12 Replies Latest reply on Dec 8, 2011 1:24 AM by slcn

    Policy auf AD-Gruppe / Benutzer wird nicht hinzugefügt

    slcn Apprentice
      Hallo zusammen,

      ich habe ein Problem welches ich nicht weiter eingrenzen kann.
      Wir haben mehrere Benutzer, welche Umlaute in ihrem Namen tragen aber wo im Benutzeranmeldenamen die Umlaute durch z.B. oe oder ue ersetzt wurden.

      Beispiel:
      Nähte, Rüdiger -> ruediger.naethe

      Weiter: Es gibt AD-Gruppen, in denen Benutzer liegen. Auf einige dieser Gruppen haben wir im DSM7 Benutzer-Policies gelegt.
      In den allermeisten Fällen tauchen die Benutzer korrekt nach einem Sync durch den Agent in der importierten Gruppe auf und erhalten auch korrekt die Policy.
      In den oben beschriebenen Fällen (bisher waren es drei davon), tauchen die Benutzer aber nicht im DSM7 auf und erhalten auch keine Policy.
      Ich habe schon die Logfiles (NIAI32_xxx.log) durchgeguckt und musste feststellen, dass der Agent die Gruppe richtig identifiziert:


      10:40:31.728 0        xniPrxAD: User ContextKey: ADS.USER.CONTEXT, ContextValue: Nähte\, Rüdiger.[anonymisiert] 
      10:40:31.728 1        xniPrxAD: starting user group resolver
      10:40:32.024 2        xniPrxAD:  Sid:S-1-5-21-1347177239-1002062629-10:40:32.024 2        xniPrxAD:  Sid:S-1-5-32-545, GroupName: Users.Builtin.[anonymisiert]
      10:40:32.024 2        xniPrxAD:  Sid:S-1-5-32-545, GroupName: Benutzer.Builtin.[anonymisiert]
      [... noch viele andere Gruppen ...]
      10:40:32.040 2        xniPrxAD:  Sid:S-1-5-21-1347177239-1002062629-142223018-161867, GroupName: Lync_User.[anonymisiert]
      [... viele andere Gruppen ...]
      10:40:32.149 1        xniPrxAD: Adding computer context
      10:40:32.196 0        xniPrxAD: Computer ContextKey: ADS.COMPUTER.CONTEXT, ContextValue: [computername].[anonymisiert]
      10:40:32.196 1        xniPrxAD: computer group resolver finished
      10:40:32.196 0       Login data successfully read
      10:40:32.196 0       Writing cached login data...


      An dieser Stelle ist also alles noch in Ordnung.
      Da ich solche Fälle (ö -> oe, ü -> ue) aber schon hatte und die auch im DSM7 korrekt behandelt werden, bin ich mir nicht sicher ob ich an der richtigen Stelle suche.

      Könnt Ihr mir helfen?

      Vielen Dank!


      LG,
      Patrick
        • 1. Re: Policy auf AD-Gruppe / Benutzer wird nicht hinzugefügt
          voidpointer Apprentice
          Hallo Patrick,

          setzt mal in der Registry unter HKLM/Software
          etsupport/extendedlogfilesettings/cmsext alle Werte die ein "first" im Namen haben auf 0

          also CmsDirInfPrvGetFirstGroup  ...FirstContext und ..FirstVariable auf 0 setzten
          anschliessend den CoreService durchstarten, dann kriegst du die logs vom eigentlichen AD-Treiber.

          Habt Ihr die User aus dem AD importiert und waren da die Anmeldenamen schon auf ae ue usw umgestellt?


          Viele Grüße
          --
          Kai
          • 2. Re: Policy auf AD-Gruppe / Benutzer wird nicht hinzugefügt
            slcn Apprentice
            Hallo Kai,

            danke für die Antwort. Das werde ich direkt morgen mal ausprobieren.

            Zum Import: Wenn ich das System richtig verstanden habe, gibt man in der Konsole ja "nur" die Gruppe an, die importiert werden soll. Ab diesem Zeitpunkt werden dann die Benutzer im DSM nach der nächsten synchronisation vom Agent in der Konsole hinterlegt.
            Weil ab dem Import habe ich keine Benutzer in der Gruppe, erst nach dem die Agents gelaufen sind füllt sich die Gruppe.
            Ein richtiger Import ist das ja nicht...

            Die Anmeldenamen wurden soweit ich weiss nicht geändert, aber das frage ich morgen nochmal explizit nach.

            Danke soweit!

            LG,
            Patrick
            • 3. Re: Policy auf AD-Gruppe / Benutzer wird nicht hinzugefügt
              Markus.Zierer Expert
              @slcn
              Leider ist das in dem Punkt nicht so ganz einfach. Beim anlegen einer ext. Gruppe teilst Du der DSM erstmal nur mit, dass es da eine AD Gruppe gibt, welche vermutlich auch Mitglieder enthält, mehr aber auch nicht. Was ausgelesen wird, sind die AD-SID's der Gruppenmitglieder. Sofern eine solche AD-SID bereits in der DSM bekannt ist, wird die entsprechende Gruppenmitgliedschaft hergestellt. Wenn nicht, dann nicht. Wie denn auch ?  Die DSM geht jetzt nicht von alleine her und sucht sich rekursiv die entsprechenden Benutzer und importiert diese dann ebenfalls. Was die DSM7 (genauer gesagt der BusinessLogic Auxiliare Service) macht, ist dass er fortlaufend prüft, ob sich an der Gruppenmitgliedschaft etwas geändert hat und würde, falls ja, diese Änderungen in der DSM7 bekannt machen. 

              Um die Benutzer korrekt zuordnen zu können, muss die DSM zu jeder AD-SID, welche Member der Gruppe ist, einen DSM Benutzer zuordnen können. Das geht aber erst, wenn entweder sich einer dieser Benutzer an einem Client anmeldet und den Agent startet, oder aber Du importierst alle Benutzer in die DSM.

              Das ist einerseits furchtbar kompliziert, andererseits aber auch strikt logisch.
              • 4. Re: Policy auf AD-Gruppe / Benutzer wird nicht hinzugefügt
                slcn Apprentice
                Hallo Markus,

                ok, danke. Das reduziert sich ja dann auf "kein richtiger Import" ;-)

                Ich habe den zuständigen Administrator gerade per Email gefragt - die Anmeldekonten wurden umbenannt! Der fiktive Herr rüdiger.nähte wurde umbenannt zu ruediger.naethe.

                Die Kausalkette lautet so:
                1) Benutzer angelegt - vor x Monaten
                2) Benutzer taucht im DSM7 auf - vor x Monaten
                3) AD-Import für Lync_User.[anonymisiert] angetriggert - vor ca. 4 Wochen
                4) Anmeldekonto wird im AD umbenannt (ü -> ue, ä -> ae) - vor ca. 2 Wochen
                5) Benutzer wird in Gruppe Lync_User.[anonymisiert] eingefügt - vor ca. 2 Wochen minus 1 Tag
                6) Benutzer taucht nicht im DSM7 in der Gruppe auf und erhält keine Policy.

                Ich habe im Grunde alle Benutzer schon in der Konsole. Die fallen ja automatisch in den Abschnitt "New Users & Computers". Dort haben die betroffenen Benutzer noch ihr "altes" Anmeldekonto mir den Umlauten.

                Kann der Fehler darin begründet sein? Also das DSM7 irgendwie mit dem geänderten Anmeldenamen durcheinander kommt?

                LG,
                Patrick
                • 5. Re: Policy auf AD-Gruppe / Benutzer wird nicht hinzugefügt
                  Markus.Zierer Expert
                  Hallo,

                  Hm, ich fürchte da weis ich jetzt auch nicht weiter. Fest steht jedenfalls folgendes: Durch ein bloßes Umbenennen eines AD Accounts, wird seine SID nicht geändert. Daraus folgt, dass sich für die DSM nichts geändert hat, da die SID ja immer noch die gleiche ist. Offenbar scheint es nun so zu sein, dass der Hintergrundabgleich mit dem AD auch nicht überprüft, ob sich die Display Names eines AD Objektes geändert haben. Dieser Abgleich wurde, meines Wissens nach, hauptsächlich dafür eingebaut, um AD Gruppenmitgliedschaften besser in den Griff zu bekommen. Und genau das tut er auch.

                  Letztendlich sollte es aber egal sein, da das DSM Objekt an die AD-SID gebunden ist. Und diese ändert sich ja nicht. Rein Theoretisch müsstest Du einen DSM Benutzer auch in Pumuckl umbenennen können ohne dass sich an seiner Mitgliedschaft in ext. Gruppen etwas ändert.

                  ich habe mir deine Beschreibung nochmals genau durchgelesen und komme zu dem Schluß, dass es sich hierbei eigentlich nicht um ein DSM Problem handeln dürfte. Die Zuordnung zu den jeweiligen ext. Gruppen erfolgt ja an Hand der SID. Wenn also nun ein Benutzer nicht richtig zugeordnet wird, kann das aus meiner Sicht nur daran liegen, dass irgendwie die Zuordnung DSM <> SID verlorengegangen ist. Das müsste sich dadurch lösen lassen können, dass man die Betroffenen User einfach nochmal komplett aus DSM rauslöscht.

                  ansonsten kann ich Dir nur raten, bei der Hotline nen Call zu eröffnen. Meines Wissens nach gab es hier aber bisher keine Probleme
                  • 6. Re: Policy auf AD-Gruppe / Benutzer wird nicht hinzugefügt
                    slcn Apprentice
                    Hallo Markus,

                    danke!

                    Ich probiere dann morgen also drei verschiedene Sachen aus:
                    1) Prüfen ob der DSM Auxiliary Service korrekt läuft
                    2) Extended Logs für AD-Treiber einschalten
                    3) Benutzer aus DSM löschen

                    Ich melde mich dann wieder mit den Ergebnissen.

                    Danke soweit!

                    LG,
                    Patrick
                    • 7. Re: Policy auf AD-Gruppe / Benutzer wird nicht hinzugefügt
                      voidpointer Apprentice
                      Hallo Patrick,

                      soviel ich weiss wird beim User nicht nur die SID sondern auch der FQDN
                      missbraucht um den angemeldeten Nutzer mit dem in der Datenbank hinterlegten abzugleichen. Hat sich jetzt den Logonname geändert seit du den Akkount vom AD importiert hast kriegt Netinstall den nicht mehr syncronisiert.

                      Schau einfach mal welche ID das Userobjekt beim Clientsync hat .. und
                      ob das der selbe User ist den Du auch in der DSM Console siehst (ObjectID vergleichen).

                      Ansonsten würde ich deinen Testuser nochmals neu aus dem AD importieren und ich bin sicher dann funktionierts.

                      Gruß
                      --
                      Kai
                      • 8. Re: Policy auf AD-Gruppe / Benutzer wird nicht hinzugefügt
                        slcn Apprentice
                        Hallo zusammen,

                        ich habe Ergebnisse!
                        1) Der Auxiliary Service lief, ich konnte keine Fehler feststellen
                        2) Extended Logs für AD-Treiber habe ich nicht eingeschaltet
                        3) Benutzer löschen ist die Lösung!

                        Wenn ich den Benutzer aus der DSM-Konsole lösche und den Agent neu synchronisieren lassen (execute changes auf dem zugehörigen Computer reicht), taucht der Benutzer mit dem geänderten Namen an den richtigen Stellen auf und erhält auch die richtigen Policies.

                        Der gelöschte und der neue Benutzer haben dann auch die gleichen Daten in den Feldern

                          [*]Unique ID (die SID)
                          [*]Active Directoy Display Name
                          [*]Active Directory Distinguished Name

                        Also scheint es wirklich so zu sein, dass DSM auf das "Name"-Attribut guckt um den Benutzer zu identifizieren.
                        Allerdings auch nicht konsequent, weil ich keine doppelten Einträge für die geänderten Accounts habe. Wenn der Name in Kombination mit AD-SID zur Identifikation herangezogen würde, hätte ich zwei Benutzer erwartet:

                          [*]rüdiger.näthe
                          [*]ruediger.naethe

                        Irgendwo scheint sich da also eine Unschärfe eingeschlichen zu haben...


                        Danke an alle!

                        LG,
                        Patrick
                        • 9. Re: Policy auf AD-Gruppe / Benutzer wird nicht hinzugefügt
                          MichaelLink Apprentice
                          Hallo zusammen,

                          ich möchte ein paar Dinge klarstellen, die in den bisherigen Beiträgen nicht ganz richtig dargestellt wurden.

                          1) Es gibt einen "echten" AD-Import von Usern. Allerdings geht das nur über AD-OUs. Gruppen werden in der Tat nur als Einzelobjekt importiert.
                          2) Es findet durch den Aux-Service keinerlei Abgleich mit AD im Hintergrund statt.
                          3) Bei der Synchronisation werden vom Client die Gruppen-SIDs des Computers & des Users geschickt. Der Server gleicht dann die Mitgliedschaften mit importierten AD-Gruppen ab.
                          4) Displaynamen bei Usern werden momentan nicht geändert, wenn er sich im AD ändert. Wäre zugegeben nützlich, zumal wir bei Computern das schon machen (wenn sich der FQDN ändert).
                          5) Zur Identifikation des Users wird ausschliesslich die AD-SID verwendet und nicht der Name.

                          Was jetzt konkret schiefgegangen ist, kann ich leider auch nicht sagen. Wenn der Fall wieder auftritt, kann man aber durch server-seitiges Logging genau feststellen, wie ein bestimmter User identifiziert wird. Dann einfach nochmal melden.

                          Grüsse

                          Michael
                          • 10. Re: Policy auf AD-Gruppe / Benutzer wird nicht hinzugefügt
                            slcn Apprentice
                            Hallo Michael,

                            danke für deinen Beitrag! Das Problem wird mich sicher wieder einholen, weil ich bis jetzt schon drei "Problembenutzer" habe. Die Zahl wird sicher noch steigen, da wir in unserer Umgebung ein Problem mit MS Lync und Umlauten im Logon-Namen haben. Ich weiss jetzt nicht ob MS schon involviert ist und an welcher Stelle genau das Problem auftritt, aber unsere Admins haben in unseren Pilotstandorten schon alle Umlaute ersetzt...

                            Die Benutzer zu löschen ist kein Akt, aber ich hätte schon gerne dass das automatisch funktioniert...
                            Was muss ich also tun um serverseitig zu Loggen?

                            Danke!


                            LG,
                            Patrick
                            • 11. Re: Policy auf AD-Gruppe / Benutzer wird nicht hinzugefügt
                              Markus.Zierer Expert
                              Hallo Michael,

                              2) Es findet durch den Aux-Service keinerlei Abgleich mit AD im Hintergrund statt.



                              Soweit ich das auf der DSM 7 Upgrade Schulung gelernt habe, wäre die korrekte Aussage an dieser Stelle: "Es findet durch den Aux-Service keinerlei automatischer Import aus dem AD im Hintergrund statt."
                              der Aux-Service wurde explizit dafür eingeführt, Änderungen im AD zu überwachen und in bei Bedarf diese in der DSM 7 nachzuziehen.

                              3) Bei der Synchronisation werden vom Client die Gruppen-SIDs des Computers & des Users geschickt. Der Server gleicht dann die Mitgliedschaften mit importierten AD-Gruppen ab.



                              Das ist Richtig. Allerdings wertet der Client nicht aus, wer denn noch alles Mitglied dieser AD Gruppe ist. Vom Client kommt nur die Info DASS er bzw. der angemeldete Benutzer Mitglied der Gruppe XY ist. Aber nicht, wer sonst noch. Der Server wiederum muss aber wissen, welche Mitglieder die Gruppe XY hat. Und da sich diese Mitgliedschaften ändern können, muss das ganze auch synchron gehalten werden. Und das genau ist (unter anderem) der Job vom Aux-Service.

                              5) Zur Identifikation des Users wird ausschliesslich die AD-SID verwendet und nicht der Name.



                              Wenn es tatsächlich so wäre, dann hätte der Kollege das Problem ja gar nicht. Interessant in diesem Zusammenhang ist ausserdem, dass wenn der Benutzer aus der DSM gelöscht und vom Agent wieder neu hinzugefügt wird, es ja klappt. In beiden Fällen müsste die SID die gleiche sein, trotzdem gibt es aber offenbar irgendwo einen Unterschied. Aber Du hast Recht, das sollte man über das Serverseitige Loging mal genauer unter die Lupe nehmen.
                              • 12. Re: Policy auf AD-Gruppe / Benutzer wird nicht hinzugefügt
                                Frank.Scholer Master
                                Hallo Markus,

                                da der Michael das (mit) entwickelt hat, würde ich ihm eher glauben ;-)

                                Grüße Frank