Управление синхронизацией Active Directory в Project Server 2007
Обновлено: Август 2008 г.
Последнее изменение раздела: 2015-02-27
Пользователи и ресурсы сервера Project Server могут быть синхронизированы с пользователями службы каталогов Active Directory в нескольких доменах и лесах. Эта функция упрощает выполнение администраторами таких трудоемких задач, как добавление большого числа пользователей, обновление метаданных пользователей (например, адресов электронной почты) и отключение пользователей, не требующих доступа к системе, которые ранее выполнялись вручную. Синхронизация с Active Directory может выполняться как вручную, так и автоматически по расписанию. В процессе синхронизации изменяются только данные на сервере Project Server. Данные службы каталогов Active Directory не изменяются, а только запрашиваются.
Обновляемые при синхронизации свойства пользователя/ресурса сервера Project Server
В процессе синхронизации Project Server 2007 обновляет следующие свойства пользователей/ресурсов Project Server сведениями из конкретных полей метаданных пользователей Active Directory:
| Свойство пользователя Active Directory | Свойство пользователя/ресурса Project Server | ||
|---|---|---|---|
ADGUID (UserObject.objectGUID) |
Хранится в базе данных опубликованных проектов сервера Project Server (поле WRES_AD_GUID в таблице MSP_RESOURCES). Это свойство не отображается в пользовательском интерфейсе веб-клиента Project. |
||
Учетная запись пользователя Windows (domain\sAMAccountName) |
Учетная запись пользователя Windows |
||
Отображаемое имя (UserObject.displayName) |
Отображаемое имя/Имя ресурса |
||
Адрес электронной почты (UserObject.mail) |
Адрес электронной почты |
||
Отдел (UserObject.department) |
Группа (только свойство ресурса)
|
При синхронизации с Active Directory можно выполнять сопоставление с дополнительными полями метаданных с помощью серверных обработчиков. Дополнительные сведения о серверных обработчиках см. в статье Написание и отладка обработчиков событий для Project Server 2007 (на английском языке) (https://go.microsoft.com/fwlink/?linkid=126633\&clcid=0x419) (на английском языке) в интернет-библиотеке MSDN.
Дополнительные поля Active Directory можно сопоставить с пользовательскими полями ресурса с помощью Средства синхронизации Active Directory и ресурсов для Project Server 2007 (на английском языке) (https://go.microsoft.com/fwlink/?linkid=126634\&clcid=0x419) (на английском языке), доступного на странице CodePlex.
.gif "Note") Примечание: |
|---|
| Корпорация Майкрософт не контролирует, не оценивает, не исправляет, не утверждает и не распространяет какие-либо проекты сторонних разработчиков на сайте CodePlex. Ответственность за неправильное использование этих проектов полностью возлагается на пользователя. Корпорация Майкрософт поддерживает сайт CodePlex и предоставляет его сообществу разработчиков исключительно в качестве веб-хранилища. |
Рекомендации по синхронизации с Active Directory
Ниже приведены рекомендации Майкрософт относительно управления синхронизацией Active Directory в Project Server 2007:
Создайте конкретные группы Active Directory, соответствующие каждой из групп безопасности Project Server и корпоративному пулу ресурсов Project Server. Например, дайте новым группам Active Directory такие имена, как "Project Server — ERP", "Project Server — Менеджеры проектов", "Project Server — Руководители". Разместите группы Active Directory внутри этих групп для лучшей организации.
Всегда вначале синхронизируйте корпоративный пул ресурсов, а затем — группы безопасности Project Server. Это обеспечит правильную установку свойств корпоративных ресурсов.
Определите расписание синхронизации в соответствии с необходимостями организации. Если новые пользователи добавляются часто или часто меняют посты в организации, то можно настроить синхронизацию на ежедневной основе. В противном случае можно установить еженедельную синхронизацию. Рекомендуется всегда планировать синхронизацию на нерабочее время или периоды с минимальной загрузкой, так как при синхронизации выполняется повторная синхронизация разрешений с Windows SharePoint Services, что вызывает потерю доступа пользователей к сайту.
Устраняйте неполадки синхронизации, основываясь на записях журнала событий приложений сервера приложений фермы. Для получения дополнительных сведений об ошибках синхронизации Active Directory можно использовать журналы единой службы ведения журналов ULS (например, журнал ULS будет содержать записи DEADLOCK, если произошла блокировка пользователя; см. следующее предупреждение). Параметры журнала ULS на веб-сайте центра администрирования SharePoint можно настроить для получения дополнительной информации об отслеживаемых событиях Active Directory. Такие параметры настраиваются на вкладке Операции страницы "Сбор данных диагностики". На этой странице пользователь может настроить журнал ULS для отслеживания только информации о синхронизации Active Directory путем установка параметра Регулирование событий в категории Синхронизация Active Directory в Project Server. Кроме того, необходимо установить значение Подробно для параметра Событие наименьшей важности для занесения в журнал отслеживания. Дополнительные сведения о настройке параметров журнала см. в разделе Настройка ведения журнала диагностики (Project Server).
Предупреждение
В некоторых случаях синхронизация пользователей и рабочих областей Project Server с Active Directory может вызвать взаимоблокировку, при которой все пользователи заблокированы на сайтах веб-клиента Project или в соответствующих рабочих областях. Это вызывает ошибки заданий синхронизации, а разрешения сайта синхронизируются частично или не синхронизируются. Доступ пользователей к веб-клиенту Project или рабочим пространствам может быть запрещен.
Взаимоблокировка может возникать при чрезмерной длительности процесса синхронизации. Это происходит из-за того, что синхронизация повторяется для многих пользователей и рабочих пространств (например, при значительных изменениях членства). Долгое нахождение задания синхронизации в очереди увеличивает вероятность случайного запуска других заданий, что также может вызвать взаимоблокировку.
Для уменьшения вероятности взаимоблокировки следует выполнить следующие действия.-
Перед выполнением значительных изменений членства следует убедиться в отсутствии заданий с именем "Синхронизация пользователей корневого узла веб-клиента Project и рабочих областей WSS Project" в очереди обработки или ожидания.
-
Запустите Средство синхронизации рабочей области Project Server (на английском языке) на сайте CodePlex (https://go.microsoft.com/fwlink/?linkid=147394&clcid=0x419) (на английском языке). Это средство определяет синхронизируемые объекты при запуске заданий — веб-клиент Project и рабочие области, только рабочие области, только веб-клиент Project или отсутствие синхронизации веб-клиента Project и рабочих областей — и позволяет администратору выполнять синхронизацию пользователей в нерабочее время или периоды с минимальной загрузкой сервера.
Обратите внимание на то, что средство синхронизации рабочей области Project Server не ускоряет процесс синхронизации. В то же время синхронизация пользователей при минимальной нагрузке сервера снижает вероятность возникновения ошибок.
-
Убедитесь в том, что учетная запись, указанная для поставщика общих служб приложения Project Server, имеет разрешение на чтение данных во всех доменах и лесах Active Directory, задействованных в синхронизации.
Указанные сервером знаки-разделители элементов списка в отображаемом имени Active Directory можно заменить в веб-клиенте Project в ходе процесса синхронизации. Знаком-разделителем элементов списка в Office Project Server 2007 является запятая. Таким образом, если отображаемое имя Active Directory содержит запятую, то она будет заменена на точку с запятой. Это может вызывать ошибки, если запятые часто используются в отображаемых именах.
При использовании пользовательских полей ресурсов убедитесь в том, что эти поля не являются обязательными. Если поля являются обязательными и не содержат значения, то синхронизация Active Directory может завершиться с ошибкой, так как не указаны значения, помещаемые в обязательные поля. Параметр обязательности ввода поля следует отключить или реализовать серверный обработчик события для заполнения обязательных пользовательских полей в ходе синхронизации. Дополнительные сведения о серверных обработчиках см. в разделе Написание и отладка обработчиков событий для Project Server 2007 (на английском языке) (https://go.microsoft.com/fwlink/?linkid=126633\&clcid=0x419) (на английском языке) в интернет-библиотеке MSDN.
При добавлении пользователей в Project Server через веб-клиент Project убедитесь в том, что для них используются те же отображаемые имена (UserObject.displayName), что и в Active Directory. Если при выполнении синхронизации Active Directory отображаемые имена не совпадают, то конфликт имен вызовет ошибки, а учетная запись не будет обновлена.
Требования к задаче
Выполнение процедур для этой задачи требует соблюдения следующего условия.
Доступ к Project Server с использованием веб-клиента Project с учетной записью с глобальными параметрами Управление параметрами Active Directory и Управление пользователями и группами.
Доступ на чтение (для учетной записи службы SSP для экземпляра Project Server) всех групп и учетных записей пользователей Active Directory, задействованных в синхронизации. Эту учетную запись можно проверить в свойствах SSP на странице администрирования общих служб на веб-сайте центра администрирования SharePoint.
Примечание:Дополнительные сведения о поставщике общих служб см. в разделе Планирование учетных записей администрирования и служб (Project Server)
Для управления синхронизацией Active Directory в Project Server 2007 можно выполнить следующие процедуры. Синхронизацию Active Directory можно настроить для групп безопасности корпоративного пула ресурсов или сервера Project Server. Эти процедуры независимы друг от друга.