AD-Verbindung - kein Sync mit langen Usernamen

german

#1

Hallo,

ich habe aktuell folgendes Problem.

Wir haben unseren UCS Server mit seiner Domäne mit unserer Windows Domäne verbunden.
Und eigentlich funktioniert auch alles tadellos, bis auf den Sync von 4 Usernamen welche alle mehr als 20 Zeichen im Usernamen haben.
IM AD gibt es dafür 4 Konten mit den Namen SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} etc.

Ich vermute nun, dass diese 4 Konten nicht korrekt syncronisiert werden/wurden.

Leider weiss ich nun nicht, was ich machen kann um den Fehler herauszufinden bzw. eine Lösung dafür.
klar könnte ich jetzt auf der AD Seite einfach diese 4 User anlegen, aber ich weiss nicht was dann passiert, ich befinde mich hier bereits auf einem Live System.

hat hier jemand eine Idee für mein Problem?
LG,
Michael Putzinger


#2

Hallo nochmal,

ich habe jetzt am UCS mit folgendem Kommando (univention-connector-list-rejected) diese Fehlerliste bekommen.
Die Zeichen der Usernamen hab ich durch # ersetzt. Die Namen enthalten keine Sonderzeichen oder Umlaute.

        UCS rejected

    1:   UCS DN: uid=####.#####,cn=users,dc=ec,dc=intra
          AD DN: cn=####.#####,cn=users,DC=ec,DC=int
         Filename: /var/lib/univention-connector/ad/1456243005.162294

    2:   UCS DN: uid=#####.#######,cn=users,dc=ec,dc=intra
          AD DN: cn=#####.#######,cn=users,DC=ec,DC=int
         Filename: /var/lib/univention-connector/ad/1456243005.202621

    3:   UCS DN: uid=#######.#######,cn=users,dc=ec,dc=intra
          AD DN: cn=#######.#######,cn=users,DC=ec,DC=int
         Filename: /var/lib/univention-connector/ad/1456243005.267004

    4:   UCS DN: uid=#######.########,cn=users,dc=ec,dc=intra
          AD DN: cn=#######.########,cn=users,DC=ec,DC=int
         Filename: /var/lib/univention-connector/ad/1456243005.290615

    5:   UCS DN: uid=#######.#########,cn=users,dc=ec,dc=intra
          AD DN: cn=#######.#########,cn=users,DC=ec,DC=int
         Filename: /var/lib/univention-connector/ad/1456243005.319650

    6:   UCS DN: uid=######.##########,cn=users,dc=ec,dc=intra
          AD DN: cn=######.##########,cn=users,DC=ec,DC=int
         Filename: /var/lib/univention-connector/ad/1456243005.320819

    7:   UCS DN: uid=#####.###############,cn=users,dc=ec,dc=intra
          AD DN: <not found>
         Filename: /var/lib/univention-connector/ad/1456243005.396199

    8:   UCS DN: uid=########.############,cn=
          AD DN: <not found>
         Filename: /var/lib/univention-connect

    9:   UCS DN: uid=######.################,c
          AD DN: <not found>
         Filename: /var/lib/univention-connect

   10:   UCS DN: uid=#########.#############,c
          AD DN: <not found>
         Filename: /var/lib/univention-connect

AD rejected

    1:    AD DN: CN=Guest,CN=Users,DC=ec,DC=in
         UCS DN: uid=guest,cn=users,dc=ec,dc=i
    2:    AD DN: CN=dns-srv01,CN=Users,DC=ec,D
         UCS DN: uid=dns-srv01,cn=users,dc=ec,
    3:    AD DN: CN=join-slave,CN=Users,DC=ec,
         UCS DN: uid=join-slave,cn=users,dc=ec
    4:    AD DN: CN=join-backup,CN=Users,DC=ec
         UCS DN: uid=join-backup,cn=users,dc=e

die nummern 7/8/9/10 sind genau die 4 User die im AD nicht angelegt wurden. die restlichen hier aufgeführten User existieren im AD und funktionieren dort auch.

im File /var/log/univention/connector.log steht im 10 min Takt immer dieser 2-Zeiler:

02.03.2016 09:28:05,408 MAIN        (------ ): DEBUG_INIT
02.03.2016 09:28:05,428 LDAP        (ERROR  ): Failed to lookup AD LDAP base, using UCR value.

die Datei /var/log/univention/connector-status.log ist komplett Leer.
am windows 2012 Server steht im ucs-ad-connector.log eigentlich meiner Meinung nach auch nichts ungewöhnliches.

hier ein kurzer Auszug:

4E  0  0  0  0  0  0  0 46  0  0  0 31 31 30 34 3A 32 31 37 46 36 42 42 35 42 43 46 46 41 46 37 39 46 37 46 43 46 42 39 36 39 41 45 31 38 44 39 33 4E 4F 20 50 41 53 53 57 4F 52 44 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A  A 
send 82
Waiting for a client to connect...
accept client connection...
Client Connected.
UserDN  = [Administrator]
Command = [G]
User    = [1114]
user_logon okay
Starting command: PwDump.exe -x localhost> C:\Windows\UCS-AD-Connector\copypwd.txt
Exit     command: PwDump.exe -x localhost> C:\Windows\UCS-AD-Connector\copypwd.txt
create packet 
4E  0  0  0  0  0  0  0 46  0  0  0 31 31 31 34 3A 39 43 37 41 45 36 36 44 32 43 44 38 45 39 30 32 43 30 30 36 38 46 45 38 44 33 45 41 36 42 38 37 4E 4F 20 50 41 53 53 57 4F 52 44 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A  A 
send 82
Waiting for a client to connect...
accept client connection...
Client Connected.
UserDN  = [Administrator]
Command = [G]
User    = [1180]
user_logon okay
Starting command: PwDump.exe -x localhost> C:\Windows\UCS-AD-Connector\copypwd.txt

eine AD Abfrage “univention-adsearch cn=Administrator” funktioniert auch problemlos und liefert ein Ergebnis.

Leider habe ich nun keine Ahnung was ich als nächstes machen könnte :frowning:

mfg,
Michael Putzinger


#3

Hallo Michael,

[quote=“michael.putzinger”]Hallo,
hat hier jemand eine Idee für mein Problem?
[/quote]
Es gibt da leider MS-seitig ein Limit beim SAM-Account-Name mit 20 characters.
Versuche mal, diesen bei den 4 Usern unter 20 chars zu reduzieren, indem du sie umbenennst.

Hatte schon mal ähnliche Probleme, aber nicht beim AD-Connector, sondern einfach beim User-Logon am Win-Client. Wenn der Username (SAM-Account-Name) zu lange war, kam ein entspr. Fehler am Client.

Siehe auch:

https://social.technet.microsoft.com/Forums/windowsserver/en-US/63d2795c-8c28-4a22-9820-18190bfcdcf9/not-able-to-create-username-having-more-than-20-characters-in-active-directory?forum=winserverDS

https://technet.microsoft.com/en-us/library/active-directory-maximum-limits-scalability(v=ws.10).aspx#BKMK_NameLimits

lg
Robert