Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=directory-service-AD-sync-install-FAQ

Häufig gestellte Fragen zur Installation der Active Directory-Synchronisierung

Antworten auf häufig gestellte Fragen zur Installation und Einrichtung der Active Directory-Synchronisierung (AD) finden Sie unter Sophos Central Admin.

Die AD-Synchronisierung ermöglicht es Ihnen, einen Dienst zu implementieren, der die Benutzer, Geräte und Gruppen von AD auf Sophos Central Admin abbildet und synchronisiert. Sie können dies mit „Active Directory Synchronization Setup“ einrichten.

Die häufig gestellten Fragen sind in zwei Teile unterteilt.

  • Diese Seite enthält Informationen über die Active Directory-Synchronisierungseinrichtung, Installation, unterstützte Plattformen, Synchronisierungsfehler, das Ändern von Verzeichnisdiensten und Entfernen der AD-Synchronisierung.

  • Allgemeine Informationen zur AD-Synchronisierung in Sophos Central Admin finden Sie unter Häufig gestellte Fragen zur Active Directory-Synchronisierung.

Was ist Active Directory Synchronization Setup?

Active Directory Synchronization Setup importiert die folgenden Objekte aus AD:

  • Benutzername
  • Anmeldeinformationen
  • E-Mail-Adresse
  • Gruppen und die Mitglieder jeder Gruppe

Die Einrichtung der Active Directory-Synchronisierung funktioniert wie folgt:

  • Es werden aktive Benutzer oder Benutzergruppen synchronisiert.

    Es werden keine vorhandenen Benutzer oder Gruppen dupliziert, wenn diese mit vorhandenen Sophos Central-Benutzern oder -Gruppen übereinstimmen. So kann beispielsweise eine E-Mail-Adresse aus AD zu einem vorhandenen Benutzer in Sophos Central hinzugefügt werden.

  • Es werden nur Gruppen mit mehr als einem Mitglied erstellt.

  • Es synchronisiert Geräte und Gerätegruppen. Informationen darüber, wie Geräte und Gruppen zugeordnet werden, sowie weitere hilfreiche Hinweise finden Sie unter Häufig gestellte Fragen zur Gerätegruppenerkennung.

Weitere Informationen zur Synchronisierung finden Sie in den Häufig gestellte Fragen zur Active Directory-Synchronisierung.

Was erwartet Active Directory Synchronization Setup von AD?

Um eine gesamte AD-Gesamtstruktur zu synchronisieren, müssen Sie Active Directory-Anmeldeinformationen für einen Benutzer mit Berechtigungen für die gesamte Gesamtstruktur bereitstellen.

Im Stammverzeichnis des Verzeichnisbaums des Hostservers benötigen Sie Folgendes:

  • Ein Attribut namens rootDomainNamingContext, das den Domänennamen (DN) des Stammverzeichnisses für die AD-Gesamtstruktur enthält.
  • Ein Attribut namens defaultNamingContext, das den DN des Hostservers enthält.

Außerdem benötigen Sie eine Sammlung von Einträgen unter CN=Partitions, CN=Configuration und <rootDomainNamingContext> und mindestens einen Eintrag, der alle der folgenden Elemente enthält:

  • Ein netBiosName-Attribut
  • Ein dnsRoot-Attribut
  • Ein nCName-Attribut

Für jeden dieser Einträge fügen wir den Wert seines nCName-Attributs (ein DN) in die zu suchenden Bereiche ein (aber nur, wenn dieser DN kein übergeordneter DN des in Active Directory Synchronization Setup angegebenen Host-Servers ist).

Wie viele Objekte kann ich maximal gleichzeitig synchronisieren?

Die maximale Anzahl von AD-Objekten, die wir getestet haben, liegt bei 30.000.

Bei mehr Objekten nimmt die Synchronisierung mit Sophos Central mehr Zeit in Anspruch.

Die Benutzeroberfläche reagiert langsamer, wenn Sie mehr als 40.000 Benutzereinträge in Ihrer Umgebung haben.

Welche Plattformen werden unterstützt?

Sie können Active Directory Synchronization Setup auf den folgenden Plattformen installieren und ausführen:

  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows 11
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Einschränkung

Wir unterstützen nur 64-Bit-Versionen.

Sie können den Domänencontroller (DC) auf den folgenden Plattformen installieren:

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
Kann ich mehrere AD-Gesamtstrukturen synchronisieren?

Sie können mehrere Gesamtstrukturen mit einem Sophos Central Admin-Konto auswählen und synchronisieren.

Wir empfehlen, eine Gesamtstruktur mit einem Sophos Central Admin-Konto zu synchronisieren. Wenn Sie eine Gesamtstruktur mit mehreren Konten synchronisieren, kann dies zu unvorhersehbarem Verhalten in Sophos Central Admin führen. Sie dürfen einen Benutzer oder eine E-Mail-Adresse nicht in mehreren Gesamtstrukturen verwenden. Wenn Sie doppelte Objekte haben, aktualisieren wir diese während der Synchronisierung mit Informationen aus jeder Gesamtstruktur. Bei der Synchronisierung werden keine Daten zusammengeführt. Dies bedeutet, dass der Eigentümer der Objekte (Verzeichnisquelle) sich in Sophos Central Admin nach jeder Synchronisierung ändern kann.

Wo kann ich Active Directory Synchronization Setup herunterladen?

Siehe Einrichtung der Active Directory-Synchronisierung.

Nachfolgende Upgrades werden automatisch in Active Directory Synchronization Setup durchgeführt. Bei jeder Synchronisierung wird auf eine neue Version geprüft.

Wie installiere ich Active Directory Synchronization Setup?

Siehe Herunterladen der Setup-Software und Überprüfen der Anmeldeinformationen.

Wie verschiebe ich Active Directory-Synchronisierungs-Server?

Siehe Verschieben von Active Directory-Synchronisierungs-Servern.

Wie kann ich die Active Directory-Synchronisierung entfernen?

Siehe Synchronisierte Active Directory-Daten löschen.

Warum sehe ich „???“ anstelle von UTF16- oder Double-Byte-Zeichen?

In der Vorschau von Active Directory Synchronization Setup können keine Doppelbyte-Zeichen angezeigt werden.

Beispiel für ein Problem mit der Zeichenanzeige.

Alle Daten werden gesendet und in Sophos Central angezeigt. Dieses Problem betrifft die Vorschau oder den Bildschirm zu ausstehenden Änderungen in Active Directory Synchronization Setup.

Wir planen, dies in einer zukünftigen Version von Active Directory Synchronization Setup zu beheben.

Fehler: Das Objekt existiert nicht.

Wenn Sie in Active Directory Synchronization Setup einen benutzerdefinierten Filter definiert haben und diese Organisationseinheit (OU) aus AD entfernen, werden die folgenden Fehler angezeigt:

Fehlgeschlagen
    synchronisierung mit Active Directory. Grund: SophosCloudADSyncLib.DisplayableException: Fehler
    bei einer LDAP-Anfrage. Bitte überprüfen Sie die angegebenen Verbindungseinstellungen. The LDAP
    server returned the following error: 0000208D: NameErr: DSID-03100213, problem 2001
(NO_OBJECT), data 0, best match of:

System.DirectoryServices.Protocols.DirectoryOperationException: The object does not exist.

Der Fehler verweist nicht auf den Namen der entfernten OU. Um diesen Fehler zu beheben, müssen Sie alle Filter überprüfen, die Sie unter AD-Filter eingerichtet haben. Verfahren Sie wie folgt:

  1. Klicken Sie auf Filter definieren.
  2. Entfernen Sie alle Filter, die auf Objekte verweisen, die aus Ihrem AD entfernt wurden.
Fehler: Fehlgeschlagene Active-Directory-Synchronisation

Die Fehlermeldung lautet: Error: Failed active directory synchronization. Characters with hexadecimal values 0xFFFE and 0xFFFF are not valid.

Dieser Fehler wird möglicherweise bei der Option Preview & Sync angezeigt, wenn Sie das Active Directory Synchronization Setup manuell ausführen.

AD kann ungültige Zeichen enthalten. Wenn Active Directory Synchronization Setup eine Vorschau der Daten anzeigt, die synchronisiert werden müssen, schlägt es mit diesem Fehler fehl.

Um diesen Fehler zu umgehen, verwenden Sie die Option zur geplanten Synchronisierung – automatisch (innerhalb der nächsten 2–3 Minuten). Dadurch wird der Vorschauschritt umgangen. Die Synchronisierung sollte erfolgreich sein.

Fehler: Fehler beim Synchronisieren des Datensatzes

Die Fehlermeldung lautet: Error: Error syncing record: Error deleting login...Reason: foreign key endpoint_user_sessions.user_match_id.

Sie können diese Fehlermeldung erhalten, wenn ein Problem beim Entfernen einer Anmeldung auftritt, die einem Benutzer zugeordnet ist, der in Active Directory entfernt oder deaktiviert wurde. Die Synchronisierung wird fortgesetzt und beendet, selbst wenn dieser Fehler auftritt.

Sie können diesen Fehler erst entfernen, wenn dieser mit Sophos Central Admin behoben wurde.

Fehler: Konfigurationseinstellungen konnten nicht validiert werden

Die Fehlermeldung lautet: Error: Failed to validate configuration settings. Reason: Unable to access Active Directory.

Dieser Fehler zeigt an, dass Active Directory Synchronization Setup keine Verbindung mit Ihrem Active Directory mithilfe der angegebenen Anmeldeinformationen oder Verbindung herstellen kann. Versuchen Sie Folgendes:

  • Stellen Sie sicher, dass Ihre Einstellungen korrekt sind (unter AD-Konfiguration in Active Directory Synchronization Setup) und dass Sie Anmeldeinformationen angegeben haben, die Zugriff auf die gesamte Gesamtstruktur haben (Enterprise Admin-Benutzer haben in der Regel diesen Zugriff).
  • Wenn Ihre LDAP-Umgebung SSL nicht unterstützt, müssen Sie Sicheres LDAP verwenden deaktivieren und die Portnummer entsprechend ändern. Wir empfehlen dies nicht.
  • Versuchen Sie, eine Verbindung zu Ihrem AD mit einem separaten AD-Synchronisationstool, wie z. B. LDP.EXE von Microsoft, mit denselben Anmeldeinformationen herzustellen.