跳至內容
最後更新: 2022-04-27

Active Directory 同步安裝常見問題

有關安裝和設定 Active Directory (AD) 的常見問題解答,請參閱 Sophos Central Admin。

AD 同步處理允許您實作將使用者、裝置和群組從 AD 對應到 Sophos Central Admin 並使它們同步的服務。您可以使用 Active Directory 同步處理設定來對其進行設定。

常見問題分爲兩部分。

  • 本頁包含有關 Active Directory 同步設定、安裝、支援的平台、同步錯誤、變更目錄服務和移除 AD 同步的資訊。

  • 有關 Sophos Central Admin 中 AD 同步的一般資訊,請參閱 Active Directory 同步處理常見問題

什麼是 Active Directory 同步處理設定?

Active Directory 同步設定會從 AD 匯入下列物件:

  • 使用者名稱
  • 登入資訊
  • 電子郵件地址
  • 群組和每個群組的成員

Active Directory 同步設定的工作方式如下:

  • 它同步使用中的使用者和使用者群組。

    當它們與現有的 Sophos Central 使用者或群組匹配時,它不會重複現有的使用者或群組。例如,它可以將 AD 中的電子郵件位址添加到 Sophos Central 中的現有使用者。

  • 它只會建立擁有多個成員的群組。

  • 它可以同步裝置和裝置群組。您可以在 裝置群組探索常見問題 中找到有關如何匹配裝置和群組的資訊以及其他有用資訊。

您可以在 Active Directory 同步處理常見問題 中找到有關同步如何運作的詳細資訊。

Active Directory 同步處理設定期望從 AD 獲得什麼?

若要同步處理整個 AD 樹系,您必須為具有整個樹系權限的使用者提供 Active Directory 憑證。

在主機伺服器樹狀目錄的根目錄中,您需要以下內容:

  • 名爲 rootDomainNamingContext 的屬性,包含 AD 樹系根目錄的網域名稱 (DN)。
  • 名為 defaultNamingContext 的屬性,包含主機伺服器的網域名稱 (DN)。

您還需要 CN=Partitions, CN=Configuration<rootDomainNamingContext> 下的項目集合,其中要包含以下所有內容的一個或多個項目:

  • netBiosName 屬性
  • dnsRoot 屬性
  • nCName 屬性

對於每個項目,我們會在搜索區域中包含 nCName 屬性(其網域名稱)的值(但僅當該 DN 不是 Active Directory 同步處理設定中指定的主機伺服器的上階 DN 時)。

我一次性可以同步的最大物件數是多少?

我們測試的 AD 物件數目上限為 30,000 個。

如果您的物件數目多於此數值,則與 Sophos Central 同步將需要更長的時間。

如果您的環境中有 40,000 多個使用者項目,則 UI 的響應速度會更慢。

支援哪些平台?

您可以在以下平台安裝和執行 Active Directory 同步處理設定:

  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows 11
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

限制

我們僅支援 64 位元版本。

您可以在下列平台安裝網域控制器 (DC):

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
我可以同步多個 AD 樹系嗎?

您無法將多個樹系與一個 Sophos Central Admin 帳戶同步。您僅可使用 Sophos Central Admin 帳戶的 Active Directory 同步處理設定的一個複本。您可在單一樹系中選取多個子網域。您無法選取多個樹系。

Active Directory 同步處理設定會計算用戶層級的同步處理差異。如果要同步多個樹系,則需要將這些樹系分離爲單獨的 Sophos Central Enterprise 子領域。這將爲每個樹系提供一個單獨的 Sophos Central Admin 帳戶。然後,您可以使用單獨的 Active Directory 同步處理設定帳戶來同步每個樹系。每個樹系都會與其自己的 Sophos Central Admin 帳戶同步。您可以在 Sophos Central Enterprise 中管理這些帳戶。

您還需要確保每個 Sophos Central Enterprise 子領域中的使用者和電子郵件地址都是唯一的。

我可以在何處下載 Active Directory 同步處理設定?

請參閱設定從 Active Directory 進行同步處理

後續升級將在 Active Directory 同步處理設定中自動完成。每次同步時,它都會檢查是否有更新的版本。

如何安裝 Active Directory 同步處理設定?

請參閱下載安裝軟體並驗證憑證

如何移動 Active Directory 同步處理伺服器?

請參閱移動 Active Directory 同步伺服器

如何移除 Active Directory 同步處理?

請參閱清除已同步的 Active Directory 資料

爲什麼顯示 '???’ 而非 UTF16 或雙位元組字元?

Active Directory 同步處理設定中的預覽無法顯示雙位元組字元。

字元顯示問題範例

所有資料都會傳送並顯示在 Sophos Central 中。此問題會影響 Active Directory 同步處理設定中的預覽或待處理變更視窗。

我們計劃在以後的 Active Directory 同步處理設定版本中解決此問題。

錯誤: 該物件不存在。

如果在 AD 同步處理設定中定義了自訂篩選器,並且從 Active Directory 中刪除了該組織單位 (OU),則會看到以下錯誤:

失敗
    active directory synchronization.原因:SophosCloudADSyncLib.DisplayableException: 錯誤
    making a request over LDAP.Please review the connection settings you specified.The LDAP
    server returned the following error: 0000208D: NameErr: DSID-03100213, problem 2001
(NO_OBJECT), data 0, best match of:

System.DirectoryServices.Protocols.DirectoryOperationException: The object does not exist.

此錯誤並未參照已移除的 OU 名稱。要解決此錯誤,您需要檢閱 AD 篩選器下所設定的所有篩選器。若要執行此操作,請依照以下步驟操作。

  1. 按一下定義篩選器

  2. 移除參照從 AD 中移除之物件的所有篩選器。

錯誤: Active Directory 同步處理失敗。

錯誤訊息是 Error: Failed active directory synchronization. Characters with hexadecimal values 0xFFFE and 0xFFFF are not valid

當您手動執行 Active Directory 同步處理設定時,在預覽和同步步驟中可能會看到此錯誤。

AD 可能包含無效字元。當 Active Directory 同步處理設定預覽需要同步處理的資料時,就會失敗並顯示此錯誤。

要略過此錯誤,請使用根據排程同步處理 - 自動(在未來 2-3 分鐘)。此操作可略過預覽步驟。同步處理應成功完成。

錯誤: 同步記錄時發生錯誤

錯誤訊息是 Error: Error syncing record: Error deleting login...Reason: foreign key endpoint_user_sessions.user_match_id

如果移除 Active Directory 中已移除或停用的使用者相關登入時發生問題,您可能會收到此錯誤。即使看到此錯誤,同處理步仍會繼續並完成。

在使用 Sophos Central Admin 解決此錯誤之前,您不可移除此錯誤。

錯誤: 無法驗證配置設定

錯誤訊息是 Error: Failed to validate configuration settings. Reason: Unable to access Active Directory

此失敗表示 Active Directory 同步處理設定無法透過提供的認證或連線,連線至 Active Directory。請嘗試以下方法:

  • 確認您的設定正確(在 Active Directory 同步處理設定的 AD 設定下),並提供了可存取整個樹系的認證(企業系統管理員使用者通常擁有此類存取權)。
  • 如果您的 LDAP 環境不支援 SSL,則需要關閉使用安全 LDAP,並相應地變更連接埠號碼。我們不推薦這麼做。
  • 嘗試透過相同的認證使用單獨的 AD 同步處理工具(如 Microsoft 的 LDP.EXE)連線至 AD。
回到頁首