Como resolver problemas de sincronização do Active Directory no Project Server 2003

Traduções de Artigos Traduções de Artigos
Artigo: 887025 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Este artigo descreve como resolver problemas do Active Directory problemas de sincronização de serviços de directório no Microsoft Office Project Server 2003.

Mais Informação

Problemas de sincronização do Active Directory dividem-se nas seguintes categorias:

O Active Directory comunicação e problemas ambientais e problemas de objecto de Active Directory que são independentes da base de dados do Project Server

O componente de sincronização do Active Directory no Project Server 2003 efectua as seguintes acções, por esta ordem:
  1. Contacta um catálogo global num directório Active Directory específicos floresta.
  2. Executa um LIGHTWEIGHT Directory Access Protocol () consulta usando o ActiveX Data Objects (ADO) para procurar um grupo do Active Directory especificado ou unidade organizacional (UO).
  3. Utiliza interfaces de serviço do Active Directory (ADSI) para obter uma referência para o grupo OU para iterar através de membros do grupo ou os membros na OU e. Isto inclui grupos aninhados e unidades organizacionais.
Estes problemas dividem-se nas seguintes categorias:

Problemas relacionados com contactar o catálogo global

  • Quando sincroniza o Active Directory para um grupo de floresta cruzada, efectue os seguintes procedimentos:
    • Utilize o total totalmente qualificados nome de domínio (FQDN) para especificar o grupo. Por exemplo, utilize o FQDN seguinte para especificar o grupo:
      GroupName@childdomain.rootdomain.com
    • Certifique-se que o domínio de destino na floresta remoto contém uma cópia do catálogo global para essa floresta.
  • Se o domínio contiver controladores de domínio de reserva (BDC, Backup Domain Controller) do Microsoft Windows NT 4.0 e controladores de domínio do Microsoft Windows Server 2003, pode estar a executar na floresta do Active Directory do Windows Server 2003 no modo intermédio. Executar na floresta do Active Directory do Windows Server 2003 em modo intermédio pode impedir que do Project Server aceder ao catálogo global.
  • Quando utiliza o FQDN completo ou o formato domínio ome de utilizador para especificar um grupo, certifique-se de que o domínio de destino contém uma cópia do catálogo global para a floresta.
  • Certifique-se que a porta 3268 está aberta entre o computador que está a executar o Project Server 2003 e o controlador de domínio que hospeda uma cópia do catálogo global. Porta 3268 é utilizada para comunicação de catálogo global. Se a comunicação de catálogo global é encriptada utilizando (Secure Sockets Layer), certifique-se de que a porta 3269 está aberta.
  • Certifique-se que a topologia de rede e segurança está activada para comunicação entre do Project Server e um controlador de domínio que está a hospedar um catálogo global. Por exemplo, se o computador que hospeda o Project Server for um membro de um grupo de trabalho, a comunicação de catálogo global falha.

Problemas relacionados com um determinado grupo do Active Directory

  • Se o grupo que está a tentar sincronizar não tem membros, receberá um estado de sincronização falhou . Este é um erro conhecido. Para contornar este problema, certifique-se que o grupo que está a tentar sincronizar tem pelo menos um membro.
  • Se está a ser sincronizado grupo incorrecto, poderá ter mais do que um grupo que corresponda a consulta LDAP utilizada pelo Project Server. Para contornar este comportamento, pode tentar utilizar o FQDN total do grupo. Ou, pode alterar o nome do grupo para se certificar que o nome do grupo é exclusivo em toda a floresta do Active Directory.
  • Quando sincronizar um grupo seleccionando a opção Actualizar agora , um grupo não é devolvido pela função FetchGroup no Project Server 2003 Active Directory componente de sincronização. Além disso, uma mensagem de erro é registada no registo de aplicações. A mensagem de erro inclui o texto "FetchGroup:" seguido de um valor numérico. Apesar da causa deste problema ainda não foi determinada, acreditamos que esta questão está relacionada com a configuração do Microsoft Windows SharePoint Services e serviços de informação Internet (IIS) ou danos. Pode normalmente solução este problema criando um novo Web site e, em seguida, utilizar a ferramenta EditSite para criar um novo directório virtual "ProjectServer" no novo site.
  • Se apenas alguns dos membros de grupo são devolvidos, pode estar com uma limitação de política LDAP relacionado com o atributo de valor múltiplo obtenção. Neste cenário, o atributo de grupo do Active Directory "membros" é o atributo de valor múltiplo. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    315071Como visualizar e definir política LDAP no Active Directory utilizando Ntdsutil.exe

Problemas relacionados com um determinado utilizador do Active Directory

  • O Project Server requer que todos os utilizadores do Active Directory para que a respectiva propriedade displayName preenchida. Utilizadores displayName vazia propriedades não são sincronizados com o Project Server.
  • Referências a alguns utilizadores poderão existir no atributo de membros de um grupo. No entanto, estes utilizadores poderão ter sido eliminados do Active Directory. Nestas situações, poderá receber uma mensagem de erro "Falha parcial" para um processo de sincronização do Active Directory específico. Além disso, a seguinte mensagem de erro é registada no registo de eventos:

    "Ao aceder ao grupo de AD" & nomegrupo & "parcialmente falhou porque o membro do grupo-" & sMemberDN & "não pode ser resolvido pelo LDAP."

    Uma vez que o utilizador já não existe no Active Directory, o erro é relativamente inofensivo e pode ser ignorado. Contactar o Active Directory administrador para remover a referência para o utilizador inexistente do atributo de membros do grupo.
  • Determinados caracteres especiais na propriedade displayName para utilizadores específicos podem provocar falhas de sincronização para os utilizadores. Os seguintes caracteres são substituídos para de um utilizador específico Active Directory propriedade displayName antes a propriedade displayName apresentada na base de dados do Project Server:
    • Carácter separador de lista
      • Se o carácter de separador de lista é uma vírgula, a vírgula é substituída por um ponto e vírgula.
      • Se o carácter de separação de lista for diferente de uma vírgula, o carácter de separação de lista é substituído por uma vírgula.
    • Parênteses
      • Parênteses são substituídos por chavetas. Que é, "[" e "]" é substituído por "{"e "}" respectivamente.

Ferramentas

As seguintes ferramentas estão disponíveis para resolver estes problemas:
  • Editar ADSI
  • EditSite
Para obter a ferramenta EditSite, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=6dc2c83e-54e1-40a9-9bb8-2dd293226b6f

Servidor de base de dados de problemas relacionados com a sincronização do Active Directory do Project

O componente de sincronização do Active Directory no Project Server 2003 utiliza o Project Data Service (PDS) para efectuar as seguintes acções potenciais durante um processo de sincronização do Active Directory:
  • Actualizar um recurso. Isto inclui inactivating um recurso.
  • Adicionar um novo recurso ou um Project Server novo utilizador.
  • Adicionar um utilizador do Project Server existente a um Project Server grupo de segurança.
  • Remover um utilizador do Project Server existente de um projecto de grupo de segurança do servidor.
Dependendo das circunstâncias, um ou mais das seguintes acções PDS poderão falhar. Para isolar e capturar informações mais específicas sobre estas falhas, pode utilizar o utilitário SetTracing do Project Server 2003. Utilizando o utilitário SetTracing, pode obter as seguintes informações a partir do Project Server:
  • Os comandos PDS exactos que sejam pedidos pelo componente de sincronização do Active Directory.
  • As respostas a partir do PDS. As respostas incluem códigos de estado de erro.
Utilize o utilitário SetTracing para aumentar o nível de sensibilidade de captura de informações para 4 para captura de registo de eventos da aplicação. Executar um processo de sincronização do Active Directory e, em seguida, examine o registo de eventos da aplicação. Informações que aparece imediatamente antes de eventos de erro e eventos de aviso devem incluir PDS pedido e responder a informações. As informações de resposta do PDS podem conter um valor de diferente de zero numérico na < Estado / > nó. Utilizar o PDS referência de código de erro para obter mais informações sobre um código de estado específico. Para ver a referência de código de erro do PDS, visite o seguinte Web site da Microsoft:
http://msdn2.microsoft.com/en-us/library/aa204425(office.11).aspx

Problemas conhecidos

  • Comandos ADD do PDS poderão falhar se o displayName de um novo utilizador ou o recurso corresponde ao de um utilizador do Project Server ou de recurso existente. A propriedade displayName do Active Directory mapeia para a propriedade de nome de utilizador ou para a propriedade de Nome do recurso no Project Server. O Project Server requer que estes valores de campo são exclusivos em toda uma única base de dados do Project Server.
  • Comandos ADD do PDS poderão falhar se tiver adicionado manualmente um utilizador ao Project Server mas os campos de conta do Windows ou nome de utilizador não correspondem essas propriedades no Active Directory. Os campos de nome de utilizador ou conta do Windows tem de corresponder exactamente as propriedades de nome de utilizador e nome do recurso no Active Directory. Se exactamente não coincidirem, um código de estado de 2028 ou 2029 erro poderá ser registado no registo de eventos da aplicação.

Ferramentas

As seguintes ferramentas estão disponíveis para resolver estes problemas:
  • Registo de eventos de aplicações
  • Conjunto de PDSTest
  • SetTracing
Para obter o utilitário SetTracing, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=49443d62-0c72-4fa6-9cdf-6a796bde2882&displaylang=en

O Active Directory sincronização componente trabalho e dados fluxo equívocos

O componente de sincronização do Active Directory no Project Server 2003 apresenta esse comportamento específico pode não ser intuitivo ou não bem documentado anteriormente.

Estes problemas ocorrem nas seguintes categorias:

Limpar o GUID do AD

Um GUID do AD deve ser desmarcado para um utilizador específico quando pretender que o utilizador permanecer activa mesmo já não pertencem ao grupo do Active Directory que é mapeado para o conjunto de recursos de empresa do Project Server. Limpar o GUID do AD também impede outros utilizadores do Project Server que está a ser removido da grupos de segurança do Project Server se a conta do Active Directory foi removida de um grupo do Active Directory ou de um mapeamento de OU para um grupo de segurança específico do Project Server.

Segue-se um cenário de sincronização de conjunto de recursos de empresa exemplo ilustra a utilização da funcionalidade "Limpar utilizador AD GUID":
  1. Utilizador "João Silva" é um membro de um grupo do Active Directory com o nome "ERP (AD)".
  2. Um administrador sincroniza o Project Server Enterprise o conjunto de recursos ao grupo do Active Directory "ERP (AD)".
  3. "João Silva" é removida do "ERP (AD)".
  4. Um administrador sincroniza novamente no Project Server conjunto de recursos de empresa para o grupo do Active Directory "ERP (AD)".
  5. Se tinha sido desmarcada AD GUID João Silva antes da sincronização em segunda, ele não deverá ser desactivado.
importante Depois de limpar um GUID do AD, o GUID do AD é automaticamente re-inserted na base de dados do Project Server nos seguintes cenários.
Processo de sincronização do Active Directory para recursos conjunto
O GUID do AD é automaticamente re-inserted no Project Server da base de dados se as seguintes condições forem verdadeiras:
  • O utilizador em questão não é removido do Active Directory mapeamento de grupo para o conjunto de recursos de empresa.
  • Ocorre uma sincronização do Active Directory subsequente.
Processo de sincronização do servidor segurança grupo do Active Directory do Project
O GUID do AD é automaticamente re-inserted no Project Server da base de dados se a seguinte condição for verdadeira:
  • O utilizador do Project Server tinha obtido um Project Server novo membros do grupo de segurança através de um Project Server segurança grupo do Active Directory sincronização processo.
Recursos de empresa, o GUID do AD é armazenado no projecto base de dados nas seguintes localizações Server:
  • MSP_WEB_RESOURCES.WRES_AD_GUID
  • MSP_RESOURCES.RES_AD_GUID
Para os utilizadores do Project Server que também não são recursos de empresa, o GUID do AD é armazenado na base de dados do Project Server na seguinte localização:
  • MSP_WEB_RESOURCES.WRES_AD_GUID

Inactivação ou activação de recursos

Um utilizador está desactivado durante um processo de sincronização do Active Directory Enterprise Resource conjunto se as seguintes condições forem verdadeiras:
  1. O utilizador já existe no recurso de empresa conjunto.
  2. O utilizador, em seguida, é removido do mapeamento de grupo do Active Directory para o conjunto de recursos para.
  3. Um subsequentes para recursos agrupamento do Active Directory processo de sincronização ocorre.
Os utilizadores nunca são reactivados durante um Active Directory do processo de sincronização. Inactivação não se aplica ao Project Server segurança grupo do Active Directory sincronizações.

O estado activo ou inactivo de um recurso específico é armazenado na base de dados do Project Server nas seguintes localizações:
  • MSP_WEB_RESOURCES.WRES_IS_ENABLED
  • MSP_RESOURCES.RES_RTYPE (0 = o recurso de trabalho activo, 1000 = trabalho inactivo recurso)

Interrupções ao processo de sincronização do Active Directory

Quando um processo de sincronização do Active Directory é iniciado, o MSP_WEB_ADMIN_AD. WADMIN_AD_ERESPOOL_UPDATE está definido para 1 do Enterprise sincronizações de conjunto de recursos. MSP_WEB_ADMIN_AD. WADMIN_AD_GRP_UPDATE está definido para 1 para sincronizações de grupo de segurança do Project Server. O processo de sincronização foi concluída, estes valores são novamente definidos como 0 (zero).

O objectivo destas modificações de base de dados consiste em evitar sobreposição processos de sincronização. Por exemplo, se iniciar um processo de sincronização agendado do Active Directory, não pretende os administradores também iniciar o mesmo processo através do Project Web Access porque integridade de dados pode ser comprometida. Quando um dos valores anteriores é definido como 1, para evitar sincronizações sobrepostas, a opção Actualizar agora não está disponível.

Se, por qualquer motivo, um processo de sincronização do Active Directory for interrompido inesperadamente antes de ter completado, o valor para WADMIN_AD_ERESPOOL_UPDATE ou o valor para WADMIN_AD_GRP_UPDATE pode permanecer em 1. Isto impede que processos subsequentes sincronização. Por exemplo, isto pode ocorrer se o IIS foi reposto ou se o IIS ter falhado durante um processo de sincronização. Para corrigir o problema, definir os valores para esses campos como 0 e, em seguida, re-synchronize.

Metadados de utilizador

Os seguintes campos podem ser actualizados durante um recurso de empresa processo de sincronização do Active Directory conjunto:
  • Nome do recurso
  • Conta de utilizador do Windows
  • Endereço de correio electrónico
  • Grupo
  • GUID DO AD
Uma correspondência entre utilizadores do Active Directory e Project Server recursos pela primeira vez é tentado o GUID do AD e, em seguida, no campo nome do recurso no Project Server e no campo nome a apresentar no Active Directory. Se é efectuada uma correspondência e se as propriedades de utilizador do Active Directory e o Project Server propriedades de recursos são diferentes, uma actualização é tentada através do PDS.

A tabela seguinte lista os campos do Active Directory que mapeiam para os campos de recurso do Project Server.
Reduzir esta tabelaExpandir esta tabela
Propriedades de directório Active Directory Propriedades de recursos do projecto (conjunto de recursos de empresa) propriedade de utilizador Project Server
Nome (UserObject.displayName ou UserObject.fullName)Nome do recurso (MSP_RESOURCES.RES_NAME)Nome de utilizador (MSP_WEB_RESOURCES.RES_NAME)
Conta de utilizador do Windows (domain\sAMAccountName)Windows Conta de utilizador do (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205521207)Utilizador do Windows conta (MSP_WEB_RESOURCES. WRES_NT_ACCOUNT)
Endereço de correio electrónico (UserObject. EndereçoDoCorreioElectrónico)Correio electrónico Endereço (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205520931)Endereço de correio electrónico (MSP_WEB_RESOURCES. WRES_EMAIL)
Departamento (UserObject.Department)Grupo (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205520899)N/d (nenhum esquema especial)
GUID do AD (UserObject.Guid)<Sem IU > (MSP_RESOURCES. RES_AD_GUID)<Sem IU > (MSP_WEB_RESOURCES. WRES_AD_GUID)
Nota que actualizações de metadados não ocorrem para o Project Server processo de sincronização do Active Directory do grupo utilizadores durante de segurança do Project Server. Existe uma excepção. O GUID do AD pode ser reintroduzido durante um processo de sincronização do Active Directory grupo do Project Server segurança se as seguintes condições forem verdadeiras:
  • AD GUID do utilizador do Project Server anteriormente tinha sido desmarcada.
  • O utilizador do Project Server tinha obtido um Project Server novo membros do grupo de segurança através de um Project Server segurança grupo do Active Directory sincronização processo.

Recebe uma "AD res conjunto sincronizar - Falha ao abrir o Ent. Mensagem de erro res"quando efectua uma sincronização do Active Directory com o conjunto de recursos de empresa

Quando efectua uma sincronização do Active Directory com o conjunto de recursos de empresa, poderá receber a seguinte mensagem de erro:
Sincronização de conjunto de res AD - Falha ao abrir o Ent. Res.
Este problema poderá ocorrer se o recurso de empresa foi reservado quando executa o processo de sincronização do Active Directory para recursos conjunto. Para resolver o problema, pode forçar uma entrada de conjunto de recursos de empresa projecto.

importante Se disponibilizar um recurso de empresa que esteja reservado, o utilizador com o recurso de empresa reservado não poderá guardar as alterações da base de dados.

Para disponibilizar o conjunto de recursos de empresa do project, siga estes passos:
  1. Na página Administração do Project Web Access, clique em Gerir funcionalidades de empresa em Acções .
  2. Em Opções de empresa , clique em verificar em projectos de empresa .

    Nota Só os utilizadores que estão atribuídos a permissão global "Verificar nos meus projectos" podem aceder a verificar em projectos de empresa ligação.
  3. No verificação na página projectos de empresa, faça clique sobre o projecto do conjunto de recursos de empresa e , em seguida, clique em verificação .

Problemas de segurança de sincronização do Active Directory

O componente de sincronização do Active Directory no Project Server 2003 tem de executar algum tipo de contexto de segurança. Os detalhes deste contexto de segurança brevemente são abrangidos nesta secção. Isto inclui contas, permissões e avisos de segurança.

Estes problemas dividem-se nas seguintes categorias:

Contas de contexto de sincronização do Active Directory e requisitos de segurança

Diferentes contas de segurança são utilizadas consoante se estiver a agendar um processo de sincronização do Active Directory ou iniciar um Active Directory a opção de processo de sincronização, seleccionando a Actualizar agora no Project Web Access. Quando selecciona a Actualizar agora no Internet Explorer, o IIS hospeda o processo que processa a sincronização do Active Directory. A conta de segurança que é utilizada depende de permissões de segurança do ficheiro IIS para os seguintes ficheiros:
  • /Admin/SyncPool.asp para conjunto de recursos de empresa sincronizações
  • /Admin/SyncGrp.asp para sincronizações de grupo de segurança do Project Server
Para cada um destes ficheiros, deverá ter apenas a opção de Autenticação integrada do Windows seleccionada para permissões de segurança de ficheiros do IIS. Deste modo, garante que o Windows tem actualmente sessão iniciada as credenciais do utilizador são utilizadas para o processo de sincronização. Isto inclui a contactar o catálogo global e executar comandos ADSI através de LDAP.

Quando agendar sincronizações do Active Directory, a conta de início de sessão especificado para o serviço de processo agendadas do Project Server é utilizada para efectuar a sincronização. Por predefinição, esta conta de início de sessão é a conta sistema local.

Estas contas têm de conseguir criar uma instância do ficheiro /BIN/PjSvrADC.dll, contacte o catálogo global e ler todos os objectos do Active Directory relevantes estão relacionados com a sincronização. Isto inclui ou, grupos, utilizadores e assim sucessivamente.

Segurança de nível do objecto do Active Directory

Para sincronizar para um grupo específico ou OU, a conta de contexto que é utilizada para efectuar um Active Directory sincronização tem de conseguir ler todos os objectos do Active Directory relevantes. Estes objectos incluem grupos, ou, grupos aninhados e todos os utilizadores membro. Para obter informações sobre contas de contexto, consulte a secção "Active Directory synchronization context accounts and security requirements".

Para verificar permissões de objecto do Active Directory individuais, utilize a ferramenta ADSI Edit está disponível no suporte de instalação do Windows Server 2003.

Ferramentas

A seguinte ferramenta está disponível para resolver estes problemas:
  • Editar ADSI

Propriedades

Artigo: 887025 - Última revisão: 1 de março de 2007 - Revisão: 6.5
A informação contida neste artigo aplica-se a:
  • Microsoft Office Project Server 2003
Palavras-chave: 
kbmt kbhowto KB887025 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 887025

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com