Office365 Connector

npanic 2016-11-21 13:10:11 UTC #1

Hallo zusammen,

Wir haben in unserer Testinstallation eine Domäne mit einer Windowsvm am laufem und den Office365 wizard auf dem Univention durchgespielt
Das war soweit schonmal erfolgreich

Das Anlegen eines Testusers im Univention nach dem Office365 template hat auch funktioniert

Leider wurde der user weder in office365 angelegt noch die mailadresse dazu

Wie kann man den Connector debugen? Gibt es hierzu eine Dokumentation?

npanic 2016-11-21 13:24:14 UTC #2

Habe gerade noch versucht was in den logs zu finden, leider sind die logs leer

damrose 2016-11-21 15:05:19 UTC #3

Hallo,

die Logausgaben zum Sync der Benutzer vom UCS in die Azure Cloud sind im Listener log zu finden - /var/log/univention/listener.log.

Wenn dort noch nicht direkt etwas offensichtlich ist, kann man das Loglevel für das Office365 Modul erhöhen, und den Listener neustarten:

ucr set office365/debug/werror=yes
service univention-directory-listener restart

Anschließend einen neuen Benutzer anlegen und ins Log schauen. Die Ausgaben können Sie hier posten oder an feedback@univention.de schicken, da dort domänenspezifische Informationen enthalten sind.

Nicht vergessen, den Wert per UCR am Ende wieder auf 'no' zu setzen und den Listener erneut neuzustarten.

troeder 2016-11-21 15:15:11 UTC #4

Die Logeinträge finden sich in den Dateien:

/var/log/univention/listener.log
/var/log/univention/management-console-module-office365.log

Um das Logniveau zu erhöhen, führen Sie aus:

ucr set office365/debug/werror=true listener/debug/level=4
/etc/init.d/univention-directory-listener restart

Dies führt zu extrem vielen Einträgen in /var/log/univention/listener.log weshalb Sie es nach dem debuggen unbedingt wieder auf das Normalniveau zurück stellen sollten:

ucr set listener/debug/level=2
/etc/init.d/univention-directory-listener restart

Alle Einträge in /var/log/univention/listener.log die sich auf Office 365 beziehen, sind mit "o365" markiert.
Sie können also danach greppen:

grep o365 /var/log/univention/listener.log

Bzw. während des Arbeitens das log gefiltert mitlaufen lassen:

tail -f /var/log/univention/listener.log | grep o365

Beste Grüße
Daniel Tröder

npanic 2016-11-22 09:43:03 UTC #5

Email mit den logs ging raus

thorp-hansen 2016-11-22 13:30:34 UTC #6

Hi,

an der E-Mail ist leider kein Anhang. Können Sie das inkl. der Logdateien noch einmal senden?

Mit freundlichem Gruß,
Jens Thorp-Hansen

npanic 2016-11-22 13:34:00 UTC #7

ups, geht gleich nochmal raus

damrose 2016-11-23 13:26:56 UTC #8

Hallo,

die Logausgaben sind nicht ganz eindeutig, es gibt verschiedene Fehler die auftauchen:

21.11.16 13:57:40.685  LISTENER    ( ERROR   ) : o365: Could not find user with dn='EINEDN'.
21.11.16 13:57:41.017  LISTENER    ( PROCESS ) : o365: Modified user 'ttest'.
...
21.11.16 14:28:30.870  LISTENER    ( ERROR   ) : o365: Property userPrincipalName is invalid.
...
22.11.16 10:28:39.210  LISTENER    ( ERROR   ) : o365(D): azure_handler.call_api:196  status: 400 (FAIL)

Ich vermute, dort wurde da zwischen den verschiedenen Versuchen mit neuen Benutzern die Konfiguration auf dem UCS oder in Azure verändert. Den letzten Fehler mit dem fehlgeschlagenen API Aufruf (status 400) haben wir so noch nie gesehen.

Stellen Sie sicher, dass die Maildomänenkonfiguration in Azure korrekt ist, der Fehler bezüglich des userPrincipalNames weist auf Probleme an der Stelle hin. Ich hänge einen Screenshot an, wie die Azure Domänennamenkonfiguration eingestellt sein sollte.

Ich schlage vor Sie setzen die Debuglevel noch einmal wie oben vorgeschlagen, und durchlaufen dann den Einrichtungswizard noch einmal. Dabei wird die bestehende Konfiguration auf dem UCS komplett neu erstellt. Stellen Sie vorher sicher, dass alle bisher erstellten Testbenutzer auf UCS UND im Azure AD gelöscht sind. Erstellen Sie nach dem erneuten Durchlauf des Wizards einen neuen Testbenutzer und prüfen Sie das Ergebnis erneut. Im Fehlerfall senden Sie uns gern erneut die Logdateien zu.

npanic 2016-11-23 13:32:27 UTC #9

Muss der name der univention domäne dem namen der azure domäne entsprechen?

werde das ganze dann nochmal durchspielen

damrose 2016-11-23 13:51:23 UTC #10

Hallo,

unsere erste erstelle Domäne heißt univentiontestgmbh.onmicrosoft.com. Die univention.de Maildomäne haben wir erst später hinzugefügt und dann verifiziert.

npanic 2016-11-23 14:25:05 UTC #11

Meine frage war vlt etwas unglücklich ausgedrückt

kann ich die univention Domäne (testorg.local) mit der azure domäne externmaildomain.de verknüpfen oder müssen diese den selben namen haben?

damrose 2016-11-23 15:32:59 UTC #12

Hallo,

vermutlich habe ich nur nicht genau genug gelesen

Die UCS Domäne und die in Azure konfigurierte Maildomäne müssen nicht denselben Namen haben. Meine UCS Domäne ist ucs.local, die AD Domäne im Beispiel univentiontestgmbh.onmicrosoft.com, und meine Benutzer sollen sich mit @univention.de per Single Sign-On anmelden.

npanic 2016-12-12 12:26:49 UTC #13

Wir haben das ganze nochmal versucht, erfolglos mit selben errors

Das azure webportal hat beim anlegen jedes mal an einen anderen Stelle errors geworfen.
Irgendwann hatten wir es dann geschafft die Domäne anzulegen.
Leider ging der Sync wieder nicht

Das webportal Zumutung zu nennen ist fast schon untertrieben^^

Haben uns nun einen Kopano Mailserver aufgebaut, das hat problemloser funktioniert und ist auch schon im Einsatz