Active Directory Konnektor

Hinweis

Schauen Sie sich unser Video-Tutorial zum Thema Konnektoren an.

Klicken Sie auf Neuer Konnektor und wählen Active Directory aus, um diesen ins System einzubinden. Bestehende Konnektoren können über Bearbeiten modifiziert werden.

Willkommen

Dieser Assistent unterstützt Sie in wenigen einfachen Schritten bei der Konfiguration eines Konnektors. Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.

Name und Beschreibung

Es sollte - unabhängig vom Konnektortyp, der angelegt werden soll - ein eindeutiger Name vergeben werden sowie eine kurze Beschreibung, die es ermöglicht, den Konnektor später von anderen Konnektoren zu unterscheiden. Lassen Sie die Beschreibung leer, wenn in der Liste der Konnektoren automatisch die Datenherkunft angezeigt werden soll.

Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.

Zugriff auf das Active Directory

Bitte legen Sie bei folgenden Optionen fest, wie auf das Active Directory zugegriffen werden soll.

Authentifizierung:

  • Automatische Anmeldung mit dem Konto des XPhone Connect Server-Dienstes (wird im Server Manager angegeben)

  • Anmeldung mit den folgenden Daten (Anmeldename, Kennwort)

Einstiegspunkt für den Zugriff auf das Active Directory:

  • Domäne in der sich der XPhone Connect Server befindet verwenden

  • Automatisch ermittelten Global Catalog Server verwenden

  • Manuell angegebene Domäne verwenden

  • Manuell angegebenen Domänen-Controller verwenden (Hostname oder IP-Adresse)

  • Manuell angegebenen Global Catalog Server verwenden (Hostname oder IP-Adresse oder Domäne)

Fremde Domains ohne Trust

Für fremde Domains ohne Trust (z.B. wenn der XPhone Connect Server gar nicht in einer Domäne ist) müssen die Anmelde-Credentials für die Domäne angegeben werden. Außerdem muss i.d.R. eine der beiden letzten Optionen (spezieller Domänen-Controller, Global Catalog Server) angegeben werden.

Wichtig

In diesem Fall kann die integrierte Windows-Anmeldung für die Benutzer nicht funktionieren! Man muss also bei den Anmeldearten die Option Integrierte Windowsanmeldung entfernen. Ansonsten werden vom Konnektor keine Benutzer angelegt, weil er die Windows-SID nicht auflösen kann!

Trusted Domains

Bei Trusted Domains können Sicherheitsgruppen Mitglieder aus allen Domänen enthalten, mit denen eine bidirektionale Vertrauensstellung existiert. Hierzu ein Beispiel:

Domäne FQDN OU Benutzer Gruppen
----------------------------------------------------------------------------------------------------
main company.de munich u_one, u_two, u_xp g_all, g_all_trusted
sub sub.company.de hamburg u_three, u_four g_hamburg
foreign foreign.com newyork u_five, u_six g_all, g_newyork
Gruppenzugehörigkeiten:
-----------------------
sub\g_hamburg = { u_three, u_four }
foreign\g_newyork = { u_five }
foreign\g_all = { u_five, u_six }
main\g_all = { u_one, u_two }
main\g_all_trusted = { g_all, sub\g_hamburg, foreign\g_newyork, foreign\u_six }
Domänenstruktur:
----------------
1. Domäne "sub.company.de" gehört zur Gesamtstruktur "company.de" und hat dadurch automatisch eine bidirektionale, transitive Vertrauensstellung mit "company.de"
2. Domäne "foreign.com" hat eine nicht transitive, bi-direktionale Vertrauensstellung mit "company.de"
3. Entscheidend bei den Vertrauensstellungen ist die Bi-Direktionalität!
Einbindung des XPhone Connect Server in die Domänenstruktur:
------------------------------------------------------------
1. XPhone Connect Server Rechner befindet sich in Domäne "main"
2. XPhone Connect Server Dienst läuft unter dem User-Account main\u_xp
AD-Konnektor auf Sicherheitsgruppe... liefert diese Benutzer:
-----------------------------------------------------------------------
main\g_all main\u_one, main\u_two
main\g_all_trusted main\u_one, main\u_two, sub\u_three, sub\u_four, foreign\u_five, foreign\u_six
foreign\g_all foreign\u_five, foreign\u_six

Datenherkunft wählen

Hinweis

Der Konnektor unterstützt sowohl verschlüsselte als auch unverschlüsselte Kommunikation. Siehe Beispiele.

Damit nicht alle im Active-Directory vorhandenen Elemente übertragen werden, ist das Setzen von Filtern unbedingt empfohlen.

Prinzipiell sind zwei Arten von Filtern möglich:

  • Ermitteln aller Benutzer, die sich in einer bestimmten Sicherheitsgruppe des Active-Directory befinden: Mitglieder einer Sicherheitsgruppe

    Hier können Sie sich durch Klicken auf die Schaltfläche connector1. die aktuelle Struktur des Active Directories anzeigen lassen und eine Sicherheitsgruppe im rechten Feld auswählen. Dies ist die empfohlene Methode.

  • Ergebnis einer Active Directory-Suchanfrage über alle Benutzer ab einer vorgegebenen Organisationseinheit im Active Directory: Ergebnis einer Suchanfrage

    Im Feld Basis-DN kann eine DN angegeben werden, die festlegt, an welcher Stelle im Active Directory mit der Suche begonnen wird. Sie können sich durch Klicken auf die Schaltfläche connector1. die aktuelle Struktur des Active Directories anzeigen lassen und eine Basis-DN im rechten Feld auswählen.

    Im Feld Filterbedingung zur Suche nach Benutzern können Filterbedingungen eingegeben werden. Die Syntax ist gemäß RFC2254. Sie können hier alle Felder und Objektklassen, die im Active Directory gepflegt werden, ansprechen. Beispiele:

    • (objectClass=*) liefert alle Objekte.

    • (objectClass=person) liefert nur Personen.

    • (phoneNumber=089*) liefert alle Rufnummern, die mit 089 beginnen.

    Rekursive Suche aktiviert die rekursive Suche im Active Directory. So werden auch Benutzer berücksichtigt, die über andere Gruppen Mitglied der Auswahlgruppe sind. Sicherheitsgruppen werden immer rekursiv durchsucht, egal ob diese Option aktiviert ist oder nicht.

    Durch Klicken auf Suchanfrage testen können Sie den Filter testen. Es werden die Benutzer aufgelistet, die der Filter im Active Directory findet. Falls Sie hier nicht das gewünschte Ergebnis bekommen, modifizieren Sie die Filterkriterien entsprechend.

Der AD-Konnektor unterstützt wahlweise LDAP oder GC. Um dies zu konfigurieren reicht es aus, den Pfad auf die Sicherheitsgruppe bzw. die Basis-DN entsprechend zu editieren. Dieser String wird beim Speichern in die Datenbank geparsed und daraus die passenden Einträge für den Konnektor generiert.

Beispiel

  • Aus der AD-Suche wurde z.B. dieser String generiert:

    LDAP://company.c4b.de/CN=XPhoneUser,OU=Users,OU=Munich,DC=company,DC=c4b,DC=de
    
  • Umschaltung auf den GC:

    GC://company.c4b.de/CN=XPhoneUser,OU=Users,OU=Munich,DC=company,DC=c4b,DC=de
    
    oder
    
    GC://CN=XPhoneUser,OU=Users,OU=Munich,DC=company,DC=c4b,DC=de
    
  • Verwendung eines anderen Domain-Controllers (auch mit anderem Port):

    LDAP://1.2.3.4:5678/CN=XPhoneUser,OU=Users,OU=Munich,DC=company,DC=c4b,DC=de
    
  • Um eine verschlüsselte Verbindung aufzubauen, ergänzen Sie den Port für die verschlüsselte Verbindung. Für den AD-Zugriff ist dies der Port 636 für den Global Catalog Server (GC) wird der Port 3269 verwendet.

    • AD-Suche:

      LDAP://company.c4b.de:636/CN=XPhoneUser,OU=Users,OU=Munich,DC=company,DC=c4b,DC=de
      
    • GC-Suche:

      GC://company.c4b.de:3269/CN=XPhoneUser,OU=Users,OU=Munich,DC=company,DC=c4b,DC=de
      

Fahren Sie mit dem Mauszeiger auf das Info-Symbol connector2 neben dem Eingabefeld um Beispiele für folgende Felder zu erhalten.

Der Konnektor erzeugt daraus im XPhone Connect Server (konfigurierbar):

  • Benutzer mit Name, Vorname und Anmeldeinformation für Windows-Anmeldung oder wahlweise die integrierte XPhone Connect Server Anmeldung.

  • Leitungen, die als Leitungsadresse die Rufnummer des Active Directory-Benutzers erhalten und die dem Benutzer als Hauptleitung zugeordnet werden.

Folgende Informationen, aus dem Active Directory, werden ausgewertet:

  • Benutzername und -vorname

  • Rufnummer des Benutzers

  • Organisationseinheiten

  • Windows Anmeldeinformatione

Hinweis

Active-Directory-Benutzer werden als Benutzer im XPhone Connect Server eingetragen. Ausgewertet werden die Active Directory Felder sAMAccountName, givenName, objectSID, displayName, sn und objectGuid. Fehlen Daten aus diesen Feldern, so kann der Benutzer nicht im XPhone Connect Server angelegt werden.

connector3

Alternative bei Verwendung eines Text-Konnektors mit Active Directory Daten

Fahren Sie mit dem Mauszeiger auf das Info-Symbol connector2 neben dem Eingabefeld.

Sie haben dann die Möglichkeit ein PowerShell-Skript herunterzuladen, um die Eingabedatei für einen Text-Konnektor mit Daten aus Ihrem Active Directory zu erstellen.

Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.

Ziel auswählen

In diesem Fenster bestimmen Sie, unter welchem Standort oder Konfigurationsgruppe die Benutzer im XPhone Connect Server abgelegt werden sollen. Um Konfigurationsgruppen zu sehen, klicken Sie beim entsprechenden Standort auf das + Symbol, um den Baum aufzuklappen.

Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.

Weiterführende Informationen:

Benutzerverwaltung - Hier können Standorte und Konfigurationsgruppen angelegt werden.

Zeitsteuerung

Wenn Sie diese Checkbox aktivieren, dann können Sie in diesem Fenster angeben, dass der Konnektor zeitgesteuert an bestimmten Tagen, in gewissen Zeiträumen und Intervallen ausgeführt werden soll.

Hinweis

Die Angabe eines Tages bezieht sich ausschließlich auf diesen Tag, nicht auf einen Tageswechsel. Beispiel: Die Angabe, dass ein Konnektor montags von 22 - 6 Uhr laufen soll bedeutet, dass er jeden Montag von 0 - 6 Uhr und 22 - 24 Uhr läuft. Es bedeutet nicht, dass er von Montag 22 Uhr bis Dienstag 6 Uhr läuft.

Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.

Anmeldearten

Den Benutzern der XPhone Connect Clients kann die integrierte Windowsanmeldung und/oder die XPhone Connect Server Anmeldung erlaubt werden (siehe Kapitel Benutzer hinzufügen / bearbeiten). Anstatt diese Optionen manuell für einzelne User oder Standorte zu pflegen, können Sie die Anmeldearten vom Konnektor festlegen lassen.

Wird die Checkbox Benutzern die integrierte Windowsanmeldung erlauben gesetzt, wird für den Benutzer im XPhone Connect Server die Windowsanmeldung aktiviert, wobei die objectSID (AD-Konnektor) den Benutzer gegenüber dem Windowssystem identifiziert. D. h. dass ein Benutzer nicht angelegt werden kann, wenn der Windowsanmeldename nicht gegen die Domäne authentifiziert werden konnte. Das kann sein, wenn der Anmeldename nicht in der Domäne existiert, der Server in einer anderen Domäne als der anzulegende Benutzer ist und keine Vertrauensstellung besteht oder der Server nicht in einer Domäne aufgenommen wurde.

Wird die Checkbox Benutzern die XPhone Connect Server-Anmeldung erlauben gesetzt, verwendet der Konnektor den Wert unter sAMAccountname (AD-Konnektor) bzw. account (Textkonnektor) als Benutzername.

Hinweis

Die XPhone Connect Server-Anmeldung wird benötigt, wenn Sie XPhone Connect Mobile verwenden möchten.

Sie können diese Optionen auf die Benutzer-Neuanlage beschränken. Dann werden spätere Änderungen im XPhone Connect Server an diesen Optionen bei erneutem Ausführen des Konnektors nicht zurück gesetzt. Aktivieren Sie diese Option nicht, wird bei jedem Ausführen des Konnektors die Anmeldeart wieder neu festgelegt und ggf. vorgenommene manuelle Änderungen im XPhone Connect Server verworfen.

Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.

Anmeldenamen- und Kennwörter

Für die XPhone Connect Server-Anmeldung haben Sie zusätzlich die Möglichkeit, den Windowsanmeldenamen als XPhone Connect Server Anmeldenamen zu übernehmen und ein (für alle Benutzer gleiches) Kennwort dafür zu vergeben oder auch den Windowsanmeldenamen als Kennwort zu übernehmen.

Standardmäßig setzt der Konnektor den Anmeldenamen nur bei Anlage eines Benutzers und ändert diesen bei späteren Läufen nicht. Diese Vorgabe können Sie ändern, z.B. um für alle Benutzer den Anmeldenamen neu auf Name.Nachname@Serverdomäne zu setzen und diese Adresse für die Federation mit externen Systemen wie Skype for Business zu verwenden.

Wichtig

Wenn die Anmeldenamen für bestehende Benutzer geändert werden, ist für diese keine Anmeldung in der XPhone Connect Mobile App mehr möglich und der Benutzer muss sich mit den neuen Daten erneut anmelden. Die integrierte Windowsanmeldung steht in der App nicht zur Verfügung!

Desweiteren haben Sie die Möglichkeit, ein zufälliges Kennwort erzeugen zu lassen, welches dem Benutzer per Mail zugeschickt wird. Bitte beachten Sie, wenn Sie diese Option verwenden, dass Einstellungen am E-Mail-Gateway notwendig sind.

connector4

Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.

Optionen

Wenn Sie im Active Directory auch die Telefonleitungen bzw. Durchwahlen der Mitarbeiter pflegen, können diese vom Konnektor ausgelesen und den Benutzern im XPhone Connect Server zugewiesen, oder neu angelegt werden.

Bei aktivierter Checkbox vor Leitungen anhand der Rufnummern der Benutzer erzeugen werden Leitungen neu anhand der Rufnummer der Benutzer erzeugt. Wählen Sie dafür aus, wie die Leitungen anhand der Rufnummer der Benutzer erzeugt werden soll:

  • unabhängig davon, ob eine entsprechende Leitung auf einer Telefonanlage verfügbar ist.

  • nur dann, wenn eine entsprechende Leitung auf einer Telefonanlage verfügbar ist.

  • unter Berücksichtigung erweiterte Einstellungen zur Leitungserzeugung.

Bei aktivierter Checkbox vor Den Benutzern vorhandene Leitungen anhand deren Rufnummern zuweisen, weist der Konnektor den Benutzern Leitungen im XPhone Connect Server zu, die als Leitungsadresse den unter telephoneNumber (Active Directory) bzw. cnocompany (csv) hinterlegten Wert besitzen. Diese Leitungen müssen vor Ausführung des Konnektors bereits im XPhone Connect Server angelegt worden sein, damit die Zuweisung stattfinden kann.

Bei der Erzeugung einer Leitung muss dieser ein Wahlparametersatz und eine Telefonanlage zugewiesen werden. Dabei handelt es sich um die Telefonanlage, an der die Leitung physisch angeschlossen ist.

Achtung

Eine automatische Erkennung der Telefonanlage ist nicht möglich, wenn mehrere Telefonanlagen im XPhone Connect Server konfiguriert sind (Multi-Telefonanlagen-Betrieb), die einen Wahlparametersatz mit identischen Parametern für Ländervorwahl, Ortsvorwahl und Hauptrufnummer verwenden. In diesem Fall müssen Sie unter Berücksichtigung erweiterte Einstellungen zur Leitungserzeugung auswählen und die zu berücksichtigenden Wahlparameter UND Telefonanlagen auswählen.

Aktivieren Sie die zusätzliche Option nur einmalig bei der Neuanlage eines Benutzers, wenn Sie nicht möchten, dass spätere manuelle Änderungen im XPhone Connect Server bei erneutem Ausführen des Konnektors zurückgesetzt werden.

Sollen Leitungen entfernt werden, welche nicht mehr als Rufnummern bei den Benutzern eingetragen sind, so aktivieren Sie die entsprechende Checkbox Leitungen entfernen, welche nicht mehr als Rufnummern bei den Benutzern eingetragen sind.

Deaktivieren Sie die Option Das Verschieben von Benutzern erlauben, die der Konnektor selbst angelegt hat, wenn Sie später manuell Benutzer in andere Standorte verschieben und nicht möchten, dass sie bei erneuter Ausführung des Konnektors wieder in den Ursprungsstandort zurück geschoben werden. Dies betrifft nur Benutzer, die vom Konnektor angelegt wurden; manuell angelegte Benutzer sind davon nicht betroffen.

Hinweis

Von einem Konnektor angelegte Datensätze werden bei der Anlage vom Konnektor markiert (objectSid bzw. ID). Diese Markierungen werden auch von anderen Konnektoren gefunden.

Beispiel:

Ein Benutzer ist in der Gruppe Entwicklung und in der Gruppe Buchhaltung. Es werden zwei Konnektoren für die zwei Gruppen eingerichtet. Der Benutzer der in beiden Gruppen ist, wird von beiden Konnektoren gefunden. Bei einer solchen Konstellation sollte nur ein Konnektor Benutzer verschieben dürfen. Wenn alle Konnektoren Benutzer verschieben dürfen und mehrere Benutzer in verschiedenen Organisationseinheiten landen sollen, dann kann das die Performance des Server beeinträchtigen.

Bemerkung

Sind die Rufnummern im Active Directory im kanonischen Format gespeichert, wird eine Leitung mit genau dieser Adresse gesucht und dem Benutzer zugeordnet. Sind im Active Directory Rufnummern in anderen Formaten hinterlegt, versucht der Konnektor diese anhand der im XPhone Connect Server konfigurierten Wahlparameter in das kanonische Format zu konvertieren. Sind mehrere Wahlparametersätze im XPhone Connect Server konfiguriert (Multi-Telefonanlagen-Betrieb, Multi-Standort-Betrieb) ist eine Konvertierung unter Umständen nicht möglich, da die Rufnummern nicht eindeutig sind. In diesem Fall müssen die Rufnummern im kanonischen Format ins Active Directory eingepflegt werden. Wenn Sie unter Berücksichtigung erweiterte Einstellungen zur Leitungserzeugung auswählen, können Sie die zu berücksichtigenden Wahlparameter UND Telefonanlagen gezielt auswählen.

connector5

Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.

Erweiterte Einstellungen zur Leitungserzeugung

Die Seite Erweiterte Einstellungen wird Ihnen nur angezeigt, wenn Sie zuvor unter Berücksichtigung erweiterter Einstellungen zur Leitungserzeugung ausgewählt haben.

Legen Sie erweiterte Einstellungen zur Erzeugung und zur Zuweisung von Telefonieleitungen fest.

  • Zu berücksichtigende Wahlparameter

    Bitte wählen Sie die Wahlparameter aus, welche für die Leitungssuche verwendet werden sollen. Die Wahlparameter werden in der angegebenen Reihenfolge berücksichtigt. Lassen Sie die Liste leer, um alle vorhandenen Wahlparameter in alphabetischer Reihenfolge zu berücksichtigen.

    Klicken Sie den Doppelpfeil, der jeweiligen Richtung (Ausgewählt bzw. Verfügbar) um alle verfügbaren Wahlparameter an- bzw. abzuwählen. Oder markieren Sie einen Wahlparameter und klicken Sie auf den jeweiligen Einzelpfeil um ihn an- bzw. abzuwählen. Mit den Pfeilen hoch bzw. runter können Sie die Reihenfolge anpassen.

  • Zu berücksichtigende Telefonanlagen

    Bitte wählen Sie die Telefonanlagen aus, welche für die Leitungssuche verwendet werden sollen. Die Telefonanlagen werden in der angegebenen Reihenfolge berücksichtigt. Lassen Sie die Liste leer, um alle vorhandenen Telefonanlagen in alphabetischer Reihenfolge zu berücksichtigen.

    Klicken Sie den Doppelpfeil, der jeweiligen Richtung (Ausgewählt bzw. Verfügbar) um alle verfügbaren Telefonanlagen an- bzw. abzuwählen. Oder markieren Sie eine Telefonanlage und klicken Sie auf den jeweiligen Einzelpfeil um sie an- bzw. abzuwählen. Mit den Pfeilen hoch bzw. runter können Sie die Reihenfolge anpassen.

  • Einstellungen zur Leitungserzeugung

    Nehmen Sie hier Einstellung bzgl. Leitungserzeugung vor, wie Leitungen gesucht, erzeugt oder verschoben werden sollen:

    • Standardsuche ausführen

      Es wird zunächst versucht, über alle vorhandenen Wahlparameter und Telefonanlagen hinweg eine eindeutige Leitung zur Rufnummer zu ermitteln. Nur wenn diese Suche ergebnislos bleibt, erfolgt eine Suche anhand der hier vorgegebenen Wahlparameter und Telefonanlagen.

    • Die erste gefundene Leitung verwenden

      Die gefundene Leitung zwischen Telefonanlagen verschieben

    • Leitung nur dann erzeugen, wenn eine entsprechende physische Leitung auf der Telefonanlage verfügbar ist

      Weitersuchen, falls die Überprüfung auf die physische Leitung fehlschlägt

    • Weitere Flags (optional)

      In besonderen Anwendungsfällen können weitere Flags notwendig sein. Setzen Sie sich dazu mit Ihrem XPhone Connect Support in Verbindung.

Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.

Zusammenfassung

Zusammengefasst sehen Sie hier alle vorgenommenen Einstellungen, welche durch Klick auf Fertig stellen übernommen werden. Mit Klick auf Zurück zur Liste der Konnektoren gelangen Sie zurück zur Übersicht.

Regeln bei der Datensynchronisation

Bereits bestehende (manuelle angelegte) Benutzer: Es werden nur Benutzer verändert, die über den Konnektor erzeugt wurden.

Die Einstellungen für die Windows Anmeldung, die XPhone Connect Server Anmeldung und das Standardpasswort haben nur bei der Neuerzeugung eines Benutzers Bedeutung. Bei Änderungen in der Konnektorkonfiguration werden diese Werte nicht mehr verändert. Die restlichen Parameter werden bei Änderungen im Active Directory nachgeführt. Der Benutzer wird über seine eindeutige ID identifiziert. Dies ist je nach Konnektortyp die objectSID oder ID (AD- bzw. Text-Konnektor). Dadurch wird auch eine Änderung des Benutzersnamens im Active-Directory oder der Textdatei behandelt.

Ein Konnektor kennzeichnet Benutzer, die in die XPhone Connect Server-Konfiguration übertragen wurden. Wenn bei mehr als drei Konnektordurchgängen ein Benutzer nicht mehr gefunden wurde, wird der Benutzer im XPhone Connect Server gelöscht.

Haben Sie einen Fehler auf dieser Seite entdeckt?

Bitte schicken Sie uns einen Hinweis auf diesen Fehler per Mail an doku@c4b.de. Vielen Dank!