Troubleshooting - Probleme beheben

Diese Seite hilft Ihnen bei der Diagnose und Behebung von Problemen mit dem Directory Sync Plugin. Sie finden hier Lösungen für die häufigsten Probleme.

Verbindungsprobleme

Problem: "LDAP login failed"

Symptom: Die Synchronisierung schlägt mit der Fehlermeldung "LDAP login failed" fehl.

Mögliche Ursachen und Lösungen:

Ursache	Prüfung	Lösung
Falscher Server/Port	Ist der Server erreichbar? Ping: ping <server> Telnet: telnet <server> 389 (LDAP) oder telnet <server> 636 (LDAPS)	Korrekten Servernamen/IP und Port in der Konfiguration eintragen. Format: ldap://server oder ldaps://server
Firewall blockiert	Sind die Ports 389 (LDAP) oder 636 (LDAPS) offen?	Firewall-Regeln anpassen, um Verbindung vom agorum core pro Server zum AD/LDAP-Server zu erlauben.
Falscher Distinguished Name (DN)	Ist der Benutzername im LDAP-Format korrekt? Beispiel: CN=Administrator,CN=Users,DC=firma,DC=local	Korrekten DN im Active Directory ermitteln (siehe Einrichtung)
Falsches Passwort	Ist das Passwort korrekt? Ist das Passwort abgelaufen?	Passwort überprüfen und neu eingeben. Bei Bedarf im Verzeichnisdienst ein neues Passwort setzen und in der Konfiguration aktualisieren.
Unzureichende Berechtigungen	Hat der Benutzer Leserechte auf die zu synchronisierenden OUs?	Im Verzeichnisdienst die Berechtigungen des Service-Benutzers prüfen und erweitern.

Problem: Timeout-Fehler bei großen Abfragen

Symptom: Die Synchronisierung bricht mit einem Timeout-Fehler ab, besonders bei der ersten Synchronisierung mit vielen Objekten.

Lösung:

1. Synchronisierungsregeln verfeinern: Synchronisieren Sie zunächst nur eine kleinere OU und erweitern Sie dann schrittweise.
2. Netzwerkverbindung prüfen: Stellen Sie sicher, dass die Verbindung zwischen agorum core pro Server und AD/LDAP-Server stabil ist.
3. Server-Performance prüfen: Überprüfen Sie die Last auf dem AD/LDAP-Server.

Problem: SSL-Zertifikatsfehler bei LDAPS

Symptom: Verbindung zu LDAPS schlägt fehl mit Zertifikatsfehler.

Lösung:

1. Für Produktivumgebungen: Installieren Sie ein gültiges, von einer vertrauenswürdigen CA signiertes SSL-Zertifikat auf dem AD/LDAP-Server.
2. Für Testumgebungen: Aktivieren Sie in der Directory Sync Konfiguration die Checkbox Zertifikatsherkunft ignorieren.
3. Alternative: Verwenden Sie unverschlüsseltes LDAP (Port 389) statt LDAPS. Beachten Sie dabei die Sicherheitsimplikationen.

Authentifizierungsprobleme

Problem: Benutzer können sich nicht an agorum core pro anmelden

Symptom: Synchronisierte Benutzer werden in agorum core pro angezeigt, können sich aber nicht anmelden.

Mögliche Ursachen und Lösungen:

Ursache	Prüfung	Lösung
PassThrough-Authentifizierung nicht aktiv	Ist die Kerberos-Authentifizierung in der Konfiguration aktiviert?	Prüfen Sie die Auth.-Methode in den Logindaten.
Benutzer im AD deaktiviert	Ist das Benutzerkonto im AD aktiv?	Aktivieren Sie den Benutzer im AD.
Benutzer in agorum core pro gesperrt	Öffnen Sie die Benutzerdetails in agorum core pro. Ist der Benutzer gesperrt?	Wenn der Benutzer im AD aktiv ist, führen Sie eine manuelle Synchronisierung durch. Der Benutzer wird automatisch entsperrt.
Falsches Passwort	Ist das Passwort im Verzeichnisdienst korrekt?	Passwort im Verzeichnisdienst zurücksetzen. Das Passwort wird nicht in agorum core pro gespeichert.

Problem: Kerberos/SSO funktioniert nicht

Symptom: Single Sign-On über Kerberos funktioniert nicht, Benutzer müssen sich weiterhin manuell anmelden.

Lösung:

1. Kerberos erfordert eine spezielle Konfiguration, die über Directory Sync hinausgeht.
2. Siehe separate Dokumentation: SSO über Kerberos einrichten
3. Stellen Sie sicher, dass:
   • Der agorum core pro Server in der Windows-Domäne ist oder mit Kerberos konfiguriert ist
   • Service Principal Names (SPNs) korrekt konfiguriert sind
   • Die Authentifizierungsmethode in der Directory Sync Konfiguration auf Kerberos gesetzt ist

Problem: Erstanmeldung bei WebDAV/SMB schlägt fehl

Symptom: Benutzer können sich an der Weboberfläche anmelden, aber nicht am Netzlaufwerk agorum core dms drive (WebDAV/SMB).

Lösung:

Dies ist ein bekanntes Verhalten bei PassThrough-Authentifizierung:

1. Der Benutzer muss sich einmalig an der Weboberfläche von agorum core pro anmelden.
2. Dies gilt auch nach jeder Passwortänderung im Verzeichnisdienst.
3. Danach funktioniert die Anmeldung am Netzlaufwerk.

Synchronisierungsprobleme

Problem: Objekte werden nicht synchronisiert

Symptom: Benutzer oder Gruppen aus dem Verzeichnisdienst erscheinen nicht in agorum core pro.

Mögliche Ursachen und Lösungen:

Ursache	Prüfung	Lösung
Konfiguration nicht aktiv	Ist die Checkbox Konfig aktiv aktiviert?	Aktivieren Sie die Konfiguration oder führen Sie eine manuelle Synchronisierung durch.
Objekt nicht in definierter OU	Liegt das Objekt in einer der synchronisierten OUs? Prüfen Sie den Distinguished Name im AD.	Erweitern Sie die Synchronisierungsregeln oder verschieben Sie das Objekt im Verzeichnisdienst in eine synchronisierte OU.
LDAP-Filter schlägt fehl	Haben Sie einen benutzerdefinierten LDAP-Filter definiert? Entspricht das Objekt den Filterkriterien?	Überprüfen Sie die LDAP-Filter-Syntax. Testen Sie ohne Filter.
Synchronisierungsmodus falsch	Ist die Synchronisierungsoption korrekt? Nur Benutzer vs. Nur Gruppen vs. Benutzer und Gruppen	Passen Sie die Synchronisierungsoption in der Regel an.
Objekt fehlerhaft im Verzeichnisdienst	Prüfen Sie im Log nach Fehlermeldungen für das spezifische Objekt.	Beheben Sie die Fehler im Verzeichnisdienst (z. B. fehlende Pflichtattribute). Das Objekt wird bei der nächsten Synchronisierung übersprungen, aber andere Objekte weiter synchronisiert.

Problem: Änderungen im Verzeichnisdienst werden nicht übernommen

Symptom: Sie ändern Daten im Verzeichnisdienst, aber nach der Synchronisierung sind die Änderungen nicht in agorum core pro sichtbar.

Lösung:

1. Warten Sie bis zur nächsten automatischen Synchronisierung (max. 1 Minute bei aktiver Konfiguration).
2. Oder führen Sie eine manuelle Synchronisierung durch.
3. Prüfen Sie, ob die Konfiguration aktiv ist.
4. Beachten Sie: Nur Felder, die vom Directory Sync verwaltet werden, werden aktualisiert, siehe Gesperrte und bearbeitbare Daten nach Synchronisierung.

Problem: Gruppenmitgliedschaften werden nicht aktualisiert

Symptom: Benutzer werden im AD zu einer Gruppe hinzugefügt oder entfernt, aber die Änderung wird nicht in agorum core pro synchronisiert.

Lösung:

1. Prüfen Sie die Checkbox Gruppeninhalt automatisch synchronisieren: Diese muss in der Synchronisationsregel aktiviert sein.
2. Gruppe muss synchronisiert sein: Stellen Sie sicher, dass die Gruppe selbst auch synchronisiert wird (liegt in einer synchronisierten OU).
3. Warten oder manuell synchronisieren: Führen Sie eine manuelle Synchronisierung durch oder warten Sie bis zur nächsten automatischen Synchronisierung.

Problem: Objekte werden in falsche Ordner synchronisiert

Symptom: Benutzer oder Gruppen erscheinen in unerwarteten Ordnern in agorum core pro.

Erklärung und Lösung:

Die Ordnerstruktur in agorum core pro basiert auf der OU-Struktur im Directory Service.

Lösung:

1. Die Ordnerzuordnung kann nicht in agorum core pro geändert werden (wird bei jeder Synchronisierung überschrieben).
2. Verschieben Sie die Objekte im Verzeichnisdienst in die gewünschte OU.
3. Bei der nächsten Synchronisierung werden sie automatisch in den entsprechenden Ordner in agorum core pro verschoben.

Problem: Fehlerhafte Verzeichnisdienst-Objekte blockieren die Synchronisierung

Symptom: Im Log erscheinen Fehlermeldungen zu einzelnen Objekten, z. B. "LDAP: get AD object failed".

Lösung:

Das System verfügt über eine intelligente Fehlerbehandlung:

1. Fehlerhafte Objekte werden übersprungen: Die Synchronisierung wird für alle anderen Objekte fortgesetzt.
2. Fehlermeldung im Log: Das fehlerhafte Objekt wird im Log protokolliert mit Details zum Fehler.
3. Sticky-Fehler: Wiederkehrende Fehler werden als Sticky-Einträge gespeichert.

Maßnahmen:

1. Prüfen Sie im Log, welches Objekt fehlerhaft ist (DN wird angezeigt).
2. Öffnen Sie das Objekt im Verzeichnisdienst.
3. Prüfen Sie auf:
   • Fehlende Pflichtattribute (z. B. cn, sAMAccountName)
   • Ungültige Zeichen in Attributen
   • Berechtigungsprobleme (kann der Service-Benutzer das Objekt lesen?)
4. Beheben Sie die Fehler im Verzeichnisdienst.
5. Bei der nächsten Synchronisierung wird das Objekt normal verarbeitet.

E-Mail-Konflikte

Problem: Benutzer haben 'duplicate' E-Mail-Adressen

Symptom: Benutzer haben E-Mail-Adressen wie duplicate1.username@domain.com statt ihrer AD-E-Mail.

Ursache:

Die E-Mail-Adresse aus dem Verzeichnisdienst wird bereits von einem anderen Benutzer in agorum core pro verwendet. Das System generiert automatisch eine Fallback-E-Mail.

Lösung:

1. Ursache finden: Suchen Sie in agorum core pro nach Benutzern mit der betroffenen E-Mail-Adresse: email:konflikt@domain.com
2. Duplikat auflösen:
   • Wenn der andere Benutzer manuell angelegt wurde: Löschen Sie ihn.
   • Wenn beide Benutzer synchronisiert sind: Prüfen Sie im Verzeichnisdienst, warum beide die gleiche E-Mail haben.
3. Neu synchronisieren: Führen Sie eine manuelle Synchronisierung durch. Die E-Mail wird automatisch korrigiert.

Problem: E-Mail-Adresse im Verzeichnisdienst fehlt

Symptom: Benutzer haben in agorum core pro E-Mails wie username@default-domain.com, obwohl im Verzeichnisdienst eine andere Domain verwendet wird.

Erklärung:

Wenn im Verzeichnisdienst das Attribut mail nicht gesetzt ist, generiert das System eine Fallback-E-Mail aus Benutzername + Default-E-Mail-Domain (aus agorum core pro Systemeinstellungen).

Lösung:

1. E-Mail im AD setzen: Tragen Sie im Verzeichnisdienst-Benutzerobjekt das Attribut mail ein.
2. Synchronisieren: Bei der nächsten Synchronisierung wird die E-Mail aus dem Verzeichnisdienst übernommen.
3. Alternative - Default-Domain anpassen: Falls alle Benutzer die gleiche Domain verwenden sollen, können Sie die Default-E-Mail-Domain in den agorum core pro Systemeinstellungen anpassen.

Performance-Probleme

Problem: Synchronisierung sehr langsam

Symptom: Die Synchronisierung dauert sehr lange, besonders bei der Erstsynchronisierung.

Optimierungsmöglichkeiten:

Maßnahme	Beschreibung	Erwarteter Effekt
Synchronisationsregeln verfeinern	Synchronisieren Sie nur die tatsächlich benötigten OUs. Verwenden Sie LDAP-Filter, um Objekte einzuschränken.	Weniger zu verarbeitende Objekte = schnellere Synchronisation
Rekursive Gruppensynchronisierung deaktivieren	Wenn nicht benötigt, deaktivieren Sie die Option Gruppeninhalt automatisch synchronisieren.	Reduziert die Anzahl der Objekt-Abfragen erheblich
Netzwerkverbindung optimieren	Prüfen Sie die Latenz zwischen agorum core pro Server und dem Verzeichnisdienst-Server. Verwenden Sie möglichst eine direkte Netzwerkverbindung.	Schnellere LDAP-Abfragen
Verzeichnisdienst-Server Performance	Prüfen Sie die Last auf dem Verzeichnisdienst-Server. Optimieren Sie ggf. die Indexierung.	Schnellere Antwortzeiten bei LDAP-Abfragen
Außerhalb der Stoßzeiten synchronisieren	Planen Sie die Erstsynchronisierung außerhalb der Hauptarbeitszeiten.	Weniger Konkurrenz um Ressourcen

Problem: Systemüberlastung während Synchronisierung

Symptom: Während der Synchronisierung reagiert agorum core pro langsam oder es kommt zu Timeouts.

Lösung:

1. Zeitversetzte Synchronisierung: Deaktivieren Sie temporär einige Konfigurationen und aktivieren Sie sie nacheinander.
2. Server-Ressourcen prüfen: Überprüfen Sie CPU, RAM und Festplatten-I/O des agorum core pro Servers.
3. Datenbank-Performance: Optimieren Sie die Datenbank (Indizes, Statistiken).

Erweiterte Diagnose

Debug-Logging aktivieren

Für eine detaillierte Fehleranalyse können Sie das Debug-Logging aktivieren:

1. Öffnen Sie das Support-Tool.
2. Navigieren Sie zu Directory synchronization.
3. Setzen Sie das Log-Level über Configure Log auf DEBUG.
4. Führen Sie die Synchronisierung durch.
5. Prüfen Sie das Log auf detaillierte Informationen.
6. Wichtig: Setzen Sie das Log-Level nach der Diagnose wieder auf INFO zurück, da Debug-Logging sehr viele Einträge erzeugt.

LDAP-Queries manuell testen

Um zu prüfen, ob Ihre LDAP-Filter korrekt funktionieren, können Sie diese manuell in den Synchronisierungsregeln testen.

Häufig gestellte Fragen (FAQ)

Warum dauert die erste Synchronisierung so lange?

Die erste Synchronisierung muss alle Objekte neu anlegen und verarbeiten. Dies kann bei mehreren Tausend Benutzern und Gruppen mehrere Minuten dauern. Nachfolgende Synchronisierungen sind deutlich schneller, da nur Änderungen verarbeitet werden.

Kann ich die Synchronisierung während der Ausführung abbrechen?

Ja, im Fenster Hintergrundaktivitäten können Sie die Synchronisierung abbrechen. Bereits verarbeitete Objekte bleiben erhalten. Die Synchronisierung kann jederzeit neu gestartet werden.

Was passiert, wenn der Verzeichnisdienst-Server temporär nicht erreichbar ist?

Die Synchronisierung schlägt fehl und wird im Log protokolliert. Bereits synchronisierte Objekte bleiben unverändert. Bei der nächsten Synchronisierung (nach max. 1 Minute) wird ein erneuter Versuch unternommen.

Kann ich einen synchronisierten Benutzer manuell löschen?

Ja, Sie können synchronisierte Benutzer manuell löschen. Allerdings werden sie bei der nächsten Synchronisierung wieder angelegt, sofern sie im Verzeichnisdienst existieren. Um dies zu verhindern, müssen Sie entweder:

• Den Benutzer im Verzeichnisdienst löschen oder deaktivieren (dann wird er in agorum core pro gesperrt).
• Die Synchronisierungsregeln so anpassen, dass der Benutzer nicht mehr synchronisiert wird.
• Die Synchronisierungskonfiguration deaktivieren

Werden gelöschte Benutzer auch in agorum core pro gelöscht?

Nein, Benutzer werden nur gesperrt, nicht gelöscht. Dies bewahrt die Integrität von Dokumenten und Workflows. Gruppen hingegen werden gelöscht.

Kann ich die automatische Synchronisierung deaktivieren?

Ja, deaktivieren Sie einfach die Checkbox Konfig aktiv in der Synchronisierungskonfiguration. Sie können weiterhin manuelle Synchronisierungen durchführen.