Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=directory-service-AD-sync-install-FAQ

Domande frequenti sull'installazione della Sincronizzazione con Active Directory

Questo articolo indica come trovare risposte alle domande più comuni sull’installazione e sull’impostazione della sincronizzazione con Active Directory (AD) in Sophos Central Admin.

La sincronizzazione con Active Directory permette di implementare un servizio per la mappatura e la sincronizzazione regolare di utenti, dispositivi e gruppi da AD a Sophos Central Admin. Può essere configurato con l'Impostazione della Sincronizzazione con Active Directory.

Le domande frequenti sono suddivise in due parti.

  • Questa pagina contiene informazioni sull'impostazione della Sincronizzazione con Active Directory, sulla sua installazione, sulle piattaforme supportate, sugli errori di sincronizzazione, su come cambiare servizi directory e su come rimuovere la Sincronizzazione con AD.

  • Per informazioni generali sulla Sincronizzazione con AD in Sophos Central Admin, vedere Domande frequenti sulla sincronizzazione con Active Directory.

Che cos'è l'Impostazione della Sincronizzazione con Active Directory?

L’Impostazione della Sincronizzazione con AD importa i seguenti oggetti da AD:

  • Nome utente
  • Login
  • Indirizzo e-mail
  • Gruppi e i membri di ciascun gruppo

L'Impostazione della Sincronizzazione con Active Directory svolge le seguenti azioni:

  • Sincronizza gli utenti e i gruppi di utenti attivi.

    Non duplica utenti o gruppi quando viene riscontrata una corrispondenza con un utente o un gruppo di Sophos Central già esistente. Ad esempio, può aggiungere un indirizzo e-mail da AD a un utente già esistente in Sophos Central.

  • Crea solo gruppi contenenti più di un membro.

  • Sincronizza i dispositivi e i gruppi di dispositivi. Per sapere come viene identificata la corrispondenza tra dispositivi e gruppi e per altre informazioni utili, vedere Domande frequenti sull'individuazione dei gruppi di dispositivi.

Per ulteriori informazioni su come funziona la sincronizzazione, vedere Domande frequenti sulla sincronizzazione con Active Directory.

Quali sono i requisiti che l’Impostazione della Sincronizzazione con Active Directory richiede in AD?

Per sincronizzare un'intera foresta di AD, occorrono le credenziali di un utente di Active Directory che abbia autorizzazioni per l'intera foresta.

Nella directory di primo livello (root) della struttura di directory del server host occorrono:

  • Un attributo denominato rootDomainNamingContext che contenga il nome di dominio (DN) della directory di primo livello della foresta di AD.
  • Un attributo denominato defaultNamingContext che contenga il DN del server host.

Inoltre, occorre una raccolta di voci in CN=Partitions, CN=Configuration e <rootDomainNamingContext>, e una o più voci devono contenere tutti questi elementi:

  • Un attributo netBiosName
  • Un attributo dnsRoot
  • Un attributo nCName

Per ciascuna di queste voci, includiamo il valore del rispettivo attributo nCName (che è un DN) negli ambiti in cui svolgere la ricerca (ma solo se quel DN non è un DN predecessore del server host specificato nell'Impostazione della Sincronizzazione con Active Directory).

Qual è il numero massimo di oggetti che è possibile sincronizzare contemporaneamente?

Il numero massimo di oggetti AD testati è 30.000.

Se ne è presente una quantità superiore, la sincronizzazione con Sophos Central richiederà più tempo.

L’interfaccia utente risponderà più lentamente se nel proprio ambiente sono presenti più di 40.000 voci utente.

Quali piattaforme sono supportate?

L'Impostazione della Sincronizzazione con Active Directory può essere installata ed eseguita sulle seguenti piattaforme:

  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows 11
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Restrizione

Sono supportate solo le versioni a 64 bit.

È possibile installare il controller di dominio (DC) sulle seguenti piattaforme:

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
Posso sincronizzare più foreste di AD?

Non è possibile selezionare e sincronizzare più foreste con un account Sophos Central Admin.

Si consiglia di sincronizzare una foresta con un solo account Sophos Central Admin. La sincronizzazione di una foresta con più account potrebbe causare un comportamento imprevedibile in Sophos Central Admin. Bisogna evitare di includere un utente o un indirizzo e-mail in più di una sola foresta. Se sono presenti oggetti duplicati, verranno aggiornati con le informazioni ottenute da ogni foresta durante la sincronizzazione. La sincronizzazione non unisce i dati. Questo significa che il proprietario degli oggetti (origine della directory) può cambiare in Sophos Central Admin dopo ogni sincronizzazione.

Dove è possibile scaricare l'Impostazione della Sincronizzazione con Active Directory?

Vedere Impostazione della sincronizzazione con Active Directory.

Gli upgrade successivi vengono eseguiti automaticamente nell'Impostazione della sincronizzazione con Active Directory. A ogni sincronizzazione viene verificata la presenza di una versione più recente.

Come posso installare l'Impostazione della sincronizzazione con Active Directory?

Vedere Download del software di impostazione e convalida delle credenziali.

Come posso trasferire i server di sincronizzazione con Active Directory?

Vedere Trasferimento dei server di sincronizzazione con Active Directory.

Come posso rimuovere la sincronizzazione con Active Directory?

Vedere Rimozione dei dati sincronizzati di Active Directory.

Perché viene visualizzata la dicitura "???" al posto dei caratteri UTF16 o a byte doppio?

L'anteprima nell'impostazione della Sincronizzazione con Active Directory non è in grado di visualizzare caratteri a byte doppio.

Esempio di problema di visualizzazione dei caratteri.

Tutti i dati vengono inviati e visualizzati in Sophos Central. Questo problema riguarda la finestra di anteprima o quella delle modifiche in sospeso nell'impostazione della Sincronizzazione con Active Directory.

Abbiamo in programma di risolvere questo problema in una delle prossime versioni dell'impostazione della Sincronizzazione con Active Directory.

Error. The object does not exist.

Se è stato applicato un filtro personalizzato nell'impostazione della Sincronizzazione con Active Directory e si rimuove l’Unità organizzativa (OU) da AD, verranno visualizzati i seguenti errori:

Non riuscito/a
    sincronizzazione di Active Directory. Reason: SophosCloudADSyncLib.DisplayableException: Error
    making a request over LDAP. Please review the connection settings you specified. The LDAP
    server returned the following error: 0000208D: NameErr: DSID-03100213, problem 2001
(NO_OBJECT), data 0, best match of:

System.DirectoryServices.Protocols.DirectoryOperationException: The object does not exist.

L'errore non fa riferimento al nome dell'OU rimossa. Per risolvere questo errore, occorre controllare tutti i filtri configurati in AD Filters (Filtri di AD). Per farlo, procedere come segue:

  1. Cliccare su Define Filters (Definisci filtri).
  2. Rimuovere eventuali filtri che fanno riferimento a oggetti rimossi dalla propria AD.
Error: Failed active directory synchronization

Il messaggio di errore è Error: Failed active directory synchronization. Characters with hexadecimal values 0xFFFE and 0xFFFF are not valid.

Questo errore potrebbe essere visualizzato durante il passaggio Preview and Sync (Visualizza anteprima e sincronizza) nella sincronizzazione manuale dell'impostazione della Sincronizzazione con Active Directory.

AD potrebbe contenere caratteri non validi. Quando l'impostazione della Sincronizzazione con Active Directory visualizza un'anteprima dei dati da sincronizzare, l'operazione ha esito negativo e restituisce questo errore.

Per eludere questo errore, utilizzare Sync on Schedule - automatic (within next 2-3 minutes) (Sincronizza secondo pianificazione - automatica (nei prossimi 2-3 minuti)). In questo modo la fase di anteprima viene saltata. La sincronizzazione dovrebbe avere esito positivo.

Error: Error syncing record

Il messaggio di errore è Error: Error syncing record: Error deleting login...Reason: foreign key endpoint_user_sessions.user_match_id.

Questo errore può essere visualizzato se si verifica un problema durante la rimozione di un accesso associato a un utente che è stato rimosso o disattivato in Active Directory. La sincronizzazione continua e si completa anche se viene visualizzato questo errore.

Non è possibile rimuovere questo errore fino a quando questo non viene risolto con Sophos Central Admin.

Error: Failed to validate configuration settings

Il messaggio di errore è Error: Failed to validate configuration settings. Reason: Unable to access Active Directory.

Questo errore indica che l'impostazione della Sincronizzazione con Active Directory non riesce a connettersi all'Active Directory utilizzando le credenziali o la connessione fornite. Procedere come segue:

  • Verificare che le impostazioni siano corrette (in AD Configuration (Configurazione AD) nell'impostazione della Sincronizzazione con Active Directory) e che siano state fornite credenziali con accesso all'intera foresta (normalmente gli utenti amministratori di Enterprise hanno questo tipo di accesso).
  • Se l'ambiente LDAP non supporta SSL, è necessario disattivare Use Secure LDAP (Utilizza LDAP sicuro) e modificare il numero di porta come richiesto. Non consigliamo questa opzione.
  • Provare a effettuare la connessione all’AD con uno strumento di sincronizzazione con AD diverso, ad esempio LDP.EXE di Microsoft, con le stesse credenziali.