Active Directory Konnektor
Hinweis
Schauen Sie sich unser Video-Tutorial zum Thema Konnektoren an.
Klicken Sie auf Neuer Konnektor und wählen Active Directory aus, um diesen ins System einzubinden. Bestehende Konnektoren können über Bearbeiten modifiziert werden.
Willkommen
Dieser Assistent unterstützt Sie in wenigen einfachen Schritten bei der Konfiguration eines Konnektors. Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.
Name und Beschreibung
Es sollte - unabhängig vom Konnektortyp, der angelegt werden soll - ein eindeutiger Name vergeben werden sowie eine kurze Beschreibung, die es ermöglicht, den Konnektor später von anderen Konnektoren zu unterscheiden. Lassen Sie die Beschreibung leer, wenn in der Liste der Konnektoren automatisch die Datenherkunft angezeigt werden soll.
Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.
Zugriff auf das Active Directory
Bitte legen Sie bei folgenden Optionen fest, wie auf das Active Directory zugegriffen werden soll.
Authentifizierung:
Automatische Anmeldung mit dem Konto des XPhone Connect Server-Dienstes (wird im Server Manager angegeben)
Anmeldung mit den folgenden Daten (Anmeldename, Kennwort)
Einstiegspunkt für den Zugriff auf das Active Directory:
Domäne in der sich der XPhone Connect Server befindet verwenden
Automatisch ermittelten Global Catalog Server verwenden
Manuell angegebene Domäne verwenden
Manuell angegebenen Domänen-Controller verwenden (Hostname oder IP-Adresse)
Manuell angegebenen Global Catalog Server verwenden (Hostname oder IP-Adresse oder Domäne)
Fremde Domains ohne Trust
Für fremde Domains ohne Trust (z.B. wenn der XPhone Connect Server gar nicht in einer Domäne ist) müssen die Anmelde-Credentials für die Domäne angegeben werden. Außerdem muss i.d.R. eine der beiden letzten Optionen (spezieller Domänen-Controller, Global Catalog Server) angegeben werden.
Wichtig
In diesem Fall kann die integrierte Windows-Anmeldung für die Benutzer nicht funktionieren! Man muss also bei den Anmeldearten die Option Integrierte Windowsanmeldung entfernen. Ansonsten werden vom Konnektor keine Benutzer angelegt, weil er die Windows-SID nicht auflösen kann!
Trusted Domains
Bei Trusted Domains können Sicherheitsgruppen Mitglieder aus allen Domänen enthalten, mit denen eine bidirektionale Vertrauensstellung existiert. Hierzu ein Beispiel:
Domäne FQDN OU Benutzer Gruppen
----------------------------------------------------------------------------------------------------
main company.de munich u_one, u_two, u_xp g_all, g_all_trusted
sub sub.company.de hamburg u_three, u_four g_hamburg
foreign foreign.com newyork u_five, u_six g_all, g_newyork
Gruppenzugehörigkeiten:
-----------------------
sub\g_hamburg = { u_three, u_four }
foreign\g_newyork = { u_five }
foreign\g_all = { u_five, u_six }
main\g_all = { u_one, u_two }
main\g_all_trusted = { g_all, sub\g_hamburg, foreign\g_newyork, foreign\u_six }
Domänenstruktur:
----------------
1. Domäne "sub.company.de" gehört zur Gesamtstruktur "company.de" und hat dadurch automatisch eine bidirektionale, transitive Vertrauensstellung mit "company.de"
2. Domäne "foreign.com" hat eine nicht transitive, bi-direktionale Vertrauensstellung mit "company.de"
3. Entscheidend bei den Vertrauensstellungen ist die Bi-Direktionalität!
Einbindung des XPhone Connect Server in die Domänenstruktur:
------------------------------------------------------------
1. XPhone Connect Server Rechner befindet sich in Domäne "main"
2. XPhone Connect Server Dienst läuft unter dem User-Account main\u_xp
AD-Konnektor auf Sicherheitsgruppe... liefert diese Benutzer:
-----------------------------------------------------------------------
main\g_all main\u_one, main\u_two
main\g_all_trusted main\u_one, main\u_two, sub\u_three, sub\u_four, foreign\u_five, foreign\u_six
foreign\g_all foreign\u_five, foreign\u_six
Datenherkunft wählen
Hinweis
Der Konnektor unterstützt sowohl verschlüsselte als auch unverschlüsselte Kommunikation. Siehe Beispiele.
Damit nicht alle im Active-Directory vorhandenen Elemente übertragen werden, ist das Setzen von Filtern unbedingt empfohlen.
Prinzipiell sind zwei Arten von Filtern möglich:
Ermitteln aller Benutzer, die sich in einer bestimmten Sicherheitsgruppe des Active-Directory befinden: Mitglieder einer Sicherheitsgruppe
Hier können Sie sich durch Klicken auf die Schaltfläche
. die aktuelle Struktur des Active Directories anzeigen lassen und eine Sicherheitsgruppe im rechten Feld auswählen. Dies ist die empfohlene Methode.
Ergebnis einer Active Directory-Suchanfrage über alle Benutzer ab einer vorgegebenen Organisationseinheit im Active Directory: Ergebnis einer Suchanfrage
Im Feld Basis-DN kann eine DN angegeben werden, die festlegt, an welcher Stelle im Active Directory mit der Suche begonnen wird. Sie können sich durch Klicken auf die Schaltfläche
. die aktuelle Struktur des Active Directories anzeigen lassen und eine Basis-DN im rechten Feld auswählen.
Im Feld Filterbedingung zur Suche nach Benutzern können Filterbedingungen eingegeben werden. Die Syntax ist gemäß RFC2254. Sie können hier alle Felder und Objektklassen, die im Active Directory gepflegt werden, ansprechen. Beispiele:
(objectClass=*)
liefert alle Objekte.(objectClass=person)
liefert nur Personen.(phoneNumber=089*)
liefert alle Rufnummern, die mit 089 beginnen.
Rekursive Suche aktiviert die rekursive Suche im Active Directory. So werden auch Benutzer berücksichtigt, die über andere Gruppen Mitglied der Auswahlgruppe sind. Sicherheitsgruppen werden immer rekursiv durchsucht, egal ob diese Option aktiviert ist oder nicht.
Durch Klicken auf Suchanfrage testen können Sie den Filter testen. Es werden die Benutzer aufgelistet, die der Filter im Active Directory findet. Falls Sie hier nicht das gewünschte Ergebnis bekommen, modifizieren Sie die Filterkriterien entsprechend.
Der AD-Konnektor unterstützt wahlweise LDAP oder GC. Um dies zu konfigurieren reicht es aus, den Pfad auf die Sicherheitsgruppe bzw. die Basis-DN entsprechend zu editieren. Dieser String wird beim Speichern in die Datenbank geparsed und daraus die passenden Einträge für den Konnektor generiert.
Beispiel
Aus der AD-Suche wurde z.B. dieser String generiert:
LDAP://company.c4b.de/CN=XPhoneUser,OU=Users,OU=Munich,DC=company,DC=c4b,DC=de
Umschaltung auf den GC:
GC://company.c4b.de/CN=XPhoneUser,OU=Users,OU=Munich,DC=company,DC=c4b,DC=de oder GC://CN=XPhoneUser,OU=Users,OU=Munich,DC=company,DC=c4b,DC=de
Verwendung eines anderen Domain-Controllers (auch mit anderem Port):
LDAP://1.2.3.4:5678/CN=XPhoneUser,OU=Users,OU=Munich,DC=company,DC=c4b,DC=de
Um eine verschlüsselte Verbindung aufzubauen, ergänzen Sie den Port für die verschlüsselte Verbindung. Für den AD-Zugriff ist dies der Port
636
für den Global Catalog Server (GC) wird der Port3269
verwendet.AD-Suche:
LDAP://company.c4b.de:636/CN=XPhoneUser,OU=Users,OU=Munich,DC=company,DC=c4b,DC=de
GC-Suche:
GC://company.c4b.de:3269/CN=XPhoneUser,OU=Users,OU=Munich,DC=company,DC=c4b,DC=de
Fahren Sie mit dem Mauszeiger auf das Info-Symbol neben dem Eingabefeld um Beispiele für folgende Felder zu erhalten.
Der Konnektor erzeugt daraus im XPhone Connect Server (konfigurierbar):
Benutzer mit Name, Vorname und Anmeldeinformation für Windows-Anmeldung oder wahlweise die integrierte XPhone Connect Server Anmeldung.
Leitungen, die als Leitungsadresse die Rufnummer des Active Directory-Benutzers erhalten und die dem Benutzer als Hauptleitung zugeordnet werden.
Folgende Informationen, aus dem Active Directory, werden ausgewertet:
Benutzername und -vorname
Rufnummer des Benutzers
Organisationseinheiten
Windows Anmeldeinformatione
Hinweis
Active-Directory-Benutzer werden als Benutzer im XPhone Connect Server eingetragen. Ausgewertet werden die Active Directory Felder
sAMAccountName
, givenName
, objectSID
, displayName
, sn
und objectGuid
.
Fehlen Daten aus diesen Feldern, so kann der Benutzer nicht im XPhone Connect Server angelegt werden.
Alternative bei Verwendung eines Text-Konnektors mit Active Directory Daten
Fahren Sie mit dem Mauszeiger auf das Info-Symbol neben dem Eingabefeld.
Sie haben dann die Möglichkeit ein PowerShell-Skript herunterzuladen, um die Eingabedatei für einen Text-Konnektor mit Daten aus Ihrem Active Directory zu erstellen.
Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.
Ziel auswählen
In diesem Fenster bestimmen Sie, unter welchem Standort oder Konfigurationsgruppe die Benutzer im XPhone Connect Server abgelegt werden sollen. Um Konfigurationsgruppen zu sehen,
klicken Sie beim entsprechenden Standort auf das +
Symbol, um den Baum aufzuklappen.
Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.
Weiterführende Informationen:
Benutzerverwaltung - Hier können Standorte und Konfigurationsgruppen angelegt werden.
Zeitsteuerung
Wenn Sie diese Checkbox aktivieren, dann können Sie in diesem Fenster angeben, dass der Konnektor zeitgesteuert an bestimmten Tagen, in gewissen Zeiträumen und Intervallen ausgeführt werden soll.
Hinweis
Die Angabe eines Tages bezieht sich ausschließlich auf diesen Tag, nicht auf einen Tageswechsel. Beispiel: Die Angabe, dass ein Konnektor montags von 22 - 6 Uhr laufen soll bedeutet, dass er jeden Montag von 0 - 6 Uhr und 22 - 24 Uhr läuft. Es bedeutet nicht, dass er von Montag 22 Uhr bis Dienstag 6 Uhr läuft.
Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.
Anmeldearten
Den Benutzern der XPhone Connect Clients kann die integrierte Windowsanmeldung und/oder die XPhone Connect Server Anmeldung erlaubt werden (siehe Kapitel Benutzer hinzufügen / bearbeiten). Anstatt diese Optionen manuell für einzelne User oder Standorte zu pflegen, können Sie die Anmeldearten vom Konnektor festlegen lassen.
Wird die Checkbox Benutzern die integrierte Windowsanmeldung erlauben gesetzt, wird für den Benutzer im XPhone Connect Server die Windowsanmeldung aktiviert, wobei die objectSID (AD-Konnektor) den Benutzer gegenüber dem Windowssystem identifiziert. D. h. dass ein Benutzer nicht angelegt werden kann, wenn der Windowsanmeldename nicht gegen die Domäne authentifiziert werden konnte. Das kann sein, wenn der Anmeldename nicht in der Domäne existiert, der Server in einer anderen Domäne als der anzulegende Benutzer ist und keine Vertrauensstellung besteht oder der Server nicht in einer Domäne aufgenommen wurde.
Wird die Checkbox Benutzern die XPhone Connect Server-Anmeldung erlauben gesetzt, verwendet der Konnektor den Wert unter sAMAccountname (AD-Konnektor) bzw. account (Textkonnektor) als Benutzername.
Hinweis
Die XPhone Connect Server-Anmeldung wird benötigt, wenn Sie XPhone Connect Mobile verwenden möchten.
Sie können diese Optionen auf die Benutzer-Neuanlage beschränken. Dann werden spätere Änderungen im XPhone Connect Server an diesen Optionen bei erneutem Ausführen des Konnektors nicht zurück gesetzt. Aktivieren Sie diese Option nicht, wird bei jedem Ausführen des Konnektors die Anmeldeart wieder neu festgelegt und ggf. vorgenommene manuelle Änderungen im XPhone Connect Server verworfen.
Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.
Anmeldenamen- und Kennwörter
Für die XPhone Connect Server-Anmeldung haben Sie zusätzlich die Möglichkeit, den Windowsanmeldenamen als XPhone Connect Server Anmeldenamen zu übernehmen und ein (für alle Benutzer gleiches) Kennwort dafür zu vergeben oder auch den Windowsanmeldenamen als Kennwort zu übernehmen.
Standardmäßig setzt der Konnektor den Anmeldenamen nur bei Anlage eines Benutzers und ändert diesen bei späteren Läufen nicht. Diese Vorgabe können Sie ändern,
z.B. um für alle Benutzer den Anmeldenamen neu auf Name.Nachname@Serverdomäne
zu setzen und diese Adresse für die Federation mit externen Systemen wie Skype for Business zu verwenden.
Wichtig
Wenn die Anmeldenamen für bestehende Benutzer geändert werden, ist für diese keine Anmeldung in der XPhone Connect Mobile App mehr möglich und der Benutzer muss sich mit den neuen Daten erneut anmelden. Die integrierte Windowsanmeldung steht in der App nicht zur Verfügung!
Desweiteren haben Sie die Möglichkeit, ein zufälliges Kennwort erzeugen zu lassen, welches dem Benutzer per Mail zugeschickt wird. Bitte beachten Sie, wenn Sie diese Option verwenden, dass Einstellungen am E-Mail-Gateway notwendig sind.
Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.
Optionen
Wenn Sie im Active Directory auch die Telefonleitungen bzw. Durchwahlen der Mitarbeiter pflegen, können diese vom Konnektor ausgelesen und den Benutzern im XPhone Connect Server zugewiesen, oder neu angelegt werden.
Bei aktivierter Checkbox vor Leitungen anhand der Rufnummern der Benutzer erzeugen werden Leitungen neu anhand der Rufnummer der Benutzer erzeugt. Wählen Sie dafür aus, wie die Leitungen anhand der Rufnummer der Benutzer erzeugt werden soll:
unabhängig davon, ob eine entsprechende Leitung auf einer Telefonanlage verfügbar ist.
nur dann, wenn eine entsprechende Leitung auf einer Telefonanlage verfügbar ist.
unter Berücksichtigung erweiterte Einstellungen zur Leitungserzeugung.
Bei aktivierter Checkbox vor Den Benutzern vorhandene Leitungen anhand deren Rufnummern zuweisen, weist der Konnektor den Benutzern Leitungen im XPhone Connect Server zu,
die als Leitungsadresse den unter telephoneNumber
(Active Directory) bzw. cnocompany
(csv) hinterlegten Wert besitzen. Diese Leitungen müssen vor Ausführung des Konnektors
bereits im XPhone Connect Server angelegt worden sein, damit die Zuweisung stattfinden kann.
Bei der Erzeugung einer Leitung muss dieser ein Wahlparametersatz und eine Telefonanlage zugewiesen werden. Dabei handelt es sich um die Telefonanlage, an der die Leitung physisch angeschlossen ist.
Achtung
Eine automatische Erkennung der Telefonanlage ist nicht möglich, wenn mehrere Telefonanlagen im XPhone Connect Server konfiguriert sind (Multi-Telefonanlagen-Betrieb), die einen Wahlparametersatz mit identischen Parametern für Ländervorwahl, Ortsvorwahl und Hauptrufnummer verwenden. In diesem Fall müssen Sie unter Berücksichtigung erweiterte Einstellungen zur Leitungserzeugung auswählen und die zu berücksichtigenden Wahlparameter UND Telefonanlagen auswählen.
Aktivieren Sie die zusätzliche Option nur einmalig bei der Neuanlage eines Benutzers, wenn Sie nicht möchten, dass spätere manuelle Änderungen im XPhone Connect Server bei erneutem Ausführen des Konnektors zurückgesetzt werden.
Sollen Leitungen entfernt werden, welche nicht mehr als Rufnummern bei den Benutzern eingetragen sind, so aktivieren Sie die entsprechende Checkbox Leitungen entfernen, welche nicht mehr als Rufnummern bei den Benutzern eingetragen sind.
Deaktivieren Sie die Option Das Verschieben von Benutzern erlauben, die der Konnektor selbst angelegt hat, wenn Sie später manuell Benutzer in andere Standorte verschieben und nicht möchten, dass sie bei erneuter Ausführung des Konnektors wieder in den Ursprungsstandort zurück geschoben werden. Dies betrifft nur Benutzer, die vom Konnektor angelegt wurden; manuell angelegte Benutzer sind davon nicht betroffen.
Hinweis
Von einem Konnektor angelegte Datensätze werden bei der Anlage vom Konnektor markiert (objectSid
bzw. ID
). Diese Markierungen werden auch von anderen Konnektoren gefunden.
Beispiel:
Ein Benutzer ist in der Gruppe Entwicklung und in der Gruppe Buchhaltung. Es werden zwei Konnektoren für die zwei Gruppen eingerichtet. Der Benutzer der in beiden Gruppen ist, wird von beiden Konnektoren gefunden. Bei einer solchen Konstellation sollte nur ein Konnektor Benutzer verschieben dürfen. Wenn alle Konnektoren Benutzer verschieben dürfen und mehrere Benutzer in verschiedenen Organisationseinheiten landen sollen, dann kann das die Performance des Server beeinträchtigen.
Bemerkung
Sind die Rufnummern im Active Directory im kanonischen Format gespeichert, wird eine Leitung mit genau dieser Adresse gesucht und dem Benutzer zugeordnet. Sind im Active Directory Rufnummern in anderen Formaten hinterlegt, versucht der Konnektor diese anhand der im XPhone Connect Server konfigurierten Wahlparameter in das kanonische Format zu konvertieren. Sind mehrere Wahlparametersätze im XPhone Connect Server konfiguriert (Multi-Telefonanlagen-Betrieb, Multi-Standort-Betrieb) ist eine Konvertierung unter Umständen nicht möglich, da die Rufnummern nicht eindeutig sind. In diesem Fall müssen die Rufnummern im kanonischen Format ins Active Directory eingepflegt werden. Wenn Sie unter Berücksichtigung erweiterte Einstellungen zur Leitungserzeugung auswählen, können Sie die zu berücksichtigenden Wahlparameter UND Telefonanlagen gezielt auswählen.
Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.
Erweiterte Einstellungen zur Leitungserzeugung
Die Seite Erweiterte Einstellungen wird Ihnen nur angezeigt, wenn Sie zuvor unter Berücksichtigung erweiterter Einstellungen zur Leitungserzeugung ausgewählt haben.
Legen Sie erweiterte Einstellungen zur Erzeugung und zur Zuweisung von Telefonieleitungen fest.
Zu berücksichtigende Wahlparameter
Bitte wählen Sie die Wahlparameter aus, welche für die Leitungssuche verwendet werden sollen. Die Wahlparameter werden in der angegebenen Reihenfolge berücksichtigt. Lassen Sie die Liste leer, um alle vorhandenen Wahlparameter in alphabetischer Reihenfolge zu berücksichtigen.
Klicken Sie den Doppelpfeil, der jeweiligen Richtung (Ausgewählt bzw. Verfügbar) um alle verfügbaren Wahlparameter an- bzw. abzuwählen. Oder markieren Sie einen Wahlparameter und klicken Sie auf den jeweiligen Einzelpfeil um ihn an- bzw. abzuwählen. Mit den Pfeilen hoch bzw. runter können Sie die Reihenfolge anpassen.
- Zu berücksichtigende Telefonanlagen
Bitte wählen Sie die Telefonanlagen aus, welche für die Leitungssuche verwendet werden sollen. Die Telefonanlagen werden in der angegebenen Reihenfolge berücksichtigt. Lassen Sie die Liste leer, um alle vorhandenen Telefonanlagen in alphabetischer Reihenfolge zu berücksichtigen.
Klicken Sie den Doppelpfeil, der jeweiligen Richtung (Ausgewählt bzw. Verfügbar) um alle verfügbaren Telefonanlagen an- bzw. abzuwählen. Oder markieren Sie eine Telefonanlage und klicken Sie auf den jeweiligen Einzelpfeil um sie an- bzw. abzuwählen. Mit den Pfeilen hoch bzw. runter können Sie die Reihenfolge anpassen.
Einstellungen zur Leitungserzeugung
Nehmen Sie hier Einstellung bzgl. Leitungserzeugung vor, wie Leitungen gesucht, erzeugt oder verschoben werden sollen:
Standardsuche ausführen
Es wird zunächst versucht, über alle vorhandenen Wahlparameter und Telefonanlagen hinweg eine eindeutige Leitung zur Rufnummer zu ermitteln. Nur wenn diese Suche ergebnislos bleibt, erfolgt eine Suche anhand der hier vorgegebenen Wahlparameter und Telefonanlagen.
Die erste gefundene Leitung verwenden
Die gefundene Leitung zwischen Telefonanlagen verschieben
Leitung nur dann erzeugen, wenn eine entsprechende physische Leitung auf der Telefonanlage verfügbar ist
Weitersuchen, falls die Überprüfung auf die physische Leitung fehlschlägt
Weitere Flags (optional)
In besonderen Anwendungsfällen können weitere Flags notwendig sein. Setzen Sie sich dazu mit Ihrem XPhone Connect Support in Verbindung.
Klicken Sie auf Weiter um zum nächsten Schritt zu gelangen.
Zusammenfassung
Zusammengefasst sehen Sie hier alle vorgenommenen Einstellungen, welche durch Klick auf Fertig stellen übernommen werden. Mit Klick auf Zurück zur Liste der Konnektoren gelangen Sie zurück zur Übersicht.
Regeln bei der Datensynchronisation
Bereits bestehende (manuelle angelegte) Benutzer: Es werden nur Benutzer verändert, die über den Konnektor erzeugt wurden.
Die Einstellungen für die Windows Anmeldung, die XPhone Connect Server Anmeldung und das Standardpasswort haben nur bei der Neuerzeugung eines Benutzers Bedeutung. Bei Änderungen in der Konnektorkonfiguration werden diese Werte nicht mehr verändert. Die restlichen Parameter werden bei Änderungen im Active Directory nachgeführt. Der Benutzer wird über seine eindeutige ID identifiziert. Dies ist je nach Konnektortyp die objectSID oder ID (AD- bzw. Text-Konnektor). Dadurch wird auch eine Änderung des Benutzersnamens im Active-Directory oder der Textdatei behandelt.
Ein Konnektor kennzeichnet Benutzer, die in die XPhone Connect Server-Konfiguration übertragen wurden. Wenn bei mehr als drei Konnektordurchgängen ein Benutzer nicht mehr gefunden wurde, wird der Benutzer im XPhone Connect Server gelöscht.
Haben Sie einen Fehler auf dieser Seite gefunden?
Oder ist etwas nicht gut oder zu ungenau formuliert? Dann freuen wir uns über eine E-Mail, am besten mit einem Verbesserungsvorschlag, an doku@c4b.de. Vielen Dank!