Конфигурация модуля ADSync

После установки, на контролере домена (Installation for Primary Domain Controller) появится ярлык AD Sync Configuration Studio.

Запустите оснастку для дальнейшей настройки.

После запуска, оснастка откроется на домашней странице, раздел «Home», где доступны ссылки на раздел настройки подключений

 «Settings» - отвечает за настройки подключения AD, в котором вы установили утилиту MachPanel ADSync.

«Profiles» - отвечает за настройки взаимодействия с сервисной AD Вашей организации со стороны сервиса Виртуальный офис.

Процедура настройки

1. Перейдите в раздел «Settings», для настройки подключения со стороны локальной AD и укажите необходимые параметры в подразделе «General Settings»:

• Control Panel URL – адрес веб-службы панели управления - адрес для подключения к панели управления https://panel.slcloud.ru/webservices/adsyncsvc.asmx
• Domain NetBIOS – Netbios имя локального каталоге Active Directory

• Srvice Account – Административная учетная запись в локальном каталоге Active Directory - учетная запись администратора локальной AD с разрешениями на выполнение локальных операций. Для работы с ADSync должна обладать следующими правами: Administrators, Domain Admins, Domain Users, Enterprise Admins, Organization Management.

• Password – Пароль администратора

Далее требуется установить необходимые параметры дополнительных настроек в подразделе «Advanced Settings»:

• Sync Data Attribute – Атрибут синхронизации данных в ADSync от MachSol отвечает за синхронизацию данных между различными источниками данных и Active Directory (AD). Этот атрибут позволяет обновлять информацию в AD на основе данных из других систем или источников. "Sync Data Attribute" используется ADSync для хранения зашифрованной информации о пользователе. В основном хранится его зашифрованный пароль, который очищается при синхронизации с панелью управления. Имя атрибута, заданное в 'Sync Data Attribute', используется для перехвата информации об обновлении пароля и хранения его хэша в этом атрибуте. По умолчанию используется атрибут «division», но если данный атрибут уже задействован, к примеру, для работы сторонней утилиты синхронизации User AD, то рекомендуем установить иной не задействованный атрибут, чаще всего задействуют один из ExtensionAttribute.

• Sync data every – Промежуток между синхронизациями данных. Вы можете указать интервал синхронизации или использовать опцию «Sync Now», оптимальным, по мнению вендора, считается интервал от 5 до 10 минут.

• Logging Enabled – Опция включения\отключения журналирования работы ADSync. Хотя данная опция не обозначена как обязательная, все же мы рекомендуем включить журналирование, так как данные журналы могут потребоваться для диагностики.

• Logs Folder – Путь к папке для хранения логов ADSync - Выберите папку журнала, чтобы создать в ней файлы журнала, если требуется ведение журнала. Путь к папке журналов ADSync не должен относиться к рабочему столу PDC, а предоставленный путь к журналу также должен присутствовать на всех ADC. Рекомендуемый путь к папке журналов - C:\Program Files\ADSync\Logs. Если выбрана другая папка, проверьте, что пользователь admin имеет права на чтение/запись этой папки.

• Pruge Logs After – выберите количество дней, по истечении которых журналы будут удаляться из папки ADSync.

После завершения настройки нажмите «Save».

После сохранения изменений необходимо скопировать файл C:\Program Files\ SyncConfigurations.xml в папку $Windir\System32 и в C:\Program Files\ADSync, на все контролеры домена.

Важно! После завершения настроек необходимо перезагрузить все контроллеры домена.

2. Следующим этапом идет настройка профилей синхронизации. Перейдите в раздел «Profiles» и добавьте новый профиль «Add Profile».

При добавлении профиля отобразятся следующие поля:

• Organization – Путь к синхронизируемой OU в локальном каталоге Active Directory. Поле ввода для установки LDAP организации Local-AD/On-Premises, или воспользуйтесь значком справа , чтобы перечислить все локальные организации и выбрать одну из них. Это поле редактируемое, поэтому вы можете даже указать ROOT, чтобы все пользователи под этим AD попали в список одновременно. Вы можете указать ROOT, если пользователи находятся под разными OU и вы хотите перечислить их всех за один раз. В случае больших AD рекомендуется использовать только определенные OU, чтобы ускорить процесс, так как загрузка всех пользователей в случае больших AD займет много времени.
• Users custom filter – Фильтр для пользователей.

Руководства по выражениям фильтра:

• • https://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx
  • https://docs.microsoft.com/en-us/windows/win32/adsi/search-filter-syntax
• Sync Security Groups – Опция синхронизация групп безопасности - из-за особенности архитектуры публичного решения, рекомендуем отключить данную функцию. При миграции групп из локальной AD - будут не функциональны, из-за различия в идентификаторах.
• Group custom filter: Определение пользовательского фильтра для групп безопасности -– из-за особенности архитектуры публичного решения, рекомендуем отключить данную функцию. При миграции групп из локальной AD - будут не функциональны, из-за различия в идентификаторах.
• Auto create new users – Позволяет включать/отключать автоматическое создание пользователя Local-AD в размещенном AD. Эта опция позволяет клиенту, чтобы любой новый пользователь, созданный в локальном подразделении, для этого профиль будет автоматически создан на хостинге – в сервисной AD.
• Enable user auto mapping – Включить/отключить автоматическое сопоставление всех существующих пользователей. Все существующие пользователи будут автоматически сопоставляется с выбранной размещенной организацией на основе UPN и DisplayName соответственно.

Далее требуется выполнить настройку размещения организации в подразделе «Hosted Organization»:

• User Name (e-mail address) – Имя для входа в учетную запись клиента в MachPanel в формате: user@domain.com - учетная запись администратора в панели управления MachSol Panel.

• Password – Пароль от учетной записи администратора в панели управления MachSol Panel.

• Target OU – OU организации со стороны сервисной AD, подтягивается с сервера автоматически при нажатии на «Fletch Hosted Orgs», если все условия были соблюдены.

Настройка сопоставлений в профилях

После созданные профили будут отображены в целевом разделе и доступны для изменений. Для настройки сопоставления пользователей в определенном OU нажмите «Mapping» напротив целевого профиля.

В открывшемся окне будут отражены пользователи локальной AD из выбранного в профиле OU\контейнера, если опции «Auto Mapping» и «Auto Creatre User» отключены, то по умолчанию выбранные пользователи не будут синхронизированы, как на скриншоте:

В столбцах настройки сопоставления отображены следующие данные:

• Local User – Отображение пользователя в локальной AD доступного для синхронизации, в соответствии с настройками выбранного профиля.
• Hosted User – Отображения сопоставления в с пользователем в сервисной AD, если сопоставление не применено то позволяет выбрать варианты, либо «--Create new--» - что при синхронизации создаст нового пользователя в сервисной AD на основе синхронизированных атрибутов исходного пользователя локальной AD. Либо, при их наличии, выбрать существующего пользователя из сервисной AD, тогда после синхронизации атрибуты целевого пользователя сервисной AD примут значения исходного пользователя локальной AD.
• Enable Sync – статус включения\отключения синхронизации.

Пример сопоставления пользователей при использовании опции «Auto Mapping»:

Предположим, что в сервисной AD есть следующие пользователи:

1. one@livead.com
2. two@livead.com
3. xzy@livead.com Отображаемое имя: Gorge John

И локальный AD, имеющий следующих пользователей:

1. abc@localad.com Отображаемое имя: Gorge John
2. One@localad.com
3. new@Localad.com
4. lmn@Localad.com

Номер 3 из сервисной AD будет сопоставляться с номером 1 в LocalAD на основе отображаемого имени ( Display Name ).

Номер 1 из сервисной AD будет сопоставляться с номером 2 из LocalAD на основе UPN

После выполнения настроек нажмите «Save» для сохранения изменений, затем «Exit» что бы выйти из настройки сопоставления профиля. После выполнения настроек всех профилей, в исходном разделе «Profiles» выполните действие досрочной синхронизации «Sync».

Функции принудительной синхронизации:

• Sync – Кнопка инициирует синхронизацию только недавно обновленные данные пользователей
• Resync – Кнопка инициирует полную синхронизацию всех данные пользователей. Не имеет значения, обновлен ли пользователь/группы недавно или нет, что дает дополнительную нагрузку.

Важные замечания и рекомендации вендора!

1. После завершения первичных настроек, для первичной синхронизации необходимо принудительно изменить пароль всем пользователям локальной AD поставленным на синхронизацию, а затем перезагрузить все контроллеры домена. ADSIEdit не поддерживается. Изменение пароля с помощью любого носителя (кроме ADSIEdit.msc) фиксируется ADSync. 

2. При установке пароля, убедитесь, что пароль не противоречит выбранной парольной политике установленной со стороны сервиса, по умолчанию: Минимальная длина 8 символов и должна содержать как минимум 1 заглавную букву, 1 строчную букву и 1 цифру. Настоятельно не рекомендуем использовать простые пароли. 

3. Настоятельно не рекомендуем использовать кириллические символы в паролях, так как многие почтовые клиенты их не поддерживают. 

4. Если при первичной синхронизации пароли у исходных пользователей локальной AD не были сброшены, то пароль не синхронизируется, так как он еще не будет записан атрибут синхронизации и соответственно не будет передан на сервер. В таком случае, сбросьте пароль исходных пользователей AD после чего выполните «Sync» в разделе «Profiles». 

Не нашли инструкцию?

Заполните форму, и наш специалист свяжется с вами.

Мы дополним информацию и ответим на ваш вопрос.

Оставить заявку