如何疑難排解 Project Server 2003 中的 Active Directory 同步處理問題

文章翻譯 文章翻譯
文章編號: 887025 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

本文將告訴您,如何疑難排解 Active Directory 目錄服務同步處理的問題在 Microsoft Office Project Server 2003。

其他相關資訊

使用中目錄同步處理的問題可分為以下類別:

使用中目錄通訊] 及 [環境問題] 和 [Active Directory 物件問題無關的 Project Server 資料庫

在 Project Server 2003 中的 [Active Directory] 同步處理元件會執行下列事項依此順序:
  1. 連絡人中特定的 Active Directory 的通用類別目錄樹系。
  2. 執行一個輕量型目錄存取通訊協定 (LDAP) 查詢藉由使用 ActiveX 資料物件 (ADO) 來搜尋指定的 Active Directory 群組或組織單位 (OU)。
  3. 使用 Active Directory 服務介面 (ADSI) 取得群組或組織單位逐一查看群組的成員] 或 [組織單位成員的參考。這包括巢狀的群組和組織單位。
這些問題分成下列類別:

連絡通用類別目錄的問題

  • 當您同步處理 Active Directory 群組跨樹系,請執行下列事項:
    • 使用完整完全合格網域名稱 (FQDN) 來指定群組。比方說使用下列的 FQDN 來指定群組:
      groupname@childdomain.rootdomain.com
    • 請確定目標網域,遠端樹系中的包含一份該樹系的通用類別目錄。
  • 如果您的網域包含 Microsoft Windows NT 4.0 備份網域控制站 (BDC) 和 Microsoft Windows Server 2003 網域控制站,您可能正在執行 Windows Server 2003 Active Directory 樹系中期模式中。中期模式下執行 Windows Server 2003 Active Directory 樹系可以防止 Project Server 存取通用類別目錄。
  • 當您使用完整的 FQDN 或網域 \ 使用者名稱格式來指定一個群組,請確定該目標網域包含一份為樹系通用類別目錄。
  • 請確定開啟正在執行 Project Server 2003 的電腦與裝載通用類別目錄的複本中的網域控制站之間的連接埠 3268。連接埠 3268 用於通用類別目錄通訊。如果通用類別目錄通訊藉由使用安全通訊端層 (SSL) 加密,請確定已開啟連接埠 3269。
  • 請確定網路和安全性拓樸啟用 Project Server 和裝載通用類別目錄的網域控制站之間的通訊。比方說如果裝載 Project Server 的電腦是工作群組的成員,通用類別目錄通訊將會失敗。

問題與特定的 Active Directory 群組

  • 如果您嘗試同步處理該群組有沒有任何成員,您就會收到 無法 同步處理的狀態。這是已知的錯誤。若要解決這個問題,請確定您嘗試同步處理該群組有至少一個成員。
  • 如果正在同步處理不正確的群組,您可能必須一個以上符合 Project Server 所用的 LDAP 查詢的群組。 如果要解決這個問題,您可以嘗試使用群組的完整的 FQDN。 或您可以變更群組名稱,以確定群組名稱是唯一,跨 Active Directory 樹系。
  • 群組選取 [立即更新] 選項中同步處理群組時, 不在 Project Server 2003 Active Directory 中 FetchGroup 函數所傳回同步元件。此外,錯誤訊息被記錄在應用程式記錄檔中。錯誤訊息包含文字 「 FetchGroup:"後面再加上數字的值。雖然這個問題的根源已不還決定,我們相信這個問題出在 Microsoft Windows SharePoint 服務和網際網路資訊服務 (IIS) 設定或是損毀。您可以通常因應措施這個問題建立新的網站,然後使用 [EditSite 工具建立新網站下新的 ProjectServer"虛擬目錄。
  • 如果只有一些群組的成員會被傳回,可能會遭遇與多重值屬性擷取相關的 LDAP 原則限制。在這種情況下 Active Directory 群組屬性 「 成員 」 是多重值屬性。 如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    315071如何檢視和使用 Ntdsutil.exe Active Directory 中設定 LDAP 原則

特定的 Active Directory 使用者的問題

  • 專案伺服器會要求所有的 Active Directory 使用者有填入其顯示名稱屬性。具有空的顯示名稱屬性的使用者不會與 Project Server 同步。
  • 某些使用者的參考可能存在於群組的 成員 屬性。不過,這些使用者可能已被刪除從 Active Directory。在這些情況下您可能會收到 「 部分失敗 」 錯誤訊息為特定的 Active Directory 同步處理程序。此外,事件日誌會記錄下列錯誤訊息:

    「 存取 AD 群組 」 (& I) 群組名稱 (& S)"部分失敗,因為群組成員-"& sMemberDN & 「 無法解析的 LDAP"

    因為使用者不再存在於 Active Directory,錯誤是相當無害,且可以被忽略。請連絡您的 Active Directory 管理員,請移除參考不存在使用者從群組的 成員 屬性。
  • 針對特定使用者的 [顯示名稱] 屬性中的某些特殊字元可能會造成這些使用者的同步處理失敗。下列的字元取代為特定使用者 Active Directory 之前顯示名稱屬性出現在 Project Server 資料庫中的顯示名稱屬性:
    • 清單分隔字元
      • 如果清單分隔字元是逗點,由分號取代逗號。
      • 如果清單分隔字元是逗點以外的其他,清單分隔字元會取代以逗號分隔。
    • 方括號
      • 方括號所取代的大括號。是,"["和"]"藉由"{」 和 「} 」 分別取代。

工具

下列工具可疑難排解這些問題:
  • ADSI 編輯
  • EditSite
若要取得 EditSite 工具,請造訪下列 Microsoft 網站]:
http://www.microsoft.com/downloads/details.aspx?FamilyID=6dc2c83e-54e1-40a9-9bb8-2dd293226b6f

關聯至 Active Directory 同步處理的專案伺服器資料庫議題

Active Directory 同步元件 Project Server 2003 中的使用專案資料服務 (PDS),Active Directory 同步處理過程中,執行下列的潛在動作:
  • 正在更新資源。這包括 inactivating 資源。
  • 加入新的資源或新的 Project Server 使用者。
  • 將現有的 Project Server 使用者新增到 Project Server 安全性群組。
  • 從專案移除現有的 Project Server 使用者安全性的伺服器群組。
根據該狀況可能會失敗一或多個這些 PDS 動作。若要隔離並擷取這些失敗的更特定資訊,您可以使用 Project Server 2003 SetTracing 公用程式。利用 SetTracing 公用程式,您可以從 Project Server 取得下列資訊:
  • 確切 PDS 命令要求的 Active Directory 同步元件。
  • 從 [PDS 回覆。回覆包括錯誤狀態碼。
使用 SetTracing 公用程式,增加到 4 的應用程式事件記錄檔擷取資訊擷取敏感度層級。執行一個 Active Directory 同步處理程序,然後再檢查應用程式事件記錄檔。 出現之前的錯誤事件以及警告事件的資訊應該包含 PDS 要求,回應資訊。PDS 回覆資訊可能有包含數字的非零值,在 < 狀態 / > 節點。使用 [PDS 錯誤程式碼參考,以取得有關特定的狀態碼的詳細資訊。 若要欲 PDS 錯誤程式碼參考請造訪下列 Microsoft 網站]:
http://msdn2.microsoft.com/en-us/library/aa204425(office.11).aspx

已知的問題

  • 如果新的使用者或資源的顯示名稱符合現有的 Project Server 使用者或資源,可能會失敗 PDS 加入 命令。Active Directory 顯示名稱屬性會對應到 使用者名稱 屬性或 Project Server 中的 [資源名稱] 屬性。專案伺服器需要這些欄位值是唯一在單一的 Project Server 資料庫。
  • 如果您以手動方式新增使用者至 Project Server,但其 Windows 帳號] 或 [使用者名稱] 欄位與 Active Directory 中的這些屬性不相符,可能會失敗 PDS 加入 命令。[Windows 帳號] 或 [使用者名稱欄位必須完全符合在 Active Directory 中的 [使用者名稱] 和 [資源名稱] 屬性。 如果它們並不完全相符 2028年或 2029年的一個錯誤狀態程式碼可能會記錄在應用程式事件記錄檔中。

工具

下列工具可疑難排解這些問題:
  • 應用程式事件記錄檔
  • PDSTest 控管
  • SetTracing
若要取得 SetTracing 公用程式,請造訪下列 Microsoft 網站]:
http://www.microsoft.com/downloads/details.aspx?FamilyID=49443d62-0c72-4fa6-9cdf-6a796bde2882&displaylang=en

使用中目錄同步處理元件工作和資料流量誤解

Active Directory 同步元件在 Project Server 2003 表現可能不直覺或已不先前記載的特定行為。

這些問題可分為以下類別:

清除 AD GUID

AD GUID 應清除特定使用者的當您想一直保持作用中狀態,即使它們不再屬於 Active Directory 群組對應至專案伺服器企業資源資料庫的使用者。 清除 AD GUID 也防止其他 Project Server 使用者如果已經移除其 Active Directory 帳戶,從一個 Active Directory 群組或特定的 Project Server 安全性群組的組織單位對應,從 Project Server 安全性群組被移除。

下列是範例企業資源資料庫同步處理案例,說明如何使用 「 清除使用者 AD GUID 」 功能的:
  1. 使用者"John Doe 」 是名為 ERP (AD) 的 Active Directory 群組的成員。
  2. 系統管理員會同步處理 Project Server 企業資源資料庫至 Active Directory 群組 ERP (AD)。
  3. 」 John Doe"會移除從"ERP (AD) 」。
  4. 系統管理員身分再次同步處理 Project Server 至 Active Directory 群組 ERP (AD) 的企業資源資料庫。
  5. 停用如果 John Doe AD GUID 已被清除第二個同步處理前,他就不能狀態。
重要之後清除 [AD GUID AD GUID 是自動 re-inserted 到 Project Server 資料庫,在下列案例中。
企業資源集區 Active Directory 同步處理程序
AD GUID 是自動 re-inserted 到 Project Server 資料庫如果下列情況成立:
  • 相關的使用者就不會從 Active Directory 移除群組對應至企業資源資料庫。
  • 後續的 Active Directory 同步處理發生。
伺服器安全性群組 Active Directory 同步處理的專案
AD GUID 是自動 re-inserted 到 Project Server 資料庫如果下列條件為真:
  • Project Server 使用者有得到新的 Project Server 透過在 Project Server 安全性群組 Active Directory 同步處理程序的安全群組成員資格。
企業資源 AD GUID 會儲存在 [專案伺服器資料庫,在下列位置:
  • MSP_WEB_RESOURCES.WRES_AD_GUID
  • MSP_RESOURCES.RES_AD_GUID
Project Server 不是使用者也企業資源,AD GUID 會儲存在 Project Server 資料庫,在下列位置:
  • MSP_WEB_RESOURCES.WRES_AD_GUID

inactivation 或啟動的資源

如果下列情況成立使用者為企業資源集區 Active Directory 同步處理程序期間停用狀態:
  1. 使用者已經存在於企業資源資料庫。
  2. 使用者會從移除 Active Directory 群組對應至企業資源資料庫。
  3. 一個後續企業資源集區 Active Directory 同步處理程序,就會發生。
使用者永遠不會重新啟動期間 Active Directory 同步處理程序。inactivation 並不會套用到 Project Server 安全性群組 Active Directory 同步處理。

特定資源的使用中或非使用中狀態儲存在 Project Server 資料庫,在下列位置:
  • MSP_WEB_RESOURCES.WRES_IS_ENABLED
  • MSP_RESOURCES.RES_RTYPE (0 = 作用中工作資源 1000年 = 非作用中的工作資源)

Active Directory 同步處理程序的中斷

Active Directory 同步處理程序啟動時,[MSP_WEB_ADMIN_AD。WADMIN_AD_ERESPOOL_UPDATE 值設為 1 的企業資源資料庫同步處理。MSP_WEB_ADMIN_AD。WADMIN_AD_GRP_UPDATE 值設為 1 的 Project Server 安全性群組同步處理。這些值時完成同步處理程序會重新設定為 0 (零)。

這些資料庫修改的目的是防止重疊的同步處理程序。比方說如果排定的 Active Directory 同步處理啟動時,您不想也啟動相同的程序透過 Project Web Access,因為資料完整性可能被入侵的系統管理員。當其中一個先前的值設定為 1 時,以防止重疊的同步處理 [立即更新] 選項無法使用。

如果因任何原因而 Active Directory 同步處理程序被意外地中斷之前已經完成,WADMIN_AD_ERESPOOL_UPDATE 的值或針對 WADMIN_AD_GRP_UPDATE 值可能會保持在 1。 這可避免後續的同步處理程序。比方說這可以發生原因已重設 IIS 或是 IIS 墜毀同步處理程序期間。若要修正此問題、 將這些欄位的值設回 0,然後 re-synchronize。

使用者的中繼資料

下列欄位可以更新期間企業資源集區 Active Directory 同步處理程序:
  • 資源名稱
  • Windows 使用者帳戶
  • 電子郵件地址
  • 群組
  • 廣告 guid
比對 Active Directory 使用者和 Project Server 之間資源第一次嘗試在 AD GUID 上,然後在 Project Server 中的 [資源名稱] 欄位和 [Active Directory 中的 [顯示名稱] 欄位。如果進行比對,而且 Active Directory 使用者屬性和 Project Server 資源的屬性不相同,透過 [PDS 嘗試更新。

下表列出對應到 Project Server 資源欄位的 [Active Directory] 欄位。
摺疊此表格展開此表格
使用中的目錄屬性專案資源屬性 (企業資源資料庫)專案伺服器使用者屬性
顯示名稱 (UserObject.displayName 或 UserObject.fullName)資源名稱 (MSP_RESOURCES.RES_NAME)使用者名稱 (MSP_WEB_RESOURCES.RES_NAME)
Windows 使用者帳戶 (domain\sAMAccountName)Windows 使用者帳戶 (MSP_TEXT_FIELDS。TEXT_FIELD_ID = 205521207)Windows 使用者帳戶 (MSP_WEB_RESOURCES。WRES_NT_ACCOUNT)
電子郵件地址 (UserObject。EmailAddress)電子郵件地址 (MSP_TEXT_FIELDS。TEXT_FIELD_ID = 205520931)電子郵件地址 (MSP_WEB_RESOURCES。WRES_EMAIL)
部門 (UserObject.Department)群組 (MSP_TEXT_FIELDS。TEXT_FIELD_ID = 205520899)N/A (沒有結構描述允許)
AD GUID (UserObject.Guid)<沒有 UI > (MSP_RESOURCES。RES_AD_GUID)<沒有 UI > (MSP_WEB_RESOURCES。 WRES_AD_GUID)
中繼資料的更新不會發生對 Project Server 的附註在 Project Server 安全性期間的使用者群組 Active Directory 同步處理程序。沒有一個例外狀況。如果下列情況成立 AD GUID 可以 re-inserted Project Server 安全性群組 Active Directory 同步處理期間:
  • Project Server 使用者的 AD GUID 先前已被清除。
  • Project Server 使用者有得到新的 Project Server 透過在 Project Server 安全性群組 Active Directory 同步處理程序的安全群組成員資格。

您會收到一個 AD Res 集區同步-若要開啟 [Ent 失敗。當執行對企業資源資料庫的 Active Directory 同步處理 res 」 錯誤訊息

您在執行對企業資源資料庫的 Active Directory 同步處理時您可能會收到下列錯誤訊息:
AD Res 資料庫同步處理-無法開啟 [Ent。res。
如果企業資源已經取出企業資源集區 Active Directory 同步處理程序執行時,可能就會發生這個問題。如果要解決這個問題,您可以強制簽入的企業資源資料庫專案。

重要如果您核取中取出的企業資源已經取出的企業資源之使用者將無法將變更儲存至資料庫。

若要簽入企業資源資料庫專案,請依照下列步驟執行:
  1. 在 Project Web Access 管理] 頁面按一下 [動作] 下的 [管理企業功能]。
  2. 在 [企業選項] 下,按一下 [企業專案中檢查]。

    附註只有指派"簽回專案 」 的通用權限的使用者可以存取的 檢查將企業專案中 的連結。
  3. 在企業專案頁中的 [檢查上按一下 [企業資源資料庫] 專案,然後按一下 [存回]。

使用中目錄同步處理的安全性問題

在 Project Server 2003 中的 [Active Directory] 同步處理元件必須在某種安全性內容中執行。本節簡要說明此安全性內容的詳細資料。這包括帳戶、 使用權限,以及安全性警告。

這些問題分成下列類別:

作用中的目錄同步處理內容帳號和安全性需求

使用取決於是否您正在排程 Active Directory 同步處理程序的安全性帳戶,或起始 Active Directory 同步處理程序,藉由選取 立即更新 選項],在 Project Web Access 中不同。當您選取 立即更新 選項在 Internet Explorer IIS 中的裝載處理 Active Directory 同步處理程序。用安全性帳戶取決於下列檔案的您 IIS 檔案安全性權限:
  • 企業資源集區的同步處理的 /Admin/SyncPool.asp
  • Project Server 安全性群組同步處理的 /Admin/SyncGrp.asp
針對每個這些檔案應該擁有只有 IIS 檔案安全性權限已選取 整合式 Windows 驗證 選項。如此可確保,在目前登入 Windows 使用者的認證用於同步處理。這包括連絡通用類別目錄及執行透過 LDAP ADSI 指令。

當您排定 Active Directory 同步的排程時,登入帳戶指定給 Project Server 排定處理服務來執行同步處理。根據預設,此登入帳戶是本機系統帳戶。

這些帳戶必須能夠建立 /BIN/PjSvrADC.dll 檔案的執行個體、 連絡通用類別目錄,並閱讀所有相關的 Active Directory 物件,與同步處理相關的。 這包括 OU、 群組、 使用者,以及等等。

使用中目錄物件層級安全性

要同步至特定的群組或 OU,用來執行 Active Directory 在內容帳戶同步處理必須能夠讀取所有相關的 Active Directory 物件。這些物件包含群組、 OU、 巢狀的群組和成員的所有使用者。如內容帳戶資訊請參閱 < Active Directory synchronization context accounts and security requirements > 一節。

若要檢查個別的 Active Directory 物件權限,使用 [ADSI 編輯器] 工具在 Windows Server 2003 的安裝媒體中可用的。

工具

下列工具可供疑難排解這些問題:
  • ADSI 編輯

屬性

文章編號: 887025 - 上次校閱: 2007年3月1日 - 版次: 6.5
這篇文章中的資訊適用於:
  • Microsoft Office Project Server 2003
關鍵字:?
kbmt kbhowto KB887025 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:887025
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com