Verwalten der Active Directory-Synchronisierung in Project Server 2007

  • Artikel

Letzte Aktualisierung: August 2008

 

Letztes Änderungsdatum des Themas: 2015-02-27

Project Server-Benutzer und -Ressourcen können mit den Benutzern des Active Directory-Verzeichnisdiensts für mehrere Domänen und Gesamtstrukturen synchronisiert werden. Dieses Feature unterstützt Administratoren bei lästigen Aufgaben, wie beispielsweise dem manuellen Hinzufügen einer großen Anzahl von Benutzern, dem Aktualisieren von Benutzermetadaten wie E-Mail-Adressen sowie dem Deaktivieren von Benutzern, die nicht mehr auf das System zugreifen müssen. Die Active Directory-Synchronisierung kann manuell oder automatisch nach einem Zeitplan erfolgen. Bei der Active Directory-Synchronisierung werden nur die Project Server-Daten geändert. Active Directory-Daten werden nie geändert, sondern nur abgefragt.

Aktualisierung von Eigenschaften für Project Server-Benutzer/Ressourcen während der Synchronisierung

Bei der Synchronisierung werden von Project Server 2007 die folgenden Eigenschaften für Project Server-Benutzer/Ressourcen mit bestimmten Active Directory-Benutzermetadatenfeldern aktualisiert:

Eigenschaft für Active Directory-Benutzer Eigenschaft für Project Server-Benutzer/Ressource

ADGUID (UserObject.objectGUID)

Gespeichert in der veröffentlichten Datenbank von Project Server (WRES_AD_GUID-Feld in der MSP_RESOURCES-Tabelle). Diese Eigenschaft kann in der Project Web Access-Benutzeroberfläche nicht angezeigt werden.

Windows-Benutzerkonto (domain\sAMAccountName)

Windows-Benutzerkonto

Anzeigename (UserObject.displayName)

Anzeigename/Ressourcenname

E-Mail-Adresse (UserObject.mail)

E-Mail-Adresse

Abteilung (UserObject.department)

Gruppe (nur Ressourceneigenschaft)

Tipp

Dies bezieht sich nicht auf Project Server-Sicherheitsgruppen.

Sie können die Active Directory-Synchronisierung anpassen und mithilfe serverseitiger Ereignishandler zusätzliche Metadatenfelder zuordnen. Weitere Informationen zu serverseitigen Ereignishandlern finden Sie unter Schreiben und Debuggen von Ereignishandlern für Project Server 2007 (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=126633\&clcid=0x407) in der MSDN Library Online.

Zusätzliche Active Directory-Felder können benutzerdefinierten Ressourcenfeldern über das Project Server 2007 AD/Resource Sync Utility (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=126634\&clcid=0x407) zugeordnet werden, das über CodePlex verfügbar ist.

Tipp

Microsoft steuert, überprüft, überarbeitet, fördert oder vertreibt die Projekte von Drittanbietern auf der CodePlex-Website nicht. Das Risiko liegt allein bei Ihnen. Microsoft hostet die CodePlex-Website nur als Webspeichersite als Service für die Entwickler-Community.

Bewährte Methoden für die Active Directory-Synchronisierung

Microsoft empfiehlt die folgenden bewährten Methoden für die Verwaltung der Active Directory-Synchronisierung in Project Server 2007:

  • Erstellen Sie Active Directory-Gruppen, die den einzelnen Project Server-Sicherheitsgruppen und dem Project Server-Enterprise-Ressourcenpool entsprechen. Verwenden Sie für die neuen Active Directory-Gruppen beispielsweise Namen wie "Project Server – ERP", "Project Server – Projektmanager" oder "Project Server – Führungskräfte". Schachteln Sie vorhandene Active Directory-Gruppen innerhalb dieser Gruppen, um die Anordnung zu optimieren.

  • Synchronisieren Sie den Enterprise-Ressourcenpool stets zuerst, und synchronisieren Sie dann Project Server-Sicherheitsgruppen. Dadurch wird sichergestellt, dass die Enterprise-Ressourceneigenschaften ordnungsgemäß eingerichtet werden.

  • Planen Sie die Synchronisierung gemäß Ihren Unternehmensanforderungen. Falls häufig neue Benutzer hinzugefügt werden oder falls Benutzer die Position in Ihrer Organisation wechseln, können Sie eine tägliche Synchronisierung planen. Andernfalls können Sie eine wöchentliche Synchronisierung planen. Es hat sich bewährt, die Synchronisierung immer so zu planen, dass sie in arbeitsfreien oder in Zeiten mit geringer Auslastung auftritt. Dies wird empfohlen, da bei der Synchronisierung eine erneute Synchronisierung von Berechtigungen mit Windows SharePoint Services verursacht wird, wodurch der Webistezugriff für alle Benutzer vorübergehend verloren geht.

  • Behandeln Sie Probleme bei der Synchronisierung, indem Sie das Anwendungsereignisprotokoll auf dem Anwendungsserver der Serverfarm überprüfen. Mithilfe der ULS-Protokolle (Unified Logging Service, vereinheitlichter Protokollierungsdienst) können Sie zudem weitere Einzelheiten zu Problemen bei der Active Directory-Synchronisierung erhalten (das ULS-Protokoll enthält z. B. DEADLOCK-Einträge, falls eine Benutzersperrung aufgetreten ist – siehe den weiter unten folgenden Eintrag unter "Achtung"). Sie können die ULS-Protokolleinstellungen auf der Website der SharePoint-Zentraladministration konfigurieren, um weitere Einzelheiten zu Active Directory-Ereignissen bereitzustellen, die Sie erfassen möchten. Diese Einstellungen können auf der Registerkarte Vorgänge auf der Seite Diagnostikprotokoll konfiguriert werden. Auf dieser Seite können Sie die ULS-Protokolleinstellungen so konfigurieren, dass nur Active Directory-Synchronisierungsinformationen erfasst werden, indem Sie Ereignissteuerung auf die Kategorie Active Directory-Synchronisierung für Project Server festlegen. Legen Sie darüber hinaus Unwichtigstes, im Ablaufverfolgungsprotokoll aufzuzeichnendes Ereignis auf Ausführlich fest. Weitere Informationen zum Konfigurieren von Protokollierungsoptionen finden Sie unter Konfigurieren der Diagnoseprotokollierung (Project Server).

    Warnung

    Unter bestimmten Umständen kann durch die Synchronisierung von Project Server-Benutzern und -Arbeitsbereichen mit Active Directory eine "Deadlocksituation" verursacht werden, in der alle Benutzer für eine PWA-Website oder die entsprechenden Arbeitsbereiche gesperrt werden. Dadurch treten für Benutzersynchronisierungsaufträge Fehler auf, und Websiteberechtigungen werden nur teilweise oder gar nicht synchronisiert. Möglicherweise können sich Benutzer nicht an PWA oder ihre Arbeitsbereiche anmelden.
    Ein Deadlock kann auftreten, wenn der Abschluss des Benutzersynchronisierungsprozesses zu viel Zeit in Anspruch nimmt. Der Grund hierfür liegt darin, dass der Synchronisierungsauftrag durch zahlreiche Benutzer und Arbeitsbereiche iteriert, wenn z. B. umfangreiche Mitgliedsänderungen vorgenommen werden. Durch einen Synchronisierungsauftrag, der für eine lange Zeit in der Warteschlagen verbleibt, wird die Wahrscheinlichkeit erhöht, dass andere Aufträge versehentlich beginnen, wodurch ebenfalls ein Deadlock verursacht werden kann.
    Sie können das Risiko eines Deadlocks verringern, indem Sie die folgenden Aktionen ausführen:

    • Überprüfen Sie, bevor Sie umfangreiche Gruppenmitgliedsänderungen vornehmen, dass zurzeit keine Aufträge mit Namen "Benutzersynchronisierung für Project Web Access-Anwendungsstammwebsite und Project WSS-Arbeitsbereiche" verarbeitet werden oder in der Warteschlange auf ihre Verarbeitung warten.

    • Führen Sie das Tool Project Server Workspace Sync (in englischer Sprache) auf der CodePlex-Website (https://go.microsoft.com/fwlink/?linkid=147394&clcid=0x407) aus. Das Tool steuert, was beim Start des Auftrags synchronisiert werden soll - PWA und Arbeitsbereiche, nur Arbeitsbereiche, nur PWA oder keine Synchronisierung für PWA oder Arbeitsbereiche - und ermöglicht es dem Administrator, die Benutzersynchronisierung während der arbeitsfreien Zeit oder in Zeiten mit geringer Auslastung auszuführen, wenn die Serverauslastung geringer ist.

      Beachten Sie, dass durch das Tool Project Server Workspace Sync der Synchronisierungsprozess nicht verkürzt wird. Durch die Fähigkeit, Benutzer zu synchronisieren, wenn die Serverauslastung geringer ist, wird jedoch die Möglichkeit von Synchronisierungsfehlern verringert.

  • Stellen Sie sicher, dass das für den Anbieter für gemeinsame Dienste (Shared Services Provider, SSP) der Project Server-Anwendung angegebene Konto über die Leseberechtigung für alle bei der Synchronisierung verwendeten Active Directory-Domänen und -Gesamtstrukturen verfügt. Beachten Sie, dass dieses Konto in allen Active Directory-Synchronisierungen verwendet wird, auch wenn sie manuell über ein anderes Benutzerkonto ausgeführt werden.

  • Auf dem Server angegebene Listentrennzeichen in einem Active Directory-Anzeigenamen können in Project Web Access durch den Synchronisierungsprozess ersetzt werden. In Office Project Server 2007 ist das Listentrennzeichen als Komma definiert. Falls ein Active Directory-Anzeigename ein Komma enthält, wird es aus diesem Grund durch ein Semikolon ersetzt. Dies kann in Szenarien zu Problemen führen, in denen in der Regel Kommas in Anzeigenamen verwendet werden.

  • Wenn Sie benutzerdefinierte Ressourcenfelder verwenden, überprüfen Sie, dass diese Felder nicht auf erforderlich festgelegt sind. Falls diese Felder als erforderlich festgelegt sind und keinen Wert enthalten, kann bei der Active Directory-Synchronisierung ein Fehler auftreten, da nicht bekannt ist, welchen Wert das erforderliche Feld enthalten soll. Sie können die erforderlich-Option für diese Felder deaktivieren. Oder Sie können einen serverseitigen Ereignishandler implementieren, um erforderliche benutzerdefinierte Felder bei der Synchronisierung zu füllen. Weitere Informationen zu serverseitigen Ereignishandlern finden Sie unter Schreiben und Debuggen von Ereignishandlern für Project Server 2007 (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=126633\&clcid=0x407) in der MSDN Library Online.

  • Wenn Sie Project Server über Project Web Access Benutzer hinzufügen, stellen Sie sicher, dass derselbe Anzeigename (UserObject.displayName) für den Benutzer verwendet wird wie in Active Directory. Wenn die Active Directory-Synchronisierung ausgeführt wird und die Anzeigenamen nicht übereinstimmen, wird der Konflikt mit den Anzeigenamen Fehler verursachen, und das Konto wird nicht aktualisiert.

Voraussetzungen für die Aufgabe

Die folgenden Anforderungen müssen erfüllt sein, um die Vorgänge für diese Aufgabe auszuführen:

  • Sie haben Zugriff auf Project Server über Project Web Access mithilfe eines Kontos mit den globalen Einstellungen Active Directory-Einstellungen verwalten und Benutzer und Gruppen verwalten.

  • Sie haben Lesezugriff (für das SSP-Dienstkonto für die Project Server-Instanz) auf alle Active Directory-Gruppen und -Benutzerkonten, die an der Synchronisierung beteiligt sind. Dieses Konto können Sie auf der Seite Verwaltung der gemeinsamen Dienste auf der Website für die SharePoint-Zentraladministration überprüfen.

    Tipp

    Weitere Informationen zum SSP-Dienstkonto finden Sie unter Planen von Administrator- und Dienstkonten (Project Server)

Zum Verwalten der Active Directory-Synchronisierung in Project Server 2007 können Sie die folgenden Verfahren ausführen. Die Active Directory-Synchronisierung kann für den Enterprise-Ressourcenpool oder für Project Server-Sicherheitsgruppen konfiguriert werden. Die beiden Verfahren sind nicht voneinander abhängig.