UCS im Membermode synct nicht mehr mit der Windows AD Domain

german

#1

Hallo,

mein UCS System im Membermodus sync das AD nicht mehr vom Windows Server.

Server
ldi-master.ldi.local
UCS-Version
4.0-3 errata313 (Walle)
UMC-Version
7.1.63-22.864.201507151416
Gültigkeitsdatum des SSL-Wurzel-Zertifikats
3. März 2020
Gültigkeitsdatum des SSL-Rechner-Zertifikats
3. März 2020

Im connector-status.log steht folgendes:

[code]Tue Sep 15 15:51:11 2015

Initialize sync from UCS

Sync 0 rejected changes from UCS
restored 0 rejected changes


try to sync 1345 changes from UCS
done:tail: /var/log/univention/connector-status.log: Datei abgeschnitten
Tue Sep 15 15:51:12 2015
— connect failed, failure was: —

Traceback (most recent call last):
File “/usr/share/pyshared/univention/connector/ad/main.py”, line 290, in main
connect()
File “/usr/share/pyshared/univention/connector/ad/main.py”, line 199, in connect
ad.initialize_ucs()
File “/usr/lib/pymodules/python2.7/univention/connector/init.py”, line 820, in initialize_ucs
self.poll_ucs()
File “/usr/lib/pymodules/python2.7/univention/connector/init.py”, line 909, in poll_ucs
self._generate_dn_list_from(files)
File “/usr/lib/pymodules/python2.7/univention/connector/init.py”, line 883, in _generate_dn_list_from
dn,new,old,old_dn=cPickle.load(f)
EOFError

— retry in 30 seconds —
[/code]

und in der connector.log

15.09.2015 15:57:52,430 LDAP (PROCESS): Internal group membership cache was created 15.09.2015 15:57:52,530 LDAP (PROCESS): Scan all changes from UCS ... 15.09.2015 15:58:22,568 MAIN (------ ): DEBUG_INIT 15.09.2015 15:58:22,604 LDAP (ERROR ): Failed to lookup AD LDAP base, using UCR value. 15.09.2015 15:58:23,549 LDAP (PROCESS): Building internal group membership cache 15.09.2015 15:58:23,614 LDAP (PROCESS): Internal group membership cache was created 15.09.2015 15:58:23,782 LDAP (PROCESS): Scan all changes from UCS ... 15.09.2015 15:58:53,816 MAIN (------ ): DEBUG_INIT 15.09.2015 15:58:53,837 LDAP (ERROR ): Failed to lookup AD LDAP base, using UCR value. 15.09.2015 15:58:54,320 LDAP (PROCESS): Building internal group membership cache 15.09.2015 15:58:54,414 LDAP (PROCESS): Internal group membership cache was created 15.09.2015 15:58:54,504 LDAP (PROCESS): Scan all changes from UCS ...

Gruß
mschmitz


AD Benutzer werden nicht Synchronisiert / Übertragen
#2

Hallo,

kann ich das hier bedenkenlos machen ?

http://sdb.univention.de/content/6/314/en/reinitialize-active-directory-connector.html
Stehe etwas auf dem Schlauch

Gruß

mschmitz


#3

Hallo,
Um das Problem und die Zusammenhänge besser abschätzen zu können, benötige ich hier mehr Informationen.

Wenn Sie sagen das es vorher funktioniert hat - Ist das Problem am Wochenende passiert?
Was sagen die Logs auf der AD Seite?
Was ergeben die Tests mit univention-adsearch (wie in der Doku (s.u))?

Nach vollständigen DB Backups, könnte man das Connector reinitialisieren ( bitte nicht “bedenkenlos” :wink: ), zuerst empfehle ich jedoch mehr und eindeutigeres Debugging. Bitte versuchen Sie mehr Zusammenhang und Log Dateien hinzufügen, so können wir besser weiter helfen.

Danke und Gruß,
Daniel Orrego

docs.software-univention.de/manu … or:general
sdb.univention.de/content/6/328/ … guide.html


#4

Hallo,

wann das Problem aufgetaucht ist kann ich nicht nachvollziehen.
Das System befindet sich immer noch in der Installations-/Umstellungsphase.

Ich hatte mich in der letzten Zeit um Zarafa gekümmert (läuft auf einem Slave) nun sind neue Kollegen angefangen und diese sind nicht im UCS.

univention-ad-search liefert zumindest Ergebnisse:

[code]root@ldi-master:~# univention-adsearch cn=Administrator

univention-adsearch

filter: cn=Administrator

DN: CN=Administrator,CN=Users,DC=ldi,DC=local
mailNickname: Administrator
primaryGroupID: 513
managedObjects: CN=f-jherrling,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=ldi,DC=local
managedObjects: CN=BodensteinGruppe,OU=Distribution Groups,OU=MyBusiness,DC=ldi,DC=local
managedObjects: CN=Joachim.Lorenz (Berlin),OU=SBSUsers,OU=Users,OU=MyBusiness,DC=ldi,DC=local
managedObjects: CN=michelle.gerlitz,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=ldi,DC=local
managedObjects: CN=Inga.Heyde,OU=Distribution Groups,OU=MyBusiness,DC=ldi,DC=local
managedObjects: CN=Berichte des Ressourcen-Managers f�r Dateiserver,OU=Distribution Groups,OU=MyBusiness,DC=ldi,DC=local
managedObjects: CN=Postmaster und Missbrauchmelder,OU=Distribution Groups,OU=MyBusiness,DC=ldi,DC=local
logonCount: 50683
cn: Administrator
countryCode: 0
dSCorePropagationData: 20130124123806.0Z
dSCorePropagationData: 20130104122123.0Z
dSCorePropagationData: 20130104122010.0Z
dSCorePropagationData: 20130104113512.0Z
dSCorePropagationData: 16010101000000.0Z
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
userPrincipalName: Administrator@ldi.local
adminCount: 1
lastLogonTimestamp: 130868411728492071
isCriticalSystemObject: TRUE
msExchRecipientDisplayType: 1073741824
homeMDB: CN=Mailbox Database 2013010412,CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=LDI,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=ldi,DC=local
instanceType: 4
sAMAccountName: Administrator
distinguishedName: CN=Administrator,CN=Users,DC=ldi,DC=local
sAMAccountType: 805306368
failed: extensionData
msExchUserAccountControl: 0
failed: msExchMailboxSecurityDescriptor
msExchPoliciesIncluded: {087A5878-C2BB-4E01-9C66-3CA792B70A88},{26491CFC-9E50-4857-861B-0CB8DF22B5D7}
failed: userCertificate
msExchUserCulture: de-DE
msExchALObjectVersion: 510
msExchHomeServerName: /o=LDI/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=SBS2011
objectSid: S-1-5-21-3533583904-52264928-2491256727-500
whenCreated: 20071212165138.0Z
uSNCreated: 12020
scriptPath: SBS_LOGIN_SCRIPT.bat
msExchRecipientTypeDetails: 1
legacyExchangeDN: /o=LDI/ou=first administrative group/cn=Recipients/cn=Administrator
mail: Administrator@lohndirekt.de
lockoutTime: 0
badPasswordTime: 130868810041846587
pwdLastSet: 129736035565014656
description: Vordefiniertes Konto f�r die Verwaltung des Computers bzw. der Dom�ne
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=ldi,DC=local
homeMTA: CN=Microsoft MTA,CN=SBS2011,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=LDI,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=ldi,DC=local
showInAddressBook: CN=Globale Standardadressliste,CN=All Global Address Lists,CN=Address Lists Container,CN=LDI,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=ldi,DC=local
showInAddressBook: CN=Alle Benutzer,CN=All Address Lists,CN=Address Lists Container,CN=LDI,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=ldi,DC=local
objectGUID: [’$\xfd\xe7Z\xf8<\x8aH\xb6\x05\x9cN&\x86\xbc\x9d’]
textEncodedORAddress: X400:C=DE;A= ;P=LDI;O=Exchange;S=Administrator;
whenChanged: 20150916013932.0Z
badPwdCount: 0
servicePrincipalName: MSSQLSvc/sbs01.ldi.local:1433
proxyAddresses: smtp:Administrator@dataterminal.de
proxyAddresses: MRS:Administrator@MRS
proxyAddresses: smtp:Administrator@ldi.local
proxyAddresses: SMTP:Administrator@lohndirekt.de
proxyAddresses: smtp:postmaster@lohndirekt.de
proxyAddresses: X400:c=DE;a= ;p=LDI;o=Exchange;s=Administrator;
proxyAddresses: smtp:postmaster@ldi.local
accountExpires: 9223372036854775807
extensionName: 5717D53E-DD6D-4d1e-8A1F-C7BE620F65AA:L
msExchRBACPolicyLink: CN=Default Role Assignment Policy,CN=Policies,CN=RBAC,CN=LDI,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=ldi,DC=local
extensionAttribute1: t=1
displayName: Administrator
name: Administrator
userParameters: m: d
memberOf: CN=Group Policy Creator Owners,CN=groups,DC=ldi,DC=local
memberOf: CN=Enterprise Admins,CN=groups,DC=ldi,DC=local
memberOf: CN=Schema Admins,CN=groups,DC=ldi,DC=local
memberOf: CN=Standort-Flensburg,OU=Security Groups,OU=MyBusiness,DC=ldi,DC=local
memberOf: CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=ldi,DC=local
memberOf: CN=Internet Users,OU=Security Groups,OU=MyBusiness,DC=ldi,DC=local
memberOf: CN=Mobile Users,OU=Security Groups,OU=MyBusiness,DC=ldi,DC=local
memberOf: CN=WSS_ADMIN_WPG,CN=Users,DC=ldi,DC=local
memberOf: CN=Debuggerbenutzer,CN=Users,DC=ldi,DC=local
memberOf: CN=SQLServer2005MSSQLUser$SBS01$BKUPEXEC,CN=Users,DC=ldi,DC=local
memberOf: CN=SQLServer2005MSSQLUser$SBS01$MSSQLSERVER,CN=Users,DC=ldi,DC=local
memberOf: CN=SQLServer2005SQLAgentUser$SBS01$MSSQLSERVER,CN=Users,DC=ldi,DC=local
memberOf: CN=SQLServer2005SQLBrowserUser$SBS01,CN=Users,DC=ldi,DC=local
memberOf: CN=Administratoren,CN=Builtin,DC=ldi,DC=local
memberOf: CN=Organisations-Admins,CN=Users,DC=ldi,DC=local
memberOf: CN=Schema-Admins,CN=Users,DC=ldi,DC=local
memberOf: CN=Dom�nen-Admins,CN=Users,DC=ldi,DC=local
memberOf: CN=edv,OU=Security Groups,OU=MyBusiness,DC=ldi,DC=local
memberOf: CN=Systemmonitorbenutzer,CN=Builtin,DC=ldi,DC=local
memberOf: CN=Richtlinien-Ersteller-Besitzer,CN=Users,DC=ldi,DC=local
codePage: 0
userAccountControl: 66048
msExchTextMessagingState: 302120705
msExchTextMessagingState: 16842751
msExchWhenMailboxCreated: 20130105082451.0Z
lastLogon: 130869468737264000
protocolSettings: RemotePowerShell�1
uSNChanged: 5034907
msExchVersion: 44220983382016
mDBUseDefaults: TRUE
failed: msExchMailboxGuid

results: 1

[/code]

das logfile auf dem AD sagt dazu folgendes:

Starting command: PwDump.exe -x localhost> C:\Windows\UCS-AD-Connector\copypwd.txt Exit command: PwDump.exe -x localhost> C:\Windows\UCS-AD-Connector\copypwd.txt create packet 4E 0 0 0 0 0 0 0 46 0 0 0 32 37 30 30 3A 45 32 46 39 46 39 36 44 41 44 39 41 37 30 38 37 37 36 34 41 38 35 46 41 42 30 39 43 33 39 32 41 36 32 38 45 44 44 43 38 39 37 45 42 38 44 38 43 43 39 31 41 39 32 34 37 33 33 43 32 43 37 33 34 A send 82 Waiting for a client to connect... Waiting for a client to connect... Waiting for a client to connect... Waiting for a client to connect... Waiting for a client to connect... Waiting for a client to connect... Waiting for a client to connect... Waiting for a client to connect... Waiting for a client to connect... Waiting for a client to connect... Waiting for a client to connect... Waiting for a client to connect... Waiting for a client to connect...

Welche Logdateien sind noch interessant ?

Danke mschmitz


#5

Hallo,

das hier
sdb.univention.de/content/6/314/ … ector.html hat geholfen.

Das Thema ist also gelöst.

Danke

mschmitz