Server 2019 Active Directory - The specified directory service attribute or value already exists

Microsoft Windows

Sziasztok!

Tudom, HUP, nem igazán Windows, de ez egy hibrid hálózat, talán más is csinálgat ilyet.

Úgy négy órája görcsölök vele és nem jövök rá mi a probléma. Windows Server 2019 Essentials mint FSMO role-okkal futó tartományvezérlő, mellette egy Samba, amire replikálódik. A domain functional level 2008 R2. A replikáció lefut szépen, a repadmin sem ír hibát, a dcdiag is oké. A probléma: akármelyik felhasználónak akármelyik adatát szeretném módosítani egy adott OU-ban, ezt a hibaüzenetet kapom:

"The specified directory service attribute or value already exists"

PowerShell alól is próbáltam módosítani a felhasználót, a probléma ugyanez. Google barátunk első 30 találatán túl vagyok. Lekértem PowerShell-el minden user adatát, megnéztem nincs-e valahol valahogyan unique ütközés, nincs. Mit tehetek még, hogyan folytatnátok a hibakeresést?

Hálás köszönet!

  • 302 megtekintés

( djtacee | 2023. 01. 04., sze – 21:00 )

További információ: 4 felhasználó van ebben a szervezeti egységben. A nevek mintaként:

családnév.felhasználó1
családnév.felhasználó2
családnév.felhasználó3
más.név

Az első 3, amikor a "családnév" azonos, nem tudom szerkeszteni a felhasználót.
A negyedik felhasználó teljesen más néven: ezt a felhasználót tudom szerkeszteni.
Az első 3 felhasználónak van postafiókja, a negyediknek nincs, ha ez számít valamit.

( djtacee | 2023. 01. 04., sze – 21:25 )

Úgy látom mindegy melyik OU, ha a felhasználónak lett a Zentyal szerveren e-mail fiók létrehozva, akkor annak adatai szépen bekerültek a directory-ba, de onnantól a Windows Server alatt nem tudom semmilyen adatát sem szerkeszteni.

( n.balazs v | 2023. 01. 04., sze – 21:30 )

Pedig sok windowsos kolléga van itt.

Ha jól értem, akkor az összes FSMO role a Windows DC-n van, ugye? DNS rendben van? A szükséges portok a DC-k felé, illetve a DC-k között nyitva vannak biztosan?

Pontosan hogyan / mivel próbálod ezeket az attribútumokat módosítani? Pl: Windows DC-n GUI-ból ADUC-cal vagy a Windows DC-n Powershellel vagy távolról kapcsolódva PS remotinggal Powershellel vagy valamelyik kliens gépre telepített RSAT-ból ADUC konzollal stb.

Látsz valamit a logokban?

Amit én gyorsban megpróbálnék, ha nem prod a környezet: a Sambát kivenni a képből, mint DC. Ha úgy működik minden, akkor mégse oké teljesen az a replikáció.

Javítás: most látom, hogy Zentyal is van a képben. Hát akkor körbe kell járni, hogy ki, mit, hová nem tud írni - akár fw portok miatt, akár Kerberos miatt stb.

Ohh, a Zentyal akkor szuperül bekavar. :)

Ha megnézed az ADUC-ban az attribute editor fület a problémás usereknél, akkor ott látsz valami furcsát? Pl: hiányoznak bizonyos attribútumok valamelyik DC-n vagy rossz értékkel szerepel.

ADSI Edittel látsz valami furcsát a usereknél? Pl: hiányoznak bizonyos attribútumok a Windows DC-n nézve, de ha a Samba-n vagy a Zentyalon nézed, akkor pedig létezik ez az attribútum.

Annyira lepadlózta ez most az agyam, hogy gyorsan beállítom a kliens fiókjában a levelezést és a nyomtatást és elteszem magam pihenni. Holnap alaposan átnézem, összehasonlítok két felhasználót (egy jót és egy rosszat, ha nevezhetem így). Az ADSI Editor még nem kellett eddig, most fogok megismerkedni vele, jelentkezni fogok a fejleményekkel, nagyon köszönöm a segítséged, érdekel mi a gondja.

( GaLbi | 2023. 01. 04., sze – 22:59 )

(csak hangosan gondolkodom)

- Essentials termék esetében nem csak egy DC lehet a hálózatba? 

- hogyan lett az AD kialakítva? biztos hogy domain functional level csak 2008R2-s (megnéztem egy 2016-s Essenetials-t és ott alapból 2016-s a domain functional szint)

- talán ez érdekes lehet: Adding a Windows 2019 DC to Your Samba Domain - DEV Community ?‍??‍? Ennek megfelel a Samba/Zentay szerver?

- nem lett volna egyszerűbb, hogy a Zentay szervert berakni a tartományba, úgy hogy ne fusson a gépen lévő Samba DC-ként, csak sima member legyen az AD-ben? 

A 2012-es Essentials esetén volt az a korlátozás, hogy csak egy DC lehet (önmaga).
A 2019-esnél annyi változott hogy két Essentials nem lehet egyszerre a hálózatban.

A functional level 2008R2, ellenőriztem, és a SAMBA-t nem is tudod JOIN-olni ha ez nem teljesül.

"Additional Domain Controller"-ként van betéve a Zentyal. Nincs sok lehetőséged, vagy ez, vagy ő a "PDC".

A helyzet az hogy minden teljesen jól működik: nem panaszkodik az Essentials a licence miatt, jók a DNS-ek (szinkronizálódik a Windows DNS-ből a BIND is), gyönyörűen lefut a replikáció, egyik command line tool sem jelez hibát. "Csak" annyi a gond, hogy mint kiderült azon felhasználók esetén akiknek lett e-mail fiók létrehozva a Zentyal alatt, és emiatt bekerült még pár attribútum hozzájuk, azok sem a Windows GUI alól, sem PowerShell használatával nem menthetőek. De ha az RSAT-al a Zentyal-ra csatlakozom, elvégzem a módosítást, akkor összeszinkronizál a Windows is azonnal.

"De ha az RSAT-al a Zentyal-ra csatlakozom, elvégzem a módosítást, akkor összeszinkronizál a Windows is azonnal."

Tehát ha RSAT-tal rájelentkezel a Zentya-l szerverre, ott létrehozol egy új objektumot abban az OU-ban, ahol a többi "hibás" szerepel, majd visszalépsz a Windows DC-re az RSAT-tal és megnézed ezeket az új objektumokat, akkor nincs probléma, hibaüzenet?