ADSync 实用工具入门

本文包含以下主题：

本文介绍 ADSync 实用工具的工作方式并指导您如何执行该实用工具的初始设置。执行初始设置后，请参阅“配置 ADSync 实用工具”以了解如何配置该实用工具。

初始设置

本节说明了在开始使用 ADSync 实用工具的同时必须执行的任务。

验证系统要求

在运行 ADSync 实用工具之前，请确保您的系统满足以下要求：

LDAP v2 和 v3 支持的服务器：Microsoft Active Directory (AD)、CA Directory
目录操作系统：Windows、UNIX
最新版本的 Java（版本 8 或更高版本）
内存：至少 2 GB
兼容 HTTPS 安全通信协议
兼容 ServiceAide Cloud Service Management

注意：每个承租人必须具有其自己的 ADSync 实用工具实例。

获取并解压实用工具

ADSync 实用工具将作为 ZIP 文件传送。此文件包含实用工具以及处理过程所需的所有支持文件。

您可以通过以下方式获取该实用工具：

从 ServiceAide Cloud Service Management 下载它。导航到“管理”、“管理”、“工具”、“下载”。
从对该实用工具有适当访问权限的管理员那里获得该实用工具。

解压实用工具的注意事项如下：

可以将文件解压到已配置 JRE 的任何环境中。
所有的 JAR 和文件必须保留在一起，完全按照其解压时的原样。不要从解压布局中移动任何内容。
安装位置必须能够连接到 LDAP 服务器和 ServiceAide Cloud Service Management。

解压完该实用工具后，即可对其进行配置。

部署

ADSync 实用工具作为独立应用程序在客户端进行部署。您需要 Java Runtime Environment 来运行此应用程序。将 ADSync 实用工具设置到可以与特定目录进行通话或连接的 VMWare 服务器上。

在任何情况下都不要修改 ADSync 实用工具 ZIP 文件夹的文件夹结构。任何修改都可能导致同步过程的失败。

设置一个服务帐户，使其具有连接该目录服务器和运行查询的权限。

排定

您可以按照需要来计划同步过程的运行。理想情况下每天运行一次同步过程。将该过程计划在您的非工作时间运行。

计划程序会作为 Windows/Linux 后台作业运行。有关更多信息，请参阅“配置 ADSync 实用工具”中的主题“创建作业计划程序”。

设计

运行 ADSync 实用工具时，它将比较 ServiceAide Cloud Service Management 和 LDAP 之间的数据。然后，按如下所示对 LDAP 服务器和 ServiceAide Cloud Service Management 数据之间的差异进行同步：

目录服务器	ServiceAide Cloud Service Management
活跃帐户	活跃帐户
已禁用帐户	非活跃帐户（同样的用户名）
到期帐户	非活跃帐户（同样的用户名）
已删除帐户	非活跃帐户（重命名的用户名）

限制

所有的用户 ID 都区分大小写。成功运行同步后，该实用工具会为您的全部数据创建一个备份文件。当您下次运行同步时，仅会在 ServiceAide Cloud Service Management 中更新有差异的部分。如果备份文件中的某个用户 ID 与 LDAP 中的相应 ID 不同，则会删除备份文件中的相应 ID。如果您想在生成备份后修改某个 ID，请手工删除备份并修改该 ID。
在没有备份文件的情况下，ADSync 实用工具无法删除任何用户。
如果您想运行完全同步，请删除所有备份文件。
在 ServiceAide Cloud Service Management 中创建纪录的组织结构，然后再开始使用 ADSync 实用工具。如果缺少组织结构，不会将用户映射到其相应的组织。
针对每个目录服务器仅使用一个 ADSync 实用工具实例。
如果您更改搜索筛选，相应的备份文件会呈现为失去作用。新的搜索筛选会导致生成新的备份文件（会根据搜索库的数量生成多个备份文件）。

ADSync 实用工具的工作方式

此主题说明了同步如何工作。

目录服务器（客户端）

ADSync 实用工具使用一个服务帐户连接到全局目录服务器和域控制器。
搜索库列表用于在组织单位 (OU) 列表中查找用户。
应用程序依次浏览每个 OU，并基于搜索条件查找用户。该条件定义如下：
(&(objectClass=user)(objectClass=person)(objectClass=organizationalPerson))
目录服务器中的字段使用 attribute_map.list 文件与 ServiceAide Cloud Service Management 中的字段进行映射。
对于每个匹配条目，应用程序会查找特定属性。此类属性的示例有名字、姓氏和电子邮件。可以在 attribute_map.list 文件中找到属性的完整列表。应用程序还会查找已禁用和已到期的帐户，并在数据源中将它们标记为非活动用户。属性 userAccountControl 和 loginDisabled 用于检查禁用的帐户。属性 accountExpires 可用于检查到期的帐户。
在依次浏览所有 OU 之后，应用程序将匹配条目写入 ADSync 实用工具的 CSV 文件中。该应用程序还会使用这些数据构建一个 XML 文档并将其传输到 ServiceAide Cloud Service Management 中。
服务器响应包含处理数据时遇到的错误和警告。响应会以 XML 格式生成并编写在日志文件的“信息”标记中。日志文件位于 <:安装目录>/sync/logs/sync_data.log.0。有关此文件的详细信息，请参阅 logger.properties 文件。您可以在此日志文件中设置文件监视器。作为监测服务的一部分，寻找错误和警告。从监控角度来看，要搜索的字符串应该是：
- "notes" － "notes" 标记包含从服务器接收的总体响应的摘要。
- "SEVERE"
- “<errors>”或“<error>”－ “errors” 标记列出了所有错误，而 "error" 标记包含每条单个错误。
- “<warnings>”或“<warning>”－ “warnings” 标记列出了所有警告，而 "warning" 标记包含每条单个警告。
- "response" － "response" 包含来自服务器的 XML 响应。来自 LDAP 的数据将按 500 个记录一批分批写入到 ServiceAide Cloud Service Management。服务器会在处理完每批记录后为其生成一个响应 XML。

在同步期间，实用工具将备份数据写入预定的备份文件。有关备份文件的更多详细信息，请参阅“Backup”。

ServiceAide Cloud Service Management（服务器端）

来自 LDAP 的数据会首先写入 ADSync 实用工具。然后会对其进行验证，之后再传输到 ServiceAide Cloud Service Management 数据库。
您可以配置一个阈值，用于从 ServiceAide Cloud Service Management 数据库删除用户记录。如果标记删除的记录数量高于此值，那么不会删除任何记录。剩余数据的同步将不受影响。有关阈值违反的信息记录在 sync_data.log.0 文件中。
收到来自 LDAP 的数据时，ServiceAide Cloud Service Management 会立即开始处理数据。
会基于传入源中的用户 ID 在 ServiceAide Cloud Service Management 中对相应的联系人记录进行标识。
将传入条目与 ServiceAide Cloud Service Management 中的现有数据进行比较。基于两者之间的差异创建一条自动更新语句。该情况适用于诸如电话、电子邮件、部门等属性的更改。
每条新的记录都会作为自助用户创建。这些用户拥有其主要组，且许可设为“自助服务”。新联系人的时区基于相应的位置。
对于源中所有非活动的联系人：
- 作为“自助服务”用户的所有此类联系人都已停用，并且“启用登录”标志设置为 false。该更改有效地阻止此类用户登录 ServiceAide Cloud Service Management。
- 作为技术人员的所有此类联系人都已停用，并且“启用登录”标志设置为 false。该更改有效地阻止此类用户登录 ServiceAide Cloud Service Management。
- 作为属于“管理”组成员的所有此类联系人都已停用，并且“启用登录”标志设置为 false。该更改有效地阻止此类用户登录 ServiceAide Cloud Service Management。
- 在目录服务器中存在但在 ServiceAide Cloud Service Management 中不存在的所有已禁用用户会仍然保留在数据源中。但是，不会为此类用户创建新的记录。
- 目录服务器中所有已删除的用户不会是数据源的一部分。该过程会将所有这些不属于源的 ServiceAide Cloud Service Management 帐户设为非活跃。会释放此类用户的名称以供以后的帐户重新使用。
同步过程中遇到的异常都会写入 syn_data.log 文件。日志会包含以下相关信息：
- 处理数据时遇到的错误。
- 没有位置的联系人。
- 变为非活动状态的联系人。
- 在传入源中处于非活跃状态但在 ServiceAide Cloud Service Management 中未使其处于非活跃状态的管理帐号。

如果在创建或更新记录时没有指定联系人时区，那么会使用默认的切片时区。在配置参数“默认_时区”中设置该值。

有关本文提到的配置文件的更多详细信息，请参阅“配置 ADSync 实用工具”。

备份

同步过程成功之后，ServiceAide Cloud Service Management 会使用 XML 格式生成一个响应。此 XML 信息被添加到 ADSync 实用工具的 sync_data.log.0 文件中。 ADSync 实用工具基于 sync_data.log.0 文件在预先确定的位置生成了一个备份文件。该备份数据存储在 <:安装目录>/sync/backup中。请不要修改此目录的结构。首次成功运行同步后，该实用工具会为您的所有数据生成一个备份文件。当您下次运行同步时，仅会在 ServiceAide Cloud Service Management 中更新增量变更。如果想要运行完全同步，请删除现有的备份文件。否则，请不要修改此文件夹中的内容。

仅当同步过程作为整体全部成功时，才会生成备份文件。在某些情况下，同步总体成功，但单个记录失败。请手工更新此类记录。

备份文件夹包括以下元素：

备份文件－该实用工具创建一个 XML 文件用于编写备份。该文件位于 <:安装目录>/sync/backup。文件的名称以“bak_”开头。
backupIDMapper.properties 文件－该文件位于 <安装目录>/sync/backup/idMapper。该实用工具为搜索库条目和搜索筛选的每个组合都编写单独的备份文件。每次合并的相关信息会写入 backupIDMapper.properties 文件中。如果默认位置不存在该文件，那么同步过程将会失败。这种情况下，不会向 ServiceAide Cloud Service Management 发送任何数据。如果您删除此文件，所有已备份文件便没用了。
ProcessXMLDocument.dtd 文件－此文件为处理 XML 备份文件提供模板。该文件位于 <安装目录>/sync/backup/dtd。

配置代理网络

您还可以在代理网络上运行 ADSync 工具。要配置您的代理设置，请执行以下操作：

配置 sync.properties 文件。请执行以下步骤：
1. 导航到 <安装目录>/conf/sync.properties。
2. 在 sync.properties 文件中，更新代理主机和端口详细信息。如果您使用的是代理验证服务，另请提供代理用户名称及密码的详细信息。 ADSync 实用工具支持基本验证。
  有关这些属性的更多信息，请参阅“配置 ADSync 实用工具”。
3. 保存并关闭 sync.properties 文件。
配置您的浏览器设置以便启用代理服务器。针对 Internet Explorer 执行以下步骤：
1. 导航到“工具”、“Internet 选项”、“连接”、“LAN 设置”。
2. 启用“代理服务器”，然后提供代理服务器的 IP 地址和端口号。主机和端口详细信息必须与在 sync.properties 文件中配置的一样。