Aller au contenu
Dernière mise à jour: 2022-04-27

FAQ sur l’installation de la synchronisation Active Directory

Retrouvez les réponses aux questions les plus courantes sur l’installation et la configuration de la synchronisation Active Directory (AD) dans Sophos Central Admin.

La synchronisation AD vous permet de mettre en place un service qui relie les utilisateurs, les appareils et les groupes d’Active Directory à Sophos Central Admin et les gardent synchronisés. Vous pouvez le configurer avec Active Directory Synchronization Setup.

La FAQ se compose de deux parties.

  • Cette page contient des informations sur la configuration de la synchronisation Active Directory, l’installation, les plates-formes prises en charge, les erreurs de synchronisation, le changement de service d’annuaire et la suppression de la synchronisation AD.

  • Retrouvez des informations générales sur la synchronisation AD dans Sophos Central Admin sur FAQ sur la synchronisation Active Directory.

Qu’est-ce que Active Directory Synchronization Setup ?

Active Directory Synchronization Setup importe les objets suivants depuis AD :

  • Nom d’utilisateur
  • Connexion
  • Adresse email
  • Groupes et membres de chaque groupe

Active Directory Synchronization Setup fonctionne comme suit :

  • Il synchronise les utilisateurs et groupes actifs.

    Il ne duplique par les utilisateurs ou les groupes existants lorsqu’ils correspondent à un utilisateur ou à un groupe Sophos Central déjà existant. Par exemple, il peut ajouter une adresse email d’AD à un utilisateur existant dans Sophos Central.

  • Il crée uniquement des groupes comportant plus d’un membre.

  • Il synchronise les appareils et les groupes d’appareils. Retrouvez des informations sur la manière dont il fait correspondre les appareils et les groupes, ainsi que d’autres informations utiles dans FAQ sur la recherche de groupes d’appareils.

Retrouvez plus de renseignements sur le fonctionnement de la synchronisation dans la FAQ sur la synchronisation Active Directory.

Quelles informations d’AD sont requises par Active Directory Synchronization Setup ?

Pour synchroniser l’ensemble d’une forêt AD, vous devez fournir les codes d’accès Active Directory d’un utilisateur ainsi que des autorisations sur l’ensemble de la forêt.

Dans la racine de l’arborescence de répertoire du serveur hôte, vous avez besoin des éléments suivants :

  • Un attribut appelé rootDomainNamingContext qui contient le nom de domaine (DN) de la racine de la forêt AD.
  • Un attribut appelé defaultNamingContext qui contient le DN du serveur hôte.

Vous avez également besoin d’une collection d’entrées sous CN=Partitions, CN=Configuration et <rootDomainNamingContext>, avec une ou plusieurs entrées contenant tous les éléments suivants :

  • Un attribut netBiosName
  • Un attribut dnsRoot
  • Un attribut nCName

Pour chacune de ces entrées, nous incluons la valeur de son attribut nCName (il s’agit d’un DN) dans les zones à rechercher (mais uniquement si ce DN n’est pas un DN ancêtre du serveur hôte spécifié dans Active Directory Synchronization Setup).

Combien d’objets maximum puis-je synchroniser à la fois ?

Le nombre maximum d’objets AD que nous avons testés est de 30000.

Si vous avez un nombre d’objets supérieur, la synchronisation avec Sophos Central prendra plus de temps.

L’interface d’utilisation répondra plus lentement si vous avez plus de 40 000 entrées utilisateur dans votre environnement.

Quelles sont les plates-formes prises en charge ?

Vous pouvez installer et exécuter Active Directory Synchronization Setup sur les plates-formes suivantes :

  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows 11
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Restriction

Nous ne prenons en charge que les versions 64 bits.

Vous pouvez installer le contrôleur de domaine (DC) sur les plates-formes suivantes :

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
Est-ce que je peux synchroniser plusieurs « forêts » AD ?

Vous ne pouvez pas synchroniser plusieurs forêts avec un seul compte Sophos Central Admin. Vous ne pouvez utiliser qu’une seule copie de la configuration d’Active Directory Synchronization Setup pour un compte Sophos Central Admin. Vous pouvez sélectionner plusieurs domaines enfants dans une même forêt. Vous ne pouvez pas sélectionner plusieurs forêts.

Active Directory Synchronization Setup calcule les deltas de synchronisation au niveau du locataire. Si vous souhaitez synchroniser plusieurs forêts, vous devez les séparer en différents sous-parcs Sophos Central Enterprise. Ceci donne à chaque forêt un compte Sophos Central Admin différent. Vous pouvez ensuite utiliser un compte Active Directory Synchronization Setup distinct pour synchroniser chaque forêt. Chaque forêt se synchronise avec son propre compte Sophos Central Admin. Vous pouvez gérer ces comptes dans Sophos Central Enterprise.

Vous devez également vous assurer que les utilisateurs et les adresses email sont uniques dans chaque sous-parc Sophos Central Enterprise.

Où puis-je télécharger Active Directory Synchronization Setup ?

Voir Configurer la synchronisation avec Active Directory.

Les mises à niveau suivantes sont effectuées automatiquement dans Active Directory Synchronization Setup. Chaque fois que vous synchronisez, il vérifie s’il existe une version plus récente.

Comment installer Active Directory Synchronization Setup ?

Voir Télécharger le logiciel de configuration et valider les codes d’accès.

Comment déplacer les serveurs de synchronisation Active Directory ?

Voir Déplacer les serveurs de synchronisation AD.

Comment supprimer la synchronisation avec Active Directory ?

Voir Supprimer les données Active Directory synchronisées.

Pourquoi est-ce que je vois « ???? » à la place de UTF16 ou de caractères à double octets ?

L’aperçu dans Active Directory Synchronization Setup ne peut pas afficher les caractères à double octets.

Exemple de problème d’affichage des caractères

Toutes les données sont envoyées et affichées dans Sophos Central. Ce problème affecte la fenêtre d’aperçu ou les modifications en attente dans Active Directory Synchronization Setup.

Nous prévoyons de résoudre ce problème dans une version ultérieure de Active Directory Synchronization Setup.

Erreur : L’objet n’existe pas.

Si vous avez défini un filtre personnalisé dans Active Directory Synchronization Setup et que vous supprimez cette unité organisationnelle (OU) d’AD, vous verrez s’afficher les erreurs suivantes :

Échec
    synchronisation Active Directory. Raison : SophosCloudADSyncLib.DisplayableException: Erreur
    de la requête LDAP. Vérifiez les paramètres de connexion que vous avez spécifiés. Le serveur LDAP
    a renvoyé l’erreur suivante : 0000208D : NameErr: DSID-03100213, problem 2001
(NO_OBJECT), data 0, best match of:

System.DirectoryServices.Protocols.DirectoryOperationException: The object does not exist.

L’erreur ne fait pas référence au nom de l’UO supprimée. Pour résoudre cette erreur, vérifiez tous les filtres que vous avez configurés sous Filtres AD. Pour ceci, procédez de la manière suivante :

  1. Cliquez sur Définir filtres.

  2. Supprimez tous les filtres référençant les objets supprimés de votre AD.

Erreur : Échec de la synchronisation Active Directory

Le message d’erreur est Error: Failed active directory synchronization. Characters with hexadecimal values 0xFFFE and 0xFFFF are not valid.

Vous pouvez voir cette erreur à l’étape Aperçu et synchronisation lorsque vous exécutez Active Directory Synchronization Setup manuellement.

AD peut contenir des caractères invalides. Lorsque Active Directory Synchronization Setup affiche un aperçu des données à synchroniser, il échoue avec cette erreur.

Pour éviter cette erreur, utilisez Synchronisation planifiée - automatique (dans les 2-3 minutes suivantes). Cette opération ignore l’étape préliminaire. La synchronisation devrait avoir lieu.

Erreur : Erreur de synchronisation de l’enregistrement

Le message d’erreur est Error: Error syncing record: Error deleting login...Reason: foreign key endpoint_user_sessions.user_match_id.

Vous pouvez obtenir ce message d’erreur en cas de problème lors de la suppression d’une connexion associée à un utilisateur qui a été supprimé ou désactivé dans Active Directory. La synchronisation se poursuit et se termine même si vous voyez cette erreur.

Vous ne pouvez pas supprimer cette erreur tant que cette erreur n’a pas été résolue avec Sophos Central Admin.

Erreur : Échec de la validation des paramètres de configuration

Le message d’erreur est Error: Failed to validate configuration settings. Reason: Unable to access Active Directory.

Ce message d’échec indique qu’Active Directory Synchronization Setup ne peut pas se connecter à votre Active Directory avec les codes d’accès à disposition ou la connexion fournie. Essayez la méthode suivante :

  • Vérifiez que vos paramètres sont corrects (sous Configuration AD dans Active Directory Synchronization Setup) et que vous avez fourni des codes d’accès permettant d’accéder à l’ensemble de la forêt (les utilisateurs Enterprise Admin disposent généralement de ce droit d’accès).
  • Si votre environnement LDAP ne prend pas en charge SSL, désactivez Utiliser une connexion LDAP sécurisée et modifiez le numéro de port correspondant. Nous ne recommandons pas cette méthode.
  • Essayez de vous connecter à AD avec un outil de synchronisation AD distinct, tel que LDP.EXE de Microsoft, avec les mêmes codes d’accès.
Haut de page