Solución de problemas de usuarios de Active Directory que faltan en el panel de Umbrella

Opciones de descarga

  • PDF     (256.5 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:2 de octubre de 2025
ID del documento:224995

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo resolver problemas de usuarios de Active Directory (AD) que faltan en el panel de Umbrella.

    Overview

    El conector OpenDNS ejecuta una sincronización con Active Directory para devolver una lista de usuarios, grupos y equipos AD. Esta lista se publica de forma segura en el panel de Umbrella para que se pueda utilizar en las políticas y los informes.

    note-icon

    Nota: Si utiliza la versión 1.1.24 o superior del software del conector, es posible especificar qué grupos de AD se sincronizan con Umbrella.

    Puede comprobar qué objetos se han sincronizado en el panel si navega hasta Implementaciones > Identidades principales > Usuarios y grupos

    Situación 1: todos los usuarios y grupos que faltan en el panel

    Si faltan todos los usuarios en la ficha Identidades, esto indica que no se ha producido la sincronización de AD. 

    2602210654184426022106541844

    Las causas potenciales incluyen: 

    • La integración de Active Directory no se ha configurado o el conector OpenDNS no está instalado. Para obtener más información, consulte la documentación de Integración de identidades de Active Directory.
    • El conector OpenDNS no puede ponerse en contacto con el controlador de dominio en los puertos requeridos. 
    • Hay un error de permisos que impide que el usuario de OpenDNS_Connector lea el directorio vía LDAP.
    • Hay un problema con la cuenta de usuario OpenDNS_Connector (que se utiliza para la sincronización).  La contraseña introducida durante la instalación del conector puede ser incorrecta o la cuenta puede estar bloqueada.
    • El servicio del conector OpenDNS está instalado pero no funciona. La causa más común es que ldifde.exe (utilizado para realizar la sincronización de AD a través de LDAP) no está instalado (normalmente se incluye en el rol de AD LDS), especialmente cuando el conector está instalado en un equipo que no es un controlador de dominio. Consulte los requisitos previos para la instalación sin DC.
    • El archivo C:\CiscoUmbrellaADGroups.dat existe, pero está vacío o tiene un formato incorrecto.

    Para obtener más información, póngase en contacto con el servicio de asistencia de Cisco Umbrella a través de los registros del conector.

    Situación 2: Faltan usuarios/grupos recién creados en el panel

    El conector se sincroniza frecuentemente con Active Directory para determinar si ha habido cambios en el directorio mediante LDAP. Si se ha producido un cambio reciente, se realiza una sincronización LDAP completa. Los nuevos usuarios o grupos pueden tardar varias horas en entrar en vigor en el panel.

    Si los nuevos usuarios nunca aparecen, podría deberse a:

    • La cuenta OpenDNS_Connector no tiene permiso para 'replicar cambios de directorio', que es necesario para supervisar los cambios en AD. Asegúrese de que OpenDNS_Connector sea miembro del grupo 'Controladores de dominio de sólo lectura empresariales' para asignar los permisos correctos.
    • El conector se pudo sincronizar anteriormente pero ahora no se puede sincronizar. Consulte los pasos de este artículo para resolver el problema. 

    Situación 3: faltan objetos específicos de AD en el panel

    Le recomendamos que cree sus propios grupos de AD para utilizarlos en las políticas de Umbrella. 
    Los administradores de dominio y otros grupos "predeterminados" se excluyen de la sincronización. Muchos grupos conocidos asociados con software en segundo plano (como Exchange, SQL y WSUS) también se excluyen de la sincronización de AD.

    Si existe el archivo C:\CiscoUmbrellaADGroups.dat, verifique que especifique un grupo AD que incluya los objetos AD que faltan.

    Situación 4: la sincronización de AD funciona pero algunos objetos de AD no están sincronizados

    Verifique que el usuario de OpenDNS_Connector tenga permiso para "Leer" la información de los objetos que faltan. En Active Directory, todos los objetos (incluidos usuarios, grupos y equipos) tienen sus propios permisos de ACL para determinar quién puede leer sus atributos. Para obtener más información, consulte este artículo:  Troubleshooting de Permisos

    Si existe el archivo C:\CiscoUmbrellaADGroups.dat, verifique que especifique un grupo AD que incluya los objetos AD no sincronizados. 

    Situación 5: algunos grupos y roles de AD integrados no están visibles en el Asistente de políticas de Cisco Umbrella

    Después de implementar los componentes de integración de Umbrella Active Directory, en concreto el conector de AD, se da cuenta de que determinados grupos de AD integrados no se encuentran en el Asistente para directivas de Umbrella.

    Sin embargo, los grupos AD no integrados, los usuarios de AD y los equipos AD se siguen encontrando en el Asistente para directivas generales como se esperaba. El conector de AD no importa a propósito grupos de AD integrados a la API Umbrella. Como tal, se espera que no pueda definir políticas para estos grupos. Consulte este artículo de la base de conocimientos para obtener más información: ¿Por qué algunos grupos integrados de Active Directory no se muestran en el Asistente para directivas generales?

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    02-Oct-2025
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos