Configuration

Active Directory users who are members of a common AD security group will automatically – and if you prefer, on a regularly timed basis – imported into your STARFACE PBX (provided that there is a sufficient amount of free user licenses available).
User attributes like first name, last name, email address as well as (multiple) phone/fax number will be considered and assigned to an imported user.

Rufnummern, die zur Leitungskonfiguration der STARFACE gehören, werden dem Benutzer als eigene Telefonnummer zugewiesen. Bei Faxrufnummern wird für den Benutzer und die entsprechende Rufnummer Software Fax2Mail konfiguriert.

Besitzen mehrere Benutzer im Active Directory die selbe Rufnummer, erstellt das Modul beim Import eine STARFACE-Benutzergruppe und weist der Gruppe diese Rufnummer sowie die zugehörigen Benutzer zu. Darüberhinaus kann im Modul ein Mapping zwischen AD-Sicherheitsgruppen und STARFACE-Benutzergruppen angelegt werden, so dass Mitglieder der AD-Sicherheitsgruppen automatisch auch STARFACE-Gruppenmitglieder werden.

Benutzer, die im Active Directory Mitglied einer Admin-Benutzergruppe sind, bekommen beim Import in die STARFACE ebenfalls Adminrechte und werden beim Import zuerst importiert.

Wenn auf der STARFACE Benutzer existieren, die keine Entsprechung im Active Directory haben, werden diese Benutzer umbenannt, indem ein Minus-Zeichen vor den Nachnamen gesetzt wird. Hierdurch wird kenntlich gemacht, dass ein Benutzer, der z.B. im Active Directory gelöscht wurde, auch auf der STARFACE gelöscht werden kann. Das Modul Active Directory Synchronisation wird selbst keine Benutzer löschen, um eventuell vorhandene Ruflisteninformationen, Faxe oder Voicemails nicht zu verlieren.

Einem nur in der STARFACE vorhandenen Benutzer werden darüberhinaus alle Rufnummern (mit Ausnahme der primären internen Rufnummer) entzogen, so dass die Rufnummern anderen Benutzern wieder zur Verfügung stehen. Soll das verhindert werden (z.B. für Benutzer, die nicht im AD existieren, wie Türsprechstellen, Faxgeräte, usw.), muß der Benutzer mit Admin-Rechten ausgestattet werden.

Preparation

1. Importieren Sie das Modul "Active Directory Synchronisation" in Ihre STARFACE, legen eine Modulkonfiguration für das Modul an und fügen die Modullizenzschlüssel in die dafür vorgesehenen Felder ein.
2. Aktivieren Sie die AD-Authentifizierung in der STARFACE. Die Anbindung der STARFACE an das AD wird auch vom Modul selbst verwendet.
   Bitte achten Sie darauf, dass der Benutzer für die AD-Anbindung über ausreichend Rechte verfügt, alle Attribute(!) der Personenobjekte zu lesen.
3. Legen Sie eine oder mehrere Leitungen in der Leitungskonfiguration Ihrer STARFACE an, um die im AD konfigurierten Rufnummern auch auf der STARFACE verfügbar zu machen.
4. Legen Sie im AD zwei Sicherheitsgruppen an, die die zu importierenden Benutzer enthalten. Eine Sicherheitsgruppe ist für normale Benutzer, die andere für Admin-Benutzer, mit erhöhten Rechten, vorgesehen.
5. Konfigurieren Sie die Pfade zu diesen Sicherheitsgruppen im Modul.
6. Aktivieren Sie den AD-Import

Wir empfehlen, vor dem Import alle Benutzer (außer einem Administrator) in der STARFACE zu löschen, damit möglichst viele Rufnummern frei vergebbar sind.

Checklist

1. Stellen Sie sicher, dass Sie eine für Ihre STARFACE-Version passende Modulverson verwenden.
2. Stellen Sie sicher, dass der korrekte Modullizenzschlüssel in der Modulkonfiguration eingetragen ist (nicht der Serverlizenzschlüssel!)
3. Stellen Sie sicher, dass alle Benutzer über eine eindeutige Emailadresse verfügen, die in Groß- und Kleinschreibung der Emailadresse im Active Directory entspricht.
   Benutzer, die nicht im AD existieren, benötigen eine eindeutige Dummy-Emailadresse in der STARFACE.
4. Stellen Sie sicher, dass keine Rufnummernkollisionen im Active Directory existieren. Rufnummern sollten nur einem Benutzer zugewiesen sein.
5. Stellen Sie sicher, dass externe Rufnummern im Active Directory zur STARFACE Leitungskonfiguration passen.
6. Entscheiden Sie sich für eine von zwei AD-/STARFACE-Benutzer-Mappings (siehe Dokumentation innerhalb des Modules). Ein Mischbetrieb wird nicht unterstützt.

1. Zunächst einmal muß der korrekte Lizenzschlüssel im Modul eingetragen sein. Im Modul-Log ist ein Hinweis zu finden, sollte der Lizenzschlüssel falsch sein. Bitte überprüfen Sie, ob Sie den Schlüssel ohne zusätzliche Leerzeichen korrekt eingegeben haben und dass es sich um den Modullizenzschlüssel und nicht den Serverlizenzschlüssel handelt.
2. Das Modul muß aktiv sein.
3. In allen anderen Fällen, stellen Sie bitte das Loglevel auf Debug oder Trace und führen das Modul erneut aus. Das Modullog enthält Hinweise auf mögliche Probleme.

AD-Benutzer müssen folgende Voraussetzungen erfüllen:

1. Der Benutzer muß einen Vornamen haben.
2. Der Benutzer muß einen Nachnamen haben.
3. Der Benutzer muß über einen samAccountName verfügen.
4. Der Benutzer muß über eine Emailadresse verfügen.

Bitte prüfen Sie, ob für den Import ausreichend Benutzerlizenzen vorhanden sind.

Stellen Sie außerdem sicher, dass alle zu importierenden Benutzer eine eindeutige Emailadresse besitzen.

Benutzern darf keine Notrufnummer oder reservierte Diensterufnummer zugewiesen werden (für Deutschland: 110, 112, 115, 116xyz, 118xy; Im Falle einer konfigurierten Amtsholung außerdem: 199, 310, 311, 700, 900, ...).

Bitte prüfen Sie, ob Sie einen Admin- und Nicht-Admin-Benutzer importieren, die in der STARFACE die selbe Login-ID bekommen würden. Beispielsweise, weil der Admin-Benutzer eine externe Rufnummer besitzt, die auf eine Login-ID schließen läßt und der Nicht-Admin-Benutzer, diese Login-ID in Form einer internen Rufnummer besitzt.

Sollte es dennoch zu unvollständigen Importen kommen, gehen Sie bitte wie folgt vor:

1. löschen Sie auf der STARFACE bitte alle bereits angelegten Benutzer (außer dem Administrator-Account, mit dem Sie gerade arbeiten).
2. löschen Sie alle in der Leitungskonfiguration angelegten Leitungen, speichern anschließend diese Änderung und legen die Leitungen danach neu an.

Durch dieses Vorgehen wurden eventuell fehlerhafte Datenbankeinträge in Bezug auf Rufnummern-/LoginID-Zuordnungen entfernt und das Modul kann mit einer "sauberen" STARFACE-Installation beginnen.

Innerhalb einer PowerShell auf einem Windows Server innerhalb der Domäne kann der Befehl dsget verwendet werden:

dsget user "CN=Max Mustermann,CN=users,dc=contoso,dc=com" -memberof -expand

Innerhalb einer PowerShell auf einem Windows Server innerhalb der Domäne können alle Objekte vom Typ person abgefragt werden, die sich innerhalb einer bestimmten Base DN befinden:

Get-ADObject -LDAPFilter '(objectClass=person)' -SearchBase "OU=Test,OU=Benutzer,DC=mein,DC=contoso,DC=com"

Die in der STARFACE konfigurierte Base DN ist hierbei die Basis für alle Benutzersuchen.

Normalerweise hat Microsoft Active Directory ein Ausgabelimit von 1000 Einträgen pro Suchabfrage. Das heißt: wenn innerhalb der angegebenen Base DN mehr als 1000 User-Objekte liegen, schlägt die AD-Abfrage mit einer "Size Limit Exceeded" LDAPException fehl.

Das Ausgabelimit ist über den Parameter MaxPageSize innerhalb der QueryPolicies des AD auf zwei Arten konfigurierbar:

1. Der Parameter kann innerhalb von CN=Default Query Policy, CN=Query-Policies, CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration, DC=YOUR_COMPANY, DC=YOUR_COMPANY_TLD angepasst werden.
2. Mit dem Programm ntdsutil.exe können die Query Policies geändert werden:
   
   1. Öffnen Sie eine Kommandozeile (cmd.exe) mit Administratorrechten.
   2. Geben Sie ntdsutil ein und drücken ENTER.
   3. Innerhalb des ntdsutil:-Prompts geben Sie ldap policies ein und drücken ENTER.
   4. Innerhalb des ldap policy:-Prompts geben Sie connections ein und drücken ENTER.
   5. Innerhalb des server connections:-Prompts geben Sie connect to server <FQDN des Domänencontrollers> ein und drücken ENTER.
   6. Geben Sie anschließend q ein, um auf die Ebene ldap policy zurückzukehren.
   7. Geben Sie show values ein um die aktuellen Einstellungen angezeigt zu bekommen. MaxPageSize gibt das oben genannte Ausgabelimit an.
   8. Geben Sie set MaxPageSize to 3000 ein, um das Ausgabelimit auf 3.000 Einträge zu erhöhen.
   9. Geben Sie commit changes ein, um die Änderung zu speichern.

Die Rufnummern-Felder im AD sind Listen-Felder. Über den Button "Andere..." lassen sich beliebig viele zusätzliche Rufnummern hinterlegen:

Image Removed

Bitte beachten Sie, dass alternative Felder, wie z.B. "IP-Telefon" oder "Pager" (unter dem Tab "Rufnummern" NICHT beachtet werden).
Verwenden Sie bitte lediglich die Felder "Rufnummer" und "Fax" für die Konfiguration von zu importierenden AD-Benutzern.

dsget user "CN=Max Mustermann,CN=users,dc=contoso,dc=com" -memberof -expand

Get-ADObject -LDAPFilter '(objectClass=person)' -SearchBase "OU=Test,OU=Benutzer,DC=mein,DC=contoso,DC=com"