Fehlende Benutzer

UCS - Univention Corporate Server
, , , ,
#1

Hi

Hab UCS 4.2 installiert und bei der installation ein Domain Join gemacht.
Problem hierbei war das UCS nicht alle Benutzer gefunden hat.
Habe dann neu installiert und nach der Installation erst den Domain Join gemacht und hatte wieder den gleichen Fehler

Kann da einer helfen?

Anbindung an bestehende AD Domäne - User fehlen
#2

Das ist eine Installation die in den Windows AD Server gejoint wurde? Kannst Du genauer sagen was “nicht alle Benutzer” heisst? Schick mal bitte die letzten Zeilen aus dem:

var/log/univention/connector.log
var/log/univention/connector-status.log

und die Ausgabe des Befehls:

# univention-connector-list-rejected

#3

var/log/univention/connector.log

03.08.2017 13:04:01,642 LDAP (PROCESS): Scan all changes from UCS …
03.08.2017 13:04:54,943 LDAP (PROCESS): sync to ucs: Resync rejected dn: CN=Domänen-Benutzer,CN=Users,DC=Pandora,DC=local
03.08.2017 13:04:54,989 LDAP (PROCESS): sync to ucs: [ group] [ modify] cn=domänen-benutzer,cn=groups,dc=pandora,dc=local
03.08.2017 13:04:55,758 LDAP (PROCESS): sync to ucs: Resync rejected dn: CN=Domänen-Gäste,CN=Users,DC=Pandora,DC=local
03.08.2017 13:04:55,807 LDAP (PROCESS): sync to ucs: [ group] [ modify] cn=domänen-gäste,cn=groups,dc=pandora,dc=local
03.08.2017 13:04:56,446 LDAP (PROCESS): sync to ucs: Resync rejected dn: CN=Domänen-Admins,CN=Users,DC=Pandora,DC=local
03.08.2017 13:04:56,483 LDAP (PROCESS): sync to ucs: [ group] [ modify] cn=domänen-admins,cn=groups,dc=pandora,dc=local

var/log/univention/connector-status.log
Thu Aug 3 14:20:01 2017

try to sync 0 changes from UCS
done:
Changes from UCS: 0 (0 saved rejected)

try to sync 3 changes from AD
done: (1) (2) (3)
Changes from AD: 0 (0 saved rejected)

  • sleep 5 seconds (3/10 until resync) -

univention-connector-list-rejected

    UCS rejected

AD rejected

There may be no rejected DNs if the connector is in progress, to be
sure stop the connector before running this script.

last synced USN: 6716747

#4

Das ist eine Installation die in den Windows AD Server gejoint wurde? Kannst Du genauer sagen was “nicht alle Benutzer” heisst? Funktioniert der folgende Befehl:

# univention-adsearch cn=administrator

Bin gerade ein klitzekleinwenig verwirrt und würde das AD Connector Log gern mal mit erhöhtem Loglevel sehen:

# ucr set connector/debug/level='4' 
# service univention-connector restart

Dann nach 1-2 Minute oder so wieder das Loglevel zurücksetzen (damit die Platte nicht volläuft):

# ucr set connector/debug/level='1' 
# service univention-connector restart

und das var/log/univention/connector.log anhängen. Und wenn möglich meine 2 Fragen oben beantworten und nicht wieder ignorieren. :wink:

Edith: Ich bin mir grad nicht hundertprozentig sicher ob der Dienst “univention-connector” heisst - falls das nicht funktioniert mal bitte selbst mit TAB Completion schauen welcher der richtige Connector-Dienst ist.

Edith2: Schau auch mal ob auf dem Windows Server die Firewall ggf. was wegblockt oder mach die temporär eben aus.

#5

Ja wurde einem AD Server gejoint und nicht alle Benutzer bedeutet das nur 8 von 15 Usern gefunden wurden

univention-adsearch cn=administrator --> Funktioniert

AD Connector Log erhöhter Loglevel

Der Dienst heisst univention-ad-connector
Firewall ist deaktiviert

#6

Ah, bitte um Entschuldigung. Der AD-Connector wird erst wieder aktiv wenn eine Änderung an einem oder mehreren Objekten erfolgt. Da 7 Benutzer nicht synchronisiert werden, wäre es gut wenn wir im connector.log mal verfolgen könnten, was passiert wenn einer der 7 Benutzer versucht wird zu synchronisieren.

# ucr set connector/debug/level='4' 
# service univention-ad-connector restart

Jetzt eine Änderung an einem der 7 Benutzer vornehmen (Mailadresse hinzufügen/ändern und Beschreibung ändern) und prüfen was im connector.log auftaucht. Danach das Loglevel wieder zurückschrauben.

#7

da passiert nichts

#8

Huh… interessent. Unterscheiden sich die Benutzer die synchronisiert werden von den anderen (Gruppenzugehörigkeit, OUs, etc.)? Ich könnte mir jetzt noch vorstellen, dass die Benutzer auf einer ignorelist stehen, aber ad Hoc nicht warum das so sein sollte. Ein neuer Benutzer wird auch nicht synchronisiert?

#9

Die UCS nimmt sich willkürlich Benutzer aus verschiedenen OUs und Gruppen haben die auch die gleichen.
Hab auch schon neuen Benutzer angelegt und eine Kopie eines Users gemacht welcher gefunden wurde.

Bin im Eventvwr auf folgendes gestoßen

Internal event: The LDAP server has reached the limit of the number of Result Sets it will maintain for a single connection. A stored Result Set will be discarded. This will result in a client being unable to continue a paged LDAP search.

Maximum number of Result Sets allowed per LDAP connection:
15
Current number of Result Sets for this LDAP connection:
16

User Action
The client should consider a more efficient search filter. The limit for Maximum Result Sets per Connection may also be increased.

Immer wenn ich den ersten Wert erhöhe erhöht sich auch der andere Wert um 1 höher, wenn ich die Werte auf default setze gehts auch nicht

#10

da Pablo im Urlaub ist möchte ich mich diesem Thema annehmen.
Hat noch jemand Ideen?
Mir läuft demnächst der Kerio Connect aus und möchte gerne auf UCS+Kopano migrieren!

#11

ich vermute es ist eine gängelung vom Foundation Server 2008 R2. Der ist ja auf 15 User limitiert

#12

Also Update. Das Foundation 2008 R2 lies sich am Ende nur auf Standard updaten.
Auch ohne diese Limitierung fehlen immer noch einige Benutzer

#13

Moin,

ich glaube, ich würde hier folgendes probieren:

  1. Den AD-Connector (also im AppCenter die dazugehörige App »Active Directory Connection« oder so ähnlich) deinstallieren
  2. Verifizieren, dass kein Prozess läuft, der irgendwie »connector« im Namen hat (Ausnahme: »s4connector«)
  3. Das Loglevel auf relativ hoch belassen, also das oben erwähnte ucr set connector/debug/level='4', auch wenn in dem Moment der AD-Connector gar nicht installiert ist
  4. Alle UCR-Variablen entfernen, die zum AD-Connector gehören (siehe Ergebnis der Suche ucr search --brief connector/ad/ wenn ich mich nicht ganz irre)
  5. Alle Benutzer im UCS löschen, die von Windows aus herüber kamen
  6. In /var/lib, /var/spool und /var/cache nach Verzeichnissen suchen, die zum AD-Connector gehören, und diese entfernen oder zumindest aus dem Weg schieben (das müssten /var/lib/univention-connector/ad und /var/cache/univention-ad-connector sein)
  7. Die App wieder installieren
  8. Die App wieder nach Anleitung konfigurieren
  9. Im connector.log schauen, was alles ausgegeben wird und hier posten

Ich hab leider gerade kein aktuelles System mit laufendem AD-Connector da, daher sind einige Angaben oben etwas vage und aus dem Gedächtnis aufgeschrieben.

Gruß,
mosu

#14

Danke schon mal hier für das Interesse. Ich habe das System aber schon dreimal neu installiert. Was könnte denn diese Vorgehensweise ändern?

#15

Ich habe keine Idee. Normalerweise sind AD-Connector-Probleme anderer Natur, z.B. »gar nichts wird gefunden« oder »die Synchronisation hat ab Zeitpunkt X nicht mehr funktioniert«. Aber »nur eine Teilmenge von Nutzern wird gefunden, und die nicht funktionierendn haben alle nichts gemein«? Noch nie gehabt.

Und ein ganzes Log auf hohem Loglevel wie von mir oben beschrieben haben Sie auch nicht? So komplett vom Start der Synchro an? Vielleicht gäbe das Aufschluss.

#16

tail: /var/log/univention/connector-status.log: Datei abgeschnitten

try to sync 0 changes from UCS
done:
Changes from UCS: 0 (0 saved rejected)

try to sync 3 changes from AD
done: (1) (2) (3)
Changes from AD: 0 (0 saved rejected)

  • sleep 5 seconds (8/10 until resync) -
    ^C

09.08.2017 12:50:05,905 LDAP (INFO ): Search AD with filter: (uSNCreated>=6733958)
09.08.2017 12:50:05,908 LDAP (INFO ): Search AD with filter: (uSNChanged>=6733958)
09.08.2017 12:50:10,917 LDAP (INFO ): Search AD with filter: (uSNCreated>=6733958)
09.08.2017 12:50:10,920 LDAP (INFO ): Search AD with filter: (uSNChanged>=6733958)
09.08.2017 12:50:15,926 LDAP (INFO ): Search AD with filter: (uSNCreated>=6733958)
09.08.2017 12:50:15,928 LDAP (INFO ): Search AD with filter: (uSNChanged>=6733958)
09.08.2017 12:50:20,934 LDAP (INFO ): Search AD with filter: (uSNCreated>=6733958)
09.08.2017 12:50:20,937 LDAP (INFO ): Search AD with filter: (uSNChanged>=6733958)
09.08.2017 12:50:25,948 LDAP (INFO ): Search AD with filter: (uSNCreated>=6733958)
09.08.2017 12:50:25,951 LDAP (INFO ): Search AD with filter: (uSNChanged>=6733958)
09.08.2017 12:50:30,960 LDAP (INFO ): Search AD with filter: (uSNCreated>=6733958)
09.08.2017 12:50:30,963 LDAP (INFO ): Search AD with filter: (uSNChanged>=6733958)
09.08.2017 12:50:35,979 LDAP (INFO ): Search AD with filter: (uSNCreated>=6733958)
09.08.2017 12:50:35,982 LDAP (INFO ): Search AD with filter: (uSNChanged>=6733958)

root@ucs:~# univention-connector-list-rejected

UCS rejected

AD rejected

There may be no rejected DNs if the connector is in progress, to be
sure stop the connector before running this script.

last synced USN: 6733957

windows event log

event 2898

Internal event: The LDAP server has reached the limit of the number of Result Sets it will maintain for a single connection. A stored Result Set will be discarded. This will result in a client being unable to continue a paged LDAP search.

Maximum number of Result Sets allowed per LDAP connection:
15
Current number of Result Sets for this LDAP connection:
16

User Action
The client should consider a more efficient search filter. The limit for Maximum Result Sets per Connection may also be increased.

#17

Anmerkung es ist eine AD Erweiterung für Kerio Connect installiert!

#18

Findet ein univention-adsearch dn denn alle Benutzer?

#19

Traceback (most recent call last):
File “/usr/sbin/univention-adsearch”, line 202, in
filter += (j[0] + “=” + j[1])
IndexError: list index out of range

hatte auch das modul gerade neu installiert

#20

ich befürchte es hängt an der ad erweiterung vom kerio

Mastodon