Anbindung an bestehende AD Domäne - User fehlen

Hallo,

ich habe ein UCS System in eine bestehende AD Struktur mit einem SBS 2003 eingebunden. Das Ziel soll sein, zu einem späteren Zeitpunkt den SBS mittels Takeover in Rente zu schicken und diesen mit UCS und Kopano abzulösen.
Die Einbindung hat soweit gut funktioniert und das UCS System ist in der Domain. Es fehlen jedoch über die hälfte der eingerichteten Benutzer. Von ca 40 Usern werden mir im UCS nur 18 angezeigt.
Hat da jemand eine Idee?

Huhu,

Das klingt doch vertraut. Dieses Thema beschreibt die gleichen Symptome. Dort hat sich herausgestellt, dass im AD gewisse Attribute (uSNCreated, uSNChanged) an den Benutzer-Objekten schlicht fehlen. Da der AD-Connector aber genau anhand dieser Attribute auf Veränderungen filtert, fallen diese Benutzerobjekte schlicht immer heraus.

Die Attribute sollten normalerweise in einem AD immer da sein, so wie ich die Microsoft-Seiten verstanden hab, die ich dazu gelesen hab.

Posten Sie bitte mal die Ausgabe von folgendem Befehl:

univention-adsearch 'objectclass=user' dn,usncreated,usnchanged,samaccountname

Außerdem bräuchte ich bitte die Loginnamen von zwei, drei Usern, die im UCS nicht zu finden sind.

LG,
mosu

Hallo

Ich habe den verlinkten Thread mal durchgesehen und ja, das hört sich genauso an. Leider haben die dort vorgeschlagenen Lösungen nichts gebracht.
Hier die Ausgabe von univention-adsearch
Ich habe die Ausgabe etwas angepasst und personenbezogene Daten raus genommen.

User die fehlen sind z. B. “Rezeption 01”, “Rezeption 02” und “Azubi”.

root@ij-ucs-master:~# univention-adsearch 'objectclass=user' dn,usncreated,usnchanged,samaccountname
#
# univention-adsearch
# filter: objectclass=user
#

DN: CN=KOMMUNIKATION,OU=Domain Controllers,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 2915830
uSNCreated: 11539
sAMAccountName: KOMMUNIKATION$

DN: CN=Administrator,CN=Users,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 2924854
uSNCreated: 11535
sAMAccountName: Administrator

DN: CN=DC2,CN=Computers,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 33102
uSNCreated: 11534
sAMAccountName: DC2$

DN: CN=Backup User,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 12438
uSNCreated: 12438
sAMAccountName: SBS Backup User

DN: CN=krbtgt,CN=Users,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 11508
uSNCreated: 11508
sAMAccountName: krbtgt

DN: CN=Gast,CN=Users,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 65654
uSNCreated: 11518
sAMAccountName: Gast

DN: CN=Administrator Template,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 12437
uSNCreated: 12437
sAMAccountName: Administrator Tmpl

DN: CN=IUSR_KOMMUNIKATION,CN=Users,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 12433
uSNCreated: 12433
sAMAccountName: IUSR_KOMMUNIKATION

DN: CN=IUSR_DC2,CN=Users,DC=xxxxx,DC=xxxxx,DC=de
sAMAccountName: IUSR_DC2

DN: CN=Mobile User Template,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
sAMAccountName: Mobile User Tmpl

DN: CN=User Template,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
sAMAccountName: User Tmpl

DN: CN=Power User Template,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 12436
uSNCreated: 12436
sAMAccountName: Power User Tmpl

DN: CN=STS Worker,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
sAMAccountName: SBS STS Worker

DN: CN=SUPPORT_388945a0,CN=Users,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 12435
uSNCreated: 12435
sAMAccountName: SUPPORT_388945a0

DN: CN=SystemMailbox{F6BC0B8C-E79F-43A3-BC5A-74EBB88D8818},CN=Microsoft Exchange System Objects,DC=xxxxx,DC=xxxxx,DC=de
sAMAccountName: F6BC0B8C-E79F-43A3-B

DN: CN=IWAM_KOMMUNIKATION,CN=Users,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 12434
uSNCreated: 12434
sAMAccountName: IWAM_KOMMUNIKATION

DN: CN=Rezeption,OU=Mitarbeiter,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 2918810
uSNCreated: 12458
sAMAccountName: rezeption

DN: CN=XP-SERVER,CN=Computers,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 2931137
uSNCreated: 12520
sAMAccountName: XP-SERVER$

DN: CN=PC-WIN2000,CN=Computers,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 2915083
uSNCreated: 12523
sAMAccountName: PC-WIN2000$

DN: CN=IWAM_DC2,CN=Users,DC=xxxxx,DC=xxxxx,DC=de
sAMAccountName: IWAM_DC2

DN: CN=IWAM_KOM2009,CN=Users,DC=xxxxx,DC=xxxxx,DC=de
sAMAccountName: IWAM_KOM2009

DN: CN=IUSR_KOM2009,CN=Users,DC=xxxxx,DC=xxxxx,DC=de
sAMAccountName: IUSR_KOM2009

DN: CN=PC-BUCH7,CN=Computers,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 1689150
uSNCreated: 61480
sAMAccountName: PC-BUCH7$

DN: CN=eglobal,OU=Mitarbeiter,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 2924571
uSNCreated: 93226
sAMAccountName: eglobal

DN: CN=PCxxxxx,CN=Computers,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 2919481
uSNCreated: 101593
sAMAccountName: PCxxxxx$

DN: CN=ij-nas,CN=Computers,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 2426379
uSNCreated: 501005
sAMAccountName: ij-nas$

DN: CN=REZEPTION,CN=Computers,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 1595085
uSNCreated: 520356
sAMAccountName: REZEPTION$

DN: CN=IJ-SRV2012,CN=Computers,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 2913593
uSNCreated: 524888
sAMAccountName: IJ-SRV2012$

DN: CN=Rezeption 01,OU=Mitarbeiter,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
sAMAccountName: rezeption01

DN: CN=info imap,OU=Mitarbeiter,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
sAMAccountName: info-imap

DN: CN=Azubi,OU=Mitarbeiter,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
sAMAccountName: Azubi

DN: CN=IJ-WERKSTATT-XP,CN=Computers,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 1561906
uSNCreated: 1324984
sAMAccountName: IJ-WERKSTATT-XP$

DN: CN=Rezeption 02,OU=Mitarbeiter,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
sAMAccountName: rezeption02

DN: CN=Installation,OU=Mitarbeiter,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 1578342
uSNCreated: 1487640
sAMAccountName: installation

DN: CN=IJ-WERK-JD,CN=Computers,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 2920614
uSNCreated: 1565675
sAMAccountName: IJ-WERK-JD$

DN: CN=backup,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 1581104
uSNCreated: 1581067
sAMAccountName: backup

DN: CN=IJ-DATEV8,CN=Computers,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 2916211
uSNCreated: 1688975
sAMAccountName: IJ-DATEV8$

DN: CN=gastrokasse,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
sAMAccountName: gastrokasse

DN: CN=IJ-SRV-TS01,CN=Computers,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 2931717
uSNCreated: 2061670
sAMAccountName: IJ-SRV-TS01$

DN: CN=Test Testus,OU=Mitarbeiter,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
sAMAccountName: test

DN: CN=gug,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 2910985
uSNCreated: 2285792
sAMAccountName: gug

DN: CN=werkstatt,OU=Mitarbeiter,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
sAMAccountName: werkstatt

DN: CN=IJ-OFFICE-TJ10,CN=Computers,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 2916091
uSNCreated: 2629385
sAMAccountName: IJ-OFFICE-TJ10$

DN: CN=IJ-WS-ROESSEL10,CN=Computers,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 2915660
uSNCreated: 2630317
sAMAccountName: IJ-WS-ROESSEL10$

DN: CN=kormoran,OU=Mitarbeiter,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de
sAMAccountName: kormoran

DN: CN=scanner\0ADEL:3416c5b7-26b6-4fed-a237-d2d0dcf9bba7,CN=Deleted Objects,DC=xxxxx,DC=xxxxx,DC=de
sAMAccountName: scanner

**DN: CN=scanner,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=xxxxx,DC=xxxxx,DC=de**
**sAMAccountName: scanner**


DN: CN=ij-ucs-master,CN=Computers,DC=xxxxx,DC=xxxxx,DC=de
uSNChanged: 2928689
uSNCreated: 2928682
sAMAccountName: ij-ucs-master$

#
# results: 82
#

root@ij-ucs-master:~#

Moin,

Und bei allen dreien fehlen die besagten Attribute. Leider habe ich hier keine Lösung für dich. Die Attribute müssen Windows-AD-seitig schlicht vorhanden sein, weil ansonsten Synchronisation nicht möglich ist. Selbst wenn die Benutzer initial übernommen würden, wäre es schlicht nicht möglich, von außen zu erkennen, ob sich ein Benutzer seitdem geändert hat. Genau dafür ist das Attribut von Microsoft vorgesehen.

Univentions AD-Connector ist auch nicht die einzige Software mit so einem Problem, wenn usnChanged nicht existiert…

Gruß,
mosu

Kurz zur Info:
Ich habe jetzt alle User drin. Ich kann mir nicht wirklich erklären warum.
Ich habe die synchro der Passwörter eingerichtet und plötzlich waren alle da. Bin nach dieser Anleitung vorgegangen:

https://help.univention.com/t/speed-up-ldap-binds-on-ad-member-mode-systems/41

Jemand eine Erklärung? Ist das sicher?

Hochgradig interessant. Ich habe leider keine Erklärung hierfür.

Die Synchronisation der Passworthashes selber ist sicher, und die Speicherung auch (stehen ja auch nicht anders als normale UCS-User im LDAP).

Rein aus Interesse: kannst du bitte noch mal schauen, ob die Accounts, bei denen die Attribute vorher gefehlt haben, die Attribute nun doch wieder besitzen? Also sowas wie…

univention-adsearch CN=Azubi dn,usncreated,usnchanged,samaccountname

Hab gerade mal geschaut.
Ja, alle Objekte haben jetzt die Attribute.

Wirklich faszinierend :slight_smile:

Jip.
Ist mir gerade aber auch egal. Ich bin einfach froh dass jetzt alle da sind. :slight_smile:

Lang ist es her, dennoch habe ich ein sehr ähnliches Problem und bin auf dieses Thema gestoßen.

Auch bei mir werden nicht alle Benutzer abgeglichen.

univention-adsearch 'objectclass=user' dn,usncreated,usnchanged,samaccountname

Zeigte mir ebenfalls Benutzer ohne usncreated und usnchanged an.

Nach diesem Schritt

The following commands demonstrate the steps in an example:

ucr set connector/ad/ldap/binddn=Administrator
ucr set connector/ad/ldap/bindpw=/etc/univention/connector/password
touch /etc/univention/connector/password
chmod 600 /etc/univention/connector/password
echo -n "Administrator password" > /etc/univention/connector/password

To actually switch to password synchronization mode, the UCR variable connector/ad/mapping/user/password/kinit must be unset and all objects need to be re-synchronized from Active Directory to read their passwords:

/etc/init.d/univention-ad-connector stop
ucr unset connector/ad/mapping/user/password/kinit

find /etc/univention/connector/ \
  -name "internal.cfg" -o -name "internal.sqlite" \
  -exec mv "{}" "{}.bak_$(date +%s)" \;

/etc/init.d/univention-ad-connector start

Haben alle Benutzer eine usncreated und usnchanged. Sieht also soweit gut aus. Dennoch sind sie noch nicht im UCS zu sehen.

Hat vielleicht jemand eine Idee?

leider haben wir das selbe Problem. Users werden von AD gelistet aber sind sie nicht in UCS angelegt. Hat Jemand inzwischen die Lösung gefunden?

Mastodon