Project Server 2003 での Active Directory 同期問題のトラブルシューティング方法

文書翻訳 文書翻訳
文書番号: 887025 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料で Active Directory のトラブルシューティングを行う方法について説明します Microsoft Office Project Server 2003 でディレクトリ サービスの同期問題。

詳細

作業中のディレクトリ同期の問題は、次カテゴリに分類されます。

アクティブ ディレクトリ通信と環境問題は、Project Server データベースに無関係する Active Directory オブジェクト問題

Project Server 2003 で、Active Directory 同期コンポーネントは、この順序で、次の処理を行います。
  1. グローバル カタログを特定の Active Directory で連絡先フォレストです。
  2. ライトウェイト ディレクトリ アクセス プロトコル (LDAP) を実行する ActiveX データ オブジェクト (ADO) を使用して、指定された Active Directory のグループまたは組織単位 (OU) を検索するクエリ。
  3. Active Directory サービス インターフェイス (ADSI) を使用して、グループや、OU、グループのメンバーまたは OU のメンバーの反復の参照を取得します。 これにはネストしたグループ、および組織単位 (OU) が含まれます。
これらの問題は、次のカテゴリに分類されます。

グローバル カタログに接続に関する問題

  • Active Directory を同期するときにクロス フォレストのグループに、次のオプションを実行します。
    • 完全な完全修飾ドメイン名 (FQDN) を使ってするには、グループ指定します。 たとえば、グループを指定するのに、次の FQDN を使用します。
      groupname@childdomain.rootdomain.com
    • リモート フォレスト内のターゲット ドメインがそのフォレストのグローバル カタログのコピーを確認します。
  • 自分のドメインには、Microsoft Windows NT 4. 0 バックアップ ドメイン コントローラー (BDC) および Microsoft Windows Server 2003 ドメイン コントローラーが含まれる場合とが実行されて、Windows Server 2003 Active Directory フォレスト中間計画モードで可能性があります。 中間計画モードで、Windows Server 2003 Active Directory フォレストを実行するが、グローバル カタログをアクセス Project Server できないようにすることができますがします。
  • 完全な FQDN またはドメイン \ ユーザー名の形式を使用してグループを指定すると、移行先ドメインが、フォレストのグローバル カタログのコピーされていることことを確認します。
  • ポート 3268 が Project Server 2003 を実行しているコンピューターとは、グローバル カタログのコピーをホストしているドメイン コントローラーの間に開いていることを確認します。 ポート 3268 はグローバル カタログの通信に使用されます。 Secure Sockets Layer (SSL) を使用して、グローバル カタログの通信が暗号化されている場合はポート 3269 が開いていることを確認します。
  • Project Server とグローバル カタログをホストしているドメイン コントローラー間の通信、ネットワークとセキュリティのトポロジが有効になっていることを確認します。 たとえば、Project Server をホストしているコンピューターがワークグループのメンバーに場合、グローバル カタログの通信は失敗します。

特定の Active Directory グループに関する問題

  • 同期しようとしているグループは、メンバーを持たない、 失敗した 同期の状態が表示されます。 これは既知のバグです。 この問題を回避、作成操作同期しようとしているグループが少なくとも 1 つのメンバーであります。
  • 不適切なグループが同期されている場合、Project Server を使用する LDAP クエリに一致する複数のグループがあります。 この現象を回避、グループの完全な FQDN を使用しようことができます。 また、Active Directory フォレストにまたがるグループ名が一意かを確認、グループ名を変更できます。
  • グループは、Project Server 2003 Active Directory で FetchGroup 関数が返すしないグループを 今すぐ更新 ] をクリックして同期すると同期コンポーネント。 また、エラー メッセージがアプリケーション ログに記録されます。 エラー メッセージには、テキストが含まれます"FetchGroup:"続く数値値です。 この問題の原因がまだ決定されていない、この問題は関連して Microsoft Windows SharePoint Services とインターネット インフォメーション サービス (IIS) 構成または破損しているおと見なされます。 できます通常回避策この問題、新しい Web サイトを作成して、EditSite ツールを使用して新しい"ProjectServer"仮想ディレクトリ、新しいサイトを作成します。
  • 発生して、グループ メンバーの一部が返される、だけの場合はいる可能性が複数値属性の取得に関連付けられている LDAP ポリシー制限が。 このシナリオではグループ属性メンバーの Active Directory は、複数値属性です。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください:
    315071ビューおよび Ntdsutil.exe を使用して Active Directory 内の LDAP ポリシーを設定する方法

特定の Active Directory ユーザーに関する問題

  • すべての Active Directory ユーザー設定が表示名プロパティに必要がある Project Server ありません。 空の表示名のプロパティを持つユーザーは、Project Server と同期されません。
  • 一部のユーザーへの参照をグループの メンバー 属性にあります。 ただし、これらのユーザーが削除されている Active Directory から。 このような状況で、特定の Active Directory 同期プロセスの部分の障害エラー メッセージが表示されるがあります。 また、次のエラー メッセージがイベント ログに記録されます。

    「へのアクセス中に AD グループ」& GroupName &"ため、部分的に失敗しました - グループのメンバー"sMemberDN &「解決できません LDAP による:」

    ユーザーが Active Directory に存在しない、ため、エラーはかなり無害にありは無視してかまいません。 Active Directory に問い合わせてください管理者は、グループの メンバー の属性から存在しないユーザーに参照を削除します。
  • 特定のユーザーのプロパティ表示名に特殊文字それらのユーザーの同期エラー可能性があります。 特定のユーザーの Active Directory の次の文字が置き換えられる、Project Server データベースにこの表示名プロパティを表示する前に、表示名プロパティ。
    • 区切り記号
      • リスト区切り文字が、コンマ場合、コンマは、セミコロン (;) で置き換えられます。
      • 区切り記号がコンマ以外の場合、区切り記号は、コンマで置き換えられます。
    • 角かっこ
      • 角かっこは、中かっこ ({}) に置き換えられます。 「["と」]"で「{"と」}"それぞれに置き換えられます。

オフィス機器

次ツールは、これらの問題のトラブルシューティングに使用できます。
  • ADSI 編集
  • EditSite
EditSite ツールを入手するには、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/downloads/details.aspx?FamilyID=6dc2c83e-54e1-40a9-9bb8-2dd293226b6f

Active Directory の同期に関連するプロジェクト サーバー データベースの問題

Project Server 2003 で、Active Directory 同期コンポーネントは、Active Directory の同期処理中に、次の潜在的な操作を PDS (Project Data Service) を使ってください。
  • リソースを更新します。 ここにリソースを inactivating します。
  • 新しいリソースまたは新しいサーバーにプロジェクトを追加するユーザー。
  • Project Server への既存の Project Server ユーザーの追加セキュリティ グループ。
  • プロジェクトから既存の Project Server のユーザーを削除するサーバーのセキュリティ グループ。
状況に応じては 1 つまたは複数これら PDS のアクションの可能性があります失敗。 分離してこれらの障害に関する具体的な情報を取り込むには、Project Server 2003 の SetTracing ユーティリティは、使用できます。 SetTracing ユーティリティを使用して、次の情報を Project Server から入手できます。
  • Active Directory 同期コンポーネントが要求される正確な PDS コマンド。
  • PDS から届いた返信します。 返信のエラー ステータス コードを含めます。
SetTracing ユーティリティを使用して 4 キャプチャ アプリケーション イベント ログに記録する情報キャプチャ秘密度レベルを上げます。 Active Directory 同期プロセスを実行し、アプリケーション イベント ログを調べます。 エラー イベントおよび警告イベントの直前に表示される情報は、PDS の要求を含めるし、情報を返信ください。 PDS 返信についてにがゼロ以外上で数値にはが含まれて、< 状態/> ノード。 かどうかを使用してエラー コードの参照を特定のステータス コードの複数情報を取得します。 PDS エラー コードの参照を表示するには、次のマイクロソフト Web サイトを参照してください。
http://msdn2.microsoft.com/en-us/library/aa204425(office.11).aspx

既知の問題

  • PDS の 追加 のコマンドが、新しいユーザーまたはリソースの表示名と、既存の Project Server のユーザーまたはリソースの一致する場合はエラーします。 Active Directory の表示名プロパティは、または Project Server の リソース名 プロパティは、 ユーザー名 プロパティにマップします。 Project Server は、これらのフィールドの値は、単一の Project Server データベースで一意が必要です。
  • PDS の 追加 のコマンドが Project Server にユーザーを追加する手動でしたが、Windows アカウントまたはユーザー名のフィールドは Active Directory 内でこれらのプロパティと一致しない場合はエラーします。 正確、Windows アカウントまたはユーザー名] フィールドに一致しなければなりません Active Directory 内のユーザー名とリソース名のプロパティ。 これらは一致しない場合、エラー ステータス コード 2028年または 2029年の場合がありますアプリケーション イベント ログに記録されます。

オフィス機器

次ツールは、これらの問題のトラブルシューティングに使用できます。
  • アプリケーション イベント ログ
  • PDSTest ハーネス
  • SetTracing
SetTracing ユーティリティを入手するには、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/downloads/details.aspx?FamilyID=49443d62-0c72-4fa6-9cdf-6a796bde2882&displaylang=en

アクティブなディレクトリ同期コンポーネントとデータ フロー誤解

Project Server 2003 で、Active Directory 同期コンポーネント動作特定直感的にならないを文書化が以前もされていません。

これらの問題は、次カテゴリに分類されます:

AD GUID を消去します。

そのユーザーできなく、Project Server エンタープライズ リソース共有元にマップされている Active Directory グループに所属がにもかかわらずアクティブなままにしたい場合、AD GUID ある特定のユーザーに対して消去されます。 AD GUID をオフも防ぎます他 Project Server または特定の Project Server セキュリティ グループに、OU の対応付けから、Active Directory グループから、Active Directory アカウントが削除された場合に Project Server セキュリティ グループから削除されています。

次に、次の使用例エンタープライズ リソース共有元を同期シナリオを示す、"クリア ユーザー AD GUID"機能の使用を示します。
  1. ユーザー"John Doe"は"ERP (AD)"という名前は、Active Directory グループのメンバーです。
  2. 管理者、Project Server エンタープライズを同期するリソース共有元を Active Directory グループ"ERP (AD)"にします。
  3. "John Doe"から"ERP (AD)"が削除されます。
  4. 管理者、Project Server を再度同期するエンタープライズ リソース共有元を Active Directory グループ"ERP (AD)"にします。
  5. John Doe の AD の GUID が、2 番目の同期の前にオフになってされている場合彼 inactivated はありません。
重要です AD GUID にオフにした後は、AD GUID は、以下の状況で、Project Server データベースに自動的に re-inserted です。
エンタープライズ リソース プールの Active Directory 同期プロセス
AD GUID は、Project Server に自動的に re-inserted、次の条件に該当する場合のデータベースします。
  • 関連するユーザーは、Active Directory から削除されませんエンタープライズ リソース共有元へのグループのマッピングです。
  • 2 回目以降の Active Directory 同期が発生します。
プロジェクトのサーバー セキュリティ グループの Active Directory 同期プロセス
AD GUID は、Project Server に自動的に re-inserted、その次条件が true の場合データベースします。
  • Project Server ユーザーには、Project Server セキュリティ グループの Active Directory 同期プロセスを通じてセキュリティ グループ メンバーシップに新たに Project Server を獲得必要があります。
エンタープライズ リソースを AD GUID は、プロジェクトに格納されます Server データベースの次の場所。
  • MSP_WEB_RESOURCES.WRES_AD_GUID
  • MSP_RESOURCES.RES_AD_GUID
Project Server ないユーザーにもエンタープライズ リソースを AD GUID は、次の場所に Project Server データベースに格納されます。
  • MSP_WEB_RESOURCES.WRES_AD_GUID

inactivation またはリソースのアクティブ化

ユーザーは、次の条件に該当する場合、エンタープライズ リソース プールの Active Directory の同期処理中に inactivated:
  1. エンタープライズ リソースでユーザーが既に存在してプール。
  2. ユーザーがエンタープライズ リソース共有元に、Active Directory グループのマッピングからし削除されます。
  3. その後エンタープライズ リソース プール Active Directory 同期処理が行われます。
ユーザーは、Active Directory の中に再アクティブ化しない同期処理します。 inactivation は Project Server セキュリティ グループの Active Directory の同期を適用しません。

アクティブまたは非アクティブの状態を特定のリソースを次の場所には、Project Server データベースに格納は。
  • MSP_WEB_RESOURCES.WRES_IS_ENABLED
  • MSP_RESOURCES.RES_RTYPE (0 = アクティブな作業のリソースを 1, 000年 = 非アクティブな作業時間リソース)

Active Directory 同期プロセスに中断

Active Directory 同期プロセスは、起動時、MSP_WEB_ADMIN_AD。 WADMIN_AD_ERESPOOL_UPDATE の値がエンタープライズの 1 に設定されてリソース共有元を同期します。 MSP_WEB_ADMIN_AD。 WADMIN_AD_GRP_UPDATE 値は Project Server セキュリティ グループの同期は 1 に設定されます。 これらの値を 0 に戻って設定されて、同期処理が完了すると (ゼロ) です。

これらのデータベースの変更の目的は同期プロセスの重複できないようにします。 たとえば、現行の Active Directory 同期プロセスが起動、する場合したくない管理者がデータの整合性が損なわれる可能性がありますので、Project Web Access で同じ処理も開始します。 1 に設定、以前の値のいずれかが、重複している同期は、のように [ 今すぐ更新 ] オプションはできません。

何らかの理由でこれが完了するまで、Active Directory 同期プロセスが中断が予期せず場合、WADMIN_AD_ERESPOOL_UPDATE の値または WADMIN_AD_GRP_UPDATE の値は 1 電源可能性があります。 これにより、以降の同期処理。 たとえば、IIS がリセットされた場合、または同期処理中に IIS がクラッシュした場合に発生このことができます。 問題を修正、0 に戻ってこれらのフィールドの値を設定し再同期します。

ユーザーのメタデータ

中、エンタープライズ リソースに、次のフィールドを更新できるプールの Active Directory 同期プロセス。
  • [リソース名]
  • Windows ユーザー アカウント
  • 電子メール アドレス
  • グループ
  • 広告の GUID
一致する Active Directory ユーザーと Project Server リソースがまず試行 AD GUID とし [Project Server にリソース名] フィールドと [表示名フィールドを Active Directory で。 一致が行われる場合、Active Directory のユーザー プロパティと、Project Server リソースのプロパティが異なる、更新プログラムがかどうかを使用しようとしました。

次の表は、Project Server のリソース フィールドにマップする Active Directory フィールドです。
元に戻す全体を表示する
アクティブ ディレクトリのプロパティ プロジェクトのリソースのプロパティ (エンタープライズ リソース共有元を) プロジェクトのサーバー ユーザーのプロパティ
表示名 (UserObject.displayName または UserObject.fullName)[リソース名 (MSP_RESOURCES.RES_NAME)ユーザー名 (MSP_WEB_RESOURCES.RES_NAME)
Windows ユーザー アカウント (domain\sAMAccountName)Windows ユーザー アカウント (MSP_TEXT_FIELDS。 TEXT_FIELD_ID = 205521207)Windows ユーザー アカウント (MSP_WEB_RESOURCES。 WRES_NT_ACCOUNT)
電子メール アドレス (ユーザー オブジェクトです。 EmailAddress)電子メール アドレス (MSP_TEXT_FIELDS。 TEXT_FIELD_ID = 205520931)電子メール アドレス (MSP_WEB_RESOURCES。 WRES_EMAIL)
部署 (UserObject.Department)グループ (MSP_TEXT_FIELDS。 TEXT_FIELD_ID = 205520899)該当なし (スキーマ手当なし)
AD GUID (UserObject.Guid)<UI なし > (MSP_RESOURCES。 RES_AD_GUID)<UI なし > (MSP_WEB_RESOURCES。 WRES_AD_GUID)
メモ プロジェクトのサーバーのメタデータの更新が発生しないことを Project Server セキュリティの中にユーザー グループの Active Directory 同期プロセス。 この例外を 1 つがあります。 AD GUID は、次の条件に該当する場合、Project Server セキュリティ グループの Active Directory 同期処理中に re-inserted はことができます。
  • Project Server ユーザーの AD の GUID が以前消去されました。
  • Project Server ユーザーには、Project Server セキュリティ グループの Active Directory 同期プロセスを通じてセキュリティ グループ メンバーシップに新たに Project Server を獲得必要があります。

表示されますが"AD リソース プール同期-、Ent を開けませんでした。 res"エラー メッセージ、Enterprise Resource Pool に対して、Active Directory の同期を実行すると

エンタープライズ リソース共有元に対して、Active Directory 同期を実行すると、次のエラー メッセージが表示されます可能性があります。
AD リソース プールの同期-、Ent を開けませんでした。 res。
エンタープライズ リソースがチェックアウトしている、エンタープライズ リソース プールの Active Directory 同期プロセスの実行時場合に発生します。 問題が解決を強制的に、チェックインをエンタープライズ リソース共有元のプロジェクトです。

重要です チェックアウトされているエンタープライズ リソースをチェックインする場合チェックアウトされたエンタープライズ リソースを持つユーザーはデータベースに変更を保存できません。

エンタープライズ リソース共有元をチェックインするプロジェクトには、以下の手順を実行します。
  1. [プロジェクトの Web アクセスの管理] ページで、[ 操作 ] の下の [ エンタープライズ機能を管理 をクリックしています。
  2. [ エンタープライズ オプション エンタープライズ プロジェクトをチェックイン します。

    メモ のみが、「マイ イベントの確認」のグローバル アクセス許可を割り当てられているユーザーは、 エンタープライズ プロジェクトのチェックイン をアクセスできるリンクします。
  3. エンタープライズ プロジェクトのページで確認]、[エンタープライズ リソース共有元プロジェクトをクリックし、 チェックイン します。

アクティブなディレクトリ同期のセキュリティ問題

Project Server 2003 で Active Directory 同期コンポーネントの実行が必要ある種のセキュリティ コンテキストになります。 このセクションで簡単に、このセキュリティ コンテキストの詳細が説明されています。 アカウント、アクセス許可、およびセキュリティの注意事項が含まれます。

これらの問題は、次のカテゴリに分類されます。

Active Directory 同期コンテキストのアカウントとセキュリティ要件

異なるセキュリティ アカウントは、Active Directory 同期プロセスをスケジュールするかどうかに応じてや Project Web Access で、 [今すぐ更新 を選択して同期プロセス オプションを Active Directory を開始します。 選択した場合、 [今すぐ更新 Internet Explorer の IIS のオプション、Active Directory の同期を処理するプロセスをホストします。 使用されるセキュリティ アカウントは、次のファイルに対するユーザーの IIS ファイル セキュリティの権限によって異なります。
  • エンタープライズ リソース共有元の/Admin/SyncPool.asp の同期
  • Project Server セキュリティ グループの同期の/Admin/SyncGrp.asp
これらのファイルのそれぞれについて、IIS ファイルのセキュリティ アクセス許可に対して選択された 統合 Windows 認証 オプションのみが必要です。 これは、ようにする現在ログオンしている Windows ユーザーの資格情報が、同期処理に使用されます。 これには、グローバル カタログへの連絡および LDAP 経由の ADSI コマンドの実行が含まれます。

Active Directory の同期をスケジュールする際に Project Server スケジュールされたプロセス サービスの指定したログオン アカウントを使用、同期を実行します。 既定ではこのログオン アカウントは、ローカル システム アカウントです。

これらのアカウント/BIN/PjSvrADC.dll ファイルのインスタンスを作成、グローバル カタログに連絡し、同期に関連したすべての関連する Active Directory オブジェクトの読み取りできる必要があります。 これには OU、グループ、ユーザー、およびなどが含まれます。

アクティブ ディレクトリ オブジェクト レベルのセキュリティ

特定のグループまたは OU、Active Directory を実行する使用されるコンテキスト アカウントに同期させる同期すべての関連する Active Directory オブジェクトを読み取ることができる必要があります。 これらオブジェクトにはグループ </a0>、[OU </a0>、[ネストされたグループ、および [メンバーのすべてのユーザーがします。 アカウントのコンテキストについては、「"Active Directory synchronization context accounts and security requirements は"。

個々 の Active Directory オブジェクト権限を調べる、ADSI Edit ツール、Windows Server 2003 のインストール メディアで利用できるを使用します。

オフィス機器

以下のツールはこれらの問題をトラブルシューティングするは。
  • ADSI 編集

プロパティ

文書番号: 887025 - 最終更新日: 2007年3月1日 - リビジョン: 6.5
この資料は以下の製品について記述したものです。
  • Microsoft Office Project Server 2003
キーワード:?
kbhowto kbmt KB887025 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:887025
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com