Cómo solucionar problemas de sincronización de Active Directory en Project Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 887025 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

Este artículo describe cómo solucionar problemas de Active Directory problemas de sincronización del servicio de directorio en Microsoft Office Project Server 2003.

Más información

Problemas de sincronización Active Directory entran dentro de las categorías siguientes:

Comunicación de Active Directory y problemas medioambientales y problemas de objeto de Active Directory que son independientes de la base de datos de Project Server

El componente de sincronización de Active Directory en Project Server 2003 hace lo siguiente en este orden:
  1. Contactos de un catálogo global en Active Directory específico bosque.
  2. Realiza un protocolo ligero de acceso a directorios (LDAP) consulta por mediante ActiveX Data Objects (ADO) para buscar un grupo de Active Directory especificado o la unidad organizativa (OU).
  3. Utiliza interfaces de servicio de Active Directory (ADSI) para obtener una referencia al grupo o a la unidad organizativa para recorrer los miembros del grupo o los miembros de la unidad organizativa. Esto incluye grupos anidados y unidades organizativas.
Estos problemas se dividen en las siguientes categorías:

Problemas con ponerse en contacto con el catálogo global

  • Al sincronizar Active Directory a un grupo entre bosques, realice lo siguiente:
    • Utilice la completa nombre completo de dominio (FQDN) para especificar el grupo. Por ejemplo, utilice el siguiente FQDN para especificar el grupo:
      GroupName@ChildDomain.rootdomain.com
    • Asegúrese de que el dominio de destino en el bosque remoto contiene una copia del catálogo global para ese bosque.
  • Si el dominio contiene controladores de reserva (BDC) de Microsoft Windows NT 4.0 y controladores de dominio de Microsoft Windows Server 2003, pueden ejecutarse el bosque de Active Directory de Windows Server 2003 en modo provisional. Ejecuta el bosque de Active Directory de Windows Server 2003 en modo de versión preliminar puede impedir que Project Server tener acceso a catálogo global.
  • Cuando utiliza el FQDN completo o el formato DOMINIO\nombredeusuario para especificar un grupo, asegúrese de que el dominio de destino contiene una copia del catálogo global para el bosque.
  • Asegúrese de que el puerto 3268 está abierto entre el equipo que ejecuta Project Server 2003 y el controlador de dominio que aloja una copia del catálogo global. Se utiliza el puerto 3268 para comunicación de catálogo global. Si la comunicación de catálogo global se cifra mediante Secure Sockets Layer (SSL), asegúrese de que el puerto 3269 está abierto.
  • Asegúrese de que la topología de red y de seguridad está habilitada para la comunicación entre Project Server y un controlador de dominio que aloja un catálogo global. Por ejemplo, si el equipo que aloja Project Server es un miembro de un grupo de trabajo, falla la comunicación de catálogo global.

Problemas con un grupo específico de Active Directory

  • Si el grupo que está intentando sincronizar no tiene miembros, recibirá un estado de sincronización error . Éste es un error conocido. Para evitar este problema, asegúrese de que el grupo que está intentando sincronizar tiene al menos un miembro.
  • Si se está sincronizando el grupo incorrecto, puede que más de un grupo que coincide con la consulta LDAP utilizada por Project Server. Para evitar este comportamiento, puede intentar utilizar el FQDN del grupo completo. O bien, puede cambiar el nombre de grupo para asegurarse de que el nombre del grupo es único en el bosque de Active Directory.
  • Cuando sincronizar un grupo seleccionando la opción Actualizar ahora , un grupo no se devuelve la función FetchGroup en Active Directory de Project Server 2003 el componente de sincronización. Además, un mensaje de error se graba en el registro de aplicación. El mensaje de error incluye el texto "FetchGroup:" seguido de un valor numérico. Aunque aún no se ha determinado la causa raíz para este problema, creemos que este problema está relacionado con configuración de Microsoft Windows SharePoint Services y servicios de Internet Information Server (IIS) o daños. Puede normalmente solucionar este problema creando un nuevo sitio Web y a continuación, utilizando la herramienta EditSite para crear un nuevo directorio virtual "ProjectServer" bajo el sitio nuevo.
  • Si sólo se devuelven algunos de los miembros de grupo, puede estar experimentando una limitación de directiva LDAP está relacionado con la recuperación de atributo multivalor. En este escenario, atributo de grupo de Active Directory "miembros" son el atributo multivalor. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    315071Cómo ver y establecer la directiva LDAP en Active Directory mediante Ntdsutil.exe

Problemas con un usuario específico de Active Directory

  • Project Server requiere que todos los usuarios de Active Directory tienen su propiedad displayName rellena. Usuarios que tienen las propiedades displayName vacía no están sincronizados con Project Server.
  • Referencias a algunos usuarios pueden existir en miembros de atributo un grupo de. Sin embargo, estos usuarios haber sido eliminados de Active Directory. En estas situaciones, puede recibir un mensaje de error "error parcial" para un proceso de sincronización Active Directory específico. Además, la siguiente mensaje de error se graba en el registro de sucesos:

    "Grupo de acceso a AD" & GroupName & "porque parcialmente miembro del grupo-" & sMemberDN & "no puede resolverse mediante LDAP."

    Porque el usuario ya no existe en Active Directory, el error es bastante inocuo y puede omitirse. Póngase en contacto con Active Directory administrador que quite la referencia para el usuario inexistente de atributo de miembros del grupo.
  • Ciertos caracteres especiales en la propiedad displayName para usuarios específicos pueden provocar errores de sincronización para esos usuarios. Los siguientes caracteres se reemplazan para Active Directory un usuario específico propiedad displayName antes de que la propiedad displayName aparezca en la base de datos de Project Server:
    • Carácter separador de lista
      • Si el carácter separador de lista es una coma, la coma se sustituye por un punto y coma.
      • Si el carácter separador de lista distinto de una coma, el carácter separador de lista se reemplazará por una coma.
    • Corchetes
      • Corchetes se reemplazan por llaves. Que es, "[" y "]" se sustituyen por "{"y "}" respectivamente.

Herramientas

Las herramientas siguientes están disponibles para solucionar estos problemas:
  • ADSI
  • EditSite
Para obtener la herramienta EditSite, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=6dc2c83e-54e1-40a9-9bb8-2dd293226b6f

Problemas de base de datos de proyecto Server relacionados con la sincronización de Active Directory

El componente de sincronización de Active Directory en Project Server 2003 utiliza Project Data Service (PDS) para realizar las siguientes acciones posibles durante un proceso de sincronización de Active Directory:
  • Actualizar un recurso. Esto incluye la desactivación de un recurso.
  • Agregar un nuevo recurso o un servidor de proyecto nuevo usuario.
  • Agregar un usuario de Project Server existente a un servidor de Project Server grupo de seguridad.
  • Quitar un usuario de Project Server existente a un proyecto de grupo de seguridad de servidor.
Según por ejemplo, las circunstancias, pueden no uno o más de estas acciones PDS. Para aislar y capturar información más específica acerca de estos errores, puede usar la utilidad SetTracing de Project Server 2003. Mediante la utilidad SetTracing, puede obtener la siguiente información de Project Server:
  • Los comandos PDS exactos que son solicitados por el componente de sincronización de Active Directory.
  • Las respuestas desde el PDS. Las respuestas incluyen códigos de estado de error.
Utilice la utilidad SetTracing para aumentar el nivel de sensibilidad de captura de información a 4 para captura de registro de sucesos de aplicación. Ejecutar un proceso de sincronización de Active Directory y, a continuación, examine el registro de sucesos de aplicación. Información que aparece inmediatamente antes de sucesos de error y sucesos de advertencia debería incluir PDS solicitud y respuesta información. La información de respuesta PDS puede contener un valor distinto de cero numérico en el < Estado / > nodo. Utilice el PDS referencia del código de error para obtener más información acerca de un código de estado específico. Para ver la referencia PDS del código de error, visite el siguiente sitio Web de Microsoft:
http://msdn2.microsoft.com/en-us/library/aa204425(office.11).aspx

Problemas conocidos

  • Comandos de ADD PDS pueden fallar si coincide con el displayName de un nuevo usuario o recurso de un usuario de Project Server o un recurso existente. La propiedad displayName de Active Directory se asigna a la propiedad de nombre de usuario o a la propiedad Name de recursos en Project Server. Project Server requiere que estos valores de campo sean únicos en toda una base de datos único de Project Server.
  • Comandos de ADD PDS pueden fallar si se ha agregado manualmente un usuario a Project Server pero sus campos de nombre de usuario o cuenta de Windows no coinciden con las propiedades en Active Directory. La cuenta de Windows o los campos de nombre de usuario deben coincidir exactamente con las propiedades de nombre de usuario y nombre del recurso en Active Directory. Si no es exactamente coinciden, un código de estado de error de 2028 o 2029 puede anotarse en el registro de sucesos de aplicación.

Herramientas

Las herramientas siguientes están disponibles para solucionar estos problemas:
  • Registro de sucesos de aplicación
  • Agente PDSTest
  • SetTracing
Para obtener la utilidad SetTracing, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=49443d62-0c72-4fa6-9cdf-6a796bde2882&displaylang=en

Activas Directory sincronización componente trabajo y los datos flujo malentendidos

El componente de sincronización de Active Directory en Project Server 2003 presenta un comportamiento específico que no sean intuitivos o no estaba bien documentado anteriormente.

Estos problemas se dividen en las siguientes categorías:

Desactivar el GUID de AD

Un GUID de AD debe desactivarse para que un usuario específico cuando desee que el usuario permanecen activas aunque ya no pertenecen al grupo Active Directory que está asignado al fondo de recursos de empresa de Project Server. Desactivar el GUID de AD también impide otros usuarios de Project Server se quitan de grupos de seguridad de Project Server si se quitó su cuenta de Active Directory desde un grupo de Active Directory o desde una asignación de unidad organizativa a un grupo de seguridad específica de Project Server.

El siguiente es un escenario de sincronización de recursos de empresa de ejemplo que ilustra el uso de la característica de "borrar usuario AD GUID":
  1. Usuario "Juan Pérez" es un miembro de un grupo de Active Directory que se denomina "ERP (AD)".
  2. Un administrador sincroniza la empresa de Project Server recursos al grupo de Active Directory "ERP (AD)".
  3. "Juan Pérez" se quita de "ERP (AD)".
  4. Un administrador de Project Server nuevo sincroniza recursos de empresa al grupo de Active Directory "ERP (AD)".
  5. Si GUID de AD de Juan García tenía ha borrado antes de la sincronización en segunda, podría no puede inactivar.
importante Después de borrar un GUID de Active Directory, el GUID de Active Directory es re-inserted automáticamente en la base de datos en los siguientes escenarios de Project Server.
Proceso de sincronización de Enterprise Active Directory de grupo de recursos
El GUID de Active Directory es automáticamente re-inserted en Project Server la base de datos si se cumplen las condiciones siguientes:
  • Active Directory no se quitará el usuario relacionados con la asignación de grupo con el fondo de recursos de empresa.
  • Se produce una sincronización de Active Directory posteriores.
Proceso de sincronización de Active Directory de Server seguridad grupo del proyecto
El GUID de Active Directory es automáticamente re-inserted en Project Server la base de datos si se cumple la condición siguiente:
  • El usuario de Project Server había ganado un nuevo servidor de proyecto pertenencia a grupo de seguridad mediante un proceso de sincronización de Project Server seguridad grupo Active.
Para recursos de empresa, el GUID de Active Directory se almacena en el proyecto de base de datos de servidor en las ubicaciones siguientes:
  • MSP_WEB_RESOURCES.WRES_AD_GUID
  • MSP_RESOURCES.RES_AD_GUID
Para los usuarios de Project Server que no son recursos de empresa, el GUID de Active Directory se almacena en la base de datos Project Server en la siguiente ubicación:
  • MSP_WEB_RESOURCES.WRES_AD_GUID

Desactivación o activación de recursos

Un usuario no está activado durante un proceso de sincronización Enterprise Active Directory de grupo de recursos si se cumplen las condiciones siguientes:
  1. El usuario ya existe en el recurso de empresa grupo.
  2. El usuario, a continuación, se quitará la asignación de grupo de Active Directory con el fondo de recursos de empresa.
  3. Un posteriores Enterprise recursos grupo Active Directory el proceso de sincronización se produce.
Los usuarios nunca se reactiva durante un Active Directory el proceso de sincronización. Desactivación no se aplica a sincronizaciones de Active Directory de grupo de seguridad de Project Server.

El estado activo o inactivo de un recurso específico se almacena en la base de datos Project Server en las ubicaciones siguientes:
  • MSP_WEB_RESOURCES.WRES_IS_ENABLED
  • MSP_RESOURCES.RES_RTYPE (0 = el recurso de trabajo activo, 1000 = trabajo inactivo recursos)

Interrupciones en el proceso de sincronización de Active Directory

Cuando se inicia un proceso de sincronización de Active Directory, el MSP_WEB_ADMIN_AD. Valor WADMIN_AD_ERESPOOL_UPDATE está establecido en 1 para empresa sincronizaciones de recursos. MSP_WEB_ADMIN_AD. WADMIN_AD_GRP_UPDATE valor está establecido en 1 para las sincronizaciones de grupo de seguridad de Project Server. Cuando ha finalizado el proceso de sincronización, estos valores se establecen volver en 0 (cero).

El propósito de estas modificaciones de base de datos es evitar que los procesos de sincronización superpuestos. Por ejemplo, si se inicia un proceso de sincronización programado de Active Directory, no desea los administradores iniciar también el mismo proceso a través de Project Web Access porque podría estar en peligro la integridad de datos. Cuando cualquiera de los valores anteriores se establece en 1, para evitar que las sincronizaciones superpuestas, la opción Actualizar ahora no está disponible.

Si a que, por cualquier motivo, un proceso de sincronización de Active Directory se interrumpe inesperadamente antes de lo que haya finalizado, el valor de WADMIN_AD_ERESPOOL_UPDATE o el valor de WADMIN_AD_GRP_UPDATE puede permanecer en 1. Esto impide que los procesos de sincronización posterior. Por ejemplo, esto puede ocurrir si se restableció IIS o si IIS se bloqueó durante un proceso de sincronización. Para corregir el problema, establezca los valores de esos campos a 0 y, a continuación, vuelva a sincronizar.

Metadatos de usuario

Los siguientes campos pueden actualizarse durante un recurso de empresa proceso de sincronización de Active Directory de grupo:
  • Nombre del recurso
  • Cuenta de usuario de Windows
  • Dirección de correo electrónico
  • Grupo
  • GUID DE AD
Una coincidencia entre los usuarios de Active Directory y Project Server los recursos se intenta primero en el GUID de Active Directory y, a continuación, en el campo nombre del recurso en Project Server y en el campo nombre para mostrar en Active Directory. Si una coincidencia y si las propiedades de usuario de Active Directory y el servidor Project las propiedades de los recursos son diferentes, se intenta una actualización mediante el PDS.

La siguiente tabla enumera los campos de Active Directory que se asignan a los campos de recursos de Project Server.
Contraer esta tablaAmpliar esta tabla
propiedad de Active Directory propiedad de recursos de proyecto (recursos de empresa) usuario de Project Server propiedad
Nombre (UserObject.displayName o UserObject.fullName) para mostrarNombre del recurso (MSP_RESOURCES.RES_NAME)Nombre de usuario (MSP_WEB_RESOURCES.RES_NAME)
Cuenta de usuario de Windows (domain\sAMAccountName)Windows Cuenta de usuario (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205521207)Usuario de Windows cuenta (MSP_WEB_RESOURCES. WRES_NT_ACCOUNT)
Dirección de correo electrónico (UserObject. Dirección de correo electrónico)Correo electrónico Dirección (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205520931)Dirección de correo electrónico (MSP_WEB_RESOURCES. WRES_EMAIL)
Departamento (UserObject.Department)Grupo (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205520899)N/d (no deducción de esquema)
GUID de AD (UserObject.Guid)<Sin interfaz de USUARIO > (MSP_RESOURCES. RES_AD_GUID)<Sin interfaz de USUARIO > (MSP_WEB_RESOURCES. WRES_AD_GUID)
Tenga en cuenta que las actualizaciones de metadatos no se producen para Project Server grupo de usuarios durante una seguridad de Project Server el proceso de sincronización de Active Directory. Hay una excepción. El GUID de Active Directory puede ser re-inserted durante un proceso de sincronización de Project Server seguridad grupo Active Directory si se cumplen las condiciones siguientes:
  • Anteriormente había ha borrado el GUID de AD del usuario de Project Server.
  • El usuario de Project Server había ganado un nuevo servidor de proyecto pertenencia a grupo de seguridad mediante un proceso de sincronización de Project Server seguridad grupo Active.

Recibe un "AD recursos grupo Sync - no se pudo abrir el Ent. Res"mensaje de error cuando realiza una sincronización Active Directory contra el Enterprise Resource Pool

Cuando realiza una sincronización de Active Directory con el fondo de recursos de empresa, puede recibir el siguiente mensaje de error:
Sincronización de grupo de recursos de AD - Error al abrir el Ent. Res.
Este problema puede producirse si se ha desprotegido el recurso de empresa cuando se ejecuta el proceso de sincronización Enterprise recursos grupo Active Directory. Para resolver el problema, puede forzar una protección de fondo de recursos de empresa proyecto.

importante Si selecciona un recurso de empresa está desprotegido, el usuario que tiene el recurso de empresa desprotegido no podrá guardar los cambios en la base de datos.

Para comprobar en el fondo de recursos de empresa del proyecto, siga estos pasos:
  1. En la página Administración de Project Web Access, haga clic en Administrar funciones de empresa en acciones .
  2. En Opciones de empresa , haga clic en Buscar en proyectos de empresa .

    Nota Sólo pueden tener acceso a los usuarios asignados el permiso global "Proteger mis proyectos" Proteger proyectos de empresa de vínculo.
  3. En Buscar en la página proyectos de empresa, haga clic en el proyecto de fondo de recursos de empresa y haga clic en proteger .

Problemas de seguridad de sincronización de Active Directory

El componente de sincronización de Active Directory en Project Server 2003 debe ejecutarse en algún tipo de contexto de seguridad. Los detalles de este contexto de seguridad se tratan brevemente en esta sección. Esto incluye las cuentas, permisos y advertencias de seguridad.

Estos problemas se dividen en las siguientes categorías:

Requisitos de seguridad y cuentas de contexto de sincronización de Active Directory

Se utilizan cuentas de seguridad diferentes dependiendo de si está programando un proceso de sincronización de Active Directory o iniciar Active Directory opción de proceso de sincronización seleccionando el Actualizar en Project Web Access. Cuando se selecciona el Actualizar opción de Internet Explorer, IIS aloja el proceso que controla la sincronización de Active Directory. La cuenta de seguridad que se utiliza depende de los permisos de seguridad de archivo IIS para los siguientes archivos:
  • /Admin/SyncPool.ASP para recursos de empresa sincronizaciones
  • /Admin/SyncGrp.ASP de sincronizaciones de grupo de seguridad de Project Server
Para cada uno de estos archivos, debe tener sólo la opción de Autenticación de Windows integrada seleccionada para permisos de seguridad de archivo IIS. Esto asegura que el credenciales de usuario se utilizan para el proceso de sincronización de Windows ha iniciado sesión actualmente. Esto incluye ponerse en contacto con el catálogo global y ejecutar comandos ADSI a través de LDAP.

Al programar sincronizaciones de Active Directory, la cuenta de inicio de sesión que se especifica para el servicio de proceso programado de Project Server se utiliza para realizar la sincronización. De forma predeterminada, esta cuenta de inicio de sesión es la cuenta sistema local.

Estas cuentas deben poder crear una instancia del archivo /BIN/PjSvrADC.dll, ponerse en contacto con el catálogo global y leer todos los objetos relevantes de Active Directory relacionados con la sincronización. Esto incluye unidades organizativas, grupos, usuarios y así sucesivamente.

Seguridad de nivel de objeto de Active Directory

Para sincronizar a un grupo específico o una unidad organizativa, la cuenta de contexto que se utiliza para realizar un Active Directory sincronización debe poder leer todos los objetos relevantes de Active Directory. Estos objetos incluyen grupos, unidades organizativas, grupos anidados y todos los usuarios de miembro. Para obtener información acerca de cuentas de contexto, vea la sección "Active Directory synchronization context accounts and security requirements".

Para comprobar los permisos de objeto Active Directory individuales, utilice la herramienta ADSIEdit que está disponible en el medio de instalación de Windows Server 2003.

Herramientas

La herramienta siguiente está disponible para solucionar estos problemas:
  • ADSI

Propiedades

Id. de artículo: 887025 - Última revisión: jueves, 1 de marzo de 2007 - Versión: 6.5
La información de este artículo se refiere a:
  • Microsoft Office Project Server 2003
Palabras clave: 
kbmt kbhowto KB887025 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 887025

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com