FAQ sur l’installation de la synchronisation Active Directory

Retrouvez les réponses aux questions les plus courantes sur l’installation et la configuration de la synchronisation Active Directory dans Sophos Central Admin.

La synchronisation Active Directory permet aux administrateurs de mettre en place un service qui relie les utilisateurs et groupes d’Active Directory à Sophos Central Admin et les gardent synchronisés. Vous pouvez le configurer avec Active Directory Synchronization Setup.

La FAQ Active Directory se compose de deux parties.

  • Cette page contient des informations sur la configuration de la synchronisation Active Directory, l’installation, les plates-formes prises en charge, les erreurs de synchronisation, le changement de service d’annuaire et la suppression de la synchronisation Active Directory.
  • Retrouvez des informations générales sur la synchronisation Active Directory dans Sophos Central Admin à la section FAQ sur la synchronisation Active Directory.

Qu’est-ce que Active Directory Synchronization Setup ?

Active Directory Synchronization Setup importe les objets suivants depuis Active Directory :

  • Nom d’utilisateur
  • Connexion
  • Adresse email
  • Groupes et membres de chaque groupe

Active Directory Synchronization Setup fonctionne comme suit :

  • Il synchronise les utilisateurs et groupes actifs.

    Il ne duplique par les utilisateurs ou les groupes existants lorsqu’ils correspondent à un utilisateur ou à un groupe Sophos Central déjà existant. Par exemple, il peut ajouter une adresse email d’Active Directory à un utilisateur existant dans Sophos Central.

  • Il crée uniquement des groupes comportant plus d’un membre.
  • Il synchronise les appareils et les groupes d’appareils. Retrouvez des informations sur la manière dont il fait correspondre les appareils et les groupes, ainsi que d’autres informations utiles dans FAQ sur la recherche de groupes d’appareils.

Retrouvez plus de renseignements sur le fonctionnement de la synchronisation dans la FAQ sur la synchronisation Active Directory.

Quelles informations d’Active Directory sont requises par Active Directory Synchronization Setup ?

Pour synchroniser l’ensemble d’une forêt Active Directory, vous devez fournir les codes d’accès Active Directory d’un utilisateur ainsi que des autorisations sur l’ensemble de la forêt.

Dans la racine de l’arborescence de répertoire du serveur hôte, vous avez besoin des éléments suivants :

  • Un attribut appelé rootDomainNamingContext qui contient le nom de domaine (DN) de la racine de la forêt Active Directory.
  • Un attribut appelé defaultNamingContext qui contient le DN du serveur hôte.

Vous avez également besoin d’une collection d’entrées sous CN=Partitions, CN=Configuration, <rootDomainNamingContext>, avec une ou plusieurs entrées contenant tous les éléments suivants :

  • Un attribut netBiosName
  • Un attribut dnsRoot
  • Un attribut nCName

Pour chacune de ces entrées, nous incluons la valeur de son attribut nCName (il s’agit d’un DN) dans les zones à rechercher (mais uniquement si ce DN n’est pas un DN ancêtre du serveur hôte spécifié dans Active Directory Synchronization Setup).

Combien d’objets maximum puis-je synchroniser à la fois ?

Le nombre maximum d’objets AD que nous avons testés est de 30000.

Si vous avez un nombre d’objets supérieur, la synchronisation avec Sophos Central prendra plus de temps.

Si vous avez plus de 40000 entrées utilisateur dans votre environnement, l’interface utilisateur répondra plus lentement.

Quelles sont les plates-formes prises en charge ?

Vous pouvez installer et exécuter Active Directory Synchronization Setup sur les plates-formes suivantes :

  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
Remarque : Nous ne prenons en charge que les versions 64 bits.

Vous pouvez installer le contrôleur de domaine (DC) sur les plates-formes suivantes :

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

Est-ce que je peux synchroniser plusieurs « forêts » Active Directory ?

Vous ne pouvez pas synchroniser plusieurs forêts avec un seul compte Sophos Central Admin. Vous ne pouvez utiliser qu’une seule copie de la configuration d’Active Directory Synchronization Setup pour un compte Sophos Central Admin. Vous pouvez sélectionner plusieurs domaines enfants dans une même forêt. Vous ne pouvez pas sélectionner plusieurs forêts.

Active Directory Synchronization Setup calcule les deltas de synchronisation au niveau du locataire. Si vous souhaitez synchroniser plusieurs forêts, vous devez les séparer en différents sous-parcs Sophos Central Enterprise. Ceci donne à chaque forêt un compte Sophos Central Admin différent. Vous pouvez ensuite utiliser un compte Active Directory Synchronization Setup distinct pour synchroniser chaque forêt. Chaque forêt se synchronise avec son propre compte Sophos Central Admin. Vous pouvez gérer ces comptes dans Sophos Central Enterprise.

Vous devez également vous assurer que les utilisateurs et les adresses email sont uniques dans chaque sous-parc Sophos Central Enterprise.

Où puis-je télécharger Active Directory Synchronization Setup ?

Retrouvez plus de renseignements à la section Configuration de la synchronisation avec Active Directory.

Les mises à niveau suivantes sont effectuées automatiquement dans Active Directory Synchronization Setup. Chaque fois que vous synchronisez, il vérifie s’il existe une version plus récente.

Comment installer Active Directory Synchronization Setup ?

Retrouvez plus de renseignements à la section Configuration de la synchronisation avec Active Directory.

Puis-je remplacer Active Directory Synchronization Setup par Azure AD Sync ?

Oui. Retrouvez plus de renseignements à la section Changer le service d’annuaire.

Puis-je utiliser un autre service d’annuaire ?

Vous pouvez utiliser Microsoft Azure. Retrouvez plus de renseignements à la section Configurer la synchronisation avec Azure AD.

Comment déplacer les serveurs de synchronisation Active Directory ?

Voir Déplacer les serveurs de synchronisation Active Directory à la section Configurer la synchronisation avec Active Directory.

Comment supprimer la synchronisation avec Active Directory ?

Vous pouvez choisir de ne pas utiliser de service d’annuaire. Retrouvez plus de renseignements à la section Changer le service d’annuaire.

Retrouvez de l’aide sur la suppression des données synchronisées à la section Suppression des données Active Directory synchronisées.

Pourquoi est-ce que je voisl « ???? » à la place de UTF16 ou de caractères à double octets ?

L’aperçu dans Active Directory Synchronization Setup ne peut pas afficher les caractères à double octets.

Exemple de problème d’affichage des caractères

Toutes les données sont envoyées et affichées dans Sophos Central. Ce problème affecte la fenêtre d’aperçu ou les modifications en attente dans Active Directory Synchronization Setup.

Nous prévoyons de résoudre ce problème dans une version ultérieure de Active Directory Synchronization Setup.

Erreur : L’objet n’existe pas.

Si vous avez défini un filtre personnalisé dans Active Directory Synchronization Setup et que vous supprimez cette unité organisationnelle (OU) d’Active Directory, vous verrez s’afficher les erreurs suivantes :

  • Échec de la synchronisation Active Directory Raison : SophosCloudADSyncLib.DisplayableException: Erreur
              de la requête LDAP. Vérifiez les paramètres de connexion que vous avez spécifiés. Le serveur LDAP
              a renvoyé l’erreur suivante : 0000208D : NameErr: DSID-03100213, problem 2001
              (NO_OBJECT), data 0, best match of:
  • System.DirectoryServices.Protocols.DirectoryOperationException: L’objet n’existe pas.

L’erreur ne fait pas référence au nom de l’UO supprimée. Vous devez vérifier tous les filtres que vous avez configurés sous Filtres AD afin de résoudre cette erreur. Procédez de la manière suivante :

  1. Cliquez sur Définir filtres.
  2. Supprimez tous les filtres référençant les objets supprimés de votre Active Directory.

Erreur : Échec de la synchronisation Active Directory

Le message d’erreur complet est Erreur : Échec de la synchronisation Active Directory Les caractères ayant des valeurs hexadécimales 0xFFFE et 0xFFFF ne sont pas valides.

Vous pouvez voir cette erreur à l’étape Aperçu et synchronisation lorsque vous exécutez Active Directory Synchronization Setup manuellement.

Active Directory peut contenir des caractères invalides. Lorsque Active Directory Synchronization Setup affiche un aperçu des données à synchroniser, il échoue avec cette erreur.

Pour éviter cette erreur, utilisez Synchronisation planifiée - automatique (dans les 2-3 minutes suivantes). Cette opération ignore l’étape préliminaire. La synchronisation devrait avoir lieu.

Erreur : Erreur de synchronisation de l’enregistrement

Le message d’erreur complet est Erreur : Erreur de synchronisation de l’enregistrement : Erreur lors de la suppression de la connexion... Raison : clé inconnue endpoint_user_sessions.user_match_id.

Vous pouvez obtenir ce message d’erreur en cas de problème lors de la suppression d’une connexion associée à un utilisateur qui a été supprimé ou désactivé dans Active Directory. La synchronisation se poursuit et se termine même si vous voyez cette erreur.

Vous ne pouvez pas supprimer cette erreur tant que cette erreur n’a pas été résolue avec Sophos Central Admin.

Erreur : Échec de la validation des paramètres de configuration

Le message d’erreur complet est Erreur : Échec de la validation des paramètres de configuration. Raison : Impossible d’accéder à Active Directory.

Ce message d’échec indique qu’Active Directory Synchronization Setup ne peut pas se connecter à votre Active Directory avec les codes d’accès à disposition ou la connexion fournie. Essayez la méthode suivante :

  • Vérifiez que vos paramètres sont corrects (sous Configuration AD dans Active Directory Synchronization Setup) et que vous avez fourni des codes d’accès permettant d’accéder à l’ensemble de la forêt (les utilisateurs Enterprise Admin disposent généralement de ce droit d’accès).
  • Si votre environnement LDAP ne prend pas en charge SSL, désactivez Utiliser une connexion LDAP sécurisée et modifiez le numéro de port correspondant. Nous ne recommandons pas cette méthode.
  • Essayez de vous connecter à Active Directory avec un outil de synchronisation AD distinct, tel que LDP.EXE de Microsoft, avec les mêmes codes d’accès.