Solucione problemas de usuários do Ative Diretory ausentes no painel Umbrella

Introdução

Este documento descreve como solucionar problemas de usuários do Ative Diretory (AD) que estão faltando no painel do Umbrella.

Overview

O OpenDNS Connector executa uma sincronização no Ative Diretory para retornar uma lista de usuários, grupos e computadores do AD. Em seguida, essa lista é publicada com segurança no painel do Umbrella para que possa ser usada para políticas e relatórios.

Note: Se você estiver usando a versão 1.1.24 ou superior do software Connector, é possível especificar quais grupos do AD estão sincronizados com o Umbrella.

Você pode verificar quais objetos foram sincronizados com o Painel navegando até Implantações > Identidades Principais > Usuários e Grupos. 

Cenário 1 - Todos os usuários e grupos ausentes do painel

Se todos os usuários estiverem ausentes na guia Identidades, isso indica que a sincronização do AD não ocorreu. 

26022106541844

As causas potenciais incluem: 

• A integração com o Ative Diretory não foi configurada ou o OpenDNS Connector não está instalado. Para obter mais informações, consulte a documentação do Ative Diretory Identity Integrations.
• O conector OpenDNS não pode contatar o Controlador de Domínio nas portas necessárias. 
• Há um erro de permissões que impede que o usuário do OpenDNS_Connector leia o diretório via LDAP.
• Há um problema com a conta de usuário do OpenDNS_Connector (usada para a sincronização).  A senha inserida durante a instalação do conector pode estar incorreta ou a conta pode estar bloqueada.
• O serviço do conector OpenDNS está instalado, mas não está funcionando. A causa mais comum é que o ldifde.exe (usado para executar a sincronização do AD via LDAP) não está instalado (geralmente está incluído na função do AD LDS), principalmente quando o Conector está instalado em uma máquina que não seja um Controlador de Domínio. Exiba os pré-requisitos para instalação não DC.
• O arquivo C:\CiscoUmbrellaADGroups.dat existe, mas está vazio ou tem um formato incorreto.

Para obter mais informações, entre em contato com o suporte do Cisco Umbrella com os registros do Connector.

Cenário 2 - Usuários/grupos recém-criados ausentes do painel

O Conector frequentemente sincroniza com o Ative Diretory para determinar se houve alguma alteração no diretório usando LDAP. Se tiver havido uma alteração recente, uma sincronização LDAP completa será executada. Pode levar várias horas para que novos usuários/grupos entrem em vigor no Painel.

Se novos usuários nunca aparecerem, isso pode ocorrer devido a:

• A conta do OpenDNS_Connector não tem permissão para 'replicar alterações de diretório', o que é necessário para que possamos monitorar alterações no AD. Certifique-se de que o OpenDNS_Connector seja membro do grupo 'Controladores de Domínio Corporativos Somente Leitura' para atribuir as permissões corretas.
• O conector pôde ser sincronizado anteriormente, mas agora não pode. Consulte as etapas neste artigo para resolver o problema. 

Cenário 3 - Objetos específicos do AD estão faltando no painel

Recomendamos que você crie seus próprios grupos de AD para uso dentro das políticas do Umbrella. 
Os administradores do domínio e vários outros grupos "padrão" são excluídos da sincronização. Muitos grupos conhecidos associados ao software de segundo plano (como Exchange, SQL e WSUS) também são excluídos da sincronização do AD.

Se o arquivo C:\CiscoUmbrellaADGroups.dat existir, verifique se ele especifica um grupo do AD que inclui os objetos ausentes do AD.

Cenário 4 - A Sincronização do AD está funcionando, mas alguns objetos do AD não estão sincronizados

Verifique se o usuário do OpenDNS_Connector tem permissão para "Ler" informações dos objetos ausentes. No Ative Diretory, todos os objetos (incluindo usuários, grupos e computadores) têm suas próprias permissões de ACL para determinar quem pode ler seus atributos. Para obter mais informações, consulte este artigo:  Solução de problemas de permissões

Se o arquivo C:\CiscoUmbrellaADGroups.dat existir, verifique se ele especifica um grupo do AD que inclui os objetos do AD não sincronizados. 

Cenário 5 - Determinados grupos e funções internos do AD não estão visíveis no Assistente de política do Cisco Umbrella

Após implantar os componentes de integração do Ative Diretory do Umbrella, especificamente o Conector do AD, você descobre que determinados grupos do AD internos não são encontrados no assistente de Política de Guarda-Chuva.

No entanto, grupos do AD não internos, usuários do AD e computadores do AD ainda são encontrados no Assistente de diretiva de guarda-chuva conforme esperado. O Conector AD não importa grupos AD internos para a API do Umbrella. Como tal, espera-se que você não seja capaz de definir políticas para esses grupos. Consulte este artigo da Base de conhecimento para obter mais detalhes: Por que determinados grupos internos do Ative Diretory não estão sendo exibidos no assistente de Política de guarda-chuva?