Comment résoudre les problèmes de synchronisation Active Directory dans Project Server 2003

Traductions disponibles Traductions disponibles
Numéro d'article: 887025 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Cet article explique comment résoudre les problèmes de Active Directory problèmes de synchronisation service d'annuaire dans Microsoft Office Project Server 2003.

Plus d'informations

Problèmes de synchronisation actives Directory appartiennent aux catégories suivantes :

Active Directory communication et les problèmes environnementales et les problèmes d'objet Active Directory qui sont indépendants de la base de données Project Server

Le composant de synchronisation Active Directory de Project Server 2003 effectue les opérations suivantes, dans cet ordre :
  1. Un catalogue global dans un annuaire Active Directory spécifique de contacts forêt.
  2. Effectue un accès protocole LDAP (Lightweight Directory) requête à l'aide de (ActiveX Data Objects) pour rechercher un groupe Active Directory spécifié ou l'unité d'organisation (UO).
  3. Utilise ADSI (Active Directory Service Interfaces) pour obtenir une référence au groupe ou à l'unité D'ORGANISATION permet d'itérer sur les membres du groupe ou les membres de l'unité D'ORGANISATION. Cela inclut des groupes imbriqués et des unités d'organisation.
Ces problèmes appartiennent aux catégories suivantes :

Problèmes liés à contacter le catalogue global

  • Lorsque vous synchronisez Active Directory à un groupe externe forêt, effectuez les opérations suivantes :
    • Utilisez le complet entièrement qualifié nom de domaine (FQDN) pour spécifier le groupe. Par exemple, utiliser le FQDN suivant pour spécifier le groupe :
      GroupName@childdomain.rootdomain.com
    • Assurez-vous que le domaine cible dans la forêt à distance contient une copie du catalogue global pour cette forêt.
  • Si votre domaine contient des contrôleurs de domaine de sauvegarde Microsoft Windows NT 4.0 (CSD) et des contrôleurs de domaine Microsoft Windows Server 2003, vous exécutez peut-être la forêt Windows Server 2003 Active Directory en mode d'attente. Exécute la forêt Windows Server 2003 Active Directory en mode de temporaire peut empêcher Project Server d'accéder à du catalogue global.
  • Lorsque vous utilisez soit le FQDN complet ou le format DOMAINE\nom d'utilisateur pour spécifier un groupe, vérifiez que le domaine cible contient une copie du catalogue global de votre forêt.
  • Assurez-vous que le port 3268 est ouvert entre l'ordinateur qui exécute Project Server 2003 et le contrôleur de domaine qui héberge une copie du catalogue global. Port 3268 est utilisé pour la communication de catalogue global. Si votre communication de catalogue global est chiffrée à l'aide de SSL (Secure Sockets LAYER), assurez-vous que le port 3269 est ouvert.
  • Assurez-vous que la topologie réseau et la sécurité est activée pour la communication entre Project Server et un contrôleur de domaine qui héberge un catalogue global. Par exemple, si l'ordinateur qui héberge Project Server est un membre d'un groupe de travail, catalogue global communication échoue.

Problèmes liés à un groupe Active Directory spécifique

  • Si le groupe auquel vous tentez de synchroniser ne possède aucun membre, vous recevez un état de synchronisation a échoué . Ce problème est connu. Pour contourner ce problème, assurez-vous que le groupe que vous tentez de synchroniser possède au moins un membre.
  • Si le groupe incorrect est synchronisé, peut-être à plusieurs groupes qui correspond à la requête LDAP qui est utilisée par Project Server. Pour contourner ce problème, vous pouvez essayez d'utiliser le complet FQDN de du groupe. Ou bien, vous pouvez modifier le nom du groupe de pour vous assurer que le nom du groupe est unique dans votre forêt Active Directory.
  • Lorsque vous synchronisez un groupe en sélectionnant l'option mise à jour , un groupe n'est pas renvoyé par la fonction FetchGroup dans Project Server 2003 Active Directory composant de synchronisation. En outre, un message d'erreur est enregistré dans le journal d'application. Le message d'erreur contient le texte « FetchGroup: » suivi d'une valeur numérique. Bien que la cause de ce problème n'a pas encore été déterminée, nous pensons que ce problème est lié à la configuration Microsoft Windows SharePoint Services et de services Internet (IIS) ou endommagé. Vous pouvez généralement contourner ce problème en créant un nouveau site Web, puis en utilisant l'outil EditSite pour créer un nouveau répertoire virtuel « ProjectServer » sous le nouveau site.
  • Si seuls des membres du groupe sont en cours renvoyés, vous pouvez rencontrer une limitation de stratégie LDAP liée à la récupération des attributs à valeurs multiples. Dans ce scénario, Active Directory groupe attribut « membres » sont les attributs à valeurs multiples. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    315071 Comment afficher et définir la stratégie LDAP dans Active Directory à l'aide de Ntdsutil.exe

Problèmes liés à un utilisateur Active Directory spécifique

  • Project Server nécessite que Active Directory tous les utilisateurs pour leur propriété displayName remplie. Utilisateurs dotés de propriétés de nom d'affichage vide ne sont pas synchronisées avec Project Server.
  • Références à certains utilisateurs peuvent exister dans membres de l'attribut un groupe. Toutefois, ces utilisateurs a peut-être été supprimés d'Active Directory. Dans ces situations, vous pouvez recevoir un message d'erreur « défaillance partielle » d'un processus de synchronisation Active Directory spécifique. En outre, le message d'erreur suivant est enregistré dans le journal des événements :

    « Groupe Accès Active Directory » & GroupName & " a partiellement échoué car membre du groupe - " & sMemberDN & » ne peut pas être résolus en LDAP. »

    Parce que l'utilisateur n'existe plus dans Active Directory, l'erreur est relativement sans danger et peut être ignoré. Contacter votre Active Directory administrateur pour supprimer la référence à l'utilisateur qui n'existe pas de l'attribut du groupe membres .
  • Certains caractères spéciaux dans la propriété displayName pour des utilisateurs spécifiques peuvent provoquer des échecs de synchronisation pour les utilisateurs. Les caractères suivants sont remplacés pour Active Directory un utilisateur spécifique propriété displayName avant la propriété displayName dans la base de données Project Server :
    • Séparateur de liste
      • Si le caractère séparateur de liste est une virgule, la virgule est remplacée par un point-virgule.
      • Si le caractère séparateur de liste est autre chose qu'une virgule, le caractère séparateur de liste est remplacé par une virgule.
    • Crochets
      • Crochets sont remplacées par des accolades. Qui est, « [» et «] » sont remplacé par « {» et «}" respectivement.

Outils

Les outils suivants sont disponibles pour résoudre ces problèmes :
  • ADSI
  • EditSite
Pour obtenir l'outil EditSite, reportez-vous au site de Web Microsoft suivant :
http://www.microsoft.com/downloads/details.aspx?FamilyID=6dc2c83e-54e1-40a9-9bb8-2dd293226b6f

Project Server de base de données problèmes liés à la synchronisation Active Directory

Le composant de synchronisation Active Directory de Project Server 2003 utilise le service PDS (Project Data Service) pour effectuer les actions suivantes potentielles pendant un processus de synchronisation Active Directory :
  • Mise à jour une ressource. Cela inclut la désactivation d'une ressource.
  • Ajouter une nouvelle ressource ou un nouveau serveur Project Server utilisateur.
  • Ajout d'un utilisateur de Project Server existant à un serveur Project Server groupe de sécurité.
  • Supprimer un utilisateur de Project Server existant à partir d'un projet groupe de sécurité serveur.
Selon les circonstances, une ou plusieurs des ces actions PDS peuvent échouer. Pour isoler et capturer plus d'informations sur ces défaillances, vous pouvez utiliser l'utilitaire de Project Server 2003 SetTracing. En utilisant l'utilitaire SetTracing, vous pouvez obtenir les informations suivantes à partir de Project Server :
  • Les commandes service PDS exacts qui sont requises par le composant de synchronisation Active Directory.
  • Les réponses dans le service PDS. Les réponses incluent codes de statut Erreur.
Utilisez l'utilitaire SetTracing pour augmenter le niveau de sensibilité capture d'informations à 4 pour la capture journal des événements application. Exécuter un processus de synchronisation Active Directory, puis consultez le journal des événements d'application. Informations qui apparaissent immédiatement avant les événements d'erreur et les événements d'avertissement doivent comprendre PDS demande et réponse d'informations. Les informations de réponse PDS peuvent contenir une valeur non nulle numérique de la < État / > n?ud. Utiliser le service PDS référence du code d'erreur pour obtenir plus d'informations sur un code d'état spécifique. Pour afficher la référence de code d'erreur PDS, reportez-vous au site de Web Microsoft suivant :
http://msdn2.microsoft.com/en-us/library/aa204425(office.11).aspx

Problèmes connus

  • Commandes ajouter PDS peuvent échouer si le nom d'affichage d'un nouvel utilisateur ou de ressource correspond à celle d'un utilisateur de Project Server ou une ressource existante. La propriété displayName Active Directory mappe à la propriété de nom d'utilisateur ou à la propriété nom de la ressource dans Project Server. Projet Server nécessite que ces valeurs de champ sont uniques dans toute une seule base de données Project Server.
  • Commandes ajouter PDS peuvent échouer si vous avez ajouté manuellement un utilisateur à Project Server mais leurs champs de compte Windows ou nom d'utilisateur ne correspond pas à ces propriétés dans Active Directory. Les champs nom d'utilisateur ou de compte Windows doivent correspondre exactement aux propriétés nom d'utilisateur et le nom de la ressource dans Active Directory. Si elles ne correspondent pas exactement, un code d'état erreur de 2028 ou 2029 peut être enregistré dans le journal des événements d'application.

Outils

Les outils suivants sont disponibles pour résoudre ces problèmes :
  • Journal des événements d'application
  • PDSTest Harness
  • SetTracing
Pour obtenir l'utilitaire SetTracing, reportez-vous au site de Web Microsoft suivant :
http://www.microsoft.com/downloads/details.aspx?FamilyID=49443d62-0c72-4fa6-9cdf-6a796bde2882&displaylang=en

Actives Directory synchronisation composant travail et les données flux misunderstandings

Le composant de synchronisation Active Directory de Project Server 2003 présente un comportement spécifique ne peut pas être intuitif ou n'a jusqu'à présent pas été également décrit.

Ces problèmes appartiennent aux catégories suivantes :

Effacer le GUID Active Directory

Un GUID Active Directory doivent être effacé pour un utilisateur spécifique lorsque vous souhaitez que cet utilisateur reste active même si elles appartiennent plus au groupe Active Directory qui est mappé à la liste des ressources d'entreprise Project Server. Effacer le GUID Active Directory empêche également autres utilisateurs de Project Server en cours de suppression groupes de sécurité Project Server si leur compte Active Directory a été supprimé à partir d'un groupe Active Directory ou d'un mappage OU à un groupe de sécurité de Project Server spécifique.

Voici un scénario de synchronisation de la liste des ressources d'entreprise exemple qui illustre l'utilisation de la fonctionnalité Supprimer utilisateur Active Directory « GUID » :
  1. Utilisateur « John Doe » est membre d'un groupe Active Directory nommé « ERP (AD) ».
  2. Un administrateur synchronise le Project Server Enterprise la liste des ressources vers le groupe Active Directory « ERP (AD) ».
  3. « John Doe » est supprimé de « ERP (AD) ».
  4. Un administrateur synchronise à nouveau le serveur Project Server Entreprise liste des ressources vers le groupe Active Directory « ERP (AD) ».
  5. Si GUID Active Directory Vincent Lauriat a été désactivée avant la deuxième synchronisation, il ne serait pas être désactivé.
important Après un effacement un GUID Active Directory, le GUID Active Directory est automatiquement re-inserted dans la base de données Project Server dans les scénarios suivants.
Processus de synchronisation d'entreprise ressource liste Active Directory
Le GUID Active Directory est automatiquement re-inserted dans Project Server de base de données si les conditions suivantes sont remplies :
  • L'utilisateur associé n'est pas supprimé Active Directory mappage de groupe à la liste des ressources d'entreprise.
  • Une synchronisation Active Directory suivante se produit.
Processus de synchronisation Active Directory Server sécurité groupe du projet
Le GUID Active Directory est automatiquement re-inserted dans Project Server de la base de données si la condition suivante est vraie :
  • L'utilisateur de Project Server a obtenus un nouveau serveur Project Server appartenance au groupe de sécurité via un processus de synchronisation Project Server sécurité groupe Active Directory.
Pour les ressources d'entreprise, le GUID Active Directory est stocké dans le projet base de données Server dans les emplacements suivants :
  • MSP_WEB_RESOURCES.WRES_AD_GUID
  • MSP_RESOURCES.RES_AD_GUID
Pour les utilisateurs Project Server qui ne sont pas également les ressources d'entreprise, le GUID Active Directory sont stocké dans la base de données Project Server à l'emplacement suivant :
  • MSP_WEB_RESOURCES.WRES_AD_GUID

Désactivation ou activation de ressources

Un utilisateur est désactivé pendant un processus de synchronisation Entreprise ressource liste Active Directory si les conditions suivantes sont remplies :
  1. L'utilisateur existe déjà dans la ressource d'entreprise liste.
  2. L'utilisateur est alors supprimé le mappage de groupe Active Directory vers la liste des ressources entreprise.
  3. Un suivantes Entreprise ressource liste AD processus de synchronisation se produit.
Les utilisateurs sont réactivés jamais pendant un Active Directory processus de synchronisation. Désactivation ne s'applique pas aux synchronisations de Project Server sécurité groupe Active Directory.

Le statut actif ou inactif pour une ressource spécifique est stockée dans la base de données Project Server dans les emplacements suivants :
  • MSP_WEB_RESOURCES.WRES_IS_ENABLED
  • MSP_RESOURCES.RES_RTYPE (0 = ressource de travail actif, 1 000 = travail inactif ressources)

Interruption du processus de synchronisation Active Directory

Lorsqu'un processus de synchronisation Active Directory démarre, le MSP_WEB_ADMIN_AD. Valeur WADMIN_AD_ERESPOOL_UPDATE est définie sur 1 pour entreprise synchronisations de la liste des ressources. Le MSP_WEB_ADMIN_AD. WADMIN_AD_GRP_UPDATE a la valeur 1 pour la synchronisation de groupe de sécurité Project Server. Lorsque le processus de synchronisation est terminé, ces valeurs sont redéfinis à 0 (zéro).

Le ces modifications de base de données sert à empêcher les processus de synchronisation qui se chevauchent. Par exemple, si un processus de synchronisation Active Directory planifié démarre, vous ne voulez pas que les administrateurs à également démarrer le processus même via Project Web Access car l'intégrité des données peut être compromise. Lorsque deux les valeurs précédentes est définie sur 1, pour éviter synchronisations qui se chevauche, l'option mise à jour n'est pas disponible.

Si, pour une raison quelconque, un processus de synchronisation Active Directory est interrompu inattendue avant qu'elle a été terminée, la valeur de WADMIN_AD_ERESPOOL_UPDATE ou la valeur de WADMIN_AD_GRP_UPDATE peut rester à 1. Cela empêche le processus de synchronisation suivante. Par exemple, cela peut se produire si IIS a été réinitialisé ou si IIS est tombé en panne pendant un processus de synchronisation. Pour résoudre ce problème, définissez les valeurs de ces champs à 0 et puis re-synchronize.

Métadonnées de l'utilisateur

Les champs suivants peuvent être mis à jour au cours d'une ressource d'entreprise processus de synchronisation de liste Active Directory :
  • Nom de la ressource
  • Compte d'utilisateur Windows
  • Adresse de messagerie
  • Groupe
  • GUID ACTIVE DIRECTORY
Une correspondance entre les utilisateurs Active Directory et Project Server ressources est tout d'abord essayé sur le GUID Active Directory, puis sur le champ Nom de la ressource dans Project Server et sur le champ Nom complet dans Active Directory. Si une correspondance est établie et les propriétés d'utilisateur Active Directory et le serveur Project propriétés de ressources sont différentes, une mise à jour est tenté par le biais de PDS.

Le tableau suivant répertorie les champs de Active Directory qui correspondent aux champs de ressources Project Server.
Réduire ce tableauAgrandir ce tableau
Active Directory, propriété propriété de ressource de projet (liste des ressources d'entreprise) propriété projet Server utilisateur
Afficher le nom (UserObject.displayName ou UserObject.fullName)Nom de la ressource (MSP_RESOURCES.RES_NAME)Nom d'utilisateur (MSP_WEB_RESOURCES.RES_NAME)
Compte d'utilisateur Windows (domain\sAMAccountName)Windows compte d'utilisateur (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205521207)D'utilisateur Windows compte (MSP_WEB_RESOURCES. WRES_NT_ACCOUNT)
Adresse de messagerie (UserObject. EmailAddress)Courrier électronique adresse (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205520931)Adresse de messagerie (MSP_WEB_RESOURCES. WRES_EMAIL)
Département (UserObject.Department)Groupe (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205520899)N / A (non indemnités schéma)
GUID Active Directory (UserObject.Guid)< Aucun l'interface UTILISATEUR > (MSP_RESOURCES. RES_AD_GUID)< Aucun l'interface UTILISATEUR > (MSP_WEB_RESOURCES. WRES_AD_GUID)
Notez que mises à jour des métadonnées ne se produisent pas pour Project Server utilisateurs pendant une sécurité de Project Server groupe processus de synchronisation Active Directory. Il existe une exception à cela. Le GUID Active Directory peut être re-inserted pendant un processus de synchronisation Active Directory de Project Server sécurité groupe si les conditions suivantes sont remplies :
  • GUID Active Directory de l'utilisateur de Project Server a déjà été effacé.
  • L'utilisateur de Project Server a obtenus un nouveau serveur Project Server appartenance au groupe de sécurité via un processus de synchronisation Project Server sécurité groupe Active Directory.

Vous recevez un Active Directory res liste synchroniser - Impossible d'ouvrir le client. Message d'erreur res" lorsque vous effectuez une synchronisation Active Directory par rapport à la Enterprise Resource Pool

Lorsque vous effectuez une synchronisation Active Directory par rapport à la liste des ressources d'entreprise, le message d'erreur suivant peut s'afficher :
Synchronisation de liste Active Directory res - Impossible d'ouvrir le client. Res.
Ce problème peut se produire si la ressource d'entreprise a été extraite lorsque le processus de synchronisation d'entreprise ressource liste Active Directory s'exécute. Pour résoudre ce problème, vous pouvez forcer un archivage de la liste des ressources d'entreprise projet.

important Si vous archivez une ressource d'entreprise qui a été extrait, l'utilisateur qui a extraite la ressource d'entreprise ne pourrez pas enregistrer les modifications apportées à la base de données.

Pour archiver la liste des ressources d'entreprise du projet, procédez comme suit :
  1. Dans la page Administration de Project Web Access, cliquez sur Gérer les fonctionnalités d'entreprise sous actions .
  2. Sous options d'entreprise , cliquez sur Archiver les projets d'entreprise .

    note Seuls les utilisateurs qui ont l'autorisation globale » vérifier dans mes projets » peuvent accéder à la vérifier dans des projets d'entreprise lien.
  3. Sur le chèque de page de projets d'entreprise, cliquez sur le projet de la liste des ressources d'entreprise, puis cliquez sur Archivage .

Problèmes de sécurité de synchronisation actives Directory

Le composant de synchronisation Active Directory dans Project Server 2003 doit exécuter dans un type de contexte de sécurité. Les détails de ce contexte de sécurité figurent brièvement dans cette section. Cela inclut comptes, les autorisations et les avertissements de sécurité.

Ces problèmes appartiennent aux catégories suivantes :

Comptes de contexte de synchronisation Active Directory et exigences de sécurité

Différents comptes de sécurité sont utilisés selon si vous planifiez un processus de synchronisation Active Directory ou lancer un Active Directory processus de synchronisation en sélectionnant la mettre à jour option dans Project Web Access. Lorsque vous sélectionnez la mettre à jour option dans Internet Explorer, IIS héberge le processus qui gère la synchronisation Active Directory. Le compte de sécurité qui est utilisé dépend de vos autorisations de sécurité de fichier Services Internet (IIS) pour les fichiers suivants :
  • /Admin/SyncPool.asp pour la liste des ressources d'entreprise synchronisations
  • /Admin/SyncGrp.asp de synchronisations de groupe de sécurité Project Server
Pour chacun de ces fichiers, vous devez uniquement l'option de l'authentification Windows intégrée sélectionnée pour les autorisations de sécurité de fichier de services Internet (IIS). Cela garantit que le Windows actuellement connecté sous informations d'identification utilisateur sont utilisées pour le processus de synchronisation. Cela inclut contacter le catalogue global et exécuter des commandes ADSI via LDAP.

Lorsque vous planifiez des synchronisations de Active Directory, le compte d'ouverture de session qui est spécifié pour le service de traitement planifié Project Server est utilisé pour effectuer la synchronisation. Par défaut, ce compte d'ouverture de session est le compte système local.

Ces comptes doivent pouvoir créer une instance du fichier /BIN/PjSvrADC.dll, contacter le catalogue global et lire tous les objets Active Directory appropriés liés à la synchronisation. Cela inclut unités d'organisation, groupes, utilisateurs et ainsi de suite.

Sécurité de niveau objet Active Directory

Pour synchroniser à un groupe spécifique ou une unité D'ORGANISATION, le compte de contexte qui est utilisé pour effectuer un Active Directory synchronisation doit pouvoir lire tous les objets Active Directory appropriés. Ces objets incluent groupes, unités d'organisation des groupes imbriqués et tous les utilisateurs membres. Pour les informations sur les comptes contexte, consultez la section « Active Directory synchronization context accounts and security requirements ».

Pour vérifier les autorisations d'objet Active Directory individuelles, utilisez l'outil ADSI Edit est disponible dans le support d'installation de Windows Server 2003.

Outils

L'outil suivant est disponible pour résoudre ces problèmes :
  • ADSI

Propriétés

Numéro d'article: 887025 - Dernière mise à jour: jeudi 1 mars 2007 - Version: 6.5
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Office Project Server 2003
Mots-clés : 
kbmt kbhowto KB887025 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 887025
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com