Risoluzione dei problemi relativi agli utenti di Active Directory mancanti dal dashboard Umbrella

Introduzione

In questo documento viene descritto come risolvere i problemi relativi agli utenti di Active Directory (AD) mancanti dal dashboard Umbrella.

Panoramica

OpenDNS Connector esegue una sincronizzazione con Active Directory per restituire un elenco di utenti, gruppi e computer di Active Directory. Questo elenco viene quindi pubblicato in modo sicuro nel dashboard Umbrella in modo da poter essere utilizzato per i criteri e i report.

Nota: Se si utilizza la versione 1.1.24 o successiva del software Connector, è possibile specificare i gruppi AD da sincronizzare con Umbrella.

È possibile verificare quali oggetti sono stati sincronizzati nel dashboard passando a Distribuzioni > Identità di base > Utenti e gruppi. 

Scenario 1 - Tutti gli utenti e i gruppi mancanti nel dashboard

Se nella scheda Identità mancano tutti gli utenti, significa che non è stata eseguita la sincronizzazione di Active Directory. 

26022106541844

Le possibili cause includono: 

• L'integrazione di Active Directory non è stata configurata oppure OpenDNS Connector non è installato. Per ulteriori informazioni, vedere la documentazione di Integrazione delle identità di Active Directory.
• Il connettore OpenDNS non è in grado di contattare il controller di dominio sulle porte necessarie. 
• È presente un errore di autorizzazione che impedisce all'utente OpenDNS_Connector di leggere la directory tramite LDAP.
• Problema con l'account utente OpenDNS_Connector (utilizzato per la sincronizzazione).  La password immessa durante l'installazione del connettore potrebbe non essere corretta oppure l'account potrebbe essere bloccato.
• Il servizio connettore OpenDNS è installato ma non funziona. La causa più comune è che ldifde.exe (utilizzato per eseguire la sincronizzazione di Active Directory tramite LDAP) non è installato (in genere è incluso nel ruolo AD LDS), in particolare quando il connettore è installato in un computer diverso da un controller di dominio. Visualizzare i prerequisiti per l'installazione senza controller di dominio.
• Il file C:\CiscoUmbrellaADGroups.dat esiste, ma è vuoto o ha un formato non corretto.

Per ulteriori informazioni, contattare il supporto Cisco Umbrella utilizzando i log del connettore.

Scenario 2 - Utenti/gruppi appena creati mancanti nel dashboard

Il connettore si sincronizza spesso con Active Directory per determinare se sono state apportate modifiche alla directory utilizzando LDAP. Se è stata apportata una modifica recente, viene eseguita una sincronizzazione LDAP completa. L'attivazione di nuovi utenti/gruppi nel dashboard può richiedere diverse ore.

Se non vengono mai visualizzati nuovi utenti, ciò potrebbe essere dovuto a:

• L'account OpenDNS_Connector non dispone dell'autorizzazione per la 'replica delle modifiche alla directory' necessaria per il monitoraggio delle modifiche in Active Directory. Verificare che OpenDNS_Connector sia un membro del gruppo 'Controller di dominio di sola lettura organizzazione' per assegnare le autorizzazioni corrette.
• Il connettore era in grado di eseguire la sincronizzazione in precedenza, ma ora non è in grado di eseguire la sincronizzazione. Per risolvere il problema, vedere i passaggi descritti in questo articolo. 

Scenario 3 - Oggetti AD specifici mancanti dal dashboard

È consigliabile creare gruppi AD personalizzati da utilizzare nei criteri Umbrella. 
Gli amministratori del dominio e diversi altri gruppi "predefiniti" sono esclusi dalla sincronizzazione. Anche molti gruppi noti associati al software in background, ad esempio Exchange, SQL e WSUS, sono esclusi dalla sincronizzazione di Active Directory.

Se il file C:\CiscoUmbrellaADGroups.dat esiste, verificare che specifichi un gruppo AD che includa gli oggetti AD mancanti.

Scenario 4 - Sincronizzazione AD in corso, ma alcuni oggetti AD non sono sincronizzati

Verificare che l'utente OpenDNS_Connector disponga dell'autorizzazione alla "lettura" delle informazioni dagli oggetti mancanti. In Active Directory, tutti gli oggetti (inclusi utenti, gruppi e computer) dispongono di autorizzazioni ACL specifiche per determinare chi può leggere i relativi attributi. Per ulteriori informazioni, consultare questo articolo:  Autorizzazioni Risoluzione dei problemi

Se il file C:\CiscoUmbrellaADGroups.dat esiste, verificare che specifichi un gruppo AD che includa gli oggetti AD non sincronizzati. 

Scenario 5 - Alcuni gruppi e ruoli AD predefiniti non sono visibili nella Creazione guidata criteri Cisco Umbrella

Dopo aver distribuito i componenti di integrazione di Umbrella Active Directory, in particolare il connettore AD, si rileva che alcuni gruppi AD incorporati non sono disponibili nella procedura guidata Criteri Umbrella.

Tuttavia, i gruppi AD, gli utenti AD e i computer AD non incorporati vengono ancora trovati nella procedura guidata Criteri ombrello come previsto. Il connettore AD non importa i gruppi AD incorporati nell'API Umbrella. Di conseguenza, non sarà possibile definire criteri per questi gruppi. Per ulteriori informazioni, consultare il seguente articolo della Knowledge Base: Perché alcuni gruppi predefiniti di Active Directory non vengono visualizzati nella procedura guidata Criteri ombrello?