Устранение неполадок синхронизации Active Directory в Project Server 2003

Переводы статьи Переводы статьи
Код статьи: 887025 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

В данной статье описаны способы устранения неполадок Active Directory проблемы синхронизации службы каталогов в Microsoft Office Project Server 2003.

Дополнительная информация

Проблемы синхронизации Active Directory можно разделить на следующие категории:

Active Directory связи и экологических проблем и проблем объекта Active Directory, которые не зависят от базы данных Project Server

Компонент синхронизации Active Directory на сервере Project Server 2003 выполняет следующие действия в указанном порядке:
  1. Контакты глобального каталога в определенной Active Directory лес.
  2. Выполняет облегченный протокол доступа К каталогам (LDAP) запрос, используя объекты данных ActiveX (ADO) для поиска указанного активный Каталог группу или подразделение (OU).
  3. Для получения используются интерфейсы служб Active Directory (ADSI) ссылки на группу или Подразделение для перебора всех членов группы или членами Подразделения. Это включает вложенные группы и организации единицы измерения.
Эти проблемы можно разделить на следующие категории:

Проблемы, связанные с обращение к глобальному каталогу

  • При синхронизации Active Directory группа крест лесов, выполните следующие действия:
    • Используйте полный полное доменное имя (FQDN) для Укажите группу. Например можно используйте следующее полное доменное имя для указания группы:
      GroupName@ChildDomain.rootdomain.com
    • Убедитесь, что конечный домен удаленного леса содержит копию глобального каталога для этого леса.
  • Если ваш домен содержит резервную копию Microsoft Windows NT 4.0 контроллеры домена (BDC) и контроллеров домена Microsoft Windows Server 2003, Возможно, леса Windows Server 2003 Active Directory работает в опасности Режим. Работы леса Windows Server 2003 Active Directory в режиме промежуточный можно запретить доступ к глобальному каталогу сервера Project Server.
  • При использовании полного FQDN или домен\имя_пользователя формат для указания группы, убедитесь, что конечный домен содержит копию глобальный каталог леса.
  • Убедитесь, что открыт порт 3268 между компьютером, Запуск сервера Project Server 2003 и контроллер домена, на котором размещена копия глобальный каталог. Порт 3268 для связи глобального каталога. Если ваш глобальный каталог, шифруются с помощью Secure Sockets Layer (SSL), убедитесь, что открыт порт 3269.
  • Убедитесь, что топология сети и безопасности для обмена данными между сервером Project Server и контроллером домена, содержащий глобальный каталог. Например, если компьютер, который является размещение Сервер Project Server является членом рабочей группы, связь глобального каталога не выполняется.

Проблемы, связанные с конкретной группы Active Directory

  • Если не имеет группу, которую вы пытаетесь синхронизировать члены, получение Не установлено обновлений Состояние синхронизации. Это является известной ошибкой. Чтобы обойти эту проблему выдавать, убедитесь, что по крайней мере имеет группу, которую вы пытаетесь синхронизировать один член.
  • Если синхронизируется неправильные группы могут иметь более чем одной группы, соответствующий запрос LDAP, используемый сервером Project Server. Чтобы устранить эту проблему, попробуйте использовать полное ДОМЕННОЕ имя группы. Или можно изменить имя группы, убедитесь, что имя группы является уникальным через леса Active Directory.
  • При синхронизации группы, выбравОбновить сейчас параметр, группа не возвращается FetchGroup функция в Project Server 2003 Active Directory компонент синхронизации. Кроме того, регистрируется сообщение об ошибке Журнал приложений. Сообщение об ошибке содержит текст "FetchGroup:" следуют числовое значение. Несмотря на то, что является причиной этой проблемы еще не определить, мы считаем, что эта проблема связана с Microsoft Windows Конфигурация служб SharePoint Services и служб информации Интернет (IIS) или повреждение. Вы можете обычно временное решение этой проблемы путем создания нового веб-узла а затем с помощью средства EditSite для создания нового «ProjectServer» виртуальный каталог, в группе новый веб-узел.
  • Если только некоторые из членов группы возвращаются, то может именно ограничения политики LDAP, которые связаны для многозначного Получение атрибутов. В этом случае атрибут группы Active Directory «члены» — многозначного атрибута. Для получения дополнительных сведений нажмите кнопку номер следующей статьи базы знаний Майкрософт Основание:
    315071Как просмотреть и настроить политику LDAP в Active Directory с помощью программы Ntdsutil.exe

Проблемы, связанные с определенным пользователем Active Directory

  • Сервер Project Server требуется всем пользователям Active Directory Свойство displayName их заполнения. Пользователи, имеющие пустой отображаемое имя свойства не синхронизированы с сервером Project Server.
  • Ссылки на некоторые пользователи могут существовать в группе члены атрибут. Тем не менее эти пользователи могла быть удалена из Active Каталог. В таких ситуациях появляется сообщение об ошибке «Частичный сбой» сообщение для конкретного процесса синхронизации Active Directory. Кроме того, в журнале событий регистрируется следующее сообщение об ошибке:

    «Доступ к группе AD» & GroupName & "не удалось частично так как член группы-"& sMemberDN &" не удается разрешить LDAP».

    Поскольку пользователь больше не существует в Active Directory Ошибка является достаточно безопасным и может быть пропущено. Обратитесь в службу каталогов Active Directory администратору, чтобы удалить ссылку на несуществующий пользователь из группычлены атрибут.
  • Некоторые специальные символы в свойство displayName для определенных пользователей может привести к ошибкам синхронизации для тех пользователей. В следующие знаки заменяются для конкретного пользователя Active Directory Свойство displayName, до появления свойство displayName в проекте База данных сервера:
    • Разделитель элементов списка
      • Если в качестве разделителя списка запятую, запятая заменяется точкой с запятой.
      • Если что-либо другой знак разделителя списка вместо запятой знак разделителя списка будет заменен запятой.
    • Квадратные скобки
      • Квадратные скобки заменяются на фигурные скобки. То есть "[" и "]", заменяются "{" и "}" соответственно.

Сервис

Для решения этих проблем доступны следующие средства:
  • «Редактирование ADSI»
  • EditSite
Чтобы получить средство EditSite, посетите следующий веб-узла корпорации Майкрософт веб-узел:
http://www.Microsoft.com/downloads/details.aspx?FamilyID = 6dc2c83e-54e1-40a9-9bb8-2dd293226b6f

Проект сервера базы данных проблем, связанных с Active Directory синхронизации

Компонент синхронизации Active Directory на сервере Project Server для выполнения следующих потенциальных 2003 использует Project Data Service (PDS) действия во время процесса синхронизации Active Directory:
  • Обновление ресурса. Это включает в себя inactivating ресурс.
  • Добавление нового ресурса или нового сервера Project Server пользователь.
  • Добавление существующего пользователя Project Server на сервере Project Server Группа безопасности.
  • Удаление существующего пользователя Project Server из проекта Группа безопасности сервера.
В зависимости от обстоятельств, один или несколько из этих действий PDS может произойти сбой. Чтобы изолировать и сбора подробной информации об этих сбои, можно использовать служебную программу Project Server 2003 SetTracing. С помощью Служебная программа SetTracing, можно получить следующие сведения из проекта Сервер:
  • Конкретные команды PDS требующихся активный Компонент синхронизации каталога.
  • Ответы от PDS. Ответы содержат состояние ошибки коды.
Увеличение сбора сведений с помощью программы SetTracing уровень конфиденциальности 4 для записи журнала событий приложения. Запуск активного Синхронизация каталогов обработки и проверьте журнал событий приложений. Сведения, которые отображаются сразу после события ошибок и предупреждений следует указать PDS запросов и ответов. Возможно ответ сведения PDS содержит числовое значение от нуля в <status></status> узла. Используйте PDS ссылка на код ошибки для получения дополнительных сведений о коде состояния. Для просмотра ссылок PDS ошибка кода, посетите веб-узел корпорации Майкрософт:
http://msdn2.Microsoft.com/en-us/library/aa204425 (office.11) .aspx

Известные проблемы

  • PDS ДОБАВИТЬ команды может завершиться ошибкой, если отображаемое имя нового пользователя или ресурса совпадает с существующего сервера Project Server пользователя или ресурса. Активный Сопоставляет свойство displayName каталога Имя пользователя свойство или Имя ресурса Свойства сервера Project Server. Сервер Project Server требуется, к ним значения полей, уникальным в пределах одной базы данных сервера Project Server.
  • PDS ДОБАВИТЬ команды может произойти сбой, если пользователь вручную добавлены к проекту Сервер, но их поля Учетная запись Windows или имя пользователя не совпадают свойства в Active Directory. Необходимо поля Учетная запись Windows или имя пользователя точно соответствовать имени пользователя и ресурса имени свойства в Active Directory. Если они не точно, возможно, код состояния ошибки 2028 или 2029 записываются в журнал событий приложения.

Сервис

Для решения этих проблем доступны следующие средства:
  • Журнал событий приложений
  • PDSTest кабели
  • SetTracing
Чтобы загрузить программу SetTracing, посетите следующие корпорации Майкрософт Веб-узел:
http://www.Microsoft.com/downloads/details.aspx?FamilyID = 49443d62-0 c 72-4fa6-9cdf-6a796bde2882 & displaylang = en

Active Directory синхронизации компонента работы и данных потока непонимания

Компонент синхронизации Active Directory на сервере Project Server 2003 существуют определенное поведение, не может быть интуитивно или не была ранее хорошо задокументированы.

Эти проблемы можно разделить на следующие категории:

Очистка AD GUID

При необходимости для определенного пользователя должен быть снят AD GUID остаются активными, несмотря на то, что они больше не принадлежат активного пользователя Группа каталог, сопоставленный с корпоративным пулом ресурсов сервера проекта. Очистка AD GUID также запрещает другим пользователям сервера Project Server удалены из групп безопасности Project Server, если учетной записи Active Directory был удален из группы Active Directory или сопоставление Подразделения конкретные группы безопасности Project Server.

Ниже приведен пример Сценарий синхронизации корпоративного пула ресурсов, иллюстрирующий использование функция «Очистить GUID пользователя AD».
  1. Пользователем «Иван Петров» является членом группы Active Directory с именем «ERP (AD)».
  2. Администратор выполняет синхронизацию сервера корпоративного проекта Пул ресурсов для группы Active Directory «ERP (AD)».
  3. «Иван Петров» удаляется из «ERP (AD)».
  4. Администратор повторно синхронизирует Project Server Корпоративный пул ресурсов группы Active Directory «ERP (AD)».
  5. Если Иван Петров AD GUID был очищен перед вторым Синхронизация, он не будет inactivated.
Важные После очистки AD GUID AD GUID не автоматически добавлен повторно в базу данных сервера Project Server в следующих случаях.
Процесс синхронизации корпоративного пула ресурсов Active Directory
AD GUID автоматически горячее на сервер Project Server База данных, если выполняются следующие условия:
  • Соответствующий пользователь не удаляется из Active Directory Сопоставление групп в корпоративный пул ресурсов.
  • Последующие синхронизации Active Directory имеет место.
Для проекта процесс синхронизации Active Directory группа безопасности сервера
AD GUID автоматически горячее на сервер Project Server База данных, при выполнении следующих условия:
  • Пользователей сервера Project Server получила новый проект сервера членство в группах безопасности через группу безопасности Project Server активный Процесс синхронизации каталога.
Для корпоративных ресурсов AD GUID хранится в проекте Сервер базы данных в следующих местах:
  • MSP_WEB_RESOURCES.WRES_AD_GUID
  • MSP_RESOURCES.RES_AD_GUID
Для пользователей сервера Project Server, которые не являются корпоративные ресурсы AD GUID хранится в базе данных сервера Project Server в следующей папке:
  • MSP_WEB_RESOURCES.WRES_AD_GUID

Деактивация или активации ресурсов

Деактивировать пользователя во время корпоративного ресурса пула активного Процесс синхронизации каталогов при соблюдении следующих условий:
  1. Пользователь уже существует в корпоративный ресурс Пул.
  2. Нажмите Удалить пользователя из группы Active Directory сопоставление с корпоративным пулом ресурсов.
  3. Последующие корпоративных ресурсов группы Active Directory происходит процесс синхронизации.
Пользователи никогда не повторно во время Active Directory процесс синхронизации. Деактивация не относится к безопасности Project Server Синхронизация группы Active Directory.

Активным или неактивным Статус для конкретного ресурса хранится в базе данных сервера Project Server в следующих элементов:
  • MSP_WEB_RESOURCES.WRES_IS_ENABLED
  • MSP_RESOURCES.RES_RTYPE (0 = активных рабочих ресурсов 1000 = неактивные трудового ресурса)

Перерывы в процессе синхронизации Active Directory

При запуске процесса синхронизации Active Directory MSP_WEB_ADMIN_AD. WADMIN_AD_ERESPOOL_UPDATE имеет значение 1 для предприятия Синхронизация пула ресурсов. MSP_WEB_ADMIN_AD. WADMIN_AD_GRP_UPDATE значение 1 для синхронизации группы безопасности Project Server. При Завершение процесса синхронизации, эти значения устанавливаются обратно на 0 (ноль).

Эти изменения базы данных предназначено для предотвращения Перекрывающиеся процессов синхронизации. Например, если запланированные активный Запуск процесса синхронизации каталогов, не нужно, чтобы администраторы также запустить тот же процесс через Project Web Access, так как целостность данных под угрозой. Если любой из предыдущих значений имеет значение 1, до предотвратить перекрывающихся синхронизаций Обновить сейчас параметр не доступен.

Если по какой-либо причине синхронизации Active Directory процесс неожиданно прерывается до его завершения, значение Значение параметра WADMIN_AD_GRP_UPDATE или WADMIN_AD_ERESPOOL_UPDATE могут остаться на 1. Это предотвращает последующие синхронизации процессов. Например это может произойти Если сбросом IIS или произошел сбой служб IIS во время процесса синхронизации. Чтобы исправить проблемы, задайте значения для полей, до 0, а затем Выполните повторную синхронизацию.

Метаданные пользователя

Следующие поля могут быть обновлены во время корпоративного ресурса Пул процесс синхронизации Active Directory:
  • Имя ресурса
  • Учетная запись пользователя Windows
  • Адрес электронной почты
  • Группа
  • ИДЕНТИФИКАТОР GUID AD
Соответствие между Active Directory-пользователи и Project Server ресурсы впервые опробовал AD GUID, а затем в поле Название ресурса Project Server и на отображаемое имя поля в Active Directory. В случае совпадения внесены и, если пользователя Active Directory и на сервере Project Server свойства ресурса не совпадают, производится попытка обновления через PDS.

В следующей таблице перечислены поля Active Directory, которые сопоставляются поля ресурсов Project Server.
Свернуть эту таблицуРазвернуть эту таблицу
Свойство Active DirectoryСвойство ресурса проекта (корпоративного пула ресурсов)Свойство пользователя сервера проекта
Отображаемое имя (UserObject.displayName или UserObject.fullName)Имя ресурса (MSP_RESOURCES.RES_NAME)Имя пользователя (MSP_WEB_RESOURCES.RES_NAME)
Учетная запись пользователя Windows (domain\sAMAccountName)Windows Учетная запись пользователя (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205521207)Пользователь Windows Учетная запись (MSP_WEB_RESOURCES. WRES_NT_ACCOUNT)
Адрес электронной почты (UserObject. EmailAddress)Электронная почта Адрес (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205520931)Адрес электронной почты (MSP_WEB_RESOURCES. WRES_EMAIL)
Отдел (UserObject.Department)Группа (MSP_TEXT_FIELDS. TEXT_FIELD_ID = 205520899)Н/Д (без схемы льготы)
Идентификатор GUID AD (UserObject.Guid)<no ui="">(MSP_RESOURCES. RES_AD_GUID)</no><no ui="">(MSP_WEB_RESOURCES. WRES_AD_GUID)</no>
Обратите внимание, возникновения обновления метаданных для сервера Project Server пользователи во время синхронизации Active Directory группы безопасности Project Server процесс. Есть одно исключение. Идентификатор GUID AD может быть горячее во время Группа безопасности Project Server процесс синхронизации Active Directory, если выполняются следующие условия:
  • Были AD GUID пользователя Project Server флажок снят.
  • Пользователей сервера Project Server получила новый проект сервера членство в группах безопасности через группу безопасности Project Server активный Процесс синхронизации каталога.

Получение "AD Res пула Sync - не удалось открыть Ent. Res"сообщение об ошибке при выполнении синхронизации Active Directory с корпоративным пулом ресурсов

При выполнении синхронизации Active Directory с Пул корпоративных ресурсов, может появиться следующее сообщение об ошибке:
Не удалось открыть Ent синхронизации пула Res AD. Res.
Это проблема может возникнуть, если корпоративный ресурс был извлечен при Запускает процесс синхронизации корпоративного пула ресурсов Active Directory. Для решить проблему, можно принудительно выполнить возврат в пул корпоративных ресурсов проект.

Важные Если возврат корпоративного ресурса, который был извлечен, пользователь, имеющий извлек корпоративный ресурс не сможет сохранить изменения в базе данных.

Для возврата в пул корпоративных ресурсов проект, выполните следующие действия:
  1. На странице проекта Web доступа администратора нажмите кнопку Управление Корпоративные возможности Из списка Действия.
  2. В группе Корпоративные параметры, нажмите кнопкуВозврат корпоративных проектов.

    Примечание Только пользователи, назначенные «вернуть Мои проекты» глобальный разрешение можно получить доступ к Возврат корпоративных проектовсвязь.
  3. Для возврата страницы корпоративных проектов, нажмите кнопку Корпоративный пул ресурсов проекта, а затем нажмитеВозврат.

Вопросы безопасности синхронизации Active Directory

Компонент синхронизации Active Directory на сервере Project Server 2003 должны выполняться в контексте безопасности любого рода. Сведения о безопасности в этом разделе кратко рассматриваются контекста. К ним относятся учетные записи, разрешения и предупреждения системы безопасности.

Эти проблемы можно разделить на следующие категории:

Учетные записи контекста синхронизации Active Directory и требования к безопасности

В зависимости от того, являются ли используемые учетные записи безопасности Планирование процесса синхронизации Active Directory или инициирование активного Процесс синхронизации каталога, выбрав Обновить сейчаспараметр в Project Web Access. При выборе Обновить сейчаспараметр обозревателя Internet Explorer, IIS размещен процесс, который обрабатывает активный Синхронизация каталога. Учетная запись безопасности, используемая зависит от вашего IIS разрешения безопасности для следующих файлов:
  • /Admin/SyncPool.ASP для корпоративного пула ресурсов Синхронизация
  • /Admin/SyncGrp.ASP для группы безопасности Project Server Синхронизация
Для каждого из этих файлов должны иметь только Встроенная проверка подлинности Windows параметр, выбранный для файла IIS разрешения безопасности. Это гарантирует, что вход в систему Windows учетные данные пользователя используются для процесса синхронизации. Это включает в себя Обращение к глобальному каталогу и выполнение команд ADSI через LDAP.

При планировании операции синхронизации Active Directory, вход в систему учетной записи, указанной для проекта запланированного процесса службы сервера используется для выполнения синхронизации. По умолчанию используется эта учетная запись входа в систему Учетная запись локальной системы.

Эти учетные записи должны иметь возможность создавать экземпляр файла /BIN/PjSvrADC.dll, контакт глобального каталога и чтение все соответствующие объекты Active Directory, относящихся к синхронизации. Это включает в себя подразделений, групп, пользователей и т. д.

Безопасность уровня объекта службы Active Directory

Для синхронизации для определенной группы или Подразделения, счет контекста используется для выполнения Active Directory синхронизации должны иметь возможность прочитать все соответствующих объектов Active Directory. Эти объекты включают группы, подразделения, вложенные группы и всех пользователей. Сведения о контексте учетные записи см. "Контекст синхронизации Active Directory требования к безопасности и учетных записей"раздел.

Для проверки отдельные разрешения на объекты Active Directory, используйте «Редактирование ADSI» доступно в установочного носителя Windows Server 2003.

Сервис

Следующие средства для устранения этих неполадок.
  • «Редактирование ADSI»

Свойства

Код статьи: 887025 - Последний отзыв: 18 сентября 2011 г. - Revision: 5.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Office Project Server 2003
Ключевые слова: 
kbhowto kbmt KB887025 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:887025

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com