Dépannage des utilisateurs Active Directory manquants dans le tableau de bord Umbrella

Introduction

Ce document décrit comment dépanner les utilisateurs Active Directory (AD) manquants dans le tableau de bord Umbrella.

Aperçu

Le connecteur OpenDNS exécute une synchronisation avec Active Directory pour renvoyer une liste d'utilisateurs, de groupes et d'ordinateurs AD. Cette liste est ensuite publiée en toute sécurité sur le tableau de bord Umbrella afin qu'elle puisse être utilisée pour les politiques et les rapports.

Remarque : Si vous utilisez la version 1.1.24 ou ultérieure du logiciel Connector, il est possible de spécifier les groupes AD synchronisés avec Umbrella.

Vous pouvez vérifier quels objets ont été synchronisés avec le tableau de bord en naviguant vers Déploiements > Identités principales > Utilisateurs et groupes. 

Scénario 1 - Tous les utilisateurs et groupes manquants dans le tableau de bord

Si tous les utilisateurs sont absents de l'onglet Identities (Identités), cela indique que la synchronisation Active Directory n'a pas eu lieu. 

26022106541844

Causes possibles : 

• L'intégration Active Directory n'a pas été configurée ou le connecteur OpenDNS n'est pas installé. Pour plus d'informations, consultez la documentation relative aux intégrations d'identités Active Directory.
• Le connecteur OpenDNS ne parvient pas à contacter le contrôleur de domaine sur les ports requis. 
• Une erreur d'autorisation empêche l'utilisateur OpenDNS_Connector de lire l'annuaire via LDAP.
• Il y a un problème avec le compte d'utilisateur OpenDNS_Connector (qui est utilisé pour la synchronisation).  Le mot de passe entré lors de l'installation du connecteur est peut-être incorrect ou le compte est peut-être verrouillé.
• Le service de connecteur OpenDNS est installé mais ne fonctionne pas. La cause la plus courante est que ldifde.exe (utilisé pour effectuer la synchronisation AD via LDAP) n'est pas installé (le plus souvent, il est inclus dans le rôle AD LDS), notamment lorsque le connecteur est installé sur un ordinateur autre qu'un contrôleur de domaine. Veuillez consulter les conditions préalables à l'installation d'un système non-DC.
• Le fichier C:\CiscoUmbrellaADGroups.dat existe, mais il est vide ou son format est incorrect.

Pour plus d'informations, veuillez contacter l'assistance Cisco Umbrella à l'aide des journaux du connecteur.

Scénario 2 - Utilisateurs/groupes nouvellement créés manquants dans le tableau de bord

Le connecteur se synchronise fréquemment avec Active Directory pour déterminer si des modifications ont été apportées à l'annuaire à l'aide de LDAP. S'il y a eu une modification récente, une synchronisation LDAP complète est alors effectuée. Plusieurs heures peuvent être nécessaires pour que les nouveaux utilisateurs/groupes entrent en vigueur dans le tableau de bord.

Si de nouveaux utilisateurs n'apparaissent jamais, cela peut être dû à :

• Le compte OpenDNS_Connector n'a pas l'autorisation pour 'répliquer les modifications de répertoire' qui est requise pour que nous puissions surveiller les modifications dans Active Directory. Assurez-vous que OpenDNS_Connector est membre du groupe 'Contrôleurs de domaine en lecture seule d'entreprise' pour attribuer les autorisations correctes.
• Le connecteur a pu se synchroniser précédemment, mais ne peut plus le faire. Reportez-vous aux étapes de cet article pour résoudre le problème. 

Scénario 3 : des objets AD spécifiques sont absents du tableau de bord

Nous vous recommandons de créer vos propres groupes AD à utiliser dans les stratégies Umbrella. 
Les administrateurs de domaine et plusieurs autres groupes « par défaut » sont exclus de la synchronisation. De nombreux groupes connus associés à des logiciels en arrière-plan (tels qu'Exchange, SQL et WSUS) sont également exclus de la synchronisation Active Directory.

Si le fichier C:\CiscoUmbrellaADGroups.dat existe, vérifiez qu'il spécifie un groupe AD qui inclut les objets AD manquants.

Scénario 4 : la synchronisation AD fonctionne, mais certains objets AD ne sont pas synchronisés

Vérifiez que l'utilisateur OpenDNS_Connector est autorisé à "lire" les informations des objets manquants. Dans Active Directory, tous les objets (y compris les utilisateurs, les groupes et les ordinateurs) disposent de leurs propres autorisations ACL pour déterminer qui peut lire leurs attributs. Pour plus d'informations, consultez cet article :  Autorisations Dépannage

Si le fichier C:\CiscoUmbrellaADGroups.dat existe, vérifiez qu'il spécifie un groupe AD qui inclut les objets AD non synchronisés. 

Scénario 5 - Certains groupes et rôles AD intégrés ne sont pas visibles dans l'Assistant de stratégie Cisco Umbrella

Après le déploiement des composants d'intégration d'Umbrella Active Directory, en particulier le connecteur AD, vous constatez que certains groupes AD intégrés sont introuvables dans l'Assistant Stratégie Umbrella.

Cependant, les groupes AD, les utilisateurs AD et les ordinateurs AD non intégrés sont toujours présents dans l'Assistant Stratégie Umbrella comme prévu. Le connecteur AD n'importe pas intentionnellement les groupes AD intégrés dans l'API Umbrella. Par conséquent, vous ne serez pas en mesure de définir des politiques pour ces groupes. Reportez-vous à cet article de la Base de connaissances pour plus de détails : Pourquoi certains groupes Active Directory intégrés ne s'affichent-ils pas dans l'Assistant Stratégie Umbrella ?