Microsoft AD-Bridge

Die Domain, mit der der AD-Bridgeclient verbunden ist, wird von der Domain des angemeldeten Benutzers bestimmt, der den AD-Bridgeclient auf dem Windows-Server installiert.

Active Directory muss für eine SSL-Verbindung konfiguriert werden. Versuchen Sie, ldp.exe mit Active Directory auf SSL zu verbinden. So prüfen Sie die SSL-Verbindung:

Der AD-Bridge-Server kann aufgrund von Netzwerkkonnektivitätsproblemen nicht mehr mit IAM verbunden werden. Nachdem die Konnektivität wiederhergestellt wurde, wird eine E-Mail-Benachrichtigung gesendet.

Eine Fehlermeldung, dass der LDAP-Server nicht verfügbar ist, tritt auf, wenn der Server, auf dem der AD-Bridgeclient installiert ist, keine Verbindung zum Active Directory-Domaincontroller über LDAP herstellen kann. Prüfen Sie, ob die Active Directory-Services ausgeführt werden (prüfen Sie in der Windows-Serviceliste den Status für den AD-DS-Domaincontrollerservice), und versuchen Sie dann, eine Verbindung mit dem Clientutility ldp.exe herzustellen.

Die AD-Bridge verfügt über eine unidirektionale Kommunikation mit IAM. Das bedeutet, dass IAM nicht direkt mit dem Server kommunizieren kann, auf dem die AD-Bridge installiert ist. Stattdessen fragt die AD-Bridge IAM häufig ab, um zu prüfen, ob Vorgänge (wie Synchronisierungen) ausstehen. Die Meldung, dass die AD-Bridge nicht erreichbar ist, bedeutet, dass der Abfragevorgang nicht ausgeführt wird. Im Folgenden werden einige Gründe aufgeführt, aus denen die AD-Bridge möglicherweise nicht erreichbar ist.

• Die AD-Bridge ist nicht installiert.
• Die AD-Bridge ist installiert, kann aber IAM nicht über das Internet erreichen.
  • Prüfen Sie die Verbindungs-/Proxyeinstellungen.
  • Testen Sie die Konnektivität mit der Benutzeroberfläche der AD-Bridge.
• Der Hintergrundservice wurde gestoppt.
  • Starten Sie unter Windows Services den Identity Cloud Service Microsoft Active Directory Bridge Service.
  • Stellen Sie sicher, dass der Startup-Typ "Automatisch" lautet.

Wenn die Meldung "Keine aktive Synchronisierung" in der Konsole angezeigt wird, können Sie sie sicher ignorieren.

Diese Meldung weist nicht auf ein Problem hin. Dies bedeutet, dass derzeit keine Synchronisierung ausgeführt wird. Die nächste Synchronisierung wird entsprechend dem für die Domain auf der Konfigurationsseite festgelegten Intervall ausgeführt. Sie kann auch manuell ausgelöst werden.

Da bei der inkrementellen Synchronisierung nur geänderte Daten gelesen wurden, kann eine Synchronisierung sehr schnell erfolgen, so dass es den Anschein hat, dass die Meldung "Keine aktive Synchronisierung" nie ausgeblendet ist. Sie können den letzten Synchronisierungsstatus immer auf der Seite "Importieren" für die jeweilige Domain prüfen.

Beim Verschieben des Domaincontrollers sollten keine Probleme auftreten. Prüfen Sie über die Option Konnektivität testen in der Benutzeroberfläche der AD-Bridge die Konnektivität des Domaincontrollers. Wenn in der Kommunikation von der AD-Bridge zu dem Domaincontroller (LDAP) ein Problem auftritt, wählen Sie Domaincontroller ermitteln aus, um weiter zu ermitteln, ob der Domaincontroller zugänglich ist.

Die folgenden Screenshots sind Beispiele für erfolgreiche Verbindungstests.

Die Ursache hängt davon ab, welche der drei unten aufgeführten Authentifizierungsmethoden für die Anmeldung von Active Directory-(AD-)Benutzern verwendet werden. Diese Methoden können über die Domainkonfigurationsseite geändert werden. Die Anmeldefunktionalität ist jeweils unterschiedlich.

• Lokale Authentifizierung (Standard): Nach der Synchronisierung erhalten Benutzer eine Willkommensbenachrichtigung mit der Aufforderung, das Kennwort für ihren Account zu ändern. Sie müssen den angegebenen Benutzernamen (von AD) und das Kennwort verwenden, mit dem sie sich bei ihrem Account anmelden.

  Maßnahme: Prüfen Sie, ob der Benutzer in IAM vorhanden ist. (Die Benutzersynchronisierung war aufgrund ungültiger Daten möglicherweise nicht erfolgreich.) Wenn der Benutzer vorhanden ist, versuchen Sie, das Kennwort aus IAM zurückzusetzen.

• Delegierte Authentifizierung: Mit lokaler Authentifizierung können Sie die Delegierung über AD aktivieren. Bei der delegierten Authentifizierung erstellen Benutzer kein Kennwort, sondern melden sich mit ihren vorhandenen AD-Kennwörtern an. IAM delegiert die Benutzerauthentifizierung über AD-Bridge an AD.

  Maßnahme: Prüfen Sie, ob der Benutzer in IAM vorhanden ist. Prüfen Sie außerdem, ob der Benutzer in AD aktiv und das Kennwort nicht abgelaufen ist.

• Föderierte Authentifizierung: Diese Methode verwendet einen Drittanbieterservice wie Microsoft AD FS zur Authentifizierung des Benutzers.

  Maßnahme: Prüfen Sie die Konfiguration des Drittanbieterservice.

Verwenden Sie die folgenden Screenshots als Richtlinie.

Wenn Sie die Föderation nicht aktivieren können, prüfen Sie, ob die delegierte Authentifizierung aktiviert ist. Wenn die delegierte Authentifizierung aktiviert ist, kann die föderierte Authentifizierung nicht aktiviert werden. Um es zu aktivieren, gehen Sie wie folgt vor:

Wenn Sie die delegierte Authentifizierung nicht aktivieren können, gehen Sie wie folgt vor:

Wenn Sie Ihren Anmeldenamen in eine E-Mail-Adresse ändern möchten, gehen Sie wie folgt vor:

Die AD-Bridge zeichnet Aktualisierungen in Active Directory mit Synchronisierungstoken und einer Aktualisierungssequenznummer (USN) auf. Der vorherige höchste USN-Wert wird bei jeder Ausführung einer inkrementellen Synchronisierung gespeichert. IAM liest die Daten von der gespeicherten USN bis zur letzten USN.

Manchmal werden USN-Nummern aufgrund von Faktoren wie einer Domaincontrolleränderung beschädigt (wenn ein neuer DC einen größeren USN-Wert als ein früherer DC aufweist), was dazu führt, dass Benutzer nicht synchronisiert werden. Bei einer vollständigen Synchronisierung werden keine Token verwendet. Deshalb werden die Benutzer in einer vollständigen Synchronisierung angezeigt.

Attributzuordnungen können jederzeit geändert werden. Stellen Sie sicher, dass Sie nach dem Speichern der neuen Konfiguration eine vollständige Synchronisierung durchführen. Benutzerdaten werden durch die vollständige Synchronisierung aktualisiert. Wenn Sie keine vollständige Synchronisierung durchführen, bleiben die vorhandenen Benutzerdaten unverändert, und neue Benutzer weisen aktualisierte Daten auf.

Sie können einige automatisch generierte E-Mails und Benachrichtigungen unterdrücken.

IAM speichert eine Zuordnung aller AD-Benutzer (IAM-ID, die AD-IDs zugeordnet sind). Wenn der Benutzer aufgrund einer neuen Filterbedingung aus der aktiven Synchronisierung entfernt wird, wird der Datensatz in IAM beibehalten, und nur die Zuordnung wird entfernt. Das Entfernen der Zuordnung wird als Aufheben der Zuordnung bezeichnet.

Dieser Fall unterscheidet sich vom Löschen, da der Benutzer nicht aus AD gelöscht wird. Wenn Filter zurückgesetzt werden, wird der Benutzer erneut zugeordnet.

Unter Limits für IAM-Identitätsdomainobjekte wird beschrieben, wie viele AD-Bridge Sie für Ihren Identitätsdomaintyp installieren können.

Es kann nur eine Bridge auf demselben Windows Server-Rechner installiert werden. Eine einzelne Bridge kann installiert werden. Um High Availability (HA) zu verwenden, benötigen Sie mehrere Rechner, die bei derselben AD-Domain verbunden sind.

Wenn eine neue Version des AD-Bridgeclients verfügbar ist:

• Sie sollten immer upgraden.
• Stellen Sie sicher, dass Sie die aktuelle Version nicht erneut verwenden. Durch die Neuinstallation der aktuellen Version wird die vorhandene Bridge entfernt. Dies kann zu Authentifizierungs- und Synchronisierungsfehlern führen.

Sie müssen die vorhandene AD-Bridge nicht deinstallieren, um das Upgrade auf eine neuere Version auszuführen.

Sie können die Versionsnummer in der Benutzeroberfläche der AD-Bridge prüfen.

Vorhandene Daten sind aufgrund eines Upgrades nicht betroffen, und Sie können eine inkrementelle Synchronisierung durchführen. Außerdem ist der Synchronisierungsplan nicht betroffen, und die nächste Synchronisierung wird wie konfiguriert ausgeführt.

Es wird nicht empfohlen, ein Downgrade des AD-Bridgeclients vorzunehmen.

Wenn Sie sich für ein Downgrade des Clients entscheiden, müssen Sie den aktuellen AD-Bridgeclient deinstallieren, der zu einer Ausfallzeit von Services (Sync, delegierte Authentifizierung usw.) führen kann.

Anschließend können Sie die gewünschte Version installieren.

• Prüfen Sie die OE-Konfiguration auf der Seite "Verzeichnisintegrationen". Sie müssen die OEs für Gruppen und Benutzer separat auswählen. Auch wenn Sie dieselbe OE für Gruppen und Benutzer haben, wählen Sie sie separat aus. Speichern Sie die Konfigurationsseite, nachdem Sie die Änderungen vorgenommen haben.
• Bestätigen Sie den Filter, der in Benutzern/Gruppen auf der Konfigurationsseite verwendet wird. Verwenden Sie PowerShell, um den Filter auszuführen und zu prüfen, ob Ihre Benutzer dort angezeigt werden.
• Prüfen Sie die Netzwerkkonnektivität vom AD-Bridgeclient zu IAM. (Nur wenn bei einigen Datensätzen Fehler auftreten.)
• Prüfen Sie die IDBridge-Logdatei ("Logs anzeigen" über der Benutzeroberfläche der AD-Bridge). Suchen Sie nach einem Fehler wie dem Folgenden:
  

Wenn Sie einen Threaddump des AD-Bridge-Service auf einem AD-Bridgerechner erstellen müssen, führen Sie die folgenden Schritte aus.

Filter verhindern, dass neue Benutzer und Gruppen mit IAM synchronisiert werden.

In all diesen Fällen schlägt die Authentifizierungsanforderung fehl, es sei denn, das Kennwort-Caching ist aktiviert und das Kennwort ist im Cache verfügbar.

Bei den ersten drei Szenarios wird das Service wiederhergestellt, wenn das Downstreamproblem mit der System-/Konnektivität behoben wird.

Beim letzten Szenario wird der Service wiederhergestellt, wenn die Belastung durch nebenläufige Anforderungen abnimmt.

Wenn das Kennwort-Caching aktiviert ist und kein gecachtes Kennwort vorhanden ist oder das Cachekennwort abgelaufen ist, wird das Kennwort bei der nächsten erfolgreichen Anmeldung des Benutzers beim System gespeichert.

Der Standardablauf für ein Kennwort beträgt fünf Tage. Sie können dies jedoch in den Einstellungen für die delegierte Authentifizierung ändern.

Wenn die Installation der AD-Bridge nicht erfolgreich verläuft, geschieht Folgendes:

• Die Anzahl der Identitätsdomains für Ihren Identitätsdomaintyp wird überschritten.
• Die Anzahl der AD-Bridgeclients für Ihren Identitätsdomaintyp wird überschritten.

Informationen dazu, wie viele Identitätsdomains oder AD-Bridges Sie für Ihren Identitätsdomaintyp installieren kann, finden sie unter Limits für IAM-Identitätsdomainobjekte.

Beachten Sie, dass die Eingabe des Directory-Benutzerattributs nicht über eine Dropdown-Auswahl, sondern über ein Textfeld mit Vorschlägen erfolgt. Sie können beliebigen Text eingeben, selbst wenn das betreffende Attribut nicht in Ihrem AD vorhanden ist.

Stellen Sie sicher, dass Sie das korrekte Attribut genau so (einschließlich Groß- und Kleinbuchstaben) eingeben, wie der Attributname in Active Directory angezeigt wird.

Wenn Sie dies nicht tun, wird beim Zuordnen der Speicherzeit kein Fehler angezeigt. Ihre AD-Synchronisierung ist jedoch betroffen, und sie kann dieses Attribut nicht aus Active Directory abrufen.

Eine teilweise konfigurierte Domain weist darauf hin, dass auf der Konfigurationsseite keine OE ausgewählt ist. Eine OE-Auswahl für Benutzer, Gruppen oder beides ist erforderlich, um die Domain für die Synchronisierung zu konfigurieren. Solange keine Auswahl getroffen ist, gibt es keine zu importierenden Daten, und der Import bleibt deaktiviert.