Поиск, диагностика и устранение проблем работы модуля ADSync v5.1

Базовая проверка

В случае неработоспособности синхронизации, необходимо, что выполнены следующие пункты:

• Включено ли ведение журнала на экране конфигурации клиента ADSync? Включить ведение логов в настройках клиента ADSync. Проверить их на наличие возможных ошибок.

• Существуют ли dll-файлы «ADSyncPolicy, ADSync.ClientHelper, ADSync.PolicyLogger» в папке «$windir\System32»?
• Включил ли клиент «Пароль должен соответствовать требованиям сложности» в политике учетной записи пользователя?
• Существует ли запись для «ADSyncPolicy» в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages]
• Установлена ли утилита ADSync на основном контроллере домена и на всех дополнительных контроллерах домена?
• Использует ли клиент «DSA.msc» для смены пароля?
• Правильно ли работает ADSync для всех атрибутов, кроме пароля?
• Имеет ли пользователь, указанный в ADSync Config Studio для поля «Локальный администратор», права на чтение/запись в локальной AD?
• Имеет ли рабочий пользователь ADSync Utility права на чтение/запись в каталоге установки и каталоге, указанном для ведения журнала?
• Верен ли URL-адрес LDAP.
• Обладает ли локальный администратор достаточными правами администратора?
• Есть ли у локального администратора права на каталог установки MachPanel и файл .XML?
• Программное обеспечение «Microsoft Visual C++ 2010» установлено на все контроллеры домена

Диагностика и устранение проблем ADSync v5.1

В этой статье приведены некоторые важные примечания, а также сведения об устранении неполадок, связанных с утилитой MachPanel ADSync

Основное положение:

• ADSync необходимо установить на основном контроллере домена и на ВСЕХ дополнительных контроллерах домена на Client-AD.
• После установки на всех дополнительных контроллерах домена настройте базовую информацию в средстве ADSync на основном сервере ADSync, затем скопируйте файл SyncConfigurations.xml из папки установки на основном контроллере домена на каждый дополнительный контроллер домена. Реестр на обоих типах серверов сообщит вам правильное расположение файла конфигурации. Для старых клиентов путь будет C:\Windows\System32 , а для новых клиентов путь для размещения этого файла будет C:\Program Files\ADSync . Вы можете подтвердить/исправить реестр для правильного расположения SyncConfigurations.xml .
• Нет копий файла SyncConfigurations.xml Убедитесь, что на первичном или дополнительном контроллерах домена . На каждом сервере должен быть один и только один файл с именем SyncConfigurations.xml .
• Убедитесь, что «Пароль должен соответствовать требованиям сложности» включен в политике локального домена.
• Чтобы запустить ADSync, вам необходимо заставить всех пользователей изменить пароль в локальной (локальной/клиентской) AD, истечет срок действия всех пользовательских паролей и перезапустите все контроллеры домена .

Примечание 1

Описание ошибки/проблемы:

Отказано в доступе при сохранении конфигурации ADSync или сохранении сопоставления пользователей.

Причина:

Утилита пытается получить доступ к системному ресурсу (локальный файл или объект активного каталога) и не имеет достаточных привилегий для операций чтения/записи.

Решение:

1. Убедитесь, что учетная запись пользователя, указанная в полях «Административный логин/Пароль администратора» в студии конфигурации ADSync, имеет достаточные права доступа к каталогу установки ADSync, а также к выбранной папке журналов. Если нет, то предоставьте разрешение на чтение/запись для предоставленной учетной записи пользователя.
2. Также убедитесь, что утилита запущена под учетной записью пользователя, имеющего доступ (чтение/запись) к каталогу установки и каталогу файлов журналов.
3. Убедитесь, что учетная запись пользователя, указанная в полях «Административный логин/пароль администратора» студии конфигурации ADSync, имеет действительные разрешения в активном каталоге для всех локальных организаций (OU), выбранных в профилях синхронизации.

Примечание 2

Описание ошибки/проблемы:

Исключение аутентификации при попытке получить размещенные организации с сервера управления machpanel или размещенные организации не отображаются/извлекаются

Причины:

1. Веб-служба синхронизации на стороне сервера управления machpanel не может проверить запрос из-за неверных учетных данных, предоставленных для «имя пользователя службы или пароль службы» .
2. Для размещенных организаций, которых нет в списке, поставщик услуг, возможно, не включил параметр ADSync с управляющего сервера (директор службы > активный каталог > организации).

Решение:

1. Укажите действительные учетные данные для полей «имя пользователя/пароль службы». Это должны быть учетные данные, которые используются для входа на клиентский портал machpanel. Вы даже можете выбрать URL-адрес панели управления на сервере AD, чтобы убедиться, что URL-адрес панели управления доступен и что, используя учетные данные, вы можете войти в систему в качестве конечного клиента, который является владельцем рассматриваемой организации.
2. Обратитесь в службу технической поддержки сервиса: https://cloud.softline.ru/faq/tehnicheskaya-podderzhka/ , для проверки\включения функционала синхронизации для Вашей подписки. Возможно при формировании тех. задания по настройке подписке целевой функционал не был обозначен.

Примечание 3

Описание ошибки/проблемы:

информация не синхронизируется с размещенным

Причины:

Существует несколько причин, по которым ADSync может не синхронизировать информацию с размещенным активным каталогом:

1. Служба ADSync не работает на клиентской AD
2. Конфигурация синхронизации повреждена
3. Данные загружаются, но не синхронизируются из-за того, что provisioning-svc на управляющем сервере не запущен или возникла какая-то ошибка

Решение:

Единого решения в этой ситуации нет. Ниже приведены некоторые рекомендации по выявлению проблемы.

1. Подтвердите, что ADSync svc запущен на клиентской AD.
2. Перенастройте профили синхронизации (см. ниже: Перенастройте профили синхронизации)
3. Общий доступ к журналам с поддержкой Machsol из папки журналов клиента ADSync и папки журналов сервера управления machpanel (ADSyncExceptions)
4. Обратитесь в службу технической поддержки сервиса: https://cloud.softline.ru/faq/tehnicheskaya-podderzhka/ , предоставив полное описание проблемы, приложив логи ADSync к обращению.

Примечание 4

Описание ошибки/проблемы:

синхронизируется вся информация, кроме пароля (пароль не синхронизируется)

Причины:

Существует несколько сценариев, которые приводят к сбою синхронизации паролей для локальных пользователей с хостом.

Решение:

См. контрольный список ниже для решения этой проблемы

1. В активном каталоге на клиентской платформе для параметра «пароль должен соответствовать требованиям сложности» в локальной политике безопасности установлено значение true.
2. Среда выполнения VC++ 2010 установлена (зависит от платформы ОС, т. е. x86/x64) на всех PDC/ADC.
3. Убедитесь, что файлы «ADSyncPolicy.dll», «ADSync.PolicyLogger.dll» и «ADSync.ClienHelper.dll» размещены в каталоге «$windir\System32» на всех PDC/ADC.
4. Убедитесь, что существует запись для «ADSyncPolicy» в следующем пути реестра «HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Notification Packages» на всех PDC/ADC.
5. Все ли PDC и ADC перезагружаются после установки и настройки инструмента ADSync?

Если все приведенные выше контрольные списки верны, причиной проблемы может быть проблема с конфигурацией. Пожалуйста, выполните следующие шаги.

Перенастройте профили ADSync/Sync:

1. Удалите все экземпляры файла SyncConfigurations.xml с хоста ADSync на всех PDC/ADC. Даже ищите этот файл в другом месте, потому что эти экземпляры тоже могут создавать проблемы. Вы должны быть уверены, что после завершения настройки существует только 1 файл. Итак, если вы ищете полную свежую конфигурацию, УДАЛИТЕ ВСЕ файлы SyncConfigurations.xml.
2. Закройте студию конфигурации ADSync, повторно откройте и заново настройте профили синхронизации.
3. Скопируйте обновленный файл SyncConfigurations.xml из каталога установки PDC ADSync на каждый дополнительный контроллер домена. Реестр на обоих типах серверов сообщит вам правильное расположение файла конфигурации. Для старых клиентов путь будет C:\Windows\System32 , а для новых клиентов путь для размещения этого файла будет C:\Program Files\ADSync . Вы можете подтвердить/исправить реестр для правильного расположения SyncConfigurations.xml .
4. Откройте экран сопоставления пользователей и отмените выбор сопоставления для всех пользователей, дважды щелкнув поле «Выбрать все» в правом верхнем углу списка пользователей, а затем нажмите «Сохранить».
5. Выход из экрана сопоставления пользователей
6. Снова откройте экран сопоставления пользователей и укажите/проверьте соответствующее сопоставление пользователей, а затем нажмите «Сохранить».

Если вышеописанные манипуляции не решили проблему, обратитесь в службу технической поддержки сервиса: https://cloud.softline.ru/faq/tehnicheskaya-podderzhka/ , предоставив полное описание проблемы, приложив логи ADSync к обращению.

Примечание 5

Как утилита обновляет информацию и как с ней работать?

Допустим, вы обновили некоторую информацию о пользователе или пароль в Client-AD, информация будет реплицирована в Hosted-AD через панель управления примерно через 15 минут. Ниже приведен пошаговый процесс работы с этой утилитой.

• Сохраните базовые конфигурации в утилите на основном контроллере домена.
• Скопируйте файл SyncConfigurations.xml из папки установки PDC на все ADC в соответствующую папку. Реестр на обоих типах серверов сообщит вам правильное расположение файла конфигурации. Для старых клиентов путь будет C:\Windows\System32, а для новых клиентов путь для размещения этого файла будет C:\Program Files\ADSync. Вы можете подтвердить/исправить реестр для правильного расположения SyncConfigurations.xml.
• Обеспечьте сопоставление локальных и размещенных пользователей с помощью студии конфигурации ADSync.
• После предоставления сопоставления измените данные учетной записи пользователя локальной Active Directory (включая пароль).
• Чтобы принудительно запустить процесс синхронизации немедленно, нажмите «Синхронизировать сейчас» в средстве настройки ADSync или просто перезапустите ADSyncSvc с помощью Services.MSC (диспетчер служб Windows) на PDC.
• Это должно обновить информацию на управляющем сервере.
• Оттуда управляющий сервер использует свою Provisioning Service для обновления данных на связанном бэкэнд-сервере Hosted Active Directory. Вы также можете заставить сервер управления мгновенно обрабатывать записи, перезапустив службу подготовки на сервере панели управления.
• Обычно обновление информации с локального на размещенный сервер занимает не более 15 минут. Чтобы принудительно выполнить немедленное обновление, перезапустите ADSyncSvc в AD клиента и «Службу подготовки MachPanel» на управляющем сервере.

Это должно обновить информацию о пользователе локального активного каталога до пользователя размещенного активного каталога.

В случае возникновения каких-либо проблем вы должны включить ведение журнала из студии конфигурации ADSync Tool и просмотреть ее на наличие проблем. Обратитесь в службу технической поддержки сервиса: https://cloud.softline.ru/faq/tehnicheskaya-podderzhka/ , предоставив полное описание проблемы, приложив логи ADSync к обращению.

Примечание 6

Вы столкнетесь со следующей проблемой, если путь журнала в реестре ADSync неверен: т. е. он должен быть таким же, как C:\Program Files\ADSync\Logs , как показано на снимках ниже:

Примечание 7

Описание ошибки/проблемы:

Синхронизация паролей работает с PDC, но не работает с ADC.

Проверка для решения проблемы:

1. Проверьте путь к файлу конфигурации в реестре и расположение файла в Windows.
2. Подтвердите запись пакетов уведомлений в реестре
3. Убедитесь, что установлена среда выполнения Microsoft Visual C++ 10.
4. Подтвердите перезагрузку ADC
5. Убедитесь, что файлы ADSync существуют в папке system32.

Примечание 8

Описание ошибки/проблемы:

Утилита предлагает перезагрузить компьютер : студия конфигурации ADSync при загрузке приложения проверяет требуемую установку модуля VC++ 10 и регистрацию пользовательского модуля в фильтрах Windows. Если отсутствует установка VC++ 10 или регистрация пользовательского модуля, утилита предлагает перезагрузить компьютер.

Проверка для решения проблемы:

• Проверьте в программе и функциях Windows, что установлена версия VC++ 10 и не установлена никакая другая версия (если существует несколько версий и требуется, то установка VC++ 10 должна быть более поздней)
• Запустите команду «msinfo32» в команде Windows, затем перейдите к «программным компонентам», затем к «загруженным модулям». Посмотрите, указан ли модуль ADSyncPolicy в загруженных модулях.

Решение:

Если модуль ADSyncPolicy отсутствует в загруженных модулях, выполните следующие действия.

• Убедитесь, что файлы «ADSyncPolicy.dll», «ADSync.PolicyLogger.dll» и «ADSync.ClienHelper.dll» помещены в папку «$windir\System32».
• Проверьте и убедитесь, что существует запись для «ADSyncPolicy» по следующему пути реестра «HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Notification Packages».
• Если оба вышеперечисленных пункта проверены, перезагрузите систему и выполните шаг 2, описанный в процессе проверки, чтобы убедиться, что модуль загружен.

Не нашли инструкцию?

Заполните форму, и наш специалист свяжется с вами.

Мы дополним информацию и ответим на ваш вопрос.

Оставить заявку