Häufig gestellte Fragen zur Installation der Active Directory-Synchronisierung

Antworten auf häufig gestellte Fragen zur Installation und Einrichtung der Active Directory-Synchronisierung finden Sie unter Sophos Central Admin.

Die Active Directory-Synchronisierung ermöglicht es Administratoren, einen Dienst zu implementieren, der die Benutzer und Gruppen von Active Directory auf Sophos Central Admin abbildet und synchronisiert. Sie können dies mit „Active Directory Synchronization Setup“ einrichten.

Die häufig gestellten Fragen zu Active Directory sind in zwei Teile unterteilt.

  • Diese Seite enthält Informationen über die Active Directory-Synchronisierungseinrichtung, Installation, unterstützte Plattformen, Synchronisierungsfehler, das Ändern von Verzeichnisdiensten und Entfernen der Active Directory-Synchronisierung.
  • Allgemeine Informationen zur Active Directory-Synchronisierung in Sophos Central Admin finden Sie unter Häufig gestellte Fragen zur Active Directory-Synchronisierung.

Was ist Active Directory Synchronization Setup?

Active Directory Synchronization Setup importiert die folgenden Objekte aus Active Directory:

  • Benutzername
  • Anmeldeinformationen
  • E-Mail-Adresse
  • Gruppen und die Mitglieder jeder Gruppe

Die Einrichtung der Active Directory-Synchronisierung funktioniert wie folgt:

  • Es werden aktive Benutzer oder Benutzergruppen synchronisiert.

    Es werden keine vorhandenen Benutzer oder Gruppen dupliziert, wenn diese mit vorhandenen Sophos Central-Benutzern oder -Gruppen übereinstimmen. So kann beispielsweise eine E-Mail-Adresse aus Active Directory zu einem vorhandenen Benutzer in Sophos Central hinzugefügt werden.

  • Es werden nur Gruppen mit mehr als einem Mitglied erstellt.
  • Es synchronisiert Geräte und Gerätegruppen. Informationen darüber, wie Geräte und Gruppen zugeordnet werden, sowie weitere hilfreiche Hinweise finden Sie unter Häufig gestellte Fragen zur Gerätegruppenerkennung.

Weitere Informationen zur Synchronisierung finden Sie in den Häufig gestellten Fragen zur Active Directory-Synchronisierung.

Was erwartet Active Directory Synchronization Setup von Active Directory?

Um eine gesamte Active Directory-Gesamtstruktur zu synchronisieren, müssen Sie Active Directory-Anmeldeinformationen für einen Benutzer mit Berechtigungen für die gesamte Gesamtstruktur bereitstellen.

Im Stammverzeichnis des Verzeichnisbaums des Hostservers benötigen Sie Folgendes:

  • Ein Attribut namens rootDomainNamingContext, das den Domänennamen (DN) des Stammverzeichnisses für die Active Directory-Gesamtstruktur enthält.
  • Ein Attribut namens defaultNamingContext, das den DN des Hostservers enthält.

Außerdem benötigen Sie eine Sammlung von Einträgen unter CN=Partitions, CN=Configuration und <rootDomainNamingContext> und mindestens einen Eintrag, der alle der folgenden Elemente enthält:

  • Ein netBiosName-Attribut
  • Ein dnsRoot-Attribut
  • Ein nCName-Attribut

Für jeden dieser Einträge fügen wir den Wert seines nCName-Attributs (ein DN) in die zu suchenden Bereiche ein (aber nur, wenn dieser DN kein übergeordneter DN des in Active Directory Synchronization Setup angegebenen Host-Servers ist).

Wie viele Objekte kann ich maximal gleichzeitig synchronisieren?

Die maximale Anzahl von AD-Objekten, die wir getestet haben, liegt bei 30.000.

Bei mehr Objekten nimmt die Synchronisierung mit Sophos Central mehr Zeit in Anspruch.

Wenn Sie mehr als 40.000 Benutzereinträge in Ihrer Umgebung haben, reagiert die Benutzeroberfläche langsamer.

Welche Plattformen werden unterstützt?

Sie können Active Directory Synchronization Setup auf den folgenden Plattformen installieren und ausführen:

  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
Anmerkung Wir unterstützen nur 64-Bit-Versionen.

Sie können den Domänencontroller (DC) auf den folgenden Plattformen installieren:

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

Kann ich mehrere Active Directory-Gesamtstrukturen synchronisieren?

Sie können nicht mehrere Gesamtstrukturen mit einem Sophos Central Admin-Konto synchronisieren. Sie können jeweils nur eine Kopie von Active Directory Synchronization Setup für ein Sophos Central Admin-Konto verwenden. Sie können mehrere untergeordnete Domänen innerhalb einer Gesamtstruktur auswählen. Sie können nicht mehrere Gesamtstrukturen auswählen.

Active Directory Synchronization Setup berechnet Synchronisationsdeltas auf Mandanten-Ebene. Wenn Sie mehrere Gesamtstrukturen synchronisieren möchten, müssen Sie die Gesamtstrukturen in separate Sophos Central Enterprise-Teilverwaltungseinheiten aufteilen. Dadurch erhält jede Gesamtstruktur ein eigenes Sophos Central Admin-Konto. Sie können dann ein separates „Active Directory Synchronization Setup“-Konto verwenden, um jede Gesamtstruktur zu synchronisieren. Jede Gesamtstruktur synchronisiert sich mit ihrem eigenen Sophos Central Admin-Konto. Sie können diese Konten in Sophos Central Enterprise verwalten.

Außerdem müssen Sie sicherstellen, dass die Benutzer und E-Mail-Adressen in jeder Sophos Central Enterprise-Teilverwaltungseinheit eindeutig sind.

Wo kann ich Active Directory Synchronization Setup herunterladen?

Sehen Sie hierzu auch Einrichtung der Synchronisierung mit Active Directory.

Nachfolgende Upgrades werden automatisch in Active Directory Synchronization Setup durchgeführt. Bei jeder Synchronisierung wird auf eine neue Version geprüft.

Wie installiere ich Active Directory Synchronization Setup?

Sehen Sie hierzu auch Einrichtung der Synchronisierung mit Active Directory.

Kann ich Active Directory Synchronization Setup durch die Azure AD-Synchronisierung ersetzen?

Ja. Siehe Ändern des Verzeichnisdienstes.

Kann ich einen anderen Verzeichnisdienst verwenden?

Sie können Microsoft Azure verwenden. Siehe Einrichten der Synchronisierung mit Azure Active Directory.

Wie verschiebe ich Active Directory-Synchronisierungs-Server?

Siehe Verschieben von Active Directory-Synchronisierungs-Servern in Einrichtung der Active Directory-Synchronisierung.

Wie kann ich die Active Directory-Synchronisierung entfernen?

Sie können angeben, dass Sie keinen Verzeichnisdienst verwenden möchten. Siehe Ändern des Verzeichnisdienstes.

Hilfe zum Entfernen synchronisierter Daten finden Sie unter Synchronisierte Active Directory-Daten löschen.

Warum sehe ich „???“ anstelle von UTF16- oder Double-Byte-Zeichen?

In der Vorschau von Active Directory Synchronization Setup können keine Doppelbyte-Zeichen angezeigt werden.

Beispiel für ein Problem mit der Zeichenanzeige

Alle Daten werden gesendet und in Sophos Central angezeigt. Dieses Problem betrifft die Vorschau oder den Bildschirm zu ausstehenden Änderungen in Active Directory Synchronization Setup.

Wir planen, dies in einer zukünftigen Version von Active Directory Synchronization Setup zu beheben.

Fehler: Das Objekt existiert nicht.

Wenn Sie in Active Directory Synchronization Setup einen benutzerdefinierten Filter definiert haben und diese Organisationseinheit (OU) aus Active Directory entfernen, werden die folgenden Fehler angezeigt:

  • Fehlgeschlagene
              Active-Directory-Synchronisierung. Grund: SophosCloudADSyncLib.DisplayableException: Fehler
              bei einer LDAP-Anfrage. Bitte überprüfen Sie die angegebenen Verbindungseinstellungen. Der LDAP-
              Server hat den folgenden Fehler ausgegeben: 0000208D: NameErr: DSID-03100213, problem 2001
              (NO_OBJECT), data 0, best match of:
  • System.DirectoryServices.Protocols.DirectoryOperationException: Das Objekt existiert nicht.

Der Fehler verweist nicht auf den Namen der entfernten OU. Sie müssen alle Filter überprüfen, die Sie unter AD-Filter eingerichtet haben, um diesen Fehler zu beheben. Verfahren Sie wie folgt:

  1. Klicken Sie auf Filter definieren.
  2. Entfernen Sie alle Filter, die auf Objekte verweisen, die aus Ihrem Active Directory entfernt wurden.

Fehler: Fehlgeschlagene Active-Directory-Synchronisation

Die vollständige Fehlermeldung lautet Fehler: Fehlgeschlagene Active-Directory-Synchronisation. Zeichen mit den Hexadezimalwerten 0xFFFE und 0xFFFF sind ungültig.

Dieser Fehler wird möglicherweise bei der Option Preview & Sync angezeigt, wenn Sie das Active Directory Synchronization Setup manuell ausführen.

Active Directory kann ungültige Zeichen enthalten. Wenn Active Directory Synchronization Setup eine Vorschau der Daten anzeigt, die synchronisiert werden müssen, schlägt es mit diesem Fehler fehl.

Um diesen Fehler zu umgehen, verwenden Sie die Option zur geplanten Synchronisierung – automatisch (innerhalb der nächsten 2–3 Minuten). Dadurch wird der Vorschauschritt umgangen. Die Synchronisierung sollte erfolgreich sein.

Fehler: Fehler beim Synchronisieren des Datensatzes:

Die vollständige Fehlermeldung lautet Fehler: Fehler beim Synchronisieren des Datensatzes: Fehler beim Löschen der Anmeldung...Grund: Fremdschlüssel endpoint_user_sessions.user_match_id.

Sie können diese Fehlermeldung erhalten, wenn ein Problem beim Entfernen einer Anmeldung auftritt, die einem Benutzer zugeordnet ist, der in Active Directory entfernt oder deaktiviert wurde. Die Synchronisierung wird fortgesetzt und beendet, selbst wenn dieser Fehler auftritt.

Sie können diesen Fehler erst entfernen, wenn dieser mit Sophos Central Admin behoben wurde.

Fehler: Konfigurationseinstellungen konnten nicht validiert werden

Die vollständige Fehlermeldung lautet Fehler: Konfigurationseinstellungen konnten nicht validiert werden. Grund: Zugriff auf Active Directory nicht möglich.

Dieser Fehler zeigt an, dass Active Directory Synchronization Setup keine Verbindung mit Ihrem Active Directory mithilfe der angegebenen Anmeldeinformationen oder Verbindung herstellen kann. Versuchen Sie Folgendes:

  • Stellen Sie sicher, dass Ihre Einstellungen korrekt sind (unter AD-Konfiguration in Active Directory Synchronization Setup) und dass Sie Anmeldeinformationen angegeben haben, die Zugriff auf die gesamte Gesamtstruktur haben (Enterprise Admin-Benutzer haben in der Regel diesen Zugriff).
  • Wenn Ihre LDAP-Umgebung SSL nicht unterstützt, müssen Sie Sicheres LDAP verwenden deaktivieren und die Portnummer entsprechend ändern. Wir empfehlen dies nicht.
  • Versuchen Sie, eine Verbindung zu Ihrem Active Directory mit einem separaten AD-Synchronisationstool, wie z. B. LDP.EXE von Microsoft, mit denselben Anmeldeinformationen herzustellen.