Como solucionar problemas de sincronização do Active Directory no Project Server 2003

Traduções deste artigo Traduções deste artigo
ID do artigo: 887025 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

Este artigo descreve como solucionar problemas do Active Directory problemas de sincronização do serviço de diretório no Microsoft Office Project Server 2003.

Mais Informações

Problemas de sincronização o Active Directory se enquadram nas categorias a seguir:

O Active Directory comunicação e questões ambientais e problemas de objeto do Active Directory que são independentes do banco de dados do Project Server

O componente de sincronização do Active Directory no Project Server 2003 faz as seguintes ações, nesta ordem:
  1. Um catálogo global no Active Directory específico de contatos floresta.
  2. Executa um protocolo (LDAP) consulta usando o ActiveX Data Objects (ADO) para procurar por um grupo do Active Directory especificado ou unidade organizacional (OU).
  3. Usa o Active Directory Service Interfaces (ADSI) para obter uma referência ao grupo ou para a OU para iterar por meio de membros do grupo ou os membros da OU. Isso inclui grupos aninhados e unidades organizacionais.
Se enquadram esses problemas nas categorias a seguintes:

Problemas com contatar o catálogo global

  • Quando você sincronizar o Active Directory a um grupo de floresta cruzada, faça o seguinte:
    • Use o total totalmente qualificado FQDN nome de domínio () para especificar o grupo. Por exemplo, use o seguinte FQDN para especificar o grupo:
      GroupName@childdomain.rootdomain.com
    • Certifique-se que o domínio na floresta remoto de destino contém uma cópia do catálogo global para a floresta.
  • Se seu domínio contém controladores de domínio de backup do Microsoft Windows NT 4.0 (BDCs) e controladores de domínio do Microsoft Windows Server 2003, você pode estar executando a floresta do Active Directory do Windows Server 2003 no modo de interim. Executando a floresta do Active Directory do Windows Server 2003 no modo interim pode impedir que Project Server acessem o catálogo global.
  • Ao usar o FQDN completo ou o formato de domínio para especificar um grupo, certifique-se de que o domínio de destino contém uma cópia do catálogo global para sua floresta.
  • Verifique se que a porta 3268 está aberta entre o computador que está executando o Project Server 2003 e o controlador de domínio que está hospedando uma cópia do catálogo global. Porta 3268 é usada para comunicação de catálogo global. Se sua comunicação de catálogo global é criptografada usando SSL (Secure Sockets LAYER), certifique-se que a porta 3269 está aberta.
  • Certifique-se que a topologia de rede e de segurança é ativada para comunicação entre um controlador de domínio que está hospedando um catálogo global e o Project Server. Por exemplo, se o computador que está hospedando o Project Server é um membro de um grupo de trabalho, catálogo global comunicação falhará.

Problemas com um grupo específico do Active Directory

  • Se o grupo que você está tentando sincronizar não possui membros, você receberá um status de sincronização Falha . Isso é um bug conhecido. Para contornar esse problema, verifique se o grupo que você está tentando sincronizar tem pelo menos um membro.
  • Se o grupo incorreto está sendo sincronizado, talvez seja necessário mais de um grupo que corresponda a consulta LDAP que é usada pelo Project Server. Para contornar esse comportamento, você pode tentar usar o FQDN completo do grupo. Ou, você pode alterar o nome do grupo para verificar se o nome do grupo é exclusivo na floresta do Active Directory.
  • Quando você sincronizar um grupo, selecionando a opção Atualizar agora , um grupo não é retornado pela função FetchGroup no Project Server 2003 Active Directory componente de sincronização. Além disso, uma mensagem de erro é registrada no log do aplicativo. A mensagem de erro inclui o texto "FetchGroup:" seguido por um valor numérico. Embora a causa desse problema ainda não tiver sido determinada, acreditamos que esse problema está relacionado à configuração do Microsoft Windows SharePoint Services e do Internet Information Services (IIS) ou à corrupção. Você pode normalmente solução esse problema criando um novo site e, em seguida, usando a ferramenta EditSite para criar um novo diretório virtual "ProjectServer" em novo site.
  • Se apenas alguns dos membros do grupo estão sendo retornadas, talvez haja uma limitação de diretiva LDAP está relacionada à recuperação de múltiplos valores de atributo. Nesse cenário, o atributo de grupo do Active Directory "membros" são o atributo de valores múltiplos. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    315071Como exibir e definir diretiva LDAP no Active Directory usando Ntdsutil.exe

Problemas com um usuário específico do Active Directory

  • O Project Server exige que Active Directory todos os usuários para que sua propriedade displayName preenchida. Usuários que têm propriedades displayName vazias não são sincronizados com o Project Server.
  • Referências a alguns usuários podem existir no atributo de membros do grupo. No entanto, esses usuários podem ter sido excluídos do Active Directory. Nessas situações, você receberá uma mensagem de erro "Falha parcial" para um processo de sincronização específico do Active Directory. Além disso, a seguinte mensagem de erro é registrada no log de eventos:

    "Grupo de acesso AD" & GroupName & "parcialmente falha porque o membro do grupo-" & sMemberDN & "não pode ser resolvido por LDAP."

    Porque o usuário não existe mais no Active Directory, o erro é inofensivo bastante e pode ser ignorado. Entre em contato com seu Active Directory administrador para remover a referência para o usuário não-existente do atributo de membros do grupo.
  • Determinados caracteres especiais na propriedade displayName para usuários específicos podem causar falhas de sincronização para os usuários. Os seguintes caracteres são substituídos para Active Directory de um usuário específico propriedade displayName antes da propriedade displayName aparece no banco de dados do Project Server:
    • Caractere separador de lista
      • Se o caractere separador de lista for uma vírgula, a vírgula é substituída por um ponto-e-vírgula.
      • Se o caractere separador de lista for algo diferente de uma vírgula, o caractere separador de lista será substituído por uma vírgula.
    • Colchetes
      • Colchetes são substituídos por chaves. Que é, "[" e "]" é substituída por "{"e "}" respectivamente.

Ferramentas

As seguintes ferramentas estão disponíveis para solucionar esses problemas:
  • ADSI Edit
  • EditSite
Para obter a ferramenta EditSite, visite o seguinte site:
http://www.microsoft.com/downloads/details.aspx?FamilyID=6dc2c83e-54e1-40a9-9bb8-2dd293226b6f

Problemas de banco de dados do projeto Server relacionados à sincronização do Active Directory

O componente de sincronização do Active Directory no Project Server 2003 usa o Project Data Service (PDS) para executar as seguintes ações possíveis durante um processo de sincronização do Active Directory:
  • Atualizando um recurso. Isso inclui inactivating um recurso.
  • Adicionando um novo recurso ou um servidor de projeto novo usuário.
  • Adicionar um usuário do Project Server existente a um Project Server para o grupo de segurança.
  • Remover um usuário do Project Server existente de um projeto do grupo de segurança do servidor.
Dependendo das circunstâncias, um ou mais destas ações PDS podem falhar. Para isolar e capturar informações mais específicas sobre essas falhas, você pode usar o utilitário SetTracing do Project Server 2003. Usando o utilitário SetTracing, você pode obter as seguintes informações do Project Server:
  • Os comandos PDS exatos que são solicitados pelo componente de sincronização do Active Directory.
  • As respostas do PDS. As respostas incluem códigos de status de erro.
Use o utilitário SetTracing para aumentar o nível de sensibilidade de captura de informações para 4 para captura de log de eventos do aplicativo. Executar um processo de sincronização do Active Directory e examine o log de eventos do aplicativo. Informações que aparece imediatamente antes de eventos de erro e eventos de aviso devem incluir a solicitação do PDS e responder informações. As informações de resposta do PDS podem conter um valor diferente de zero numérico no < Status / > nó. Use o PDS referência do código de erro para obter mais informações sobre um código de status específicos. Para exibir a referência de código de erro do PDS, visite o seguinte site da Microsoft:
http://msdn2.microsoft.com/en-us/library/aa204425(office.11).aspx

Problemas conhecidos

  • Comandos ADD do PDS podem falhar se o displayName de um novo usuário ou recurso corresponde ao de um usuário do Project Server ou o recurso existente. A propriedade displayName do Active Directory mapeia para a propriedade de nome de usuário ou para a propriedade Nome do recurso no Project Server. O Project Server requer que esses valores de campo estejam exclusivos em todo um único banco de dados do Project Server.
  • Comandos ADD do PDS podem falhar se você adicionou manualmente um usuário ao Project Server, mas seus campos de nome de usuário ou conta do Windows não correspondem a essas propriedades no Active Directory. A conta do Windows ou os campos nome de usuário devem corresponder exatamente as propriedades de nome de usuário e nome do recurso no Active Directory. Se eles coincidem não exatamente, um código de status de erro de 2028 ou 2029 pode ser registrado no log de eventos do aplicativo.

Ferramentas

As seguintes ferramentas estão disponíveis para solucionar esses problemas:
  • Log de eventos de aplicativo
  • Estrutura PDSTest
  • SetTracing
Para obter o utilitário SetTracing, visite o seguinte site:
http://www.microsoft.com/downloads/details.aspx?FamilyID=49443d62-0c72-4fa6-9cdf-6a796bde2882&displaylang=en

O Active Directory sincronização componente trabalho e dados fluxo mal-entendidos

O componente de sincronização do Active Directory no Project Server 2003 apresenta comportamento específico que não pode ser intuitivo ou não foi bem documentado anteriormente.

Esses problemas se encaixam as seguintes categorias:

Limpando o GUID do AD

Um GUID do AD deve ser desmarcado para um usuário específico quando desejar que o usuário permanecem ativas mesmo que eles não pertencem ao grupo do Active Directory que é mapeado para o pool de recursos da empresa do Project Server. Limpar o GUID do AD também impede que outros usuários do Project Server que está sendo removido grupos de segurança do Project Server se sua conta do Active Directory foi removida de um grupo do Active Directory ou de um mapeamento de OU para um grupo de segurança específico do Project Server.

A seguir está um cenário de sincronização de pool de recursos da empresa de exemplo que ilustra o uso do recurso "Limpar usuário AD GUID":
  1. Usuário "João da Silva" é um membro de um grupo do Active Directory chamado "ERP (AD)".
  2. Um administrador sincroniza o Project Server Enterprise Pool de recursos ao grupo do Active Directory "ERP (AD)".
  3. "João da Silva" é removido do "ERP (AD)".
  4. Um administrador sincroniza novamente no Project Server Pool de recursos da empresa ao grupo do Active Directory "ERP (AD)".
  5. Se o GUID do AD de Fulano tinha sido limpo antes da sincronização de segunda, ele não deve ser desativado.
importante Após limpar um GUID do AD, a GUID do AD é automaticamente re-inserted no banco de dados do Project Server nas seguintes situações.
Processo de sincronização Enterprise Resource Pool Active Directory
O GUID do AD é re-inserted automaticamente para o Project Server banco de dados se as seguintes condições forem verdadeiras:
  • O usuário relacionado não é removido do Active Directory mapeamento de grupo para o pool de recursos da empresa.
  • Ocorre uma sincronização subseqüente do Active Directory.
Processo de sincronização do servidor segurança grupo do Active Directory do projeto
O GUID do AD é re-inserted automaticamente para o Project Server banco de dados se a seguinte condição for verdadeira:
  • O usuário do Project Server tinha obtido um novo servidor Project participação no grupo de segurança um processo de sincronização do Project Server segurança grupo do Active Directory.
Recursos da empresa, o GUID do AD é armazenado no projeto do banco de dados Server nos seguintes locais:
  • MSP_WEB_RESOURCES.WRES_AD_GUID
  • MSP_RESOURCES.RES_AD_GUID
Para usuários do Project Server que também não são recursos da empresa, o GUID do AD é armazenado em banco de dados do Project Server no seguinte local:
  • MSP_WEB_RESOURCES.WRES_AD_GUID

Inactivation ou ativação de recursos

Um usuário é desativado durante um processo de sincronização Enterprise Resource Pool Active Directory se as seguintes condições forem verdadeiras:
  1. O usuário já existe no recurso da empresa pool.
  2. O usuário, em seguida, é removido do mapeamento de grupo do Active Directory ao pool de recursos de empresa.
  3. Um subseqüentes Enterprise Resource Pool Active Directory processo de sincronização ocorre.
Os usuários nunca são reativados durante um Active Directory processo de sincronização. Inactivation não se aplica a sincronizações do Project Server segurança grupo do Active Directory.

O status ativo ou inativo de um recurso específico é armazenado em banco de dados do Project Server nos seguintes locais:
  • MSP_WEB_RESOURCES.WRES_IS_ENABLED
  • MSP_RESOURCES.RES_RTYPE (0 = o recurso de trabalho ativa, 1000 = trabalho inativo recurso)

Interrupções para o processo de sincronização do Active Directory

Quando um processo de sincronização do Active Directory Iniciar, o MSP_WEB_ADMIN_AD. WADMIN_AD_ERESPOOL_UPDATE valor é definido como 1 para empresa sincronizações de pool de recursos. MSP_WEB_ADMIN_AD. WADMIN_AD_GRP_UPDATE valor é definido como 1 para sincronizações de grupo de segurança do Project Server. Quando o processo de sincronização foi concluído, esses valores são definidos de volta para 0 (zero).

O objetivo dessas modificações de banco de dados é impedir sobreposição processos de sincronização. Por exemplo, se iniciar um processo de sincronização agendado do Active Directory, você não deseja os administradores também iniciar o mesmo processo através do Project Web Access porque a integridade dos dados poderá ser comprometida. Quando um dos valores anteriores é definida como 1, para impedir que as sincronizações sobrepostas, a opção Atualizar agora não disponível.

Se, por algum motivo, um processo de sincronização do Active Directory for interrompido inesperadamente antes de tiver sido concluída, o valor para WADMIN_AD_ERESPOOL_UPDATE ou o valor para WADMIN_AD_GRP_UPDATE pode permanecer em 1. Isso impede que os processos de sincronização subseqüente. Por exemplo, isso pode ocorrer se o IIS foi redefinido ou se o IIS travou durante um processo de sincronização. Para corrigir o problema, defina os valores para esses campos para 0 e, em seguida, re-sincronizar.

Metadados de usuário

Os campos a seguir podem ser atualizados durante um recurso da empresa processo de sincronização do Active Directory do pool:
  • Nome do recurso
  • Conta de usuário do Windows
  • Endereço de email
  • Grupo
  • GUID DO AD
Uma correspondência entre usuários do Active Directory e o Project Server recursos é tentado primeiro o GUID do AD em em seguida, no campo nome do recurso no Project Server e no campo nome para exibição no Active Directory. Se uma correspondência é feita e as propriedades de usuário do Active Directory e o Project Server são diferentes propriedades de recurso, uma atualização é tentada através do PDS.

A tabela a seguir lista os campos do Active Directory que são mapeados para os campos de recurso do Project Server.
Recolher esta tabelaExpandir esta tabela
propriedade do Active Directory propriedade de recursos do projeto (pool de recursos da empresa) propriedade de usuário de servidor do projeto
Nome (UserObject.displayName ou UserObject.fullName) de exibiçãoNome do recurso (MSP_RESOURCES.RES_NAME)Nome de usuário (MSP_WEB_RESOURCES.RES_NAME)
Conta de usuário do Windows (domain\sAMAccountName)Windows Conta de usuário (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205521207)Usuário do Windows conta (MSP_WEB_RESOURCES. WRES_NT_ACCOUNT)
Endereço de email (UserObject. Endereço de email)Email Endereço (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205520931)Endereço de email (MSP_WEB_RESOURCES. WRES_EMAIL)
Departamento (UserObject.Department)Grupo (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205520899)N/A (nenhuma reserva de esquema)
GUID do AD (UserObject.Guid)<Nenhuma interface do USUÁRIO > (MSP_RESOURCES. RES_AD_GUID)<Nenhuma interface do USUÁRIO > (MSP_WEB_RESOURCES. WRES_AD_GUID)
Observe que as atualizações de metadados não ocorrem para o Project Server grupo de usuários durante uma segurança do Project Server processo de sincronização do Active Directory. Há uma exceção a isso. O GUID do AD pode ser reinserido durante um processo de sincronização do Project Server segurança grupo do Active Directory se as seguintes condições forem verdadeiras:
  • GUID do AD do usuário do Project Server anteriormente tinha sido desmarcada.
  • O usuário do Project Server tinha obtido um novo servidor Project participação no grupo de segurança um processo de sincronização do Project Server segurança grupo do Active Directory.

Você receberá um "AD resposta pool sincronizar - Falha ao abrir o Ent. Res"mensagem de erro quando você executa uma sincronização do Active Directory contra o pool de recursos da empresa

Quando você executa uma sincronização do Active Directory contra o pool de recursos da empresa, você receberá a seguinte mensagem de erro:
Sincronização do pool de resposta de AD - Falha ao abrir o Ent. Res.
Esse problema pode ocorrer se o recurso da empresa foi check-out quando o processo de sincronização Enterprise Resource Pool Active Directory é executado. Para resolver o problema, você pode forçar um check-in do pool de recursos Enterprise de projeto.

importante Se você marcar em um recurso de empresa está com check-out, o usuário que tem o recurso da empresa com check-out não poderão salvar alterações no banco de dados.

Para fazer check-in do recurso da empresa pool projeto, execute essas etapas:
  1. Na página Administração do Project Web Access, clique em Gerenciar funcionalidades da empresa em ações .
  2. Em Opções da empresa , clique em Verificar em projetos da empresa .

    Observação Somente os usuários que receberam a permissão global "Verificação em Meus projetos" podem acessar a verificação em projetos da empresa link.
  3. Em verificar na página projetos da empresa, clique em projeto Enterprise Resource Pool e, em seguida, clique em Check-In .

Problemas de segurança do Active Directory sincronização

O componente de sincronização do Active Directory no Project Server 2003 deve ser executado em algum tipo de contexto de segurança. Detalhes do contexto de segurança rapidamente são abordados nesta seção. Isso inclui contas, permissões e advertências de segurança.

Se enquadram esses problemas nas categorias a seguintes:

Contas de contexto de sincronização do Active Directory e requisitos de segurança

Diferentes contas de segurança são usadas, dependendo se você estiver agendando um processo de sincronização do Active Directory ou iniciar um Active Directory a opção de processo de sincronização, selecionando a Atualizar agora no Project Web Access. Quando você seleciona a Atualizar agora opção no Internet Explorer, IIS hospeda o processo que manipula a sincronização do Active Directory. A conta de segurança que é usada depende de suas permissões de segurança de arquivo do IIS para os seguintes arquivos:
  • /Admin/SyncPool.asp para o pool de recursos da empresa sincronizações
  • /Admin/SyncGrp.asp para sincronizações de grupo de segurança do Project Server
Para cada um desses arquivos, você deve ter apenas a opção de Autenticação integrada do Windows selecionada para as permissões de segurança de arquivo do IIS. Isso garante que o Windows está conectado no momento as credenciais do usuário são usadas para o processo de sincronização. Isso inclui contatar o catálogo global e executar comandos ADSI através do LDAP.

Quando você agenda sincronizações do Active Directory, a conta de logon que é especificada para o serviço de processo agendadas do Project Server é usada para executar a sincronização. Por padrão, essa conta de logon é a conta sistema local.

Essas contas devem poder criar uma instância do arquivo /BIN/PjSvrADC.dll, entre em contato com o catálogo global e ler todos os objetos relevantes do Active Directory relacionadas à sincronização. Isso inclui UOs, grupos, usuários e assim por diante.

Segurança de nível de objeto do Active Directory

Para sincronizar com um grupo específico ou unidade ORGANIZACIONAL, a conta de contexto que é usada para executar um Active Directory sincronização deve ser capaz de ler todos os objetos do Active Directory relevantes. Esses objetos incluem grupos, unidades organizacionais, grupos aninhados e todos os usuários de membro. Para obter informações sobre contas de contexto, consulte a seção "Active Directory synchronization context accounts and security requirements".

Para verificar as permissões de objeto do Active Directory individuais, use a ferramenta ADSI Edit está disponível na mídia de instalação do Windows Server 2003.

Ferramentas

A seguinte ferramenta está disponível para solucionar esses problemas:
  • ADSI Edit

Propriedades

ID do artigo: 887025 - Última revisão: quinta-feira, 1 de março de 2007 - Revisão: 6.5
A informação contida neste artigo aplica-se a:
  • Microsoft Office Project Server 2003
Palavras-chave: 
kbmt kbhowto KB887025 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 887025

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com