Tässä artikkelissa kuvataan yleisimmät syyt, joiden vuoksi eADM ei onnistu luomaan käyttäjätiliä Active Directoryyn (AD), ja annetaan ohjeet kunkin syyn tunnistamiseen ja korjaamiseen. Artikkeli on tarkoitettu eADM-järjestelmänvalvojille ja IT-kumppaneille, jotka hallinnoivat paikallisia AD-integraatioita.
Kuinka lukea eADM AD -vientilokia
eADM:n paikallinen asiakasohjelma tallentaa yksityiskohtaisen lokitiedoston jokaisesta vientitoiminnosta. Tämä lokitiedosto on tärkein vianmääritystyökalu, kun käyttäjätiliä ei ole luotu AD:hen.
Lokitiedostot voi ladata valitsemalla Synkronointi → Tila → Lisää → Lataa eADM-asiakasohjelman loki. Vaihtoehtoisesti ne löytyvät yleensä kansiosta C:\eADM\ tai asennuksen yhteydessä määritetty alikansio. Jokainen merkintä noudattaa seuraavaa kaavaa:
DD.MM.YYYY HH:MM:SS - [action or result message]
Onnistuneessa Create-operaatiossa kirjataan lokiin jokainen asetettu attribuutti, minkä jälkeen ei tule virheriviä. Epäonnistuneessa Create-operaatiossa kirjataan lokiin attribuuttien järjestys, minkä jälkeen operaatio päättyy virhekoodiin ja virheilmoitukseen. Esimerkki epäonnistuneesta luomisesta tunnetusta tukitapauksesta:
23.07.2025 14:20:41 - Creating with LDAP://DC-SERVER/cn=Maria Ustad,OU=eAdm,OU=Brukere,...
23.07.2025 14:20:41 - Setting samAccountName to value 1001ma
23.07.2025 14:20:41 - Checking if upn is unique in domain maria.ustad@orland.kommune.no
23.07.2025 14:20:41 - Setting userPrincipalName to value maria.ustad@orland.kommune.no
23.07.2025 14:20:41 - 173585349|The object already exists.
Virherivit noudattavat seuraavaa muotoa ERROR_CODE|Error message text. Virhekoodi ja virheilmoitus yhdessä paljastavat syyn. Kirjoita muistiin viimeinen onnistunut attribuuttirivi ennen virhettä — tämä auttaa rajaamaan, missä vaiheessa AD hylkäsi toiminnon.
Huomautus: Jos tietyn synkronointijakson osalta lokimerkintöjä ei näy lainkaan, vika saattaa johtua eADM:n paikallisesta asiakasohjelmasta eikä AD:stä. Katso ohjeet kohdasta ”System.ServiceModel.FaultException -virheen vianmääritys eADM:n paikallisen asiakasohjelman lokitiedostoissa”.
Yleisiä syitä ja ratkaisuja
1. Kaksoiskappale — käyttäjä on jo olemassa AD:ssä
eADM yrittää luoda objektin, jolla on erottuva nimi (DN) tai jolla on sAMAccountName joka on jo olemassa AD:ssä. AD hylkää toiminnon ja antaa virheilmoituksen, kuten The object already exists.
Tämä voi tapahtua, kun:
-
Kaksi työntekijää jakaa saman luodun
sAMAccountName(esim. molemmat johtavat tulokseen1001ma). -
Aiemmin poistettu käyttäjätili ei ole poistettu kokonaan AD:stä, ja siitä on jäljellä tombstone-merkintä tai kierrätetty objekti.
-
Käyttäjä luotiin manuaalisesti AD:ssä ennen kuin eADM yritti suorittaa käyttöönoton.
-
Kahdella käyttäjällä on sama syntymäpäivä, mikä aiheuttaa ristiriidan päivämäärään perustuvassa käyttäjätunnuksen luontisäännössä.
Päätös:
-
Etsi AD:stä
sAMAccountNametai lokissa näkyvä CN, jonka avulla ristiriidassa oleva kohde voidaan tunnistaa. -
Avaa eADM:ssä kyseinen käyttäjä ja tarkista AD-käyttäjänimi-kenttä. Jos kahdella käyttäjällä on sama arvo, korjaa toisen käyttäjän arvo joko eADM:n asetusten kautta tai muokkaamalla käyttäjänimen luontisääntöä.
-
Jos AD:ssä on vanhentunut objekti, poista se tai siirrä se pois kohde-OU:sta ja käynnistä sitten uusi synkronointikierros.
Huom: The sAMAccountName sen on oltava ainutlaatuinen koko AD-toimialueella, ei pelkästään kohde-OU:ssa. Tarkista, onko ristiriitoja muissa OU:issa, vaikka ilmeinen reitti vaikuttaisi vapaalta.
2. Palvelutilin käyttöoikeudet eivät ole riittävät
Palvelutilillä, jota eADM käyttää yhteyden muodostamiseen AD:hen, ei ole oikeuksia luoda objekteja kohde-OU:ssa tai sillä ei ole kirjoitusoikeutta yhteen tai useampaan attribuuttiin, jotka määritetään luomisen yhteydessä.
Yleisimmät syyt:
-
Palvelutilillä ei ole ”Luo aliobjekteja” -oikeutta kohde-OU:ssa.
-
Palvelutilillä ei ole kirjoitusoikeutta tiettyihin attribuutteihin, kuten
proxyAddresses,manager, taiemployeeNumber. -
OU-rakenne muuttui sen jälkeen, kun alkuperäinen valtuutus oli määritetty, eikä palvelutilin käyttöoikeudet enää kata uutta kohde-OU:ta.
Ratkaisu: Tarkista AD:n kohde-OU:ssa olevat delegoidut käyttöoikeudet. Varmista, että eADM-palvelutilillä on vähintään seuraavat oikeudet:
-
Luo ja poista käyttäjäobjekteja kohde-OU:ssa.
-
Kirjoitusoikeus kaikkiin kyseisen käyttäjätyypin eADM-vientimallissa määritettyihin attribuutteihin.
Ota yhteyttä asiakkaan AD-järjestelmänvalvojaan valtuutettujen käyttöoikeuksien muokkaamiseksi. Älä myönnä eADM-palvelutilille toimialueen järjestelmänvalvojan oikeuksia.
3. Salasanan monimutkaisuusvaatimukset eivät täyty
Jos eADM on määritetty asettamaan salasana uuden tilin luomisen yhteydessä, AD hylkää tilin luomisen, jos salasana ei täytä toimialueen salasanakäytäntöä – mukaan lukien vähimmäispituus, monimutkaisuusvaatimukset tai salasanahistoriaa koskevat vaatimukset.
Ratkaisu: Tarkista eADM-vientimallissa määritetty oletussalasana ja vertaa sitä toimialueen tarkkaan salasanaohjeeseen (jos sellainen on) tai toimialueen oletusohjeeseen. eADM:n tilin luomisen yhteydessä asettaman salasanan on täytettävä kaikki ohjeiden vaatimukset.
Varoitus: Älä heikennä AD-toimialueen salasanakäytäntöä vastaamaan eADM:ää. Päivitä sen sijaan eADM:n asetuksia niin, että se luo tai asettaa vaatimusten mukaisen salasanan. Toimialueen käytäntöjen heikentäminen vaikuttaa kaikkiin toimialueen tileihin.
4. Virheelliset tiedot tai skeemarikkomus
eADM yrittää kirjoittaa AD-attribuuttiin arvon, jota skeema ei salli kyseiselle toimialueelle — esimerkiksi arvon, jonka tietotyyppi on väärä, arvon, joka sisältää tuettuja merkkejä, tai puuttuvan pakollisen attribuutin.
Yleisimmät syyt:
-
The
sAMAccountNamesisältää merkkejä, joita AD ei salli (esim. välilyöntejä, kauttaviivoja tai laajennettuja merkkejä). -
Schema-laajennuksen edellyttämää pakollista AD-attribuuttia ei ole määritetty eADM-vientimallissa.
-
The
managerattribuutti viittaa DN:ään, jota ei ole AD:ssä, kuten seuraavasta käy ilmiAn invalid dn syntax has been specifiedlokissa. -
Vientimallin numeerinen kenttä lähettää merkkijonoarvon.
Ratkaisu: Selvitä, mikä on viimeinen attribuuttirivi, joka on kirjattu lokiin ennen virhettä. Tarkista kyseiselle attribuutille asetettu arvo eADM-vientimallissa sekä HR-järjestelmän lähdetiedoissa. Korjaa joko tietojen kartoitus eADM:ssä tai lähdearvo HR-järjestelmässä ja käynnistä sitten uusi synkronointi.
5. Verkko- tai yhteysongelma AD-agenttiin
eADM-pilvipalvelu ei pääse yhteyteen paikallisen eADM-asiakasohjelman kanssa, tai paikallinen asiakasohjelma ei pääse yhteyteen AD-toimialueen ohjauskoneen kanssa. Tällöin kyseiselle synkronointikierrokselle ei tallenneta lokimerkintöjä, tai lokissa näkyy aikakatkaisu- tai yhteysvirhe AD-kohtaisen virhekoodin sijaan.
Päätös:
-
Varmista, että eADM:n paikallinen asiakaspalvelu tai ajoitettu tehtävä on käynnissä paikallisella palvelimella.
-
Tarkista, että ulospäin suuntautuva HTTPS-liikenne (portti 443) on sallittu palvelimelta eADM-pilvipalvelun päätepisteeseen.
-
Varmista, että palvelin pystyy muodostamaan yhteyden AD-toimialueen ohjauskoneeseen vaaditulla LDAP-portilla (389 tai 636).
-
Tarkista palvelimen Windowsin tapahtumienvalvonnasta, onko siellä yhteys- tai palveluvirheitä.
Diagnoosiluettelo
|
Tarkista |
Mistä etsiä |
|---|---|
|
Näkyykö lokissa kyseisen käyttäjän luontiyritys? |
eADM:n paikallisen asiakassovelluksen loki, |
|
Mikä on virhekoodi viallisella rivillä? |
Logline-kuvaus seuraavassa muodossa |
|
Onko esine, jolla on sama CN-numero, vai |
AD-käyttäjät ja tietokoneet / PowerShell |
|
Näkyykö eADM:n AD-käyttäjätunnuskentässä kahden käyttäjän tiedot päällekkäin? |
eADM-käyttäjäprofiili → AD-käyttäjänimi-kenttä |
|
Onko palvelutilillä luontioikeudet kohde-OU:ssa? |
AD:n hallinnan siirto kohde-OU:ssa |
|
Onko paikallinen asiakasohjelma käynnissä? |
Windowsin tehtävien ajoitusohjelma tai palvelut paikallisella palvelimella |
Aiheeseen liittyvät artikkelit