Настройка модуля ADSync
Синхронизация данных
Модуль ADSync используется для синхронизации учетных записей и атрибутов пользователей между лесами Active Directory (облачное AD и AD клиента). Синхронизация выполняется в одностороннем режиме и позволяет поддерживать аккаунты, находящиеся в облаке в актуальном состоянии.
С помощью модуля ADSуnc возможно синхронизировать следующие типы объектов Active Directory:
- Учетные записи пользователей
- Атрибуты пользователей, синхронизируемые модулем ADSync:
- Address
- BusinessPhone
- City
- Company
- Country
- Department
- Description
- DirectManager
- DisplayName
- Fax
- FirstName
- HomePhone
- Initials
- JobTitle
- LastName
- MobilePhone
- Notes
- OfficeLocation
- Pager
- proxyAddresses ‘[EUM addresses Only]’
- sAMAccountName
- State
- UserPrincipalName
- wWWHomePage
- ZipCode
- Password
Синхронизация происходит в одностороннем порядке из AD клиента в облачное AD.
Обратная синхронизация не выполняется. В связи с этим для облачных пользователей с включенной синхронизацией отключено редактирование атрибутов через веб-интерфейс панели управления.
Ограничения при использовании модуля ADSync
Модуль для синхронизации каталога Active Directory Заказчика с облачным каталогом имеет следующие ограничения:
- Агент ADSync устанавливается только на локальные контроллеры домена Заказчика.
- Для работы синхронизации агент ADSync необходимо установить на все контроллеры домена
- После установки агента необходима перезагрузка контроллера домена
- Синхронизация происходит в одностороннем порядке из каталога Заказчика в Облако Softline
- После включения синхронизации для выбранных пользователей, редактирование атрибутов возможно только из каталога Заказчика, с помощью стандартной оснастки “Active Directory – пользователи и компьютеры”. В панели управление Machsol, после включения синхронизации, изменение атрибутов пользователей становится не доступно.
- Перед началом синхронизации необходимо сбросить все пароли пользователей (пользователи должны заново ввести пароли)
- Для работы ADSync необходимо установленное программное обеспечение «Microsoft Visual C++ 2010»
- Не поддерживается создание пользователей с помощью копирования в локальном (клиентском) каталоге Active Directory
Установка модуля ADSync
Установить на все контроллеры домена программное обеспечение «Microsoft Visual C++ 2010» в зависимости от разрядности системы (x64;x86) https://www.microsoft.com/ru-ru/download/details.aspx?id=26999
В зависимости от версии и редакции ОС может потребоваться установка старой версии Microsoft Visual C++ 2010.
- Установить на все контроллеры домена компонент .NET Framework 3.5.
- Установить программное обеспечение ADSync на все контроллеры домена ADsync 5.0 machsol.com/updates/installers/MachPanel_ADSync_x64_5.0.exe
machsol.com/updates/installers/MachPanel_ADSync_x86_5.0.exe
- Архивная версия ADsync 4.3
https://www.machsol.com/updates/installers/MachPanel_ADSync_x64_4.3.exe
https://www.machsol.com/updates/installers/MachPanel_ADSync_x86_4.3.exe
- При установке на первый контроллер домена необходимо выбрать пункт «Installation for Primary Domain Controller». При этом будет установлена служба ADSync.
- При установке на остальные контроллеры домена необходимо выбрать пункт «Installation for Additional Domain Controller».
Выбрать путь для установки:
Проверить настройки введеные на прошлых шагах:
Подтвердить завершение установки:
Конфигурация модуля ADSync
После установки, на контролере домена (Installation for Primary Domain Controller) появится ярлык AD Sync Configuration Studio. Необходимо запустить ее и заполнить поля согласно следующей инструкции:
Заполните предложенные поля:
Web Service Url: Адрес для подключения к панели управления https://panel.slcloud.ru/webservices/adsyncsvc.asmx
Admin Login: Административная учетная запись в локальном каталоге Active Directory
Для работы ADSync должна обладать следующими правами. Administrators, Domain Admins, Domain Users, Enterprise Admins, Organization Management.
Admin Password: Пароль администратора
Domain Netbios Name: Netbios имя локального каталоге Active Directory
Sync Interval: Промежуток между синхронизациями данных
Log Folder: Путь к папке для хранения логов ADSync
Enable Logging: Включение/Отключение логирования событий
Service User Name: Логин пользователя для доступа к панели управления
Service Password: Пароль пользователя
Select Hosted Organization: Название организации
Local OU LDAP: Путь к синхронизируемой OU в локальном каталоге Active Directory
Enable Auto Mapping: Включение/Отключение возможности автоматического прикрепления локальных пользователей к облачным
Auto create new Users: Включение/Отключение возможности автоматического создания пользователей в облаке провайдера. На основании UPN или Display Name локального пользователя
Add Profile: Сохранение текущей конфигурации
После сохранения изменений необходимо скопировать файл C:\Program Files\ADSyncSyncConfigurations.xml в папку $Windir\System32 на все контролеры домена.
Далее необходимо убедиться, что политики паролей в локальном Active Directory соответствует политики в облачном AD
Требования к паролю в облачном AD:
- Длина пароля должна быть не меньше 7 символов
- Пароль должен содержать минимум одну заглавную буквы и одну маленькую букву
- Пароль должен содержать минимум одну цифру
После завершения настроек необходимо перезагрузить все контроллеры домена.
Выбор пользователей для синхронизации
Для настройки синхронизации пользователей с облаком провайдера необходимо перейти во вкладку «Configure Mapping»
Далее для включения синхронизации с облаком провайдера необходимо установить галку «Enable Sync», напротив необходимого пользователя. И сделать сопоставление между пользователем из Active Directory провайдера и Active Directory клиента.
Заполните предложенные поля:
Local User: Пользователь для синхронизации в локальном Active Directory
Hosted User: Пользователь для синхронизации в облаке провайдера
Enable Sync: Включение/Отключение синхронизации для выбранного пользователя с облаком провайдера
После изменения настроек необходимо выполнить следующие действия: Все пользователи, выбранные для синхронизации с облаком провайдера, должны обязательно изменить пароль. Рекомендуется перед перезагрузкой контроллеров домена установить галку «User must change password at next logon»
Поиск и устранение возможных проблем
В случае неработоспособности синхронизации, необходимо, что выполнены следующие пункты:
- Включить ведение логов в настройках клиента ADSync. Проверить их на наличие возможных ошибок.
- Проверить наличие ADSyncPolicy, ADSync.ClientHelper, ADSync.PolicyLogger” dll f в папке $Windir\System32 на все контролеры домена.
- Убедится, что в политиках безопасностей паролей пользовтелей выбрано значение «Password Must meet complexity requirements»
- Программное обеспечение «Microsoft Visual C++ 2010» установлено на все контроллеры домена
- Убедится, что программное обеспечение ADSync установлено на все контроллеры домена
- Проверить, что учетной записи, используемой для работы ADSync предоставлены необходимые права: Administrators, Domain Admins, Domain Users, Enterprise Admins, Organization Management.
- Проверить, что все контроллеры домена были перезагружены после установки ADSync
- Все пользователи, выбранные для синхронизации с облаком провайдера, изменили свой пароль
Обновление утилиты ADSync до версии v5.0
Скачать обновление для старых версий до ADsync 5.0: machsol.com/Updates/ADSync/v5.0.0.0.zip
Процедура Обновления:
а. Автоматическое обновление:
Если вы хотите выполнить автоматическое обновление, пожалуйста, запустите ADSync.UpdateInstaller.exe, пожалуйста, используйте опцию "Запуск от имени администратора".
Кроме того, вам необходимо вручную запустить файл реестра (ADSync.PolicyLogger.reg) из каталога обновлений после завершения процесса обновления.
Данную процедуру требуется произвести на всех домен-контроллерах.
b. Ручное обновление: Для обновления вручную выполните следующие действия.
1. Удалите запись " ADSyncPolicy” из “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\Notification Packages“.
2. Перезагрузите контроллер домена.
3. Заменить “ADSyncPolicy.dll, ADSync.PolicyLogger.dll и ADSync.ClientHelper.dll” файлы в папке "$windir\System32".
4. Остановите ADSyncSvc с помощью Сервисов.
5. Заменить "ADSync.ClientHelper.dll, ADSync.ConfigStudio.exe и ADSyncSvc.exe" в папке установки
примера ADSync "C:\Program Files\MachSol\ADSync".
6. Добавьте запись “ADSyncPolicy” в " HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\Notification Packages“.
7. Дважды щелкните или запустите файл " ADSync.PolicyLogger.reg”, чтобы обновить версию связанной сборки в реестре Windows.
8. Перезагрузите компьютер.
9. Повторите шаги 1-8 для всех дополнительных/вторичных/резервных контроллеров домена.