AD-Verbindung - kein Sync mit langen Usernamen

michael.putzinger · March 1, 2016, 11:54am

Hallo,

ich habe aktuell folgendes Problem.

Wir haben unseren UCS Server mit seiner Domäne mit unserer Windows Domäne verbunden.
Und eigentlich funktioniert auch alles tadellos, bis auf den Sync von 4 Usernamen welche alle mehr als 20 Zeichen im Usernamen haben.
IM AD gibt es dafür 4 Konten mit den Namen SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9} etc.

Ich vermute nun, dass diese 4 Konten nicht korrekt syncronisiert werden/wurden.

Leider weiss ich nun nicht, was ich machen kann um den Fehler herauszufinden bzw. eine Lösung dafür.
klar könnte ich jetzt auf der AD Seite einfach diese 4 User anlegen, aber ich weiss nicht was dann passiert, ich befinde mich hier bereits auf einem Live System.

hat hier jemand eine Idee für mein Problem?
LG,
Michael Putzinger

michael.putzinger · March 2, 2016, 9:34am

Hallo nochmal,

ich habe jetzt am UCS mit folgendem Kommando (univention-connector-list-rejected) diese Fehlerliste bekommen.
Die Zeichen der Usernamen hab ich durch # ersetzt. Die Namen enthalten keine Sonderzeichen oder Umlaute.

        UCS rejected

    1:   UCS DN: uid=####.#####,cn=users,dc=ec,dc=intra
          AD DN: cn=####.#####,cn=users,DC=ec,DC=int
         Filename: /var/lib/univention-connector/ad/1456243005.162294

    2:   UCS DN: uid=#####.#######,cn=users,dc=ec,dc=intra
          AD DN: cn=#####.#######,cn=users,DC=ec,DC=int
         Filename: /var/lib/univention-connector/ad/1456243005.202621

    3:   UCS DN: uid=#######.#######,cn=users,dc=ec,dc=intra
          AD DN: cn=#######.#######,cn=users,DC=ec,DC=int
         Filename: /var/lib/univention-connector/ad/1456243005.267004

    4:   UCS DN: uid=#######.########,cn=users,dc=ec,dc=intra
          AD DN: cn=#######.########,cn=users,DC=ec,DC=int
         Filename: /var/lib/univention-connector/ad/1456243005.290615

    5:   UCS DN: uid=#######.#########,cn=users,dc=ec,dc=intra
          AD DN: cn=#######.#########,cn=users,DC=ec,DC=int
         Filename: /var/lib/univention-connector/ad/1456243005.319650

    6:   UCS DN: uid=######.##########,cn=users,dc=ec,dc=intra
          AD DN: cn=######.##########,cn=users,DC=ec,DC=int
         Filename: /var/lib/univention-connector/ad/1456243005.320819

    7:   UCS DN: uid=#####.###############,cn=users,dc=ec,dc=intra
          AD DN: <not found>
         Filename: /var/lib/univention-connector/ad/1456243005.396199

    8:   UCS DN: uid=########.############,cn=
          AD DN: <not found>
         Filename: /var/lib/univention-connect

    9:   UCS DN: uid=######.################,c
          AD DN: <not found>
         Filename: /var/lib/univention-connect

   10:   UCS DN: uid=#########.#############,c
          AD DN: <not found>
         Filename: /var/lib/univention-connect

AD rejected

    1:    AD DN: CN=Guest,CN=Users,DC=ec,DC=in
         UCS DN: uid=guest,cn=users,dc=ec,dc=i
    2:    AD DN: CN=dns-srv01,CN=Users,DC=ec,D
         UCS DN: uid=dns-srv01,cn=users,dc=ec,
    3:    AD DN: CN=join-slave,CN=Users,DC=ec,
         UCS DN: uid=join-slave,cn=users,dc=ec
    4:    AD DN: CN=join-backup,CN=Users,DC=ec
         UCS DN: uid=join-backup,cn=users,dc=e

die nummern 7/8/9/10 sind genau die 4 User die im AD nicht angelegt wurden. die restlichen hier aufgeführten User existieren im AD und funktionieren dort auch.

im File /var/log/univention/connector.log steht im 10 min Takt immer dieser 2-Zeiler:

02.03.2016 09:28:05,408 MAIN        (------ ): DEBUG_INIT
02.03.2016 09:28:05,428 LDAP        (ERROR  ): Failed to lookup AD LDAP base, using UCR value.

die Datei /var/log/univention/connector-status.log ist komplett Leer.
am windows 2012 Server steht im ucs-ad-connector.log eigentlich meiner Meinung nach auch nichts ungewöhnliches.

hier ein kurzer Auszug:

4E  0  0  0  0  0  0  0 46  0  0  0 31 31 30 34 3A 32 31 37 46 36 42 42 35 42 43 46 46 41 46 37 39 46 37 46 43 46 42 39 36 39 41 45 31 38 44 39 33 4E 4F 20 50 41 53 53 57 4F 52 44 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A  A 
send 82
Waiting for a client to connect...
accept client connection...
Client Connected.
UserDN  = [Administrator]
Command = [G]
User    = [1114]
user_logon okay
Starting command: PwDump.exe -x localhost> C:\Windows\UCS-AD-Connector\copypwd.txt
Exit     command: PwDump.exe -x localhost> C:\Windows\UCS-AD-Connector\copypwd.txt
create packet 
4E  0  0  0  0  0  0  0 46  0  0  0 31 31 31 34 3A 39 43 37 41 45 36 36 44 32 43 44 38 45 39 30 32 43 30 30 36 38 46 45 38 44 33 45 41 36 42 38 37 4E 4F 20 50 41 53 53 57 4F 52 44 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A  A 
send 82
Waiting for a client to connect...
accept client connection...
Client Connected.
UserDN  = [Administrator]
Command = [G]
User    = [1180]
user_logon okay
Starting command: PwDump.exe -x localhost> C:\Windows\UCS-AD-Connector\copypwd.txt

eine AD Abfrage “univention-adsearch cn=Administrator” funktioniert auch problemlos und liefert ein Ergebnis.

Leider habe ich nun keine Ahnung was ich als nächstes machen könnte

mfg,
Michael Putzinger

pro4567 · March 3, 2016, 12:50pm

Hallo Michael,

[quote=“michael.putzinger”]Hallo,
hat hier jemand eine Idee für mein Problem?
[/quote]
Es gibt da leider MS-seitig ein Limit beim SAM-Account-Name mit 20 characters.
Versuche mal, diesen bei den 4 Usern unter 20 chars zu reduzieren, indem du sie umbenennst.

Hatte schon mal ähnliche Probleme, aber nicht beim AD-Connector, sondern einfach beim User-Logon am Win-Client. Wenn der Username (SAM-Account-Name) zu lange war, kam ein entspr. Fehler am Client.

Siehe auch:

https://social.technet.microsoft.com/Forums/windowsserver/en-US/63d2795c-8c28-4a22-9820-18190bfcdcf9/not-able-to-create-username-having-more-than-20-characters-in-active-directory?forum=winserverDS

https://technet.microsoft.com/en-us/library/active-directory-maximum-limits-scalability(v=ws.10).aspx#BKMK_NameLimits

lg
Robert