Jak řešit problémy synchronizace Active Directory v serveru Project Server 2003

Překlady článku Překlady článku
ID článku: 887025 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Úvod

Tento článek popisuje odstraňování Active Directory adresáře služby synchronizace problémy v aplikaci Microsoft Office Project Server 2003.

Další informace

Aktivní problémy synchronizace Directory spadají do následujících kategorií:

Active Directory komunikace a prostředí problémů a problémů objektu Active Directory, které jsou nezávislé na databázi serveru Project

Synchronizace součást Active Directory v serveru Project Server 2003 provádí následující akce v tomto pořadí:
  1. Kontakty v konkrétní Active Directory globálního katalogu doménové struktury.
  2. Provádí LDAP (Lightweight Directory Access Protocol) dotazu pomocí ActiveX Data Objects (ADO) k hledání určené skupiny Active Directory nebo organizační jednotku).
  3. Chcete-li získat odkaz na skupinu nebo OU iterovat členy skupiny nebo členy organizační jednotku používá Active Directory Service Interfaces (ADSI). Zahrnuje vnořených skupin a organizačních jednotek.
Tyto problémy spadají do následujících kategorií:

Problémy s kontaktovat globální katalog

  • Synchronizaci Active Directory do skupiny křížový doménové struktury, proveďte následující akce:
    • Určete skupinu pomocí úplné úplný Domain název (FQDN). Například pomocí následující FQDN určete skupinu:
      GroupName@childdomain.rootdomain.com
    • Ujistěte se, zda cílové domény v doménové struktuře vzdáleného obsahuje kopii globální katalog dané doménové struktuře.
  • Pokud doména obsahuje řadiče domény Microsoft Windows Server 2003 a Microsoft Windows NT 4.0 záložní řadiče domény (BDC), pravděpodobně používáte doménové struktuře Windows Server 2003 Active Directory v režimu Interim. Spuštěna v režimu Interim doménové struktuře Windows Server 2003 Active Directory můžete zabránit globálního katalogu přístup k serveru.
  • Při použití úplné FQDN nebo formát DOMÉNA\uživatelské_jméno určit skupinu zkontrolujte, zda cílové domény obsahuje kopie globálního katalogu doménové struktury.
  • Ujistěte se, že je port 3268 otevřené mezi počítači je spuštěn Project Server 2003 a řadič domény, který je hostitelem kopie globální katalog. Port 3268 se používá pro komunikaci globálního katalogu. Pokud komunikace globální katalog je šifrována pomocí protokol SSL (Secure Sockets Layer) (SSL), ujistěte se, že je port 3269 otevřené.
  • Ujistěte se, že topologie sítě a zabezpečení je povolen pro komunikaci mezi serveru a řadič domény, který je hostitelem globálního katalogu. Například pokud je počítač, který je hostitelem serveru členem pracovní skupiny, globální katalog komunikace se nezdaří.

Problémy s konkrétní skupiny Active Directory

  • Skupiny, které se pokoušíte synchronizovat nemá žádné členy, obdržíte stav synchronizace se nezdařila. Toto je známé chyby. Chcete-li tento problém vyřešit, zkontrolujte, zda má skupina se pokoušíte synchronizovat alespoň jeden člen.
  • Nesprávné skupiny je synchronizována, můžete mít více než jedné skupiny, který odpovídá dotazu LDAP používaný serverem Project. Toto chování obejít, můžete zkuste použít úplné FQDN skupiny. Nebo můžete změnit název skupiny zkontrolujte, zda je název skupiny jedinečný v rámci doménové struktury Active Directory.
  • Při synchronizaci skupinu výběrem možnosti Aktualizovat skupiny není vrácené funkcí FetchGroup v Project Server 2003 Active Directory součást synchronizace. V protokolu aplikací je dále zaznamenána chybová zpráva. Chybová zpráva obsahuje text "FetchGroup:" následovaným číselnou hodnotu. Ačkoli příčina tohoto problému není dosud nebyly zjistil, společnost Microsoft věří, že tento problém souvisí se službou Microsoft SharePoint a konfigurace Internetová informační služba (IIS) nebo poškození. Můžete obvykle řešení tohoto problému vytvořením nového webu a vytvoření nového virtuálního adresáře "ProjectServer" v části nový web pomocí nástroje EditSite.
  • Pokud pouze jsou vracené některé členy skupiny, může docházet k omezení zásady LDAP, který souvisí s více hodnotami atributu načítání. V tomto scénáři jsou členy"Active Directory skupiny atributu" atributu s více hodnotami. Další informace naleznete následujícím článku znalostní databáze Microsoft Knowledge Base:
    315071Zobrazení a nastavení zásad protokolu LDAP ve službě Active Directory pomocí nástroje Ntdsutil.exe (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Problémy s konkrétní uživatele služby Active Directory

  • Všem uživatelům Active Directory mají jejich vlastnost displayName naplněna vyžaduje platforma Project Server. Uživatelé, kteří mají vlastnosti prázdné displayName nejsou synchronizovány se serverem Project.
  • Odkazy na některé uživatele mohou existovat v atributu členy do skupiny. Však tyto uživatele byla pravděpodobně odstraněna ze služby Active Directory. V těchto situacích můžete obdržet chybovou zprávu "částečné selhání" pro konkrétní proces synchronizace Active Directory. Navíc v protokolu událostí zaznamenána následující chybová zpráva:

    "Při přístupu k skupiny AD" & název_skupiny & "částečně selhalo, protože člen skupiny-" & sMemberDN & "nemůže být vyřešeny LDAP."

    Protože uživatel již existuje ve službě Active Directory, je poměrně neškodnost chyby a mohou být ignorovány. Active Directory kontaktovat správce odebrat odkaz na neexistující uživatele z atributu členy do skupiny.
  • Určité speciální znaky vlastnost displayName pro konkrétní uživatele může způsobit selhání synchronizace pro uživatele. Následující znaky jsou nahrazeny konkrétního uživatele služby Active Directory vlastnost displayName před vlastnost displayName se zobrazí v databázi serveru:
    • Znak oddělovače seznamu
      • Pokud je znak oddělovače seznamu čárku, čárka nahrazeny středníkem.
      • Pokud je znak oddělovače seznamu nic než čárku, znak oddělovače seznamu nahrazena čárku.
    • Závorky
      • Závorky jsou nahrazeny závorkami. Který je, ["a]" podle "{"a "}" respektive nahrazeny.

Nástroje

Řešení těchto problémů k dispozici jsou následující nástroje:
  • ADSI Edit
  • EditSite
EditSite nástroj získat, navštivte následující web společnosti Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=6dc2c83e-54e1-40a9-9bb8-2dd293226b6f

Server databáze problémy projektu vztahují synchronizace služby Active Directory

Synchronizace součást Active Directory v serveru Project Server 2003 používá Project Data Service (PDS) provádět následující akce potenciální během procesu synchronizace služby Active Directory:
  • Aktualizace prostředku. To zahrnuje inactivating prostředku.
  • Přidání nového prostředku nebo nové Project Server uživatele.
  • Přidání existujícího uživatele serveru Project Server skupiny zabezpečení.
  • Odebrání existujícího uživatele serveru z projektu skupinu zabezpečení serveru.
V závislosti na okolnostech může selhat jeden nebo více z těchto akcí PDS. Chcete-li izolovat a zachytit podrobnější informace o těchto selhání, mohou použít nástroj SetTracing Project Server 2003. Pomocí nástroje SetTracing získat následující informace ze serveru Project:
  • Přesné PDS příkazy, které jsou požadovány součásti synchronizace Active Directory.
  • Odpovědi od PDS. Odpovědi zahrnout stav kódy chyb.
Pomocí nástroje SetTracing zvýšit úroveň utajení sběr informací na 4 sběr protokolu událostí aplikace. Spusťte proces synchronizace Active Directory a prohlédněte si protokol událostí aplikace. Informace, které se zobrazí bezprostředně před chybové události a události upozornění měli zahrnout PDS požadavek a odpověď informace. PDS odpověď informace mohou obsahovat číselné nenulovou hodnotu v < Stav / > uzlu. Použít PDS chyba kód odkaz získat další informace o konkrétní stavový kód. Zobrazit odkaz PDS chyba kód naleznete na následujícím webu:
http://msdn2.microsoft.com/en-us/library/aa204425(office.11).aspx

Známé problémy

  • Příkazy ADD PDS může selhat v případě displayName nového uživatele nebo prostředku odpovídá existujícímu uživateli serveru nebo prostředků. Vlastnost displayName Active Directory mapuje vlastnost uživatelské jméno nebo Název zdroje vlastnost v serveru. Tyto hodnoty pole jsou jedinečné v rámci jedné databáze serveru vyžaduje platforma Project Server.
  • Příkazy ADD PDS může selhat, pokud uživatel ručně jste přidali do serveru, ale jejich pole Windows klienta nebo uživatelské jméno odpovídat tyto vlastnosti Active Directory. Windows klienta nebo polí uživatelské jméno musí přesně odpovídat vlastnosti uživatelské jméno a název zdroje ve službě Active Directory. Přesně shodují, může být v protokolu událostí aplikace zaznamenána kód stavu chyby 2028 nebo 2029.

Nástroje

Řešení těchto problémů k dispozici jsou následující nástroje:
  • Protokol událostí aplikace
  • Nástroje PDSTest
  • SetTracing
Nástroj SetTracing získat na následujícím webu společnosti Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=49443d62-0c72-4fa6-9cdf-6a796bde2882&displaylang=en

Active Directory synchronizace součást práce a data toku misunderstandings

Synchronizace součást Active Directory v serveru Project Server 2003 projevuje konkrétní chování může být intuitivní nebo nebyl dobře zdokumentován.

Tyto problémy spadají do následujících kategorií:

Vymazání AD GUID

AD GUID by měl být vymazána pro konkrétního uživatele chcete uživateli zůstávají aktivní, přestože již patří do skupiny služby Active Directory je namapován fond zdrojů organizace Project Server. Vymazání AD GUID zabrání také ostatní uživatelé serveru odebírán ze skupin zabezpečení serveru, pokud jejich účet služby Active Directory byla odebrána z skupinu služby Active Directory nebo z mapování OU určité skupiny zabezpečení serveru.

Scénář synchronizace fondu zdrojů organizace příklad, který znázorňuje použití funkce "Vymazat uživatele AD GUID" je následující:
  1. Uživatele "Jan Novák" je členem skupiny Active Directory nazvanou "ERP (AD)".
  2. Správce synchronizuje Project Server Enterprise fond zdrojů do skupiny Active Directory "ERP (AD)".
  3. "Jan Novák" je odebrána z "ERP (AD)".
  4. Správce projektového serveru znovu synchronizuje fond zdrojů organizace do skupiny Active Directory "ERP (AD)".
  5. Pokud Jan Novák AD GUID měl bylo zrušeno před druhý synchronizace, mu by není být deaktivována.
Důležité: Po vymazání AD GUID AD GUID je automaticky re-inserted do databáze serveru v následujících scénářích.
Proces synchronizace Active Directory fond zdrojů organizace
AD GUID je automaticky re-inserted do projektového serveru databáze, pokud jsou splněny následující podmínky:
  • Ze služby Active Directory není odebrána související uživatelské skupiny mapování fond zdrojů organizace.
  • Dojde k následné synchronizace služby Active Directory.
Proces synchronizace Active Directory skupiny zabezpečení serveru Project
AD GUID je automaticky re-inserted do projektového serveru databáze, pokud platí následující podmínky:
  • Uživatel serveru měl získali nový Server Project členství ve skupinách zabezpečení prostřednictvím serveru zabezpečení procesu synchronizace skupiny Active Directory.
Pro zdroje organizace AD GUID uložené v projektu databáze serveru v následujících umístěních:
  • MSP_WEB_RESOURCES.WRES_AD_GUID
  • MSP_RESOURCES.RES_AD_GUID
Pro uživatele serveru, kteří nejsou také zdroje organizace AD GUID uložen v databázi serveru v následujícím umístění:
  • MSP_WEB_RESOURCES.WRES_AD_GUID

Inactivation nebo aktivace prostředky

Uživatel je deaktivována během procesu synchronizace Active Directory fond zdrojů organizace, pokud jsou splněny následující podmínky:
  1. Uživatel již existuje v zdroj organizace fondu.
  2. Uživatel je poté odebrán z mapování skupiny Active Directory fond zdrojů organizace.
  3. Následných Enterprise Resource fond Active Directory dochází proces synchronizace.
Uživatelé jsou nikdy znovu aktivován, Active Directory během procesu synchronizace. Inactivation nevztahuje synchronizacemi Active Directory skupiny zabezpečení serveru.

Aktivní nebo neaktivní stav pro konkrétní zdroj je uložen v databázi serveru v následujících umístěních:
  • MSP_WEB_RESOURCES.WRES_IS_ENABLED
  • MSP_RESOURCES.RES_RTYPE (0 = aktivní pracovní zdroj = 1000 neaktivní práce zdrojů)

Přerušení procesu synchronizace služby Active Directory

Při procesu synchronizace služby Active Directory spuštění, MSP_WEB_ADMIN_AD. WADMIN_AD_ERESPOOL_UPDATE je nastavena na hodnotu 1 pro Enterprise synchronizacemi fond zdrojů. MSP_WEB_ADMIN_AD. WADMIN_AD_GRP_UPDATE je nastavena hodnota 1 synchronizacemi skupiny zabezpečení serveru. Po dokončení procesu synchronizace tyto hodnoty jsou nastaveny zpět na 0 (nula).

Účelem tyto úpravy databáze je zabránit překrývající se procesy synchronizace. Například pokud spustí proces naplánované synchronizace Active Directory nechcete správci spustit aplikaci Project Web Access také stejný proces, protože ohrožení integrity dat. Při buď předchozí hodnoty je nastavena na 1, zabránit překrývající se synchronizací možnost Aktualizovat není k dispozici.

Pokud z nějakého důvodu je před byl dokončen proces synchronizace Active Directory neočekávaně přerušeno, hodnota WADMIN_AD_ERESPOOL_UPDATE nebo hodnota WADMIN_AD_GRP_UPDATE může zůstat na 1. To brání následné synchronizace procesy. Například tato situace může nastat pokud obnovit IIS nebo pokud IIS zhroutil během procesu synchronizace. Problém, nastavit hodnoty těchto polí zpět na 0 a pak re-synchronize.

Metadata uživatele

Během zdrojů organizace aktualizován následující pole proces synchronizace fondu Active Directory:
  • Název zdroje
  • Účet systému Windows
  • Elektronická adresa
  • Skupina
  • AD GUID
Shoda mezi uživatelům a služby Active Directory serveru zdrojů je nejprve vyzkoušeli v AD GUID a potom na pole Název zdroje v serveru a v poli Název zobrazení ve službě Active Directory. Pokud provedeny odpovídající a vlastnosti uživatelů služby Active Directory a Project Server jsou různé vlastnosti prostředku, aktualizaci vyzkoušeli prostřednictvím PDS.

Následující tabulka uvádí pole Active Directory, které mapují pole zdrojů serveru.
Zmenšit tuto tabulkuRozšířit tuto tabulku
Aktivní vlastností adresářVlastnost zdrojů projektu (fond zdrojů organizace)Vlastnost uživatele server projektu
Zobrazit název (UserObject.displayName nebo UserObject.fullName)Název zdroje (MSP_RESOURCES.RES_NAME)Uživatelské jméno (MSP_WEB_RESOURCES.RES_NAME)
Účet systému Windows (domain\sAMAccountName)Systému Windows Účet (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205521207)Windows účet (MSP_WEB_RESOURCES. WRES_NT_ACCOUNT)
E-mailová adresa (UserObject. Email)E-mailová Adresa (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205520931)E-mailová adresa (MSP_WEB_RESOURCES. WRES_EMAIL)
Oddělení (UserObject.Department)Skupiny (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205520899)N/A (bez náhrady schématu)
AD GUID (UserObject.Guid)<Žádné UI > (MSP_RESOURCES. RES_AD_GUID)<Žádné UI > (MSP_WEB_RESOURCES. WRES_AD_GUID)
Poznámka: aktualizace metadat nedochází u serveru Active Directory proces synchronizace skupiny uživatelů během zabezpečení serveru. Je jedna výjimka. AD GUID můžete být re-inserted během synchronizace procesu serveru zabezpečení skupiny služby Active Directory, pokud jsou splněny následující podmínky:
  • Uživatel serveru AD GUID měl dříve byl vymazán.
  • Uživatel serveru měl získali nový Server Project členství ve skupinách zabezpečení prostřednictvím serveru zabezpečení procesu synchronizace skupiny Active Directory.

Zobrazí "AD res fond synchronizace - otevření Ent se nezdařilo. Res"chybová zpráva při provedení synchronizace služby Active Directory proti fond zdrojů organizace

Při provádění synchronizace služby Active Directory proti fond zdrojů organizace, může se zobrazit následující chybová zpráva:
Otevření Ent synchronizace fondu res AD - se nezdařilo. Res.
Tento problém může dojít, pokud byl při spuštění procesu synchronizace Active Directory fond zdrojů organizace rezervovaný zdroj organizace. Problém vyřešit, můžete vynutit vrácení se změnami z fondu zdrojů organizace projektu.

Důležité: Pokud zaškrtnete zdroje organizace se změnami, uživatel, který má rezervovaný zdroj organizace nebude moci uložit změny do databáze.

Zkontrolovat fond zdrojů organizace projektu, postupujte takto:
  1. Na stránce Project Web Access správce klepněte na tlačítko Správa funkcí pro organizace v části Akce.
  2. Ve skupinovém rámečku Možnosti organizace klepněte na tlačítko Kontrola projektů organizace.

    Poznámka: Pouze uživatelé, kteří jsou přiřazeni globální oprávnění "Vrátit projekty změnami" přístup Vrátit projekty organizace propojení.
  3. Na šek na stránce Projekty organizace klepněte na projekt fondu zdrojů organizace a potom klepněte na tlačítko Vrátit se změnami.

Aktivní problémy zabezpečení synchronizace adresáře

Synchronizace součást Active Directory v serveru Project Server 2003 musí být spuštěna v kontextu zabezpečení druhu. Podrobnosti kontextu zabezpečení jsou stručně zahrnuty v této části. To zahrnuje účty, oprávnění a upozornění zabezpečení.

Tyto problémy spadají do následujících kategorií:

Požadavky na zabezpečení a účty kontext synchronizace služby Active Directory

Různé účty zabezpečení slouží v závislosti na tom, zda jsou plánování procesu synchronizace služby Active Directory nebo inicializace Active Directory možnost proces synchronizace výběrem Aktualizovat v aplikaci Project Web Access. Když vyberete Aktualizovat možnost v aplikaci Internet Explorer IIS hostitelem proces zpracovává synchronizace služby Active Directory. Účet zabezpečení, která je použita závisí na IIS zabezpečení oprávnění souboru pro následující soubory:
  • /Admin/SyncPool.ASP fond zdrojů organizace synchronizací
  • /Admin/SyncGrp.ASP synchronizacemi skupiny zabezpečení serveru
Pro každý tyto soubory byste měli mít pouze možnost Integrované ověřování systému Windows vybrána IIS oprávnění zabezpečení souboru. Tím zajistíte, která jsou použita pověření uživatele pro proces synchronizace Windows aktuálně přihlášený. Zahrnuje kontaktovat globální katalog a spuštění příkazů ADSI prostřednictvím LDAP.

Při plánování Active Directory synchronizacemi přihlašovací účet, který je určen pro službu proces naplánované Project Server použitá k provedení synchronizace. Výchozí přihlašovací účet je účet LocalSystem.

Tyto účty musí být schopen vytvořit instanci souboru /BIN/PjSvrADC.dll kontaktovat globální katalog a číst všechny příslušné objekty služby Active Directory vztahující se k synchronizaci. To zahrnuje ou, skupin, uživatelů a tak dále.

Úroveň objektu zabezpečení Active Directory

Synchronizovat určité skupiny nebo OU kontextu účtu, který slouží k provádění Active Directory synchronizace musí být schopen číst všechny příslušné objekty služby Active Directory. Tyto objekty patří skupin, OU, vnořených skupin a všechny uživatele člena. Informace o kontextu účtů naleznete v části „ Active Directory synchronization context accounts and security requirements „.

Zkontrolujte jednotlivých oprávnění objektu Active Directory pomocí nástroje ADSI, který je k dispozici v instalačním médiu systému Windows Server 2003.

Nástroje

Následující nástroj je k dispozici řešení těchto problémů:
  • ADSI Edit

Vlastnosti

ID článku: 887025 - Poslední aktualizace: 1. března 2007 - Revize: 6.5
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Office Project Server 2003
Klíčová slova: 
kbmt kbhowto KB887025 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:887025

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com