Her er nogle af de almindelige problemer, der kan opstå, når du kører UST, og hvordan du løser dem
Fil ikke fundet: [Fejlnr. 2]
Eksempel på fejlmeddelelse:
FileNotFoundError: [Errno 2] Ingen sådan fil eller mappe: 'C:\\Users\\USER\\.pex\\install\\pycryptodome [...]'
Kan opstå i Windows, hvis stierne har mere end 256 tegn.
Tip: opret en miljøvariabel PEX_ROOT med værdien C:\pex (hvis scriptet køres fra C-drevet, ellers udskift drevbogstavet). Nogle gange skal computeren genstartes, før ændringen træder i kraft.
filen "'user-sync.pex" kan ikke åbnes: [Fejlnr. 2]
Eksempel på fejlmeddelelse:
python: kan ikke åbne filen 'user-sync.pex': [Errno 2] Ingen sådan fil eller mappe
Tip: Sørg for, at python-kommandoen køres fra den mappe, der hvor filen user-sync.pex er placeret.
Eksempel på fejlmeddelelsesoutput:
2018-01-01 11:49:42 28102 ADVARSEL umapi - UMAPI timeout...tjeneste utilgængelig (kode 429 ved forsøg 1)
2018-01-01 11:49:42 28102 ADVARSEL umapi - Næste forsøg om 42 sekunder...
Tip: Hvis timeout'en er mindre end 30 minutter, modtages disse advarselsmeddelelser, når kvoten for API-kald, der kan foretages inden for et minut, er nået. UST har en indbygget funktion, der automatisk prøver kommandoen igen med ekspotentielt tiltagende pauser imellem. Scriptet stopper efter tre mislykkede forsøg.
Anbefalingen her er at lade scriptet køre helt til ende.
Hvis timeout'en er højere end 1000 sekunder, ville dette være en begrænsning relateret til kørselsfrekvensen for hver User Sync Tool-instans.Hvis en instans observeres at køre hyppigere, vil den blive begrænset et sted mellem 30 og 75 minutter.Selvom timeout'en blot sætter UST på pause i en periode (så det ikke er en kritisk stopfejl), vil UST vide, hvordan den skal genoprette og fortsætte synkroniseringen lige efter.
Da scriptet genkender, når to instanser startes på samme tid, kan ingen ny instans udløses, før den første er færdig med at køre.I dette tilfælde kan der vises en fejlmeddelelse i UST-loggen, der henviser til "en proces er allerede i gang".
Her er nogle anbefalinger til bedste ydeevne med hensyn til kørselsfrekvensen:
- gennemgå den planlagte opgavefrekvens, og sørg for, at den er indstillet til at gentage med mindst to timers mellemrum
- gennemgå den planlagte opgaves udløsertidspunkt, så den ikke starter på minutmærket :00 eller :30 (undgå spidsbelastningsaktivitet)
- hvis det er nødvendigt at køre værktøjet oftere, skal du overveje muligheden for at bruge UST med push-strategi (delta af ændringer) i stedet for fuld synkronisering
- tilpas kørselstidsplanen for UST til din organisations arbejdsdag, når brugere har brug for at blive oprettet (f.eks. hvis din organisation ikke har behov for at ændre brugeroprettelse om natten, skal du ikke køre synkroniseringsjob i dette tidsrum)
error.user.belongs_to_another_org
Eksempel på post i loggen:
2018-01-01 11:49:42 28102 FEJL umapi.action - Fejl i requestID: action_1 (Bruger: {'user': 'myuser@domain2.com', 'requestID':'action_1'}, Kommando: {'createFederatedID': {'email': 'myuser@domain2.com', 'country': 'US', 'option': 'ignoreIfAlreadyExists', 'firstname': 'fname', 'lastname': 'lname'}}): kode: "error.user.belongs_to_another_org" besked: "Ulovligt at invitere bruger fra en anden organisations ejede godkendelseskilde"
Tip: Det domæne, der blev brugt til at oprette kontoen, er måske ikke blevet godkendt eller tilføjet til listen over pålidelige domæner i organisationen. Aktive domæner har en grøn markering (flag eller prik) i Admin Console -> Indstillinger. Hvis det ikke er tilfældet, kan du løse problemet ved at gennemføre processen med at godkende domænet.
Eksempel på post i loggen:
2018-01-01 12:34:23 13383 FEJL umapi.action - Fejl i requestID: action_6 (Bruger: {'user': 'user@domain.com', 'requestID': 'action_6'}, Kommando: {'createEnterpriseID': {'email': 'user@domain.com', 'option': 'updateIfAlreadyExists', 'firstname': 'test', 'lastname': 'user', 'country': 'US'}}): kode: "error.user.type_mismatch" besked: "Den anmodede brugertype til invitationen matcher ikke den hævdede domænetype"
Tip: Der forsøges at få oprettet en konto af typen federatedID, men det bibliotek, der oprettes, er af typen Enterprise (eller omvendt).Find frem til attributten user_identity_type i filen user-sync-config.yml. Rediger værdien, så den matcher typen af det bibliotek, der vises i administratorkonsollen (Indstillinger > Identitet > Domæner > Type bibliotek for det pågældende domæne).
Eksempel på fejlmeddelelse:
Kunne ikke udføre PEX-fil, manglende kompatible afhængigheder for:
pyyaml
cryptography
cffi
umapi-client
pycryptodome
pyldap
psutil
user-sync
Tips:
a) Kontrollér, om den Python-version, der er installeret computeren, er 32-bit. Hvis det er en 32-bit-version, så afinstaller den, og installer 64-bit-versionen i stedet.
b) Kontrollér, om den version af user-sync.pex, som du hentede fra GitHub, er kompatibel med den version af Python og det operativsystem, du har. For eksempel skal user-sync-v2.3-win64-py365.zip downloades, hvis du har Windows 64-bit og Python 3.
Det er ikke altid en god ide at bruge den allernyeste version af Python. Det er altid bedst at bruge den version af Python, som .pex-filen blev designet til. Suffikset på den .zip-fil, du har hentet, angiver den version af Python, der er kompatibel med filen. Filen i eksemplet ovenfor (user-sync-v2.3-win64-py365.zip) er kompatibel med Python 3.6.5.
Fejl ved dekryptering af privat nøgle
Eksempel på post i loggen:
2018-01-01 09:52:23 7920 FEJLFINDING umapi - umapi: læser private nøgledata fra filen C:\path\to\private.key
2018-01-01 09:52:23 7920 KRITISK main - umapi konfiguration.enterprise: Fejl ved dekryptering af privat nøgle, enten er adgangskoden forkert eller: RSA-nøgleformat understøttes ikke
Tips:
a) hvis problemet ikke hurtigt kan identificeres, er det hurtigere at genudstede nøgleparret
b) Brug ikke attributten umapi_private_key_data, hvis du kører scriptet i Windows. Krypter i stedet nøglen, og gem adgangskoden i Styring af legitimationsoplysninger.
c) Prøv med en privat nøgle af typen RSA256/2048 bits, hvis du bruger et andet format til at udstede nøgleparret
d) Du har måske oprettet secure_priv_key_pass_key: umapi_private_key_passphrase i filen connector-umapi.yml. Hvis det er tilfældet, skal du sikre dig, at posten i Lager med legitimationsoplysninger for denne og de tilknyttede værdier stemmer overens (se nedenfor).
Der er ingen værdi for sikker lagerplads for brugeren ...
Eksempel på post i loggen:
2018-01-01 09:52:23 7920 KRITISK main - umapi KRITISK main - umapi konfiguration.enterprise: Ingen værdi i sikker opbevaring for bruger "someUUIDvalue@AdobeOrg", nøgle "umapi_api_key"
Tips:
a) Posten i Lager med legitimationsoplysninger for umapi_api_key mangler muligvis. Opret posten i Lager med legitimationsoplysninger. Oplysninger om, hvordan dette gøres, findes her.
b) Værdien i Lager med legitimationsoplysninger er muligvis blevet tilføjet under en anden brugerkonto. Men posten mangler for den aktuelle bruger. Tilføj den om nødvendigt, eller skift brugerkonti.
error.internal.exceptionflys/error.unauthorized
Eksempel på fejlmeddelelse:
umapi_client.error.RequestError: Anmodningsfejl (401): {"lastPage":false,"result":"error.internal.exceptionflys","message":"Kunne ikke udveksle token"}
ELLER
"umapi_client.error.RequestError: Anmodningsfejl (401): {"lastPage":false,"result":"error.unauthorized","message":"Kunne ikke godkende det angivne token"}"
Tip: Det er muligt, at under Admin Console -> Indstillinger -> Godkendelsesindstillinger er der valgt en anden indstilling end Nemmest for brugeren (Adgangskoden udløber aldrig). Hvis indstillingen Mere sikker eller Mest sikker er aktiveret, kan adgangskoden til Teknisk konto, der er knyttet til integrationen, være udløbet.
Problemet kan løses ved at oprette en ny integration. Sørg for, at metadataene også opdateres i filen connector-umapi.yml.
En opdatering, der løser dette problem, er blevet udgivet, men integrationer, der blev oprettet inden oktober 2018, kan stadig være påvirket.
En ny forbindelse kunne ikke oprettes [Fejlnr. 10061]
Eksempel på fejlmeddelelse:
ConnectionError: HTTPSConnectionPool(host='usermanagement.adobe.io', port=443): Maksimalt antal forsøg overskredet med url: /v2/usermanagement/users/someUUID@AdobeOrg/0?directOnly=True (Forårsaget af NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x00000000027B9630>: Kunne ikke etablere en ny forbindelse: [Errno 10061] Der kunne ikke oprettes forbindelse, fordi target-maskinen aktivt afviste den',))
Tip:
Problemet skyldes, at UST ikke kan oprette forbindelse til de offentligt tilgængelige API-slutpunkter. Den manglende adgang kan skyldes firewall-regler, en proxyserver, der blokerer trafikken, kontoindstillinger for internetadgang osv.
I nogle situationer kan det hjælpe at tilføje miljøvariablen https_proxy med en værdi som f.eks.:
http://<proxyAddress>:<port> ELLER https://<proxyAddress>:<port>
Andre gange kan det hjælpe at give adgang til disse slutpunkter:
ims-na1.adobelogin.com:443
usermanagement.adobe.io:443
Det kan kun løses lokalt ved at sørge for, at den aktuelle konto har adgang til ovennævnte slutpunkter.
Eksempel på post i loggen:
2017-07-07 09:01:37 4916 CRITICAL main - Forbindelse til org [...] ved endepunkt https://usermanagement.adobe.io/v2/usermanagement mislykkedes: Kunne ikke godkende mod https://ims-na1.adobelogin.com/ims/exchange/jwt: Svarkode: 400, Svartekst: {"error_description":"Metascoperne i JWT'en er ikke en delmængde af metascoperne i bindingen.","error":"invalid_scope"}
Tip: Gå ind på den integration, du har oprettet, på https://developer.adobe.com/console/projects, og kontrollér venstre menu, hvor API'erne er anført.Kontrollér, at API'en til brugerstyring er tilføjet som en tjeneste, så den findes på listen.
Der blev ikke fundet nogen gyldige bindinger for organisationen og den tekniske konto
Eksempel på post i loggen (fejlfindingstilstand):
2017-07-07 09:01:37 4916 KRITISK main - UMAPI-forbindelse til org-id 'someUUIDvalue@AdobeOrg' mislykkedes: Kunne ikke godkende mod https://ims-na1.adobelogin.com/ims/exchange/jwt:
Svarkode: 400, Svartekst: {"error_description":"Der blev ikke fundet nogen gyldige bindinger for kombinationen af organisation og teknisk konto","error":"invalid_token"}
Tips:
a) Problemet kan skyldes, at værdien af tech_acct i filen connector-umapi.yml svarer til en anden værdi end det tekniske konto-id i integrationen på https://developer.adobe.com/console/projects. Kontrollér værdien for det tekniske konto-id i den aktuelle integration, og kopiér den til denne fil.
b) Det kan også skyldes, at det offentlige certifikat i integrationen er udløbet. Forny den private og den offentlige nøgle. Upload derefter den offentlige nøgle, og erstat den gamle private nøgle med den nye nøgle. Bekræft, at stien i connector-umapi.yml peger til den rigtige fil.
c) Kontrollér, at integrationen er oprettet for den rigtige organisation. Vælg organisationen på rullelisten øverst til venstre på https://developer.adobe.com/console/projects. Kontrollér derefter værdien for det tekniske konto-id for den aktive integration og de andre metadata (Org ID, secret og client ID).
SSL: CERTIFICATE_VERIFY_FAILED
Eksempel på post i loggen:
2017-07-07 09:01:37 4916 KRITISK main - UMAPI-forbindelse til org-id 'someUUIDvalue@AdobeOrg' mislykkedes: [SSL: CERTIFICATE_VERIFY_FAILED] certifikatverificering mislykkedes (_ssl.c:661)
Tip: Det skyldes, at SSL-inspektion er aktiveret på den lokale proxy-server
Løsning 1: Indhent firewallens CA-certifikat i PEM-format for proxy-roden (under forudsætning af, at navnet er thecert.crt). Hvis der bruges DER-format, skal du konvertere det til PEM-format ved hjælp af openssl-kommandoen:
openssl x509 -inform DER -in thecert.crt -out thecert.pem -outform PEM
Bemærk: Hvis du ser indholdet af certifikatet og ser en base64-kodet streng mellem linjerne
-----BEGIN CERTIFICATE----- og -----END CERTIFICATE----- , betyder det, at du har den PEM-formaterede fil.
Opret derefter en variabel med navnet REQUESTS_CA_BUNDLE, og tildel den værdien svarende til stien til filen thecert.pem.
Løsning2: I nogle tilfælde blev det observeret i Windows, at hvis værktøjet køres fra et andet drev end OS'et, og Python er installeret, kan denne fejl forekomme.Problemet kan løses ved at flytte hele scriptet til det drev, som operativsystemet er installeret på.Hvis dette ikke er muligt, skal den cacert.pem-fil, der indeholder de pålidelige CA-rodcertifikater, kopieres til det andet drev, og dens sti skal bruges som inputværdi for destinationsvariablen REQUESTS_CA_BUNDLE. Hvis SSL-trafikken kontrolleres af en proxy-server, skal indholdet af CA-rodcertifikatet kopieres i cacert.pem-filen, så proxy-certifikaterne kan bekræftes som pålidelige.
Bemærk: I en standard Python-installation findes certifikaterne på følgende placering: C:\Python36\Lib\site-packages\certifi\cacert.pem.
Løsning 3: deaktiver SSL-tjek i proxyserveren for API-slutpunkterne ims-na1.adobelogin.com og usermanagement.adobe.io
Der blev ikke fundet nogen gruppe [...]
Eksempel på post i loggen:
2018-01-01 09:01:37 4916 WARNING ldap - Ingen gruppe fundet for: Name_Of_The_Group
Tips:
a) Gruppen med dette navn findes ikke i LDAP. Problemet kan løses ved at bruge gruppens korrekte LDAP-navn
b) Gruppen findes ikke i den angivne base_dn (se filen connector-ldap.yml). Rediger værdien af base_dn, så den indeholder den relevante gruppe (problemet opstår typisk, når base_dn peger på en OU i stedet for at være så bred som muligt).
Eksempel på post i loggen:
2018-01-01 11:25:45 1 FEJL umapi.action - Fejl i requestID: action_1 (Bruger: {'user': 'myuser@domain.com', 'useAdobeID': True, 'requestID': 'action_1'}, Kommando: {'add': {'product': ['group_name']}}): kode: "error.group.not_found" besked: "Gruppen my_group_name blev ikke fundet"
Tip: Brugergruppen gruppe_navn i eksemplet ovenfor findes ikke på Adobe-siden, så du kan gå videre og oprette den. Hvis hensigten var at angive navnet på en PLC i stedet for en brugergruppe, findes der en visuel forklaring på denne side i dokumentationen.
Eksempel på post i loggen:
2018-09-05 10:58:08 96329 CRITICAL main - Forbindelse til org some_Org_UUID@AdobeOrg ved endepunkt https://usermanagement.adobe.io/v2/usermanagement mislykkedes: dlopen(/Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so, 2): Bibliotek ikke indlæst: /usr/local/opt/openssl/lib/libssl.1.0.0.dylib
Refereret fra: /Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so
Årsag: billede ikke fundet
2018-09-05 10:58:08 96329 INFO main - ========== Afslut kørsel (User Sync version: 2.3) (Samlet tid: 0:00:00)
Tip Denne fejlmeddelelse stammer fra macOS High Sierra ved brug af UST v2.3 og Python 3.7.0.Kørsel af brew install openssl i Terminalen løste det for dette specifikke scenarie.
Person for type 2 eller 3 kan ikke oprettes [...]
Eksempel på post i loggen:
2019-07-28 07:17:51 2220 FEJL umapi.action - Fejl i requestID: action_1 (Bruger: {'user': 'user@claimed-domain.com', 'requestID': 'action_1'}, Kommando: {'createFederatedID': {'email': 'user@claimed-domain.com', 'option': 'updateIfAlreadyExists', 'firstname': 'First', 'lastname': 'Last', 'country': 'US'}}): kode: "error.internal.create_failed" besked: "Kunne ikke oprette person for type 2 eller 3. Renga-resultatet er NOT_ALLOWED, ressourcen er eksternt administreret, og tokenet mangler GROUP_SOURCE_UPDATE-formålet."
I visse tilfælde tilhører @claimed-domain.com en anden organisation, der har konfigureret en Azure- eller Google-connector til at håndtere synkroniseringen af konti til administratorkonsollen. Dette domæne overdrages derefter til en anden organisation, der bruger User Sync-værktøjet til at synkronisere kontiene i formatet @claimed-domain.com
Årsag: Denne fejlmeddelelse vises i loggen, når Sync-værktøjet henter kontoen
bruger@claimed-domain.com fra en LDAP-server for at oprette den i den sekundære organisation. Imidlertid er kontoen endnu ikke oprettet/synkroniseret i hovedorganisationen via Azure- eller Google-connectoren.
Tip: prøv at oprette/synkronisere kontoen bruger@claimed-domain.com i den primære organisation vha. Azure- eller Google-connectoren, og prøv derefter igen at synkronisere med UST i den sekundære organisation.
Uventet LDAP-fejl ved læsning af [...]
Eksempel på post i loggen:
2018-09-05 10:58:08 96329 6348 KRITISK main - Uventet LDAP-fejl ved læsning af gruppeinfo: {'desc': 'Henvisning', 'info': 'Henvisning:\nldap://domain.local/DC=sub,DC=domain,DC=local'}
Mulig årsag: Den relevante gruppe/grupperne er placeret i et underdomæne, men host-værdien er et root-domæne.
Tip: Sæt værdien host til et af de underdomæner, hvor brugergrupper kan findes. Hvis de relevante brugere eller grupper findes i både root-domænet og dets underdomæner, skal du bruge en global katalogport på root-domænet. Sæt grupperne i underdomænerne til at være af typen Universel i stedet for Global. Eksempel på en værtsværdi ved at bruge den globale katalog: ldap://domain.local:3268 eller ldaps://domain.local:3269
Hvis den globale katalogport bruges i den sidste scenarie, skal du sikre dig, at værdien base_dn er tom:
base_dn: ""
error.organization.invalid_id
Eksempel på post i loggen:
2020-08-20 12:00:00 1892 FEJL main - Uhåndteret undtagelse
raise RequestError(result)
umapi_client.error.RequestError: Anmodningsfejl (401): {"lastPage":false,"result":"error.organization.invalid_id",
"message":"UNAUTHORIZED"}
Denne fejl blev set på ældre integrationer.
Løsningen: Opret en ny integration (eller Projekt) på https://developer.adobe.com/console/projects ved siden af den eksisterende, der bruges til samme formål.Den nye integration vil give nye legitimationsoplysninger, så sørg for at opdatere dem i filen connector-umapi.yml.Det er meget muligt, at nøgleparret (privat/offentlig nøgle) skal genudstedes, og derfor skal den nye private nøgle erstatte den eksisterende.
Kunne ikke oprette person af typen createFederatedID
Eksempel på post i loggen:
2021-01-01 18:00:00 14063 FEJL umapi.action - Fejl i requestID: action_19 (Bruger: {'user': 'some_user', 'domain': some.domain', 'requestID': 'action_19'}, Kommando: {'createFederatedID': {'email': 'some_user@some.domain', 'option': 'ignoreIfAlreadyExists', 'firstname': 'FName', 'lastname': 'LName, 'country': 'GB'}}): kode: "error.internal.create_failed" besked: "Kunne ikke oprette person af typen createFederatedID"
Dette er en generisk fejl med flere årsager, men det sædvanlige problem er, at domænet, der bruges i handlingen Opret, er under indflydelse af en Azure- eller Google-synkroniseringsopsætning.
Sådan kontrollerer du: Log ind i Admin Console med systemadministratorens konto, klik derefter på menuen Indstillinger, klik derefter inde i mappen, der indeholder domænet, og klik derefter på fanen Synkroniseringsmenu.
Er der et Synkroniseringskildekort til stede i Synkroniseringsmenuen?
Hvis Ja, afhænger løsningen af, hvordan synkroniseringen skal fortsætte fremover:
-> hvis Azure- eller Google-forbindelsen skal være den, der udfører synkroniseringen, skal du fortsætte med opsætningen af Synkroniseringskilde og fjerne UST helt
-> hvis UST skal være den, der udfører synkroniseringen, skal du klikke på knappen "Gå til Indstillinger" og klikke på knappen "Fjern synkronisering" nederst på siden. UST bør derefter begynde at køre som normalt
Hvis Nej, kan det være, at den nuværende UST kører mod en Console, hvor det pågældende domæne er betroet fra en anden Console (ejende organisation).Denne anden organisation kan have Azure- eller Google-synkronisering aktiveret, hvilket kan føre til den aktuelle fejl.Løsningen i dette tilfælde er at synkronisere kontoen i den ejende organisation/Console først og derefter bruge UST til at oprette/tilføje kontoen i den nuværende Console.
Hvis ingen af ovenstående situationer passer til det aktuelle scenarie, er det bedst at kontakte Enterprise Support.
