對Umbrella儀表板中缺失的Active Directory使用者進行故障排除

簡介

本文檔介紹如何對Umbrella儀表板中缺少的Active Directory(AD)使用者進行故障排除。

概觀

OpenDNS聯結器針對Active Directory運行同步，以返回AD使用者、組和電腦的清單。然後，此清單將被安全地發佈到Umbrella控制面板中，以便用於策略和報告。

附註：如果您使用的是1.1.24版或更高版本的Connector軟體，則可以指定將哪些AD組同步到Umbrella。

您可以通過導航到部署>核心身份>使用者和組來檢查哪些對象已同步到儀表板。 

方案1 — 儀表板中缺少的所有使用者和組

如果「標識」頁籤中缺少所有使用者，則表明未發生AD同步。 

26022106541844

潛在原因包括： 

• 尚未配置Active Directory整合，或者未安裝OpenDNS聯結器。有關詳細資訊，請參閱Active Directory身份整合文檔。
• OpenDNS聯結器無法與所需埠上的域控制器聯絡。 
• 存在許可權錯誤，阻止OpenDNS_Connector使用者通過LDAP讀取目錄。
• OpenDNS_Connector使用者帳戶（用於同步）出現問題。  聯結器安裝過程中輸入的密碼可能不正確，或者該帳戶可能被鎖定。
• OpenDNS聯結器服務已安裝，但未運行。最常見的原因是未安裝ldifde.exe（用於通過LDAP執行AD同步）（最常見的是它包含在AD LDS角色中），尤其是當聯結器安裝在域控制器以外的電腦上時。請檢視非DC安裝的先決條件。
• C:\CiscoUmbrellaADGroups.dat 檔案存在，但為空或格式不正確。

有關詳細資訊，請與思科保護傘支援部門聯絡並提供聯結器日誌。

方案2 — 儀表板中缺少的新建立使用者/組

聯結器經常與Active Directory同步，以確定使用LDAP對目錄是否進行了任何更改。如果最近進行了更改，則會執行完全LDAP同步。新使用者/組可能需要幾個小時才能在儀表板中生效。

如果從未出現新使用者，則可能是由於：

• OpenDNS_Connector帳戶沒有「複製目錄更改」的許可權，這是使用者監視AD中的更改所必需的。請確保OpenDNS_Connector是「Enterprise Read-Only Domain Controllers」組的成員，以分配正確的許可權。
• 聯結器以前能夠同步，但現在無法同步。請參閱本文中的步驟以解決問題。 

場景3 — 儀表板中缺少特定AD對象

我們建議您建立自己的AD組以在Umbrella策略中使用。 
域管理員和幾個其他「預設」組將從同步中排除。許多與後台軟體（如Exchange、SQL和WSUS）關聯的已知組也會從AD同步中排除。

如果C:\CiscoUmbrellaADGroups.dat檔案存在，請驗證它是否指定了包含缺失AD對象的AD組。

場景4 - AD同步正在工作，但某些AD對象未同步

檢查OpenDNS_Connector使用者是否具有從缺少對象「讀取」資訊的許可權。在Active Directory中，所有對象（包括使用者、組和電腦）都有自己的ACL許可權，以確定誰可以讀取其屬性。有關詳情，請參閱以下文章：  許可權故障排除

如果C:\CiscoUmbrellaADGroups.dat 檔案存在，請驗證它是否指定包含未同步AD對象的AD組。 

場景5 — 某些內建的AD組和角色在Cisco Umbrella策略嚮導中不可見

部署Umbrella Active Directory整合元件（特別是AD聯結器）後，您發現在Umbrella策略嚮導中找不到某些內建的AD組。

但是，未內建的AD組、AD使用者和AD電腦仍按預期在Umbrella策略嚮導中找到。AD聯結器故意不會將內建AD組匯入到Umbrella API。因此，您預計無法為這些組定義策略。有關詳細資訊，請參閱此知識庫文章：為什麼某些內建的Active Directory組不會顯示在Umbrella策略嚮導中？