Problem mit Active Directory-Sync: ausgelassene User-Konten

Hallo zusammen

Ich habe gerade mittels Active Directory-Verbindung (v. 8.0) einen Abgleich der AD eines Windows 2003 Small Business Servers (integr. Exchange) mit UCS (v. 4.0-3) durchgeführt . Der Sync hat soweit geklappt, die Verzeichnis-Struktur wurde übernommen, die Gruppen scheinen alle abgeglichen. In den Logs finden sich ein paar Rejects (Spaces im User-Namen, ‘admin’ ist nicht erlaubt usw.), soweit kein Problem. Einige der User-Konten scheinen für den AD-Connector aber wie unsichtbar zu sein. Sie befinden sich im LDAP-Verzeichnisbaum am selben Ort wie die erfolgreich übertragenen Benutzer-Konten und sind m.E. auch sonst nicht von diesen zu unterscheiden. In den Logs (connector.log, connector-status.log) finden sich keine Hinweise auf einen misslungenen Übertragungsversuch. Hat jemand eine Idee, woran das liegen könnte?

Besten Dank
Michael

Verstehe ich es richtig, dass Sie eine bidirektionale Synchronisation eingerichtet haben und dass einige der User im UCS nicht im AD auftauchen?

Können Sie mal die Ausgabe vom “univention-ldapsearch uid=…” für zwei User posten, einmal für einen, bei dem es funktioniert, und für einen, bei dem es nicht klappt?

Weiterhin mal die Connector-Logdateien mit einem richtigen “grep username …” durchsuchen, nicht einfach nur optisch durchscrollen.

Ich hatte in der Vergangenheit mal das Problem, dass User mit bestimmten primären Gruppen nicht synchronisiert wurden, wobei ich mich an die Details nicht mehr erinnere. Auch meine ich, dass in dem Fall Fehlermeldungen im Connector-Log zu sehen waren.

Hallo Herr Bunkus

Es ist genau umgekehrt, User aus der AD tauchen nicht im UCS auf. Die primäre Gruppe der erfolgreich übertragenen User stimmt mit derjenigen der nicht gesyncten überein. Grep findet in den Log-Dateien keine Spur der vermissten AD-User. Bricht der Connector nach einer bestimmten Anzahl Rejects die Übertragung ab (sind aber nur 5, bis jetzt)?

Beste Grüsse
Michael Stuber

PS: Auch eine Reinitialisierung des Connectors brachte nichts.

Welchen Account haben Sie denn beim AD-Connector eingerichtet? In der Vergangenheit gab’s immer wieder Probleme damit, wenn andere Accounts als der echte Domänen-Administrator benutzt wurden. Ein anderer User mit Admin-Rechten hat nicht gereicht.

… ich habe den echten Domänen-Administrator benutzt. Da ich das Problem nicht lösen konnte, habe ich die Domäne frisch aufgesetzt. Es geht nicht um viele User und Maschinen, ist vielleicht ohnehin die sauberere Lösung. Vielen Dank nochmals, Michael Stuber

Mastodon