Navigationsspår

Felsökning: Användaren har inte skapats i Active Directory av eADM

Den här artikeln beskriver de vanligaste orsakerna till att eADM inte lyckas skapa ett användarkonto i Active Directory (AD) och innehåller steg för att identifiera och åtgärda varje orsak. Den riktar sig till eADM-administratörer och IT-partner som hanterar lokala AD-integrationer.

Så här läser du eADM:s AD-exportlogg

Den lokala eADM-klienten skapar en detaljerad logg för varje exportåtgärd. Denna logg är det främsta diagnostiska verktyget när ett användarkonto inte skapas i AD.

Loggfilerna kan laddas ner via Synkronisering->Status->Mer->Ladda ner eADM Client-logg. Alternativt finns den vanligtvis i C:\eADM\ eller en undermapp som konfigurerats under installationen. Varje post följer följande mönster:

DD.MM.YYYY HH:MM:SS - [action or result message]

Vid en lyckad skapningsoperation loggas varje attribut som anges, följt av en rad som anger att inga fel har uppstått. Vid en misslyckad skapningsoperation loggas attributsekvensen och därefter avslutas med en felkod och ett felmeddelande. Exempel på en misslyckad skapning från ett känt supportärende:

23.07.2025 14:20:41 - Creating with LDAP://DC-SERVER/cn=Maria Ustad,OU=eAdm,OU=Brukere,...
23.07.2025 14:20:41 - Setting samAccountName to value 1001ma
23.07.2025 14:20:41 - Checking if upn is unique in domain maria.ustad@orland.kommune.no
23.07.2025 14:20:41 - Setting userPrincipalName to value maria.ustad@orland.kommune.no
23.07.2025 14:20:41 - 173585349|The object already exists.

Felrader följer följande format ERROR_CODE|Error message text. Felkoden och felmeddelandet tillsammans anger orsaken. Notera den sista raden med attribut som lyckades innan felet uppstod – detta hjälper dig att avgränsa var i AD som åtgärden avvisades.

Obs! Om det inte finns några loggposter alls för en synkroniseringscykel kan problemet ligga i själva eADM-klienten snarare än i AD. Se avsnittet ”Felsökning av System.ServiceModel.FaultException i eADM-klientens loggar”.

Vanliga orsaker och lösningar

1. Dubblett – användaren finns redan i AD

eADM försöker skapa ett objekt med ett distinkt namn (DN) eller med ett sAMAccountName som redan finns i AD. AD avvisar åtgärden med ett felmeddelande av typen The object already exists.

Detta kan inträffa när:

  • Två anställda delar samma genererade sAMAccountName (t.ex. båda leder till 1001ma).

  • Ett tidigare raderat användarkonto har inte tagits bort helt från AD, och det finns fortfarande kvar en ”tombstone” eller ett återanvänt objekt.

  • Användaren skapades manuellt i AD innan eADM försökte genomföra tilldelningen.

  • Två användare har samma födelsedatum, vilket orsakar en konflikt i en regel för generering av användarnamn baserad på datum.

Beslut:

  1. Sök i annonserna efter sAMAccountName eller det CN-nummer som anges i loggen för att identifiera det objekt som orsakar konflikten.

  2. Öppna den berörda användaren i eADM och kontrollera fältet ”AD-användarnamn ”. Om två användare har samma värde ska du korrigera värdet för en av dem via eADM-konfigurationen eller genom att justera regeln för generering av användarnamn.

  3. Om det finns ett inaktuellt objekt i AD ska du ta bort det eller flytta det från målorganisationsenheten (OU) och därefter starta en ny synkroniseringscykel.

Obs! Den sAMAccountName måste vara unikt inom hela AD-domänen, inte bara inom målorganisationsenheten (OU). Kontrollera om det finns konflikter i andra organisationsenheter om den uppenbara vägen verkar vara fri.

2. Otillräckliga behörigheter för tjänstekontot

Det servicekonto som eADM använder för att ansluta till AD saknar behörighet att skapa objekt i målorganisationsenheten (OU), eller saknar skrivbehörighet till ett eller flera attribut som anges vid skapandet.

Vanliga orsaker:

  • Servicekontot har inte behörigheten ”Skapa underordnade objekt” för målorganisationsenheten.

  • Servicekontot saknar skrivbehörighet för vissa attribut, till exempel proxyAddresses, manager, eller employeeNumber.

  • OU-strukturen ändrades efter att den ursprungliga delegeringen hade konfigurerats, och tjänstekontots behörigheter omfattar inte längre den nya mål-OU:n.

Lösning: Granska de delegerade behörigheterna för målorganisationsenheten (OU) i AD. Se till att eADM-tjänstekontot åtminstone har följande:

  • Skapa och ta bort användarobjekt i målorganisationsenheten.

  • Skrivbehörighet till alla attribut som har konfigurerats i eADM-exportmallen för den användartypen.

Kontakta kundens AD-administratör för att justera de delegerade behörigheterna. Bevilja inte behörigheter som domänadministratör till eADM-tjänstekontot.

3. Kraven på lösenordets komplexitet är inte uppfyllda

Om eADM är konfigurerat så att ett lösenord måste anges vid skapandet av ett nytt konto kommer AD att avvisa skapandet om lösenordet inte uppfyller domänens lösenordspolicy – inklusive krav på minsta längd, komplexitetsregler eller krav på lösenordshistorik.

Lösning: Granska det standardlösenord som har konfigurerats i eADM-exportmallen och jämför det med domänens detaljerade lösenordspolicy (om sådan finns) eller standarddomänpolicyn. Det lösenord som eADM anger vid skapandet av kontot måste uppfylla alla policykrav.

Varning: Sänk inte lösenordspolicyn för AD-domänen så att den överensstämmer med eADM. Uppdatera istället eADM-konfigurationen för att generera eller ange ett lösenord som uppfyller kraven. Om du sänker domänpolicyn påverkas alla konton i domänen.

4. Ogiltiga data eller brott mot schemat

eADM försöker skriva in ett värde i ett AD-attribut som schemat inte tillåter för den domänen – till exempel ett värde av fel datatyp, ett värde som innehåller tecken som inte stöds eller ett obligatoriskt attribut som saknas.

Vanliga orsaker:

  • Den sAMAccountName innehåller tecken som inte är tillåtna enligt AD (t.ex. mellanslag, snedstreck eller utökade tecken).

  • Ett obligatoriskt AD-attribut som krävs enligt en schemautvidgning är inte mappat i eADM-exportmallen.

  • Den manager attributet hänvisar till ett DN som inte finns i AD, vilket framgår av An invalid dn syntax has been specified i loggen.

  • Ett numeriskt fält i exportmallen skickar ett strängvärde.

Lösning: Identifiera den sista attributraden som skrevs till loggen före felet. Granska det värde som anges för det attributet i eADM-exportmallen och källdata från HR. Korrigera antingen datamappningen i eADM eller källvärdet i HR-systemet och starta sedan en ny synkronisering.

5. Nätverks- eller anslutningsfel till AD-agenten

Molntjänsten eADM kan inte nå den lokala eADM-klienten på plats, eller så kan den lokala klienten inte nå AD-domänkontrollern. I detta fall skrivs inga loggposter för den berörda synkroniseringscykeln, eller så visar loggen ett tidsöverskridande eller ett anslutningsfel istället för en AD-specifik felkod.

Beslut:

  1. Kontrollera att den lokala eADM-klienttjänsten eller det schemalagda uppdraget körs på den lokala servern.

  2. Kontrollera att utgående HTTPS-trafik (port 443) är tillåten från servern till eADM-molnets slutpunkt.

  3. Kontrollera att servern kan nå AD-domänkontrollanten via den önskade LDAP-porten (389 eller 636).

  4. Kontrollera Windows Händelsevisare på servern för att se om det finns anslutnings- eller tjänstefel.

Diagnostisk checklista

Kontrollera

Var man ska leta

Finns det något försök att skapa ett konto för användaren i loggen?

eADM:s lokala klientlogg, C:\eADM\

Vilken felkod visas på den felaktiga raden?

Logline i formatet ERRORCODE|Message

Har ett objekt samma CN eller sAMAccountName finns de redan i AD?

AD-användare och datorer / PowerShell Get-ADUser -Filter {sAMAccountName -eq "value"}

Visas samma användarnamn i fältet ”eADM AD Username” för två användare?

eADM-användarprofil → Fältet ”AD-användarnamn”

Har servicekontot behörighet att skapa objekt i målorganisationsenheten?

AD-delegering av kontroll över målorganisationsenheten

Körs den lokala klienten?

Windows Schemaläggare eller Tjänster på den lokala servern

Senast uppdaterad: