Microsoft AD Bridge

Die Domain, mit der der AD-Bridgeclient verbunden ist, wird von der Domain des angemeldeten Benutzers bestimmt, der den AD-Bridgeclient auf dem Windows-Server installiert.

Active Directory muss für eine SSL-Verbindung konfiguriert werden. Versuchen Sie, ldp.exe mit Active Directory auf SSL zu verbinden. So prüfen Sie die SSL-Verbindung:

Der AD-Bridgeserver ist aufgrund von Netzwerkkonnektivitätsproblemen möglicherweise nicht mehr mit IAM verbunden. Nachdem die Konnektivität wiederhergestellt wurde, wird eine E-Mail-Benachrichtigung gesendet.

Eine Fehlermeldung, dass der LDAP-Server nicht verfügbar ist, tritt auf, wenn der Server, auf dem der AD-Bridgeclient installiert ist, keine Verbindung zum Active Directory-Domaincontroller über LDAP herstellen kann. Prüfen Sie, ob die Active Directory-Services ausgeführt werden (prüfen Sie in der Windows-Serviceliste den Status für den AD-DS-Domaincontrollerservice), und versuchen Sie dann, eine Verbindung mit dem Clientutility ldp.exe herzustellen.

Die Kommunikation zwischen der AD-Bridge und IAM ist unidirektional. Das bedeutet, dass IAM nicht direkt mit dem Server kommunizieren kann, auf dem die AD-Bridge installiert ist. Stattdessen fragt die AD-Bridge IAM häufig ab, um zu prüfen, ob Vorgänge (wie Synchronisierungen) ausstehen. Die Meldung, dass die AD-Bridge nicht erreichbar ist, bedeutet, dass der Abfragevorgang nicht ausgeführt wird. Im Folgenden werden einige Gründe aufgeführt, aus denen die AD-Bridge möglicherweise nicht erreichbar ist.

• Die AD-Bridge ist nicht installiert.
• Die AD-Bridge ist installiert, kann aber IAM über das Internet nicht erreichen.
  • Prüfen Sie die Verbindungs-/Proxyeinstellungen.
  • Testen Sie die Konnektivität mit der Benutzeroberfläche der AD-Bridge.
• Der Hintergrundservice wurde gestoppt.
  • Starten Sie unter "Windows Services" den Identity Cloud Service Microsoft Active Directory Bridge Service.
  • Stellen Sie sicher, dass der Startup type "Automatic" lautet.

Wenn die Meldung "Keine aktive Synchronisierung" in der Konsole angezeigt wird, können Sie sie ignorieren.

Diese Meldung weist nicht darauf hin, dass es ein Problem gibt. Dies bedeutet, dass derzeit keine Synchronisierung ausgeführt wird. Die nächste Synchronisierung wird entsprechend dem für die Domain auf der Konfigurationsseite festgelegten Intervall ausgeführt. Sie kann auch manuell ausgelöst werden.

Da bei der inkrementellen Synchronisierung nur geänderte Daten gelesen werden, kann eine Synchronisierung sehr schnell erfolgen, sodass es den Anschein haben kann, dass die Meldung "Keine aktive Synchronisierung" nie ausgeblendet wird. Sie können den letzten Synchronisierungsstatus immer auf der Seite "Importieren" für die jeweilige Domain prüfen.

Beim Verschieben des Domaincontrollers sollten keine Probleme auftreten. Prüfen Sie die Konnektivität des Domaincontrollers mit der Option Konnektivität testen in der Benutzeroberfläche der AD-Bridge. Wenn bei der Kommunikation zwischen der AD-Bridge und dem Domaincontroller (LDAP) ein Problem auftritt, klicken Sie auf Domaincontroller ermitteln, um weiter zu ermitteln, ob auf den Domaincontroller zugegriffen werden kann.

Die folgenden Screenshots sind Beispiele für erfolgreiche Verbindungstests.

Die Ursache hängt davon ab, welche der drei unten aufgeführten Authentifizierungsmethoden für die Anmeldung von Active Directory-(AD-)Benutzern verwendet werden. Diese Methoden können auf der Domainkonfigurationsseite geändert werden. Die Anmeldefunktionalität ist jeweils unterschiedlich.

• Lokale Authentifizierung (Standard): Nach der Synchronisierung erhalten Benutzer eine Willkommensbenachrichtigung mit der Aufforderung, das Kennwort für ihren Account zu ändern. Sie müssen den angegebenen Benutzernamen (von AD) und das Kennwort verwenden, mit dem sie sich bei ihrem Account anmelden.

  Maßnahme: Prüfen Sie, ob der Benutzer in IAM vorhanden ist. (Die Benutzersynchronisierung war aufgrund ungültiger Daten möglicherweise nicht erfolgreich.) Wenn der Benutzer vorhanden ist, versuchen Sie, das Kennwort aus IAM zurückzusetzen.

• Delegierte Authentifizierung: Mit lokaler Authentifizierung können Sie die Delegierung über AD aktivieren. Bei der delegierten Authentifizierung erstellen Benutzer kein Kennwort, sondern melden sich mit ihren vorhandenen AD-Kennwörtern an. IAM delegiert die Benutzerauthentifizierung über AD-Bridge an AD.

  Maßnahme: Prüfen Sie, ob der Benutzer in IAM vorhanden ist. Prüfen Sie außerdem, ob der Benutzer in AD aktiv und das Kennwort nicht abgelaufen ist.

• Föderierte Authentifizierung: Diese Methode verwendet einen Drittanbieterservice wie Microsoft AD FS zur Authentifizierung des Benutzers.

  Maßnahme: Prüfen Sie die Konfiguration des Drittanbieterservice.

Verwenden Sie die folgenden Screenshots als Richtlinie.

Wenn Sie die Föderation nicht aktivieren können, prüfen Sie, ob die delegierte Authentifizierung aktiviert ist. Wenn die delegierte Authentifizierung aktiviert ist, kann die föderierte Authentifizierung nicht aktiviert werden. Um es zu aktivieren, gehen Sie wie folgt vor:

Wenn Sie die delegierte Authentifizierung nicht aktivieren können, führen Sie die folgenden Schritte aus:

Wenn Sie Ihren Anmeldenamen in eine E-Mail-Adresse ändern möchten, gehen Sie wie folgt vor:

Die AD-Bridge zeichnet Aktualisierungen in Active Directory mit Synchronisierungstoken und einer Aktualisierungssequenznummer (USN) auf. Der vorherige höchste USN-Wert wird bei jeder Ausführung einer inkrementellen Synchronisierung gespeichert. IAM liest die Daten von der gespeicherten USN bis zur letzten USN.

Manchmal werden USN-Nummern aufgrund von Faktoren wie einer Domaincontrolleränderung beschädigt (wenn ein neuer DC einen größeren USN-Wert als ein früherer DC aufweist), was dazu führt, dass Benutzer nicht synchronisiert werden. Bei einer vollständigen Synchronisierung werden keine Token verwendet. Deshalb werden die Benutzer in einer vollständigen Synchronisierung angezeigt.

Attributzuordnungen können jederzeit geändert werden. Stellen Sie sicher, dass Sie nach dem Speichern der neuen Konfiguration eine vollständige Synchronisierung durchführen. Benutzerdaten werden durch die vollständige Synchronisierung aktualisiert. Wenn Sie keine vollständige Synchronisierung durchführen, bleiben die vorhandenen Benutzerdaten unverändert, und neue Benutzer weisen aktualisierte Daten auf.

Sie können einige automatisch generierte E-Mails und Benachrichtigungen unterdrücken.

IAM speichert eine Zuordnung aller AD-Benutzer (IAM-IDs, die AD-IDs zugeordnet sind). Wenn der Benutzer beispielsweise aufgrund einer neuen Filterbedingung aus der aktiven Synchronisierung entfernt wird, wird der Datensatz in IAM gespeichert, und nur die Zuordnung wird entfernt. Dies wird als Aufheben der Zuordnung bezeichnet.

Dieser Fall unterscheidet sich vom Löschen, da der Benutzer nicht aus AD gelöscht wird. Wenn Filter zurückgesetzt werden, wird der Benutzer erneut zugeordnet.

Informationen dazu, wie viele AD-Bridges Sie für Ihren Identitätsdomaintyp installieren können, finden Sie unter Limits für IAM-Identitätsdomainobjekte.

Nur eine Bridge kann auf derselben Windows Server-Maschine installiert werden. Eine einzelne Bridge kann installiert werden. Um High Availability (HA) zu verwenden, benötigen Sie mehrere Rechner, die mit derselben AD-Domain verbunden sind.

Wenn eine neue Version des AD-Bridgeclients verfügbar ist:

• Sie sollten immer ein Upgrade durchführen.
• Vergewissern Sie sich, dass Sie die aktuelle Version nicht erneut verwenden. Durch die Neuinstallation der aktuellen Version wird die vorhandene Bridge entfernt. Dies kann zu Authentifizierungs- und Synchronisierungsfehlern führen.

Sie müssen die vorhandene AD-Bridge nicht deinstallieren, um ein Upgrade auf eine neuere Version auszuführen.

Sie können die Versionsnummer in der Benutzeroberfläche der AD-Bridge prüfen.

Vorhandene Daten sind aufgrund eines Upgrades nicht betroffen, und Sie können eine inkrementelle Synchronisierung durchführen. Außerdem ist der Synchronisierungsplan nicht betroffen, und die nächste Synchronisierung wird wie konfiguriert ausgeführt.

Es wird nicht empfohlen, ein Downgrade des AD-Bridgeclients vorzunehmen.

Wenn Sie ein Downgrade des Clients vornehmen, müssen Sie den aktuellen AD-Bridgeclient deinstallieren, der zu einer Ausfallzeit der Services führen kann (Synchronisierung, delegierte Authentifizierung usw.).

Anschließend können Sie die gewünschte Version installieren.

• Prüfen Sie die OE-Konfiguration auf der Seite "Verzeichnisintegrationen". Sie müssen die OEs für Gruppen und Benutzer separat auswählen. Auch wenn Sie dieselbe OE für Gruppen und Benutzer haben, wählen Sie sie separat aus. Speichern Sie die Konfigurationsseite, nachdem Sie die Änderungen vorgenommen haben.
• Bestätigen Sie den Filter, der in Benutzern/Gruppen auf der Konfigurationsseite verwendet wird. Verwenden Sie PowerShell, um den Filter auszuführen und zu prüfen, ob Ihre Benutzer dort angezeigt werden.
• Prüfen Sie die Netzwerkkonnektivität vom AD-Bridgeclient zu IAM. (Nur wenn bei einigen Datensätzen Fehler auftreten.)
• Prüfen Sie die Logdatei IDBridge ("Logs anzeigen" über die Benutzeroberfläche der AD-Bridge). Suchen Sie nach einem Fehler wie dem Folgenden:
  

Wenn Sie einen Threaddump des AD-Bridgeservice auf einem AD-Bridgerechner ausführen müssen, führen Sie diese Schritte aus.

Filter können verhindern, dass neue Benutzer und Gruppen mit IAM synchronisiert werden.

In all diesen Fällen ist die Authentifizierungsanforderung nicht erfolgreich, es sei denn, das Kennwort-Caching ist aktiviert und das Kennwort ist im Cache verfügbar.

Bei den ersten drei Szenarios wird der Service wiederhergestellt, wenn das Downstreamproblem mit dem System/der Konnektivität behoben ist.

Beim letzten Szenario wird der Service wiederhergestellt, wenn die Belastung durch nebenläufige Anforderungen abnimmt.

Wenn das Kennwort-Caching aktiviert ist und kein gecachtes Kennwort vorhanden oder das Cachekennwort abgelaufen ist, wird das Kennwort gespeichert, wenn sich der Benutzer das nächste Mal erfolgreich beim System anmeldet.

Der Standardablauf für ein Kennwort beträgt fünf Tage. Sie können dies jedoch in den Einstellungen für die delegierte Authentifizierung ändern.

Wenn die AD-Bridgeinstallation nicht erfolgreich verläuft, ist dies auf Folgendes zurückzuführen:

• Die Anzahl der Identitätsdomains für Ihren Identitätsdomaintyp wird überschritten.
• Anzahl der AD-Bridgeclients für Ihren Identitätsdomaintyp wird überschritten.

Informationen dazu, wie viele Identitätsdomains oder AD-Bridges Sie für Ihren Identitätsdomaintyp installieren können, finden Sie unter Limits für IAM-Identitätsdomainobjekte.

Beachten Sie, dass die Eingabe des Directory-Benutzerattributs nicht über eine Dropdown-Auswahl, sondern über ein Textfeld mit Vorschlägen erfolgt. Sie können beliebigen Text eingeben, selbst wenn das betreffende Attribut nicht in Ihrem AD vorhanden ist.

Stellen Sie sicher, dass Sie das korrekte Attribut genau so (einschließlich Groß- und Kleinbuchstaben) eingeben, wie der Attributname in Active Directory angezeigt wird.

Wenn Sie dies nicht tun, wird beim Speichern der Zuordnung kein Fehler angezeigt. Ihre AD-Synchronisierung ist jedoch betroffen und kann dieses Attribut nicht aus Active Directory abrufen.

Eine teilweise konfigurierte Domain weist darauf hin, dass auf der Konfigurationsseite keine OE ausgewählt ist. Eine OE-Auswahl für Benutzer, Gruppen oder beides ist erforderlich, um die Domain für die Synchronisierung zu konfigurieren. Solange keine Auswahl getroffen ist, gibt es keine zu importierenden Daten, und der Import bleibt deaktiviert.