排除Umbrella控制面板中缺失的Active Directory用户故障

简介

本文档介绍如何对Umbrella控制面板中缺少的Active Directory(AD)用户进行故障排除。

概述

OpenDNS Connector针对Active Directory运行同步，以返回AD用户、组和计算机的列表。然后，此列表会安全地发布到Umbrella控制面板，以便用于策略和报告。

注意：如果您使用的是1.1.24或更高版本的连接器软件，可以指定将哪些AD组同步到Umbrella。

通过导航到部署>核心身份>用户和组，可以检查哪些对象已同步到控制面板。 

场景1 — 控制面板中缺少的所有用户和组

如果身份选项卡中缺少所有用户，则表示未发生AD同步。 

26022106541844

潜在原因包括： 

• 尚未配置Active Directory集成，或未安装OpenDNS连接器。有关详细信息，请参阅Active Directory身份集成文档。
• OpenDNS连接器无法联系所需端口上的域控制器。 
• 出现权限错误，阻止OpenDNS_Connector用户通过LDAP读取目录。
• OpenDNS_Connector用户帐户（用于同步）出现问题。  在连接器安装过程中输入的密码可能不正确，或者该帐户可能被锁定。
• OpenDNS连接器服务已安装但未运行。最常见的原因是未安装ldifde.exe（用于通过LDAP执行AD同步）（最常见的是它包含在AD LDS角色中），尤其是当连接器安装在域控制器之外的计算机上时。请查看非DC安装的先决条件。
• C:\CiscoUmbrellaADGroups.dat文件存在，但为空或格式不正确。

有关更多信息，请通过连接器日志联系Cisco Umbrella支持。

场景2 — 控制面板中缺少的新创建用户/组

连接器经常与Active Directory同步，以确定使用LDAP对目录是否进行了任何更改。如果最近有更改，则会执行完全LDAP同步。新用户/组可能需要几个小时才能在控制面板中生效。

如果从未出现新用户，则可能是由于：

• OpenDNS_Connector帐户没有“复制目录更改”的权限，这是我们监视AD中的更改所必需。确保OpenDNS_Connector是“企业只读域控制器”组的成员，以分配正确的权限。
• 连接器以前可以同步，但现在无法同步。请参阅本文中的步骤以解决此问题。 

场景3 — 控制面板中缺少特定AD对象

我们建议您创建自己的AD组以在Umbrella策略中使用。 
域管理员和几个其他“默认”组将从同步中排除。许多与后台软件（如Exchange、SQL和WSUS）关联的已知组也从AD同步中排除。

如果C:\CiscoUmbrellaADGroups.dat文件存在，请验证它是否指定包含缺失AD对象的AD组。

场景4 - AD同步正在工作，但某些AD对象未同步

检查OpenDNS_Connector用户是否有权从缺失的对象中“读取”信息。在Active Directory中，所有对象（包括用户、组和计算机）都有自己的ACL权限，以确定谁可以读取其属性。有关详情，请参阅以下文章：  权限故障排除

如果C:\CiscoUmbrellaADGroups.dat文件存在，请验证它是否指定包含非同步AD对象的AD组。 

场景5 — 某些内置AD组和角色在Cisco Umbrella策略向导中不可见

部署Umbrella Active Directory集成组件（尤其是AD连接器）后，您发现在Umbrella策略向导中找不到某些内置AD组。

但是，非内置AD组、AD用户和AD计算机仍可按预期在Umbrella策略向导中找到。AD连接器故意不会将内置AD组导入到Umbrella API。因此，预计您无法为这些组定义策略。有关详细信息，请参阅此知识库文章：为什么某些内置Active Directory组不会显示在Umbrella策略向导中？