Problembehandlung bei Active Directory
Dieses Thema enthält die folgenden Abschnitte, die Ihnen bei der Behandlung von Problemen mit Active Directory helfen:
Entitätsimport mit Fehler wegen nicht durchführbarer Konvertierung fehlgeschlagen
Der Import einer Active Directory-Entität schlägt nur dann fehl, wenn der in der XML-Datei angegebene Wert nicht dem Datentyp des Felds entspricht. Wenn beispielsweise der Wert test für das Element <port> angegeben wird, schlägt der Import fehl. Das folgende XML-Snippet zeigt, wann dieses Problem auftritt:
<Row>
<adminPassword><![CDATA[]]></adminPassword>
<adminPrincipal><![CDATA[CN=Administrator,CN=Users,DC=domain,DC=com]]></adminPrincipal>
<domain><![CDATA[dc=domain,dc=com]]></domain>
<port>test</port> <================================ INVALID DATA TYPE VALUE FOR <port>. MUST BE AN INTEGER.
<protocol><![CDATA[LDAP]]></protocol>
<server><![CDATA[10.80.21.164]]></server>
</Row>
Dieser Screenshot zeigt, was in Composer angezeigt wird:
Die folgenden Fehler werden in das Anwendungsprotokoll geschrieben:
ERROR: [message: Conversion Error on Field port : Unable To Convert From com.sun.org.apache.xerces.internal.dom.ElementNSImpl to INTEGER]
ERROR: Entity import failed
Um das Problem zu beheben, überprüfen Sie den XML-Code sorgfältig, um sicherzustellen, dass die angegebenen Werte den entsprechenden Datentyp aufweisen.
Zurück zu Erste Schritte
Importvalidierung schlägt fehl, aber Import wird erfolgreich durchgeführt
In Szenarien, in denen die Validierung aufgrund eines fehlenden erforderlichen Felds oder einer ungültigen Konfiguration fehlschlägt, kann die Verzeichnisdienst-Entität trotzdem importiert werden, sie wird jedoch als deaktiviert markiert. Um die Entität zu aktivieren, müssen die ungültigen Felder aktualisiert werden.
 | Eine Verzeichnisdienst-Entität kann erst für die Authentifizierung verwendet werden, nachdem sie aktiviert wurde. Die Aktivierung einer Verzeichnisdienst-Entität, die als deaktiviert importiert wurde, muss manuell durchgeführt werden. Sie müssen in ThingWorx Composer zu der deaktivierten Entität navigieren, sie aktivieren und dann speichern. |
Hier sehen Sie ein Beispiel einer ungültigen Konfiguration, mit einem Kommentar unter dem ungültigen Parameter (protocol):
<Row>
<adminPassword><![CDATA[]]></adminPassword>
<adminPrincipal><![CDATA[CN=Administrator,CN=Users,DC=domain,DC=com]]></adminPrincipal>
<domain><![CDATA[dc=domain,dc=com]]></domain>
<port>test</port>
<protocol><![CDATA[INVALID-PROTOCOL]]></protocol>
<== INVALID CONFIGURATION VALUE FOR <protocol>. MUST BE EITHER LDAP OR LDAPS.
<server><![CDATA[10.80.21.164]]></server>
</Row>
Beachten Sie, dass diese Entität erfolgreich in ThingWorx importiert wird:
Das Kontrollkästchen Aktiviert der Entität selbst ist jedoch nicht aktiviert, was bedeutet, dass die Entität deaktiviert ist. Hier sehen Sie ein Beispiel:
Der folgende Fehler für dieses Szenario wird im Anwendungsprotokoll angezeigt:
ERROR: Directory Service Error: The URI Scheme must be LDAP or LDAPS
Zurück zu Erste Schritte
Fehlermeldungen zur Konfiguration
Die folgende Tabelle enthält eine Liste der möglichen Fehlermeldungen, die im Anwendungsprotokoll basierend auf ungültig konfigurierten Feldern in der Active Directory-Entität angezeigt werden können. In der darauf folgenden kurzen Tabelle finden Sie Links zu den in dieser Tabelle aufgeführten Konfigurationsabschnitten:
Feld | Konfigurationsabschnitt | Fehlermeldung | ||
|---|---|---|---|---|
URI-Schema | Verbindungseinstellungen | Directory Service Error: The URI Scheme must be LDAP or LDAPS. | ||
Server-FQDN oder IP-Adresse/ Server-Netzwerk-Port | Verbindungseinstellungen | Directory Service Error: The Server FQDN or IP address cannot be null. Directory Service Error: java.net.MalformedURLException: Not an LDAP URL: <IP>:<Port> Cannot parse url: <IP><Port Directory Service Error: java.net.ConnectException: Connection refused (Connection refused) to 'Server FQDN or IP address' and 'Server Network Port' <IP>:<Port> | ||
Server-Netzwerk-Port | Verbindungseinstellungen | Directory Service Error: The Server Network port must be in the range of 0 to 65535. | ||
Definierter Name für Domäne | Verbindungseinstellungen | Directory Service Error: The Domain cannot be null. | ||
Administrativer Prinzipalname | Verbindungseinstellungen | Directory Service Error: The Administrative Principal Name cannot be null.
| ||
Administratorpasswort | Verbindungseinstellungen | Directory Service Error: The Administrative Password cannot be null.
| ||
Benutzer-ID-Attributname | Schemazuordnungen | Directory Service Error: The attributeUserIdName cannot be null. | ||
Definierter Name für Benutzerbasis | Schemazuordnungen | Directory Service Error: The userBaseDN cannot be null. | ||
Gruppenobjektklassenname | Schemazuordnungen | Directory Service Error: The groupObjectClass cannot be null. | ||
Gruppenmitgliedschafts-Attributname | Schemazuordnungen | Directory Service Error: The memberOfAttribute cannot be null. | ||
Gruppenattributname | Schemazuordnungen | Directory Service Error: The groupAttribute cannot be null. | ||
Benutzer-Flags-Attributname | Schemazuordnungen | Directory Service Error: The userControlAttribute cannot be null. | ||
Deaktiviertes Bit für Benutzersteuerungsattribut | Schemazuordnungen | Directory Service Error: The userDisableBit cannot be null and must be an integer. | ||
Sperrungsbit für Benutzersteuerungsattribut | Schemazuordnungen | Directory Service Error: The userLockoutBit cannot be null and must be an integer. | ||
Active Directory-Gruppenname | Gruppenzuordnungen | Directory Service Error: The activeDirectoryGroupName cannot be null. | ||
ThingWorx Gruppenname | Gruppenzuordnungen | Directory Service Error: The thingworxGroupName cannot be null. | ||
Standard-Start-Mashup für bereitgestellten Benutzer | Benutzerstandards | Directory Service Error: The userDefaultHomeMashupName cannot be an invalid mashup name. | ||
Mobiles Standard-Mashup für bereitgestellten Benutzer | Benutzerstandards | Directory Service Error: The userDefaulMobileMashupName cannot be an invalid mashup name. | ||
Standard-Tags für bereitgestellten Benutzer | Benutzerstandards | Directory Service Error: The userDefaulTags cannot have invalid tags. Directory Service Error: The userDefaulTags cannot have an invalid tag name. | ||
ThingWorx Benutzername | Ausschlussliste für Benutzerbereitstellung | Directory Service Error: The thingworxUserName cannot be null. |
Die folgende Tabelle enthält Links zu Themen, die sich auf die in der obigen Tabelle aufgeführten Konfigurationsabschnitte beziehen:
Konfigurationsabschnitt | Thema |
|---|---|
Verbindungseinstellungen | |
Schemazuordnungen | |
Gruppenzuordnungen | |
Benutzerstandards | |
Ausschlussliste für Benutzerbereitstellung |
Zurück zu Konfiguration für Verzeichnisdienste
Problembehandlung: Active Directory-Domänen-Präfix und dynamische Benutzeranmeldung
Der Active Directory-Verzeichnisdienst verfügt über die Konfigurationseinstellung Provisioned User's Default Domain Prefix, die "Dynamische Benutzeranmeldung" beeinträchtigen kann. Hier sehen Sie die Benutzerstandards:
Die Einstellung Provisioned User's Default Domain Prefix ermöglicht es Ihnen, ein Präfix anzugeben, mit dem eingeschränkt wird, welche Benutzer der Verzeichnisdienst authentifizieren kann. Wenn mehrere Active Directory-Verzeichnisdienste für dieselbe ThingWorx Platform konfiguriert sind, können Sie diese Option verwenden, um zu verhindern, dass alle Verzeichnisdienste versuchen, denselben Benutzer zu authentifizieren.
Beachten Sie jedoch, dass dieses Präfix aus dem an Active Directory übergebenen Benutzernamen entfernt wird. Wenn das angegebene Präfix die Active Directory-Domäne des Benutzers ist, kann sich der Benutzer nicht bei Active Directory anmelden.
Beispiel:
1. DOMAIN\ ist als Provisioned User's Default Domain Prefix angegeben.
2. Benutzer DOMAIN\user1 versucht, sich bei ThingWorx Platform anzumelden.
3. DOMAIN\ wird aus dem Benutzernamen entfernt, der an Active Directory übergeben wird, und user1 kann sich nicht anmelden.
Dieses Problem wirkt sich derzeit nicht auf einen Active Directory-Verzeichnisdienst aus, für den die dynamische Benutzeranmeldung deaktiviert ist.
Um dieses Problem zu umgehen, befolgen Sie die folgenden Vorgehensweisen:
• Verwendung von Standard-Domänenpräfix vermeiden (bevorzugt) – Vermeiden Sie die Verwendung des Standard-Domänenpräfix des Benutzers, wenn "Dynamische Benutzeranmeldung" aktiviert ist.
• Anderes Präfix verwenden, das Benutzer eingeben müssen, oder dafür sorgen, dass Benutzer das Domänenpräfix zweimal eingeben – Es kann ein zusätzliches Präfix angegeben werden, das nicht das für die Anmeldung über DOMAIN\SamAccountName erforderliche Präfix DOMAIN\ ist. Sie können beispielsweise das Präfix PREFIX- verwenden; Benutzer müssen sich dann mit PREFIX-DOMAIN\prefix anmelden.
Zurück zu Dynamische Benutzeranmeldung
Problembehandlung: Ungültiger Name für Eigenschaft "UserExtension"
Beim Zuordnen eines Active Directory-Attributs zu einer ThingWorx UserExtension-Eigenschaft wählen Sie einen Namen für die UserExtension-Eigenschaft in einem Dropdown-Menü aus. Möglicherweise wird die folgende Fehlermeldung im ThingWorx Anwendungsprotokoll angezeigt:
Property name: <property_name> not found
in UserExtensions properties
in UserExtensions properties
Dieser Fehler wird von den folgenden Bedingungen verursacht:
• Die für den Active Directory-Verzeichnisdienst importierte XML-Datei enthält einen ungültigen Namen für userExtensionPropertyName UND
• ein Benutzer meldet sich an und wird vom Active Directory-Verzeichnisdienst, für den ein ungültiger userExtensionPropertyName konfiguriert ist, authentifiziert.
Dieser Fehler kann auftreten, wenn Sie die XML-Datei manuell bearbeitet haben. Sie können den ungültigen Eintrag aus der Tabelle der Benutzererweiterungs-Eigenschaftszuordnungen auf der Seite "Konfiguration" in der Verzeichnisdienst-Entität in ThingWorx Composer entfernen.