chucki 10 Geschrieben 14. August 2009 Melden Teilen Geschrieben 14. August 2009 Hallo zusammen, ich synchronisiere mehrere Root Domänen in eine "Zentrale" ADAM Instanz. Diese nutze ich unter anderem für ein SMTP Gateway zur Empfängerüberprüfung. Das klappt auch alles sehr gut. Mein Problem ist: Wenn ein User aus einem AD gelöscht wird, tritt beim nächsten Adamsync eine LDAP Fehler auf. Danach kann ich erst wieder Synchronisieren, wenn ich den entsprechenden User in der ADAM Instanz manuell gelöscht habe. Hier mal meine LDAP Abfrage aus einer XML Config Datei: <object-filter>(|(objectCategory=Person)(objectClass=group)(objectClass=msExchDynamicDistributionList)(objectClass=publicFolder)(objectCategory=cn))</object-filter> <attributes> <include>cn</include> <include>name</include> <include>sAMAccountName</include> <include>proxyAddresses</include> <include>mail</include> <include>telephoneNumber</include> <include>mobile</include> <include>facsimileTelephoneNumber</include> <include>member</include> <include>memberOf</include> </attributes> Kann mir jemand sagen was ich falsch mache? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 14. August 2009 Melden Teilen Geschrieben 14. August 2009 Hi chucki, Du schreibst, daß ein Fehler bei der Synchronisation auftritt. Eine etwas präzisere Fehlermeldung macht sich meist zur Fehlersuche etwas besser, vielleicht kannst Du das ja noch nach reichen. ;) Die "objectCategory=person" gibt es auf Benutzerobjekten nach dem Löschen nicht mehr. Daher kann der LDAP-Filter die Benutzerobjekte nicht mehr finden. Siehe dazu: You delete a user in Active Directory and then resynchronize data between Active Directory and ADAM. The Adamsync tool deletes the user in ADAM if the search filter does not use the objectCategory=xxx option. Note If the search filter uses the objectCategory=xxx option, the deleted objects in Active Directory are not deleted in ADAM. This is because the objectCategory option is stripped from tombstones. In this case, you must use the workaround. Du mußt also den Suchfilter anpassen und beispielsweise eine "objectClass=user" einfügen (oder den Workaround des KB-Artikels umsetzen). Bitte teste das ganze vorher in Deiner Testumgebung - je nach Größe der Umgebung kann sich die Last auf den DCs und der ADAM-Instanz dramatisch verändern, wenn Du den Filter in der Art änderst. Viele Grüße olc Zitieren Link zu diesem Kommentar
chucki 10 Geschrieben 17. August 2009 Autor Melden Teilen Geschrieben 17. August 2009 Hey olc, danke für deine Antwort. Der Fehler ist, wie du schon in deiner Antwort vermutest, ein LDAP Fehler. Dieser tritt (nur sichtbar in den Logs) direkt nach dem gelöschten User auf. Danach werden keine Änderungen mehr gesynct. Bei objectClass=User werden auch die Computer Konten mit Synchronisiert. Deshalb verwendete ich die objectCategory=person um "nur" die wirklichen User zu bekommen. Wusste allerdings nicht, das diese Informationen im gelöschten Object nicht mehr vorhanden sind. Ich habe meine Such Filter nun mal wie folgt angepasst: <object-filter>(|(objectClass=User)(objectClass=group)(objectClass=msExchDynamicDistributionList)(objectClass=publicFolder))</object-filter> Werde es nun mal beobachten. Danke dir nochmals.... Chucki Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 18. August 2009 Melden Teilen Geschrieben 18. August 2009 Hi chucki, vielen Dank für Deine Rückmeldung. Freut mich, daß es geklappt hat. :) Bezüglich der Computer-Objekte: Ich habe es nicht getestet, aber Du könntest versuchen, ein "is not" für Computer einzubauen und User + Computer logisch zusammenzufassen: <object-filter>(|[b][color="Red"](&(objectClass=User)(!objectClass=computer))[/color][/b](objectClass=group)(objectClass=msExchDynamicDistributionList)(objectClass=publicFolder))</object-filter> Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.