Domande frequenti sull'installazione della Sincronizzazione con Active Directory

Questo articolo indica come trovare risposte alle domande più comuni sull'installazione e sull'impostazione della sincronizzazione con Active Directory in Sophos Central Admin.

La sincronizzazione con Active Directory consente agli amministratori di implementare un servizio per la mappatura e la sincronizzazione regolare di utenti e gruppi da Active Directory a Sophos Central Admin. Può essere configurato con l'Impostazione della Sincronizzazione con Active Directory.

Le domande frequenti su Active Directory sono suddivise in due parti.

  • Questa pagina contiene informazioni sull'impostazione della Sincronizzazione con Active Directory, sulla sua installazione, sulle piattaforme supportate, sugli errori di sincronizzazione, su come cambiare servizi directory e su come rimuovere la Sincronizzazione con Active Directory.
  • Per informazioni generali sulla Sincronizzazione con Active Directory in Sophos Central Admin, vedere Domande frequenti sulla sincronizzazione con Active Directory.

Che cos'è l'Impostazione della Sincronizzazione con Active Directory?

L'Impostazione della Sincronizzazione con Active Directory importa i seguenti oggetti da Active Directory:

  • Nome utente
  • Login
  • Indirizzo e-mail
  • Gruppi e i membri di ciascun gruppo

L'Impostazione della Sincronizzazione con Active Directory svolge le seguenti azioni:

  • Sincronizza gli utenti e i gruppi di utenti attivi.

    Non duplica utenti o gruppi quando viene riscontrata una corrispondenza con un utente o un gruppo di Sophos Central già esistente. Ad esempio, può aggiungere un indirizzo e-mail da Active Directory a un utente già esistente in Sophos Central.

  • Crea solo gruppi contenenti più di un membro.
  • Sincronizza i dispositivi e i gruppi di dispositivi. Per sapere come viene identificata la corrispondenza tra dispositivi e gruppi e per altre informazioni utili, consultare la sezione Domande frequenti sull'individuazione dei gruppi di dispositivi.

Per ulteriori informazioni su come funziona la sincronizzazione, vedere Domande frequenti sulla sincronizzazione con Active Directory.

Quali sono i requisiti che l'Impostazione della Sincronizzazione con Active Directory richiede in Active Directory?

Per sincronizzare un'intera foresta di Active Directory, occorrono le credenziali di un utente di Active Directory che abbia autorizzazioni per l'intera foresta.

Nella directory di primo livello (root) della struttura di directory del server host occorrono:

  • Un attributo denominato rootDomainNamingContext che contenga il nome di dominio (DN) della directory di primo livello della foresta di Active Directory.
  • Un attributo denominato defaultNamingContext che contenga il DN del server host.

Inoltre, occorre una raccolta di voci in CN=Partitions, CN=Configuration e <rootDomainNamingContext>, e una o più voci devono contenere tutti questi elementi:

  • Un attributo netBiosName
  • Un attributo dnsRoot
  • Un attributo nCName

Per ciascuna di queste voci, includiamo il valore del rispettivo attributo nCName (che è un DN) negli ambiti in cui svolgere la ricerca (ma solo se quel DN non è un DN predecessore del server host specificato nell'Impostazione della Sincronizzazione con Active Directory).

Qual è il numero massimo di oggetti che è possibile sincronizzare contemporaneamente?

Il numero massimo di oggetti AD testati è 30.000.

Se ne è presente una quantità superiore, la sincronizzazione con Sophos Central richiederà più tempo.

Se nell'ambiente sono presenti più di 40.000 voci utente, l'interfaccia utente risponderà con maggiore lentezza.

Quali piattaforme sono supportate?

L'Impostazione della Sincronizzazione con Active Directory può essere installata ed eseguita sulle seguenti piattaforme:

  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
Nota Sono supportate solo le versioni a 64 bit.

È possibile installare il controller di dominio (DC) sulle seguenti piattaforme:

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

Posso sincronizzare più foreste di Active Directory?

Non è possibile sincronizzare più foreste con un account Sophos Central Admin. Per un account Sophos Central Admin può essere utilizzata una sola copia dell’Impostazione della Sincronizzazione con Active Directory. È possibile selezionare più domini figlio all'interno di una singola foresta. Non è possibile selezionare più foreste.

L'Impostazione della Sincronizzazione con Active Directory calcola i differenziali di sincronizzazione a livello di tenant. Se si desidera sincronizzare più foreste, è necessario separare le foreste in sottoambienti distinti di Sophos Central Enterprise. In questo modo ogni foresta avrà un account Sophos Central Admin diverso. Sarà quindi possibile utilizzare un'Impostazione della Sincronizzazione con Active Directory differente per la sincronizzazione di ciascuna foresta. Ogni foresta si sincronizzerà con il proprio account Sophos Central Admin. Questi account possono essere gestiti in Sophos Central Enterprise.

È inoltre necessario assicurarsi che gli utenti e gli indirizzi e-mail siano univoci in ogni sottoambiente di Sophos Central Enterprise.

Dove è possibile scaricare l'Impostazione della Sincronizzazione con Active Directory?

Vedere Impostazione della sincronizzazione con Active Directory.

Gli upgrade successivi vengono eseguiti automaticamente nell'Impostazione della sincronizzazione con Active Directory. A ogni sincronizzazione viene verificata la presenza di una versione più recente.

Come posso installare l'Impostazione della sincronizzazione con Active Directory?

Vedere Impostazione della sincronizzazione con Active Directory.

Posso sostituire l'Impostazione della sincronizzazione con Active Directory con Azure AD Sync?

Sì, è possibile. Vedere Modifica del servizio directory.

Posso utilizzare un servizio directory diverso?

È possibile utilizzare Microsoft Azure. Vedere Impostazione della sincronizzazione con Azure AD.

Come posso trasferire i server di sincronizzazione con Active Directory?

Vedere Trasferimento dei server di sincronizzazione con Active Directory in Impostazione della sincronizzazione con Active Directory.

Come posso rimuovere la sincronizzazione con Active Directory?

È possibile scegliere di non utilizzare un servizio directory. Vedere Modifica del servizio directory.

Per assistenza con la rimozione dei dati sincronizzati, vedere Eliminazione dei dati sincronizzati di Active Directory.

Perché viene visualizzata la dicitura "???" al posto dei caratteri UTF16 o a byte doppio?

L'anteprima nell'impostazione della Sincronizzazione con Active Directory non è in grado di visualizzare caratteri a byte doppio.

Esempio di problema di visualizzazione dei caratteri

Tutti i dati vengono inviati e visualizzati in Sophos Central. Questo problema riguarda la finestra di anteprima o quella delle modifiche in sospeso nell'impostazione della Sincronizzazione con Active Directory.

Abbiamo in programma di risolvere questo problema in una delle prossime versioni dell'impostazione della Sincronizzazione con Active Directory.

Error: The object does not exist.

Se è stato applicato un filtro personalizzato nell'impostazione della Sincronizzazione con Active Directory e si rimuove l'Unità organizzativa (OU) da Active Directory, verranno visualizzati i seguenti errori:

  • Failed
              active directory synchronization. Reason: SophosCloudADSyncLib.DisplayableException: Error
              making a request over LDAP. Please review the connection settings you specified. The LDAP
              server returned the following error: 0000208D: NameErr: DSID-03100213, problem 2001
              (NO_OBJECT), data 0, best match of:
  • System.DirectoryServices.Protocols.DirectoryOperationException: The object does not exist.

L'errore non fa riferimento al nome dell'OU rimossa. Per risolvere questo errore, occorre controllare tutti i filtri impostati in AD Filters (Filtri di AD). Per farlo, procedere come segue:

  1. Cliccare su Define Filters (Definisci filtri).
  2. Rimuovere eventuali filtri che fanno riferimento a oggetti rimossi dalla propria Active Directory.

Error: Failed active directory synchronization.

Il messaggio di errore completo è Error: Failed active directory synchronization. Characters with hexadecimal values 0xFFFE and 0xFFFF are not valid.

Questo errore potrebbe essere visualizzato durante il passaggio Preview and Sync (Visualizza anteprima e sincronizza) nella sincronizzazione manuale dell'impostazione della Sincronizzazione con Active Directory.

Active Directory potrebbe contenere caratteri non validi. Quando l'impostazione della Sincronizzazione con Active Directory visualizza un'anteprima dei dati da sincronizzare, l'operazione ha esito negativo e restituisce questo errore.

Per eludere questo errore, utilizzare Sync on Schedule - automatic (within next 2-3 minutes) (Sincronizza secondo pianificazione - automatica (nei prossimi 2-3 minuti)). In questo modo la fase di anteprima viene saltata. La sincronizzazione dovrebbe avere esito positivo.

Error: Error syncing record

Il messaggio di errore completo è Error: Error syncing record: Error deleting login...Reason: foreign key endpoint_user_sessions.user_match_id.

Questo errore può essere visualizzato se si verifica un problema durante la rimozione di un accesso associato a un utente che è stato rimosso o disattivato in Active Directory. La sincronizzazione continua e si completa anche se viene visualizzato questo errore.

Non è possibile rimuovere questo errore fino a quando questo non viene risolto con Sophos Central Admin.

Error: Failed to validate configuration settings.

Il messaggio di errore completo è Error: Failed to validate configuration settings. Reason: Unable to access Active Directory.

Questo errore indica che l'impostazione della Sincronizzazione con Active Directory non riesce a connettersi all'Active Directory utilizzando le credenziali o la connessione fornite. Provare una delle seguenti opzioni:

  • Verificare che le impostazioni siano corrette (in AD Configuration (Configurazione AD) nell'impostazione della Sincronizzazione con Active Directory) e che siano state fornite credenziali con accesso all'intera foresta (normalmente gli utenti amministratori di Enterprise hanno questo tipo di accesso).
  • Se l'ambiente LDAP non supporta SSL, è necessario disattivare Use Secure LDAP (Utilizza LDAP sicuro) e modificare il numero di porta come richiesto. Non consigliamo questa opzione.
  • Provare a effettuare la connessione all'Active Directory con uno strumento di sincronizzazione con AD diverso, ad esempio LDP.EXE di Microsoft, con le stesse credenziali.