Support

neues Ticket Helpdesk News & Updates

Beschreibung des AdConnectors (ID902)

Aufgaben des Dienstes ‚LANiS_AdConnect‘

 

Der Dienst synchronisiert die im PFTP-Server liegende Userdatei mit der OU ‚LDAP‘ des AD. Die Synchronisation erfolgt nur vom PFTP-Server zum AD. Eine Synchronisation in die andere Richtung ist leider nicht möglich, weil das AD die Kennworte der User nur als Hash und nicht auslesbar vorhält. Weiterhin trägt der Dienst in den Datenordnern der Schüler und Lehrer entsprechende Benutzerrechte ein. Diese werden von den Modulen beim Zugriff erwartet. Fehlende Userrechte verlangsamen die Zugriffe auf die Userverzeichnisse teile erheblich. Durch diese Verbindung zwischen SpHPaedNet und dem AD wird es möglich Systeme, wie z.B Office 365 oder moodle über das schulische AD mit dem PaedNet zu verbinden und den Usern eine einheitliche Kennwortstruktur anzubieten.

 

Installation und Destallation des Dienstes

 

Der Dienst wird bei der Installation oder einem Update mit SetupAD installiert und gestartet. Der Dienst kann über den Dienstdialog gestartet und gestoppt werden. Dabei besteht dann aber die Gefahr, dass das AD Änderungen des FTP-Servers nicht mitbekommt. Unter Umständen ist dann eine händische Neubeschickung des ADs notwendig.   

 

Das folgende Script beendet einen laufenden Dienst, Spielt eine neue Version des AdConnectors ein und startet den Dienst neu:


Aktualisierung des AD im Bereich ‚LDAP‘ im laufenden Betrieb

(Diese Funktion steht erst ab Build 331 des Dienstes zur Verfügung)

Sollte der Verdacht bestehen, dass das AD und die PFTP-User Tabelle auseinandergelaufen sein könnten, kann eine Auffrischung nur des ADs im Bereich LDAP weiter helfen. Es ist allerdings zu beachten, dass die Aktualisierung abhängig von der Anzahl der User und der von den Usern gehaltenen Datenmengen lange dauern kann. Die Aktualisierung kann problemlos während des laufenden Betriebs durchgeführt werden.

 

  • Den Dienst ‚LANiS_AdConnect‘ im Dienstdialog anhalten:

 

  • In der Registry die Zeichenfolge ‚InitDone‘ auf ‚FALSE‘ setzen

  • Den Dienst erneut starten. Der Dienst hat alle User aktualisiert, wenn die beiden Zeitstempel ‚LastTimerStartEvent‘ und ‚LastTimerStopEvent‘ nur wenige Sekunden auseinanderliegen. Liegt die Stopzeit hinter der Startzeit, so ist die Nutzfunktion des Dienstes noch mit der Aktualisierung beschäftigt. 

  

Neuanlage der User in der OU ‚LDAP‘ mit neuen Security-IDs (SID)

Tipp: Vor einer Neuanlage der User versuchen Sie zunächst die Probleme mit einer Auffrischung des AD zu lösen.

In bestimmten Situationen kann es wünschenswert sein alle User im Bereich ‚LDAP‘ neu anzulegen. Da die User auch bei gleichbleibenden Namen eine neue SID bekommen, ist zunächst zu klären, ob eventuell an das AD angeschlossene Systeme (Office365, moodle, Radiusserver) mit den geänderten SIDs ein Problem haben. Zur Neuanlage gehen Sie wie folgt vor:

  • Halten Sie den Dienst ‚LANiS_AdConnect‘ an.
  • Setzen Sie die Zeichenfolge ‚InitDone‘ auf FALSE
  • Löschen Sie im AD die OU ‚LDAP‘ mit ihrem gesamten Inhalt.
  • Starten Sie den Dienst neu.

 

Überwachung des Dienstes

Treten Probleme oder Fehler bei der Arbeit mit dem Dienst auf, kann das Logfile des Dienstes aktiviert werden. Da der Dienst sehr kleinschrittig protokolliert was er tut, wird das Logfile schnell sehr groß. Bitte beenden Sie die Überwachung unmittelbar nach der Problem Analyse. So gehen Sie vor:

 

  • Legen Sie die Zeichenfolge ‚Debug‘ an und setzen Sie sie auf ‚TRUE‘:

 

 

  • Das Logfile entsteht im Ordner '%PROGRAMDATA%\LANiS\AdConnect'.
  • Das Logfile wird erst geschrieben, wenn der Dienst neu gestartet wird.

 

 

 

Auswertung der Überwachung:

Das Logfile können Sie mit einem normalen Editor öffnen. Suchen Sie mit der Suchfunktion nach ‚error:‘ und beachten Sie die Hinweise in den folgenden Zeilen.

Beispiel:

Fehlermeldungen, die durch das Programm ICACLS ausgelöst werden, werden weiter unten beschrieben.

 

 

 

Zur Orientierung im Logfile gibt es verschiedene Label.

 

  • Eine startende Nutzfunktion erkennt man an der Startzeile:

 

(#TITI0100) Dienst ruft Nutzfunktion

 

  • Die Nutzfunktion endet mit der Zeile:

 (#TITI0200) Ende des Aufrufs der Nutzfunktion

 

Beispiel: AdConnector im Leerlauf

 

 

 


  • Ort, an dem erkannt wurde, dass sich in der Usertabelle etwas geändert hat. Nach diesem String im LOG suchen um die Sequenz zu treffen, wo Änderungen am AD vorgenommen werden:

(#CANF0600) Änderungen in Usertabelle bearbeiten

 

 

ICACLS Return-Codes

Kopieren Sie sich einfach aus dem Logfile die komplette Zeile mit dem gescheiterten ICACLS-Befehl. Bitte das führende und schließende Hochkomma nicht mitnehmen:-).

Code 3:

In der DOS Box ICACLS ablaufen lassen. Man findet einen Hinweis auf eine Unzulänglichkeit im Filesystem des Users. Das kann z.B. ein zu langer Pfad sein.

 

Code 1332:

Möglichkeit 1:

Es ist etwas unsauber im Verzeichnis. In diesen Situationen hat es geholfen den Inhalt des Ordners temporär weg zu kopieren. Den Ordner zu löschen und über das Adminmodul die Usertabelle neu laden und speichern. Dabei wird der Ordner neu angelegt. Anschließend den Ordnerinhalt wieder bereitstellen.

 

Möglichkeit 2:

Der Fehler verschwindet  oft nach einem Neustart des Servers. Gelegentlich hat auch einfaches abwarten geholfen.

 

Weitere Codes werden hier aufgelistet: https://docs.microsoft.com/en-us/windows/win32/debug/system-error-codes

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Artikeldetails

Artikel-ID:
902
Kategorie:
Datum (erstellt):
01.05.2020 14:34:06
Bewertung :