- 首頁
- /
- 文章
目錄連接器概觀
Directory Connector 是用於雲端中的身分同步的內部部署應用程式。 您從 Control Hub 下載連接器軟體,並將其安裝在您的本地機器上。
有了 Directory Connector,您可以在Active Directory中維護您的使用者帳戶和資料,讓Active Directory成為單一事實來源。 當您在內部部署進行變更時,該變更會復製到雲端。
查看表格中的所有功能、說明和優點:
功能 | 描述和優點 |
---|---|
易於使用的儀表板 | 儀表板提供同步排程、摘要、同步狀態,以及 Directory Connector 的狀態。 您可以在登入時隨時檢視儀表板。 |
同步至雲端前的演練 | 在雲端中實作目錄變更之前,先對這些變更進行演練。 然後執行報告,以查看您想要進行的變更是否與預期相符。 |
完整和增量同步 | 同步整個目錄。 或者只是同步增量變更以節省處理能力並縮短同步時間。 |
同步多個網域(單個林或多個林) |
Directory Connector 支援單個林下或多個林下的多個網域(無需 AD LDS)。 對於具有多個Active Directory網域的企業,您可以為每個網域安裝 Directory Connector,將每個網域綁定至您的組織,然後將每個使用者基礎同步到Webex中。 Control Hub 透過顯示多個 Directory Connector 的同步狀態來反映狀態,允許您關閉特定網域的同步,以及在高可用性部署中停用 Directory Connector。 |
排定的同步 | 按天、小時和分鐘設定同步排程。 |
Lightweight Directory Access Protocol(LDAP) 篩選器 | 定義LDAP搜尋準則並提供有效的匯入。 |
Active Directory屬性對映 | 將Microsoft Active Directory屬性對應至對應的Webex雲端屬性。 您可以對應與Active Directory組態相關的屬性,還可以定義自訂屬性以對應至雲端。 內部部署的屬性形成雲端中的各種資料,例如使用者帳戶資訊、 Webex Teams 中的企業電話號碼、會議室資源SIP位址以及其他使用者聯絡人名片資料(職位、部門、經理等)。 |
無需Webex授權的內部部署會議室資源與Cisco Webex Calling (雲端 PSTN) 使用者和企業聯絡人的企業目錄 |
如果您組織的一部分使用Cisco Webex Calling雲端 PSTN 進行通話服務,或者您具有內部部署的會議室裝置,則此功能可讓使用者從其Cisco Webex Calling (雲端 PSTN)電話或會議室資源搜尋企業聯絡人的目錄。
|
活動檢視程式 | 使用活動檢視程式來確定同步是否存在任何問題。 |
診斷工具和疑難排解 | 您可以使用內建診斷工具對 Cisco Directory Connector 部署進行疑難排解。 如果同步無法正常運作,則可能是設定或網路錯誤。 此工具會測試您與Active Directory的連線,以便您可以在聯絡支援之前自行診斷錯誤。 當您在 Directory Connector 中啟用疑難排解之後,會寫入可傳送至技術支援的記錄。 |
自動升級 | 安裝 Directory Connector 之後,每當有新的軟體可用時,都會向您傳送通知。 您可以"安裝;設定"自動升級,以便在新版本軟體發行時您始終使用最新版本的軟體。 |
高可用性 | 設定多個連接器以便有備份,以防主連接器或託管它的機器發生故障。 |
Directory Connector 分成三個方面:
Control Hub是單一介面,可讓您管理Webex組織的所有方面: 檢視使用者、指定授權、下載 Directory Connector 以及設定單一登入(SSO)如果您希望使用者透過其企業身份識別提供者進行驗證,並且不希望傳送Webex應用程式的電子郵件邀請。
Directory Connector 管理介面是您從 Control Hub 下載並安裝在信任的 Windows 伺服器上的軟體。 對於多個Active Directory網域,您可以為要同步的每個網域安裝一個即時軟體。 使用該軟體,您可以執行同步以將您的Active Directory使用者帳戶加入Webex,檢視和監控同步狀態,以及設定 Directory Connector 服務。
目錄同步服務會查詢 Active Directory 以擷取使用者和群組來同步至連接器服務及 Directory Connector。
請參閱此圖以了解 Directory Connector 架構:
目錄連接器的需求
Windows 和Active Directory需求
您可以在以下受支援的 Windows 伺服器上安裝 Directory Connector:
Windows Server 2012
Windows Server 2019
Windows Server 2016
若要解決 Cookie 問題,我們建議您將網域控制器升級至包含以下修正程式的發行版: Windows Server 2012 R2或2016 年。 |
以下Active Directory服務支援 Directory Connector:
Active Directory 2016
(在 Windows Server 2019 上使用最新版本的Active Directory時,支援 Directory Connector)
Active Directory2012
Active Directory 2008 R2
Active Directory2008
請注意以下額外的需求:
Directory Connector 需要 TLS1.2。 您必須安裝以下項目:
.NET Framework v3.5(Directory Connector 應用程式必需。 如果遇到任何問題,請使用使用「新增角色和功能精靈」啟用 .NET Framework 3.5 。)
.NET Framework v.4.5(TLS1.2 必需)
需要Active Directory林功能層級 2 (Windows Server 2003) 或更高版本。 (請參閱什麼是Active Directory功能層級?獲取更多資訊。)
硬體需求
您必須在具有以下最低硬體需求的電腦上安裝 Directory Connector:
8 GB RAM
50 GB 儲存體
CPU 無最低需求
網路需求
如果網路受防火牆保護,請確保系統具有網際網路的 HTTPS(埠 443)存取權。
Webex組織需求
若要從 Control Hub 存取 Directory Connector 軟體,您需要一個具有試用服務或任何付費訂閱的Webex組織。
(可選)如果您希望新的Webex應用程式使用者帳戶在首次登入之前處於使用中,我們建議您執行以下操作:
新增、驗證和選擇性地宣告網域包含您要同步到雲端的使用者電子郵件地址的電子郵件。
執行單一登入(SSO) 整合您的身分識別提供者 (IdP) 與Webex組織之間的連接。
阻擋自動電子郵件邀請,這樣新使用者將不會收到自動電子郵件邀請,並且您可以執行自己的電子郵件活動。 (此功能需要SSO整合。)
如需相關資訊,請參閱Control Hub 中的使用者狀態和動作。 |
安裝需求
對於多網域環境(單個林或多個林),您必須為每個Active Directory網域安裝一個 Directory Connector。 如果您想要同步新網域 (B) 的同時維護另一個現有網域 (A) 上的同步使用者資料,請確保您具有單獨的受支援 Windows 伺服器來安裝用於網域 (B) 同步的 Directory Connector。
對於登入連接器,我們不需要Active Directory中的管理帳戶。 我們需要一個與 Control Hub 中的完整管理員帳戶相同的使用者的本端使用者帳戶。
此本地使用者必須在那部 Windows 機器上具有特權,才能連線至網域控制器並讀取Active Directory使用者物件。 機器登入帳戶應該是具有在本機上安裝軟體的特權的電腦管理員。 (此資訊也適用於虛擬機器登入。)
登入連接器時,登入帳戶必須與 Control Hub 的完整管理員帳戶相同。 依預設,連接器使用本機系統帳戶來存取Active Directory。 但是,您可以使用 Windows 服務來設定另一個帳戶來存取Active Directory。 (此資訊也適用於虛擬機器登入。)
使用以下流程確保已啟用 Windows 安全動態鏈結庫 (DLL) 搜尋模式: 檢查 Windows 註冊中的 SafeDll搜尋模式。
如果您在單個林上的多個網域使用 AD LDS,我們建議您在不同的機器上安裝 Directory Connector 和Active Directory網域服務/ Active Directory輕量型目錄服務 (AD DS/AD LDS)。
多個網域需求
執行 中的任務之前Cisco目錄連接器部署任務流程,如果您要將Active Directory資訊從多個網域同步到雲端,請記住以下需求和建議:
每個網域都需要一個單獨的 Directory Connector 實例。
Directory Connector 軟體必須在其將同步的網域中的主機上執行。
我們建議您在 Control Hub 中驗證或宣告您的網域。 (請參閱新增、驗證和宣告網域。)
如果您要同步超過 50 個網域,您必須開立報修單將您的組織移至大型組織清單。
如果需要,您可以將會議室資源資訊與使用者帳戶同步。 (請參閱將內部部署會議室資訊同步至Webex 雲端。)
用於自動授權指定的Active Directory群組建議
Active Directory群組用於將使用者帳戶、電腦帳戶和其他群組收集為可管理的單元。 與群組而不是個別使用者合作,有助於簡化網路維護和管理。
Active Directory中有兩種類型的群組:
通訊群組- 用於建立電子郵件通訊群組清單。
安全群組- 用於指定共用資源的權限。
在Active Directory中建立群組時,請考慮下列準則:
為每個角色、部門或服務(例如銷售、營銷、經理、會計、 Webex授權等)建立全域群組。
在您的組織中使用標準命名慣例,以便輕鬆識別有關群組的重要資訊。 群組名稱可以包含有關群組的詳細資料,例如存取層級、資源類型、安全性層級、群組作用域、郵件功能等。例如,群組名稱「GSG_ Webex_大號icensing_EMEAR”是指Webex授權 EMEAR 使用者的全域安全群組。
以易於理解的方式組織群組,例如按地理位置或管理層級。 使用群組描述來完整描述群組的用途。
將使用者新增至新佈建的群組之前,請在 Control Hub 中為這些群組定義自動授權群組範本。 請參閱設定您的自動授權指定範本獲取更多資訊。
調整大小資訊
Directory Connector 充當內部部署Active Directory與Webex雲端之間的橋樑。 因此,連接器對於可以同步到雲端的Active Directory物件數沒有上限。 對內部目錄物件的任何限制都與同步至雲端的Active Directory環境的特定版本和規格相關,而不是與連接器本身相關。
有幾個因素會影響同步的速度:
Active Directory物件的總數。 (5000 個使用者的同步工作將不會像 50000 一樣長。)
網路速度和頻寬。
系統工作負載和規格。
如果要同步的使用者數超過 50000,強烈建議您使用第二個連接器來進行容錯移轉和備援。 |
因為同步涉及多個因素,而且每個部署都會根據上述因素而有所不同,所以我們無法提供物件同步將花費的特定時間值。 |
檢查 Windows 註冊中的 SafeDll搜尋模式
安全動態鏈結庫(DLL)搜尋模式預設在 Windows 登錄中設定,並將使用者的目前目錄放在 DLL 搜尋順序中的後期。 如果此模式被某種方式停用,攻擊者可將惡意 DLL(與系統資料夾中所引用的 DLL 檔案名稱相同)放置到應用程式的目前工作目錄中。
通常,會啟用 SafeDll搜尋模式,但請使用此流程來仔細檢查登錄檔設定。
準備工作
對 Windows 登錄檔所做的變更應極其謹慎。 我們建議您在使用這些步驟之前,先對登錄檔進行備份。 |
1 | 在 Windows 搜尋或執行視窗中,鍵入註冊編輯然後按輸入。 |
2 | 轉至HKEY_本地的_MACHINE\System\CurrentControlSet\Control\階段作業管理程式。 |
3 | 選擇一個:
|
如需相關資訊,請參閱動態鏈結庫搜尋順序。
Web Proxy 整合
Web Proxy 整合
如果在環境中啟用了 Web Proxy 驗證,則仍可以使用 Directory Connector。
如果您的組織使用透明 Web Proxy,則它不支援驗證。 連接器已成功連線並同步使用者。
您可以採取下列其中一種方法:
透過Internet Explorer的明確 Web Proxy(連接器繼承 Web Proxy 設定)
透過 .pac 檔案的明確 Web Proxy(連接器繼承企業特定的 Proxy 設定)
無需任何變更即可與連接器搭配使用的透通 Proxy
透過瀏覽器使用 Web Proxy
您可以"安裝;設定"Directory Connector 設定為透過Internet Explorer使用 Web Proxy。
如果 Cisco DirSync 服務是以非現行登入使用者帳戶執行,您還需要使用此帳戶來登入並設定 Web Proxy。
1 | 從 Internet Explorer 中,移至網際網路選項,按一下連線,然後選擇 LAN 設定。 | ||
2 | 將安裝連接器的 Windows 實例指向 Web Proxy。 連接器會繼承這些 Web Proxy 設定。 | ||
3 | 如果環境使用 Proxy 驗證,請將這些 URL 新增至您允許的清單:
可以在網站範圍(針對所有主機)或者只是針對具有連接器的主機執行此作業。
| ||
4 | 如果您的環境需要向憑證授權單位請求憑證撤銷清單,請將這些 URL 新增至允許的清單:
如需相關資訊,請參閱此文章,需要針對Webex服務存取的網域和 URL 。 |
透過 PAC 檔案設定 Web Proxy
您可以將用戶端瀏覽器設定為使用 .pac 檔案。 此檔案提供 Web Proxy 位址和通訊埠資訊。 Directory Connector 直接繼承企業專用 Web Proxy 設定。
1 | 要讓連接器成功將使用者資訊連線並同步至Webex雲端,請確保為 停用 Proxy 驗證: | ||
2 | 如果環境使用 Proxy 驗證,請將這些 URL 新增至您允許的清單:
可以在網站範圍(針對所有主機)或者只是針對具有連接器的主機執行此作業。
| ||
3 | 如果您的環境需要向憑證授權單位請求憑證撤銷清單,請將這些 URL 新增至允許的清單:
如需相關資訊,請參閱此文章,需要針對Webex服務存取的網域和 URL 。 |
NTLM 代理
Directory Connector 支援NT LAN 管理程式 (NTLM) 。 NTLM 是支援在網域裝置之間進行 Windows 驗證並確保其安全性的一種方法。
NTLM 設計
在大多數情況下,使用者想要透過用戶端PC存取另一個工作站資源,而要以安全的方式執行此操作可能很困難。
一般而言,NTLM 的技術設計是基於一種機制:挑戰
和回應
:
使用者透過 Windows 帳戶和密碼登入用戶端PC 。 密碼從不儲存在本地。 本地儲存的不是純文字密碼,而是密碼的雜湊值。 當使用者透過密碼登入用戶端時,Windows 作業系統會比較儲存的雜湊值與輸入密碼的雜湊值。 如果兩者相同,則驗證通過。
當使用者想要存取另一伺服器中的任何資源時,用戶端會使用純文字的帳戶名稱向伺服器傳送請求。
當伺服器收到請求時,伺服器會產生 16 位元隨機金鑰。 該鍵稱為質詢(或隨機數)。 在伺服器向用戶端傳送之前,質詢會儲存在伺服器中。 然後伺服器以純文字形式向用戶端傳送質詢。
一旦用戶端收到從伺服器傳送的質詢,用戶端會立即透過步驟 1 中提到的雜湊值來加密質詢。 加密後,值會傳送回伺服器。
當伺服器從用戶端收到加密的值時,伺服器將其傳送到網域控制器進行驗證。 該請求包括: 帳戶名稱,用戶端傳送的加密質詢,以及原始的純質詢。
網域控制器可以根據帳戶名稱擷取密碼的雜湊值。 然後網域控制器可以對原始的質詢進行加密。 網域控制器隨後可將收到的雜湊值與加密的雜湊值進行比較。 若相同,則驗證成功。
Windows 於作業系統中內建安全性驗證,可讓應用程式更輕鬆地支援安全性驗證。 因此,您不需要完成進一步的設定。 |
設定透明 Proxy
在此情境中,瀏覽器無法察覺透明 Web Proxy 正在攔截 HTTP 要求(埠 80/埠 443),而且不需要任何用戶端設定。
1 | 部署透明 Proxy,以便連接器可以連線及同步使用者。 |
2 | 確認 Proxy 成功 - 啟動連接器時,您會看到預期的瀏覽器驗證快顯快顯視窗。 |
設定 Proxy 驗證
新增URL cloudconnector.webex.com
透過建立存取控制清單將其加入允許的清單。
在企業防火牆伺服器上:
1 | 啟用 DNS 查找(如果尚未啟用的話)。 |
2 | 確定此連線的預計頻寬(連接器的大約為 2 mb/s 或更低)。 這可能不是必要的。 |
3 | 建立存取控制清單以套用於連接器主機,並指定 譬如: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
4 | 將此 ACL 套用至相應的防火牆介面,該介面僅適用於此單一連接器主機。 |
5 | 透過設定適當的隱含拒絕陳述式,來確定使用您的 Web Proxy 仍需要企業中的其餘主機。 |
Cisco目錄連接器部署任務流程
1 |
Control Hub 最初將目錄同步顯示為已停用。 若要為您的組織開啟目錄同步,您必須安裝和設定 Directory Connector,然後成功執行完全同步。 對於 Directory Connector 的新安裝,請一律轉至 Control Hub(https://admin.webex.com ) 以獲取最新版本的軟體,以便您使用最新的功能和錯誤修正。 安裝軟體後,會透過軟體報告升級,並在可用時自動安裝。 |
2 |
使用您的Webex管理員認證登入,並執行初始設定。 |
3 |
始終將 Directory Connector 軟體保持為最新版本非常重要。 我們建議您使用此流程以允許軟體的自動升級,以在可用時以無訊息方式安裝。 |
4 |
依預設,Directory Connector 會同步所有非電腦使用者與所有非關鍵系統物件的群組。 為了更好地控制要同步的物件,您可以選取要同步的特定使用者,並使用 Directory Connector 中的「物件選擇」頁來指定LDAP篩選器。 |
5 |
可以將本端 Active Directory 中的屬性對映至雲端中相對應的屬性。 唯一的必要欄位是 *uid。 |
6 | 使用下列其中一個流程來同步目錄頭像: 可以將使用者的頭像同步至雲端,以便在每個使用者登入應用程式時其頭像會出現。 您可以從Active Directory屬性或資源伺服器同步化身。 |
7 |
使用此流程可將內部部署會議室資訊從Active Directory同步到Webex雲端。 同步會議室資訊後,具有已設定、配對SIP位址的內部部署會議室裝置會在雲端註冊的會議室裝置(譬如Webex會議室裝置或Cisco Webex Board )上顯示為可搜尋項目。 |
8 | 至將使用者從Active Directory佈建到 Control Hub ,請執行下列步驟: 請遵循此序列來Webex應用程式帳戶的Active Directory使用者。您可以從 Directory Connector 3.0 及更高版本的多林或多網域Active Directory部署中佈建佈建使用者。 在從不同網域加入使用者的過程期間,您必須決定是保留還是刪除Webex雲端中可能已存在的使用者物件 — 譬如,試用服務中的測試帳戶。 目標是讓 Active Directory 與Webex雲端完全相符。 |
安裝 Directory Connector
Control Hub 最初將目錄同步顯示為已停用。 若要為您的組織開啟目錄同步,您必須安裝和設定 Directory Connector,然後成功執行完全同步。
必須為要同步的每個Active Directory網域安裝一個連接器。 單個 Directory Connector 實例只能服務於單個網域。 請參閱下圖以了解多網域同步處理的流程:
準備工作
如果您透過代理伺服器進行驗證,請確保您具有 proxy 憑證:
對於 Proxy 基本驗證,您將在安裝連接器的實例之後輸入使用者名稱和密碼。 基本驗證還需要Internet Explorer Proxy 設定;請參閱透過瀏覽器使用網路 Proxy
對於 Proxy NTLM,第一次開啟連接器時可能會看到錯誤。 請參閱透過瀏覽器使用網路 Proxy 。
1 | 輸入Control Hub ,轉至 ,並選擇下一個。 | ||
2 | 按一下下載並安裝鏈結,以將最新版本的連接器安裝 .zip 檔案儲存到 VMware 或 Windows 伺服器。 您可以直接從下列位置取得 .zip 檔案:這個鏈結,但您必須具有 Control Hub 組織的完全管理存取權,此軟體才能工作。
| ||
3 | 在 VMware 或 Windows 伺服器上,解壓縮並執行安裝資料夾中的 .msi 檔案以啟動安裝精靈。 | ||
4 | 按一下下一個,勾選此方塊以接受授權合約,然後按一下下一個直到您看到帳戶類型螢幕。 | ||
5 | 選擇要使用的服務帳戶類型,然後以管理員帳戶執行安裝:
為了避免錯誤,請確保具有以下特權:
| ||
6 | 按一下安裝。 網路測驗執行後,如果系統提示,請輸入 Proxy 基本憑證,請按一下確定,然後按一下完成。 |
下一步
我們建議您在安裝後重新啟動伺服器。 當資料未公佈時,演練報告無法顯示正確的結果。 重新啟動機器時,會重新整理所有資料以在報告中顯示確切的結果。
登入 Directory Connector
準備工作
確保您具有 Proxy 憑證。
對於 Proxy 基本驗證,您將在第一次開啟連接器後輸入使用者名稱和密碼。
對於 Proxy NTLM,開啟Internet Explorer,按一下齒輪圖示,轉至網際網路選項 > 連線 > LAN 設定,確保已新增代理伺服器資訊,然後按一下確定。 請參閱透過瀏覽器使用網路 Proxy 。
1 | 開啟連接器,然後新增 | ||||
2 | 如果系統提示,請使用 Proxy 驗證憑證登入,然後使用管理員帳戶登入Webex並按一下下一個。 | ||||
3 | 確認組織和網域。
| ||||
4 | 出現確認組織螢幕後,按一下確認。 如果您先前連結了 AD DS/AD LDS,則確認組織螢幕會出現。 | ||||
5 | 按一下確認。 | ||||
6 | 選擇一個項目,取決於您想要連結至 Directory Connector 的 Active Directory 網域數目:
|
下一步
登入,系統將提示您執行演練同步。
Directory Connector 儀表板
首次登入 Directory Connector,會出現「儀表板」。 在這裡,您可以檢視所有同步活動的摘要、檢視雲端統計資料、執行演練同步、啟動完整或增量同步以及啟動事件視圖來查看錯誤資訊。
如果階段作業逾時,請重新登入。 |
可以從「動作」工具列或「動作」功能表輕鬆地執行這些任務。
元件 | 說明 |
---|---|
現行同步 |
顯示關於目前進行中同步的狀態資訊。 如果未執行同步,則狀態顯示是閒置的。 |
下一次同步 |
顯示下一個排定的完整及增量同步。 如果未設定排程,則會顯示未排定。 |
上一次同步 |
顯示上一次執行的兩個同步的狀態。 |
現行同步狀態 |
顯示同步的整體狀態。 |
連接器 |
顯示可供雲端使用的現行內部部署連接器。 |
雲端統計資料 |
顯示同步的整體狀態。 |
同步排程 |
顯示增量及完整同步的同步排程。 |
設定摘要 |
列出您在設定中變更的設定。 例如,摘要可能包括下列事項:
|
動作 | 說明 | ||
---|---|---|---|
開始增量同步 | 手動開始增量同步
|
||
同步演練 |
執行演練同步。 |
||
啟動事件檢視器 |
啟動「Microsoft 事件檢視器」。 |
||
重新整理 |
重新整理Cisco目錄連接器儀表板 |
動作 | 說明 |
---|---|
立即同步 | 立即啟動完整同步。 |
同步模式 |
選取增量或完整同步模式。 |
重設連接器密碼 |
在Cisco目錄連接器與連接器服務之間建立對話。 選取此動作將會重設雲端中的密碼,然後將密碼儲存在本端。 |
演習 |
執行同步程序測試。 在執行完整同步之前,必須執行演練。 |
疑難排解 |
開啟/關閉疑難排解。 |
重新整理 |
重新整理Cisco目錄連接器主螢幕。 |
退出 |
退出Cisco目錄連接器。 |
按鍵組合 | 動作 |
---|---|
Alt +A |
顯示動作功能表 |
|
立即同步 |
|
重設連接器密碼 |
|
演練 |
|
增量同步 |
|
完整同步 |
|
顯示說明功能表 |
|
說明 |
|
關於 |
|
常見問題及解答 |
設定自動升級
1 | 從 Directory Connector 中,轉至自動升級到新的Cisco目錄連接器版本。 ,然後檢查 |
2 | 按一下套用以儲存變更。 |
新版本的連接器可用時會自動安裝。
您可以視需要手動管理升級。 請參閱升級至最新軟體版本獲取更多資訊。 |
選擇要同步的Active Directory物件
依預設,Directory Connector 會同步所有非電腦使用者與所有非關鍵系統物件的群組。 為了更好地控制要同步的物件,您可以選取要同步的特定使用者,並使用 Directory Connector 中的「物件選擇」頁來指定LDAP篩選器。
用於自動授權指定的群組
Control Hub 可讓您以群組為單位管理授權指定。 您可以建立授權範本,並將其對映至您同步至雲端的Active Directory群組。 在建立使用者時, Webex會檢查該新使用者的使用者成員資格和自動授權範本對映。
我們建議您使用LDAP篩選器僅將相關群組同步到雲端。 例如,您可以將篩選器設定為:
(&(cn=Example)(objectclass=Group))*
此篩選器會同步基本DN中名稱以範例開頭的所有群組。 未指定給群組的使用者會從您在 Control Hub 中設定的預設自動授權範本中指派授權。
用於混合資料安全性部署的群組
在 Directory Connector 中,您必須勾選群組如果您使用混合資料安全性為試點使用者設定試用群組。 請參閱混合資料安全部署指南尋求指導。 此 Directory Connector 設定不會影響其他使用者到雲端的同步。
1 | 從 Directory Connector 中,移至設定,然後按一下選取物件。 | ||
2 | 在物件類型區段,勾選使用者,並考慮限制使用者的可搜尋容器的數量。 譬如,如果您想要同步特定群組中的LDAP,您必須在使用者LDAP篩選器欄位。 如果您要同步 Example-manager 群組中的使用者,請使用類似的篩選器:
| ||
3 | 檢查識別會議室以將會議室資料與使用者資料區隔。 按一下自訂如果您要"安裝;設定"其他屬性以將使用者資料識別為會議室資料。 如果您要將內部部署會議室資訊從Active Directory同步到Webex雲端,請使用此設定。 同步會議室資訊後,具有已設定、配對SIP位址的內部部署會議室裝置在雲端註冊的會議室裝置上顯示為可搜尋項目。 如需相關資訊,請參閱將內部部署會議室資訊同步至Webex 雲端。 | ||
4 | 檢查群組您想要將您的Active Directory使用者群組同步到雲端。 不要將使用者同步LDAP過濾器新增至群組欄位。 您只應使用群組欄位,將群組資料本身同步到雲端。
| ||
5 | 檢查聯絡人您想要將使用者的聯絡人資訊同步至雲端。
| ||
6 | 設定 LDAP 過濾器。 可以透過提供有效的 LDAP 過濾器來新增延伸的過濾器。 請參閱這篇文章有關設定LDAP過濾器的更多資訊。 | ||
7 | 指定要同步的內部部署基本 DN透過按一下選取以查看Active Directory的樹形結構。 從這裡,您可以選取或取消選取要搜尋的容器。 | ||
8 | 檢查您想要為此設定新增的物件,然後按一下選取。 您可以選取要用於同步的個別或母項容器。 選取母項容器來啟用所有子項容器。 如果您選取子項容器,則母項容器會顯示灰色勾選標記,表示已勾選子項。 然後您可以按一下選取以接受您勾選的 Active Directory 容器。 如果您的組織將所有使用者和群組都放在「使用者」容器中,則您不必搜尋其他容器。 如果您的組織劃分成組織單位,請確保選取組織單位。 | ||
9 | 按一下套用。 選取選項:
如需有關演練的資訊,請參閱對Active Directory使用者執行演練同步。 對於群組同步,您必須執行完整同步: 將Active Directory使用者完全同步到雲端。 |
對映使用者屬性
可以將本端 Active Directory 中的屬性對映至雲端中相對應的屬性。 唯一的必要欄位位是 *uid,它是雲端身分服務中每個使用者帳戶的唯一標識符。
您可以選擇要對映至雲端的Active Directory屬性 — 譬如,您可以將 firstName lastName
在Active Directory或自訂屬性表達式中 displayName
雲端中。
Active Directory 中的帳戶必須具有電子郵件地址;uid 依預設對映至 mail 的 |
如果您選擇讓偏好的語言來自Active Directory,則Active Directory是單一事實來源: 使用者將無法在「 Webex設定」中變更其語言設定,且管理員將無法在 Control Hub 中變更設定。
1 | 從 Directory Connector 中,按一下設定,然後選擇使用者屬性對映。 此頁面顯示Active Directory (左側)和Webex雲端(右側)的屬性名稱。 所有必要屬性都標有紅色星號。 | ||||
2 | 向下捲動至底部Active Directory屬性名稱,然後選擇其中一個Active Directory屬性以對映至雲端屬性uid :
您可以將任何其他Active Directory屬性對映至 uid,但我們建議您使用 mail 或 userPrincipalName,如上述準則中所述。 在某些情況下,userPrincipalName 用於登入,但使用者的電子郵件地址用於管理其行事歷。 您必須確保行事歷管理的電子郵件地址地址對應Webex中的主電子郵件地址欄位。 將 userPrincipalName 新增為替代電子郵件地址。 若要查看Active Directory中的屬性與雲端相對應的屬性,請參閱在 Directory Connector 中對映Active Directory屬性。
| ||||
3 | 如果預先定義的Active Directory屬性不適用於您的部署,請按一下屬性下拉清單,捲動至底部,然後選擇自訂屬性以開啟一個視窗,讓您定義屬性表達式。
在此範例中,讓我們將Active Directory屬性對應
| ||||
4 | (可選)為行動的和電話號碼如果您希望行動電話和工作號碼出現,例如,在Webex應用程式的使用者聯絡人名片中。 當使用者將滑鼠懸停在另一個使用者的設定檔圖片上時,電話號碼資料會顯示在Webex應用程式中。 如需更多關於從使用者的聯絡人名片進行呼叫的資訊,請參閱Calling in Webex (Unified CM)部署指南(管理員)。 | ||||
5 | 選擇其他對映以使更多資料顯示在聯絡人名片中:
屬性對映後,當使用者將滑鼠懸停在另一個使用者的設定檔圖片上方時,會顯示以下資訊: 如需有關聯絡人名片的更多資訊,請參閱驗證您正在聯絡誰。 在這些屬性同步到每個使用者帳戶之後,您還可以在 Control Hub 中開啟人物洞察 。 此功能可讓Webex應用程式使用者在其設定檔中共用更多資訊,並進一步了解彼此。 如需有關該功能以及如何啟用它的更多資訊,請參閱Control Hub 中Webex、Jabber、 Webex Meetings和Webex Events(新版)的人物洞察設定檔 | ||||
6 | 做出選擇後,請按一下套用。 |
Active Directory 所含的任何使用者資料都會覆寫雲端中對應於該使用者的資料。 譬如,如果您在 Control Hub 中手動建立使用者,則該使用者的電子郵件地址必須與Active Directory中的電子郵件相同。 將刪除在Active Directory中沒有對應電子郵件地址的任何使用者。
已刪除的使用者會在雲端識別服務中保留 7 天,然後再被永久刪除。 |
Active Directory和雲端屬性
可以利用使用者屬性對映標籤,將本端 Active Directory 中的屬性對映至雲端中相對應的屬性。
此表格比較了「 Active Directory屬性名稱」和「 Cisco Cloud屬性名稱」之間的對映。 這些值和對映是 Directory Connector 中的預設設定。 您可以在Active Directory下拉清單中選擇不同的屬性,並確定哪個內部部署屬性同步到哪個雲端屬性。
將下拉屬性視為預設。 作為Active Directory行中值的替代方法,您還可以在Active Directory (具有多個屬性的表達式)中指定自訂屬性(您自己的預設)以對應行中的單個雲端屬性。 這樣,您就可以靈活地確定使用者的顯示名稱 - 譬如,您可以新增一個表達式,以根據Active Directory中的員工職位、名字和姓氏,建立自訂屬性。
您還可以指定任何要在雲端對映至 uid 的Active Directory屬性。 但是,您必須確保內部部署屬性遵循有效的電子郵件格式。
您也可以使用替代電子郵件地址,例如,如果您想要使用 userPrincipalName 來登入,但使用者的電子郵件地址已用於管理其行事歷。 在此情況下,請將另一個電子郵件地址對映至電子郵件;鍵入工作屬性。 這是用於驗證的電子郵件;它不是用來管理您的行事歷。 您從 AD 對應的電子郵件地址必須來自組織內已驗證的網域,而且必須是唯一的且未指定給其他使用者。 |
Active Directory屬性名稱 | Webex雲端屬性名稱 | 筆記 |
---|---|---|
— |
buildingName |
— |
c |
c |
此屬性會指定使用者的國家/地區縮寫。 |
departmentNumber |
departmentNumber |
|
displayName |
displayName |
|
userAccountControl |
ds-pwp-account-disabled |
此屬性用於使用者同步。 請確保使用者帳戶控制項屬性已對應ds-pwp-帳戶已停用或將無法正確同步使用者。 |
employeeNumber |
employeeNumber |
— |
facsimileTelephoneNumber |
facsimileTelephoneNumber |
— |
— |
jabberID |
此云端屬性與 Jabber 使用的IM位址(XMPP類型)相關。 此值與 sipAddresses 不同。 |
l |
l |
此屬性會指定使用者所在的城市。 |
— |
locale |
— |
manager |
manager |
|
行動裝置 |
行動裝置 |
此屬性用行動電話號碼現在從聯絡人名片呼叫使用者。 |
o |
o |
此屬性會指定公司或組織的名稱,並出現在聯絡人名片。 |
ou |
ou |
此屬性會指定組織單位的名稱。 |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
此屬性會指定使用者的辦公室位置。 |
postalCode |
postalCode |
此屬性會指定實際郵件傳遞的使用者的郵遞區號。 |
preferredLanguage |
preferredLanguage |
此屬性會設定使用者的偏好語言,並且支援下列格式: xx_yy 或 xx-yy。 以下是幾個範例: en_美國,en_ GB,fr-CA。 如果您使用不支援的語言或無效的格式,則使用者的偏好語言將變更為給組織設定的語言。 |
MSRTCSIP 主要使用者地址 電話 |
SipAddresses;類型=企業 |
此屬性用於將內部部署會議室資訊從Active Directory同步到Cisco Webex Cloud。 |
sn |
sn |
|
st |
st |
此屬性會指定使用者的州或省。 |
streetAddress |
street |
此屬性會指定使用者用於實際郵件傳遞的街道地址。 |
telephoneNumber |
telephoneNumber |
此屬性指定用於的使用者的主要(工作)電話號碼:從聯絡人名片呼叫使用者。 |
— |
timezone |
此云端屬性會指定使用者的時區。 |
標題 |
標題 |
|
type |
enterprise |
— |
*user主體名稱 |
uid |
強制屬性對映。 對於每個使用者帳戶, Active Directory值都對應云端中的一個唯一 uid。 在某些情況下,userPrincipalName 用於登入,但使用者的電子郵件地址用於管理其行事歷。 您必須確保行事歷管理的電子郵件地址地址對應Webex中的主電子郵件地址欄位。 將 userPrincipalName 新增為替代電子郵件地址。 然後,使用者可以使用這些電子郵件地址中的任何一個來登入,只要正確SAML屬性對映已就位。 請參閱下列是屬性對映範例了解如何對映替代電子郵件地址。 |
*user主體名稱 <custom attribute=""> |
電子郵件;鍵入工作 |
此對映是可選的,如果您想要使用替代電子郵件地址,請使用它。 這是用於驗證的電子郵件;它不是用來管理您的行事歷。 您從 AD 對應的電子郵件地址必須來自組織內已驗證的網域,而且必須是唯一的且未指定給其他使用者。 |
<New attribute="" for="" Azure="" user="" objectId=""> |
externalId |
建立新的Active Directory屬性來容納 Azure 使用者 objectId,使其不會與現有的 Active Directory 屬性衝突。 此屬性然後會對應 externalId 屬性,確保當Webex使用者在Microsoft 365 中建立群組 它們會自動在Webex中建立團隊。 |
替代電子郵件地址對映
自訂屬性的表達式
操作員 | 說明和範例 |
---|---|
% | 移除從字串開頭到字元或字串參數所在位置的所有字元(若符合)。
|
- | 從指定字串的結尾移除輸入字串的背面。
|
+ | 串聯輸入字串或表達式。
|
| | 針對空字串評估分隔的表達式,並選取第一個非空結果。
|
將Active Directory屬性中的目錄頭像同步至雲端
您可以將使用者的目錄頭像同步至雲端,以便在使用者登入Webex應用程式時會顯示每個頭像。 使用此流程可從Active Directory屬性同步原始頭像資料。
1 | 從 Directory Connector 中,轉至設定,按一下頭像,然後檢查啟用。 |
2 | 適用於獲取頭像的來源,選擇AD 屬性,然後選擇頭像屬性包含您要同步至雲端的原始頭像資料的資料夾。 |
3 | 若要驗證是否正確存取頭像,請輸入使用者的電子郵件地址,然後按一下取得使用者的頭像。 頭像會顯示在右側。 |
4 | 在您驗證是否正確顯示頭像後,按一下套用以儲存您的變更。 |
同步的影像將成為Webex應用程式中使用者的預設頭像。 從 Directory Connector 啟用此功能後,不允許使用者設定自己的頭像。
使用者頭像會同步到Webex應用程式和Webex 網站上任何相符的帳戶。
下一步
進行演練同步;如果沒有問題,則執行完全同步以使您的Active Directory使用者帳戶和頭像同步到雲端並顯示在 Control Hub 中。
將資源伺服器的目錄頭像同步至雲端
您可以將使用者的目錄頭像同步至雲端,以便在使用者登入Webex應用程式時會顯示每個頭像。 使用此流程可從資源伺服器同步頭像。
準備工作
此程序中的 URI 模式和變數值是範例。 必須使用您的目錄頭像所在的實際 URL。
頭像URI型式和頭像所在的伺服器必須可從 Directory Connector 應用程式連線。 連接器需要對映像進行 http 或 https 存取,但映像不需要可以在網際網路上公開存取。
頭像資料同步與Active Directory使用者設定檔分開。 如果您執行 Proxy,則必須確保NTLM 驗證或基本驗證可以存取頭像資料。
1 | 從 Directory Connector 中,轉至設定,按一下頭像,然後檢查啟用。 |
2 | 適用於獲取頭像自,選擇資源伺服器然後輸入頭像URI型式——譬如, 讓我們來看看頭像URI型式的每個部分以及它們的含義:
|
3 | (可選)如果您的資源伺服器需要認證,請勾選設定頭像的使用者認證,然後選擇使用目前的服務登入使用者或使用此使用者並輸入密碼。 |
4 | 輸入變數值 — 例如: |
5 | 按一下測試以確保頭像URI型式正常運作。 在此範例中,如果一個 AD 項目的 mail 值為 |
6 | URI資訊經過驗證且看起來正確後,請按一下套用。 如需規則運算式的相關詳細資訊,請參閱 Microsoft Regular Expression Language Quick Reference。 |
同步的影像將成為Webex應用程式中使用者的預設頭像。 從 Directory Connector 啟用此功能後,不允許使用者設定自己的頭像。
使用者頭像會同步到Webex應用程式和Webex 網站上任何相符的帳戶。
下一步
進行演練同步;如果沒有問題,則執行完全同步以使您的Active Directory使用者帳戶和頭像同步到雲端並顯示在 Control Hub 中。
將內部部署會議室資訊同步至Webex 雲端
使用此流程可將內部部署會議室資訊從Active Directory同步到Webex雲端。 同步會議室資訊後,具有已設定、配對SIP位址的內部部署會議室裝置在雲端註冊的Webex裝置(Room、Desk 和 Board)上顯示為可搜尋項目。
1 | 從 Directory Connector 中,轉至同步,按一下更多 | ||
2 | 檢查將會議室資訊同步至雲端以在同步期間將會議室資料與使用者資料區隔。 當停用此設定時,會議室資料的處理方式與使用者同步資料的處理方式相同。 | ||
3 | 轉至屬性對映,然後變更雲端屬性的屬性對映sipAddresses;type=企業。
| ||
4 | 在 Exchange 中建立會議室資源信箱。 這新增了msExchResourceMetaData;資源類型:Room連接器隨後用來識別聊天室的屬性。 | ||
5 | 在Active Directory使用者和電腦中,導覽至會議室並編輯其屬性。 新增以 sip 為字首的完整SIP URI : | ||
6 | 在連接器中執行演練同步,然後執行完整執行同步。 列出的新會議室物件新增了物件和相符的會議室物件出現在物件相符在演練報告中。 任何標記為刪除的會議室物件都在已刪除聊天室。 演練結果顯示任何符合的會議室資源。 此設定會將Active Directory會議室資料(包括會議室屬性)與使用者資料區隔。 同步完成後,連接器儀表板上的雲端統計資料會顯示已同步至雲端的會議室資料。 |
下一步
現在您已完成這些步驟,當您在Webex雲端註冊的裝置上執行搜尋時,您將看到已設定有SIP位址的同步會議室項目。 當您從Webex裝置撥打電話在該項目上時,通話會被撥打至已為會議室設定的SIP位址。
從 Control Hub 中,您可以自動從您的目錄匯入會議室並建立工作區。
端點無法循環回撥對Webex應用程式。 對於測試撥號裝置,這些裝置必須在內部部署或Webex應用程式以外的位置註冊為SIP URI 。 如果您搜尋的Active Directory協作會議室系統已向Webex註冊,並且Webex Room 裝置、桌面裝置或Webex Board for Calendar Service 上的電子郵件地址相同,則搜尋結果將不會顯示重複的項目。 可直接在Webex應用程式中撥打 Room、Desk 或 Board 裝置,而不會進行SIP 通話。 |
傳送關於目錄同步結果的電子郵件報告
依照預設,組織聯絡人或管理員必定會收到電子郵件通知。 透過此設定,您可以自訂誰應該接收到摘要目錄同步報告的電子郵件通知。
1 | 從 Directory Connector 中,按一下設定,然後選擇通知。 |
2 | 從 Directory Connector 中,按一下設定,然後在電子郵件接收者,開啟啟用報告同步。 |
3 | 檢查啟用通知如果您要覆寫預設通知行為並新增一個或多個電子郵件收件人。 |
4 | 按一下新增然後輸入電子郵件地址。 如果您輸入的電子郵件地址使用無效的格式,會彈出一則訊息,告知您先更正問題,然後才能儲存並套用變更。 |
5 | 按一下新增電子郵件然後輸入電子郵件地址。 如果您輸入的電子郵件地址使用無效的格式,會彈出一則訊息,告知您先更正問題,然後才能儲存並套用變更。 |
6 | 如果您需要編輯您輸入的任何電子郵件地址,請按兩下左側欄中的電子郵件項目,然後進行您需要的變更。 |
7 | 新增所有有效的電子郵件地址後,按一下套用。 |
8 | 新增所有有效的電子郵件地址後,按一下儲存。 |
下一步
如果您決定要移除電子郵件地址,則可以按一下電子郵件以突出顯示該項目,然後按一下移除。
如果您決定要移除電子郵件地址,則可以按一下移除特定電子郵件地址項目旁。
將使用者從Active Directory佈建到 Control Hub
請遵循以下步驟,在 Control Hub 中佈建Active Directory使用者並建立對應的使用者帳戶。 在每個網域安裝 Directory Connector 之後,可以從多網域Active Directory部署(使用單個林或多個林)中的佈建使用者佈建。 在從不同網域加入使用者的過程期間,您必須決定是保留還是刪除Webex雲端中可能已存在的使用者物件 — 譬如,試用服務中的測試帳戶。 目標是讓 Active Directory 與Webex雲端完全相符。
1 |
執行演練,以比較內部部署Active Directory中的物件與Webex雲端中的物件。 演練可讓您在執行完全或增量同步並確定對雲端的變更之前,先查看將要新增、修改或刪除哪些物件。 |
2 |
執行完整同步時,連接器服務會將所有已過濾的物件從 Active Directory (AD) 傳送至雲端。 連接器服務隨後會使用您的 AD 項目來更新身分識別存放區。 若建立了自動指定授權範本,則可以將其指定給新同步的使用者。 |
3 | 將Webex服務指定給 Control Hub 中的目錄同步使用者 當您完成從 Directory Connector 到 Control Hub 的完整使用者同步後,您可以使用多種方法指派Webex服務授權。 我們建議您"安裝;設定"自動指定授權範本對從Active Directory同步的新Webex應用程式使用者使用之前。 您還可以在此初始步驟之後進行個別變更。 |
對Active Directory使用者執行演練同步
執行演練,以比較內部部署Active Directory中的物件與Webex雲端中的物件。 演練可讓您在執行完全或增量同步並確定對雲端的變更之前,先查看將要新增、修改或刪除哪些物件。
在從不同網域加入使用者的過程期間,您必須決定是保留還是刪除Webex雲端中可能已存在的使用者物件 — 譬如,試用服務中的測試帳戶。 使用 Directory Connector,目標是讓您的 Active Directory 與Webex雲端完全相符。
如果您在單個林或多個林中有多個網域,則必須在為每個Active Directory網域安裝的每個Cisco目錄連接器實例上執行此步驟。
準備工作
在使用 Directory Connector 之前,Control Hub 中可能已經有一些Webex應用程式使用者。 在雲端中的使用者中,有些使用者可能符合內部部署Active Directory物件,並已指派服務的授權。 但是有些使用者可能是您在執行同步時要刪除的測試使用者。 您必須在Active Directory和 Control Hub 之間建立完全相符。
1 | 選擇一個:
當演練完成後,您將看到以下結果之一: 摘要包含有關物件相符的資訊:
演練透過將使用者與網域使用者進行比較來識別使用者。 應用程式可以識別使用者是否屬於目前的網域。 在下一步中,您必須決定是刪除物件還是保留它們。 不相符的物件被識別為已存在於Webex雲端中,但不存在於內部部署Active Directory中。 | ||
2 | 複查演練結果,然後根據您是使用單個網域還是多個網域選擇選項:
| ||
3 | 在確認演練提示,請按一下是以重新進行演練同步,並檢視儀表板以查看結果。 在演練中成功同步的任何帳戶都會顯示在物件相符。 如果雲端中的使用者在Active Directory中沒有使用相同電子郵件的對應使用者,則該項目會列於已刪除使用者。 若要避免此刪除旗標,則可以在 Active Directory 中新增具有相同電子郵件地址的使用者。 若要檢視所同步項目的詳細資料,請按一下特定項目的相應標籤或者按一下相符的物件。 若要儲存摘要資訊,請按一下將結果儲存至檔案。 | ||
4 | 如果結果符合預期,請轉至立即啟用執行手動同步,並在此時設定為手動模式。 ,然後按一下
|
下一步
對於您保留的任何不相符的使用者物件,您必須將其新增至Active Directory ,以使內部部署與雲端完全相符。
選擇同步類型:
將Active Directory使用者完全同步到雲端適用於第一次將新使用者同步到雲端時。 您從 ,然後同步目前網域中的使用者。
設定連接器排程和執行增量同步在執行完全同步之後,以及如果您想要在初始同步後選取變更。 建議使用此類型的同步來獲取對Active Directory使用者來源所做的小的變更。
依預設,增量同步設定為每隔 30 分鐘(在 3.4 版及更低版本上)或每隔 4 小時(在 3.5 版及更高版本上)進行一次,但您可以變更此值。 除非您最初執行完全同步,否則不會發生增量同步。
如果您有多個網域,請在您已安裝的任何其他 Directory Connector 上重複這些步驟。
要牢記的事項
在啟用完全同步前或變更同步參數時,請執行演練。 如果演練是由設定變更起始,您可以在演練完成後儲存設定。 若您已手動新增使用者,則執行Active Directory同步可能會導致先前新增的使用者被移除。 您可以檢查 Directory Connector 演練報告,以在完全同步至雲端之前驗證是否所有預期的使用者都在場。
如果相符的使用者被標記為刪除,並且您不知道如何繼續,請參閱疑難排解資訊以及如何联絡 中的技術支援Directory Connector 的疑難排解和修正。
已刪除的使用者會在雲端識別服務中保留 7 天,然後再被永久刪除。
將Active Directory使用者完全同步到雲端
執行完整同步時,連接器服務會將所有已過濾的物件從 Active Directory (AD) 傳送至雲端。 連接器服務隨後會使用您的 AD 項目來更新身分識別存放區。 若建立了自動指定授權範本,則可以將其指定給新同步的使用者。
如果您有多個網域,則必須在為每個Active Directory網域安裝的每個 Directory Connector 實例上執行此步驟。
Directory Connector 會同步使用者帳戶狀態 — 在Active Directory中,任何標記為已停用的使用者在雲端中也會顯示為非活躍狀態。
準備工作
如果您希望在完全同步後且使用者第一次登入之前, Webex應用程式使用者帳戶處於使用中狀態,您必須執行以下步驟來略過電子郵件驗證:
將「單一登入」與您的Webex組織整合。 請參閱
單一登入與Cisco Webex Services 和您組織的身分識別提供者
獲取更多資訊。使用 Control Hub 來驗證並選擇性地宣告電子郵件地址中包含的網域。 請參閱
新增、驗證和宣告網域
。阻擋自動電子郵件邀請,這樣新使用者將不會收到加入Webex應用程式的自動電子郵件邀請。 (您可以進行自己的電子郵件活動。)
尚未登入的已啟用使用者會出現已驗證Control Hub 中的狀態。 使用者登入之後,他們顯示為「活動中」狀態。 如需使用者狀態的更多相關資訊,請參閱 Cisco Webex Control Hub 中的使用者狀態和動作。
啟用同步時,Directory Connector 會要求您先執行演練。 我們建議您在完全同步之前進行演練以捕獲任何潛在錯誤。
您必須"安裝;設定"自動指定授權範本對從Active Directory同步的新Webex應用程式使用者使用之前。
如果您不使用自動指定授權範本,則新同步的使用者會自動獲得免費授權。 他們將能夠使用相同的免費功能與那些擁有免費帳戶的人一樣。
1 | 選擇一個:
| ||
2 | 從 Directory Connector 中,轉至同步,按一下更多 | ||
3 | 確認同步的開始。 對於您在Active Directory中對使用者所做的任何變更(例如顯示名稱),Control Hub 會在您重新整理使用者檢視時立即反映這些變更,但是Webex應用程式最多會在您執行同步後的 72 小時內反映這些變更。
| ||
4 | 按一下重新整理若要更新同步的狀態。 (同步的項目出現在雲端統計資料。) | ||
5 | 有關錯誤的資訊,請選取啟動活動檢視程式來自動作工具列以檢視錯誤記錄。 | ||
6 |
完全同步完成後,目錄同步狀態的更新為已停用至可操作位於設定頁面(在 Control Hub 中)。
當內部部署的所有資料相符時,Directory Connector 會從手動模式變更為自動同步模式。
除非您整合單一登入,驗證網域,並選擇性地為您同步的電子郵件帳戶宣告網域,和禁用自動傳送的電子郵件, Webex應用程式使用者帳戶保持在「未驗證」狀態,直到使用者第一次登入Webex應用程式以確認其帳戶。 請參閱「開始之前」區段,以了解如何作為活動使用者同步帳戶。
如果您有多個網域,請在您已安裝的任何其他 Directory Connector 上執行此步驟。 同步後,您新增的所有網域上的使用者會在 Control Hub 中列出。
如果您將「單一登入」與Webex整合,並且隱藏的電子郵件通知,電子郵件邀請不會傳送給新同步的使用者。
在啟用 Directory Connector 後,您無法在 Control Hub 中手動新增使用者。 啟用後,會從Cisco Directory Connector 執行使用者管理,而Active Directory是單一事實來源。
您同步的任何群組會出現在 Control Hub 中,您可以指定授權範本,以便為該群組中的使用者指定授權。
下一步
從Active Directory移除使用者時,該使用者在下次同步後會被軟刪除。 使用者成為
Inactive
但云端身分設定檔會保留 7 天(以允許意外刪除中的複原)。當您檢查 帳戶已停用在Active Directory中,使用者變成
Inactive
下次同步後。 雲端身分設定檔會在 7 天后被刪除,以防您想要再次啟用該使用者。請注意增量同步的這些例外情況(請改用上述完整同步步驟):
如果已更新頭像但其他屬性未變更,則增量同步不會將使用者的頭像更新為雲端。
屬性對映、基本DN、篩選器和頭像設定的組態變更需要完全同步。
將Webex服務指定給 Control Hub 中的目錄同步使用者
完成從Cisco目錄連接器到 Control Hub 的完整使用者同步後,您可以使用 Control Hub 一次將相同的Webex服務授權指定給所有使用者,或者向新使用者新增其他授權(如果您已設定授權範本。 在此初始步驟之後,您可以對個別使用者帳戶進行變更。
完成從 Directory Connector 到 Control Hub 的完整使用者同步後,您可以使用 Control Hub 中的方法透過批量CSV範本將Webex服務授權全局指定給所有使用者、個別使用者,或者在以下情況下自動指定給新使用者:已設定自動指定授權範本。 在此初始步驟之後,您可以對個別使用者帳戶進行變更。
預設情況下,當您將授權指定給Webex應用程式使用者時,該使用者會收到確認指定的電子郵件。 電子郵件由 Control Hub 中的通知服務傳送。 如果您將「單一登入 (SSO)」與您的Webex組織整合,則您還可以隱藏這些自動電子郵件通知如果您希望直接聯絡您的使用者。
準備工作
您必須"安裝;設定"自動指定授權範本對從Active Directory同步的新Webex應用程式使用者使用之前。
對Active Directory使用者執行演練同步。
在確認演練的結果後,請對您的Active Directory使用者執行完整同步。
完全同步時,不會在雲端建立使用者,不會新增服務指派,也不會傳送啟用電子郵件。 如果電子郵件沒有被隱藏,則當您透過 Control Hub 中的標準使用者管理方法(例如CSV匯入、手動使用者更新或成功完成自動指定)將服務指派給使用者時,新使用者會收到啟用電子郵件。 |
1 | 從 的客戶視圖中https://admin.webex.com,轉至 ,按一下管理使用者,選擇修改所有同步的使用者,然後按一下下一個。 |
2 | 選取選項:
|
下一步
如果未隱藏電子郵件,則會向每個使用者傳送電子郵件,邀請其加入並下載Webex。
如果您為所有使用者選取了相同的Webex服務,則之後您可以變更個別或批量指定的授權。
執行增量同步
增量同步會查詢 Active Directory 並尋找上一次同步以來進行的變更。 此步驟隨後會組合這些變更並將變更傳送至連接器服務。 這些變更包括修改使用者屬性以及新增或刪除使用者的時間。
此同步不會給伺服器帶來太多的負載,且不需要完全同步的時間。 執行初始完全同步後,我們建議後續同步使用增量選項。
準備工作
您必須"安裝;設定"自動指定授權範本對從Active Directory同步的新Webex應用程式使用者使用之前。
請注意這些增量同步不支援的例外情況(遵循將Active Directory使用者完全同步到雲端而是):
如果已更新頭像但其他屬性未變更,則增量同步不會將使用者的頭像更新為雲端。
對於屬性對映、基本DN、篩選器和頭像設定的新設定變更,增量同步將不起作用,因此需要完全同步。
1 | 從 Directory Connector 中,按一下儀表板。
| ||
2 | 從動作,按一下同步模式 > 啟用同步如果尚未啟用。 依預設,增量同步設定為每隔 30 分鐘(在 3.4 版及更低版本上)或每隔 4 小時(在 3.5 版及更高版本上)進行一次,但您可以變更此值。 除非您最初執行完全同步,否則不會發生增量同步。 當新的遞增時間間隔到期時,程式會根據最後一個時間戳記檢查變更。 | ||
3 | 從動作中,按一下立即同步 > 增量。 對於您在Active Directory中對使用者所做的任何變更(例如顯示名稱),Control Hub 會在您重新整理使用者檢視時立即反映這些變更,但是Webex應用程式會在您執行同步後的 72 小時內反映這些變更。
| ||
4 | 有關錯誤的資訊,請按一下啟動活動檢視程式來自動作工具列以檢視錯誤記錄。 |
下一步
如果您有多個網域,請在您已安裝的其他 Directory Connector 實例上執行此步驟。
復原意外刪除的使用者
Directory Connector 會進行檢查與平衡,以防止意外刪除使用者。 不幸的是,發生了事故;您可能在 Active Directory 中錯誤地設定了 LDAP 篩選器,在將使用者同步到雲端時該篩選器刪除了一些使用者。 軟刪除功能可以協助您從這些意外中復原,並在 Control Hub 中重新建立使用者帳戶。
預設情況下,會為所有組織啟用此功能。 當在雲端刪除使用者時,例如,由於在從 Directory Connector 同步後發生物件不相符問題,使用者可以復原。 如果您看到不相符物件通知或註意到使用者已被刪除,則如果您快速採取行動,或許能夠將其複原。
當在Active Directory中刪除相應的帳戶時,使用者在 Control Hub 中會被標示為非使用中。 後台雲端服務將使用者最多保留 7 天。 在此期間,您仍然可以使用Cisco Directory Connector 來復原使用者。 我們建議您盡快恢復這些使用者。 在Active Directory中停用的使用者在 Control Hub 中也會標記為非使用中,但該使用者帳戶不會在 7 天后被刪除。 |
1 | |
2 | 轉至使用者並確認特定使用者帳戶是處於非使用中狀態還是不公開。 如需相關資訊,請參閱Control Hub 中的使用者狀態和動作。 |
3 | 如果使用者在 Control Hub 中已刪除,或者您注意到使用者處於非活躍狀態,請轉至Active Directory,新增缺少的使用者帳戶,然後在 Directory Connector 中執行演練同步。 Directory Connector 的目標是在Active Directory中的使用者資訊之間建立完全相符。 |
4 | 執行完整同步,以將暫時刪除的使用者帳戶重新同步到 Control Hub。 使用者會復原並轉至原始狀態,包括其帳戶狀態和服務指派。 |
下一步
回到 Control Hub,轉至
,並確認先前刪除的使用者帳戶是否出現在使用者清單。軟刪除後永久刪除使用者
執行演練後,您可以選擇永久刪除在下次同步時軟刪除的使用者。
1 | 演練完成後,選取軟刪除的物件。 |
2 | 選取您要刪除的使用者旁的勾選方塊。 |
3 | 選取完成。 |
下一步
在下次同步時,您檢查過的使用者將被永久刪除。
變更Webex應用程式電子郵件地址
如果您想要變更使用者電子郵件地址且您的組織使用 Directory Connector,則您可以在Active Directory中變更這些電子郵件地址。 此流程涵蓋如何為單個網域變更Webex應用程式電子郵件地址,以及變更網域的流程。
如果您只想為一個使用者變更電子郵件或某些值,請勿從Active Directory中刪除該使用者,然後使用相同的電子郵件重新建立一個新使用者。 雲端會將此動作解釋為新的使用者帳戶,並且云端中的使用者空間和其他資料將會丟失。 |
Directory Connector 不限制電子郵件網域變更。 但是,當使用者與雲端重新同步時,使用者狀態取決於是否在您的組織中驗證了新網域。 如果網域在您的組織中未經驗證,則使用者的狀態在完全同步後會變更為「等待中」。 如需相關資訊,請參閱管理您的網域。
如果您的組織不使用 Directory Connector,您可以變更Webex應用程式電子郵件地址透過「帳戶設定」頁。 請參閱變更您的帳戶的電子郵件地址了解使用者可遵循的步驟來變更其電子郵件。
變更 Active Directory 網域
可以使用此程序來建立新網域和電子郵件地址。 它們與雲端中的身分服務同步。
1 | 設定新的 Active Directory (AD) 網域。 | ||
2 | 在所有連接器上停用同步。 | ||
3 | 解除安裝所有連接器。 | ||
4 |
在案例提交中,請確保請求移除貴組織中的網域設定及所有同步屬性。
| ||
5 | 解決問題後: 在執行實際同步之前,請使用 Directory Connector 執行測試執行。 |
網域宣告
如果您為組織宣告電子郵件網域,以便在付費客戶組織中而不是在免費消費者組織中建立任何透過側邊欄邀請的帳戶,則會發生網域宣告。 您只能透過支援個案進行網域宣告(請參閱下面的鏈結以獲取更多資訊)。
如果 Directory Connector 處於使用中且已宣告網域,則不會在客戶組織或免費消費者組織中建立透過側邊欄邀請的帳戶。 唯有 Directory Connector 可以從Active Directory為組織佈建帳戶。 Active Directory 上儲存的資訊是原始來源。 如果您嘗試透過側邊欄邀請帳戶,則受邀使用者會收到錯誤。 將受邀使用者新增至Webex應用程式空間的唯一方法是先使用 Directory Connector 將帳戶佈建到 Control Hub 中。
轉換目錄同步組織中的免費Webex應用程式使用者
您只能在Webex應用程式目錄中使用唯一電子郵件地址。 如果您的使用者已註冊免費版Webex應用程式,則其帳戶存在於免費消費者組織中。 若要使用 Directory Connector 來管理此組織中的使用者,請在開啟 Directory Connector 之前,先將使用者移轉(轉換)至客戶組織。 然後,您使用精確的電子郵件地址將使用者新增至Active Directory ,然後同步至雲端。
如果在啟動前未轉換帳戶,請關閉 Directory Connector 以便轉換帳戶。
如果您在啟用目錄同步時嘗試轉換使用者,則會收到錯誤訊息<email address="">無法轉換
出現。 若要避免該問題發生,您可以使用以下步驟作為因應措施。
一些已宣告的使用者可能會出現 如果您不新增這些使用者,則在您同步至雲端時,這些使用者將全部被刪除。 |
1 | 從 Directory Connector 停用目錄同步。 | ||
2 | 遵循在 Control Hub 中轉換未授權使用者將使用者從免費消費者組織轉換為企業組織的過程。 此步驟可將使用者新增至組織,且帳戶會顯示在 Control Hub 中。 Directory Connector 使Active Directory成為使用者帳戶的單一事實來源,目標是在Active Directory和 Control Hub 之間實現完全相符。 確保在重新啟用同步功能之前,Active Directory 中有使用者與任何最近轉換的使用者相符。 可以使用「演練」同步來確保沒有剩餘的不相符使用者。 | ||
3 | 在 Directory Connector 上,執行演練同步。 完成演練後,請勾選「新增物件」標籤。 確認未刪除您所轉換的任何使用者。
| ||
4 | 確定下一次同步將不會移除任何帳戶後,請從 Directory Connector 重新啟用目錄同步。 |
如果您未驗證網域,則系統不會自動啟動轉換後的使用者帳戶。 例如,如果您開啟自動指定授權範本,然後在未進行網域驗證的情況下開啟 Directory Connector,則已轉換的使用者在雲端后端中處於非活躍狀態,直到他們確認其電子郵件地址為止。
透過側邊Webex應用程式使用者帳戶
當您邀請其他使用者加入Webex應用程式中的空間時,如果受邀的使用者沒有Webex應用程式帳戶,則會為他們建立一個帳戶(「側邊加入」)。 依預設,以此方式建立的帳戶會新增至免費消費者組織。
如果您想要使用 Directory Connector 來管理透過側邊欄邀請的帳戶,您必須轉換帳戶。
在目錄同步後變更Webex應用程式使用者名稱格式
預設情況下,Directory Connector 將Active Directory中的displayName 屬性對應到雲端中的displayName 屬性。
執行目錄同步後,您可能會發現使用者名稱會以格式 <lastName, firstName=""> 顯示。
發生以下情況時可能會出現此使用者名稱: displayName
Active Directory中的屬性即已如此設定。 當屬性對映至 displayName
在雲端中,名稱顯示的格式為<lastName, firstName="">在 Control Hub 中。
若要變更格式,請在 Directory Connector 屬性對映螢幕中執行下列作業: 將Active Directory屬性對應 givenName sn
(或 sn givenName
) 至 displayName
在Cisco Cloud屬性名稱中。
或者,將屬性對應 sn givenName
至 displayName
:
如果您想要將您自己的自訂屬性表達式對映到,則還可以使用自訂屬性選項 displayName
。
例如,輸入 givenName + "" + sn
(名字、空格、姓氏) 作為表達式。 這會將Active Directory中的兩個屬性對應 displayName
雲端中。
允許使用者在Webex Meetings中變更顯示名稱
您可以取消對 displayName
屬性從同步到雲端(如果您希望允許使用者編輯其偏好的顯示名稱)。 使用者可以輸入在Webex會議期間顯示的顯示名稱,而非其姓名。 管理員也可以在 Control Hub 中手動變更使用者的顯示名稱。
1 | 從 Directory Connector 中,按一下設定,然後選擇使用者屬性對映。 |
2 | 選取顯示名稱下Cisco Cloud屬性名稱。 |
3 | 選取不同步此屬性。 |
下一步
使用者現在可以從Webex 網站編輯其顯示名稱。
升級至最新軟體版本
若要保持您的部署合規並獲得最新的功能、錯誤修正和安全性增強,您必須總是升級到最新版本的 Directory Connector。 如果不升級到可用的最新版本,則可能會遇到問題,例如 Directory Connector 不再正確同步或者位於不支援強制TLS 1.2 需求。
有新版本時,Directory Connector 會自動通知您。 始終升級至最近版本以避免問題。 您還會在 Windows 工作列中看到通知。
雖然您可以手動安裝連接器軟體更新更新,我們建議您遵循設定自動升級讓該應用程式自動管理您的升級。 |
1 | 按一下 Windows 工作列中的通知,或按右鍵Windows 工作列中的 Directory Connector 圖示以開始升級過程。 |
2 | 遵循指示來完成升級。 |
3 | 重新啟動連接器,並使用您的管理員認證來登入。 |
4 | 驗證下列軟體的版本號碼: 。 |
下一步
對於 Directory Connector 的全新安裝,您可以下載 zip 檔案然後遵循本指南中的安裝步驟。
設定 Directory Connector 的一般設定
使用此流程可配置一般設定,例如執行 Directory Connector 的伺服器名稱、記錄層級、自動升級,以及網域控制器的偏好設定。 此連接器的名稱以及正在執行的任何其他連接器的名稱,會顯示在儀表板上的連接器區段中。
1 | 從 Directory Connector 中,移至設定,然後按一下一般。 | ||
2 | 在連接器名稱欄位中,輸入連接器名稱。 此欄位只顯示目前正在執行連接器的電腦名稱。 | ||
3 | 從下拉方塊中選擇記錄層級。 依預設,記錄層級會設為參考。 可用的記錄層級為:
| ||
4 | 選擇偏好的網域控制器,以設定用於同步身分的網域控制器次序。 從上到下存取網域控制器。 如果頂端控制器不可用,請選擇清單中的第二個控制器。 如果未列出任何控制器,則可以存取主要控制器。 | ||
5 | 檢查自動升級到新的Cisco目錄連接器版本您想要自動升級。 始終將您的Cisco Directory Connector 軟體保持為最新版本非常重要。 我們建議您勾選此設定以允許軟體的自動升級,以在可用時以無訊息方式安裝。 | ||
6 | 檢查透過SSL的LDAP使用安全LDAP (LDAPS) 作為連線通訊協定。
LDAP (輕量型目錄應用程式通訊協定)和安全LDAP (LDAPS) 是基礎架構內應用程式與網域控制器之間使用的連線通訊協定。 LDAPS 通訊經過加密且安全。 |
設定連接器原則
您可設定同步期間可以執行的刪除作業數上限。 執行同步並不會將物件從內部部署 Active Directory 中刪除。 所有物件都僅從雲端中刪除。
例如,您設定 1
作為刪除臨界值觸發值。 執行完整或增量同步時,如果要刪除的使用者數超過此設定,則 Directory Connector 會顯示警告。 如果按一下 置換臨界值,則可以順利啟動完整或增量同步,但下次執行策略時您將看到此覆蓋通知。
1 | 從 Directory Connector 中,按一下設定,然後選擇策略。 | ||
2 | 如果要新增閾值觸發程式,請勾選啟用刪除閾值觸發程式方塊。 如果刪除作業數超出此閾值,則選擇此選項會觸發警示。 如果刪除帳戶超出您所定義的值,則同步會失敗。
| ||
3 | 請輸入所需的刪除作業數上限。 預設值為 20。
| ||
4 | 按一下套用。 |
設定連接器排程
在Active Directory中設定同步計時。 容錯移轉用於高可用性 (HA)。 如果一個連接器已關閉,我們會在預先定義的時間間隔後切換至其他待命連接器。
1 | 從 Directory Connector 中,按一下設定,然後選擇排定。 |
2 | 指定增量同步時間間隔(分鐘)。 預設情況下,增量同步設定為每 30 分鐘進行一次。 只有在最初執行完整同步後,才會執行完整增量同步。 |
3 | 如果要變更傳送報告的頻率,請變更依時間間隔傳送報告值。 |
4 | 勾選啟用完整同步排程,以指定您想要執行完整同步的日期和時間。 |
5 | 指定容錯移轉時間間隔(分鐘)。 |
6 | 按一下套用。 |
多個網域情境
多個網域是基於網域優先順序。 如果物件在不同網域中具有相同的索引鍵值,則在同步後,優先順序較高的網域中的資料會覆寫優先順序較低的網域中的資料。
具有相同索引鍵值的物件會鏈結至資料庫中的一個記錄。
「使用者」的索引鍵值為電子郵件地址;「群組」的索引鍵值為群組名稱。
多個網域的範例使用案例
此範例假定組織具有兩個網域 — example1.com 和 example2.com,依優先順序排列。
新增 user1(電子郵件: user@example1.com)至 example1.com 的 Active Directory。
新增 group1(群組名稱: Test)至 example1.com 的 Active Directory。
新增 user2(電子郵件: user@example2.com)至 example2.com 的 Active Directory。
新增 group2(群組名稱: Test)至 example2.com 的 Active Directory。
- 在 example1.com 上同步
-
作為使用案例,user2 和 group2 會同步到雲端並且出現在 中,而 user1 和 group1 不會。https://admin.webex.com
如果對 example1.com 執行完整或增量同步,則會同步 user1 和 group1。 此外,user2 和 group2 也會由 user1 和 group1 的資訊覆寫。
User1 鏈結至 user2,作為資料庫中的同一個記錄;group1 鏈結 group2,作為資料庫中的同一個記錄。
- 在 example1.com 和 example2.com 上同步
-
作為使用案例,user2 和 group2 會同步到雲端並且出現在 中,而 user1 和 group1 不會。https://admin.webex.com
考量下列步驟:
- 刪除 example1.com 的 Active Directory 上的 user1 和 group1。
- 對 example1.com 執行完整或增量同步。
結果: 中不會變更使用者的資訊。https://admin.webex.com User2 未鏈結至 user1,並且 group2 未鏈結至 group1。
- 對 example2.com 執行增量同步。
結果: 中不會變更使用者的資訊。https://admin.webex.com
- 對 example2.com 執行完整同步。
結果: 中會列出 user2 和 group2 的資訊。https://admin.webex.com
同步新網域並保留現有網域
如果您想要同步新網域 (B) 的同時維護另一個現有網域 (A) 上的同步使用者資料,請確保在受支援的 Windows 伺服器上安裝用於網域 (B) 同步的 Directory Connector。 初始設定後,連接器會系結至新的網域,且網域 (A) 下的使用者資訊不受影響。
每個網域都必須有自己的作用中連接器。 請考慮具有以下設定的兩個網域: 具有連接器 (ca1) 和 (ca2) 的網域 A ,以實現本機高可用性(HA) ;網域 B 與連接器 (cb1)。 (ca1) 和 (ca2) 為網域 A 提供服務。在這種情況下,一個連接器處於作用中,另一個連接器處於待機 (HA) 狀態。 此設計可保持網域同步,因為一個連接器始終處於活動狀態。 因此,cb1 是網域 B 的活躍連接器,因為網域 A 已具有活躍的連接器(ca1 或 ca2)。
設定網域優先順序
使用此程序來變更 Active Directory 網域的優先順序。 網域優先順序可讓您確定主要網域、次要網域等。 如果有兩個不同的網域中的兩個使用者將相同的電子郵件值同步至一個組織,這樣做很有用。
如果您在 Directory Connector 中列出了單一網域,請不要使用此程序。 如果您嘗試,則連接器會向您顯示一則訊息,說明不需要網域優先順序。
準備工作
為了避免錯誤,請安裝或升級至最新版本的Cisco目錄連接器。 必須從 下載最新版本。https://admin.webex.com
1 | 在Cisco目錄連接器中,按一下儀表板。 | ||
2 | 移至動作,然後按一下設定網域優先順序。 | ||
3 | 反白顯示清單中的一個網域,按向上或向下以變更此網域的優先順序,然後按一下儲存以儲存此變更。
|
切換網域
使用此程序可將Cisco目錄連接器重新綁定至其他網域。
準備工作
確定在切換網域之前沒有執行任何同步任務。
為了避免錯誤,請安裝或升級至最新版本的Cisco目錄連接器。 您必須從Control Hub 。
1 | 在Cisco目錄連接器中,按一下儀表板。 |
2 | 移至動作,然後按一下切換網域。 |
3 | 閱讀警告後,如果您瞭解此變更對部署的影響並且您仍確定,請按一下是。 如果您切換網域,您會登出目前的Cisco目錄連接器,連接器中的其他網域都將取消註冊,並且刪除該電腦上的連接器資訊。 |
4 | 重新登入Cisco目錄連接器並重新綁定網域。 |
關閉目錄同步
如果需要從 Directory Connector 停止同步,則可以從 Control Hub 暫時將其關閉。
1 | 從 的客戶視圖中https://admin.webex.com,轉至 ,捲動至目錄同步,然後選擇一個項目:
|
2 | 閱讀提示後,按一下關閉。 同步會停止,直到您從 Directory Connector 重新啟用為止。 |
移除使用者屬性對映
使用 Directory Connector 移除先前對映至雲端並同步至Webex的Active Directory屬性的對映。 移除屬性對映後,屬性值會從雲端移除,並且不再同步至Webex。 然後可以手動編輯這些值。
1 | 從 Directory Connector 中,按一下儀表板。 |
2 | 轉至動作,然後按一下 。 |
3 | 選取要從屬性名稱清單。 |
4 | 低於受影響的使用者範圍,選取以下選項之一:
|
5 | 按一下套用。 |
管理設定檔相片
使用 Directory Connector 來更新使用者設定檔圖片或移除空白使用者設定檔圖片。
1 | 從 Directory Connector 中,按一下儀表板。 |
2 | 轉至動作,然後按一下 。 |
3 | 低於動作,選取以下選項之一:
|
4 | 按一下套用。 |
解除安裝和停用 Directory Connector
解除安裝 Directory Connector 的實例之後,必須將其取消註冊。 在下列任何情況下都完全移除 Directory Connector:
您不想再使用目錄同步。
您不想使用多個 Directory Connector(高可用性)中的一個。
您想要變更網域並安裝其他連接器。
準備工作
您可能已為高可用性(HA) 或多個網域同步處理"安裝;設定"了多個 Directory Connector 實例。 如果您要解除安裝 Directory Connector 的唯一實例或剩餘的最後一個實例,請停用同步。
在解除安裝 Directory Connector 之前,請儲存並關閉任何重要的工作。
1 | 從您的 Windows 機器,移至「控制台」,然後按一下程式和功能。 |
2 | 從程式清單中,按一下目錄連接器,選擇解除安裝,然後遵循提示。 可能需要重新啟動系統才能完成解除安裝作業。 |
3 | 從 的客戶視圖中https://admin.webex.com,轉至 ,捲動至目錄同步,按一下更多 |
4 | 閱讀提示後,按一下停用。 除非高可用性 (HA) 部署中具有其他 Directory Connector,否則使用者帳戶不再同步。 |
執行診斷工具
您可以使用內建的診斷工具來對 Directory Connector 部署進行疑難排解。 此工具會作為 Directory Connector 3.4 及更高版本的一部分安裝。
如果同步無法正常運作,則可能是設定或網路錯誤。 此工具會測試與 LDAP 的連接,以便您可以在聯絡技術支援之前先自行診斷錯誤。 如果工具返回任何錯誤,您可以將詳細日誌結果傳送給支援。
Directory Connector 的疑難排解和修正
您可能會在 Directory Connector 中遇到錯誤訊息或其他問題。 另外,在 Directory Connector 同步使用者資訊之後,連接器可能會向您傳送電子郵件報告,其中列出任何同步問題。 請參閱下列章節,了解可能出現的問題、可能原因,以及建議的解決方案,您可以在聯絡支援之前嘗試嘗試。
安裝
Directory Connector 已停止運作
您已收到通知您 Directory Connector 無法正常運作的警示電子郵件。
Directory Connector 可能未正確安裝。
Directory Connector 可能未在執行中。
網路不可用。
嘗試下列作業:
開啟
。 找到 Directory Connector。 如果不存在,請從 Control Hub 下載最新版本並安裝它。開啟服務並找到「Cisco DirSync 服務」。 確保它的狀態是顯示為「已啟動」。 如果服務已停止,請按一下滑鼠右鍵並選取「啟動」以重新啟動服務。
請確保安裝 Directory Connector 的伺服器可以存取網際網路。
重新安裝錯誤
問題- 如果在解除安裝舊連接器後立即安裝新的連接器,您可能會看到一則錯誤訊息。
可能的原因- 在 Windows Server 2012 中,解除安裝用戶端需要時間從服務清單中刪除服務帳戶。
解決方案— 一段時間後,請重試安裝。
登入
Directory Connector 在SSO登入期間損毀
問題
當您從SSO登入頁面輸入電子郵件地址後,Directory Connector 可能會損毀。
解決方案
嘗試下列作業:
執行下列步驟來設定新的群組原則:
移至網域控制器並開啟群組原則管理 (gpedit.msc)。
在特定的 OU 或網域上按一下滑鼠右鍵,然後選取在此網域中建立 GPO ,以及在這裡鏈結...
為策略命名,然後按一下滑鼠右鍵並選擇編輯。
請執行以下步驟以在機器層級變更策略:
轉至註冊處,選擇新的,然後註冊項目。
,按一下滑鼠右鍵適用於鍵路徑,輸入或導覽至HKEY_本地的_MACHINE\SOFTWARE\ Microsoft\ Internet Explorer\ Main 。
按 Enter 鍵
Disable Script Debugger
為 值,並輸入no
為 價值資料。設定應該符合此螢幕擷取畫面:
請執行以下步驟以在使用者層級變更策略:
轉至註冊處,選擇新的,然後註冊項目。
,按一下滑鼠右鍵適用於鍵路徑,輸入或導覽至HKEY_目前的_USER\SOFTWARE\ Microsoft\ Internet Explorer\Main 。
按 Enter 鍵
Disable Script Debugger
為 值,並輸入no
為 價值資料。設定應該符合此螢幕擷取畫面:
變更在您執行後生效 |
無法註冊Cisco DirSync Service Connector
問題
登入失敗並出現此訊息: 「無法註冊Cisco DirSync Service Connector。」
解決方案
安裝 Directory Connector 的 Windows 系統必須是Active Directory的成員。
未出現登入頁面
問題
您已開啟 Directory Connector,但未出現登入頁面。
解決方案
請嘗試以下步驟:
在Internet Explorer中,請轉至https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL。 請在其他瀏覽器(例如 Chrome 和 Firefox)中嘗試使用該鏈結。
如果Internet Explorer無法存取該鏈結,但其他瀏覽器可以,請檢查Internet Explorer設定,並勾選TLS 1.1 和 1.2 勾選方塊。 (使用在Internet Explorer中啟用TLS過程。)
出現登入提示
問題
出現提示,要求您輸入使用者名稱和密碼以通過驗證。
可能原因
Directory Connector 使用登入帳戶以無訊息方式完成 NTLM 安全性驗證。 如果驗證失敗,會彈出一個對話方塊,要求輸入驗證使用者名稱和密碼。
解決方案
當您看到登入快顯視窗時,您需要提供具有正確驗證的有效帳戶以傳遞安全性。
無法連線至遠端伺服器
無法註冊連接器
問題
您將看到錯誤訊息「無法註冊連接器。 發生一般例外情況。」
可能原因
在大多數情況下,問題是因為 Directory Connector 沒有連線至LDAP根內容的特權。
解決方案
嘗試下列作業:
執行命令提示字元 (cmd),然後輸入ldp 。
按一下以目前登入的使用者身份連結,然後按一下確定。
,選擇按一下確定。
,輸入DC=arbonnetl,DC=ad作為BaseDN,然後按一下如果問題仍然存在,在支援下開啟案例。
同步
頭像未同步
問題
Cisco目錄連接器將使用者 AD 資料同步至Webex雲端。 但未成功同步任何頭像資料。
可能原因
如果您重複使用現有的頭像伺服器,並且使用者頭像已同步,則本機快取會擷取它們並避免再次重新傳送以節省頻寬。
解決方案
請執行下列步驟刪除本機快取:
轉至 C:\Program Files (x86)\ Cisco Systems\ Cisco目錄連接器\Plugins\
刪除DirSyncPluginAvatar.dll 緩存.bin 。
從Cisco目錄連接器重新執行頭像同步。
有衝突的使用者電子郵件帳戶
問題
同步結果可能顯示有衝突的使用者電子郵件帳戶。
如果使用者嘗試使用免費版Webex應用程式,則其電子郵件地址會駐留在免費消費者組織中。
如果使用者電子郵件曾經在另一個組織中同步。
如果使用者電子郵件地址存在於屬於組織的多個網域中。
解決方案
嘗試下列作業:
如果您嘗試宣告使用者,請執行下列步驟:
確保您已已在 Control Hub 中驗證網域。
暫時停用Cisco目錄連接器。
使用 Control Hub 中的宣告使用者選項來宣告免費消費者組織中可能存在的任何帳戶。 請參閱向您的組織宣告使用者(轉換使用者)獲取更多資訊。
在Cisco目錄連接器中執行演練,然後重新啟用目錄同步
對於最後一種情況,請仔細檢查Active Directory來源中的使用者資料。
轉換的使用者標記為非使用中
問題
在目錄同步環境中,您將免費(消費者組織)使用者轉換為企業組織,但是轉換的使用者無法登入Webex應用程式。
可能原因
當免費使用者轉換為企業組織時,作為安全合規措施,該使用者將被標記為非使用中狀態 30 天。 在此期間,使用者無法登入Webex應用程式,並在 30 天期限結束時被標記為刪除。 出現這種情況的原因是免費使用者資訊不在Active Directory中。
解決方案
如果您不希望使用者帳戶被刪除,則必須採取措施。 若要解決此問題,請在內部部署Active Directory中建立一個與轉換的免費使用者帳戶帳戶 對應的使用者帳戶。 然後,從Cisco目錄連接器執行同步。 然後,使用者可以再次登入Webex應用程式,而且該帳戶將不會被刪除。
增量同步失敗
問題
增量同步失敗。
在下列情況下,在 Windows Server 2008 R2 上可能會發生此問題:
您支援增量值更新。
您使用的篩選器會參考鏈結值屬性。
自上次執行完整同步以來,已更新該屬性的結果值。
解決方案
Windows Server 2008 R2 有一個與此問題相關的 Bug。 此錯誤已在 2012 R2 及更高版本中修正。 我們建議您將 Windows Server 至少升級至 2012 R2 版。
屬性的值無效
問題
對於 [使用者 DN(辨別名稱)],屬性 [屬性名稱] 具有下列無效值 [屬性值]。
可能原因
對於 CN=b,OU=Employees,OU=C Users,DC=c,DC=com,屬性 [電話號碼] 具有下列無效值: +. 此屬性必須至少包含一個數字。
解決方案
此使用者的屬性沒有有效值。 根據警告訊息中的說明來修正其值。 然後執行另一次同步。
要刪除的相符使用者
問題
符合的使用者會被標示為刪除。
當執行演練同步以檢查Active Directory與雲端之間的資料時,您可能會在兩者中看到相同的電子郵件地址。 但是,該使用者已被標示為要刪除的物件。
解決方案
選擇適當的修正:
如果可以刪除使用者並在之後重做授權,則可以使用 Directory Connector 進行修正。 執行一次同步以刪除使用者,然後執行另一個同步以將使用者從內部部署AD 同步到雲端。
如果您無法刪除和重新建立使用者帳戶,在支援下開啟案例。
遺漏了屬性
問題
必填屬性 [attribute_name ] 時,會新增內部部署項目 [使用者 DN (已識別名稱)]。 在所有必要屬性都有值之前,不會在 Control Hub 中建立該項目。
可能原因
遺漏了必要屬性電子郵件地址。 新增內部部署項目 [CN=銷售使用者, OU= 工程師, OU=K,DC=k,DC=local] 時,在所有必要屬性都具有值之前,不會在 Control Hub 中建立該項目。
解決方案
使用者 [ 缺少其中一個必要屬性。user_email_address ]。 為該使用者提供必要值。
嵌套群組將不同步
問題
嵌套Active Directory群組中的使用者未正確同步至雲端。
可能原因
使用的篩選器同時包含子群組 和父群組,這是不受支援的。 譬如: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
解決方案
您必須重新設定用於同步群組的篩選器。 譬如: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
使用者命名衝突
問題
對於具有下列名稱的現有雲端項目物件,[使用者 DN] 存在名稱衝突: [使用者電子郵件地址],並且 的使用者類型 [user_type ]。
可能原因
具有該電子郵件地址的使用者已存在於 Control Hub 中。
解決方案
在Active Directory中使用與您透過 Control Hub 註冊的帳戶相同的電子郵件地址建立使用者。
Control Hub
Control Hub 中缺少使用者清單
問題
如果您的Webex組織中同步使用者的人數超過 1000,則您可能在 Control Hub 中看不到使用者清單。
解決方案
您可以使用搜尋功能來尋找使用者帳戶。 在 Control Hub 中,轉至使用者,按一下搜尋,然後輸入搜尋準則以找到特定使用者。
群組將不會與 Control Hub 同步
問題
目錄群組中的使用者將無法正確同步至 Control Hub。
可能原因
群組未標記為 isCriticalSystemObject
在Active Directory中。
解決方案
確保該屬性 isCriticalSystemObject
設定為 TRUE
在Active Directory中。
啟用 Directory Connector 疑難排解
您可以啟用疑難排解來協助診斷您在 Directory Connector 中遇到的任何錯誤。 疑難排解可讓您擷取網路流量資訊並將其儲存至檔案。
的日誌檔: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 | 執行 | ||
2 | 重新啟動服務。 如需指引,請參閱如何啟動服務。 | ||
3 | 在 Directory Connector 中,按一下儀表板。 | ||
4 | 轉至動作,然後按一下 。 | ||
5 | 在啟用了疑難排解的情況下,重複造成錯誤的動作;這會擷取流量資料以便能檢查流量資料。 | ||
6 | 檢查日誌檔: 如果檔案是空白,請確保帳戶有權存取 AD DS 或 AD LDS。
| ||
7 | 必要的話,請傳送記錄檔至技術支援以取得協助。 | ||
8 | 完成後,停用疑難排解功能。 |
啟動事件檢視器
若要查看完整或增量同步期間發生的事件,請啟動事件檢視器。 它顯示管理事件和錯誤記錄的摘要。
1 | 從 Directory Connector 中,轉至儀表板,然後按一下 。「事件內容」對話方塊會顯示同步事件詳細資料及錯誤詳細資料。 |
2 | 從活動檢視程式中,轉至 。 |
3 | 低於動作,按一下將所有活動另存為以將所有記錄匯出為單一 Events 檔案 (*.evtx) 或其他格式,如 xml 或 csv。 |
下一步
如果您需要立案,聯絡支援,描述連接器的問題,然後將 Events 檔案附加到案例中。
事件記錄會擷取使用者動作。 如需管理網路流量的說明,請在連接器上啟用疑難排解。 |
在Internet Explorer中啟用TLS
如果您切換了單一登入 (SSO) 提供者,則可能會從Cisco目錄連接器看到以下錯誤訊息:
登入服務時發生錯誤
此頁面上的指令檔中發生錯誤
如果您看到這些錯誤,則必須在瀏覽器中啟用TLS設定。
1 | 開啟Internet Explorer,然後選擇工具。 現在勾選您要啟用的TLS/ SSL版本對應的方塊 按一下確定關閉瀏覽器,然後重新開啟 |
2 | 按一下網際網路選項,轉至進階,捲動至安全性。 |
3 | 檢查使用TLS 1.1和使用TLS 1.2勾選方塊,然後按一下確定。 |
4 | 重新啟動系統以使變更生效。 |
服務帳戶登入問題疑難排解
如果您無法登入Cisco目錄連接器或無法執行同步,請在聯絡支援之前使用以下步驟來嘗試解決問題。
1 | 嘗試在 Web 瀏覽器中造訪 。https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL | ||
2 | 選擇一個項目,取決於結果:
| ||
3 | 至少,請確保為Cisco DirSync 服務(可在 Windows 服務中找到)設定的帳戶具有允許其存取頭像資料和 AD 資料的特權層級。 依預設,該服務會利用 Windows 登入帳戶憑證和驗證。 |
檢查 Windows 註冊中的 SafeDll搜尋模式
安全動態鏈結庫(DLL)搜尋模式預設在 Windows 登錄中設定,並將使用者的目前目錄放在 DLL 搜尋順序中的後期。 如果此模式被某種方式停用,攻擊者可將惡意 DLL(與系統資料夾中所引用的 DLL 檔案名稱相同)放置到應用程式的目前工作目錄中。
通常,會啟用 SafeDll搜尋模式,但請使用此流程來仔細檢查登錄檔設定。
準備工作
對 Windows 登錄檔所做的變更應極其謹慎。 我們建議您在使用這些步驟之前,先對登錄檔進行備份。 |
1 | 在 Windows 搜尋或執行視窗中,鍵入註冊編輯然後按輸入。 |
2 | 轉至HKEY_本地的_MACHINE\System\CurrentControlSet\Control\階段作業管理程式。 |
3 | 選擇一個:
|
如需相關資訊,請參閱動態鏈結庫搜尋順序。