Active Directory-Synchronisierung Behandlung von Problemen in Project Server 2003

Dieser Artikel beschreibt die Problembehandlung bei Active Directory-Verzeichnis Dienst Synchronisierungsprobleme in Microsoft Office Project Server 2003.

Active Directory-Synchronisierungsprobleme werden in der folgenden Kategorien unterteilt:

• Active Directory communication and environmental issues and Active Directory object issues that are independent of the Project Server database
• Project Server database issues that relate to Active Directory synchronization
• Active Directory synchronization component work and data flow misunderstandings
• Active Directory synchronization security issues

Active Directory-Kommunikation und Umweltprobleme und unabhängig von der Project Server-Datenbank sind Active Directory-Objekt-Probleme

Die Synchronisierungskomponente Active Directory in Project Server 2003 führt die folgenden Schritte in dieser Reihenfolge:

1. Kontakte von einen globalen Katalog in einer bestimmten Active Directory-Gesamtstruktur.
2. Führt eine LDAP (LIGHTWEIGHT Directory Access Protocol) Abfrage mithilfe von ActiveX Data Objects (ADO) zum Suchen nach einer angegebenen Active Directory-Gruppe oder die Organisationseinheit (ORGANIZATIONAL Unit, OU).
3. Verwendet Active Directory Service Interfaces (ADSI), um einen Verweis auf die Gruppe oder der Organisationseinheit zum Mitglied der Gruppe oder die Mitglieder der ORGANISATIONSEINHEIT durchlaufen zu erhalten. Dies umfasst geschachtelte Gruppen und Organisationseinheiten.

Diese Probleme werden in der folgenden Kategorien unterteilt:

• Issues with contacting the global catalog
• Issues with a specific Active Directory group
• Issues with a specific Active Directory user

Probleme mit den globalen Katalog kontaktieren

• Wenn Sie Active Directory synchronisieren cross-Gesamtstruktur zu einer Gruppe, führen Sie Folgendes:
  • Verwenden Sie die vollständige vollständig qualifizierten Domänennamen (FQDN), um die Gruppe anzugeben. Beispielsweise verwenden Sie den folgenden vollqualifizierten Domänennamen, um die Gruppe anzugeben:
    GroupName@ChildDomain.rootdomain.com
  • Stellen Sie sicher, dass in der remote-Gesamtstruktur die Zieldomäne eine Kopie der globale Katalog für diese Gesamtstruktur enthält.
• Wenn Ihre Domäne Microsoft Windows NT 4.0-Reservedomänencontrollern (BDCs) und Microsoft Windows Server 2003-Domänencontroller enthält, können Sie der Windows Server 2003 Active Directory-Gesamtstruktur Interim-Modus ausgeführt werden. Ausführen der Windows Server 2003 Active Directory-Gesamtstruktur im Interim-Modus kann verhindern, dass Project Server auf den globalen Katalog zugreifen.
• Wenn Sie den vollständigen FQDN oder im Format Domäne\Benutzername, verwenden um eine Gruppe anzugeben, stellen Sie sicher, dass die Zieldomäne eine Kopie der globale Katalog für die Gesamtstruktur enthält.
• Stellen Sie sicher, dass Port 3268 zwischen dem Computer mit Project Server 2003 und dem Domänencontroller, der eine Kopie des globalen Katalogs hostet geöffnet ist. Port 3268 wird für globalen Katalog Kommunikation verwendet. Wenn Ihre globalen Katalog Kommunikation mithilfe von SSL (Secure Sockets Layer) verschlüsselt ist, stellen Sie sicher, dass Port 3269 geöffnet ist.
• Stellen Sie sicher, dass die Netzwerk- und Sicherheitseinstellungen Topologie aktiviert ist, für die Kommunikation zwischen Project Server und als Domänencontroller einen globalen Katalog befindet. Wenn dem Computer mit Project Server ist Mitglied einer Arbeitsgruppe ist, schlägt beispielsweise globalen Katalog Kommunikation fehl.

Probleme mit einer bestimmten Active Directory-Gruppe

• Wenn die Gruppe, die Sie synchronisieren möchten keine Mitglieder hat, erhalten Sie eine Synchronisierungsstatus ist fehlgeschlagen . Dies ist eine bekannte Fehler. Um zu dieses Problem zu umgehen, stellen Sie sicher, dass die Gruppe, die Sie synchronisieren möchten mindestens einen Member hat.
• Wenn die falsche Gruppe synchronisiert wird, müssen Sie mehr als eine Gruppe möglicherweise, die die LDAP-Abfrage entspricht, die von Project Server verwendet wird. Um dieses Verhalten zu umgehen, können Sie versuchen, den vollständigen vollqualifizierten Domänennamen der Gruppe verwenden. Oder ändern Sie den Gruppennamen, um sicherzustellen, dass der Name der Gruppe über die Active Directory-Gesamtstruktur eindeutig ist.
• Wenn Sie eine Gruppe, synchronisieren durch die Option Jetzt aktualisieren , wird keine Gruppe von der Funktion FetchGroup in Project Server 2003 Active Directory zurückgegeben Synchronisierungskomponente. Außerdem wird eine Fehlermeldung im Anwendungsprotokoll protokolliert. Die Fehlermeldung enthält den Text "FetchGroup:" gefolgt von einem numerischen Wert. Obwohl die Ursache für dieses Problem noch nicht festgelegt wurde, glauben, dass wir, dass dieses Problem mit Microsoft Windows SharePoint Services und IIS-Konfiguration oder Beschädigung verknüpft ist. Sie können in der Regel umgehen dieses Problem, indem beim Erstellen einer neuen Website und dann mit das EditSite-Tool erstellen Sie ein neues "ProjectServer" Virtuelles Verzeichnis unter der neuen Website.
• Treten nur einige der Mitglieder der Gruppe zurückgegeben werden, möglicherweise eine LDAP-Richtlinie Einschränkung auf, die mit mehrwertigen Attribut abrufen verknüpft ist. In diesem Szenario sind Active Directory-Attribut "Mitglieder" mehrwertigen Attribut. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
  315071

  (http://support.microsoft.com/kb/315071/ )

  Das Anzeigen und Festlegen von LDAP-Richtlinie in Active Directory mithilfe von Ntdsutil

Probleme mit einem bestimmten Active Directory-Benutzer

• Project Server erfordert, dass alle Active Directory-Benutzer, die DisplayName-Eigenschaft aufgefüllt werden. Benutzer mit leeren DisplayName-Eigenschaften sind nicht mit Project Server synchronisiert.
• Verweise auf einige Benutzer möglicherweise in einer Gruppe Mitglieder Attribut vorhanden. Allerdings diese Benutzer aus Active Directory wurde möglicherweise gelöscht. In diesen Fällen erhalten Sie möglicherweise eine "teilweise Fehler" Fehlermeldung für einen bestimmten Active Directory Synchronisierungsprozess. Darüber hinaus ist die folgenden Fehlermeldung im Ereignisprotokoll protokolliert:

  "Zugriff auf Active Directory-Gruppe" & Gruppenname & "ist teilweise fehlgeschlagen, da Gruppenmitglied-" & sMemberDN & "kann nicht von LDAP aufgelöst werden."

  Da der Benutzer in Active Directory nicht mehr vorhanden ist, wird der Fehler ist ziemlich harmlos und kann ignoriert werden. Kontakt Ihr Active Directory Administrator, um den Verweis auf nicht vorhandene Benutzer aus der Gruppe Mitglieder -Attribut entfernen.
• Bestimmte Sonderzeichen in der DisplayName-Eigenschaft für bestimmte Benutzer können Synchronisierungsfehler für Benutzer führen. Die folgenden Zeichen sind für eines bestimmten Benutzers Active Directory ersetzt DisplayName-Eigenschaft, bevor die DisplayName-Eigenschaft in der Project Server-Datenbank angezeigt wird:
  • Listentrennzeichen
    • Wenn das Listentrennzeichen ein Komma ist, wird das Komma durch ein Semikolon ersetzt.
    • Wenn das Listentrennzeichen auf etwas anderes als ein Komma festgelegt ist, wird das Listentrennzeichen durch ein Komma ersetzt.
  • Eckige Klammern
    • Klammern werden durch Klammern ersetzt. Ist, "[" und "]" von "{"und "}" bzw. ersetzt werden.

Tools

Die folgenden Tools sind verfügbar, um diese Probleme zu beheben:

• ADSI-Bearbeitung
• EditSite

Um das EditSite-Tool zu erhalten, die folgende Microsoft-Website:

Project Server-Datenbankprobleme, die sich auf Active Directory-Synchronisierung beziehen

Die Synchronisierungskomponente Active Directory in Project Server 2003 verwendet Project Data Service (PDS), um während einer Synchronisierung von Active Directory die folgenden möglichen Aktionen ausführen:

• Aktualisieren eine Ressource. Dies umfasst eine Ressource inactivating.
• Hinzufügen einer neuen Ressource oder einen neuen Project Server Benutzer.
• Hinzufügen eines vorhandenen Project Server-Benutzers zu einem Project Server-Sicherheitsgruppe.
• Entfernen einen vorhandenen Project Server-Benutzer aus einem Projekt Server-Sicherheitsgruppen.

Abhängig von den Umständen möglicherweise eine oder mehrere dieser PDS-Aktionen fehlschlagen. Isolieren und Weitere Informationen über diese Fehler zu erfassen, können Sie das Project Server 2003 SetTracing-Dienstprogramm verwenden. Durch mithilfe des Dienstprogramms SetTracing können Sie die folgende Informationen aus Project Server abrufen:

• Die genaue PDS-Befehle, die von Active Directory-Synchronisierung-Komponente angefordert werden.
• Die Antworten aus den PDS. Die Antworten enthalten Fehler Statuscodes.

Verwenden Sie das Dienstprogramm "SetTracing", um die Vertraulichkeit von Informationen erfassen bis 4 für die Anwendung Ereignisprotokoll Aufnahme zu erhöhen. Führen Sie ein Active Directory-Synchronisierungsvorgang aus und überprüfen Sie das Ereignisprotokoll der Anwendung. Unmittelbar vor Fehlerereignisse und Warnungsereignisse angezeigten Informationen sollten enthalten PDS-Anforderung und Informationen beantworten. Die PDS Antwort Informationen möglicherweise enthalten eines numerischen Wert ungleich Null in das < Status / > Knoten. Verwenden Sie den PDS Fehler Codeverweis auf Weitere Informationen über einen bestimmten Statuscode zu erhalten. Der Verweis auf PDS Fehlercode anzeigen möchten, die folgende Microsoft-Website:

Bekannte Probleme

• PDS- ADD -Befehlen können fehlschlagen, wenn DisplayName eines neuen Benutzers oder einer Ressource der einen vorhandenen Project Server-Benutzer oder eine Ressource entspricht. Die Active Directory DisplayName-Eigenschaft ordnet der Benutzername -Eigenschaft oder der Ressourcenname -Eigenschaft in Project Server. Projekt-Server erfordert, dass diese Feldwerte eindeutig eine einzelne Project Server-Datenbank sind.
• PDS ADD Befehle können fehlschlagen, wenn Sie einen Benutzer manuell in Project Server hinzugefügt haben jedoch die Eigenschaften in Active Directory der Ihre Windows-Konto oder Benutzername stimmen nicht überein. Das Windows-Konto oder die Benutzer Felder müssen die Benutzer und Ressourcenname Eigenschaften in Active Directory genau übereinstimmen. Wenn Sie nicht genau übereinstimmen, kann ein Fehlerstatuscode 2028 oder 2029 im Ereignisprotokoll Anwendung protokolliert.

Tools

Die folgenden Tools sind verfügbar, um diese Probleme zu beheben:

• Anwendungsereignisprotokoll
• PDSTest-Testumgebung
• SetTracing

Das SetTracing-Dienstprogramm erhalten Sie die folgenden Microsoft-Website:

Active Directory Synchronisierung Komponente arbeiten und Daten Fluss Missverständnisse

Die Synchronisierungskomponente Active Directory in Project Server 2003 ist das bestimmtes Verhalten, das möglicherweise nicht intuitiv oder wurde nicht zuvor gut dokumentiert.

Diese Probleme werden in der folgenden Kategorien unterteilt:

• Clearing the AD GUID
• Inactivation or activation of resources
• Interruptions to the Active Directory synchronization process
• User metadata
• You receive an "AD Res Pool Sync - failed to open the Ent. Res" error message when you perform an Active Directory synchronization against the Enterprise Resource Pool

Deaktivieren die Active Directory-GUID

Wenn Sie möchten, dass Benutzer aktiv bleiben, obwohl Sie nicht mehr zu Active Directory-Gruppe gehört, die Project Server Enterprise-Ressourcenpool zugeordnet ist, der Sie sollten eine AD-GUID für einen bestimmten Benutzer gelöscht werden. Deaktivieren die Active Directory-GUID verhindert auch andere Project Server wird von Project Server-Sicherheitsgruppen entfernt, wenn Ihre Active Directory-Konto aus einer Active Directory-Gruppe oder eine ORGANISATIONSEINHEIT Zuordnung zu einer bestimmten Sicherheitsgruppe von Project Server entfernt wurde.

Es folgt ein Enterprise-Ressourcenpool Synchronisierung Beispielszenario auf, die die Verwendung der Funktion "Löschen Benutzer AD-GUID" veranschaulicht:

1. Benutzer "John Doe" ist Mitglied einer Active Directory-Gruppe mit dem Namen "ERP (AD)".
2. Ein Administrator synchronisiert die Project Server-Enterprise-Ressourcenpool zur Active Directory-Gruppe "ERP (AD)".
3. "John Doe" wird aus "ERP (AD)" entfernt.
4. Ein Administrator erneut dem Project Server synchronisiert Enterprise-Ressourcenpool zur Active Directory-Gruppe "ERP (AD)".
5. Wenn John Doe AD GUID vor der zweiten Synchronisierung deaktiviert war, würde er nicht deaktiviert werden.

wichtig Nach dem Löschen einer Active Directory-GUID, ist der Active Directory-GUID automatisch wieder in die Project Server-Datenbank in den folgenden Szenarien.

Enterprise Ressourcenpool Active Directory-Synchronisierungsprozess

Die AD-GUID ist automatisch wieder in Project Server-Datenbank Wenn die folgenden Bedingungen erfüllt sind:

• Der entsprechende Benutzer nicht aus Active Directory entfernt Gruppe Zuordnung zu den Enterprise-Ressourcenpool.
• Eine nachfolgende Active Directory-Synchronisierung tritt auf.

Project Server Sicherheit Gruppe Active Directory-Synchronisierung-Prozess

Die AD-GUID ist automatisch wieder in Project Server-Datenbank Wenn die folgende Bedingung erfüllt ist:

• Project Server-Benutzer mussten einen neuen Project Server Sicherheitsgruppen-Mitgliedschaft durch einen Project Server Sicherheit Gruppe Active Directory Synchronisierungsprozess erzielt.

AD-GUID wird für Enterprise-Ressourcen im Projekt gespeichert Server-Datenbank in den folgenden Verzeichnissen:

• MSP_WEB_RESOURCES.WRES_AD_GUID
• MSP_RESOURCES.RES_AD_GUID

Für Project Server-Benutzer, die keine Enterprise-Ressourcen sind, wird die Active Directory-GUID in der Project Server-Datenbank an folgendem Speicherort gespeichert:

• MSP_WEB_RESOURCES.WRES_AD_GUID

Inactivation oder Aktivierung von Ressourcen

Ein Benutzer wird während einer Synchronisierung Enterprise Ressourcenpool Active Directory deaktiviert, wenn folgenden Bedingungen erfüllt sind:

1. Der Benutzer bereits in der Enterprise-Ressource Pool.
2. Der Benutzer wird dann mit dem Enterprise-Ressourcenpool aus der Active Directory-Gruppe-Zuordnung entfernt.
3. Eine nachfolgende Enterprise Ressourcenpool Active Directory Synchronisierung tritt ein.

Benutzer sind nie reaktiviert, während Active Directory-Synchronisierung. Inactivation gilt nicht für Project Server Sicherheit Gruppe Active Directory Synchronisierungen.

Der Status aktive oder inaktive für eine bestimmte Ressource wird in Project Server-Datenbank in den folgenden Verzeichnissen gespeichert:

• MSP_WEB_RESOURCES.WRES_IS_ENABLED
• MSP_RESOURCES.RES_RTYPE (0 = aktiven Arbeitsressource 1000 = inaktiv arbeiten Ressource)

Unterbrechungen der Active Directory-Synchronisierungsprozess

Wenn ein Active Directory-Synchronisierung-Prozess startet, die MSP_WEB_ADMIN_AD. WADMIN_AD_ERESPOOL_UPDATE-Wert auf 1 für Unternehmen festgelegt Ressourcenpool Synchronisierungen. MSP_WEB_ADMIN_AD. WADMIN_AD_GRP_UPDATE Wert auf 1 für Project Server Security-Gruppe Synchronisierungen gesetzt ist. Wenn der Synchronisierungsvorgang abgeschlossen wurde, diese Werte werden festgelegt wieder auf 0 (null).

Diese Datenbankänderungen dient überlappende Synchronisierung Prozesse zu verhindern. Beispielsweise, wenn eine geplante Active Directory-Synchronisierungsprozess gestartet wird, sollen nicht Administratoren auch den gleichen Prozess über Project Web Access starten, da die Datenintegrität gefährdet werden könnte. Wenn die vorherigen Werte auf 1 festgelegt ist, ist damit überlappende Synchronisierungen die Option Jetzt aktualisieren nicht verfügbar.

Wenn aus irgendeinem Grund ein Active Directory-Synchronisierung-Prozess unerwartet unterbrochen wird, bevor abgeschlossen wurde, kann der Wert für WADMIN_AD_ERESPOOL_UPDATE oder der Wert für die WADMIN_AD_GRP_UPDATE 1 bleiben. Dies verhindert nachfolgende Synchronisierung Prozesse. Dies kann beispielsweise auftreten, wenn IIS zurückgesetzt wurde oder wenn IIS während einer Synchronisierung ist abgestürzt. Um das Problem zu beheben, die Werte für diese Felder wieder auf 0 festgelegt, und dann neu synchronisieren.

Benutzer-Metadaten

Die folgenden Felder können während einer Enterprise-Ressource aktualisiert werden Pool Active Directory-Synchronisierung-Prozess:

• Ressourcenname
• Windows-Benutzerkonto
• E-Mail-Adresse
• Gruppe
• AD-GUID

Eine Übereinstimmung zwischen Active Directory-Benutzer und Project Server Ressourcen wird zuerst versucht, auf dem Active Directory-GUID und dann auf das Feld Ressourcenname in Project Server und auf das Feld anzeigen in Active Directory. Wenn eine Übereinstimmung vorliegt, und der Active Directory-Benutzer-Eigenschaften und die Project Server Ressourceneigenschaften unterscheiden, eine Aktualisierung versucht, über die PDS.

In der folgende Tabelle sind die Active Directory-Felder, die die Project Server-Ressourcenfelder zuordnen aufgeführt. Beachten Sie, dass Metadaten-Updates für Project Server keine auftreten während einer Project Server-Sicherheit Benutzergruppe Active Directory-Synchronisierung-Prozess. Es gibt eine Ausnahme. Die AD-GUID kann während einer Project Server Sicherheit Gruppe Active Directory Synchronisierung re-inserted werden, wenn folgenden Bedingungen erfüllt sind:

• Project Server-Benutzer AD-GUID war zuvor gelöscht wurde.
• Project Server-Benutzer mussten einen neuen Project Server Sicherheitsgruppen-Mitgliedschaft durch einen Project Server Sicherheit Gruppe Active Directory Synchronisierungsprozess erzielt.

Sie erhalten ein "AD Ressourcenpool Sync - Fehler beim Öffnen der Ent. Res"Fehlermeldung beim Durchführen einer Synchronisierung Active Directory gegen die Enterprise Resource Pool

Wenn Sie eine Active Directory-Synchronisierung mit dem Enterprise-Ressourcenpool durchführen, erhalten Sie folgende Fehlermeldung:Dieses Problem kann auftreten, wenn die Enterprise-Ressource ausgecheckt wurde, wenn der Synchronisierungsvorgang Enterprise Ressourcenpool Active Directory ausgeführt wird. Um das Problem zu beheben, Sie können erzwingen das Einchecken der Enterprise-Ressourcenpool Projekt.

wichtig Wenn Sie eine Enterprise-Ressource, die ausgecheckt ist einchecken, werden der Benutzer, die Enterprise-Ressource ausgecheckt hat, nicht um Änderungen an der Datenbank speichern können.

Zum Einchecken von Enterprise-Ressourcenpool project, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Seite Project Web Access Admin unter Aktionen auf Enterprise-Features verwalten .
2. Klicken Sie unter Enterprise-Optionen auf Enterprise-Projekte einchecken .
   
   Hinweis: Nur Benutzer, die die globale Berechtigung "Suchen in eigene Projekte" zugewiesen sind die Enterprise-Projekte einchecken zugreifen können Verknüpfung.
3. Klicken Sie auf der Seite der Enterprise-Projekte einchecken auf das Enterprise-Ressourcenpool-Projekt, und klicken Sie auf Einchecken .

Active Directory-Synchronisierung-Sicherheitsfunktionen

Die Synchronisierungskomponente Active Directory in Project Server 2003 muss in eine Art von Sicherheitskontext ausgeführt werden. Die Details zu diesem Sicherheitskontext werden kurz in diesem Abschnitt behandelt. Dies umfasst Konten, Berechtigungen und Sicherheit Vorsichtsmaßnahmen.

Diese Probleme werden in der folgenden Kategorien unterteilt:

• Active Directory synchronization context accounts and security requirements
• Active Directory object-level security

Active Directory-Synchronisierung-Kontext-Konten und Sicherheitsanforderungen

Andere, initiieren eine Active Directory-Synchronisierungsprozess durch Auswählen der Jetzt aktualisieren in Project Web Access option oder Sicherheitskonten abhängig, ob Sie eine Active Directory-Synchronisierungsprozess planen verwendet werden. Wenn Sie die Jetzt aktualisieren auswählen in Internet Explorer, IIS verwaltet den Prozess, der die Active Directory-Synchronisierung behandelt. Sicherheitskontos, das verwendet wird, hängt von Ihrer IIS-Datei Sicherheit Berechtigungen für die folgenden Dateien:

• /Admin/SyncPool.ASP für Enterprise-Ressourcenpool Synchronisierungen
• /Admin/SyncGrp.ASP für Project Server Security-Gruppe Synchronisierungen

Für jede dieser Dateien sollten Sie nur die Integrierte Windows-Authentifizierung für Option aktiviert IIS Datei Sicherheit Berechtigungen verfügen. Dadurch wird sichergestellt, der aktuell angemeldeten-Windows-Anmeldeinformationen des Benutzers für den Synchronisierungsprozess verwendet werden. Dies umfasst den globalen Katalog kontaktieren und ADSI Befehle über LDAP ausführen.

Wenn Sie Active Directory-Synchronisierungen planen, wird das Anmeldekonto, das für den Project Server-geplante Prozessdienst angegeben wird, verwendet, um die Synchronisierung durchzuführen. Standardmäßig ist dieses Anmeldekonto das lokale Systemkonto.

Diese Konten müssen möglicherweise eine Instanz der /BIN/PjSvrADC.dll-Datei erstellen, eine Verbindung mit den globalen Katalog herstellen und Lesen alle relevanten Active Directory-Objekte, die mit der Synchronisierung verknüpft sind. Dies beinhaltet die Organisationseinheiten, Gruppen, Benutzer und usw..

Active Directory auf Objektebene-Sicherheit

Synchronisieren auf eine bestimmte Gruppe oder eine ORGANISATIONSEINHEIT, die Kontext-Konto, zum Durchführen einer Active Directory verwendet wird, muss die Synchronisierung, alle entsprechenden Active Directory-Objekte lesen können. Diese Objekte umfassen Gruppen, Organisationseinheiten, verschachtelte Gruppen und alle Mitglieder. Informationen über Kontext Konten finden Sie unter dem Abschnitt "Active Directory synchronization context accounts and security requirements".

Verwenden Sie das ADSIEdit-Tool, das in Windows Server 2003-Installationsmedium verfügbar ist, um einzelne Active Directory-Objekt Berechtigungen zu überprüfen.

Tools

Das folgende Tool ist zur Behebung dieser Probleme verfügbar:

• ADSI-Bearbeitung