Denne artikkelen beskriver vanlige årsaker til at eFeide ikke klarer å opprette en bruker i Active Directory (AD), og gir fremgangsmåter for å identifisere og løse problemet. Artikkelen gjelder systemadministratorer og Feide-koordinatorer i kommuner som bruker eFeide med AD-integrasjon.
Slik leser du eksportloggen
Gå til den aktuelle brukeren i eFeide og åpne Brukerhistorikk. Tabellen viser alle eksportoperasjoner mot tilknyttede systemer.
|
Kolonne |
Beskrivelse |
|---|---|
|
Operasjon |
Type operasjon: |
|
System |
Målsystemet, f.eks. AD-domenet ( |
|
Eksportert |
Tidsstempel for vellykket eksport. Tom dersom eksport feilet. |
|
Feil |
Feilmelding fra målsystemet dersom eksport mislyktes. |
Dersom kolonnen Eksportert er tom og kolonnen Feil inneholder en feilmelding for en Create-operasjon, har AD avvist opprettelsen. Les feilmeldingen og bruk seksjonene nedenfor til å identifisere årsaken.
Feilmelding: «Exception has been thrown by the target of an invocation»
Denne generiske .NET-feilmeldingen fra AD betyr at selve kallet mot AD ble utført, men at AD avviste forespørselen internt. Det finnes fire vanlige årsaker.
1. Rettighetsproblemer (Access Denied)
Tjenestekontoen som eFeide bruker mot AD, mangler nødvendige rettigheter til å opprette objekter i den aktuelle OU eller til å skrive til spesifikke attributter.
Vanlige årsaker:
-
Tjenestekontoen har ikke rettigheter til å opprette objekter i den aktuelle OU (Organizational Unit).
-
Tjenestekontoen mangler skrivetilgang til spesifikke attributter, f.eks.
proxyAddressesellermanager.
Løsning: Kontroller at tjenestekontoen eFeide bruker mot AD, har riktige delegerte rettigheter i AD-strukturen. Ta kontakt med AD-administrator i kommunen for å justere tillatelsene.
2. Passordkrav ikke oppfylt
Dersom eFeide forsøker å opprette en bruker med et standardpassord, vil AD avvise forespørselen dersom passordet ikke tilfredsstiller domenets passordpolicy — for eksempel krav til lengde, kompleksitet eller passordhistorikk.
Løsning: Juster passordkravene i eFeide slik at de er minst like strenge som passordpolicyen i AD-domenet. Alternativt kan passordpolicyen i AD forenkles, men dette krever endring i AD-administrasjonsverktøyet.
Merk: Passordkrav i eFeide må alltid være minimum like strenge som alle tilknyttede målsystem for den brukertypen det gjelder (elev eller ansatt).
3. Duplikat eller konflikt på unikt attributt
Active Directory avviser opprettelsen dersom et attributt som må være unikt i domenet, allerede er i bruk på en annen konto.
Vanlige årsaker:
-
UserPrincipalName(UPN) er allerede i bruk på en annen AD-konto. -
sAMAccountNameer allerede i bruk på en annen AD-konto. -
proxyAddresses(e-postadresse) finnes allerede på et annet objekt i AD.
Løsning:
-
Søk etter den aktuelle
sAMAccountNameeller UPN i AD for å identifisere konflikten. -
Avklar om det eksisterer en gammel eller inaktiv konto med samme verdi.
-
Omdøp eller deaktiver den konflikterende kontoen i AD, eller juster navnelogikken for den aktuelle brukeren i eFeide.
4. Ugyldige data eller skjemabrudd
eFeide forsøker å skrive en verdi til et AD-attributt som ikke er tillatt i henhold til AD-skjemaet for det aktuelle domenet.
Vanlige årsaker:
-
Et felt mottar feil datatype (f.eks. tekst der AD forventer tall).
-
Et felt inneholder tegn som ikke støttes av attributtet (f.eks. spesialtegn i
sAMAccountName). -
Et obligatorisk attributt mangler verdi og AD kan ikke opprette objektet.
Løsning: Kontroller hvilke attributter eFeide forsøker å skrive for den aktuelle brukeren under Brukerhistorikk → Detaljer. Identifiser feltet med ugyldig verdi og korriger datakilden (SAS) eller konfigurasjonsmappingen i eFeide.
Andre feilmeldinger ved Create-operasjoner
Dersom feilmeldingen i eksportloggen ikke er Exception has been thrown by the target of an invocation, kan det dreie seg om:
-
LDAP-feilkoder (f.eks.
LDAP: error code 49) — indikerer autentiseringssvikt for tjenestekontoen. -
Nettverksfeil — eFeide når ikke AD-agenten. Kontroller at eFeide AD Agent kjører og at brannmurregler tillater trafikk.
-
Tidsavbrudd — AD svarer ikke innen forventet tid. Kontroller AD-agentens logg og serverbelastning.
Ta kontakt med support@identum.no dersom feilen ikke lar seg løse med fremgangsmåtene over.
Relaterte artikler
-
Hvordan kontrollere at passordsynkronisering fra eFeide til AD fungerer
-
Hva gjør jeg dersom synkroniseringen til eFeide har stanset?