Fehlerbehebung bei Active Directory-Benutzern, die im Umbrella Dashboard fehlen

Einleitung

In diesem Dokument wird die Fehlerbehebung für Active Directory (AD)-Benutzer beschrieben, die im Umbrella Dashboard fehlen.

Überblick

Der OpenDNS Connector führt eine Synchronisierung mit Active Directory aus, um eine Liste von AD-Benutzern, -Gruppen und -Computern zurückzugeben. Diese Liste wird dann sicher an das Umbrella Dashboard gesendet, sodass sie für Richtlinien und Berichte verwendet werden kann.

Anmerkung: Wenn Sie Version 1.1.24 oder höher der Connector-Software verwenden, können Sie angeben, welche AD-Gruppen mit Umbrella synchronisiert werden.

Sie können überprüfen, welche Objekte mit dem Dashboard synchronisiert wurden, indem Sie zu Deployments > Core Identities > Users and Groups (Bereitstellungen > Core-Identitäten > Benutzer und Gruppen) navigieren. 

Szenario 1 - Alle Benutzer und Gruppen, die im Dashboard fehlen

Wenn auf der Registerkarte Identitäten alle Benutzer fehlen, weist dies darauf hin, dass die AD-Synchronisierung nicht durchgeführt wurde. 

26022106541844

Mögliche Ursachen: 

• Die Active Directory-Integration wurde nicht konfiguriert, oder der OpenDNS Connector wurde nicht installiert. Weitere Informationen finden Sie in der Dokumentation zu Active Directory Identity Integrations.
• Der OpenDNS-Connector kann den Domänencontroller an den erforderlichen Ports nicht kontaktieren. 
• Es liegt ein Berechtigungsfehler vor, der den OpenDNS_Connector-Benutzer daran hindert, das Verzeichnis über LDAP zu lesen.
• Es liegt ein Problem mit dem OpenDNS_Connector-Benutzerkonto vor (das für die Synchronisierung verwendet wird).  Das bei der Installation des Connectors eingegebene Kennwort ist möglicherweise falsch oder das Konto gesperrt.
• Der OpenDNS Connector-Dienst ist installiert, funktioniert aber nicht. Die häufigste Ursache ist, dass ldifde.exe (wird zur Durchführung der AD-Synchronisierung über LDAP verwendet) nicht installiert ist (in der Regel ist es in der AD LDS-Rolle enthalten), insbesondere wenn der Connector auf einem anderen Computer als einem Domänencontroller installiert ist. Bitte lesen Sie die Voraussetzungen für eine Installation außerhalb des Rechenzentrums.
• Die Datei C:\CiscoUmbrellaADGroups.dat existiert, ist aber leer oder hat ein falsches Format.

Weitere Informationen erhalten Sie von Cisco Umbrella Support über die Connector-Protokolle.

Szenario 2 - Neu erstellte Benutzer/Gruppen, die im Dashboard fehlen

Der Connector wird häufig mit Active Directory synchronisiert, um festzustellen, ob Änderungen am Verzeichnis mithilfe von LDAP vorgenommen wurden. Wenn vor kurzem eine Änderung vorgenommen wurde, wird eine vollständige LDAP-Synchronisierung durchgeführt. Es kann mehrere Stunden dauern, bis neue Benutzer/Gruppen im Dashboard wirksam werden.

Wenn nie neue Benutzer angezeigt werden, kann dies auf folgende Ursachen zurückzuführen sein:

• Das OpenDNS_Connector-Konto verfügt nicht über die Berechtigung für das "Replizieren von Verzeichnisänderungen", die für die Überwachung von Änderungen in AD erforderlich ist. Stellen Sie sicher, dass OpenDNS_Connector Mitglied der Gruppe 'Enterprise Read-Only Domain Controllers' ist, um die richtigen Berechtigungen zuzuweisen.
• Der Connector konnte zuvor synchronisiert werden, dies ist jetzt jedoch nicht möglich. Lesen Sie die Schritte in diesem Artikel, um das Problem zu beheben. 

Szenario 3 - Spezifische AD-Objekte fehlen im Dashboard

Es wird empfohlen, eigene AD-Gruppen für die Verwendung in Umbrella-Richtlinien zu erstellen. 
Domänenadministratoren und mehrere andere Standardgruppen sind von der Synchronisierung ausgeschlossen. Viele bekannte Gruppen, die mit Hintergrundsoftware (wie Exchange, SQL und WSUS) verbunden sind, sind ebenfalls von der AD-Synchronisierung ausgeschlossen.

Wenn die Datei C:\CiscoUmbrellaADGroups.dat vorhanden ist, stellen Sie sicher, dass sie eine AD-Gruppe angibt, die die fehlenden AD-Objekte enthält.

Szenario 4 - AD-Synchronisierung funktioniert, aber einige AD-Objekte werden nicht synchronisiert

Überprüfen Sie, ob der OpenDNS_Connector-Benutzer über die Berechtigung zum Lesen von Informationen aus den fehlenden Objekten verfügt. In Active Directory verfügen alle Objekte (einschließlich Benutzer, Gruppen und Computer) über eigene ACL-Berechtigungen, um zu bestimmen, wer die Attribute lesen kann. Weitere Informationen finden Sie in diesem Artikel:  Fehlerbehebung bei Berechtigungen

Wenn die Datei C:\CiscoUmbrellaADGroups.dat vorhanden ist, stellen Sie sicher, dass sie eine AD-Gruppe angibt, die die nicht synchronisierten AD-Objekte enthält. 

Szenario 5 - Bestimmte integrierte AD-Gruppen und -Rollen werden im Cisco Umbrella Policy Wizard nicht angezeigt

Nach dem Bereitstellen der Umbrella Active Directory-Integrationskomponenten, insbesondere des AD Connectors, stellen Sie fest, dass bestimmte integrierte AD-Gruppen im Umbrella Policy Wizard nicht gefunden werden.

Nicht integrierte AD-Gruppen, AD-Benutzer und AD-Computer werden jedoch weiterhin erwartungsgemäß im Umbrella Policy Wizard (Umbrella-Richtlinien-Assistent) gefunden. Der AD Connector importiert vorsätzlich keine integrierten AD-Gruppen in die Umbrella-API. Daher wird erwartet, dass Sie keine Richtlinien für diese Gruppen definieren können. Weitere Informationen finden Sie in diesem Knowledge Base-Artikel: Warum werden bestimmte integrierte Active Directory-Gruppen nicht im Umbrella Policy Wizard angezeigt?