ディレクトリ コネクタ のトラブルシュートと修正
でディレクトリ コネクタエラーメッセージまたはその他の問題が発生することがあります。また、ユーザディレクトリ コネクタ情報を同期した後、コネクタは同期の問題を示す電子メールレポートを送信する場合があります。サポートに連絡する前に、発生する可能性のある問題、考えられる原因、および提案された解決策については、次の項を参照してください。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
でディレクトリ コネクタエラーメッセージまたはその他の問題が発生することがあります。また、ユーザディレクトリ コネクタ情報を同期した後、コネクタは同期の問題を示す電子メールレポートを送信する場合があります。サポートに連絡する前に、発生する可能性のある問題、考えられる原因、および提案された解決策については、次の項を参照してください。
問題 ディレクトリ コネクタが機能していないことを通知するアラート電子メールを受信しました。
がディレクトリ コネクタ正しくインストールされていない可能性があります。
がディレクトリ コネクタ実行されていない可能性があります。
ネットワークが使用できない可能性があります。
解決法 次のことを試してください。
コントロールパネルを開き、[プログラムと機能 (Programs and Features)] を開きます。ディレクトリ コネクタ を探します。存在しない場合は、からControl Hub最新バージョンをダウンロードしてインストールします。
サービスを開き、Cisco DirSync サービスを見つけます。ステータスが開始済みとして表示されていることを確認してください。サービスが停止している場合は、右クリックして [開始 (Start)] を選択し、サービスを再起動します。
をインストールしたサーバにインターネットへのディレクトリ コネクタアクセス権があることを確認してください。
問題 古いコネクタをアンインストールした後すぐに新しいコネクタをインストールすると、エラーメッセージが表示することがあります。
考えられる原因 Windows Server 2012 では、アンインストールクライアントはサービスアカウントをサービスリストから削除する時間が必要です。
解決法 しばらくしてから、インストールを再試行してください。
問題 ディレクトリ コネクタSSO サインインページから電子メールアドレスを入力すると、クラッシュする可能性があります。
解決法 次のことを試してください。
新しいグループポリシーを設定するには、次の手順を実行します。
ドメインコントローラに移動し、グループポリシー管理 (gpedit.msc) を開きます。
特定の OU またはドメインを右クリックし、[ Create a GPO in this domain] を選択して、ここにリンクします...
ポリシーに名前を付け、右クリックして [編集 (Edit)] を選択します。
マシンレベルでポリシーを変更するには、次の手順を実行します。
[コンピューターの設定(Computer Configuration)] > [詳細設定(Preferences)] > [ Windows の設定(Windows Settings)] の順に選択し、[登録(Registry)] を右クリックし、[新規(New)] > [登録項目(Registry Item)] の順に選択します。
キーパスの場合は、 HKEY_LOCAL_MACHINE \software\microsoft\internet Explorer\Mainに入力するか、または移動します。
[ Disable Script Debugger for value] を入力し、値データとしてnoを入力します。
設定は、次のスクリーンショットと一致している必要があります。
ユーザレベルでポリシーを変更するには、次の手順を実行します。
[ユーザ設定(User Configuration)] > [詳細設定(Preferences)] > [ Windows の設定(Windows Settings)] の順に選択し、[登録(Registry)] を右クリックし、[新規(New)] > [登録項目(Registry Item)] の順に選択します。
[キー パス(Key Path)] に関しては、HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main と入力するか、移動します。
[ Disable Script Debugger for value] を入力し、値データとしてnoを入力します。
設定は、次のスクリーンショットと一致している必要があります。
(注) |
変更は、 gpupdate/forceを実行した後 (マシンが変更された場合)、またはユーザが再度サインインした後に有効になります (ユーザの変更の場合)。 |
問題 サインインに失敗し、「Cisco DirSync サービスコネクタを登録できない」というメッセージが表示されます。
解決法 ディレクトリ コネクタがインストールされている Windows システムは、Active Directory のメンバーである必要があります。
問題 ディレクトリ コネクタ を開いたが、サインインページが表示されない。
解決法 次の手順を実行します。
解決法 Internet Explorer で、https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL にアクセスします。Chrome や Firefox などの他のブラウザでリンクを試してみてください。
解決法 Internet Explorer がリンクにアクセスできず、他のブラウザが使用できる場合は Internet Explorer 設定を確認し、[TLS 1.1] および [1.2] チェックボックスをオンにします。(Internet Explorer で TLS を有効にする の手順を使用します。)
問題 認証を通過するためのユーザ名とパスワードの入力を要求するプロンプトが表示されます。
考えられる原因 はディレクトリ コネクタ 、サインインアカウントを使用して NTLM セキュリティ認証をサイレントに完了します。認証に失敗すると、認証のユーザ名とパスワードを確認するダイアログがポップアップ表示されます。
解決法 [サインイン (sign in)] ポップアップウィンドウが表示されたら、セキュリティを通過させるための正しい認証を使用して有効なアカウントを指定する必要があります。
問題 通常の動作中に、「リモートサーバに接続できません」というエラーメッセージが表示されます。
考えられる原因 解決する必要があるプロキシの問題が発生している可能性があります。
解決法 トラブルシュートの詳細については、サービス アカウントのサインインに関する問題のトラブルシューティング を参照してください。
問題 「コネクタを登録できません」というエラーメッセージが表示されます。一般的な例外が発生しました。」
考えられる原因 ほとんどの場合、は LDAP ルートコンテキストにディレクトリ コネクタ接続する権限を持っていないため、問題が発生します。
解決法 次のことを試してください。
コマンドプロンプト (cmd) を実行して、 ldpと入力します。
[ 現在ログインしているユーザとして [bind] を選択し、[ OK] をクリックします。
] をクリックし、[ OK] をクリックします。
] をクリックし、 dc = arbonneintl, dc = adを BaseDN と入力して、[問題が解決しない場合は、サポート ケースを開いてください。
問題 Cisco directory connectorユーザの AD データをクラウドWebexに同期しています。ただし、アバターデータは正常に同期されませんでした。
考えられる原因 既存のアバターサーバを再利用し、ユーザアバターがすでに同期されている場合、ローカルキャッシュはそれらをキャプチャして、帯域幅を節約するために再送信を回避します。
解決法 ローカルキャッシュを削除するには、次の手順を実行します。
[C:\Program Files (x86)] [cisco system] [Cisco Directory Connector\Plugins\] に移動します。
Dirsyncpluginavatarを削除します。
からアバター同期を再実行Cisco directory connectorします。
問題 同期の結果に、競合するユーザの電子メールアカウントが表示する場合があります。
ユーザがの無料バージョンを試しWebex アプリた場合、その電子メールアドレスは無料のコンシューマ組織に存在します。
ユーザの電子メールが別の組織で同期された場合。
組織に属する複数のドメインにユーザの電子メールが存在する場合。
解決法 次のことを試してください。
ユーザーを要求する場合は、次の手順に従います。
Control Hub でドメインを確認済みであることを確認してください。
Cisco Directory Connector を一時的に無効にします。
無料消費者組織で既存する場合がある任意のアカウントを要求するには、Control Hub の [ユーザーの要求(Claim User)] オプションを使用します。詳細については、「組織にユーザーを要求する(ユーザーの変換)」を参照してください。
Cisco Directory Connector でリハーサルを行い、ディレクトリ同期を再度有効化します
最後のケースでは、Active Directory ソースのユーザ データを再確認します。
問題 ディレクトリ同期環境では、無料の (コンシューマ組織) ユーザを企業組織に変換しましたが、変換されたWebex アプリユーザはサインインできません。
考えられる原因 無料のユーザが企業組織に変換されると、セキュリティコンプライアンス対策として30日間、ユーザの非アクティブステータスとしてマークされます。この間にユーザはサインインWebex アプリできず、30日間の終了時に削除のマークが付けられます。この状況は、無料のユーザ情報が Active Directory に存在しないために発生します。
解決法 ユーザアカウントを削除したくない場合は、アクションを実行する必要があります。この問題を解決するには、変換されたフリーユーザアカウントに対応するオンプレミスの Active Directory でユーザアカウントを作成します。次に、 Cisco Directory Connectorから同期を実行します。その後、ユーザはWebex アプリ再度サインインすることができ、アカウントは削除されません。
問題 差分同期が失敗します。
この問題は、次の条件下で、Windows Server 2008 R2 で発生する可能性があります。
増分値の更新をサポートします。
使用するフィルタは、リンクされた値属性を参照します。
この属性の結果値は、完全同期が最後に実行された時点以降に更新されました。
解決法 Windows Server 2008 R2 には、この問題に関連するバグがあります。バグは 2012 R2 以降で修正されています。Windows サーバを少なくとも 2012 R2 にアップグレードすることをお勧めします。
問題 [ユーザ dn (識別名)] の属性 [属性名] には、次の無効な値 [属性値] があります。
考えられる原因 CN = b, OU = Employees, OU = C Users, DC = c, DC = com, attribute [phone number] には、次の無効な値が含まれています: +。この属性には、少なくとも1つの数値を含める必要があります。
解決法 このユーザの属性に有効な値がありません。警告メッセージの説明に従って、値を修正します。その後、別の同期を実行します。
問題 一致したユーザは削除対象としてマークされます。
Active Directory とクラウド間のデータを確認するためにリハーサル同期を実行すると、両方で同じ電子メールアドレスが表示されることがあります。ただし、ユーザは削除するオブジェクトとしてマークされます。
解決法 適切な修正を選択します。
ユーザを削除し、後でライセンスをやり直すことができる場合は、Directory Connector を使用して修正を行うことができます。同期を実行してユーザを削除してから、別の同期を実行してオンプレミスの AD からクラウドにユーザを同期します。
ユーザアカウントを削除して再作成できない場合は、サポートとともにケースをオープンしてください。
問題 オンプレミスのエントリ [ユーザ dn (識別名)] を追加するときに必要な属性 [attribute_name]。すべての必須属性に値Control Hubが含まれるまで、エントリはに作成されません。
考えられる原因 必要な属性の電子メールアドレスがありません。オンプレミスエントリ [CN = Sales User, OU = エンジニア, OU = K, DC = k, DC = local] を追加すると、すべての必須属性Control Hubに値が含まれるまで、エントリはに作成されません。
解決法 ユーザ [user_email_address] に必要な属性のいずれかが欠落しています。そのユーザに必要な値を入力します。
問題 ネストされた Active Directory グループ内のユーザは、クラウドに正しく同期されません。
考えられる原因 子グループと親グループの両方を含むフィルタが使用されていますが、これはサポートされていません。例: (memberof = CN = testgroup1, CN = Users, DC = rktest2008, DC = org)
解決法 グループを同期するフィルタを再設定する必要があります。例: | (memberof = CN = testgroup1, CN = Users, DC = rktest2008, DC = org) (memberof = CN = testSubGroup グループ, CN = Users, DC =
rktest2008, DC = org)
問題 名前が [user email address]、ユーザ タイプが [user_type] の既存のクラウド エントリ オブジェクトで、[user dn] の名前が競合しています。
考えられる原因 この電子メール アドレスを持つユーザは、既に Control Hub に存在しています。
解決法 を使用Control Hubして登録したアカウントと同じ電子メールアドレスを使用して、Active Directory にユーザを作成します。
解決法 検索機能を使用して、ユーザアカウントを検索できます。コントロールハブで、[ユーザ (Users)] に移動し、[検索 (search)] をクリックし、検索条件を入力して特定のユーザを検索します。
トラブルシュートを有効にして、でディレクトリ コネクタ発生したエラーの診断に役立てることができます。トラブルシュートでは、ネットワークトラフィック情報をキャプチャしてファイルに保存することができます。
ログファイルは次のとおりです。 \ cisco system[cisco system] [Cisco Directory Connector\Logs
]
ステップ 1 |
|
||
ステップ 2 |
サービスを再起動します。 ガイダンスについては、「 How To Start Services」を参照してください。 |
||
ステップ 3 |
ディレクトリ コネクタで、[ダッシュボード(Dashboard)] をクリックします。 |
||
ステップ 4 |
[アクション(Actions)] に移動して、 の順に選択します。 |
||
ステップ 5 |
トラブルシュートを有効にした状態で、エラーの原因となったアクションを繰り返します。これにより、トラフィックデータがキャプチャされ、検査できるようになります。 |
||
ステップ 6 |
ログファイルを確認します。ファイルが空白の場合は、アカウントに AD DS または AD LDS にアクセスする権限があることを確認します。
|
||
ステップ 7 |
必要に応じて、サポートを受けるためにログファイルを送信します。 |
||
ステップ 8 |
完了したら、トラブルシュート機能を無効にします。 |
完全同期または差分同期中に発生したイベントを表示するには、イベントビューアを起動します。管理イベントとエラーログの概要が表示されます。
ステップ 1 |
ディレクトリ コネクタ で [ダッシュボード(Dashboard)] に移動して、 の順に選択します。 [Event Properties] ダイアログには、同期イベントの詳細とエラーの詳細が表示されます。 |
ステップ 2 |
イベントビューアから、 ] に移動します。 |
ステップ 3 |
[操作 (Actions)] で、[すべてのイベントを名前を付けて保存 (Save All Events As] をクリックして 、すべてのログを単一のイベントファイル (* evtx) または xml または csv などの別の形式としてエクスポートします。 |
ケースを開始する必要がある場合は、サポートに連絡し、コネクタの問題を説明してから、ケースにイベント ファイルを添付します。
(注) |
イベントログは、ユーザアクションをキャプチャします。ネットワーク トラフィックの管理に関するサポートを受けるには、コネクタでトラブルシューティングを有効にします。 |
シングルサインオン (SSO) プロバイダーを切り替えた場合は、次のエラーメッセージが表示さCisco directory connectorれることがあります。
サービスへのログイン中にエラーが発生しました
このページのスクリプトでエラーが発生しました
これらのエラーが表示された場合は、ブラウザで TLS 設定を有効にする必要があります。
ステップ 1 |
Internet Explorer を開いて、[ツール] を選択します。次に、有効にする TLS/SSL バージョンのボックスをオンにします。 [OK] をクリックしてブラウザを閉じ、再度開きます。 |
ステップ 2 |
[ Internet Options ] をクリックし、[ Advanced ] に移動して、[ Security] までスクロールします。 |
ステップ 3 |
[ USE tls 1.1 ] チェックボックスと [ Use tls 1.2 ] チェックボックスをオンにして、[ OK] をクリックします。 |
ステップ 4 |
システムを再起動して変更を有効にします。 |
Cisco directory connectorにサインインできない場合、または同期を実行できない場合は、サポートに連絡する前に、次の手順を使用して問題を解決してください。
ステップ 1 |
Web ブラウザでhttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBALにアクセスしてみてください。 |
||
ステップ 2 |
結果に応じて、次のいずれかを選択します。
|
||
ステップ 3 |
少なくとも、Cisco DirSync サービスに設定されているアカウント (Windows サービスに含まれるもの) に、アバターデータと AD データへのアクセスを許可する権限レベルがあることを確認します。デフォルトでは、サービスは Windows ログインアカウントのクレデンシャルと認証を活用します。 |
Safe dynamic link library (DLL) の検索モードは、Windows レジストリでデフォルトで設定され、ユーザの現在のディレクトリを DLL の検索順序の後に配置します。このモードが何らかの理由で無効になっている場合、攻撃者は悪意のある DLL (システムフォルダにある参照された DLL ファイルと同じ名前) をアプリケーションの現在の作業ディレクトリに配置する可能性があります。
通常、Saf Edllsearchmode は有効になっていますが、レジストリ設定をダブルチェックするには、次の手順を使用します。
注意 |
Windows レジストリの変更は、細心の注意を払って実行する必要があります。これらの手順を使用する前に、レジストリのバックアップを作成しておくことを推奨します。 |
ステップ 1 |
Windows の検索または Run ウィンドウで、 regeditと入力し、enter キーを押します。 |
ステップ 2 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager に移動します。 |
ステップ 3 |
次のいずれかを選択します。
|
詳細については、「ダイナミックリンクライブラリの検索順序」を参照してください。