LDAP Import findet mehr User und löscht die dann
-
Ich habe ein kleines Phänomen und hoffe mir kann jemand helfen.
Damit ich alle User erfasse, habe ich I-DoIT an unser LDAP angebunden. Ich habe erst mit Dynamischen Gruppen gearbeitet, hole mir nun aber alle User rein.
Dabei ist mir aufgefallen, dass die Anzahl der Kontakte erst auf über 5000 ansteigt und zum Schluss auf 2165 wieder fällt.
Im Log sehe ich folgendes:Processing config file Uses LDAP Settings from input .ini file Syncing LDAP-Server ldaps.xxx.yyy (Active Directory) Option "Enable LDAP Paging" is activated using configured LDAP Page Limit (500) from configuration. <lange Liste mit syncronised> Found 3602 orphaned user(s) which is/are deleted now (deleted users in your directory) Found 21 disabled object(s) inside DC=xxx,DC=yyy. <noch längere Liste mit disable> Regenerating search index.. Start Indexing! Finished reading 2165 rows Start mapping 2165 rows to 54125 documents for "Master Data" (C__CATS__PERSON_MASTER) 27118 of 54125 documents were skipped! Start overwriting documents Finished overwriting documents! Finished indexing! 0 rows got read! 54125 documents got mapped! 27118 documents got skipped while mapping, because of empty data! 27007 documents got overwriting! 0 documents of inserted documents got updated instead, because they already existed! Regenerated search index!Es sieht so aus, als wenn erst eine größere Menge abgefragt wird und dann gefiltert.
Wenn ich die Abfrage über Powershell mache, bekomme ich nur die 2165 zurückgeliefert (Suchfilter ist der gleiche wie im I-DoIT).
Eine Stichprobe hat ergeben, dass die ganzen disabled alle in xxx.yyy/Users stecken. Diese frage ich aber nicht ab.Aktuell ist unser Admin Team der Meinung, dass I-DoIT da irgendwas anders macht ... hat jemand ne Idee, was ich falsche mache?
Muss ich rekursive abschalten?
Ein weitere Lösungsansatz war ein(!userAccountControl:1.2.840.113556.1.4.803:=2)im Filter zu ergänzen um die deaktivierten rauszufiltern
-
Hi
Die orphaned users sind Objekte, die zwar noch in i-doit aber nicht mehr im LDAP sind. Dein LDAP Import ist wahrscheinlich so eingestellt, dass diese i-doit Objekte archiviert werden. Das macht erstmal auch Sinn.
Um diese Objekte zu finden:
- In die Liste Deiner Kontakte gehen.
- Auf Zustand "Archiviert" umstellen.
- Spalte "Letzte Änderung" einblenden
Die "orphaned" Objekte werden durch den LDAP sync nicht aktualisiert und haben ein älteres Datum. Ausnahme sind natürlich Objekte, die zwischen den letztem 2 Syncs gelöscht wurden.
Ggf. noch andere Objekt-Typen durchsuchen, welche ein befülltes "Personen > Login > Username" Attribut haben.
Die "documents got overwriting" (tolles Englisch) schauen für mich so aus, als ob Du noch andere Sachen aus dem LDAP importierst.
Grüße
Leo -
@leobaer
Sorry, hat etwas länger gedauert.Also, ich habe keine archivierten User
Auszug ldap-sync.ini
import_rooms=false defaultCompany=Default Company deletedUsersBehaviour=delete disabledUsersBehaviour=disable_loginHeisst also -> irgendwie sammel ich alle deletedUsers bei uns im LDAP ein und lösche die dann auch gleich im i-doit.
Ich muss mal mit dem AD Admin sprechen, da stimmt doch was nicht -
Hi
Nur sicherheitshalber:
deletedUsersBehaviour=delete
Die landen also nicht bei Archiviert sondern bei gelöscht.Schonmal das LDAP debug log eingeschaltet und analysiert?
Verwaltung → Systemeinstellungen → Logging → LDAP Debug (de-)aktivieren.
Da solltest Du sehr schnell die relevanten User finden.Grüße
Leo -
@leobaer
Ich habe sie gefunden ... es sind tatsächlich deaktivierte User in den Gruppen. Diese werden dann auch folge richtig gelöscht. Unser Admin räumt das Ganze jetzt auch mal auf, so dass es jetzt dann auch passt.