none
PeoplePicker / PersonEditor enthalten mir User und Gruppen aus Schwester-Domäne vor RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Ich habe mal wieder eine Fragestellung zum Verhalten des PeoplePickers und des PersonEditors. Wenn ich es richtig verstanden habe, ist der PeoplePicker ja wohl das kleine Büchlein z. B. auf eine Berechtigungsseite und der kleine "Namen prüfen"-Haken ist der PeopleEditor. Wie auch immer, sie funktionieren beide nicht richtig, aber zunächst etwas zum Domänenkonstrukt.

    Wir haben eine TLD "firma.com" und darunter eine "bruder.firma.com" und "schwester.firma.com". Die SharePoint-Server sind beide Mitglied der bruder.firma.com und natürlich vertrauen sich bruder und schwester. Darüber hinaus haben wir eine Test- und eine Produktionsfarm. Bei der Produktionsfarm finde ich ohne Probleme auch User und Gruppen aus der schwester.firma.com, nicht aber bei der Testfarm. Hier finde ich nur einige weniger User und Gruppen, was mich letztlich total verwirrt. Einen neu angelegten User in der schwester-Domäne kann ich im SharePoint nicht berechtigen. Mit der entsprechenden Import Connection kann ich den neuen User sogar importieren und ihm ein Profil erstellen, aber ich kann ihn über PeoplePicker und PersonEditor einfach nicht berechtigen. Wo liegt mein Problem? Wieso sehe ich vor allen Dingen einige der User aus der schwester-Domäne?

    Über den SSP der Testfarm kann ich im übrigen auch über Peoplepicker diesen neuen User des Schwester-Domäne auffinden. Woran kann das liegen? Ich weiß, dass man für bestimmten Web Applications den Suchpfad des PeoplePickers usw. ändern bzw. filtern kann, aber wieso werden dann einige gefunden und andere nicht? Die liegen in der gleichen OU in der Schwester-Domäne. Wie lauten z. B. die Befehle, um den PeoplePicker auf Auslieferung zurückzusetzen?

    Vielen Dank für jede Hilfe. Ich bin gestern regelrecht verzweifelt.

    • Typ geändert Andrei Talmaciu Montag, 20. September 2010 09:03 inaktiver Thread
    • Typ geändert michael.olb Donnerstag, 7. Oktober 2010 08:54
    Freitag, 10. September 2010 05:24
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Ich habe die Lösung durch einen Zufall selbst gefunden.

    Mit dem Befehl stsadm -o setsiteuseraccountdirectorypath war ein Scope auf Benutzerobjekte im Bruder-AD festgelegt. Dieser muss mit dem gleichen Befehl und einem leeren Pfad entfernt werden. Nun werden auch wieder User aus dem Schwester-AD gefunden.

    • Als Antwort markiert michael.olb Donnerstag, 7. Oktober 2010 08:54
    Donnerstag, 7. Oktober 2010 08:53
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo Michael,

    ein Netzwerktrace sollte dir hier weiterhelfen können.

    Der People Picker nutzt LDAP Queries, um die Benutzerinfos von AD anzufordern. In einem Trace wirst du genau festellen können, welche Antwort von welchem Server kommt.

    Falls du Hilfe bei der Auswertung des Traces benötigst, lade den Trace bitte auf SkyDrive hoch und verlinke diesen hier im Thread.

    Gruß,
    Andrei

    Freitag, 10. September 2010 13:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Michael,

    konntest du im Trace etwas erkennen?

    Gruß,
    Andrei

    Dienstag, 14. September 2010 11:41
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Andrei,

    konnte mich erst heute weiter darum kümmern, da ich letzte Woche krank war. Ich habe aus den Traces allerdings etwas erkennen können. Ich habe sowohl auf der Testfarm als auch auf der Prodfarm einen Trace vom Suchvorgang mit dem PeoplePicker gemacht. Zur Erinnerung: auf der Prod-Farm finde ich auch die Accounts aus der Schwester-Domäne, auf der Testfarm nicht. Jetzt habe ich durchaus eine interessante Erkenntnis:

    Der Frontend-Server der Prodfarm richtet seine LDAP-Anfragen ausschließlich an einen Domänencontroller der Schwester-Domäne. Als Antworten erhält er dementsprechend nicht nur Ergebnisse der Schwester-Domäne, sondern auch der Domäne, in der sich der Frontend-Server selbst befindet.

    Der Frontend-Server der Testfarm hingegen schickt seine LDAP-Anfragen ausschließlich an einen Domänencontroller der eigenen Domäne. Dadurch bleiben (warum auch immer), die Accounts der Schwesterdomäne außen vor.

    Wieso gehen die Prod-Server an den DC der Schwester-Domäne? Wieso liefert der andere DC "bruder.firma.com" keine Ergebnisse aus der "schwester.firma.com"? Über jegliche Anregungen wäre ich dankbar.

    Grüße
    Michael

    Montag, 20. September 2010 11:06
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Michael

    kein Problem. Probiere mal den Workaround mit stsadm -o setproperty -pn peoplepicker-searchadforests

    http://suguk.org/blogs/sharepointhack/archive/2009/02/05/16960.aspx

    Andere Anhaltspunkte: Generelle Verfügbarkeit der Domänenbenutzer, z.B. direkt auf dem betroffenen DC nach Benutzer aus der anderen Domäne suchen (über AD Benutzer- und -Computer, als Anwendungspoolkonto anmelden und Benutzerdaten vom DC aus der anderen Domäne anfordern), um ein generelles Problem auszuschließen. Berechtigungen für das Benutzerkonto überprüffen. Firewallregeln zwischen den beiden DCs, falls vorhanden, überprüffen.

    Gruß
    Andrei

    Montag, 20. September 2010 12:53
    |
  • Question
    Anmelden
    0
    Anmelden
    Das mit dem Workaround bringt auch keine Besserung. Es kommt aber ja noch etwas seltsamer: Einzig die "öffentliche" Web Application für die eigentlichen SharePoint-Sites hat in der Testfarm dieses Phänomen, dass ich die User der Schwester-Domäne nicht finde. Sowohl die Web Application für die Central Administration als auch für den Shared Service Provider liefern die gewünschten Ergebnisse beim Befragen des PeoplePickers (wenn man zum Beispiel einen User für die CA berechtigen will). Diese Einstellungen wurden für die entsprechenden Web Applications sicher nicht angepasst. Woran kann es denn noch liegen, denn ein entsprechend generelles Problem in der AD-Kommunikation kann mit dieser Information ja auch schon ausgeschlossen werden.
    Montag, 20. September 2010 14:54
    |
  • Question
    Anmelden
    0
    Anmelden

    Hast du hier evtl. noch einen Ansatz? Ich werde zwischenzeitlich nochmal einen Trace mit den anderen Webapplications von Test machen, wo ich alle User finden kann.

    Mittwoch, 22. September 2010 10:42
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich habe die Lösung durch einen Zufall selbst gefunden.

    Mit dem Befehl stsadm -o setsiteuseraccountdirectorypath war ein Scope auf Benutzerobjekte im Bruder-AD festgelegt. Dieser muss mit dem gleichen Befehl und einem leeren Pfad entfernt werden. Nun werden auch wieder User aus dem Schwester-AD gefunden.

    • Als Antwort markiert michael.olb Donnerstag, 7. Oktober 2010 08:54
    Donnerstag, 7. Oktober 2010 08:53
    |