Server 2019 Active Directory - The specified directory service attribute or value already exists

Microsoft Windows

Sziasztok!

Tudom, HUP, nem igazán Windows, de ez egy hibrid hálózat, talán más is csinálgat ilyet.

Úgy négy órája görcsölök vele és nem jövök rá mi a probléma. Windows Server 2019 Essentials mint FSMO role-okkal futó tartományvezérlő, mellette egy Samba, amire replikálódik. A domain functional level 2008 R2. A replikáció lefut szépen, a repadmin sem ír hibát, a dcdiag is oké. A probléma: akármelyik felhasználónak akármelyik adatát szeretném módosítani egy adott OU-ban, ezt a hibaüzenetet kapom:

"The specified directory service attribute or value already exists"

PowerShell alól is próbáltam módosítani a felhasználót, a probléma ugyanez. Google barátunk első 30 találatán túl vagyok. Lekértem PowerShell-el minden user adatát, megnéztem nincs-e valahol valahogyan unique ütközés, nincs. Mit tehetek még, hogyan folytatnátok a hibakeresést?

Hálás köszönet!

  • 296 megtekintés

( djtacee | 2023. 01. 04., sze – 21:00 )

További információ: 4 felhasználó van ebben a szervezeti egységben. A nevek mintaként:

családnév.felhasználó1
családnév.felhasználó2
családnév.felhasználó3
más.név

Az első 3, amikor a "családnév" azonos, nem tudom szerkeszteni a felhasználót.
A negyedik felhasználó teljesen más néven: ezt a felhasználót tudom szerkeszteni.
Az első 3 felhasználónak van postafiókja, a negyediknek nincs, ha ez számít valamit.

( djtacee | 2023. 01. 04., sze – 21:25 )

Úgy látom mindegy melyik OU, ha a felhasználónak lett a Zentyal szerveren e-mail fiók létrehozva, akkor annak adatai szépen bekerültek a directory-ba, de onnantól a Windows Server alatt nem tudom semmilyen adatát sem szerkeszteni.

( n.balazs v | 2023. 01. 04., sze – 21:30 )

Szerkesztve: 2023. 01. 04., sze – 21:32

Pedig sok windowsos kolléga van itt.

Ha jól értem, akkor az összes FSMO role a Windows DC-n van, ugye? DNS rendben van? A szükséges portok a DC-k felé, illetve a DC-k között nyitva vannak biztosan?

Pontosan hogyan / mivel próbálod ezeket az attribútumokat módosítani? Pl: Windows DC-n GUI-ból ADUC-cal vagy a Windows DC-n Powershellel vagy távolról kapcsolódva PS remotinggal Powershellel vagy valamelyik kliens gépre telepített RSAT-ból ADUC konzollal stb.

Látsz valamit a logokban?

Amit én gyorsban megpróbálnék, ha nem prod a környezet: a Sambát kivenni a képből, mint DC. Ha úgy működik minden, akkor mégse oké teljesen az a replikáció.

Javítás: most látom, hogy Zentyal is van a képben. Hát akkor körbe kell járni, hogy ki, mit, hová nem tud írni - akár fw portok miatt, akár Kerberos miatt stb.

Akkor jó. :) Köszi, na akkor mondom meddig jutottam és a válaszaim: jól értetted, az FSMO a Windows-on. Természetesen minden port rendben van. A samba logban semmi ijesztő. A DNS rendben van, a replikáció is gond nélkül megtörténik. "repadmin /syncall /AdeP" rendben lefut. "dcdiag" nincs hiba. Az attribútumokat először a Windows Server GUI alól szerettem volna módosítani, akkor jött a hibaüzenet. Oké, akkor legyen PowerShell, ott ugyanaz történt. Megnéztem még az összes jogosultságot is a konténereknél, minden rendben van.

A Zentyal / Samba nem kivehető, mert azon van a levelezés, az nem veszhet el.

Kapaszkodj: átállítottam az RSAT-ban hogy ne a helyi Windows Server-t matassa, hanem a Zentyal-t. Láss csodát: egyből el tudtam menteni a módosítást amit azonnal átvett magára a Windows DC is! Na akkor most mi is van? :) Mint írtam, a gond csak ott jön elő ahol van a felhasználónak e-mail fiók beállítva / létrehozva. A többieknél nem. Ez nagyon furcsa így, semmi "titokzatos" attribútum nincs ezek miatt.

Küldök egy "hibás" felhasználói Get-AdUser PS kimenetet ("sample", "name", "tld" amiket cseréltem):



AccountExpirationDate                : 
accountExpires                       : 9223372036854775807
AccountLockoutTime                   : 
AccountNotDelegated                  : False
AllowReversiblePasswordEncryption    : False
AuthenticationPolicy                 : {}
AuthenticationPolicySilo             : {}
BadLogonCount                        : 0
badPasswordTime                      : 133173208164148764
badPwdCount                          : 0
CannotChangePassword                 : True
CanonicalName                        : sampledomain.tld/JM-DEFAULT/Sample Name
Certificates                         : {}
City                                 : 
CN                                   : Sample Name
codePage                             : 0
Company                              : 
CompoundIdentitySupported            : {}
Country                              : 
countryCode                          : 0
Created                              : 2022. 05. 04. 8:23:22
createTimeStamp                      : 2022. 05. 04. 8:23:22
Deleted                              : 
Department                           : 
Description                          : 
DisplayName                          : Sample Name
DistinguishedName                    : CN=Sample Name,OU=JM-DEFAULT,DC=sampledomain,.DC=tld
Division                             : 
DoesNotRequirePreAuth                : False
dSCorePropagationData                : {2023. 01. 04. 16:01:11, 2023. 01. 04. 16:00:49, 2022. 05. 04. 8:59:49, 2022. 05. 04. 8:23:22...}
EmailAddress                         : sample.name@sampledomain.tld
EmployeeID                           : 
EmployeeNumber                       : 
Enabled                              : True
Fax                                  : 
fetchmailAccount                     : {MfFG/Gn+dEwAWnOcpuBOiWycjCWTPSBzCNxdUAYc5hS3uEE1lF0bguYeMxw3WYwW4nl6l4g/Kftm
                                       TJ3jBVwzNObf1GVoRhTiuNmYeGgzSOc=
                                       }
gidNumber                            : 2513
GivenName                            : Name
HomeDirectory                        : 
HomedirRequired                      : False
HomeDrive                            : 
HomePage                             : 
HomePhone                            : 
Initials                             : 
instanceType                         : 4
isDeleted                            : 
KerberosEncryptionType               : {}
LastBadPasswordAttempt               : 2023. 01. 04. 16:46:56
LastKnownParent                      : 
lastLogoff                           : 0
lastLogon                            : 133173211534987858
LastLogonDate                        : 2022. 12. 27. 9:11:53
lastLogonTimestamp                   : 133166023134131210
LockedOut                            : False
logonCount                           : 89
LogonWorkstations                    : DESKTOP-TKAHDGT,JM-ASUS-FA65
mail                                 : sample.name@sampledomain.tld
mailbox                              : sampledomain.tld/sample.name/
mailHomeDirectory                    : {/var/vmail/}
mailquota                            : 10240
Manager                              : 
MemberOf                             : {CN=JM_USERS,CN=Users,DC=sampledomain,.DC=tld}
MNSLogonAccount                      : False
MobilePhone                          : 
Modified                             : 2023. 01. 04. 16:01:11
modifyTimeStamp                      : 2023. 01. 04. 16:01:11
msDS-User-Account-Control-Computed   : 0
Name                                 : Sample Name
nTSecurityDescriptor                 : System.DirectoryServices.ActiveDirectorySecurity
ObjectCategory                       : CN=Person,CN=Schema,CN=Configuration,DC=sampledomain,.DC=tld
ObjectClass                          : user
ObjectGUID                           : 0cd9a306-aad4-4634-a599-12d8e75ca271
objectSid                            : S-1-5-21-121529692-3925751680-3766135194-1116
Office                               : 
OfficePhone                          : 
Organization                         : 
OtherName                            : 
PasswordExpired                      : False
PasswordLastSet                      : 2022. 05. 04. 8:23:22
PasswordNeverExpires                 : True
PasswordNotRequired                  : False
POBox                                : 
PostalCode                           : 
PrimaryGroup                         : CN=Domain Users,CN=Users,DC=sampledomain,.DC=tld
primaryGroupID                       : 513
PrincipalsAllowedToDelegateToAccount : {}
ProfilePath                          : 
ProtectedFromAccidentalDeletion      : False
pwdLastSet                           : 132961190024300816
quota                                : 10240
SamAccountName                       : sample.name
sAMAccountType                       : 805306368
ScriptPath                           : 
sDRightsEffective                    : 15
ServicePrincipalNames                : {}
SID                                  : S-1-5-21-121529692-3925751680-3766135194-1116
SIDHistory                           : {}
SmartcardLogonRequired               : False
sn                                   : Sample
State                                : 
StreetAddress                        : 
Surname                              : Sample
Title                                : 
TrustedForDelegation                 : False
TrustedToAuthForDelegation           : False
uidNumber                            : 65542
UseDESKeyOnly                        : False
userAccountControl                   : 66048
userCertificate                      : {}
userMaildirSize                      : 0
UserPrincipalName                    : sample.name@sampledomain.tld
userWorkstations                     : DESKTOP-TKAHDGT,JM-ASUS-FA65
uSNChanged                           : 3178619
uSNCreated                           : 2509778
whenChanged                          : 2023. 01. 04. 16:01:11
whenCreated                          : 2022. 05. 04. 8:23:22

Ohh, a Zentyal akkor szuperül bekavar. :)

Ha megnézed az ADUC-ban az attribute editor fület a problémás usereknél, akkor ott látsz valami furcsát? Pl: hiányoznak bizonyos attribútumok valamelyik DC-n vagy rossz értékkel szerepel.

ADSI Edittel látsz valami furcsát a usereknél? Pl: hiányoznak bizonyos attribútumok a Windows DC-n nézve, de ha a Samba-n vagy a Zentyalon nézed, akkor pedig létezik ez az attribútum.

Annyira lepadlózta ez most az agyam, hogy gyorsan beállítom a kliens fiókjában a levelezést és a nyomtatást és elteszem magam pihenni. Holnap alaposan átnézem, összehasonlítok két felhasználót (egy jót és egy rosszat, ha nevezhetem így). Az ADSI Editor még nem kellett eddig, most fogok megismerkedni vele, jelentkezni fogok a fejleményekkel, nagyon köszönöm a segítséged, érdekel mi a gondja.

( GaLbi | 2023. 01. 04., sze – 22:59 )

Szerkesztve: 2023. 01. 04., sze – 23:46

(csak hangosan gondolkodom)

- Essentials termék esetében nem csak egy DC lehet a hálózatba? 

- hogyan lett az AD kialakítva? biztos hogy domain functional level csak 2008R2-s (megnéztem egy 2016-s Essenetials-t és ott alapból 2016-s a domain functional szint)

- talán ez érdekes lehet: Adding a Windows 2019 DC to Your Samba Domain - DEV Community 👩‍💻👨‍💻 Ennek megfelel a Samba/Zentay szerver?

- nem lett volna egyszerűbb, hogy a Zentay szervert berakni a tartományba, úgy hogy ne fusson a gépen lévő Samba DC-ként, csak sima member legyen az AD-ben? 

A 2012-es Essentials esetén volt az a korlátozás, hogy csak egy DC lehet (önmaga).
A 2019-esnél annyi változott hogy két Essentials nem lehet egyszerre a hálózatban.

A functional level 2008R2, ellenőriztem, és a SAMBA-t nem is tudod JOIN-olni ha ez nem teljesül.

"Additional Domain Controller"-ként van betéve a Zentyal. Nincs sok lehetőséged, vagy ez, vagy ő a "PDC".

A helyzet az hogy minden teljesen jól működik: nem panaszkodik az Essentials a licence miatt, jók a DNS-ek (szinkronizálódik a Windows DNS-ből a BIND is), gyönyörűen lefut a replikáció, egyik command line tool sem jelez hibát. "Csak" annyi a gond, hogy mint kiderült azon felhasználók esetén akiknek lett e-mail fiók létrehozva a Zentyal alatt, és emiatt bekerült még pár attribútum hozzájuk, azok sem a Windows GUI alól, sem PowerShell használatával nem menthetőek. De ha az RSAT-al a Zentyal-ra csatlakozom, elvégzem a módosítást, akkor összeszinkronizál a Windows is azonnal.

"De ha az RSAT-al a Zentyal-ra csatlakozom, elvégzem a módosítást, akkor összeszinkronizál a Windows is azonnal."

Tehát ha RSAT-tal rájelentkezel a Zentya-l szerverre, ott létrehozol egy új objektumot abban az OU-ban, ahol a többi "hibás" szerepel, majd visszalépsz a Windows DC-re az RSAT-tal és megnézed ezeket az új objektumokat, akkor nincs probléma, hibaüzenet?