Начиная с 13 апреля 2022 года для вызовов Соединителя Active Directory требуется TLS 1.2 или более поздние версии. После указанной даты поддержка вызовов с использованием TLS 1.0 и 1.1 будет прекращена.
Как можно скорее обновите конфигурации TLS во избежание сбоев в работе.
Определенные типы администраторов могут управлять списком участников рабочей группы Dropbox с помощью Active Directory. Благодаря Соединителю Active Directory от Dropbox все изменения, внесенные в Active Directory, будут автоматически синхронизироваться с Dropbox.
Обратите внимание: изменения, внесенные для управляемых пользователей в консоли администрирования Dropbox, будут отменены Соединителем AD (Active Directory). Однако изменения и дополнения, внесенные для неуправляемых пользователей в консоли администрирования Dropbox Admin, не будут отражены в AD.
Можно обратиться к нашим партнерам по управлению удостоверениями и попросить их помочь с установкой Соединителя AD в аккаунте Dropbox для рабочих групп.
Шаг 3. Установите Соединитель AD.
- Найдите и запустите установщик Dropbox-AD-Connector.msi.
- Нажмите в мастере установки Далее.
- Поставьте флажок, чтобы принять условия, потом нажмите Далее.
- Нажмите Далее, чтобы установить путь по умолчанию.
- Нажмите Установить, а затем выберите Да, если вам предложат это сделать в контроле учетных записей пользователей (User Account Control или UAC).
- Рядом с пунктом Приступая к работе (Getting Started) флажок установлен по умолчанию. Если у вас уже открыты эти инструкции, уберите флажок.
- Чтобы завершить установку, нажмите Завершить.
Шаг 4: Установите инструмент по настройке Соединителя Active Directory (Configure AD Connector).
Чтобы настроить Соединитель AD, необходимо выполнить следующие пять шагов:
- Настройка.
- Синхронизация пользователей с помощью Active Directory.
- Синхронизация групп с помощью Active Directory.
- Создание лога.
- Уведомление по электронной почте.
Для завершения настройки тщательно выполните все шаги:
Настройка
- Найдите значок Конфигурация Соединителя AD (Configure AD Connector) на рабочем столе и нажмите на него, чтобы открыть.
- Нажмите Получить маркер OAuth2, чтобы подключиться к аккаунту Dropbox.
- При необходимости выполните вход в Dropbox, используя учетные данные администратора
- При необходимости подтвердите разрешения для приложения Соединителя AD
- Скопируйте маркер.
- Вставьте скопированный маркер в поле OAuth 2 DfB Token.
- Если вы хотите провести тест настройки, поставьте флажок напротив Режима моделирования (Simulation Mode).
- Обратите внимание: в режиме моделирования никакие изменения к вашей рабочей группе Dropbox не применяются.
Синхронизация пользователей Active Directory
- Выберите группу Active Directory, которую вы хотите синхронизировать с вашей рабочей группой Dropbox.
- Проще всего создать группу Active Directory под названием «Dropbox».
- Проверьте: параметр Email Attribute должен быть установлен на Email Address.
- Поставьте флажок напротив параметра Управление существующими пользователями, чтобы синхронизировать изменения для пользователей, созданных вручную через консоль администрирования.
Синхронизация групп Active Directory
- Выберите, хотите ли вы синхронизировать группы с вашей рабочей группой Dropbox (синхронизация групп является необязательной).
- Чтобы синхронизировать группы, выберите, хотите ли вы использовать для этого ту же группу, с которой вы синхронизируете отдельных пользователей.
- Если вы выбрали другую группу для синхронизации групп, введите название этой группы.
Создание лога
- Если вы хотите указать другой адрес для лог-файла, нажмите Изменить (Change).
- Обратите внимание: если вы не укажете другой адрес для файла журнала, он будет сохранен в расположение по умолчанию: C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log.
Уведомления по электронной почте
- Если вы хотите получать по электронной почте уведомления обо всех ошибках синхронизации, нажмите Настройки.
- Обратите внимание: используйте порт 587 или порт 25 (не зашифрованный); порт 465 на настоящий момент не поддерживается.
- После заполнения всех полей используйте Тестовое соединение (Test Connection), чтобы удостовериться в правильности конфигурации.
- Нажмите OK после завершения конфигурации настроек эл. почты.
Готово
- Нажмите Сохранить (Save), чтобы сохранить все настройки конфигурации.
Шаг 5: Опробуйте Соединитель Active Directory (с помощью инструмента Запуска Соединителя AD (Run AD Connector)) и проверьте, все ли правильно работает.
- Найдите значок Запуск Соединителя AD (Run AD Connector) на рабочем столе.
- Щелкните правой кнопкой мышки по значку Run AD Connector и Запустите от имени администратора (Run as Administrator).
- Просмотрите результаты и удостоверьтесь, попали ли в список все нужные пользователи.
- Если все нужные пользователи в списке, еще раз откройте Config AD Connector и уберите галочку из раздела Режим моделирования (Simulation Mode).
- С помощью инструмента Запустить Соединитель AD синхронизируйте новых участников со своим Dropbox для рабочих групп.
Шаг 6: Определите запланированную задачу и запустите ее.
- Найдите раздел Program Files \ Dropbox \ AD Connector \ Helpers.
- Щелкните правой кнопкой мышки по файлу AD-Connector-CreateTask.bat и Запустите от имени администратора (Run as Administrator).
- Откройте приложение Планировщик задач для Windows Server.
- Откройте папку Задачи Dropbox (Dropbox Tasks).
- Щелкните правой кнопкой мыши по задаче Соединитель AD (Dropbox AD Connector) и выберите Включить (Enable).
- Обратите внимание: если эта задача не отображается, нажмите правой кнопкой мыши на Библиотеку планировщика заданий и выберите Обновить.
- Щелкните правой кнопкой мыши по задаче и выберите Запустить (Run).
- Удостоверьтесь, что тестовое соединение было успешным: найдите и просмотрите для этого лог-файл синхронизации соединителя AD.
- Убедитесь, что приглашения были разосланы участникам рабочей группы: просмотрите страницу Участники в консоли администрирования.
Примечания о создании запланированных задач:
- По умолчанию эта задача запускается раз в сутки в 02:00 (по местному времени).
- Вы можете изменить настройки так, чтобы эта задача выполнялась в другом режиме, но мы рекомендуем запускать ее не чаще, чем раз в три часа.
- Чтобы запланированные задачи не конфликтовали друг с другом, выберите параметр Не начинать новый процесс на вкладке Настройки:
Специализированные рекомендации по установке и устранению неполадок (необязательно)
Соединитель Active Directory от Dropbox и группы
Группы в Active Directory синхронизируются с Dropbox, но группы в Dropbox не синхронизируются с AD. Изменения Dropbox не синхронизируются обратно в Active Directory. Удаление группы из Dropbox не приводит к удалению группы из Active Directory. Чтобы удалить группу в Dropbox и Active Directory, выполните такие действия.
- Удалить всех участников из синхронизируемой группы в Active Directory
- Удалить синхронизируемую группу на этапе настроек
Помните:
- Если у вас несколько групп с одинаковыми названиями в Active Directory и Dropbox, группы не будут синхронизироваться. В журнал будет записана ошибка.
- Нельзя вкладывать группы в другие группы в Dropbox. Группы в Dropbox не могут иметь несколько уровней. Каждая группа должна состоять из одного уровня и не может содержать другие группы.
Что произойдет, если выбрать одну и ту же группу для синхронизации и пользователей и групп?
Группы с пользователями, которые не входят в синхронизируемую группу, не будут синхронизироваться с Dropbox.
Как группы синхронизируются с Dropbox, если для синхронизации аккаунтов пользователей используется другая группа Active Directory?
Синхронизироваться будут все пользователи в группе для синхронизации пользователей. Все группы, находящиеся группе для синхронизации пользователей, будут игнорироваться. Пользователи, помещенные в группу для синхронизации групп, игнорируются, если они также не входят в группу для синхронизации пользователей. Группы, помещенные в группу для синхронизации пользователей будут игнорироваться, если они также не входят в группу для синхронизации групп.
Перенос аккаунтов и Соединитель Active Directory от Dropbox
Соединитель AD не поддерживает автоматический перенос данных из аккаунта в аккаунт другого участника рабочей группы. Однако удаленные аккаунты (как и все связанные с ними файлы) доступны в консоли администрирования. Оттуда их можно перенести или удалить окончательно.
Узнайте, как перенести удаленные файлы пользователя.
Соединитель Active Directory от Dropbox и удаленное стирание данных
При удалении и приостановлении пользователей при помощи Соединителя AD удаленное стирание со всех устройств будет проведено автоматически. Используйте консоль администрирования, чтобы удалить пользователя или устройство без задействования функции удаленного стирания их данных.
Что делать, если не работает синхронизация при помощи Соединителя Active Directory?
При каждом запуске Соединителя AD в конец лог-файла добавляется соответствующий код о завершении работы. В нем указывается причина ошибки и/или называется та часть процесса, в которой произошел сбой. В следующей таблице приведены возможные причины ошибок.
- Примечание: в лог Соединителя AD будет записан 0, если процесс был выполнен успешно.
Код
|
Причина ошибки
|
Как исправить ошибку
|
Не удалось создать защищенный канал SSL/TLS
|
Сервер или клиент не поддерживает TLS 1.2
|
- Обновите Соединитель AD до новейшей версии (см. шаг 2 выше) и убедитесь, что сервер поддерживает TLS 1.2.
|
-1
|
Версия Powershell не поддерживается
|
- Обновите Powershell до версии 4, 5 или более новой
|
-10
|
Не удалось прочитать файл конфигурации
|
- Если вы вручную редактировали файл конфигурации, могла возникнуть ошибка файла, которую не может прочитать наш скрипт. Повторно запустите скрипт конфигурации, чтобы переписать внесенные вручную изменения.
- Проверьте разрешения конфигурационного файла — у скрипта должно быть разрешение запустить этот файл
- Повторно запустите конфигурационный файл, чтобы сохранить новый файл
|
-11
|
Для запуска скрипта нужны права администратора
|
- При выборе скрипта нажмите правой кнопкой мыши и выберите запустить с правами администратора
|
-12
|
Не удалось запустить модуль Active Directory
|
- Удостоверьтесь в том, что AD работает на том же компьютере, что и Соединитель AD
- Предоставьте права скрипту AD
- Удостоверьтесь в том, что количество пользователей в синхронизируемой группе не превышает 5000, включая подгруппы (версия 2.0 не поддерживает большее количество пользователей)
|
-13
|
Не удалось запустить API Dropbox
|
|
-14
|
Не удалось получить информацию о рабочей группе от API Dropbox
|
- Проверьте код ошибки
- Проверьте, действителен ли маркер OAuth (перезапустите скрипт конфигурации, чтобы получить новый маркер OAuth)
- Удостоверьтесь, что администратор прошел аутентификацию и что рабочая группа существует
- Проверьте, работает ли сайт dropbox.com, на странице status.dropbox.com
|
-15
|
В настроенной группе Active Directory не найдены пользователи
|
- Удостоверьтесь, что в выбранной группе находятся те пользователи, которых вы хотите синхронизировать (только пользователи, находящиеся в этой группе, будут синхронизироваться с вашей рабочей группой Dropbox Business)
|
-16
|
Не удалось получить список участников рабочей группы от API Dropbox
|
- Повторите попытку — вы могли столкнуться с временной ошибкой сети
- Проверьте, работает ли сайт dropbox.com, на странице status.dropbox.com
|
-17
|
Ошибка при синхронизации
|
- Повторите попытку — вы могли столкнуться с временной ошибкой сети
- Проверьте, не было ли вызвано прерывание другим процессом или ошибкой
- Удостоверьтесь в том, что количество пользователей в синхронизируемой группе не превышает 5000, включая подгруппы (версия 2.0 не поддерживает большее количество пользователей)
- Рекомендуем использовать с актуальной версией (2.0) синхронизируемые группы, число пользователей в которых не превышает 2000. Попробуйте ограничить размер группы до 2000 или меньше пользователей
- Как обратиться в службу поддержки Dropbox
|
Каковы этапы работы Соединителя AD?
Шаг 1: Определяются управляемые пользователи.
Соединитель Active Directory обновляет только управляемых пользователей. Управляемые пользователи определяются, если соблюдены следующие критерии:
- Соединитель AD сначала совершает добавление пользователей. Добавление осуществляется, когда а) адрес электронной почты пользователя добавляется в настроенную группу Active Directory и б) этот адрес электронной почты не найден в Dropbox.
- Пользователь существует в вашей рабочей группе Dropbox. Это означает, что в рабочей группе и настроенной группе Active Directory указаны одинаковые адреса электронной почты.
Обратите внимание:
- Проверка осуществляется, только если поставлен флажок в разделе Управление существующими участниками (Manage existing users) в настройках Соединителя Active Directory.
- Если не соблюдено одно из этих двух условий, пользователь не считается управляемым. Соединитель AD обновляет только управляемых пользователей. Для большинства администраторов Управление существующими участниками (Manage existing users) — это самый удобный вариант.
Шаг 2: Обновляется информация пользователей (только управляемых).
- Имя пользователя
- Фамилия пользователя
- Адрес электронной почты пользователя
Соединитель AD проверяет, совпадают ли внешний идентификатор пользователя в Dropbox и AD для управляемых пользователей из шага 1.
Исключение: Соединитель AD не обновляет информацию у пользователей, которые имеют статус «Приглашен» в Dropbox. Соединитель AD попробует снова осуществить обновления при следующих запусках.
Шаг 3: Обновляется состояние пользователей (только управляемых).
- Если отключить управляемых участников, то они не будут удалены из вашей рабочей группы Dropbox. При удалении участников из синхронизируемой группы Active Directory они также не будут удалены из рабочей группы. Вместо этого аккаунты этих пользователей в вашей рабочей группе Dropbox будут приостановлены.
- Для управляемых участников, определенных на первом этапе, Соединитель AD обновляет состояние пользователя (активный, заблокированный, удаленный) в Dropbox, чтобы они совпадали с состояниями в AD.