Probleme bei der ADS-/LDAP-Synchronisation

Das Modul agorum core admin sync synchronisiert agorum core mit Ihrem Active Directory Service (ADS) oder Ihrem Lightweight Directory Access Protocol (LDAP). Eine nicht funktionierende Synchronisation kann die folgenden Gründe haben:

• agorum core adminsync wurde nicht korrekt installiert.
• agorum core adminsync wurde nicht korrekt konfiguriert.

Details zu Synchronisationsfehlern finden

---

Details zu Fehlern finden Sie auf zwei Arten:

• desk4web (Bei Synchronisationsfehlern)
• support tool (Bei allgemeiner Übersicht, Überprüfung von Verbindungsproblemen, etc.)

Synchronisationsfehler

Details zu Synchronisationsfehlern finden Sie im Modul desk4web, über das Sie auch die Einstellungen anlegen und verwalten. Hier befindet sich auch eine Abarbeitungsqueue. Treten Fehler oder Konflikte bei der Synchronisation auf, dann bleiben dort die Queue-Einträge liegen.

1. Öffnen Sie links in der Seitenleiste Weitere Apps und dann desk4web.
2. Wählen Sie links im Menü AdminSync.
3. Markieren Sie eine Einstellung in der Liste (siehe Abbildung Details zu Synchronisationsfehlern finden, Punkt 1).
   
   Ergebnis: Fehlerhafte Einträge erscheinen rechts in der Liste (siehe Abbildung Details zu Synchronisationsfehlern finden, Punkt 2).

Die Synchronisation fortsetzen

Setzen Sie die Synchronisation fort, nachdem Sie den Konflikt oder das Problem behoben haben.

1. Klicken Sie bei dem zuvor geöffneten Queue-Eintrag auf Speichern.
   
   Ergebnis: Das System setzt die Synchronisation fort.
   
   Sobald der agorum core admin sync-Ordner leer ist, ist die Abarbeitung abgeschlossen.

Support tool

Logs liegen Ihnen ebenfalls im Support tool vor:

1. Öffnen Sie links in der Seitenleiste Weitere Apps und dann Support tool.
   
   Ergebnis: Es öffnet sich ein neuer Browser-Tab.
2. Links steht Ihnen eine Baumstruktur zur Verfügung, wählen Sie adminsync aus.
3. Oben links in der rechten Ansicht klicken Sie auf den Show Log-Button.
   
   Ergebnis: Es öffnet sich ein Ansichtsfenster, in dem Sie vorhandene Logs einsehen können.

Probleme und Lösungen

---

Fehlermeldung „NameNotFoundException“

Beschreibung des Problems

Bei der Synchronisation zwischen LDAP und agorum core erscheint folgende Fehlermeldung:

Die Fehlermeldung gibt Hinweis darauf, dass das System ein Objekt nicht finden konnte oder falsch aufgelöst hat. Um welches Objekt es sich genau handelt, steht unter remaining name [...]. 

Ursache

Das Problem liegt in der Synchronisation in Unterordner.

Sie haben etwa unter LDAP die Ordner Mitarbeiter und Users, die nebeneinander liegen, also hierarchisch auf der gleichen Ebene. Diese möchten Sie nach agorum core synchronisieren: Mitarbeiter in den Ordner DataRoom, Users in den Ordner External, der sich unter DataRoom befindet, also hierarchisch auf einer tieferen Ebene.

Dies führt bei der Pfadzuordnung durch agorum core adminsync dazu, dass der Ordner ../DataRoom/External auf den (nicht vorhandenen) Ordner Mitarbeiter/External auf LDAP-Seite verweist.

Lösung

1. Sie dürfen Unterordner von bereits in der Synchronisierung verwendeten Ordner nicht ebenfalls synchronisieren.

Fehlermeldung „Content is not allowed in prolog“

Beschreibung des Problems

Bei der Synchronisation zwischen LDAP und agorum core erscheint die Fehlermeldung Content is not allowed in prolog.

Ursache

Dieser Fehler weist auf nicht übereinstimmende CryptKeys hin.

Lösung

1. Stellen Sie sicher, dass an den folgenden Stellen exakt derselbe Schlüssel eingetragen ist:

   Innerhalb von agorum core
   Im agorum core admin sync Konfigurator unter Schlüssel.
    

   Nur in älteren Versionen von agorum core: Bei Verwendung des ADS-Helper-Services auf dem Domaincontroller
   In der Systemregistrierung unter folgendem Pfad:

   HKEY_LOCAL_MACHINE/SOFTWARE/agorum/ADSHelper/CryptKey

   
   Nur in älteren Versionen von agorum core: lokal auf dem agorum core-Server
   In folgender Datei unterhalb des Installationspfads:

   ../jboss/server/default/deploy/roi.ear/config/ldapadminsyncservice/LDAPAdminSyncService.xml

   Haben Sie den Schlüssel auf einen neuen Wert geändert, leeren Sie das folgende Verzeichnis, da dort noch Einträge liegen können, die mit dem alten Schlüssel verschlüsselt sind:

   ../jboss/server/default/deploy/roi.ear/config/ldapadminsyncservice/queues

Fehlermeldung „Error in AdminSync MetaDB configuration "Conf_Pull_DRC" (CryptKey not set)“

Beschreibung des Problems

Bei der Synchronisation zwischen LDAP und agorum core erscheint die Fehlermeldung Es ist ein Fehler aufgetreten, bitte wenden Sie sich an Ihren Administrator. Error in AdminSync MetaDB configuration "Conf_Pull_DRC" (CryptKey not set).

Ursache

Dieser Fehler weist auf einen fehlenden CryptKey hin. Auch wenn Sie keinen ADS-Helper-Service verwenden, müssen Sie einen Schlüssel angeben.

 

Lösung

1. Geben Sie den CryptKey in den Einstellungen des agorum core admin syncs unter Schlüssel an.

Benutzer wurde gesperrt im System angelegt

Beschreibung des Problems

Nach der Synchronisation zwischen LDAP und agorum core sind die Benutzer in agorum core gesperrt.

Ursache

Der Benutzer hat kein Passwort im ADS/LDAP gesetzt​​​​​​. agorum core adminsync legt zwar den Benutzer mit allen Informationen an. Aus Sicherheitsgründen wird dieser aber zu Beginn so lange gesperrt, bis ein Passwort in agorum core eingetragen worden ist oder ein gültiges Passwort im ADS/LDAP-Verzeichnis hinterlegt und dieses synchronisiert wurde.

Lösung

1. Tragen Sie ein Passwort in agorum core für den Benutzer ein.
   
   ODER
2. Tragen Sie ein Passwort im ADS/LDAP-Verzeichnis ein und synchronisieren Sie es mit agorum core.

Zu lange Warteschlange

Beschreibung des Problems

Die Warteschlange der abzuarbeitenden Objekte ist zu lang. Dieses Problem tritt nur bei Systemen mit geringer Leistung und einer gleichzeitig unlimitierten Anzahl zu synchronisierenden Benutzern auf.

Ursache

Wird aus einem Grund, etwa aufgrund einer Blockade, die Synchronisation gestoppt, kann die Warteschlange der zu synchronisierenden Objekte zu lang und dadurch nicht abgearbeitet werden.

Lösung

Leeren Sie die Warteschlange.

1. Öffnen Sie links in der Seitenleiste Weitere Apps und dann desk4web.
2. Wählen Sie links im Menü AdminSync.
3. Markieren Sie eine Konfiguration in der Liste (mittlere Ansicht).
4. Löschen Sie die darin enthaltenen Sync-Objekte.
5. Beheben Sie die Blockade.
6. Starten Sie die Synchronisation erneut.

Time-out bei der Synchronisation

Beschreibung des Problems

Bei der (ersten) Synchronisation erscheint der Fehler connection Timeout.

Ursache

Der SocketTimeout ist zu kurz eingestellt ist. Der Standardwert ist 30000 Millisekunden. Er definiert den Time-out für die Verbindung zum ADS-/LDAP-Helper-Service. Sie müssen diesen Wert im Normalfall nicht ändern.

Lösung

Setzen Sie den Wert in der MetaDB höher.

1. Öffnen Sie links in der Seitenleiste Administration und dann MetaDB.
2. Öffnen Sie den Pfad:

   MAIN_MODULE_MANAGEMENT/ngosadminsync/control/IHRE-PULL-DEFINITION

Einstellungen werden nicht gespeichert

Beschreibung des Problems

Das System speichert im Konfigurator keine bearbeiteten Einstellungen.

Lösung

1. Öffnen Sie links in der Seitenleiste Administration und dann MetaDB.
2. Öffnen Sie den Pfad:

   MAIN_MODULE_MANAGEMENT/ngosadminsync/control/IHRE-PULL/PUSH-DEFINITION

3. Prüfen Sie die Einträge ObjectFactory und StateFactory.
   
   Hier sind nur zwei mögliche Werte korrekt:
   
   Linux
   • StateFactory: agorum.ldapadminsyncservice.factories.Samba2LdapStateFactory
   • ObjectFactory: agorum.ldapadminsyncservice.factories.Samba2LdapObjectFactory
   
   Windows
   • StateFactory: agorum.ldapadminsyncservice.factories.AdSACLdapStateFactory
   • ObjectFactory: agorum.ldapadminsyncservice.factories.AdSACLdapObjectFactory

Verwechslung von Benutzern und Benutzergruppen

Bei einer geplanten (manuellen) Synchronisation wird versucht, etwa Benutzergruppen auf dem AD-Server mit (gleichnamigen) Benutzern auf agorum core zu synchronisieren. Es wird keine Aktion ausgeführt, auch keine Ausgabe einer Fehlermeldung, kein Eintrag im Logfile, es werden lediglich 0 Objekte synchronisiert.

Durch die Mischung von Benutzergruppen und Benutzern im AD/LDAP besteht besonders bei gleichnamigen Benutzergruppen und Benutzern eine hohe Verwechslungsgefahr.