locked
SharePoint 2003 - User lastlogon info problema RRS feed

 > 

  • Question

  • Question
    Sign in to vote
    0
    Sign in to vote

    Sziasztok,

     

    Van egy jo nagy SPS szerverunk, tobb ezer felhasznalot szolgal ki. Ezeknek egy resze ceges, tehet belso felhasznalo de van ~2000 felhasznalo egy szeparalt OU-ban, akik valojaban kulsos felhasznalok, kulso emailcimmel, egyebekkel. Tehat interaktiv logont sohasem csinalnak. Pedig valahogy meg kellene tudnom a kulsos felhasznalok LastLogon idejet is, amit a belsos felhasznalokra a kovetkezo szkripttel kivaloan le lehet kerdezni:

     

    Code Snippet

    strUserDN = "CN=Gipsz\, Jakab, OU=TestOU,DC=contoso, DC=int"

    set objUser = GetObject("LDAP://" & strUserDN)

    Set objLogon = objuser.Get("lastLogon")
      intLogonTime = objLogon.HighPart * (2^32) + objLogon.LowPart
      intLogonTime = intLogonTime / (60 * 10000000)
      intLogonTime = intLogonTime / 1440
      intLogonTime = intLogonTime + #1/1/1601#
      inactiveDays = Fix(Now() - intLogonTime)

    WScript.Echo objuser.DisplayName + " : " & intLogonTime

     

     

    De ha a kodban emlitett Gipsz Jakabot kicserelem az elkulonitett OU-ban levo, kulsos felhasznalo accountnevere, mindig 1/1/1601 a belepesi ido. Gondolom azert, mert az AD a LastLogon infot csak akkor frissiti, ha az adott felhasznalo interaktiv logint hajt vegre.

     

    A feladat valojaban az lenne, hogy kiszurjem a csak "KellALoginMertAzJoDeAztSeTudomMiAzSPSszerverURLje" "felhasznalokat". Szerintem biztos van olyan, tobb 100 felhasznalo is, aki eletben nem latta meg a nyitooldat.

     

    Igazabol azt nem ertem, miert nincs nyoma az SPS-en - es igy valojaban az IIS-en - keresztul tortent autentikacionak. Vagy van, csak en nem tudok rola? Van valakinek otlete? Az mar eszembe jutott, hogy fejlesztessel - egy IIS ISAPI filter megirasaval - is probalkozhatnek, de ehhez csak elmeleti tudasom van, eletemben nem irtam meg ilyet. Megneztem az SPS SQL adatbazisat is, hatha valamelyik tabla valamelyik mezoje meglep engem ezzel az infoval, de nem .. vagy ,egint csak nem latom. Esetleg az SPS admin feluleten lehet valahol elddugva egy ilyen feature? /hogy ravegyuk az SPS-t a logintime eltarolasara/

     

    Bocs hogy ilyen hosszu voltam, de gondoltam leirok minden - egyelore hasznalhatatlan - otletemet ezzel kapcsolatban.

     

    Koszi minden tippet elore is:

    JoeX

     

     

     

     

    Thursday, January 31, 2008 12:00 PM

All replies

  • Question
    Sign in to vote
    0
    Sign in to vote

    Hmm, a helyzet bonyolodik ...

     

    Folhuztam egy teszt rendszert Virtual PC-re, Win2k3+SPS2003.

     

    Aztan csinaltam 1-2 teszt juzert, akik csak az SPS-en keresztul vannak autentikalva. Termeszetesen itt sem volt nyoma a "belepesnek" a LastLogon mezoben.

     

    Aztan hogy kizarjam az SPS-t, mint "hibalehetoseget", csinaltam egy teszt site-ot, benne egy oldallal, majd a teszt juzereimmel beautentikalva - eredmeny ugyanaz, nincs LastLogon frissites. Tehat ez nem az SPS bune, de vajon az IIS-e?.

     

    Majd hirtelen otlettol vezerelve megpiszkaltam a website Directory security beallitasait: levettem az Integrated auth-ot (a default ugye az hogy Basic es Integrated auth. van engedelyezve) majd ujra eljatszottam a tesztet - arc megnyulik, all leesik: mindket teszt juzerem a friss datumu LastLogon-nal rendelkezik.

     

    Sec. beallitasok vissza, ujabb tesztjuzer megkreal, autentikal, eredmeny: LastLogon = 1601... tehat sosem lepett be, Integrated auth levesz (tehat CSAK Basic marad), LastLogon megint jo.

     

    Szoval ugy nez ki, hogy CSAK Basic auth. eseten mukodik a LastLogon frissulese. Es ez a gondolatsorom is mehet a kukaba: "... az AD a LastLogon infot csak akkor frissiti, ha az adott felhasznalo interaktiv logint hajt vegre..." , mivel az IIS-en keresztuli authentikacio minden, csak nem interaktiv logon. /De akkor mi? .../

     

    Ezzel le is zarhatnam az ugyet, de egy utolso kerdes: szerintetek az eles rendszeren nem fog bekavarni ha leveszem az Integrated auth-ot? Arra gondolok hogy nem zakkan meg valamelyik komponense az SPS-nek? A teszt rendszeremen levettem, es igy mar a teszt SPS-en keresztul is frissul a LastLogin mezo, ezutan nem vettem eszre semmi rendelleneset az SPS mukodeseben, csak jo lenne biztosra menni. Kerdezhetnem ugy is: mire kellhet az Integrated auth az SPS-nek?

     

    Koszonomm elore is,

    JoeX

     

     

     

    Friday, February 1, 2008 12:41 PM
  • Question
    Sign in to vote
    0
    Sign in to vote

     

    Azt hiszem egyelore le kell mondanom arrol hogy Integrated auth. nelkul futtassak SharePointot. Amint leszedtem (szerencsere egyelore csak a tesztrendszeren) azonnal megzzakkant mind a SharePoint, mind az ASP.NET. Egyelore most ezt heggesztem hogy alljon vissza normal allapotra. Jelenleg sima ASP.NET oldal sem fut rajta, ezt dobja az esemenynaploba:

     

    Event Source: ASP.NET 2.0.50727.0
    Event ID: 1088
    Failed to execute request because the App-Domain could not be created. Error: 0x8013150a

     

    Ez van Sad

     

    Azert ha valakinek tamad epito jellegu otlete, ne kimeljen /marmint az eredeti problemat illetoen, ezt valahogy megszegelem/.

     

    Koszonom,

     

    JoeX

     

    Tuesday, February 5, 2008 8:40 AM
  • Question
    Sign in to vote
    0
    Sign in to vote

     

    Az integrated auth maradjon csak (az a windows hitelesítés). Basic-et nem akarsz mert akkor a jelszavak tisztán szövegesen mennek

     

     

    Na de last logon:

     

    Ez egy kardinális probléma és semmi köze az SPS-hez. Szerintem az egészet rossz helyre írtad, a windows forumba kell ez, azért nem válaszolt rá itt senki.

     

    Az IIS hitelesít, és az is Windows, nem SPS.

     

     

    Na de akkor mondjak már valami okosat is:

     

    A lastlogon-al az a baj hogy csak azon a DC-n frissül ahova a felhasználó konkrétan beesett a hitelesítéssel. Ha több DC-d van akkor mindegyikről össze kell szedned és a legfrissebb az igaz.

     

     

    Erre a problémára találták ki a Last-Logon-Timestamp property-t. Mely már replikálódik is, viszont másként működik. (pl. nem azonnal frissül hanem csak kb 14 napontként (+-5)

     

     

    Megértéshez itt a cikk, keress a "Stale Account Detection" kifejezésre a cikkben

     http://technet2.microsoft.com/windowsserver/en/library/54094485-71f6-4be8-8ebf-faa45bc5db4c1033.mspx?mfr=true

     

    Persze annyira nem egyszerű mert ez a COBOL programozóknak köszönhetően 1601 jan 1. től indulva méri a különbséget 100 nanosec léptékben, 64-biten, amit a VBscript nem kezel alapból.

     

    Persze azért megugorható:

    http://www.microsoft.com/technet/scriptcenter/topics/win2003/lastlogon.mspx

     

     

     

     

     

     

    Wednesday, February 27, 2008 2:53 PM