User Profil Syncronisation Service - keine AD Änderungen übernommen

MichaelSch Als Antwort am 17 Apr. 2012 10:39

Ich kämpfe auch gerade mit solch einem Problem, bin gerade dabei alle CU´s zu installieren.

Vielleicht hast Du ja auch einen CU installiert und folgendes nicht beachtet:

Known issue 1

After you install this hotfix, you must restart the User Profile Synchronization Service for profile synchronization to function correctly.

Workaround

To work around this issue, follow these steps:

1. Visit Central Administration.
2. Click Manage Services on the System Settings section.
3. Find User Profile Synchronization Service in the list of services and then click Stop if its status is Started. Click Start and provide the credentials to start the User Profile Synchronization Service as soon as its status is Stopped.
   
   For more information about how to start the service, see the Start the User Profile Synchronization service (http://technet.microsoft.com/library/ee721049.aspx#StartUPSSProc) section on the following Microsoft website:
   http://technet.microsoft.com/library/ee721049(office.14)

Ansonsten bin ich auch noch dabei, das Problem irgendwie zu lösen, ich melde mich wenn es Besserung gibt, bzw. wenn jemandem etwas einfällt dazu, wäre natürlich auch schön.

A C Als Antwort am 17 Apr. 2012 12:17

Hallo,

das Stoppen des Dienstes hatte keine Wirkung gezeigt, bzw. der Dienst wollte einfach nicht neu Starten, für eine Weile erhielt ich den Status "Starting" und der Dienst wurde aber nie gestartet.

Ich hatte leider nicht die Zeit so lange nach dem eindeutigem Fehler zu suchen und hatte den UPSS gelöscht und neu angelegt und dannach funktionerte alles wieder.

VG

MichaelSch Als Antwort am 17 Apr. 2012 13:03

Danke für den Tipp, habe exakt das gleiche Problem, er will einfach nicht mehr starten....werde dann auch mal löschen und neu anlegen.

Hat das irgendwelche Nebenwirkungen oder kann man das ohne Bedenken machen? 

A C Als Antwort am 17 Apr. 2012 13:21

Also wenn der UPSS bereit auf dem System funktionierte, dann sollte es ohne Probleme klappen (auch das Starten der Services kann das 1.mal länger dauern) ... habe dies nun schon 2 mal machen müssen und hat immer geklappt.

WEnn nicht dann einfach Fehler oder Problembeschreibung posten, vielleicht kann ich ja helfen.

MichaelSch Als Antwort am 17 Apr. 2012 13:56

mhhh...war wohl keine gute Idee, jetzt fehlen mir auf den mysites sämtliche Inhalte, Verbindungen zu Kollegen, Profilbilder, usw. sind weg...

Einziger positiver Punkt, der UPS ist wieder gestartet.... :-(

Ich bin nach folgender Anleitung vorgegangen:

http://sharepoint.tejic.com/2011/10/07/user-profile-synchronization-service-stuck-on-starting/

Wäre schön, wenn mir einer verrät, wie ich die Inhalte wieder bekomme....

Danke.

thomasr Als Antwort am 17 Apr. 2012 13:23

Falls euch das weiterhilft, wir setzen bei uns den MIISClient ein.

Gibt eine gute übersicht über den aktuellen Sync Status und allfällige probleme welche bei der Synchronisation vorhanden sind.

Zudem würde ich mal nach DCOM Fehlern suchen, da dies ja auch auf Profil Synchronisations Probleme hinweisen können.

A C Als Antwort am 17 Apr. 2012 14:05

In der Anleitung steht Punkt 3 "Delete Data associated with Service Application" ich hoffe du hattest dies nicht angehackt ! Wenn ja, dann hilft nur noch ein altes Backup der Datenbanken...

Ich kenne die Anleitung zwar nicht, aber der Punkt ist ziemlich aussage kräftig und man sollte diesen nicht anhacken, wenn die Profile erhalten bleiben sollen.

MichaelSch Als Antwort am 17 Apr. 2012 14:10

Und ich den Haken, entsprechend der Beschreibung, auch nicht gesetzt.

Ich schätze ic hhätte mal besser die Namen der DB Tabellen anschauen gesollt, werds wohl noch einmal machen müssen, oder kann ich irgendwo nachträglich die Tabellennamen ändern, bzw. einfach im DB Schema umbenennen?

A C Als Antwort am 17 Apr. 2012 14:21

Hmm.. wenn der Hacken nicht gesetzt war, dann versteh ich nicht, warum die Profile weg sind...

Direkt im DB Schema eingreifen halte ich für gewagt ... habe ich jedenfalls noch nicht gemacht und würde es auch nicht empfehlen.

dennoch steht die Frage im Raum, warum die Daten auf eurem System weg sind? Beim neu anlegen, kann man die alten Datenbanken und Webanwendungen verwenden, wurden etwa neue angelegt? (man muss diese aktiv auswählen)

MichaelSch Als Antwort am 17 Apr. 2012 14:35

Wie oben geschrieben habe ich mir die Datenbankstruktur nicht angeschaut. Da ich Sie auch nicht selbst angelegt hatte bin ich erst einmal von Standardnamen ausgegangen, was leider falsch war :-p

Habe das Ganze also noch einmal gelöscht und neu angelegt, dieses Mal die richtigen Datenbanknamen angegeben und schon ist es wieder besser.

Der Sync Dienst ist jetzt auch gestartet, allerdings fehlt mir jetzt die "Synchronization Connection" zu unserem AD. Wollte diese noch anlegen, aber leider beschwert er sich immer folgendermaßen (auch wenn ein DC angegeben wird):

Unable to find domain controller for the specified domain. Please explicitly specify the domain controller.

MichaelSch Als Antwort am 17 Apr. 2012 14:49

ok, das hat nun auch geklappt, habe den Synchronisationslauf nun gestartet....wo kann ich am besten sehen ob dieser erfolgreich abgeschlossen wurde?

Habe mal im AD etwas bei mir geändert, auf meiner mysite ist es aber noch immer der alte Wert :-(

Danke.

A C Als Antwort am 17 Apr. 2012 15:06

schön das es wieder läuft :)

Also man kann den Sync-Status auf der Manage - Site des UPSS einsehen und dort sollte rechts der Status "Sychronizing" stehen und direkt darunter Current Synchronization Stage : ...

Dann kann man die Daten von geziehlten Profilen auch auf der UPSS Manage-Site im Punkt "Manage User Profile" (2. Punkt in der Rubrik People) und entsprechenden Nutzer über die Suche auswählen...

MichaelSch Als Antwort am 17 Apr. 2012 15:41

mhh, in dem von Dir genannten Punkt kann ich nur die mysite der Person managen, allerdings komm ich ja auch so auf meine mysite :-)

Dort sind die Daten aus dem AD verwaltet, z.B. wird meine Handynummer nicht angezeigt, obwohl die schon drin stand vor Sharepointzeiten, bei einem anderen Kollegen wird diese aber angezeigt.

Zum Test habe ich dann einfach mal im AD bei "Büro" mir noch was angefügt und habe dann im SP in der CA "Start Profil Synchronization" gewählt oder auch "Configure Synchronization Timer Job" und dort "Run now", leider wird die Änderung oder auch meine Handynummer noch immer nicht angezeigt....

Der Profile Synchroonization Status steht bei mir übrigens immer auf "Idle" wenn ich schaue und bei "Last run" steht immer auch die Zeit drin, wenn ich ihn gestartet habe...

MichaelSch Als Antwort am 18 Apr. 2012 14:03

Hallo A C,

könntest Du mir vielleicht mal den gefallen tun und schauen, was der User, den Du für den UPS Dienst nutzt, auf der entsprechenden Datenbank für Berechtigungen hat?

Ich kann mir nur noch vorstellen, dass es mit Berechtigungen zusammenhängt. Habe heute noch auf den aktuellsten CU geupdatet, anschließend mußte ich wieder den kompletten UPS löschen und neu anlegen, weil er sich wieder nicht starten lies...steht als "known issu" aber immer bei den CU´s mit dabei, also soweit ok. Trotzdem erhalte ich keine neue Daten, jetzt erhalte ich sogar noch einen anderen Fehler, der laut Artikel sich auch beheben lassen soll: http://technet.microsoft.com/en-us/library/ff383250.aspx leider ist auch das ohne Erfolg, im EventViewer erscheint bei mir immer die 8088.

Langsam gehen mir die Ideen aus :-(

Danke für die Hilfe.

EDIT: zu Deinem Beitrag oben, das gleiche Problem habe ich ja auch, es werden keine Daten aus dem AD übernommen, alte Daten bestehen. Du kannst mal testweise den UPS löschen, neu anlegen, aber andere Datenbanknamen vergeben, da hatte ich sofort alle aktuellen Daten drin, mußte nicht einmal die Syncschnittstelle einrichten...interessanter Weise...dann habe ich den UPS wieder gelöscht, mit den alten Tabellen angelegt und schon war wieder alles da, aber aktuelle Daten kommen nicht rein. Ich rechne mit Berechtigungsproblemen auf den entsprechenden Tabellen oder mit einem Problem des "Managed Metadata Service", da dieser direkte Auswirkungen hat auf den UPS

A C Als Antwort am 19 Apr. 2012 10:10

Hallo,

sorry konnte erst jetzt antworten, also der NUtzer ist DBO (DatabaseOwner) und daher kann es nicht an den Berechtigungen liegen oder? Welche Rechte hat bei Dir der Nutzer?

Sind alle Datenbanke auf den gleichen Stand oder laufen einige in einem Kompatibilitätsmodus?

Das kann man in der CA bei Upgradestatus einsehen...

MichaelSch Als Antwort am 19 Apr. 2012 10:27

Da wir Sharepoint erst seit diesem Jahr einsetzen und auch erst seit wenigen Wochen produktiv, betreiben wir bisher nur einen einzelnen Farm Server und eine einzelne Datenbankserver. Diese habe ich auch korrekt gepatchet, also mit abschließendem PSConfig.exe -cmd upgrade -inplace b2b -force -cmd applicationcontent -install -cmd installfeatures

Bei mir konnte ich folgendes feststellen....

Ich habe einen eigenen user für den UPS Service, außerdem einen für die Webrolle Sharepoint und einen für die Webrolle mysite.
Wenn ich mir die Berechtigungen anschaue, dann habe ich auf den Bestandsdatenbanken Profile und Social, die ich natürlich zwecks der bestehenden mysites weiter verwende (muss) diese drei User mit Berechtigungen drauf stehen. ABER, keiner dieser Nutzer hat Rechte für INSERT, DELETE, EXECUTE, SELECT....schon mal recht seltsam. Die dritte Datenbank ist die sync, diese lege ich bei jedem mal wenn ich den UPS neu anlege auch neu an. Dort erscheint eine zusätzliche Berechtigung für die Datenbankrolle FIM-SynchronisatzionService, welche entsprechende Rechte hat.

Ich würde also behaupten, die Rechte auf der Datenbank stimmen nicht, da es keinen User gibt der entsprechend berechtigt ist....von daher wollte ic heinfach mal wissen wie das bei Dir auf den entsprechenden Datenbanken aussieht...vorausgesetzt es funktioniert natürlich....

EDIT: Habe gerade einen neuen Crititcal im Eventlog entdeckt:

The Execute method of job definition Microsoft.Office.Server.UserProfiles.UserProfileImportJob (ID c70795a7-af91-4ae1-8386-9fd07a654da3) threw an exception. More information is included below.

Generic failure

A C Als Antwort am 19 Apr. 2012 11:10

Ok,

aber an dieser Stelle, eben weil es immer wieder zu Berechtigungsproblemen kommt habe ich nur einen ServiceAccount, welche die entsprechenden Berechtigungen für FIM und Social & AD hat. ...

Könnt Ihr dem FIMAccount nciht die Rechte auf dem DB Server einrichten? und dann mal testen?

MichaelSch Als Antwort am 19 Apr. 2012 13:03

Der SP ist bei uns nach Harbar Best Practice aufgesetzt...hatte da natürlich gewisses Vertrauen reingesteckt, dass der auch mal irgendwann fehlerfrei läuft, aber es gibt keinen Tag wo so ein SP nicht irgend einen Bauchschmerz produziert :-)

Das ist ja das problem, wenn ic hden Datenbanken die Datenbank Rolle FIM_.,.. zuordnen will, findet er diese nicht, ich kann Sie also nicht manuell einrichten, oder hast Du einen Tipp dazu wie das geht?

Danke.

A C Als Antwort am 19 Apr. 2012 14:03

Ja Best Practice ist zwar gut aber irgendwie hat jedes System so ein gewissen "Eigenleben" :) und gut zu wissen, dass man nicht allein immer nur die Fehler & probleme hat ...

Also auch wenn es vielleicht einigen "Best Practice Anleitungen" trotzt ist dieser Nutzeraccount auf dem DB Server DBO udn dieser account wird auch für FIM genutzt ... und damit funktioniert esbei uns...

Ich verstehe nicht was du mit "Rolle FIM zuordnen" meinst ? Wenn es darum geht, den Account welcher auch für FIM genutzt wird als DBO einzurichten, dann wie bereits gesagt, nicht auf der entsprechenden DB sondern in den Allgemeinen Rechten

MS SQL Management Studio > Sicherheit > "nutzer eigenschaften" > Benutzerzuordnung und dann die DB selektieren und recht setzten...

hoffe es hilft

MichaelSch Als Antwort am 19 Apr. 2012 14:15

Ich glaube ich habs, mehr werde ich in den nächsten paar Minuten wissen :-)

Folgender Hinweis hat mich auf die Spur gebracht:

Event ID 1004:
======================
The reason that we are seeing this message is that the WMI calls are made under the credentials of Network Service account and it doesn’t have permissions to the folder in which Microsoft.ResourceManagement.Service.exe is located and thus the resource not found error is logged.
The error should go away if the Network Service account is given permissions to the folder (as indicated in the error)where the resource is located. (C:\Program Files\Microsoft Office Servers\14.0\Service)

Ich hab jetzt tagelang Events bearbeitet und so ziemlich jedes Event gekillt und das war jetzt das Letzte was noch hoch kam und nachdem ich den Ordner C:\Program Files\Microsoft Office Servers\14.0 für "Network Service" berechtigt hatte springen plötzlich im Eventviewer Warnings hoch, die Datenbank betreffend...jetzt kann es sich nur noch um Kleinigkeiten handeln, ich denke bald läuft es :-p

Übrigens reicht es nicht, nur den Ordner "Service" zu berechtigen, es musste "14.0" komplett berechtigt werden.

Jetzt stehen mir noch im Weg:

Warning:

The management agent "MOSS-3add7934-70ad-4411-a9e8-77a21d6b0a4f" completed run profile "MOSS_DELTAIMPORT_ed3e9918-cb5d-42db-af08-09d51cd61dea" with a delta import or delta synchronization step type. The rules configuration has changed since the last full import or full synchronization.

User Action

To ensure the updated rules are applied to all objects, a run with step type of full import and full synchronization should be completed.

Error:

The management agent "MOSSAD-BLANCO" failed on run profile "DS_FULLIMPORT" because of connectivity issues.

Additional Information

Discovery Errors : "0"

Synchronization Errors : "0"

Metaverse Retry Errors : "0"

Export Errors : "0"

Warnings : "0"

User Action

View the management agent run history for details.

A C Als Antwort am 19 Apr. 2012 14:39

so richtig kann ich nicht folgen, denn es wird ja geschrieben, dass der Benutzer für die FIM Dienste in der lokalen Admingruppe enthalten sein soll und damit kann dieser auf alle lokalen Verzeichnisse und Dateien zugreifen, oder?

MichaelSch Als Antwort am 19 Apr. 2012 14:46

Also Sharepoint User in lokalen AD Gruppen sollten eigentlich nicht notwendig sein und ist eher davon abzuraten.

Hier ist wohl eher das Problem, dass zum anstarten des Service eben ein lokaler Service User herangezogen wird, der einfach berechtigt wird.
Das hat bei mir jetzt soweit geholfen, ich bin jetzt bei folgendem Artikel angelangt: http://blog.jussipalo.com/2010/02/sp2010-fimsynchronizationservice-errors.html 

A C Als Antwort am 17 Apr. 2012 14:49

Also ich habe nur den Forest angegeben und nicht direkt den DC z.B. myNetwork.lan dabei die Option auf "Auto discover DC eingestellt

Oben den Typ auf "Active Directory und Authentication auf Windows Authentication gestellt

Den administrativen Account (muss AD Admin sein oder spezielles Priv. für lookup in Domain haben)

Port 389

Passwort eingeben und dann "Populate Containers... und dass sollte funktionieren.