Denne artikkelen beskriver de vanligste årsakene til at eADM ikke klarer å opprette en brukerkonto i Active Directory (AD), og gir veiledning i hvordan man kan identifisere og løse hver enkelt årsak. Den er rettet mot eADM-administratorer og IT-partnere som administrerer lokale AD-integrasjoner.
Hvordan lese eADM AD-eksportloggen
Den lokale eADM-klienten skriver en detaljert logg for hver eksportoperasjon. Denne loggen er det viktigste diagnostiske verktøyet når en brukerkonto ikke blir opprettet i AD.
Loggfilene kan lastes ned via Synkronisering->Status->Mer->Last ned eADM Client-logg. Alternativt finnes den vanligvis i C:\eADM\ eller en undermappe som ble konfigurert under installasjonen. Hver oppføring følger dette mønsteret:
DD.MM.YYYY HH:MM:SS - [action or result message]
En vellykket «Create»-operasjon logger hvert attributt som angis, etterfulgt av en linje som angir at det ikke foreligger noen feil. En mislykket «Create»-operasjon logger attributtssekvensen og avsluttes deretter med en feilkode og en feilmelding. Eksempel på en mislykket opprettelse fra en kjent supportsak:
23.07.2025 14:20:41 - Creating with LDAP://DC-SERVER/cn=Maria Ustad,OU=eAdm,OU=Brukere,...
23.07.2025 14:20:41 - Setting samAccountName to value 1001ma
23.07.2025 14:20:41 - Checking if upn is unique in domain maria.ustad@orland.kommune.no
23.07.2025 14:20:41 - Setting userPrincipalName to value maria.ustad@orland.kommune.no
23.07.2025 14:20:41 - 173585349|The object already exists.
Feilmeldingene følger dette formatet ERROR_CODE|Error message text. Feilkoden og feilmeldingen sammen angir årsaken. Legg merke til den siste vellykkede attributtlinjen før feilen oppstod – dette gjør det lettere å finne ut hvor i AD operasjonen ble avvist.
Merk: Hvis det ikke vises noen loggoppføringer i det hele tatt for en synkroniseringssyklus, kan problemet ligge i selve den lokale eADM-klienten, og ikke i AD. Se «Feilsøking av System.ServiceModel.FaultException i loggene til den lokale eADM-klienten».
Vanlige årsaker og løsninger
1. Duplikatobjekt — brukeren finnes allerede i AD
eADM forsøker å opprette et objekt med et distinkt navn (DN) eller med et sAMAccountName som allerede finnes i AD. AD avviser operasjonen med en feilmelding som for eksempel The object already exists.
Dette kan skje når:
-
To ansatte deler den samme genererte
sAMAccountName(f.eks. begge blir til1001ma). -
En tidligere slettet brukerkonto ble ikke fullstendig fjernet fra AD, og det finnes fortsatt en «tombstone» eller et gjenbrukt objekt.
-
Brukeren ble opprettet manuelt i AD før eADM forsøkte å utføre provisjonering.
-
To brukere har samme fødselsdato, noe som fører til en konflikt i en regel for generering av brukernavn basert på dato.
Beslutning:
-
Søk i AD etter
sAMAccountNameeller CN-koden som vises i loggen for å identifisere objektet som forårsaker konflikten. -
I eADM åpner du den berørte brukeren og sjekker feltet «AD-brukernavn ». Hvis to brukere har samme verdi, må du korrigere verdien for én av dem via eADM-konfigurasjonen eller ved å endre regelen for generering av brukernavn.
-
Hvis det finnes et foreldet objekt i AD, må du fjerne det eller flytte det ut av målorganisasjonsenheten (OU), og deretter utløse en ny synkroniseringssyklus.
Merk: Den sAMAccountName må være unik i hele AD-domenet, ikke bare innenfor målorganisasjonsenheten (OU). Sjekk om det er konflikter i andre OU-er hvis den åpenbare veien ser ut til å være fri.
2. Utilstrekkelige rettigheter på tjenestekontoen
Tjenestekontoen som eADM bruker for å koble seg til AD, har ikke rettigheter til å opprette objekter i målorganisasjonsenheten (OU), eller mangler skrivetilgang til ett eller flere attributter som angis under opprettelsen.
Vanlige årsaker:
-
Tjenestekontoen har ikke tillatelse til å opprette underordnede objekter i målorganisasjonsenheten.
-
Tjenestekontoen mangler skrivetillatelse for bestemte attributter, for eksempel
proxyAddresses,manager, elleremployeeNumber. -
OU-strukturen ble endret etter at den opprinnelige delegeringen ble konfigurert, og tjenestekontoens tillatelser omfatter ikke lenger den nye mål-OU-en.
Løsning: Gjennomgå de delegerte tillatelsene i målorganisasjonsenheten (OU) i AD. Sørg for at eADM-tjenestekontoen har minst følgende:
-
Opprett og slett brukerobjekter i målorganisasjonsenheten.
-
Skriveadgang til alle attributter som er konfigurert i eADM-eksportmalen for den aktuelle brukertypen.
Ta kontakt med kundens AD-administrator for å justere de delegerte rettighetene. Ikke tildel eADM-tjenestekontoen rettigheter som domeneadministrator.
3. Kravene til passordets kompleksitet er ikke oppfylt
Hvis eADM er konfigurert til å kreve at det angis et passord ved opprettelse av en ny konto, vil AD avvise opprettelsen dersom passordet ikke oppfyller domenets passordretningslinjer – herunder krav til minimumslengde, kompleksitetsregler eller passordhistorikk.
Løsning: Gjennomgå standardpassordet som er konfigurert i eADM-eksportmalen, og sammenlign det med domenets detaljert passordpolicy (hvis aktuelt) eller standarddomenepolicyen. Passordet som eADM angir ved opprettelse av kontoen, må oppfylle alle kravene i policyen.
Advarsel: Du må ikke senke passordretningslinjene for AD-domenet for å tilpasse dem til eADM. Oppdater i stedet eADM-konfigurasjonen for å generere eller angi et passord som oppfyller kravene. Å senke domenets retningslinjer påvirker alle kontoer i domenet.
4. Ugyldige data eller brudd på skjemaet
eADM forsøker å skrive en verdi til et AD-attributt som skjemaet ikke tillater for det aktuelle domenet — for eksempel en verdi med feil datatype, en verdi som inneholder tegn som ikke støttes, eller et obligatorisk attributt som mangler.
Vanlige årsaker:
-
Den
sAMAccountNameinneholder tegn som ikke er tillatt i AD (f.eks. mellomrom, skråstreker eller utvidede tegn). -
Et obligatorisk AD-attributt som kreves av en skjemautvidelse, er ikke tilordnet i eADM-eksportmalen.
-
Den
managerattributtet refererer til et DN som ikke finnes i AD, slik det fremgår avAn invalid dn syntax has been specifiedi loggen. -
Et numerisk felt i eksportmalen sender en strengverdi.
Løsning: Finn den siste attributtlinjen som ble skrevet til loggen før feilen oppstod. Gjennomgå verdien som er angitt for dette attributtet i eADM-eksportmalen og kildedataene fra HR. Rett enten datakartleggingen i eADM eller kildeverdien i HR-systemet, og utløs deretter en ny synkronisering.
5. Nettverks- eller tilkoblingsfeil til AD-agenten
eADM-skytjenesten får ikke kontakt med den lokale eADM-klienten på stedet, eller den lokale klienten får ikke kontakt med AD-domenekontrolleren. I dette tilfellet blir det ikke skrevet noen loggoppføringer for den berørte synkroniseringssyklusen, eller loggen viser en tidsavbrudds- eller tilkoblingsfeil i stedet for en AD-spesifikk feilkode.
Beslutning:
-
Kontroller at den lokale eADM-klienttjenesten eller den planlagte oppgaven kjører på den lokale serveren.
-
Kontroller at utgående HTTPS-trafikk (port 443) er tillatt fra serveren til eADM-skyendepunktet.
-
Kontroller at serveren kan nå AD-domenekontrolleren på den nødvendige LDAP-porten (389 eller 636).
-
Sjekk Windows Hendelsesvisning på serveren for å se etter tilkoblings- eller tjenestefeil.
Diagnostisk sjekkliste
|
Sjekk |
Hvor skal man lete? |
|---|---|
|
Viser loggen et forsøk på opprettelse for brukeren? |
eADM-klientlogg, |
|
Hva er feilkoden på den feilaktige linjen? |
Logline i format |
|
Har et objekt med samme CN eller |
AD-brukere og datamaskiner / PowerShell |
|
Vises det et duplikat i feltet «eADM AD-brukernavn» for to brukere? |
eADM-brukerprofil → Feltet «AD-brukernavn» |
|
Har tjenestekontoen rettigheter til å opprette i målorganisasjonsenheten? |
AD-delegering av kontroll på målorganisasjonsenheten |
|
Kjører den lokale klienten? |
Windows Oppgaveplanlegger eller Tjenester på den lokale serveren |
Relaterte artikler