Настройка модуля ADSync

Настройка модуля ADSync

Вернуться в Базу знаний
 

Синхронизация данных

Модуль ADSync используется для синхронизации учетных записей и атрибутов пользователей между лесами Active Directory (облачное AD и AD клиента). Синхронизация выполняется в одностороннем режиме и позволяет поддерживать аккаунты, находящиеся в облаке в актуальном состоянии.

С помощью модуля ADSуnc возможно синхронизировать следующие типы объектов Active Directory:

  1. Учетные записи пользователей
  2. Атрибуты пользователей, синхронизируемые модулем ADSync:
  • Address
  • BusinessPhone
  • City
  • Company
  • Country
  • Department
  • Description
  • DirectManager
  • DisplayName
  • Fax
  • Email
  • FirstName
  • HomePhone
  • Initials
  • JobTitle
  • LastName
  • MobilePhone
  • Notes
  • OfficeLocation
  • Pager
  • proxyAddresses ‘[EUM addresses Only]’
  • sAMAccountName
  • State
  • UserPrincipalName
  • wWWHomePage
  • ZipCode
  • Password

Синхронизация происходит в одностороннем порядке из AD клиента в облачное AD.

Обратная синхронизация не выполняется. В связи с этим для облачных пользователей с включенной синхронизацией отключено редактирование атрибутов через веб-интерфейс панели управления.

Ограничения при использовании модуля ADSync
 

Модуль для синхронизации каталога Active Directory Заказчика с облачным каталогом имеет следующие ограничения:

  • Агент ADSync устанавливается только на локальные контроллеры домена Заказчика.
  • Для работы синхронизации агент ADSync необходимо установить на все контроллеры домена
  • После установки агента необходима перезагрузка контроллера домена
  • Синхронизация происходит в одностороннем порядке из каталога Заказчика в Облако Softline
  • После включения синхронизации для выбранных пользователей, редактирование атрибутов возможно только из каталога Заказчика, с помощью стандартной оснастки “Active Directory – пользователи и компьютеры”. В панели управление Machsol, после включения синхронизации, изменение атрибутов пользователей становится не доступно.
  • Перед началом синхронизации необходимо сбросить все пароли пользователей (пользователи должны заново ввести пароли)
  • Для работы ADSync необходимо установленное программное обеспечение «Microsoft Visual C++ 2010»
  • Не поддерживается создание пользователей с помощью копирования в локальном (клиентском) каталоге Active Directory
 

Установка модуля ADSync
 

  1. Установить на все контроллеры домена программное обеспечение «Microsoft Visual C++ 2010» в зависимости от разрядности системы (x64;x86)
    https://www.microsoft.com/en-US/Download/confirmation.aspx?id=14632

     
  2. Установить программное обеспечение ADSync на все контроллеры домена


    ADsync 4.3
    https://www.machsol.com/updates/installers/MachPanel_ADSync_x64_4.3.exe
    https://www.machsol.com/updates/installers/MachPanel_ADSync_x86_4.3.exe

 

  • При установке на первый контроллер домена необходимо выбрать пункт «Installation for Primary Domain Controller». При этом будет установлена служба ADSync.
  • При установке на остальные контроллеры домена необходимо выбрать пункт «Installation for Additional Domain Controller».

Выбрать путь для установки:

Проверить настройки введеные на прошлых шагах:

Подтвердить завершение установки:

 

Конфигурация модуля ADSync
 

После установки, на контролере домена (Installation for Primary Domain Controller) появится ярлык AD Sync Configuration Studio. Необходимо запустить ее и заполнить поля согласно следующей инструкции:

Заполните предложенные поля:

Web Service Url: Адрес для подключения к панели управления https://panel.slcloud.ru/webservices/adsyncsvc.asmx

Admin Login: Административная учетная запись в локальном каталоге Active Directory

Для работы ADSync должна обладать следующими правами. Administrators, Domain Admins, Domain Users, Enterprise Admins, Organization Management.

Admin Password: Пароль администратора

Domain Netbios Name: Netbios имя локального каталоге Active Directory

Sync Interval: Промежуток между синхронизациями данных

Log Folder: Путь к папке для хранения логов ADSync

Enable Logging: Включение/Отключение логирования событий

Service User Name: Логин пользователя для доступа к панели управления

Service Password: Пароль пользователя

Select Hosted Organization: Название организации

Local OU LDAP: Путь к синхронизируемой OU в локальном каталоге Active Directory

Enable Auto Mapping: Включение/Отключение возможности автоматического прикрепления локальных пользователей к облачным

Auto create new Users: Включение/Отключение возможности автоматического создания пользователей в облаке провайдера. На основании UPN или Display Name локального пользователя

Add Profile: Сохранение текущей конфигурации

После сохранения изменений необходимо скопировать файл C:\Program Files\ADSyncSyncConfigurations.xml в папку $Windir\System32 на все контролеры домена.

Далее необходимо убедиться, что политики паролей в локальном Active Directory соответствует политики в облачном AD

Требования к паролю в облачном AD:

  • Длина пароля должна быть не меньше 7 символов
  • Пароль должен содержать минимум одну заглавную буквы и одну маленькую букву
  • Пароль должен содержать минимум одну цифру

 После завершения настроек необходимо перезагрузить все контроллеры домена.

Выбор пользователей для синхронизации
 

Для настройки синхронизации пользователей с облаком провайдера необходимо перейти во вкладку «Configure Mapping»

Далее для включения синхронизации с облаком провайдера необходимо установить галку «Enable Sync», напротив необходимого пользователя. И сделать сопоставление между пользователем из Active Directory провайдера и Active Directory клиента.

Заполните предложенные поля:

Local User: Пользователь для синхронизации в локальном Active Directory

Hosted User: Пользователь для синхронизации в облаке провайдера

Enable Sync: Включение/Отключение синхронизации для выбранного пользователя с облаком провайдера

После изменения настроек необходимо выполнить следующие действия: Все пользователи, выбранные для синхронизации с облаком провайдера, должны обязательно изменить пароль. Рекомендуется перед перезагрузкой контроллеров домена установить галку «User must change password at next logon»

Поиск и устранение возможных проблем


В случае неработоспособности синхронизации, необходимо, что выполнены следующие пункты:

  • Включить ведение логов в настройках клиента ADSync. Проверить их на наличие возможных ошибок.

  • Проверить наличие ADSyncPolicy, ADSync.ClientHelper, ADSync.PolicyLogger” dll f в папке $Windir\System32 на все контролеры домена.
  • Убедится, что в политиках безопасностей паролей пользовтелей выбрано значение «Password Must meet complexity requirements»
  • Программное обеспечение «Microsoft Visual C++ 2010» установлено на все контроллеры домена
  • Убедится, что программное обеспечение ADSync установлено на все контроллеры домена
  • Проверить, что учетной записи, используемой для работы ADSync предоставлены необходимые права: Administrators, Domain Admins, Domain Users, Enterprise Admins, Organization Management.
  • Проверить, что все контроллеры домена были перезагружены после установки ADSync
  • Все пользователи, выбранные для синхронизации с облаком провайдера, изменили свой пароль

Заголовок формы
Настоящим в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006, отправляя данную форму, вы подтверждаете свое согласие на обработку персональных данных. Мы, ЗАО «СофтЛайн Интернейшнл» и аффилированные к нему лица, гарантируем конфиденциальность получаемой нами информации. Обработка персональных данных осуществляется в целях эффективного исполнения заказов, договоров и пр. в соответствии с «Политикой конфиденциальности персональных данных».