户。在云中的用户中，有些可能与本地Active Directory对象匹配，并为服务分配许可证。但有些可能是测试用户，您希望在执行同步时删除。您必须在Active Directory和Control Hub之间创建完全匹配。

选择一种：

首次登录后，在提示中单击“是”以执行测试。
如果您错过了执行测试的提醒，请随时从Directory Connector中单击仪表板，选择同步测试，然后单击确定开始测试同步。

测试完成后，您将看到以下结果之一：

在目录连接器中检测到不匹配的对象
Directory Connector中测试报告结果和不匹配对象的摘要

摘要包含有关对象匹配的信息：

对象匹配 -在Webex Common 中且也存在于Active Directory域中的用户，例如，如果someuser@cisco.com已同步到Webex并在Control Hub中显示，而Active Directory中存在同一用户(someuser@cisco.com)。这意味着用户已匹配。
不匹配对象 -在Webex中的用户，无论用户如何添加到Common 中，但该用户在Active Directory中不存在。它称为不匹配对象。例如，如果someuser@cisco.com在Webex中同步并在Control Hub中显示，但同一用户(someuser@cisco.com)未由Active Directory管理，则报告显示该用户不匹配。

测试通过将用户与域用户进行比较来识别用户。如果用户属于当前域，应用程序可以识别他们。在下一步中，必须决定是删除还是保留对象。不匹配的对象被识别为Webex云中已存在，但不存在于本地Active Directory中。

查看测试结果，然后根据您使用的是单个域还是多个域选择选项：

单个域—决定是否保留不匹配的用户。如果您想保留，请选择否，保留对象；如果不想保留，请选择是，删除对象。完成这些步骤并手动运行完全同步，以便本地和云之间实现精确匹配后，Directory Connector会自动启用已安排的自动同步任务。
多个域—对于有域A和域B的组织，首先对域A进行测试。如果要保留不匹配的用户，请选择，保留对象。（这些不匹配的用户可能是域B的成员。）如果要删除，请选择是，删除对象。
如果保留这些用户，请先运行域A的完全同步，然后对域B执行测试。如果仍然存在不匹配的用户，请在Active Directory中添加这些用户，然后对域B执行完全同步。当本地和云之间存在完全匹配时，Directory Connector会自动启用计划的自动同步任务。

在确认测试提示中，单击是以重新进行测试同步并查看仪表板以查看结果。

在测试中成功同步的所有帐户将显示在 Objects （已匹配对象）下。

如果云中的用户在Active Directory中没有使用相同电子邮件的相应用户，则该条目将列在 Users （已删除用户）下。为了避免此删除标记，您可以在 Active Directory 中添加使用相同电子邮件地址的用户。

若要查看已同步项目的详细信息，请单击特定项目的相应标签页或已匹配对象。若要保存摘要信息，请单击“将结果保存至文件”。

如果结果符合预期，请转至 > 同步模式 > 同步，然后单击启用进行手动同步并在此时进入手动模式。

在多域部署中的最后一个Active Directory域上执行同步后，必须为Directory Connector启用自动模式。仅当对象在Webex云和所有本地活动目录之间完全匹配时，才能启用自动模式。

下一步

对于您保留的任何不匹配的用户对象，您必须将其添加到Active Directory，以便在本地部署和云之间实现精确匹配。
选择同步类型：
- 首次将新用户同步到云端时，将Active Directory用户完全同步到云端。您从执行此操作 > 同步 > ，然后同步当前域中的用户。
- 在运行完全同步后设置连接器计划并增量同步，如果要在初始同步后拾取更改。建议使用此类型的同步来接收对Active Directory用户源所做的小更改。
  
  默认情况下，增量同步设置为每30分钟（3.4版及更低版本）或每4小时（3.5版及更高版本）进行一次，但您可以更改此值。在初次执行完全同步后，增量同步才会发生。
如果您有多个域，请在您安装的任何其他目录连接器上重复这些步骤。

注意事项

启用完全同步之前或更改同步参数时，请执行测试。如果测试是由配置更改而引起的，可以在测试完成后保存设置。如果您已手动添加用户，执行Active Directory同步可能会导致删除之前添加的用户。您可以检查Directory Connector测试报告，以验证所有预期用户是否存在，然后再完全同步到云。
如果匹配的用户被标记为删除，并且您不确定如何继续，请参阅目录连接器的故障排除和修复中的故障排除信息以及如何联系支持人员。

已删除的用户将在云身份服务中保留7天，然后被永久删除。

将Active Directory用户完全同步到云端。

在您运行完全同步时，连接器服务将所有已过滤对象从 Active Directory (AD) 发送至云。然后，连接器服务将您的 AD 条目更新到身份存储库中。如果您创建了自动分配许可证模板，可以将其分配给新同步的用户。

如果您有多个域，则必须对为每个Active Directory域安装的每个Directory Connector实例执行此步骤。

Directory Connector会同步用户帐户状态-在Active Directory中，任何被标记为禁用的用户也会在云中显示为非活动状态。

准备工作

如果您希望Webex应用程序用户帐户在完全同步后和用户首次登录之前处于活动状态，则必须执行以下步骤以绕过电子邮件验证：

将单点登录与您的Webex组织集成。请参阅 isco Webex服务和您组织的身份提供程序的单点登录获取更多信息。
使用Control Hub验证并可选择申领电子邮件地址中包含的域。请参阅、验证和声明域。

阻止自动电子邮件邀请，这样新用户就不会收到自动发送的Webex应用程序电子邮件邀请。（您可以执行自己的电子邮件活动。）

尚未登录的已激活用户在Control Hub中显示为已验证状态。登录后，他们将显示为“活动”状态。有关用户状态的详细信息，请参阅 Cisco Webex Control Hub 中的用户状态和操作。

启用同步时，Directory Connector 将要求您首先执行测试。我们建议您在完全同步之前进行测试，以捕获任何潜在的错误。

您必须自动分配许可证模板，然后才能将其用于从Active Directory同步的新Webex应用程序用户。

如果不使用自动分配许可证模板，新同步的用户将自动获得免费许可证。他们将能够使用与具有免费帐户的用户相同的免费功能。

选择一种：

首次登录后，如果测试已完成并且所有域都看起来正确，请单击现在启用以允许自动同步。
从Directory Connector转至控制板，单击行动，选择同步模式>启用同步，然后单击立即同步>已满以开始同步。

从Directory Connector，转至 Synchronization（同步），单击更多同步域旁边，单击配置，然后选择完全同步。

确认开始同步。

对于您对Active Directory中的用户所做的任何更改（例如，显示名称），Control Hub会在您刷新用户视图时立即反映更改，但Webex应用程序会在您执行同步后最长72小时内反映更改。

您可以尝试按照以下指示清除Webex应用程序的本地缓存： Windows 或。

同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。
同步后， 一次同步 和 统计信息 部分将更新新信息。用户数据已同步到云。
如果同步期间发生错误，状态指示球将变为红色。

如果要更新同步状态，请单击刷新。（同步项目显示在云统计信息下。）

有关错误的信息，请从操作工具栏中选择启动事件查看器以查看错误日志。

要为正在进行的云端增量同步设置同步计划，请参阅设置连接器计划和运行增量同步。

在完全同步完成后，Control Hub的设置页面上将目录同步状态从禁用更新为运行。
当所有数据都在本地和云之间匹配时，Directory Connector将从手动模式变为自动同步模式。
除非您集成单点登录、验证域，并可选择为您同步的电子邮件帐户申领域，并阻止自动电子邮件，否则Webex应用程序用户帐户将保持在“未验证”状态，直到用户首次登录Webex应用程序以确认其帐户。有关如何将帐户同步为活动用户的指导，请参阅“开始之前”部分。
如果您有多个域，请在您安装的任何其他目录连接器上执行此步骤。同步后，您添加的所有域上的用户将在Control Hub中列出。
如果您将单点登录与Webex集成并电子邮件通知，电子邮件邀请不会发送给新同步的用户。
启用目录连接器后，您无法在Control Hub中手动添加用户。启用后，用户管理从Cisco目录连接器执行，Active Directory是唯一的真实来源。
您同步的任何组都会显示在Control Hub中，您可以分配许可证模板，以便为该组中的用户分配许可证。

下一步

当您从Active Directory中删除用户时，在下次同步后会软删除该用户。用户成为 Inactive 但云身份配置文件保留7天（以便从意外删除中恢复）。

当您在Active Directory中检查 帐户被禁用时，用户将 Inactive 下次同步之后。云身份配置文件不会在7天后删除，如果您想再次启用该用户。
请注意增量同步中的以下例外情况（请按照上面的完整同步步骤操作）：
- 如果是更新的头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 属性映射、基本DN、过滤器和头像设置上的配置更改需要完全同步。

在Control Hub中将Webex服务分配给目录同步用户

在完成从Cisco Directory Connector到Control Hub的完全用户同步后，您可以使用Control Hub一次向所有用户分配相同的Webex服务许可证，或者在已配置自动分配许可证模板的情况下向新用户添加更多许可证。在此初始步骤后，您可以更改个别用户帐户。

在完成从Directory Connector输入到Control Hub的完全用户同步后，您可以使用Control Hub中的方法，通过批量CSV模板将Webex服务许可证全局分配给所有用户、单个用户，或者在已配置自动分配许可证模板的情况下自动分配给新用户。在此初始步骤后，您可以更改个别用户帐户。

当您将许可证分配给Webex应用程序用户时，该用户默认会收到确认分配的电子邮件。电子邮件由Control Hub中的通知服务发送。如果您将单点登录(SSO)与Webex组织集成，如果您希望直接联系用户，还可以这些自动电子邮件通知。

准备工作

您必须自动分配许可证模板，然后才能将其用于从Active Directory同步的新Webex应用程序用户。
对您的Active Directory用户执行测试同步。
确认测试结果后，对您的Active Directory用户执行完全同步。

完全同步时，将在云端创建用户，不会添加服务分配，也不会发送激活电子邮件。如果未阻止电子邮件，当您通过Control Hub中的标准用户管理方法（例如CSV导入、手动用户更新或通过成功的自动分配完成）向用户分配服务时，新用户会收到激活电子邮件。

从 https://admin.webex.com 中的客户视图，转至 > ，单击用户，选择所有同步用户，然后单击一步。

选择一个选项：

在Control Hub中为单个用户编辑服务许可证—手动修改用户。
使用CSV模板在Control Hub中修改用户—批量修改用户。

下一步

如果未阻止电子邮件，系统会向每个用户发送电子邮件，邀请他们加入和下载Webex。
如果您为所有用户选择了相同的Webex服务，之后您可以单独或批量更改分配的许可证。

相关信息

在组织中添加和管理用户的方法

目录连接器的已知问题

2012年R2之前的Windows Server版本存在影响目录连接器的cookie问题。 2012 R2 和 2016 版本已修复此问题。
对于您对Active Directory中的用户所做的任何更改（例如，显示名称），Control Hub会在您刷新用户视图时立即反映更改，但Webex应用程序会在您执行同步后的72小时内反映更改。

您可以尝试按照以下指示清除Webex应用程序的本地缓存： Windows 或。
当用户在桌面或移动设备上使用Webex应用程序搜索并呼叫只有同步SIP URI的协作室时，此时呼叫会无限期振铃。

管理Webex应用程序用户

运行增量同步

增量同步会查询 Active Directory，查找自上次同步以来发生的更改。然后，此步骤会打包上述更改并发送至连接器服务。更改包括用户属性修改以及添加或删除用户的时间。

此同步不会给服务器带来那么多负载，也不会像完全同步那样花费那么多时间。完成初始完全同步后，我们建议将增量选项用于后续同步。

准备工作

您必须自动分配许可证模板，然后才能将其用于从Active Directory同步的新Webex应用程序用户。
请注意增量同步不支持的以下例外情况（请遵循将Active Directory用户完全同步到云端）：
- 如果是更新的头像，但没有其他属性更改，增量同步不会将用户的头像更新到云。
- 对于属性映射、基本DN、过滤器和头像设置的新配置更改，增量同步将不起作用，这些都需要完全同步。

从 Directory Connector 中，单击控制板。

启用同步时，Directory Connector 将要求您首先执行测试。

从操作中，单击同步模式>启用同步 （如果尚未启用）。

默认情况下，增量同步设置为每30分钟（3.4版及更低版本）或每4小时（3.5版及更高版本）进行一次，但您可以更改此值。在初次执行完全同步后，增量同步才会发生。当新的增量时间间隔到达时，程序会根据上一个时间标识检查更改。

从操作中，单击立即同步 > 增量。

对于您对Active Directory中的用户所做的任何更改（例如，显示名称），Control Hub会在您刷新用户视图时立即反映更改，但Webex应用程序会在您执行同步后的72小时内反映更改。

您可以尝试按照以下指示清除Webex应用程序的本地缓存： Windows 或。

同步期间，控制板将显示同步进度；其中可能包括同步类型、开始时间以及同步当前正在运行哪一阶段。
同步后， 一次同步和云统计信息 部分将更新为新信息。
如果同步期间发生错误，状态指示球将变为红色。

有关错误的信息，请从操作工具栏中单击启动事件查看器以查看错误日志。

下一步

如果您有多个域，请对安装的其他目录连接器实例执行此步骤。

恢复意外删除的用户

Directory Connector具有制衡机制，以防止意外删除用户。令人遗憾的事故总在不经意间发生。您可能在 Active Directory 中错误地配置了 LDAP 过滤器，这会在同步到云端时删除一些用户。软删除功能可以帮助您从这些事故中恢复，并在Control Hub中重新建立用户帐户。

默认情况下，该功能对所有组织启用。例如，当用户在云中删除时，由于从目录连接器同步后出现不匹配的对象问题，可以恢复用户。如果您看到不匹配的对象通知或注意到用户被删除，您可以在快速操作的情况下恢复这些对象。

在Active Directory中删除相应的帐户时，用户会在Control Hub中标记为“非活动”。后台云服务最多可保留用户7天。在此期间，您仍然可以使用Cisco目录连接器来恢复用户。我们建议您尽快恢复这些用户。

在Active Directory中禁用的用户也会在Control Hub中标记为“非活动”，但用户帐户在7天后不会被删除。

1	登录到 Control Hub。
2	转至用户(Users)并确认特定用户帐户是否处于非活动状态或非公开状态。有关更多信息，请参阅Control Hub中的用户状态和操作。
3	如果用户在Control Hub中被删除，或者您注意到用户处于非活动状态，请转至Active Directory，添加缺失的用户帐户，然后在Directory Connector中执行测试同步。 Directory Connector的目标是在Active Directory和云端的用户信息之间创建精确匹配。
4	执行完全同步以将暂时删除的用户帐户重新同步到Control Hub。用户将被恢复并转至原始状态，包括其帐户状态和服务分配。

下一步

返回Control Hub，转至 > ，并确认之前删除的用户帐户显示在用户列表中。

在软删除后永久删除用户

执行测试后，您可以选择永久删除在下次同步时被软删除的用户。

1	测试完成后，选择软删除对象。
2	选中要删除的用户旁的复选框。
3	选择完成。

下一步

在下次同步时，您选中的用户将被永久删除。

更改Webex应用程序电子邮件地址

如果您要更改用户电子邮件地址并且您的组织使用Directory Connector，您可以在Active Directory中更改这些电子邮件地址。此过程介绍了如何更改单个域的Webex应用程序电子邮件地址以及更改域的过程。

如果您只想更改某个用户的电子邮件或某些值，请勿从Active Directory中删除该用户，然后使用相同的电子邮件重新创建新用户。云会将此操作解释为新用户帐户，用户的空间和云中的其他数据将丢失。

要在不更改域的情况下更改用户电子邮件地址：

在Active Directory中打开用户帐户(example，user1@example.com)并更改电子邮件地址(example，user2@example.com)。

恢复目录连接器上的同步。

下次同步后，更改将显示在Control Hub的用户列表中，以及缓存刷新后Webex应用程序中的用户。

采用此方法不会造成数据或空间丢失。第一次同步后，用户的唯一标识符会在云中设置。所有后续同步均基于该标识符。

在使用目录连接器的多域部署中，要在更改域的同时更改用户电子邮件地址（请考虑example1.com旧域和example2.com新域）：

对于旧用户帐户(user1@example1.com)，请注意映射到 uid 云属性。您需要对新帐户使用相同的Active Directory值。对于本示例，我们将使用 user1@example1.com 作为映射到的本地部署属性 uid 在云中。
在example1.com和example2.com域的Directory Connector上暂停同步。
在example2。com中创建一个新的用户帐户，并使用上面的相同属性。 (例如， user1@example1.com）。

在Directory Connector上，恢复example2.com的同步

在继续操作前，请验证user1@example2.com帐户是否同步到Control Hub。我们建议您指示用户验证Webex应用程序中的电子邮件更改，并保留所有数据（空间、消息、会议、文件等）。

使用此方法不会丢失数据或空间，但在新用户帐户中，您必须确保从旧用户帐户保留映射到云uid属性的Active Directory属性。如果您更改Active Directory值，新帐户不会保留来自旧帐户的数据。

验证电子邮件地址更改且数据完好无损后，删除example1.com上的旧用户帐户，然后使用Directory Connector恢复example1.com的同步。

此时，您可以安全地更新user1@example2.com的新Active Directory域中的电子邮件地址。

Directory Connector不限制电子邮件域更改。但是，当用户重新同步到云时，用户状态取决于是否在您的组织中验证了新域。如果您的组织中未验证域，用户的状态会在完全同步后更改为“待批准”。有关更多信息，请参阅管理您的域。

如果您的组织不使用目录连接器，您可以通过帐户设置页面更改您的Webex应用程序电子邮件地址。请参阅更改帐户的电子邮件地址，了解用户可遵循的更改电子邮件的步骤。

更改 Active Directory 域

您可以使用此过程创建新的域和电子邮件地址。它们与云中的身份服务同步。

设置新的 Active Directory (AD) 域。

禁用所有连接器的同步。

卸载所有连接器。

提交申请以对域进行更改：

在提交案例时，请确保请求删除域配置和组织中的所有同步属性。

在打开条件分支以更改域之前，请确保您没有运行同步。在案例解决之前，请勿更改Active Directory中的任何用户电子邮件地址。

解决案例后：

将Directory Connector安装在具有新Active Directory域的同一服务器上。
配置Directory Connector，使其指向新的Active Directory域。

如果Control Hub ( https://admin.webex.com)中有现有用户，请确保具有匹配电子邮件地址的用户也存在于Active Directory中。如果您的组织已禁用 softDelete 在DirSync中切换，位于Control Hub中但不在Active Directory中的用户电子邮件地址有删除风险。

在进行实际同步之前，请使用目录连接器执行测试运行。

域声明

如果您为组织申领电子邮件域，从而在付费客户组织而不是自由消费者组织中创建任何侧向加载的帐户，则会发生域申领。您只能通过支持案例进行域声明（请参阅以下链接了解更多信息）。

如果目录连接器处于活动状态并且域已声明，则不会在客户组织或自由消费者组织中创建侧向加载的帐户。只有Directory Connector可以从Active Directory为组织预配置帐户。存储在 Active Directory 上的信息是原始源。如果您尝试侧向加载帐户，受邀用户将收到错误提示。将受邀用户添加到Webex应用程序空间的唯一方法是先使用目录连接器将帐户预配置到Control Hub。

相关信息

管理域

在目录同步组织中转换免费的Webex应用程序用户

您只能使用Webex应用程序目录中的唯一电子邮件地址。如果您的用户已注册免费版Webex应用程序，其帐户将存在于免费消费者组织中。若要通过 Directory Connector 管理此组织内的用户，请在开启 Directory Connector 之前将他们迁移（转换）至“客户”组织。然后使用确切的电子邮件地址将用户添加到Active Directory，然后同步到云端。

如果您未在激活前转换帐户，请关闭 Directory Connector 以对帐户进行转换。

如果您在启用目录同步的情况下尝试转换用户，将显示无法转换的错误消息<email address="">。为避免该问题，可使用以下步骤作为变通方法。

某些已声明的用户可能会显示 movedfrom 进行测试时的属性。这些用户将在 Deleted Object 列表而不是 MismatchedObject 。如果要将这些用户移至组织，则需要将其添加到AD列表中。

如果您不添加这些用户，它们将在您同步到云后被删除。

从 Directory Connector 中禁用目录同步功能。

按照 Hub中的转换未授权用户程序将用户从免费消费者组织转换为企业组织。

此步骤将用户添加到您的组织，帐户将显示在Control Hub中。 Directory Connector使Active Directory成为用户帐户的单一真实来源，目标是在Active Directory和Control Hub之间实现精确匹配。在重新启用同步前，确保所有最近转换的用户在 Active Directory 中有匹配的用户。可以使用测试同步以确保没有剩余的不匹配用户。

在Directory Connector上执行测试同步。测试完成后，查看“添加对象”标签页。验证是否未删除您已转换的任何用户。

您必须在重新启用同步之前执行测试，以确保转换后的用户帐户显示在Active Directory中。如果您打开同步并且帐户仅驻留在Control Hub中，则目录连接器区分大小写，并删除检测到电子邮件地址不匹配的已转换用户（例如user1@example.com和User1@example.com）。

如果任何已转换的用户被删除，他们将丢失所有Webex应用程序空间。

如果您确定下一次同步将不会删除任何帐户，请从 Directory Connector 重新启用目录同步。

如果您没有验证域，转换的用户帐户不会自动激活。例如，如果打开自动分配许可证模板，然后打开目录连接器而不进行域验证，则转换后的用户在确认其电子邮件地址之前将在云后端处于非活动状态。

侧向加载的Webex应用程序用户帐户

当您邀请其他用户加入Webex应用程序中的空间时，如果受邀用户没有Webex应用程序帐户，将为其创建帐户（“侧向加载”）。缺省情况下，以此方式创建的帐户将添加至自由消费者组织中。

如果要使用Directory Connector管理侧向加载的帐户，则必须转换帐户。

在目录同步后更改Webex应用程序用户名格式

默认情况下，Directory Connector会将Active Directory中的displayName属性映射到云中的displayName属性。

在执行目录同步之后，您可能会发现用户名以 <lastName, firstName=""> 格式显示。

此用户名可能会出现在 displayName Active Directory中的属性就是这样配置的。当属性映射到 displayName 在云中，名称以格式<lastName, firstName=""> 显示在Control Hub中。

若要更改格式，请在 Directory Connector 属性映射屏幕中进行如下操作：映射Active Directory属性 givenName sn(或 sn givenName)至 displayName 在Cisco云属性名称中。

或者，映射属性 sn givenName 到 displayName:

如果要将自己的自定义属性表达式映射到 displayName 。

例如，输入 givenName + "" + sn （名字、空格、姓氏）作为表达式。这会将Active Directory中的两个属性映射到 displayName 在云中。

允许用户在Webex Meetings中更改显示名称

您可以取消映射 displayName 属性，从目录连接器中同步到云，如果您希望允许用户编辑其首选的显示名称。用户可以输入要在Webex会议期间显示的显示名称，而不是姓名。管理员还可以在Control Hub中手动更改用户的显示名称。

1	在 Directory Connector 中，单击配置，然后选择用户属性映射。
2	在 Cisco云属性名称下选择 displayName。
3	选择同步该属性。

下一步

用户现在可以从Webex站点显示名称。

Directory Connector故障诊断

升级至最新软件版本

为了使您的部署保持合规性并获得最新的功能、功能、缺陷修复和安全性增强，您必须始终升级到最新版本的Directory Connector。如果您不升级到可用的最新版本，可能会遇到问题，例如目录连接器无法再正确同步，或使用的版本不支持强制 TLS 1.2要求。

Directory Connector 在有可用的新版本时会自动通知您。务必升级到最新的版本来避免问题。在 Windows 任务栏中您也会看到通知。

虽然您可以手动安装连接器软件更新，但我们建议您按照设置自动升级中的步骤操作，让应用程序自动管理升级。

1	单击Windows任务栏中的通知，或右键单击Windows任务栏中的Directory Connector图标以开始升级过程。
2	按说明完成升级操作。
3	重新启动连接器并使用管理员凭证登录。
4	验证软件的版本号 > 。

下一步

对于Directory Connector的全新安装，您可以下载zip文件，然后按照本指南中的安装步骤进行操作。

配置 Directory Connector 的常规设置

此程序用于配置常规设置，例如运行Directory Connector的服务器的名称、日志级别、自动升级以及域控制器的首选设置。连接器的名称显示在控制板的连接器部分中，其中还包含正在运行的任何其他连接器。

在 Directory Connector 中，转至配置，然后单击常规。

在连接器名称字段中输入连接器名称。此字段只显示当前运行连接器的计算机的名称。

从下拉框中选择日志级别。日志级别的缺省设置为“参考”。可用的日志级别包括：

信息(缺省) - 显示供参考的消息，它们概要突出应用程序的进度。如果您希望在所有完全同步后接收报告，请使用此设置。
警告 - 显示有潜在危害的情况。
调试 - 显示对调试应用程序极有帮助的详细信息事件。如果您看见任何问题，请设置此日志级别，并在提交支持申请时将事件日志发送给支持人员。
错误 - 显示可能仍然允许应用程序继续运行的错误事件。选择此选项后，同步报告仅在报告错误时发送。

这些设置将影响通过电子邮件发送的同步报告。如果将日志级别设置为“错误”，则同步报告中仅报告错误；如果不存在错误，则不会发送同步报告。将设置更改为“信息”，完全同步后您会收到同步报告。（请记住，对于增量同步，当没有报告错误时不会发送报告。）

选择首选域控制器以设置域控制器同步身份的顺序。

将按照从上到下的顺序访问域控制器。如果顶级控制器不可用，则选择列表中的第二个控制器。如果列表中没有控制器，您可以访问主控制器。

如果您希望自动升级，请选中升级到新的Cisco Directory Connector版本。

使Cisco目录连接器软件保持最新版本始终是重要的。我们建议您选中此设置，以便在软件可用时以无提示方式安装自动升级软件。

检查基于SSL的LDAP 以使用安全的LDAP (LDAPS)作为连接协议。

如果不检查基于SSL的LDAP，目录连接器将继续使用LDAP连接协议。

LDAP（轻量级目录应用程序协议）和安全LDAP (LDAPS)是基础结构中应用程序与域控制器之间使用的连接协议。 LDAPS通信已加密且安全。

配置连接器策略

您可以设置同步期间允许的最大删除次数。运行同步不会删除本地部署 Active Directory 中的对象。所有对象都只会从云端删除。

例如，您设置 1 作为删除阈值触发值。在执行完全或增量同步时，如果您要删除的用户数大于该设置，Directory Connector 会显示警告。如果您单击忽略阈值，可以成功开始完全或增量同步，但是在您下次运行该策略时将再次看到此忽略提示。

在 Directory Connector 中，单击配置，然后选择策略。

如需添加阈值触发器，请勾选“启用删除阈值触发器”复选框。

选择该选项后，删除次数超过该阈值时会触发警报。当删除计数超过您定义的值时，同步失败。

输入您要设置的最大删除次数。缺省值为 20。

我们建议您不要增大该缺省值。

单击 Apply（应用）。

设置连接器的安排

在Active Directory中设置同步定时。为了实现高可用性 (HA)，使用了故障转移。如果有一个连接器宕机，我们会在预定义的间隔过后，切换到另一个待机连接器。

1	在Directory Connector中，单击 Configuration，然后选择Schedule。
2	以分钟为单位指定增量同步间隔。默认情况下，增量同步设置为每30分钟执行一次。完全增量同步要在首次执行完全同步后才会发生。
3	如果您希望更改发送报告的频率，请更改发送报告间隔时间值。
4	勾选启用完全同步计划以指定想要执行完全同步的日期和时间。
5	以分钟为单位指定故障转移间隔。
6	单击 Apply（应用）。

多个域场景

多个域基于域优先级。对于在不同域具有相同键值的对象，在同步后，来自高优先级域的数据将覆盖来自低优先级域的数据。

具有相同键值的对象会链接到数据库中的同一条记录。

“用户”的键值是电子邮件地址；“组”的键值是组名。

多域使用示例

此示例假设某组织有两个域 - example1.com 和 example2.com，前者优先级高于后者。

添加 user1（电子邮件： user@example1.com）到 example1.com 的 Active Directory。
添加 group1（组名： Test）到 example1.com 的 Active Directory。
添加 user2（电子邮件： user@example2.com）到 example2.com 的 Active Directory。
添加 group2（组名： Test）到 example2.com 的 Active Directory。

在 example1.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在中，而 user1 和 group1 没有。https://admin.webex.com

如果您为 example1.com 执行全面或增量同步，user1 和 group1 会同步。而且，user2 和 group2 会被 user1 和 group1 的信息覆盖。

User1 作为数据库中的相同记录链接到 user2；group1 作为数据库中的相同记录链接到 group2。

在 example1.com 和 example2.com 上执行同步

作为使用案例，user2 和 group2 同步到了云并显示在中，而 user1 和 group1 没有。https://admin.webex.com

请考虑这些步骤：

在 example1.com 的 Active Directory 上删除 user1 和 group1。
为 example1.com 执行全面或增量同步。
结果：在中用户信息无变化。https://admin.webex.com User2 没有链接到 user1，而 group2 没有链接到 group1。
为 example2.com 执行增量同步。
结果：在中用户信息无变化。https://admin.webex.com
为 example2.com 执行全面同步。
结果： user2 和 group2 的信息在中列出。https://admin.webex.com

同步新域并保留现有域

如果要同步新的域(B)，同时在另一个现有域(A)上保持已同步的用户数据，请确保在受支持的Windows服务器上安装用于域(B)同步的目录连接器。初始设置后，连接器绑定到新域，域(A)下的用户信息不受影响。

每个域都必须有自己的活动连接器。使用以下设置考虑两个域：域A具有连接器(ca1)和(ca2)(本地高可用性(HA)；域B具有连接器(cb1)。(ca1)和(ca2)服务域A。在这种情况下，一个连接器处于活动状态，另一个处于待机状态(HA)。该设计使域保持同步，因为一个连接器始终处于活动状态。因此，cb1是域B的活动连接器，因为域A已经有一个活动连接器（ca1或ca2）。

设置域优先级

使用此过程来更改 Active Directory 域的优先级。域优先级让您可以确定主域、备用域，等等。如果有两个来自不同域的用户将相同的电子邮件值同步到一个组织，此设置会很有帮助。

如果在 Directory Connector 中只列出了一个域，则不要使用此过程。如果您尝试进行此配置，连接器会显示一条消息，说明不需要域优先级。

准备工作

为避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从下载它。https://admin.webex.com

在Cisco目录连接器中，单击控制板。

转至操作，然后单击设置域优先级。

高亮显示列表中的一个域，单击向上或向下更改此域的优先级，然后单击保存保存更改。

各个域会按优先级自上而下排序。

切换域

使用此程序将Cisco目录连接器重新绑定到不同的域。

准备工作

在切换域之前，确保没有同步任务在运行。
为避免错误，请安装或升级到最新版本的Cisco目录连接器。您必须从 Control Hub 下载。

1	在Cisco目录连接器中，单击控制板。
2	转至操作，然后单击切换域。
3	阅读警告后，如果您理解此更改对部署的影响，而且您仍然确定要更改，请单击是。如果切换域，您将从当前的Cisco目录连接器注销，连接器中的其他域将取消注册，并且该计算机上的连接器信息将被删除。
4	重新登录到Cisco目录连接器并重新绑定该域。

关闭目录同步

如果您需要从目录连接器停止同步，可以从Control Hub暂时将其关闭。

从 https://admin.webex.com 中的客户视图，转至 > 设置，滚动至同步，然后选择一项：

单击更多然后单击要关闭的连接器实例旁边的关闭(Turn Off)。
单击关闭所有目录同步以停止来自所有连接器实例的同步。

阅读提示后，单击关闭(Turn Off )。

同步停止，直到您从Directory Connector重新启用它。

删除用户属性映射

使用Directory Connector删除之前映射到云并同步到Webex的Active Directory属性的映射。删除属性映射后，属性值将从云中删除，不再与Webex同步。然后可以手动编辑这些值。

1	从 Directory Connector 中，单击控制板。
2	转至 “操作”，然后单击程序 > 用户属性映射。
3	选择要从名称列表中删除的映射。
4	在受影响的用户范围下，选择以下选项之一：仅目录连接器同步的用户：映射将仅从先前同步的Directory Connector的用户删除。所有用户：将从所有Active Directory用户删除映射。
5	单击 Apply（应用）。

管理档案照片

使用Directory Connector更新用户档案照片或删除空白的用户档案照片。

1	从 Directory Connector 中，单击控制板。
2	转至 “操作”，然后单击工具 > 档案照片。
3	在 Actions（操作）下，选择以下选项之一：删除空头头像来源的档案照片：如果Active Directory档案照片为空，则此选项可确保将用户档案照片从云中删除，即使用户之前已在Webex中上传了自己的照片。从同步源重新上传以覆盖缓存的图片： Directory Connector使用与之前相同的Active Directory更新所有用户的档案照片。这可确保Active Directory中的档案照片与云之间没有不匹配。
4	单击 Apply（应用）。

卸载并停用Directory Connector

卸载 Directory Connector 实例后，必须取消注册它。如果面临以下任何情况，都应该彻底删除 Directory Connector：

您不想再使用目录同步。
您不想使用多个 Directory Connector（高可用性）中的某一个。
您想要更改域并安装其他连接器。

准备工作

您可能设置了多个目录连接器实例来实现高可用性(HA)或多域同步。如果您要卸载唯一的或最后剩下的 Directory Connector 实例，请禁用同步。
在卸载Directory Connector之前，请保存并关闭所有重要工作。

1	在您的 Windows 计算机上，转至“控制面板”，然后单击程序和功能。
2	从程序列表中，单击 Directory Connector，选择Uninstall，然后按照提示操作。您可能需要重启系统来完成卸载。
3	从 https://admin.webex.com 中的客户视图，转至 > 设置，滚动到同步，单击然后单击要卸载的目录连接器实例旁边的停用。
4	阅读提示后，单击停用。用户帐户将不会再同步，除非在高可用性 (HA) 部署中还有其他 Directory Connector。

运行诊断工具

您可以使用内置诊断工具对目录连接器部署进行故障诊断。此工具作为目录连接器3.4及更高版本的一部分安装。

如同步无法正常工作，可能发生配置或网络错误。此工具能够测试您的 LDAP 连接，因此您可以在联系支持人员之前自行诊断错误。如果工具返回任何错误，您可以将详细的日志结果发送给支持人员。

要运行Active Directory域服务的测试：
1. 转至开始菜单，找到 Cisco目录连接器，单击 Cisco Directory - Diagnostic。单击 AD-DS 选项卡，输入您的域，然后单击加载域控制器。
2. 从列表中选择一个域控制器。
  
  稍后不要更改条目，因为增量搜索必须始终在同一个域控制器上运行。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试检查该值。
4. 在 Active Directory查询部分配置更多过滤器，如用户和组对象和搜索过滤器。
5. 选中自动填充Cookie以自动生成用于搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，您可以在提交申请单时将其发送给支持团队进行分析。
要运行Active Directory轻量级目录服务的测试：
1. 转至开始菜单，找到 Cisco目录连接器，单击 Cisco Directory - Diagnostic。单击 AD-LDS 选项卡，输入您的主机和端口，然后单击加载分区。
2. 从列表中选择一个分区，然后单击连接。
3. 默认情况下，搜索所有路径，但您可以选择一个属性，然后单击测试检查该值。
4. 在 Active Directory查询部分配置更多过滤器，例如 User、UserProxy和 User Full 和搜索过滤器。
5. 选中自动填充Cookie以自动生成用于搜索的Cookie。
6. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
7. 测试完成后，单击保存以保存日志条目，您可以在提交申请单时将其发送给支持团队进行分析。
要运行轻量级目录访问协议(LDAP)的测试：
1. 转至开始菜单，找到 Cisco目录连接器，单击 Cisco Directory - Diagnostic。单击 LDAP RAW 选项卡，输入您的根路径，过滤器，从属性中选择条目，然后单击加载分区。
2. 根据需要检查以下选项：
  - Object -如果存在该选项，调用方不需要任何权限，并且只能查看调用方可访问的对象和属性。如果该选项不存在，调用方有权复制更改。
  - First -确保所有孩子的父母都比他们的孩子更早。
3. 为 ExtendedDN 选择一个值。
  
  此值用于扩展LDAP搜索，以请求扩展形式的对象Distinguished Name。
4. 为 Refer Chase 选择一个值。
  
  当域控制器返回查询中的引用时，将发起引用追踪-例如，查询结果的详细信息可能在命名空间之外（例如另一个域或林中的组成员）。
5. 单击查询开始新的增量或完成搜索。此搜索可能需要几秒钟。
6. 测试完成后，单击保存以保存日志条目，您可以在提交申请单时将其发送给支持团队进行分析。

对Ciso目录连接器中的问题进行故障诊断

Directory Connector的故障诊断和修复

您可能会在Directory Connector中遇到错误消息或其他问题。此外，在Directory Connector同步用户信息后，该连接器可能会向您发送一封电子邮件报告，其中会列出同步中的任何问题。请参考以下章节，了解可能出现的问题、可能的原因以及您可以在联系支持人员之前尝试的建议解决方案。

安装

Directory Connector 停止运行

您收到警告电子邮件，通知您Directory Connector未正常工作。

Directory Connector可能未正确安装。
Directory Connector可能未运行。
网络可能不可用。

请尝试以下操作：

打开面板 > 和功能。找到 Directory Connector。如果没有，请从Control Hub下载并安装最新版本。
打开“服务”，找到 Cisco DirSync Service。确保其状态显示为“已启动”。如果该服务已停止，请单击右键并选择“启动”以重启该服务。
确保安装Directory Connector的服务器可以访问Internet。

重新安装错误

问题—如果您在卸载旧连接器后立即安装新连接器，可能会看到错误消息。

可能原因—在Windows Server 2012中，卸载客户端需要时间才能从服务列表中删除服务帐户。

解决方案—一段时间后，请重试安装。

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后注册表项。
对于密钥路径，输入或导航至 HKEY_local_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main。
输入 Disable Script Debugger 输入“ 值”，然后输入 no 用于值数据。

设置应与此屏幕截图匹配：

执行以下步骤以在用户级别更改策略：

转至计算机配置 > 首选项 > Windows设置，右键单击注册表，选择新建，然后注册表项。
对于 Key Path，输入或导航至 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main。
输入 Disable Script Debugger 输入“ 值”，然后输入 no 用于值数据。

设置应与此屏幕截图匹配：

更改在您运行后生效 gpupdate /force 、机器重新启动（用于机器更改）或用户重新登录（用于用户更改）。

Cisco DirSync服务连接器无法注册

问题

登录失败，将显示以下消息： “无法注册Cisco DirSync Service Connector。”

解决方案

安装Directory Connector的Windows系统必须是Active Directory的成员。

没有出现登录页面

问题

您已打开Directory Connector，但未显示登录页面。

解决方案

请尝试以下步骤：

在Internet Explorer中，转至 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。在Chrome和Firefox等其他浏览器中尝试链接。
如果Internet Explorer无法访问该链接，但其他浏览器可以访问，请选中Internet Explorer设置并选中TLS 1.1和1.2复选框。（使用在Internet Explorer中启用TLS 程序。）

出现登录提示

问题

出现提示，要求您输入用户名和密码以通过身份验证。

可能原因

Directory Connector使用登录帐户以无提示方式完成NTLM安全验证。如果身份验证失败，将弹出对话框，询问身份验证用户名和密码。

解决方案

当您看到登录弹出窗口时，您需要提供具有正确身份验证的有效帐户才能通过安全性设置。

无法连接远程服务器

问题

在正常操作期间，出现错误消息： “无法连接远程服务器。”

可能原因

您可能有需要解决的代理问题。

解决方案

请参阅“服务帐户登录问题故障诊断”了解更多故障诊断信息。

无法注册连接器

问题

您会看到错误消息“无法注册连接器”。出现一般异常。 ”

可能原因

在大多数情况下，问题是因为目录连接器没有连接到LDAP根上下文的权限。

解决方案

请尝试以下操作：

运行命令提示符(cmd)，然后输入 dp.exe。
单击 > ，选择当前登录用户的绑定，然后单击。
单击 > 树，输入 <UNK> =arbonneintl，DC=ad 作为BaseDN，然后单击。
如果问题仍然存在，请提供支持以提交案例。

同步

头像未同步

问题

Cisco目录连接器将用户AD数据同步到Webex云。但没有成功同步头像数据。

可能原因

如果您重用了现有的头像服务器并且用户头像已同步，则本地缓存会捕获这些头像，并避免再次重新发送以节省带宽。

解决方案

按照以下步骤删除本地缓存：

转至C：\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\
删除DirSyncPluginAvatar.dll-cache.bin。
从Cisco目录连接器重新运行头像同步。

用户电子邮件帐户冲突

问题

同步结果可能显示用户电子邮件帐户冲突。

如果用户试用免费版本的Webex应用程序，他们的电子邮件地址将驻留在免费消费者组织中。
如果用户电子邮件曾在其他组织中同步。
如果用户电子邮件存在于属于组织的多个域中。

解决方案

请尝试以下操作：

如果您尝试申领用户，请执行以下步骤：
1. 确保您已在Control Hub中验域。
2. 临时禁用Cisco目录连接器。
3. 使用Control Hub中的“声明用户”选项声明自由消费者组织中可能存在的任何帐户。有关更多信息，请参阅将用户声明到您的组织（转换用户）。
4. 在Cisco目录连接器中进行测试，然后重新启用目录同步
对于最后一种情况，请仔细检查Active Directory源中的用户数据。

已转换用户标记为“非活动”

问题

在目录同步环境中，您将免费（消费者组织）用户转换为企业组织，但转换后的用户无法登录到Webex应用程序。

可能原因

当自由用户转换为企业组织时，作为安全合规措施，该用户将在30天内标记为非活动状态。在此期间，用户无法登录Webex应用程序，并在30天期限结束时标记为删除。出现这种情况的原因是免费用户信息不在Active Directory中。

解决方案

如果您不希望删除用户帐户，则必须执行操作。要解决此问题，请在本地Active Directory中创建与转换后的免费用户帐户对应的用户帐户。然后，从Cisco目录连接器执行同步。然后，用户可以再次登录Webex应用程序，帐户不会被删除。

增量同步失败

问题

增量同步失败。

在以下情况下，Windows Server 2008 R2上可能会出现该问题：

您支持增量值更新。
您使用引用链接值属性的过滤器。
该属性的结果值在上次执行完全同步后进行更新。

解决方案

Windows Server 2008 R2存在一个与该问题相关的错误。该错误已在2012 R2及之后的版本中修复。我们建议您将Windows Server升级到至少2012 R2。

属性的值无效

问题

对于 [user dn (distinguished name)]，属性 [attribute name] 有以下无效值 [attribute value]。

可能原因

对于 CN=b,OU=Employees,OU=C Users,DC=c,DC=com，属性 [telephone number] 有以下无效值： +。此属性必须包含至少一个数字。

解决方案

此用户的某个属性的值无效。根据警告消息中的描述更正其值。然后再运行一次同步。

要删除的匹配用户

问题

匹配的用户将被标记为删除。

当执行测试同步以检查Active Directory和云之间的数据时，您可能会在两者中看到相同的电子邮件地址。但是，用户被标记为要删除的对象。

解决方案

选择适当的修复方法：

如果可以删除用户并在之后重做许可证，您可以使用Directory Connector进行修复。执行同步以删除用户，然后执行另一次同步以将用户从本地AD同步到云。
如果您无法删除并重新创建用户帐户，请向支持人员提交案例。

缺少属性

问题

添加内部条目[user dn (distinguished name)]时所需的属性[attribute_name]。在所有必需属性都有值之前，该条目不会在Control Hub中创建。

可能原因

必需属性的 email address 缺失。添加内部条目[CN=Sales User，OU= ，OU=K，DC=k，DC=local]时，除非所有必需属性都具有值，否则不会在Control Hub中创建该条目。

解决方案

用户[user_email_address]缺少一个必需属性。请为该用户提供必需值。

嵌套组不会同步

问题

嵌套Active Directory组中的用户无法正确同步到云。

可能原因

将使用包含子组和父组的过滤器，不支持该过滤器。例如： (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)

解决方案

您必须重新配置同步组的过滤器。例如： |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)

用户命名冲突

问题

对于名为 [user email address]、用户类型为 [user_type] 的现有云条目对象的而言， [用户电子邮件地址]和用户类型[user_type]。

可能原因

Control Hub中已存在使用该电子邮件地址的用户。

解决方案

使用与通过Control Hub注册的帐户相同的电子邮件地址在Active Directory中创建用户。

Control Hub

Control Hub中缺少用户列表

问题

如果您的Webex组织有超过1000个同步用户，您可能无法在Control Hub中看到用户列表。

解决方案

您可以使用搜索功能查找用户帐户。在Control Hub中，转至用户(Users)，单击搜索，然后输入搜索条件以查找特定用户。

组不会同步到Control Hub

问题

目录组中的用户无法正确同步到Control Hub。

可能原因

该组未标记为 isCriticalSystemObject 在Active Directory中。

解决方案

确保该属性 isCriticalSystemObject 设置为 TRUE 在Active Directory中。

启用 Directory Connector 故障诊断

您可以启用故障诊断以帮助诊断您在 Directory Connector 中遇到的任何错误。故障诊断让您能够捕捉网络流量信息，并将其保存至文件。

以下日志文件： <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs

运行 services.msc 文件以将本地系统中 Directory Connector 服务的运行帐户更改为有权访问 AD DS 或 AD LDS 的域帐户。

重启服务。

请参阅如何启动服务获取指导。

在Directory Connector中，单击仪表板。

转至 “操作”，然后单击工具 > 排除。

启用故障诊断后，重复执行导致错误的操作，这样将捕获流量数据，以便进行检查。

检查日志文件：如果文件空白，请确保帐户有权访问 AD DS 或 AD LDS。

日志文件夹仅保存最近3天的文件。日志文件中的内容与发送到系统的事件日志输出一致。

如有必要，向支持人员发送日志文件以获取协助。

诊断完成后，请禁用故障诊断功能。

相关信息

联系技术支持

启动事件查看器

若要查看完全或增量同步期间发生的事件，请启动“事件查看器”。它显示管理事件和错误日志的摘要。

1	从Directory Connector转至 Dashboard，然后单击 > 事件查看器。 “事件属性”对话将显示同步事件详细信息与错误详细信息。
2	从活动查看器转至程序和服务日志 > isco Directory Connector。
3	在操作下，单击将所有事件另存为以单个事件文件(*。evtx)或xml或csv等其他格式导出所有日志。

下一步

如果您需要提交案例，请联系支持人员，描述连接器的问题，然后将活动文件附加到您的案例中。

事件日志会捕捉用户操作。要获取有关管理网络流量的帮助，请在连接器上启用故障诊断。

在Internet Explorer中启用TLS

如果您切换了单点登录(SSO)提供商，您可能会看到来自Cisco目录连接器的以下错误消息：

登录服务时发生错误
此页面上的脚本发生错误

如果您看到这些错误，必须在浏览器中启用TLS设置。

1	打开Internet Explorer，然后选择工具。现在选中要启用的TLS/SSL版本的复选框，单击确定关闭浏览器，然后再次打开它。
2	单击选项，转至，滚动至。
3	选中使用TLS 1.1 和使用TLS 1.2复选框，然后单击确定。
4	重启系统以使更改生效。

服务帐户登录问题故障诊断

如果您无法登录到Cisco目录连接器或无法运行同步，请在联系支持人员之前使用以下步骤尝试解决问题。

尝试在 Web 浏览器中访问。https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL

根据结果选择一项：

如果您无法从浏览器访问该链接，请检查您的网络设置。如果您的环境使用代理，请检查代理设置。
如果您可以从浏览器访问链接，但无法打开Cisco目录连接器（无法打开连接器并弹出带有407的错误消息），请单击此处获取最新版本的Cisco目录连接器。

如果您可以从浏览器访问链接，但无法从Cisco目录连接器运行同步，请将服务登录帐户更改为“域管理”。

检查您用于登录Windows系统的帐户是否与您在“Cisco DirSync Service”中设置的帐户相同。如果是2个不同的帐户，请确保两个帐户都可以访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。如果您的环境使用代理，请确保两个帐户都已在Internet Explorer中配置为代理，并且可以成功访问 https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。

至少，确保为Cisco DirSync服务（可以在Windows服务中找到）配置的帐户具有允许其访问头像数据和AD数据的权限级别。默认情况下，该服务利用Windows登录帐户凭证和身份验证。

相关信息

联系技术支持

在Windows注册表中检查SafeDllSearchMode

通常情况下，SafeDllSearchMode已启用，但可使用此程序再次检查注册表设置。

准备工作

对Windows注册表进行更改时应非常谨慎。我们建议您在使用这些步骤之前备份注册表。

在Windows搜索或运行窗口中，输入，然后按 Enter。

转至 HKEY_本地机_\System\CurrentControlSet\Control\Session Manager。

选择一种：

SafeDllSearchMode未列出—无需进一步操作。
SafeDllSearchMode已列出—确保该值设置为 1。

有关详细信息，请参阅链接库搜索顺序。

1	安装 Directory Connector Control Hub最初将目录同步显示为禁用。要为组织开启目录同步，您必须安装和配置目录连接器，然后成功执行完全同步。对于Directory Connector的新安装，请始终转至Control Hub (https://admin.webex.com)获取最新版本的软件，以便使用最新的功能和漏洞修复。安装软件后，系统会通过软件报告升级，并在可用时自动安装。
2	登录 Directory Connector 使用Webex管理员凭证登录并执行初始设置。
3	设置自动升级让目录连接器软件保持最新版本始终是重要的。我们建议您使用此程序允许在软件可用时以无提示方式安装自动升级。
4	选择要同步的Active Directory对象默认情况下，Directory Connector会同步非计算机的所有用户以及非域关键系统对象的所有组。要更好地控制同步的对象，可以使用Directory Connector中的Object 页面选择特定用户以同步并指定LDAP过滤器。
5	映射用户属性您可以将本地 Active Directory 的属性映射到云端的对应属性。唯一的必填字段是“*uid”。
6	使用以下程序之一同步目录头像：将目录头像从Active Directory属性同步到云将目录头像从资源服务器同步到云您可以将用户的头像同步到云端，这样每个用户在登录应用程序时都可以看到其头像。您可以从Active Directory属性或资源服务器同步头像。
7	将本地会议室信息同步到Webex云使用此过程将本地会议室信息从Active Directory同步到Webex云。同步协作室信息后，具有已配置、已映射SIP地址的本地协作室设备在云注册协作室设备（例如Webex Room设备或Cisco Webex Board）上显示为可搜索条目
8	要将用户从Active Directory预配置到Control Hub中，请执行以下步骤：对您的Active Directory用户执行测试同步将Active Directory用户完全同步到云端。在Control Hub中将Webex服务分配给目录同步用户按照此序列为Webex应用程序帐户预配置Active Directory用户。您可以从多林或多域Active Directory部署中预配置Directory Connector 3.0及更高版本的用户。在加入不同域用户的过程中，您必须决定是否保留或删除Webex云中可能已存在的用户对象，例如，来自试用的测试帐户。目标是在Active Direc 和Webex云之间实现精确匹配。