Verwaltung des AD Sync Tools

Das AD Sync Tool ist ein Befehlszeilentool, das Sie auf einem Windows-, Linux- oder macOS-System ausführen können, um Benutzer und Gruppen zwischen Ihrem Active Directory (AD) oder LDAP-Server und Ihrem Zoom-Konto zu synchronisieren. Mit diesem Tool können Sie die Benutzer und Gruppen in Ihrem Zoom-Konto automatisch verwalten, wenn es eine Änderung in Ihrem LDAP/AD-System für diese Benutzer und Gruppen gibt.

Das Tool wird in der Konsole ausgeführt und verfügt nicht über eine grafische Benutzeroberfläche oder eine Weboberfläche. Die Einstellungen werden mit Hilfe einer Eigenschaftsdatei konfiguriert, und Sie können die Protokolldateien überprüfen, um die Details der Änderungen zu sehen oder um Fehler zu beheben.

Auf der Grundlage von Änderungen in Ihrem LDAP/AD-Server können Sie mit dem AD Sync Tool Benutzer erstellen, aktualisieren und deaktivieren/löschen, die E-Mail des Zoom-Benutzers aktualisieren (die neue E-Mail-Domäne muss in der zugehörigen Domäne liegen) und Benutzer abmelden, wenn ihr Passwort geändert, gelöscht oder deaktiviert wurde. Mit diesem Tool können Sie auch Zoom-Gruppen erstellen, aktualisieren und löschen sowie Gruppenmitglieder hinzufügen oder entfernen.

Das AD Sync Tool unterstützt die folgenden Attribute.

Benutzer:

• Vorname
• Nachname
• E-Mail
• Abteilung
• Job Titel
• Telefon Nummer
• Unternehmen
• Kostenstelle
• Eindeutige Mitarbeiter-ID

Gruppe:

• Gruppe Name
• E-Mail-Alias der Gruppe

Wenn Sie ADFS mit Entra ID synchronisieren, empfehlen wir Ihnen, unsere Entra ID-Integration zu verwenden, um eine bessere Verwaltung zu ermöglichen.

Anforderungen für das AD Sync Tool

• Ein Zoom-Konto, in dem die folgenden Funktionen aktiviert sind:
  • Eitelkeits-URL
  • REST API
  • Active Directory
  • Single Sign On wurde in Zoom aktiviert und konfiguriert 
  • Kontaktieren Sie den Zoom-Support, um das AD Sync Tool zu aktivieren.
• Erstellen Sie eine Server-to-Server OAuth-App für das AD Sync Tool auf dem Zoom App Marketplace
• LDAP-Dienste, wie z.B. Active Directory Federation Services (ADFS)
• LDAP (oder Microsoft AD) Administratorkonto, für das Sie Zugriff auf den Benutzernamen und das Passwort haben

So erstellen Sie eine Server-zu-Server OAuth-Anwendung für das AD Sync Tool

Überprüfen Sie die Berechtigungen zum Bearbeiten von Benutzern

Um diese App zu erstellen, muss der Benutzer über die Berechtigung Benutzer:Bearbeiten verfügen.

1. Melden Sie sich beim Zoom-Webportal als Administrator oder als Benutzer mit Bearbeitungsrechten für die Rollenverwaltung an.
2. Klicken Sie im Navigationsmenü auf Benutzerverwaltung und dann auf Rollen.
3. Klicken Sie auf der Registerkarte Alle auf den Namen des Rollentyps, den Sie überprüfen möchten, z. B. Admin.
4. Überprüfen Sie unter Benutzer- und Berechtigungsverwaltung, ob diese Rolle über die Berechtigung Benutzer bearbeiten verfügt.

Erfahren Sie mehr über die Rollenverwaltung.

Erstellen Sie die App

Sie müssen eine Server-to-Server OAuth-App für das Tool auf dem Zoom App Marketplace erstellen. Nur Benutzer mit der Berechtigung Benutzer:Bearbeiten können diese Aufgabe erledigen.

1. Melden Sie sich beim Zoom App Marketplace an.
2. Klicken Sie in der oberen rechten Ecke auf Entwickeln und dann auf Server-zu-Server-App erstellen.
3. Geben Sie einen Namen für Ihre App ein und klicken Sie auf Erstellen.
4. Auf der Registerkarte App-Zugangsdaten sehen Sie Ihre Konto-ID, Ihre Kunden-ID und Ihr Kundengeheimnis. Sie verwenden diese Anmeldedaten, um sich bei Zoom zu authentifizieren.
5. Fügen Sie auf der Registerkarte Informationen Informationen über Ihre App hinzu, z. B. eine kurze Beschreibung, den Firmennamen und die Kontaktinformationen des Entwicklers (Name und E-Mail-Adresse für die Aktivierung erforderlich).
6. Klicken Sie auf der Registerkarte Scopes auf Add Scopes und fügen Sie die folgenden Bereiche hinzu:
   1. Klicken Sie auf Benutzer, dann auf Benutzerinformationen anzeigen und Benutzer verwalten und wählen Sie den Bereich Token eines Benutzers entfernen.
   2. Klicken Sie auf SCIM2, dann auf Call Zoom SCIM2 API und wählen Sie den Bereich Call Zoom SCIM2 API.
   3. Klicken Sie auf Erledigt.
   4. Klicken Sie auf Weiter.
7. Aktivieren Sie Ihre App auf der Registerkarte Aktivierung.

Schnellstart des AD Sync Tools

1. Installieren Sie JDK Version 17 oder höher und führen Sie dann den folgenden Befehl aus, um sicherzustellen, dass java korrekt installiert ist:
   java -version
2. Beziehen Sie die Datei zoomadsynctool.zip von folgendem Ort: https://cdn.zoom.us/prod/tools/zoomadsynctool.zip
3. Entpacken Sie die Datei zoomadsynctool.zip.
4. Sichern und aktualisieren Sie die config.properties Datei, wie im Abschnitt Konfiguration beschrieben.
5. Bereiten Sie einen Geheimcode vor, um die sensiblen Informationen in den Konfigurationsdateien des Tools zu schützen. Der Geheimcode wird jedes Mal benötigt, wenn Sie das Tool ausführen.
6. Vervollständigen Sie die Initialisierungskonfiguration des Tools, indem Sie den folgenden Befehl ausführen:
   bin/adtool.cmd setup
7. Überprüfen Sie die Richtigkeit der Datei config.properties und die Ergebnisse der Synchronisierung, indem Sie den folgenden Befehl ausführen:
   bin/adtool.cmd Vorschau
8. Ändern Sie die config.properties Datei und Ihre LDAP/AD-Benutzer/Gruppen und führen Sie dann den Vorschau-Befehl erneut aus, um zu überprüfen, ob die Ergebnisse Ihren Erwartungen entsprechen.
9. Wenn die Konfiguration korrekt ist und der Vorschau-Befehl die erwarteten Ergebnisse liefert, starten Sie den Synchronisierungsvorgang, indem Sie den folgenden Befehl ausführen:
   bin/adtool.cmd sync
   Beachten Sie: Die Ausführung des Befehls sync oder start kann bestehende Benutzer aus Ihrem Zoom-Konto löschen oder deaktivieren, wenn diese Benutzer nicht in Active Directory vorhanden sind. Sehen Sie sich die Konfiguration des Zoom-Kontos an:
   zoom.allow.delete.missing.user
   Hinweis: Wenn eine große Menge an Daten zu synchronisieren ist, wird die Ausführung dieses Befehls einige Zeit in Anspruch nehmen. Bitte führen Sie während der Ausführung keine weiteren Operationen aus.
10. (Optional) Überwachen und synchronisieren Sie fortlaufend alle Änderungen in Ihrem LDAP/AD-System, indem Sie den folgenden Befehl ausführen:
    bin/adtool.cmd start
    Hinweis: Starten Sie das AD Sync Tool als Daemon-Dienst. Es wird weiterhin alle 40 Minuten eine inkrementelle Synchronisierung durchführen. Es überwacht auch Ereignisse, bei denen sich das Passwort ändert.
11. Prüfen Sie die Protokolldatei, wenn Sie einen Befehl nicht ausführen können.

Wie Sie das AD Sync Tool konfigurieren

Die Datei config.properties enthält eine Reihe von Parametern, die festlegen, wie das Tool die Synchronisierung durchführen soll. Es gibt zwei Arten von Synchronisierungen, die Sie durchführen können:

• Vollständige Synchronisierung: Vergleicht alle Zoom-Benutzer/Gruppen und AD-Benutzer/Gruppen und synchronisiert alle AD-Benutzer und Gruppen mit Zoom.
• Inkrementelle Synchronisierung: Synchronisiert nur die geänderten AD-Benutzer/Gruppen mit Zoom seit der letzten Synchronisierung.

Sie müssen die Werte in den folgenden Abschnitten der Datei aktualisieren.

Hinweis: In dieser Datei sollten keine Berechtigungsnachweise hinzugefügt werden.

Zoomeinstellung (aktualisierte Werte erforderlich)

• zoom.vanity.url: Ihre Zoom Vanity-URL.

Sync-Optionen (aktualisierte Werte erforderlich)

• zoom.default.user.type: Der Standard-Benutzertyp, wenn Sie einen neuen Zoom-Benutzer einrichten. Die Benutzertypen sind 1: Basis, 2: Lizenziert und 3: On-Prem. Der Standardwert ist 2.
• zoom.allow.create.user: Legen Sie fest, ob Sie neue Zoom-Benutzer erstellen möchten, wenn diese Benutzer in Ihrem AD existieren. Die Werte sind true: neue Benutzer erstellen und false: nicht erstellen.
• zoom.allow.update.user: Legen Sie fest, ob Sie Zoom-Benutzer aktualisieren möchten, wenn sich diese Benutzer von Ihrem AD unterscheiden. Die Werte sind true: aktualisieren und false: nicht aktualisieren.
• zoom.allow.delete.user: Legen Sie fest, ob Sie Zoom-Benutzer löschen möchten, wenn die Benutzer aus Ihrem AD entfernt werden. Die Werte sind true: löschen und false: nicht löschen.
• zoom.default.user.delete.behavior: Legen Sie fest, ob Sie den Benutzer aus Zoom löschen oder deaktivieren möchten, wenn Sie eine Aktion "löschen" durchführen. Die Werte sind 1: deaktivieren oder 2: löschen. Der Standardwert ist 1. Dies hängt von zoom.allow.delete.user oder zoom.allow.delete.missing.user ab.
• zoom.allow.delete.missing.user: Legen Sie fest, ob Sie Benutzer aus Zoom löschen möchten, wenn diese Benutzer bei einem vollständigen Synchronisierungsbefehl (wenn dieses Tool zum ersten Mal ausgeführt wird) nicht in AD vorhanden sind. Die Werte sind true: löscht fehlende Benutzer aus Zoom und false: löscht keine fehlenden Benutzer aus Zoom. Der Standardwert ist false. Wenn Sie Ihre bestehenden Zoom-Benutzer nicht beeinträchtigen möchten, wählen Sie false.
• zoom.allow.sync.group: Bestimmen Sie, ob Sie Gruppen zwischen Ihrem AD und Zoom synchronisieren möchten. Wenn Sie die Gruppensynchronisation zwischen Ihrem AD und Zoom zulassen, lassen Sie "ldap.servers[0].groups" stehen. leer in der LDAP/AD-Einstellung. Die Werte sind true: synchronisiert Gruppen zwischen Ihrem AD und Zoom und false: synchronisiert keine Gruppen.
• zoom.allow.create.group: Legen Sie fest, ob Sie neue Zoom-Gruppen erstellen möchten, wenn diese Gruppen in Ihrem AD existieren. Die Werte sind true: neue Gruppen erstellen und false: nicht erstellen.
• zoom.allow.update.group: Legen Sie fest, ob Sie Zoom-Gruppeninformationen (wie Name oder E-Mail-Alias) aktualisieren oder Gruppenmitglieder hinzufügen und entfernen möchten. Die Werte sind true: aktualisieren und false: nicht aktualisieren.
• zoom.allow.delete.group: Legen Sie fest, ob Sie Zoom-Gruppen löschen möchten, wenn die Gruppen aus Ihrem AD entfernt werden. Die Werte sind true: löschen und false: nicht löschen.
• zoom.monitor.job.interval.minutes: Das Ausführungsintervall des Überwachungsauftrags. Das Standardintervall beträgt 15 Minuten.
• zoom.incremental.sync.job.interval.minutes: Das Ausführungsintervall für den inkrementellen Synchronisierungsauftrag. Das Standardintervall beträgt 40 Minuten.

LDAP/AD-Einstellungen (aktualisierte Werte erforderlich)

Dieses Tool unterstützt mehrere LDAP/AD-Serververbindungen. Der Wert "n" identifiziert den Index des LDAP-Servers. Der Wert von n beginnt bei 0.

• ldap.server[n].url: Die LDAP-Server-URL für den LDAP-Server oder Active Directory-Server.
• ldap.server[n].base: Der Speicherort des Basisordners zum Auffinden von Benutzern.
• (Optional) ldap.server[n].groups[m]: Der vollständige DN für eine Benutzergruppe. Wenn dieser Wert leer ist, werden die Benutzer aus allen Gruppen mit Zoom synchronisiert. Wenn Sie einen DN für eine Benutzergruppe angeben, werden nur Mitglieder der angegebenen Gruppe mit Zoom synchronisiert. Setzen Sie es auf leer, wenn Sie die Benutzer nicht nach Gruppen filtern möchten. Sie können mehrere Gruppen für einen Server einrichten und der Wert "m" identifiziert den Index der Gruppe. Dieser Punkt ist standardmäßig leer.
• (Optional) ldap.servers[n].deletedBase: Der Speicherort des Basisordners für die Suche nach gelöschten Objekten. Die Standardeinstellung ist: CN=Gelöschte Objekte,{Ihr LDAP-Basisname}. Sie können die Werte aktualisieren, um die Umgebung widerzuspiegeln.
• ldap.default.query.pageSize: Der LDAP-Server gibt die maximale Anzahl von Benutzern/Gruppen auf einer Seite/Abfrage zurück.

Attribut-Zuordnung (aktualisierte Werte optional)

• ldap.user.email: Der Name des E-Mail-Feldes in AD. Der Standardwert ist userPrincipalName.
• ldap.user.firstname: Der Name des ersten Namensfeldes in AD. Der Standardwert ist givenName.
• ldap.user.nachname: Der Feldname des Nachnamens in AD. Der Standardwert ist sn.
• ldap.user.abteilung: Der Name des Abteilungsfeldes in AD. Der Standardwert ist Abteilung.
• ldap.user.phoneNumber (standardmäßig deaktiviert): Der Name des Telefonnummernfeldes in AD. Der Standardwert ist telephoneNumber.
• ldap.user.jobTitle (standardmäßig deaktiviert): Der Feldname des Jobtitels in AD. Der Standardwert ist Titel.
• ldap.user.company (standardmäßig deaktiviert): Der Name des Firmenfeldes in AD. Der Standardwert ist Firma.
• ldap.user.employeeId (standardmäßig deaktiviert): Der eindeutige ID-Feldname des Mitarbeiters in AD. Der Standardwert ist employeeID.
• ldap.user.costCenter (standardmäßig deaktiviert): Der Name des Kostenstellenfeldes in AD. Es gibt keinen Standardwert. Sie müssen das Attribut auswählen.
• ldap.group.name (standardmäßig deaktiviert): Der Feldname des Gruppennamens in AD. Der Standardwert ist cn.
• ldap.group.email (standardmäßig deaktiviert): Der Name des E-Mail-Aliasfeldes der Gruppe in AD. Es gibt keinen Standardwert. Sie müssen das Attribut auswählen.

Anmerkungen:

• Wenn Sie die Zuordnungen kommentieren oder aufheben, müssen Sie eine vollständige Synchronisierung durchführen, damit sie wirksam wird.
• Es gibt drei obligatorische Mappings: ldap.user.email, ldap.user.firstname, und ldap.user.nachname. Deaktivieren Sie sie nicht.
• Bei allen Zuordnungswerten wird zwischen Groß- und Kleinschreibung unterschieden. Um den richtigen Feldnamen für die Zuordnung in ADFS zu erhalten, gehen Sie zu Server Manager > Tools > Active Directory-Benutzer und -Computer > [Wählen Sie einen Zielbenutzer aus] und klicken Sie mit der rechten Maustaste auf Eigenschaften, dann auf Attribut-Editor > Attributspalte.

Einstellung für die Protokollierung

• log.dir: Legen Sie das Basisverzeichnis für Protokolldateien fest. Sie können einen relativen Pfad verwenden wie . oder .., oder einen absoluten Pfad wie C: oder D:. Die Vorgabe ist .(aktueller Speicherort der adtool- ${version} .jar-Datei).

Sync-Befehle

• Allgemeine Optionen:
  
  • Zeigt die Hilfeinformationen für das Werkzeug an. 

    -h, --help

  • Anzeige der Versionsinformationen des Tools. 

    -v, --version

• Befehlsoptionen:
  • Zeigt die Hilfeinformationen zu diesem Befehl an.

    -h, --help

  • Legen Sie fest, dass das Programm als Dienst ausgeführt werden soll und die Eingabe des Geheimcodes nicht erforderlich ist.  

    -Dienst

Einrichtung

Konfigurieren Sie die Anmeldedaten für die Zoom-Authentifizierung und die LDAP-Authentifizierung. Wenn Sie einige Daten ändern möchten
ändern möchten, können Sie den Setup-Befehl zur Aktualisierung ausführen. Wenn Sie diesen Befehl ausführen, werden Sie
aufgefordert, die Zoom-Konto-ID, die Client-ID und das Client-Geheimnis, den AD-Benutzernamen und das Passwort einzugeben.

Ablauf der Einrichtung:

1. Geben Sie den Geheimcode ein.
2. Bestätigen Sie den Geheimcode.
3. Geben Sie die Zoom-Konto-ID ein (Kopie aus der Server-to-Server OAuth-App).
4. Geben Sie die Zoom-Client-ID ein (Kopie aus der Server-zu-Server OAuth-App).
5. Geben Sie das Zoom-Client-Geheimnis ein (Kopieren Sie es aus der Server-to-Server OAuth-App).
6. Geben Sie den Benutzer-DN (distinguishedName) des LDAP-Servers ein.
7. Geben Sie das Benutzerkennwort des LDAP-Servers ein.
   Hinweis: Der Geheimcode, das Client Secret und das Passwort sind bei der Bearbeitung nicht sichtbar.

starten

Starten Sie das AD Sync Tool als Dienst. Es führt zum ersten Mal eine vollständige Synchronisierung durch und startet einen Auftrag zur inkrementellen Synchronisierung alle 40 Minuten, bis Sie das Tool wieder herunterfahren. Außerdem überwacht das Tool das Ereignis der Passwortänderung. Wenn Sie diesen Befehl verwenden, müssen Sie weder Task Scheduler noch CRON im System einrichten.

Vorschau

Sehen Sie sich das Ergebnis der Synchronisierung an, ohne Änderungen an Ihrem Zoom-Konto vorzunehmen. Dies ist hilfreich, wenn Sie sicherstellen möchten, dass die Optionen des Tools wie erwartet funktionieren.

zurücksetzen

Setzen Sie die Einstellungen für dieses Tool zurück. Es bereinigt Ihre gesamte lokale Konfiguration und die zwischengespeicherten Daten für das Tool. Wenn Sie dieses Tool aus irgendeinem Grund nicht ausführen können, können Sie den Befehl reset ausführen, damit es wieder funktioniert.

sync

• Option, um eine vollständige Synchronisierung durchzuführen: 

  --alle

Führen Sie eine vollständige oder inkrementelle Synchronisierung von LDAP zu Zoom durch. Wir empfehlen Ihnen, vor einer vollständigen Synchronisierung eine Vorschau durchzuführen, um das Ergebnis zu überprüfen. Wenn bereits eine vollständige Synchronisierung ausgeführt wurde, wird eine inkrementelle Synchronisierung durchgeführt. Wenn Sie eine vollständige Synchronisierung durchführen möchten, fügen Sie "--all" für den Sync-Befehl hinzu.

überwachen

Überwachen Sie das Ereignis der Passwortänderung des Benutzers und erzwingen Sie die Abmeldung des Zoom-Benutzers von allen Geräten, wenn das Passwort in LDAP/AD geändert wurde. Dieses Tool überwacht den Fall, dass das Passwort des LDAP/AD-Benutzers geändert wurde und es die Passwörter der LDAP/AD-Benutzer nicht erhalten kann.

Test

Testen Sie, ob die Konfiguration funktioniert. Es wird die Anmeldeinformationen verwenden, um die Verbindung und die Authentifizierung für LDAP/AD-Server und Zoom zu testen.

Beispiele für Befehlsausführungen für das AD Sync Tool

Das übliche Ausführungsskriptmuster ist: bin/{Skriptdatei} {Befehl}.

• Für ein Windows-System ist {Skriptdatei} adtool.cmd
• Für ein Linux- oder macOS-System ist die {Skriptdatei} adtool.sh

Beispiele für Hilfe/Versionsinformationen des Tools

Zeigt die Hilfeinformationen des Tools an:

bin/{Skriptdatei} -h
bin/{Skriptdatei} --help

Anzeige der Versionsinformationen des Tools:

bin/{Skriptdatei} -v
bin/{Skriptdatei} --version

Zeigt die Hilfeinformationen zum Befehl setup an:

bin/{Skriptdatei} setup -h
bin/{Skriptdatei} setup --help

Beispiele für die Einrichtung des Tools

Richten Sie das Tool im Standardmodus ein:

bin/{Skriptdatei} einrichten

Richten Sie das Werkzeug im Servicemodus ein:

bin/{Skriptdatei} setup --service

Setzen Sie das Werkzeug zurück:

bin/{Skriptdatei} zurücksetzen

Beispiele für die Ausführung des Tools

Führen Sie das Tool im Standardmodus aus:

bin/{Skriptdatei} start
bin/{Skriptdatei} sync
bin/{Skriptdatei} Vorschau
bin/{script file} monitor
bin/{script file} test

Führen Sie das Programm im Servicemodus aus:

bin/{Skriptdatei} {Befehl} --service

Wie Sie das Tool als Dienst ausführen (Windows)

Voraussetzung:

Führen Sie den folgenden Befehl aus, um den Servicemodus einzustellen(Hinweis: Wenn Sie "bin/adtool.cmd setup" ausführen, wird der Servicemodus entfernt):

bin/adtool.cmd setup --service

• Starten: Um das Programm im Hintergrund zu starten, doppelklicken Sie auf die Datei start.bat im Verzeichnis bin. Prüfen Sie den Laufstatus in der Protokolldatei.
• Anhalten: Um den Prozess, der das Tool ausführt, anzuhalten, doppelklicken Sie auf die Datei stop.bat im Verzeichnis bin.

Automatischer Start nach dem Systemstart (Windows)

1. Gehen Sie im Startmenü zu Windows-Verwaltung und klicken Sie dann auf Aufgabenplaner.
2. Klicken Sie im Menü Aktion auf Aufgabe erstellen.
3. Auf der Registerkarte Allgemein gehen Sie wie folgt vor:
   1. Geben Sie einen Namen für die Aufgabe ein, zum Beispiel "ADSyncToolTask".
   2. Aktivieren Sie unter Sicherheitsoptionen die Option Ausführen, egal ob der Benutzer angemeldet ist oder nicht und das Kontrollkästchen Mit den höchsten Rechten ausführen.
4. Klicken Sie auf die Registerkarte Auslöser und gehen Sie wie folgt vor:
   1. Klicken Sie auf Neu.
   2. Wählen Sie in der Dropdown-Liste Starten der Aufgabe die Option Beim Start.
   3. Klicken Sie auf OK.
5. Klicken Sie auf die Registerkarte Aktionen und gehen Sie wie folgt vor:
   1. Klicken Sie auf Neu.
   2. Wählen Sie in der Dropdown-Liste Aktion die Option Ein Programm starten.
   3. Klicken Sie auf Durchsuchen, wählen Sie die Datei start.bat im Verzeichnis bin und klicken Sie auf Öffnen.
   4. Klicken Sie auf OK.
6. Klicken Sie auf die Registerkarte Bedingungen und gehen Sie wie folgt vor:
   1. Deaktivieren Sie unter Strom das Kontrollkästchen neben Aufgabe nur starten, wenn der Computer mit Strom versorgt wird.
   2. Klicken Sie auf OK.
7. Klicken Sie auf die Registerkarte Einstellungen und gehen Sie wie folgt vor:
   1. Lassen Sie das Kontrollkästchen Ausführung der Aufgabe bei Bedarf zulassen aktiviert und deaktivieren Sie alle anderen Kontrollkästchen.
   2. Klicken Sie auf OK.
      Das Tool wird nach dem nächsten Neustart des Systems automatisch gestartet.

AD Sync Tool Protokolldateien

Verwenden Sie die Protokolldateien, um die Details der synchronisierten Datensätze zu sehen und um die Fehlersuche bei Synchronisierungsfehlern zu erleichtern. Von jeder Art von Protokolldatei wird maximal eine pro Tag erstellt. Wenn Sie das Tool Zoom AD Sync mehrmals am selben Tag ausführen, werden die Informationen aus diesem Lauf an die Datei angehängt, die zuvor für diesen Tag erstellt wurde.

• zoomadtool-sync.yyyy-MM--dd.{num}.log: Dies ist das allgemeine Protokoll, das das Programm auf Fehler überprüft.

Abnormale Datendateien

Verwenden Sie die Datei mit den abnormalen Daten, um Details zu abnormalen Benutzer-/Gruppendaten während der vollständigen Synchronisierung anzuzeigen.

• abnormal-data-yyyMMdd-HHmmss.txt: Dies ist die Datei, die für die Aufzeichnung abnormaler Daten verwendet wird.

AD Sync Tool Sicherheit

Aktivieren der SSL/TLS-Verbindung für ADFS

Wenn Sie LDAPS über Port 636 verwenden, um eine SSL-Verbindung zu einem Active Directory-Server herzustellen, muss das SSL-Zertifikat abgerufen und installiert werden, da sonst die folgenden Fehler auftreten können:

"Der Server benötigt Bindungen, um die Integritätsprüfung zu aktivieren, wenn SSL\TLS nicht bereits für die Verbindung aktiv ist..."

oder

"sun.security.provider.certpath.SunCertPathBuilderException: Es konnte kein gültiger Zertifizierungspfad zum angeforderten Ziel gefunden werden."

Abrufen und Installieren des SSL-Zertifikats

So importieren Sie das SSL-Zertifikat und verbinden das AD Sync-Tool über TLS:

1. Öffnen Sie den Windows Management Server Manager.
2. Öffnen Sie unter Tools die Zertifizierungsstelle.
3. Klicken Sie unter Ausgestellte Zertifizierungen mit der rechten Maustaste auf das gewünschte Zertifikat.
4. Klicken Sie auf Eigenschaften.
5. Klicken Sie auf die Registerkarte Details .
6. Klicken Sie auf In Datei kopieren und wählen Sie die Base-64 kodierte x.509 (.cer) für den Export.
7. Klicken Sie auf Weiter, um das Zertifikat zu exportieren.
8. Kopieren Sie das exportierte Zertifikat auf Ihren lokalen Gerätespeicher (z.B.. D:\ca.cert).
9. Öffnen Sie die Befehlskonsole und führen Sie den folgenden Befehl change directory aus, um auf den Speicherort von Java JDK bin zuzugreifen:
   

   cd C:\Programmdateien\Java\jdk-17\bin

   Hinweis: Dieser Ordner befindet sich möglicherweise nicht in dem exakten Pfad wie oben angegeben, und der Befehl muss geändert werden, wenn der tatsächliche Ordnerpfad anders lautet.
10. Führen Sie den folgenden Befehl aus, um das Zertifikat an den neuen Speicherort zu kopieren:
    

    keytool.exe -importcert -keystore ..\jre\lib\security\cacerts -storepass changeit -file D:\ca.cer -alias myca

    Hinweis: Die Befehlsstruktur ist wie folgt aufgebaut:
    • **-Keystore**: Wo das neue Zertifikat gespeichert wird. Kein Grund, dies zu ändern.
    • **-storepass**: Das Passwort für die Zertifizierung.
    • **Datei**: Der Speicherort der Zertifizierung, die Sie gerade exportiert haben.
    • **-Alias**: Der Alias der neuen Zertifizierung.
11. Sobald dies geschehen ist, wird das Zertifikat importiert und installiert. Aktualisieren Sie die LDAP/AD URL auf ldaps://[Adresse]:636.