Sync-Fehler bei AD Connector

Guten Abend,

ich habe eine Synchronisation von UCS auf einen Windows 2012 R2 AD eingerichtet. Unidirektional von UCS > AD. Die User werden auch übergeben, jedoch nicht die Passwörter.

Hier eine Ausgabe der connector.log auf dem UCS:

[code]04.11.2015 18:43:38,608 LDAP (PROCESS): sync from ucs: Resync rejected file: /var/lib/univention-connector/ad/1446643889.467004
04.11.2015 18:43:38,631 LDAP (PROCESS): sync from ucs: [ user] [ add] CN=mmaugg,cn=users,dc=exchange,dc=local
04.11.2015 18:45:46,262 LDAP (WARNING): sync failed, saved as rejected
04.11.2015 18:45:46,262 LDAP (WARNING): Traceback (most recent call last):
File “/usr/lib/pymodules/python2.7/univention/connector/init.py”, line 731, in __sync_file_from_ucs
or (not old_dn and not self.sync_from_ucs(key, object, premapped_ucs_dn, old_dn))):
File “/usr/lib/pymodules/python2.7/univention/connector/ad/init.py”, line 2266, in sync_from_ucs
f(self, property_type, object)
File “/usr/lib/pymodules/python2.7/univention/connector/ad/password.py”, line 223, in password_sync_ucs
pwd_ad_res = get_password_from_ad(connector, rid)
File “/usr/lib/pymodules/python2.7/univention/connector/ad/password.py”, line 137, in get_password_from_ad
s.connect ( (connector.lo_ad.host, 6670) )
File “/usr/lib/python2.7/socket.py”, line 224, in meth
return getattr(self._sock,name)(*args)
error: [Errno 110] Die Wartezeit für die Verbindung ist abgelaufen

04.11.2015 18:45:46,262 LDAP (PROCESS): sync from ucs: Resync rejected file: /var/lib/univention-connector/ad/1446643890.100908
04.11.2015 18:45:46,298 LDAP (PROCESS): sync from ucs: [ user] [ add] CN=sliebig,cn=users,dc=exchange,dc=local
[/code]

Außerdem werden die Konten als “inaktiv” angelegt, wobei das nicht das Problem wäre.

Als Hintergrund: Auf dem Windows-Server soll separat ein Exchange-Server laufen - daher die Konstellation mit Sychronisation der User von UCS > AD.

Vielen Dank schonmal für Hinweise :slight_smile:

Hallo sliebig,

das schaut so aus als ob die Windows Firewall die Anfrage bzw. Antwort nicht durchlässt. Wenn die Passwörter nicht gesetzt werden können, werden die Konten auch nicht aktiviert.

Ich denke Du findest im Handbuch unter 9.3.3.3. Einrichtung des Passwort-Dienstes auf dem AD-System nützliche Hinweise.
Direct-Link > http://docs.software-univention.de/handbuch-4.0.html#ad-connector:password-dienst

Gruß Nico

Hallo nicost,

Danke für den Hinweis! Mein Problem war, dass das Ausschalten der Firewall für Domänen-Netzwerke scheinbar nicht ausgereicht hat.

Ich habe nun die Firewall auch für private Netzwerke deaktiviert.

Jetzt funktioniert die Synchronisation tadellos!

Danke!

Hallo sliebig,

grundsätzlich sollte man die ganze Firewall ja aktiviert lassen, hast Du mal versucht Port 6670/TCP (wie im Handbuch angegeben) frei zu geben - im Domänen-Netzwerk und/oder für ‘Private Netzwerke’ - geht es dann?

Gruß Nico

Mastodon